DE112019007432T5 - Elektronische steuereinheit und programm - Google Patents

Elektronische steuereinheit und programm Download PDF

Info

Publication number
DE112019007432T5
DE112019007432T5 DE112019007432.6T DE112019007432T DE112019007432T5 DE 112019007432 T5 DE112019007432 T5 DE 112019007432T5 DE 112019007432 T DE112019007432 T DE 112019007432T DE 112019007432 T5 DE112019007432 T5 DE 112019007432T5
Authority
DE
Germany
Prior art keywords
unit
domain
entity
basic
extended
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE112019007432.6T
Other languages
English (en)
Other versions
DE112019007432B4 (de
Inventor
Yoshiaki Katayama
Yuya Takatsuka
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of DE112019007432T5 publication Critical patent/DE112019007432T5/de
Application granted granted Critical
Publication of DE112019007432B4 publication Critical patent/DE112019007432B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0225Failure correction strategy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0283Predictive maintenance, e.g. involving the monitoring of a system and, based on the monitoring results, taking decisions on the maintenance schedule of the monitored system; Estimating remaining useful life [RUL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2223/00Indexing scheme associated with group G05B23/00
    • G05B2223/06Remote monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Computer Hardware Design (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Quality & Reliability (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Hardware Redundancy (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Eine Verwaltungsdomäneneinheit ist über ein unabhängiges virtuelles Netzwerk (95) unter Verwendung einer Hypervisoreinheit mit einer separaten Verwaltungsdomäneneinheit (B) (10B) einer separaten elektronischen Steuereinheit ECU (B) (1), die die separate Verwaltungsdomäneneinheit (B) (10B) aufweist, und einer separaten Basisdomäneneinheit (A) (50B), die eine Basisdomäneneinheit ersetzt, verbunden. Wenn eine Abnormalität der Basisdomäneneinheit erfasst wird, hält die Verwaltungsdomäneneinheit einen Betrieb der Basisdomäneneinheit an und veranlasst die separate Verwaltungsdomäneneinheit (B) (10B), die von der separaten elektronischen Steuereinheit ECU (B) (1) besessen wird, einen Betrieb der separaten Basisdomäneneinheit (A) (50B) zu starten.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung bezieht sich auf eine Elektronische Steuereinheit, die in einem Fahrzeug installiert ist. Die vorliegende Erfindung bezieht sich auf eine Zuverlässigkeit eines fahrzeuginternen Systems, mit dem eine Vielzahl von elektronischen Steuereinheiten (ECUs - electronic control units) über ein Netzwerk verbunden sind. Im Folgenden wird die elektronische Steuereinheit als ECU ausgedrückt.
  • Hintergrund zum Stand der Technik
  • In einem herkömmlichen fahrzeuginternen System wird zur Vorbereitung gegen einen Fehler einer ECU eine Funktion der ECU auf eine andere ECU übertragen, auf der Grundlage der Fehlerwahrscheinlichkeit der ECU. Folglich kann selbst bei einem Fehler der ECU eine Unannehmlichkeit eines Funktionsstopps vermieden werden, da eine andere ECU die bereits übertragene Funktion ausführt (z. B. Patentliteratur 1).
  • Liste zitierter Schriften
  • Patentliteratur
  • Patentliteratur 1: JP 2018-99972 A
  • Kurzfassung der Erfindung
  • Technisches Problem
  • In dem herkömmlichen fahrzeuginternen System wird jedoch die Funktion der ECU auf eine andere ECU übertragen, auf der Grundlage der Fehlerwahrscheinlichkeit der ECU.
  • Falls also ein Fehler in einer ECU auftritt, die eine geringe Fehlerwahrscheinlichkeit aufweist und als fehlerfrei eingestuft wurde, ist es möglich, dass eine Funktion der ECU, in der der Fehler aufgetreten ist, nicht auf eine andere ECU übertragen werden kann. Außerdem, selbst wenn die Funktion übertragen werden kann, ist der Aufwand einer Kommunikationsverarbeitung zur Übertragung der Funktion der ECU, in der der Fehler aufgetreten ist, auf eine andere ECU groß.
  • Ein Ziel der vorliegenden Erfindung ist es, ein fahrzeuginternes System bereitzustellen, das die reibungslose Fortsetzung einer für das fahrzeuginterne System wesentlichen Funktion ermöglicht, wenn eine Anomalie, wie z. B. ein Fehler, tatsächlich auftritt.
