-
Technisches Gebiet
-
Die vorliegende Erfindung bezieht sich auf eine Elektronische Steuereinheit, die in einem Fahrzeug installiert ist. Die vorliegende Erfindung bezieht sich auf eine Zuverlässigkeit eines fahrzeuginternen Systems, mit dem eine Vielzahl von elektronischen Steuereinheiten (ECUs - electronic control units) über ein Netzwerk verbunden sind. Im Folgenden wird die elektronische Steuereinheit als ECU ausgedrückt.
-
Hintergrund zum Stand der Technik
-
In einem herkömmlichen fahrzeuginternen System wird zur Vorbereitung gegen einen Fehler einer ECU eine Funktion der ECU auf eine andere ECU übertragen, auf der Grundlage der Fehlerwahrscheinlichkeit der ECU. Folglich kann selbst bei einem Fehler der ECU eine Unannehmlichkeit eines Funktionsstopps vermieden werden, da eine andere ECU die bereits übertragene Funktion ausführt (z. B. Patentliteratur 1).
-
Liste zitierter Schriften
-
Patentliteratur
-
Patentliteratur 1:
JP 2018-99972 A
-
Kurzfassung der Erfindung
-
Technisches Problem
-
In dem herkömmlichen fahrzeuginternen System wird jedoch die Funktion der ECU auf eine andere ECU übertragen, auf der Grundlage der Fehlerwahrscheinlichkeit der ECU.
-
Falls also ein Fehler in einer ECU auftritt, die eine geringe Fehlerwahrscheinlichkeit aufweist und als fehlerfrei eingestuft wurde, ist es möglich, dass eine Funktion der ECU, in der der Fehler aufgetreten ist, nicht auf eine andere ECU übertragen werden kann. Außerdem, selbst wenn die Funktion übertragen werden kann, ist der Aufwand einer Kommunikationsverarbeitung zur Übertragung der Funktion der ECU, in der der Fehler aufgetreten ist, auf eine andere ECU groß.
-
Ein Ziel der vorliegenden Erfindung ist es, ein fahrzeuginternes System bereitzustellen, das die reibungslose Fortsetzung einer für das fahrzeuginterne System wesentlichen Funktion ermöglicht, wenn eine Anomalie, wie z. B. ein Fehler, tatsächlich auftritt.
-
Lösung des Problems
-
Eine elektronische Steuereinheit der vorliegenden Erfindung, die in einen Fahrzeug installiert werden soll, umfasst:
- eine erweiterte Domäneneinheit, die unter einem ersten Betriebssystem arbeitet, mit einem Außenbordnetzwerk verbunden ist und bei Auftreten einer Abnormalität angehalten werden kann;
- eine Basisdomäneneinheit, die unter einem zweiten Betriebssystem arbeitet,
- mit der erweiterten Domäneneinheit verbunden ist und bei Auftreten einer Abnormalität den Betrieb fortsetzen muss;
- eine Verwaltungsdomäneneinheit, die unter einem dritten Betriebssystem arbeitet und den Betrieb der erweiterten Domäneneinheit anhält, wenn die Abnormalität der erweiterten Domäneneinheit erfasst wird; und
- eine Hypervisoreinheit, die das erste Betriebssystem, das zweite Betriebssystem und das dritte Betriebssystem veranlasst zu arbeiten,
- wobei die Verwaltungsdomäneneinheit über ein unabhängiges virtuelles Netzwerk unter Verwendung der Hypervisoreinheit mit einer separaten Verwaltungsdomäneneinheit einer separaten elektronischen Steuereinheit, die die separate Verwaltungsdomäneneinheit aufweist, und einer separaten Basisdomäneneinheit, die die Basisdomäneneinheit ersetzt, verbunden ist; und wenn eine Abnormalität der Basisdomäneneinheit erfasst wird, die Verwaltungsdomäneneinheit einen Betrieb der Basisdomäneneinheit anhält und die separate Verwaltungsdomäneneinheit, die von der separaten elektronischen Steuereinheit besessen wird, veranlasst, einen Betrieb der separaten Basisdomäneneinheit zu starten.
-
Vorteilhafte Effekte der Erfindung
-
Eine elektronische Steuereinheit der vorliegenden Erfindung ist mit einer Verwaltungsdomäneneinheit vorgesehen. Daher kann gemäß der elektronischen Steuereinheit der vorliegenden Erfindung bei tatsächlichem Auftreten einer Abnormalität, wie z. B. eines Fehlers, eine für ein fahrzeuginternes System wesentliche Funktion reibungslos fortgesetzt werden.
-
Figurenliste
-
- 1 ist eine Zeichnung von Ausführungsform 1, die ein Hardware-Konfigurationsdiagramm eines fahrzeuginternen Systems 100 ist.
- 2 ist eine Zeichnung von Ausführungsform 1, die ein Software-Konfigurationsdiagramm des fahrzeuginternen Systems 100 ist.
- 3 ist eine Zeichnung von Ausführungsform 1, die ein Software-Konfigurationsdiagramm des fahrzeuginternen Systems 100 ist.
- 4 ist eine Zeichnung von Ausführungsform 1, die ein Flussdiagramm ist, das Betriebe des fahrzeuginternen Systems 100 veranschaulicht.
- 5 ist eine Zeichnung von Ausführungsform 1, die ein Flussdiagramm ist, das Betriebe des fahrzeuginternen Systems 100 veranschaulicht.
- 6 ist eine Zeichnung von Ausführungsform 1, die eine Infektionsdomänenliste 16A veranschaulicht.
- 7 ist eine Zeichnung von Ausführungsform 1, die Domänenkonfigurationsinformationen 140 veranschaulicht.
- 8 ist eine Zeichnung von Ausführungsform 2, die ein Software-Konfigurationsdiagramm einer ECU (A) 1 ist.
- 9 ist eine Zeichnung von Ausführungsform 2, die ein Flussdiagramm ist, das Betriebe eines fahrzeuginternen Systems 100 veranschaulicht.
- 10 ist eine Zeichnung von Ausführungsform 2, die ein Flussdiagramm ist, das Betriebe des fahrzeuginternen Systems 100 veranschaulicht.
-
Beschreibung der Ausführungsformen
-
Ausführungsformen der vorliegenden Erfindung werden nachfolgend unter Bezugnahme auf die Zeichnungen beschrieben. In den Zeichnungen werden gleiche oder äquivalente Teile mit den gleichen Bezugszeichen bezeichnet. In der Beschreibung der Ausführungsformen werden gleiche oder gleichwertigen Abschnitte nicht beschrieben oder bei Bedarf nur kurz beschrieben. In der folgenden Beschreibung wird eine Anwendung (engl.: Application) mit App ausgedrückt.
- (1) In der folgenden Beschreibung wird ein Betriebssystem (engl.: operation system) mit OS ausgedrückt.
- (2) In der folgenden Beschreibung wird eine Eingabe-/Ausgabe (engl.: Input/Output) -Einrichtung mit I/O ausgedrückt.
- (3) In der folgenden Beschreibung wird beschrieben, wie ein fahrzeuginternes System 100 eine durch einen Cyberangriff oder einen Fehler verursachte Infektion behandelt, die eine Abnormalität darstellt. In der folgenden Beschreibung bedeutet eine Abnormalität eine durch einen Cyberangriff in einer ECU oder einen Fehler in einer ECU verursachte Infektion. Eine Abnormalität kann jedoch auch eine andere Abnormalität bedeuten.
-
Ausführungsform 1.
-
*** Beschreibung von Konfigurationen ***
-
Ein fahrzeuginternes System 100 gemäß Ausführungsform 1 wird unter Bezugnahme auf 1 bis 8 beschrieben.
-
1 ist ein Hardware-Konfigurationsdiagramm des fahrzeuginternen Systems 100. Das fahrzeuginterne System 100 ist mit einer Vielzahl von ECUs vorgesehen. Die Vielzahl von ECUs sind in einem Fahrzeug installiert. Die ECUs sind über ein Innenbordnetzwerk 81 miteinander verbunden. 1 veranschaulicht eine Konfiguration, bei der das fahrzeuginterne System 100 mit vier ECUs vorgesehen ist. Die im fahrzeuginternen System 100 vorgesehene Vielzahl von ECUs kann zwei, drei oder fünf oder mehr ECUs umfassen. Im Folgenden werden zur Unterscheidung vier ECUs als eine ECU (A) 1, eine ECU (B) 1, eine ECU (C) 1 und eine ECU (D) 1 ausgedrückt. Jede ECU ist über ein Außenbordnetzwerk 88 mit einem externen System verbunden.
-
Die ECU (A) 1, die ECU (B) 1, die ECU (C) 1 und die ECU (D) 1 weisen die gleiche Hardware-Konfiguration auf. Eine Beschreibung der ECU (A) 1 trifft somit auch auf die ECU (B) 1, die ECU (C) 1 und die ECU (D) 1 zu. 1 veranschaulicht eine Hardware-Konfiguration der ECU (A) 1. Eine Hardware-Konfiguration einer ECU wird unter Bezugnahme auf die ECU (A) 1 erläutert. Die ECU (A) 1 ist mit mindestens einer Zentralverarbeitungseinheit (CPU) 2A, einem Nur-Lese-Speicher (ROM) 3A, einem Direktzugriffsspeicher (RAM) 4A, einem Peripheriecontroller 5A und Eingabe-/Ausgabeeinrichtungen (I/O) 6A, 7A, 8A und 9A ausgestattet. Die CPU 2A, der ROM 3A, der RAM 4A, der Peripheriecontroller 5A, die I/O 6A, die I/O 7A, die I/O 8A und die I/O 9A sind über einen Bus miteinander verbunden.
-
Bei dem ROM 3A handelt es sich um einen nichtflüchtigen Speicher wie ein elektrisch löschbares programmierbares ROM (EEPROM) und einen Flash-Speicher. Ein Anwendungsprogramm, das eine von der ECU 1 bereitgestellte Funktion implementiert, ein OS-Programm und Daten werden im ROM 3A aufgezeichnet.
-
Der RAM 4A ist ein flüchtiger Speicher und speichert ein Programm und Daten, die für eine CPU 2 notwendig sind, um Verarbeitung durchzuführen.
-
Der Peripheriecontroller 5A ist eine Einrichtung wie z. B. ein Interrupt-Controller, ein Timer-Controller und ein Direct Memory Access (DMA)-Controller.
-
Bei den I/Os 6A, 7A, 8A und 9A handelt es sich jeweils um eine Schaltung, wie z. B. eine General-Purpose-I/O (GPIO), eine A/D-Wandlerschaltung, eine D/A-Wandlerschaltung, eine Motorantriebsschaltung und eine Kommunikationsschnittstellenschaltung. Die I/O 6A ist mit einem Sensor 61 verbunden. Die I/O 7A ist mit einem Aktuator 71 verbunden. Die I/O 8A ist mit einer I/O 8B der ECU (B) 1, einer I/O 8C der ECU (C) 1 und einer I/O 8D der ECU (D) 1 verbunden. Die I/O 9A ist mit dem Außenbordnetzwerk 88 verbunden.
-
Die CPU 2A liest Programme, die im ROM 3A und RAM 4A gespeichert sind, und wiederholt eine Berechnungsverarbeitung auf der Grundlage eines vom Sensor 61 gelesenen Wertes und eine Verarbeitung wie eine Steuerung des Aktuators 71. Der Sensor 61 ist beispielsweise ein Wassertemperatursensor oder ein Drosselöffnungssensor. Der Aktuator 71 ist beispielsweise ein Injektor und ein Zünder.
-
Das Innenbordnetzwerk 81 ist ein Netzwerk wie ein Controller Area Network (CAN), ein Local Interconnect Network (LIN) und ein FlexRay.
-
Das Außenbordnetzwerk 88 ist über Mobilfunk wie Wi-Fi, Long Term Evolution (LTE) und 5G mit dem Internet verbunden.
-
2 und 3 veranschaulichen eine Software-Konfiguration des fahrzeuginternen Systems 100. Die ECU (A) 1 und die ECU (B) 1 sind der Einfachheit halber in den 2 und 3 durch E und F getrennt. 2 und 3 veranschaulichen eine Verwaltungsdomäneneinheit (A) 10A, die mit einer Verwaltungsdomäneneinheit (B) 10B über das Innenbordnetzwerk 81 verbunden ist, und eine Basisdomäneneinheit (A) 20A, die mit einer Basisdomäneneinheit (B) 20B über das Innenbordnetzwerk 81 verbunden ist. Das Innenbordnetzwerk 81 ist ein virtuelles Netzwerk 91, das später beschrieben wird.
-
Wie in 2 dargestellt, werden die Verwaltungsdomäneneinheit (A) 10A, die Basisdomäneneinheit (A) 20A, eine erweiterte Domäneneinheit (A) 30A und eine Hypervisoreinheit 40A von der CPU 2A implementiert. Die Verwaltungsdomäneneinheit (A) 10A, die Basisdomäneneinheit (A) 20A, die erweiterte Domäneneinheit (A) 30A und die Hypervisoreinheit 40A sind Programme. Die CPU 2A kann durch eine einzelne CPU oder durch eine Vielzahl von CPUs implementiert sein. Die einzelne CPU und die Vielzahl von CPUs werden auch als Verarbeitungsschaltung bezeichnet. Funktionen der Verwaltungsdomäneneinheit (A) 10A, Basisdomäneneinheit (A) 20A, erweiterten Domäneneinheit (A) 30A und Hypervisoreinheit 40A werden durch eine Verarbeitungsschaltung implementiert. Programme, welche die Verwaltungsdomäneneinheit (A) 10A, Basisdomäneneinheit (A) 20A, erweiterte Domäneneinheit (A) 30A und Hypervisoreinheit 40A implementieren, werden im ROM 3A und dem RAM 4A gespeichert.
-
Programme, welche die Verwaltungsdomäneneinheit (A) 10A, Basisdomäneneinheit (A) 20A, erweiterte Domäneneinheit (A) 30A und Hypervisoreinheit 40A implementieren, können als gespeichert in einem computerlesbaren Aufzeichnungsmedium bereitgestellt werden oder können als Programmprodukt bereitgestellt werden.
-
In den Programmen entspricht die Verwaltungsdomäneneinheit (A) 10A einem Verwaltungsfunktionsprozess, entspricht die Basisdomäneneinheit (A) 20A einem Basisfunktionsprozess, entspricht die erweiterte Domäneneinheit (A) 30A einem erweiterten Funktionsprozess und entspricht die Hypervisoreinheit 40A einem Hypervisorprozess.