  • Lösung des Problems
  • Eine elektronische Steuereinheit der vorliegenden Erfindung, die in einen Fahrzeug installiert werden soll, umfasst:
    • eine erweiterte Domäneneinheit, die unter einem ersten Betriebssystem arbeitet, mit einem Außenbordnetzwerk verbunden ist und bei Auftreten einer Abnormalität angehalten werden kann;
    • eine Basisdomäneneinheit, die unter einem zweiten Betriebssystem arbeitet,
    • mit der erweiterten Domäneneinheit verbunden ist und bei Auftreten einer Abnormalität den Betrieb fortsetzen muss;
    • eine Verwaltungsdomäneneinheit, die unter einem dritten Betriebssystem arbeitet und den Betrieb der erweiterten Domäneneinheit anhält, wenn die Abnormalität der erweiterten Domäneneinheit erfasst wird; und
    • eine Hypervisoreinheit, die das erste Betriebssystem, das zweite Betriebssystem und das dritte Betriebssystem veranlasst zu arbeiten,
    • wobei die Verwaltungsdomäneneinheit über ein unabhängiges virtuelles Netzwerk unter Verwendung der Hypervisoreinheit mit einer separaten Verwaltungsdomäneneinheit einer separaten elektronischen Steuereinheit, die die separate Verwaltungsdomäneneinheit aufweist, und einer separaten Basisdomäneneinheit, die die Basisdomäneneinheit ersetzt, verbunden ist; und wenn eine Abnormalität der Basisdomäneneinheit erfasst wird, die Verwaltungsdomäneneinheit einen Betrieb der Basisdomäneneinheit anhält und die separate Verwaltungsdomäneneinheit, die von der separaten elektronischen Steuereinheit besessen wird, veranlasst, einen Betrieb der separaten Basisdomäneneinheit zu starten.
  • Vorteilhafte Effekte der Erfindung
  • Eine elektronische Steuereinheit der vorliegenden Erfindung ist mit einer Verwaltungsdomäneneinheit vorgesehen. Daher kann gemäß der elektronischen Steuereinheit der vorliegenden Erfindung bei tatsächlichem Auftreten einer Abnormalität, wie z. B. eines Fehlers, eine für ein fahrzeuginternes System wesentliche Funktion reibungslos fortgesetzt werden.
  • Figurenliste
    • 1 ist eine Zeichnung von Ausführungsform 1, die ein Hardware-Konfigurationsdiagramm eines fahrzeuginternen Systems 100 ist.
    • 2 ist eine Zeichnung von Ausführungsform 1, die ein Software-Konfigurationsdiagramm des fahrzeuginternen Systems 100 ist.
    • 3 ist eine Zeichnung von Ausführungsform 1, die ein Software-Konfigurationsdiagramm des fahrzeuginternen Systems 100 ist.
    • 4 ist eine Zeichnung von Ausführungsform 1, die ein Flussdiagramm ist, das Betriebe des fahrzeuginternen Systems 100 veranschaulicht.
    • 5 ist eine Zeichnung von Ausführungsform 1, die ein Flussdiagramm ist, das Betriebe des fahrzeuginternen Systems 100 veranschaulicht.
    • 6 ist eine Zeichnung von Ausführungsform 1, die eine Infektionsdomänenliste 16A veranschaulicht.
    • 7 ist eine Zeichnung von Ausführungsform 1, die Domänenkonfigurationsinformationen 140 veranschaulicht.
    • 8 ist eine Zeichnung von Ausführungsform 2, die ein Software-Konfigurationsdiagramm einer ECU (A) 1 ist.
    • 9 ist eine Zeichnung von Ausführungsform 2, die ein Flussdiagramm ist, das Betriebe eines fahrzeuginternen Systems 100 veranschaulicht.
    • 10 ist eine Zeichnung von Ausführungsform 2, die ein Flussdiagramm ist, das Betriebe des fahrzeuginternen Systems 100 veranschaulicht.
  • Beschreibung der Ausführungsformen
  • Ausführungsformen der vorliegenden Erfindung werden nachfolgend unter Bezugnahme auf die Zeichnungen beschrieben. In den Zeichnungen werden gleiche oder äquivalente Teile mit den gleichen Bezugszeichen bezeichnet. In der Beschreibung der Ausführungsformen werden gleiche oder gleichwertigen Abschnitte nicht beschrieben oder bei Bedarf nur kurz beschrieben. In der folgenden Beschreibung wird eine Anwendung (engl.: Application) mit App ausgedrückt.
    1. (1) In der folgenden Beschreibung wird ein Betriebssystem (engl.: operation system) mit OS ausgedrückt.
    2. (2) In der folgenden Beschreibung wird eine Eingabe-/Ausgabe (engl.: Input/Output) -Einrichtung mit I/O ausgedrückt.