-
Die Hypervisoreinheit 40A veranlasst ein OS 33A, das ein erstes Betriebssystem ist, ein OS 23A, das ein zweites Betriebssystem ist, und ein OS 15A, das ein drittes Betriebssystem ist, zu arbeiten. Die Hypervisoreinheit 40A betreibt einen Hypervisor. Der Hypervisor wird auch Virtual Machine Monitor genannt, was eine Software ist, die eine Vielzahl von OS veranlasst, auf der ECU (A) 1 zu arbeiten. Bei jedem der OS 15A, 23A und 33A handelt es sich um ein OS, das auf der Hypervisoreinheit 40A arbeitet und ist z. B. ein Linux-OS (eingetragene Marke).
-
Die Verwaltungsdomäneneinheit (A) 10A erfasst eine Abnormalität durch Kommunikation mit der Hypervisoreinheit 40A. Im Einzelnen funktioniert dies wie folgt. Eine Angriffserfassungseinheit 11A erfasst, ob ein Cyberangriff ausgeführt wird oder nicht bzw. ob er bereits ausgeführt wurde oder nicht (Vorhandensein oder Nichtvorhandensein eines Cyberangriffs). Eine Infektionsbereichsidentifikationseinheit 12A identifiziert einen Bereich von Software, der durch den von der Angriffserfassungseinheit 11A erfassten Cyberangriff infiziert wurde. Eine Systemkonfigurationseinheit 13A verwaltet die Verwaltungsdomäneneinheit (A) 10A, die Basisdomäneneinheit (A) 20A, die erweiterte Domäneneinheit (A) 30A und virtuelle Netzwerke 91 und 95 und rekonfiguriert ein System in Übereinstimmung mit dem identifizierten Infektionsbereich. Eine Konfigurationsspeichereinheit 14A speichert Domänenkonfigurationsinformationen 140, die Informationen über ein Vorhandensein/Nichtvorhandensein eines Ersatz-Basisdomänenabschnitts (wird später beschrieben) in einer ECU enthält. Eine App (A1) 21A und eine App (A2) 22A arbeiten auf dem OS 23A, und eine App (A3) 31A und eine App (A4) 32A arbeiten auf dem OS 33A und implementieren damit Funktionen für die ECU (A) 1.
-
Die Verwaltungsdomäneneinheit (A) 10A, die Basisdomäneneinheit (A) 20A, die erweiterte Domäneneinheit (A) 30A sind virtuelle Maschinen, die durch den Hypervisor, der die Hypervisoreinheit 40A betreibt, verwaltet werden.
-
Die Verwaltungsdomäneneinheit (A) 10A arbeitet unter dem OS 15A, welches das dritte Betriebssystem ist und hält einen Betrieb einer erweiterten Domäneneinheit (A) an, wenn eine Abnormalität der erweiterten Domäneneinheit (A) 30A erfasst wird. Die Verwaltungsdomäneneinheit (A) 10A ist mit der Angriffserfassungseinheit 11A, der Infektionsbereichsidentifikationseinheit 12A, der Systemkonfigurationseinheit 13A, der Konfigurationsspeichereinheit 14A und dem OS 15A versehen. Das OS 15A veranlasst die Angriffserfassungseinheit 11A, die Infektionsbereichsidentifikationseinheit 12A, die Systemkonfigurationseinheit 13A und die Konfigurationsspeichereinheit 14A zu arbeiten.
-
Die Basisdomäneneinheit (A) 20A arbeitet unter dem OS 23A, welches das zweite Betriebssystem ist, ist mit der erweiterten Domäneneinheit (A) 30A verbunden und muss bei Auftreten einer Abnormalität den Betrieb fortsetzen. Die Basisdomäneneinheit (A) 20A ist vorgesehen mit der App (A1) und der App (A2), die auch bei einem Cyberangriff in Betrieb bleiben müssen, aus den Apps, die die Funktion der ECU (A) 1 implementieren, und mit dem OS 23A, das die App (A1) und die App (A2) veranlasst, zu arbeiten.
-
Die erweiterte Domäneneinheit (A) 30A arbeitet unter dem OS 33A, welches das erste Betriebssystem ist, ist mit dem Außenbordnetzwerk 88 verbunden und kann bei Auftreten einer Abnormalität angehalten werden. Die erweiterte Domäneneinheit (A) 30A ist vorgesehen mit Apps, die nicht in der Basisdomäneneinheit (A) 20A enthalten sind, mit anderen Worten mit der App (A3) 31A und der App (A4) 32A, deren Funktionen bei einem Cyberangriff angehalten werden können, aus den Apps, die die Funktion der ECU (A) 1 implementieren, und mit dem OS 33A, das die App (A3) 31A und die App (A4) 32A veranlasst, zu arbeiten.
-
Das Innenbordnetzwerk 81 wird unter Verwendung einer Technik wie einem Virtual Local Area Network (VLAN) virtualisiert. Das Innenbordnetzwerk 81 ist als virtuelles Netzwerk 91, das ein logisches Netzwerk ist, nur mit einer Domäneneinheit verbunden, mit der das Innenbordnetzwerk 81 kommunizieren muss.
-
Verwaltungsdomäneneinheiten, die auf den einzelnen ECUs bestehen, sind über ein dediziertes virtuelles Netzwerk 95 verbunden.
-
Zum Beispiel ist die Verwaltungsdomäneneinheit (A) 10A über das unabhängige virtuelle Netzwerk 95 unter Verwendung der Hypervisoreinheit 40A mit einer separaten Verwaltungsdomäneneinheit (B) 10B einer separaten ECU (B) 1, die die separate Verwaltungsdomäneneinheit (B) 10B aufweist, und einer separaten Basisdomäneneinheit (A), die die Basisdomäneneinheit (A) 20A ersetzt, verbunden.
-
Das Außenbordnetzwerk 88 ist nur mit der erweiterten Domäneneinheit (A) 30A verbunden. Die auf der ECU 1 vorhandene Basisdomäneneinheit (A) 20A weist als Ersatz eine Domäneneinheit (A) auf, die die gleiche Funktion auf einer anderen ECU als der ECU (A) 1 aufweist. Diese Domäneneinheit (A) wird als Ersatz-Basisdomäneneinheit bezeichnet.
-
Im Normalbetrieb wartet die Ersatz-Basisdomäneneinheit in einem solchen Zustand, dass sie eine Basisdomäneneinheit, die dieselbe Funktion aufweist, ersetzen kann, wenn ein Betrieb der Basisdomäneneinheit angehalten wird. 3 veranschaulicht einen Fall, in dem die ECU (B) 1 eine Ersatz-Basisdomäneneinheit (A) 50B als Ersatz-Basisdomäneneinheit aufweist, die die gleiche Funktion wie die der Basisdomäneneinheit (A) 20A der ECU (A) 1 aufweist. Es genügt, wenn mindestens eine ECU unter allen ECUs außer der ECU (A) 1 eine Ersatz-Basisdomäneneinheit aufweist, die die gleiche Funktion wie die der Basisdomäneneinheit (A) 20A aufweist.
-
*** Beschreibung von Funktionsabläufen ***
-
4 und 5 sind Flussdiagramme, die Betriebe des fahrzeuginternen Systems 100 veranschaulichen. Die Betriebe des fahrzeuginternen Systems 100 werden nun unter Bezugnahme auf die 4 und 5 beschrieben.
-
Als erstes werden Betriebe eines Falles beschrieben, in dem ein Cyberangriff auftritt. In der folgenden Beschreibung der Betriebe entspricht ein Betriebsablauf der ECU (A) 1 einem Steuerungsverfahren. Ein Programm, das Betriebe der ECU (A) 1 implementiert, entspricht einem Steuerungsprogramm.
-
In Schritt S101 wird die Angriffserfassungseinheit 11A durch ein periodisches Ereignis oder ein nicht-periodisches Ereignis vom OS 15A gestartet und erfasst das Vorhandensein/Nichtvorhandensein eines Cyberangriffs. Das periodische Ereignis ist beispielsweise eine durch einen Timer-Controller erzeugte Unterbrechung. Bei dem nicht-periodischen Ereignis handelt es sich z. B. um Datenübertragung/Datenempfang zwischen dem Außenbordnetzwerk 88 und der erweiterten Domäneneinheit (A) 30A, zwischen dem Außenbordnetzwerk 88 und der Basisdomäneneinheit (A) 20A oder zwischen der Basisdomäneneinheit (A) 20A und der erweiterten Domäneneinheit (A) 30A. Falls in der Basisdomäneneinheit (A) 20A oder in der erweiterten Domäneneinheit (A) 30A „notwendige Daten“ zum Erfassen, ob ein Cyberangriff vorliegt oder nicht, vorhanden sind, führt die Angriffserfassungseinheit 11A den folgenden Prozess durch. Die Angriffserfassungseinheit 11A bezieht sich auf die „notwendigen Daten“ durch Datenkommunikation mit der Basisdomäneneinheit (A) 20A oder der erweiterten Domäneneinheit (A) 30A über die Hypervisoreinheit 40A oder durch Bezugnahme auf einen gemeinsamen Speicher. Die „notwendigen Daten“ für das Erfassen, ob ein Cyberangriff vorliegt oder nicht, sind zum Beispiel ein Kommunikationsprotokoll zwischen Domäneneinheiten und ein Betriebsprotokoll von OS 23A, OS 33A, App (A1) 21A, App (A2) 22A, App (A3) 31A oder App (A4) 32A. In Ausführungsform 1 wird kein Erfassungsverfahren, das von der Angriffserfassungseinheit 11A unter Verwendung der „notwendigen Daten“ durchgeführt wird, zur Erfassung, ob ein Cyberangriff vorliegt oder nicht, erwähnt.
-
In Schritt S102 beurteilt die Angriffserfassungseinheit 11A, ob ein Cyberangriff vorliegt oder nicht. Falls ein Cyberangriff vorliegt (JA in Schritt S102), benachrichtigt die Angriffserfassungseinheit 11A die Infektionsbereichsidentifikationseinheit 12A, dass ein Vorhandensein eines Cyberangriffs erfasst wurde (Schritt S103).
-
In Schritt S104 identifiziert die Infektionsbereichsidentifikationseinheit 12A eine Infektion durch den Cyberangriff in der Basisdomäneneinheit (A) 20A und der erweiterten Domäneneinheit (A) 30A. Zu beachten ist, dass die Verwaltungsdomäneneinheit (A) 10A nur mit einer Verwaltungsdomäneneinheit einer anderen ECU über das unabhängige dedizierte virtuelle Netzwerk 95 verbunden ist. Daher wird die Verwaltungsdomäneneinheit (A) 10A nicht durch einen Cyberangriff von der erweiterten Domäneneinheit (A) 30A, die mit dem Außenbordnetzwerk 88 verbunden ist, oder von der Basisdomäneneinheit (A) 20A, die mit der erweiterten Domäneneinheit (A) 30A verbunden ist, infiziert werden. Dementsprechend ist die Verwaltungsdomäneneinheit (A) 10A kein Ziel der Infektionsbereichserfassung der Infektionsbereichsidentifikationseinheit 12A.
-
In Schritt S105 erzeugt die Infektionsbereichsidentifikationseinheit 12A eine Infektionsdomänenliste 16A, bei der es sich um eine Liste von infizierten Domäneneinheiten handelt.
-
6 zeigt die Infektionsdomänenliste 16A, die von der Infektionsbereichsidentifikationseinheit 12A erzeugt wurde. Wie in 6 dargestellt, wird die Infektionsdomänenliste 16A aus Domänen-IDs und zu den Domänen-IDs zugehörigen Indikatoren für Vorhandensein/Nichtvorhandensein von Infektion gebildet. Vorhandensein/Nichtvorhandensein von Infektion wird durch 0 und 1 angegeben. Falls das Vorhandensein/Nichtvorhandensein von Infektion 0 ist, bedeutet dies, dass eine durch eine zugehörige Domänen-ID bezeichnete Domäneneinheit nicht infiziert ist. Falls das Vorhandensein/Nichtvorhandensein von Infektion 1 ist, bedeutet dies, dass eine durch eine zugehörige Domänen-ID bezeichnete Domäneneinheit infiziert ist. 6 veranschaulicht, dass eine mit Domänen-ID 3 bezeichnete Domäneneinheit und eine mit Domänen-ID 4 bezeichnete Domäneneinheit infiziert sind. Falls „notwendige Daten“ zur Identifizierung eines infizierten Bereichs in der Basisdomäneneinheit (A) 20A oder in der erweiterten Domäneneinheit (A) 30A vorhanden sind, identifiziert die Infektionsbereichsidentifikationseinheit 12A einen infizierten Bereich, indem sie sich auf die „notwendigen Daten“ zur Identifizierung des infizierten Bereichs bezieht, und zwar auf die gleiche Weise wie in einem oben beschriebenen Fall, in dem auf die „notwendigen Daten“ zur Erfassung, ob ein Cyberangriff vorliegt oder nicht, Bezug genommen wird. In Ausführungsform 1 wird nicht erwähnt, wie der infizierte Bereich identifiziert wird.
-
In Schritt S106 benachrichtigt die Infektionsbereichsidentifikationseinheit 12A die Systemkonfigurationseinheit 13A über die Infektionsdomänenliste 16A.
-
Wenn eine Abnormalität der Basisdomäneneinheit (A) 20A erfasst wird, hält die Verwaltungsdomäneneinheit (A) 10A einen Betrieb der Basisdomäneneinheit (A) 20A an (S107). Dann, in dem später zu beschreibenden Schritt S112, veranlasst die Verwaltungsdomäneneinheit (A) 10A die separate Verwaltungsdomäneneinheit (B) 10B, einen Betrieb der Ersatz-Basisdomäneneinheit (A) 50B, die eine separate Basisdomäneneinheit ist, zu starten. Im Einzelnen funktioniert dies wie folgt.
-
In Schritt S107 hält die Systemkonfigurationseinheit 13A der Verwaltungsdomäneneinheit (A) 10A über die Hypervisoreinheit 40A den Betrieb einer Domäneneinheit an, die in der von der Infektionsbereichsidentifikationseinheit 12A mitgeteilten Infektionsdomänenliste 16A beschrieben ist. Die in der Infektionsdomänenliste 16A aufgeführte Domäneneinheit ist die Basisdomäneneinheit (A) 20A oder die erweiterte Domäneneinheit (A) 30A.
-
In Schritt S108 benachrichtigt die Systemkonfigurationseinheit 13A die Systemkonfigurationseinheiten aller anderen ECUs von der Infektionsdomänenliste 16A durch eine Domäne-zu-Domäne-Kommunikation über das virtuelle Netzwerk 95, so dass Informationen über die Domäneneinheit, die den Betrieb gestoppt hat, von allen ECUs im Fahrzeugsystem 100 gemeinsam genutzt werden. Falls die Infektionsdomänenliste 16A die Basisdomäneneinheit (A) 20A nicht enthält, muss die Infektionsdomänenliste 16A nicht gemeldet werden.
-
Eine Systemkonfigurationseinheit 13 jeder ECU speichert die Domänenkonfigurationsinformationen 140 in einer Konfigurationsspeichereinheit 14.
-
7 veranschaulicht die Domänenkonfigurationsinformationen 140, die die ECU (B) 1 besitzt. Wie in 7 dargestellt, werden die Domänenkonfigurationsinformationen 140 aus Domänen-IDs und Ersatzindikatoren für Vorhandensein/Nichtvorhandensein, die mit den Domänen-IDs assoziiert sind, gebildet. Ersatz von Vorhandensein/Nichtvorhandensein wird durch 0 und 1 angegeben. Falls der Ersatz von Vorhandensein/Nichtvorhandensein 0 ist, bedeutet dies, dass eine Ersatz-Domäneneinheit einer durch eine assoziierte Domänen-ID bezeichneten Domäneneinheit nicht existiert. Falls der Ersatz von Vorhandensein/Nichtvorhandensein 1 ist, bedeutet dies, dass eine Ersatz-Domäneneinheit einer durch eine assoziierte Domänen-ID bezeichneten Domäneneinheit existiert. 7 veranschaulicht, dass eine Ersatz-Domäneneinheit, deren Domänen-ID 1 ist, und eine Ersatz-Domäneneinheit, deren Domänen-ID 2 ist, existiert. 5 veranschaulicht einen Zustand, in dem die Domänenkonfigurationsinformationen 140 in einer Konfigurationsspeichereinheit 14B der ECU (B) 1 gespeichert sind.
-
In Schritt S109 bezieht sich eine Systemkonfigurationseinheit 13B der ECU (B) 1 auf die Domänenkonfigurationsinformationen 140 und beurteilt, ob die benachrichtigte Infektionsdomänenliste 16A die Basisdomäneneinheit (A) 20A enthält, die ein Paar mit der Ersatz-Basisdomäneneinheit (A) 50B bildet, die die ECU (B) 1 besitzt, oder nicht.
-
Falls die Infektionsdomänenliste 16A die Basisdomäneneinheit (A) 20A enthält, die ein Paar mit der Ersatz-Basisdomäneneinheit (A) 50B bildet (JA in Schritt S109), beurteilt die Systemkonfigurationseinheit 13B, ob die Ersatz-Basisdomäneneinheit (A) 50B in Betrieb ist oder nicht (Schritt S110). Falls die Systemkonfigurationseinheit 13B beurteilt, dass die Ersatz-Basisdomäneneinheit (A) 50B in Betrieb ist (JA in Schritt S110), unternimmt die Systemkonfigurationseinheit 13B nichts. Falls die Systemkonfigurationseinheit 13B beurteilt, dass die Ersatz-Basisdomäneneinheit (A) 50B nicht in Betrieb ist (NEIN in Schritt S110), geht die Verarbeitung weiter mit Schritt S114. Schritt S114 und Schritt S115 sind optionale Prozesse und die Verarbeitung kann weitergehen von Schritt S114 bis Schritt S112.
-
Falls die Infektionsdomänenliste 16A nicht die Basisdomäneneinheit (A) 20A enthält, die auch ein Paar mit der Ersatz-Basisdomäneneinheit (A) 50B bildet (NEIN in Schritt S109), beurteilt die Systemkonfigurationseinheit 13B, ob die Ersatz-Basisdomäneneinheit (A) 50B in Betrieb ist oder nicht (Schritt S111).
-
In Schritt S112, falls die Infektionsdomänenliste 16A die Basisdomäneneinheit (A) 20A enthält, die ein Paar mit der Ersatz-Basisdomäneneinheit (A) 50B bildet, die die ECU (B) 1 besitzt (JA in Schritt S109), und falls die Ersatz-Basisdomäneneinheit (A) 50B nicht arbeitet, sondern wartet (NEIN in Schritt S110), bricht die Systemkonfigurationseinheit 13B das Warten der Ersatz-Basisdomäneneinheit (A) 50B ab und startet die Ersatz-Basisdomäneneinheit (A) 50B.
-
In Schritt S113, in einem Fall, in dem die Infektionsdomänenliste 16A nicht die Basisdomäneneinheit (A) 20A enthält, die ein Paar mit der Ersatz-Basisdomäneneinheit (A) 50B bildet, wenn die Ersatz-Basisdomäneneinheit (A) 50B arbeitet (JA in Schritt S111), versetzt die Systemkonfigurationseinheit 13B die Ersatz-Basisdomäneneinheit (A) 50B wieder in einen Wartezustand und hält die Ersatz-Basisdomäneneinheit (A) 50B an. Die Systemkonfigurationseinheit 13B versetzt die Ersatz-Basisdomäneneinheit (A) 50B wieder in den Wartezustand, da die Ersatz-Basisdomäneneinheit (A) 50B nicht in der Infektionsdomänenliste 16A aufgeführt ist.
-
Vor Aufhebung des Wartezustands der Ersatz-Basisdomäneneinheit (A) 50B und Betreiben der Ersatz-Basisdomäneneinheit (A) 50B in Schritt S112 kann die Systemkonfigurationseinheit 13B beurteilen, ob Ressourcen zum Betreiben der Ersatz-Basisdomäneneinheit (A) 50B ausreichend sind oder nicht (Schritt S114), indem sie sich auf eine Ressourcenlast wie eine Auslastung der CPU 2B und eine Speichernutzung bezieht. Falls die Ressourcen ausreichen, fährt die Systemkonfigurationseinheit 13B mit der Verarbeitung in Schritt S112 fort; falls die Ressourcen nicht ausreichen, fährt die Systemkonfigurationseinheit 13B mit der Verarbeitung in Schritt S115 fort.
-
In Schritt S115 kann die Systemkonfigurationseinheit 13B eine erweiterte Domäneneinheit (B) 30B anhalten. Wenn die erweiterte Domäneneinheit (B) 30B in Schritt S115 angehalten wird, nachdem die Ersatz-Basisdomäneneinheit (A) 50B in Schritt S113 in den Wartezustand versetzt ist, kann die Systemkonfigurationseinheit 13B in Schritt S118 die erweiterte Domäneneinheit (B) 30B neu starten, die in Schritt S115 angehalten wurde.
-
In der ECU (A) 1 und der ECU (B) 1 wird eine Verbindungseinstellung des virtuellen Netzwerks in Übereinstimmung mit der Post-Ersetzung-Domänenkonfiguration der Basisdomäneneinheit geändert. In Bezug auf die ECU (A) 1 ändert die Systemkonfigurationseinheit 13A in Schritt S116 eine Verbindungseinstellung des virtuellen Netzwerks 91. In der ECU (B) 1 ändert die Systemkonfigurationseinheit 13B in Schritt S117 eine Verbindungseinstellung des virtuellen Netzwerks 91.
-
Die Betriebe des fahrzeuginternen Systems 100 werden in einem Fall, in dem der aufgetretene Cyberangriff aufgehört hat, unter Bezugnahme auf 4 beschrieben.
-
Falls die Angriffserfassungseinheit 11A in Schritt S102 ein Vorhandensein/Nichtvorhandensein eines Cyberangriffs beurteilt und falls das Beurteilungsergebnis angibt, dass kein Cyberangriff vorliegt (NEIN in Schritt S102), bezieht sich die Angriffserfassungseinheit 11A auf die beim letzten Mal durchgeführte Beurteilung des Vorhandenseins/Nichtvorhandenseins eines Cyberangriffs (Schritt S119). Falls das Ergebnis des letzten Mals ein Vorhandensein eines Cyberangriffs angibt (JA in Schritt S114), beurteilt die Angriffserfassungseinheit 11A aus einem oder einer Vielzahl von Erfassungsergebnissen, die dem letzten Mal vorausgehen, ob ein Cyberangriff regelmäßig auftritt oder nicht (Schritt S120). Ob die Frequenz hoch ist oder nicht, kann durch Vergleich mit einem voreingestellten Frequenzschwellenwert bestimmt werden. Falls eine Anzahl von Erfassungszeiten größer als der Schwellenwert ist, bestimmt die Angriffserfassungseinheit 11A, dass die Frequenz hoch ist. Falls die Anzahl von Erfassungszeiten gleich wie oder kleiner als der Schwellenwert ist, bestimmt die Angriffserfassungseinheit 11A, dass die Frequenz niedrig ist.
-
Falls die Frequenz eines Cyberangriffs hoch ist, geht die Verarbeitung zurück zu Schritt S101 (JA in Schritt S120).
-
Wenn eine Abnormalität der erweiterten Domäneneinheit (A) 30A aufgelöst wird, startet die Verwaltungsdomäneneinheit (A) 10A die erweiterte Domäneneinheit (A) 30A neu. Wenn eine Abnormalität der Basisdomäneneinheit (A) aufgelöst wird, startet die Verwaltungsdomäneneinheit (A) 10A die Basisdomäneneinheit (A) 20A neu. Falls die Frequenz von Cyberangriffen niedrig ist, weist die Angriffserfassungseinheit 11A in Schritt S121 die Systemkonfigurationseinheit 13A an, neu zu starten.
-
In Schritt S122 startet die Systemkonfigurationseinheit 13A, die die Neustartanweisung empfangen hat, eine angehaltene Domäneneinheit neu (Schritt S122). Eine angehaltene Domäneneinheit ist die erweiterte Domäneneinheit (A) 30A, die mit dem Außenbordnetzwerk 88 verbunden werden soll, oder die Basisdomäneneinheit (A) 20A, die mit der erweiterten Domäneneinheit (A) 30A verbunden werden soll. Alternativ kann die Systemkonfigurationseinheit 13A die Basisdomäneneinheit (A) 20A oder die erweiterte Domäneneinheit (A) 30A durch Zurücksetzen der ECU (A) 1 neu starten. Außerdem kann die Systemkonfigurationseinheit 13A beim Neustart der Basisdomäneneinheit (A) 20A den folgenden Prozess durchführen, um zu verhindern, dass die Basisdomäneneinheit (A) 20A im fahrzeuginternen System 100 gleichzeitig mit der Ersatz-Basisdomäneneinheit (A) 50B der ECU (B) 1 arbeitet. Das heißt, die Systemkonfigurationseinheit 13A wartet auf einen Neustart der Basisdomäneneinheit, bis die Ersatz-Basisdomäneneinheit (A) 50B anhält. Durch Kommunikation mit der Systemkonfigurationseinheit 13B über das virtuelle Netzwerk 95 kann der Systemkonfigurationseinheit 13A mitgeteilt werden, ob die Ersatz-Basisdomäneneinheit (A) 50B angehalten oder in Betrieb ist.
-
In Schritt S108 benachrichtigt die Systemkonfigurationseinheit 13A die Systemkonfigurationseinheiten 15 aller anderen ECUs über die Infektionsdomänenliste 16A, in der die Basisdomäneneinheit (A) 20A und die erweiterte Domäneneinheit (A) 30A als nicht infiziert eingestellt sind. Diese Mitteilung wird per Datenkommunikation über das virtuelle Netzwerk 95 übertragen. Die Systemkonfigurationseinheit 13A ändert eine Verbindungseinstellung des virtuellen Netzwerks in Übereinstimmung mit einer Domänenkonfiguration nach Neustart (Schritt S116). In ähnlicher Weise ändert die Systemkonfigurationseinheit 13B in der ECU (B) 1, die die als nicht infiziert eingestellte Infektionsdomänenliste 16A empfangen hat, eine Verbindungseinstellung des virtuellen Netzwerks in Übereinstimmung mit der Domänenkonfiguration nach Neustart (Schritt S117).
-
*** Wirkung der Ausführungsform 1 ***
-
- (1) Die Systemkonfigurationseinheit hält eine erweiterte Domäneneinheit, die durch den Cyberangriff infiziert ist, an (Schritt S107). So kann eine Infektionskette von einer erweiterten Domäne zu einer Basisdomäneneinheit verhindert werden. Folglich können die Betriebe der Basisdomäneneinheit fortgesetzt werden.
- (2) Wenn der Cyberangriff stoppt, startet die Systemkonfigurationseinheit die erweiterte Domäneneinheit neu (Schritt S122). Folglich kann die ECU die Betriebe der erweiterten Domäneneinheit fortsetzen.
- (3) Falls eine Infektion die Basisdomäneneinheit erreicht, hält die Systemkonfigurationseinheit die Basisdomäneneinheit an (Schritt S107) und die Systemkonfiguration überträgt auch die Infektionsdomänenliste 16A, so dass die Funktion der infizierten Basisdomäneneinheit durch die Ersatz-Basisdomäneneinheit ersetzt wird.
-
Folglich können die Betriebe der Basisdomäneneinheit fortgesetzt werden.
-
(4) Wenn der Cyberangriff in der ECU (A) 1 stoppt, wird die Basisdomäneneinheit neu gestartet (Schritt S122). Folglich kann die Systemkonfiguration vor Empfangen des Cyberangriffs wiederhergestellt werden, und die Betriebe können fortgesetzt werden.
-
(5) Verwaltungsdomäneneinheiten sind miteinander nur über das unabhängige virtuelle Netzwerk 95 verbunden. Als Folge kann die ECU eine von dem Außenbordnetzwerk 88 eindringende Infektion verhindern. So kann verhindert werden, dass vier Funktionen, nämlich die Angriffserfassungseinheit, die Infektionsbereichsidentifikationseinheit, die Systemkonfigurationseinheit und die Konfigurationsspeichereinheit, die einen Mechanismus realisieren, der die Funktion gegen einen Cyberangriff oder einen Ausfall ersetzt, einen fehlerhaften Betrieb aufgrund des Cyberangriffs verursachen.
-
(6) Tritt ein Fehler in der ECU auf, benachrichtigt die Hypervisoreinheit die Systemkonfigurationseinheit über den Fehler.
-
Die Systemkonfigurationseinheit führt eine Verarbeitung auf dieselbe Weise durch wie in einem Fall, in dem alle Basisdomäneneinheiten und alle erweiterten Domäneneinheiten auf der ECU durch einen Cyberangriff infiziert sind. Folglich kann die Basisdomäneneinheit durch eine andere ECU ersetzt werden, selbst wenn ein Fehler in der ECU auftritt. Somit können die Betriebe der Basisdomäneneinheit fortgesetzt werden, selbst wenn ein Fehler auftritt.
-
(7) Die Verwaltungsdomäneneinheit (A) 10A führt eine Fortbestandsbestätigung durch, des Bestätigens, ob ein Fehler in der Verwaltungsdomäneneinheit (A) 10A und einer separaten Verwaltungsdomäneneinheit aufgetreten ist oder nicht. Da die Systemkonfigurationseinheiten voneinander Fortbestandsbestätigung durchführen, wird eine ECU, deren Fortbestand nicht bestätigt werden kann, als Ursache eines Fehlers angesehen, und es kann derselbe Effekt erzielt werden wie in einem Fall, in dem eine ECU einen Fehler verursacht hat.
-
(8) In dem herkömmlichen fahrzeuginternen System werden einige oder alle der Funktionen der ECU im Vorhinein auf eine andere ECU übertragen, um auf einen Fehler vorzubereiten. Wenn ein Fehler auftritt, betreibt eine andere ECU eine übertragene Funktion. Falls also ein Fehler in der ECU auftritt, wird die Funktion nicht angehalten. Dieses herkömmliche Schema ist effektiv gegen einen Fehler.
-
Bei dem herkömmlichen Schema wird jedoch, wie bei einem Cyberangriff, die auf eine andere ECU übertragene Funktion erneut infiziert, solange der Cyberangriff andauert. Auch falls eine Funktion selbst, die den funktionsübertragenden Mechanismus realisiert, aufgrund eines Cyberangriffs einen fehlerhaften Betrieb verursacht, kann die Funktion nicht übertragen werden.
-
Da die ECU von Ausführungsform 1 im Gegensatz dazu mit einer Verwaltungsdomäneneinheit vorgesehen ist, kann das Problem des herkömmlichen fahrzeuginternen Systems gelöst werden, wie in den Punkten (1) bis (5) in der Wirkung von Ausführungsform 1 beschrieben.
-
Ausführungsform 2.
-
Ein fahrzeuginternes System 100 von Ausführungsform 2 wird unter Bezugnahme auf 8 bis 10 beschrieben. In Ausführungsform 1 arbeitet die Systemkonfigurationseinheit für eine infizierte Domäneneinheit, die ein Ziel ist. In Ausführungsform 2 werden, wenn eine Systemkonfiguration aufgrund einer Infektion oder eines Fehlers geändert wird, die Betriebe der Basisdomäneneinheit und der erweiterten Domäneneinheit entsprechend der neuen Systemkonfiguration geändert. Betriebe werden in den später zu beschreibenden Schritten S201 und S202 geändert, wenn die Verwaltungsdomäneneinheit eine Betriebsänderungsmitteilung an die Hypervisoreinheit sendet, die eine Betriebsänderung entweder der einen oder der anderen der erweiterten Domäneneinheit oder der Basisdomäneneinheit anweist. Die Hypervisoreinheit veranlasst zumindest entweder eine oder die andere der erweiterten Domäneneinheit und der Basisdomäneneinheit, einen Betrieb in Übereinstimmung mit der Betriebsänderungsmitteilung zu ändern. Eine später zu beschreibende Systemänderungsmitteilung ist eine Betriebsänderungsmitteilung.
-
Eine Systemkonfigurationsänderung umfasst einen Betriebsstart oder einen Betriebshalt der Basisdomäneneinheit, einen Betriebsstart oder einen Betriebshalt einer erweiterten Domäneneinheit (A) 30A und einen Betriebsstart oder einen Betriebshalt einer Ersatz-Basisdomäneneinheit. Das heißt, dass die Systemkonfigurationsänderung ein Betriebsstart oder ein Betriebshalt von zumindest entweder einer der Basisdomäneneinheit, der erweiterten Domäneneinheit und der Ersatz-Basisdomäneneinheit ist.
-
Ein Hardware-Konfigurationsdiagramm des fahrzeuginternen Systems 100 von Ausführungsform 2 ist das gleiche wie das von 1.
-
8 veranschaulicht ein Software-Konfigurationsdiagramm einer ECU (A) 1 aus einer Softwarekonfiguration des fahrzeuginternen Systems 100 von Ausführungsform 2. In der ECU (A) 1 ist eine Hypervisoreinheit 40A mit einer Konfigurationsänderungsbenachrichtigungseinheit 41A vorgesehen, eine Basisdomäneneinheit (A) 20A ist mit einer Konfigurationsänderungsempfangseinheit 24A vorgesehen und die erweiterte Domäneneinheit (A) 30A ist mit einer Konfigurationsänderungsempfangseinheit 34B vorgesehen. Die ECU (A) 1 von 8 ist mit einer ECU (B) 1, ähnlich der in 3, verbunden. Da ECU (B) 1, mit der die ECU (A) 1 verbunden ist, die gleiche Konfiguration wie die von 3 aufweist, entfällt die Veranschaulichung derselben. Es ist zu beachten, dass die ECU (B) 1, deren Veranschaulichung entfällt, mit einer Konfigurationsänderungsbenachrichtigungseinheit 41B, einer Konfigurationsänderungsempfangseinheit 24B und einer Konfigurationsänderungsempfangseinheit 34B vorgesehen ist, genau wie es die ECU (A) 1 von Ausführungsform 2 ist. Eine ECU (C) 1 und eine ECU (D) 1 sind jeweils mit einer Konfigurationsänderungsbenachrichtigungseinheit, einer Konfigurationsänderungsempfangseinheit und einer Konfigurationsänderungsempfangseinheit vorgesehen, genau wie es die ECU (B) 1 ist.
-
9 ist ein Flussdiagramm von Betrieben der ECU (A) 1 in Ausführungsform 2. Das Flussdiagramm von 9 wird durch Hinzufügen von Schritt S201, Schritt S203 und Schritt S205 zu dem Flussdiagramm von 4 gebildet. In 9 sind dem Schritt S116 vorausgehende Schritte nicht dargestellt. Schritt S201 beschreibt Betriebe einer Systemkonfigurationseinheit 13A; Schritt S203 beschreibt Betriebe der Konfigurationsänderungsbenachrichtigungseinheit 41A; und Schritt S205 beschreibt Betriebe der Konfigurationsänderungsempfangseinheiten 24A und 34A.
-
10 ist ein Flussdiagramm von Betrieben der ECU (B) 1 in Ausführungsform 2. Das Flussdiagramm von 10 wird durch Hinzufügen von Schritt S202, Schritt S204 und Schritt S206 zu dem Flussdiagramm von 5 gebildet. In 9 sind dem Schritt S117 vorausgehende Schritte nicht dargestellt. Schritt S202 beschreibt Betriebe einer Systemkonfigurationseinheit 13B; Schritt S204 beschreibt Betriebe der Konfigurationsänderungsbenachrichtigungseinheit 41B; und Schritt S206 beschreibt Betriebe der Konfigurationsänderungsempfangseinheiten 24B und 34B.
-
In Schritt S203 und Schritt S205 von 9 empfängt die Konfigurationsänderungsbenachrichtigungseinheit 41A die Systemänderungsmitteilung von der Systemkonfigurationseinheit 13A und gibt eine Konfigurationsänderungsanweisung an die Basisdomäneneinheit (A) 20A und die erweiterte Domäneneinheit (A) 30A auf der Grundlage der Systemänderungsmitteilung, so dass eine Systemänderung durchgeführt wird. Die Konfigurationsänderungsempfangseinheit 24A der Basisdomäneneinheit (A) 20A und die Konfigurationsänderungsempfangseinheit 34A der erweiterten Domäneneinheit (A) 30A empfangen die Konfigurationsänderungsanweisung von der Konfigurationsänderungsbenachrichtigungseinheit 41A und benachrichtigen entsprechende Apps über Inhalte der Konfigurationsänderungsanweisung.
-
In Schritt S204 und Schritt S206 von 10 empfängt die Konfigurationsänderungsbenachrichtigungseinheit 41B eine Systemänderungsmitteilung von der Systemkonfigurationseinheit 13B und gibt eine Konfigurationsänderungsanweisung an eine Basisdomäneneinheit (A) 20B und eine erweiterte Domäneneinheit (A) 30B auf der Grundlage der Systemänderungsmitteilung, so dass eine Systemänderung durchgeführt wird. Die Konfigurationsänderungsempfangseinheit 24B der Basisdomäneneinheit (A) 20B und die Konfigurationsänderungsempfangseinheit 34B der erweiterten Domäneneinheit (A) 30B empfangen die Konfigurationsänderungsanweisung von der Konfigurationsänderungsbenachrichtigungseinheit 41B und benachrichtigen entsprechende Apps über Inhalte der Konfigurationsänderungsanweisung.
-
Betriebe des fahrzeuginternen Systems 100 von Ausführungsform 2 werden unter Bezugnahme auf 9 bis 10 beschrieben.
-
Als erstes werden Betriebe eines Falles beschrieben, in dem ein Cyberangriff aufgetreten ist. Betriebe von Schritt S101 bis Schritt S118 sind gleich wie die in Ausführungsform 1. Nach Schritt S116 und Schritt S117 sendet die Systemkonfigurationseinheit jeder ECU eine Systemänderungsmitteilung, dass die Systemkonfiguration geändert wurde, über ein entsprechendes OS oder einen Gerätetreiber an die Konfigurationsänderungsbenachrichtigungseinheit der Hypervisoreinheit, wobei ein Mittel wie ein Hypervisor-Aufruf verwendet wird (Schritt S201, Schritt S202). Die Systemänderungsmitteilung, dass die Systemkonfiguration geändert wurde, ist z.B. eine Information, dass die erweiterte Domäneneinheit (A) 30A der ECU (A) angehalten wurde, was unter Verwendung der Infektionsdomänenliste 16A mitgeteilt wird.
-
Bei Empfang der Systemänderungsmitteilung nimmt die Konfigurationsänderungsbenachrichtigungseinheit als Ziel zum Beispiel eine App einer Domäneneinheit, die einen degenerierenden Betrieb durch Konfigurationsänderung durchführen soll, wobei die App mit einer Änderung der Systemkonfiguration in Verbindung steht, und benachrichtigt die Konfigurationsänderungsempfangseinheit über die Konfigurationsänderungsanweisung, wobei ein Mittel wie zum Beispiel eine virtuelle Unterbrechung verwendet wird (Schritt S203, Schritt S204).
-
Nach Empfang der Konfigurationsänderungsanweisung weist die Konfigurationsänderungsempfangseinheit jede App an, den Betrieb zu ändern, um z. B. einen Degenerierungsbetrieb durchzuführen (Schritt S205, Schritt S206).
-
Betriebe in einem Fall, in dem ein aufgetretener Cyberangriff aufgehört hat, werden nicht beschrieben.
-
Betriebe von Schritt S102, Schritt S119 bis Schritt S122, Schritt S108, Schritt S116, Schritt S109 bis Schritt S115, Schritt S117 und Schritt S118 sind die gleichen wie die von Ausführungsform 1.
-
Nach Schritt S116 und Schritt S117 sendet die Systemkonfigurationseinheit jeder ECU eine Systemänderungsmitteilung, dass die Systemkonfiguration geändert wurde, über ein entsprechendes OS oder den Gerätetreiber an die Konfigurationsänderungsbenachrichtigungseinheit der Hypervisoreinheit, wobei ein Mittel wie ein Hypervisor-Aufruf verwendet wird (Schritt S201, Schritt S202). Die Systemänderungsmitteilung, dass die Systemkonfiguration geändert wurde, ist z.B. eine Information, dass die erweiterte Domäneneinheit (A) 30A der ECU (A) angefangen hat zu arbeiten, was unter Verwendung der Infektionsdomänenliste 16A mitgeteilt wird.
-
Die Konfigurationsänderungsbenachrichtigungseinheit nimmt als Ziel zum Beispiel eine App einer Domäneneinheit, die einen normalen Betrieb durch Konfigurationsänderung durchführen sollte, wobei die App mit der Änderung der Systemkonfiguration in Verbindung steht, und benachrichtigt die Konfigurationsänderungsempfangseinheit über die Konfigurationsänderungsanweisung, wobei ein Mittel wie zum Beispiel eine virtuelle Unterbrechung verwendet wird (Schritt S203, Schritt S204).
-
Nach Empfang der Konfigurationsänderungsanweisung weist die Konfigurationsänderungsempfangseinheit jede App an, den Betrieb zu ändern, um beispielsweise einen normalen Betrieb durchzuführen (Schritt S205, Schritt S206).
-
Wenn die Bereichsidentifikation der Infektionsbereichsidentifikationseinheit pro App statt pro Domäneneinheit durchgeführt werden kann, kann auch nur das Arbeiten einer App angehalten werden, die aufgrund einer Infektion oder eines Fehlers in der Domäneneinheit nicht mehr normal funktioniert.
-
*** Wirkung der Ausführungsform 2 ***
-
Wie oben beschrieben, kann, wenn eine Änderung der Systemkonfiguration von der Systemkonfigurationseinheit mit Hilfe von Mitteln wie einem Hypervisor-Aufruf und einer virtuellen Unterbrechung mitgeteilt wird, die App der Domäneneinheit benachrichtigt werden, dass die Systemkonfiguration verändert wurde, ohne ein Netzwerk zu verwenden. Daher ist es möglich, eine Änderung des Betriebs, wie z. B. einen Degenerierungsbetrieb, durchzuführen, ohne ein Sicherheitsrisiko einzugehen.
-
Bezugszeichenliste
-
- 1
- ECU (A), ECU (B), ECU (C), ECU (D);
- 2A
- CPU;
- 3A
- ROM;
- 4A
- RAM;
- 5A
- Peripheriecontroller;
- 6A, 7A, 8A, 9A
- I/O;
- 10A
- Verwaltungsdomänenein-heit(A)
- 11A
- Angriffserfassungseinheit;
- 12A
- Infektionsbereichsidentifikati-onseinheit;
- 13A
- Systemkonfigurationseinheit;
- 14A
- Konfigurationsspeicher-einheit;
- 15A
- OS;
- 16A
- Infektionsdomänenliste;
- 20A
- Basisdomäneneinheit (A);
- 21A
- App (A1);
- 22A
- App (A2);
- 23A
- OS;
- 24A
- Konfigurationsänderungsemp-fangseinheit;
- 30A
- erweiterte Domäneneinheit (A);
- 31A
- App (A3);
- 32A
- App (A4);
- 33A
- OS;
- 34A
- Konfigurationsänderungsempfangseinheit;
- 40A
- Hypervi-soreinheit;
- 41A
- Konfigurationsänderungsbenachrichtigungseinheit;
- 10B
- Ver-waltungsdomäneneinheit (B);
- 11B
- Angriffserfassungseinheit;
- 12B
- Infektions-bereichsidentifikationseinheit;
- 13B
- Systemkonfigurationseinheit;
- 14B
- Konfi-gurationsspeichereinheit;
- 15B
- OS;
- 20B
- Basisdomäneneinheit (B);
- 21B
- App (B1);
- 22B
- App (B2);
- 23B
- OS;
- 30B
- erweiterte Domäneneinheit (B);
- 31B
- App (B3);
- 32B
- App (B4);
- 33B
- OS;
- 40B
- Hypervisoreinheit;
- 50B
- Ersatz-Basisdomä-neneinheit (A);
- 61
- Sensor;
- 71
- Aktuator;
- 81
- Innenbordnetzwerk;
- 88
- Außen-bordnetzwerk;
- 91, 95
- virtuelles Netzwerk;
- 100
- fahrzeuginternes System;
- 140
- Domänenkonfigurationsinformationen.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-