    3. (3) In der folgenden Beschreibung wird beschrieben, wie ein fahrzeuginternes System 100 eine durch einen Cyberangriff oder einen Fehler verursachte Infektion behandelt, die eine Abnormalität darstellt. In der folgenden Beschreibung bedeutet eine Abnormalität eine durch einen Cyberangriff in einer ECU oder einen Fehler in einer ECU verursachte Infektion. Eine Abnormalität kann jedoch auch eine andere Abnormalität bedeuten.
  • Ausführungsform 1.
  • *** Beschreibung von Konfigurationen ***
  • Ein fahrzeuginternes System 100 gemäß Ausführungsform 1 wird unter Bezugnahme auf 1 bis 8 beschrieben.
  • 1 ist ein Hardware-Konfigurationsdiagramm des fahrzeuginternen Systems 100. Das fahrzeuginterne System 100 ist mit einer Vielzahl von ECUs vorgesehen. Die Vielzahl von ECUs sind in einem Fahrzeug installiert. Die ECUs sind über ein Innenbordnetzwerk 81 miteinander verbunden. 1 veranschaulicht eine Konfiguration, bei der das fahrzeuginterne System 100 mit vier ECUs vorgesehen ist. Die im fahrzeuginternen System 100 vorgesehene Vielzahl von ECUs kann zwei, drei oder fünf oder mehr ECUs umfassen. Im Folgenden werden zur Unterscheidung vier ECUs als eine ECU (A) 1, eine ECU (B) 1, eine ECU (C) 1 und eine ECU (D) 1 ausgedrückt. Jede ECU ist über ein Außenbordnetzwerk 88 mit einem externen System verbunden.
  • Die ECU (A) 1, die ECU (B) 1, die ECU (C) 1 und die ECU (D) 1 weisen die gleiche Hardware-Konfiguration auf. Eine Beschreibung der ECU (A) 1 trifft somit auch auf die ECU (B) 1, die ECU (C) 1 und die ECU (D) 1 zu. 1 veranschaulicht eine Hardware-Konfiguration der ECU (A) 1. Eine Hardware-Konfiguration einer ECU wird unter Bezugnahme auf die ECU (A) 1 erläutert. Die ECU (A) 1 ist mit mindestens einer Zentralverarbeitungseinheit (CPU) 2A, einem Nur-Lese-Speicher (ROM) 3A, einem Direktzugriffsspeicher (RAM) 4A, einem Peripheriecontroller 5A und Eingabe-/Ausgabeeinrichtungen (I/O) 6A, 7A, 8A und 9A ausgestattet. Die CPU 2A, der ROM 3A, der RAM 4A, der Peripheriecontroller 5A, die I/O 6A, die I/O 7A, die I/O 8A und die I/O 9A sind über einen Bus miteinander verbunden.
  • Bei dem ROM 3A handelt es sich um einen nichtflüchtigen Speicher wie ein elektrisch löschbares programmierbares ROM (EEPROM) und einen Flash-Speicher. Ein Anwendungsprogramm, das eine von der ECU 1 bereitgestellte Funktion implementiert, ein OS-Programm und Daten werden im ROM 3A aufgezeichnet.
  • Der RAM 4A ist ein flüchtiger Speicher und speichert ein Programm und Daten, die für eine CPU 2 notwendig sind, um Verarbeitung durchzuführen.
  • Der Peripheriecontroller 5A ist eine Einrichtung wie z. B. ein Interrupt-Controller, ein Timer-Controller und ein Direct Memory Access (DMA)-Controller.
  • Bei den I/Os 6A, 7A, 8A und 9A handelt es sich jeweils um eine Schaltung, wie z. B. eine General-Purpose-I/O (GPIO), eine A/D-Wandlerschaltung, eine D/A-Wandlerschaltung, eine Motorantriebsschaltung und eine Kommunikationsschnittstellenschaltung. Die I/O 6A ist mit einem Sensor 61 verbunden. Die I/O 7A ist mit einem Aktuator 71 verbunden. Die I/O 8A ist mit einer I/O 8B der ECU (B) 1, einer I/O 8C der ECU (C) 1 und einer I/O 8D der ECU (D) 1 verbunden. Die I/O 9A ist mit dem Außenbordnetzwerk 88 verbunden.
  • Die CPU 2A liest Programme, die im ROM 3A und RAM 4A gespeichert sind, und wiederholt eine Berechnungsverarbeitung auf der Grundlage eines vom Sensor 61 gelesenen Wertes und eine Verarbeitung wie eine Steuerung des Aktuators 71. Der Sensor 61 ist beispielsweise ein Wassertemperatursensor oder ein Drosselöffnungssensor. Der Aktuator 71 ist beispielsweise ein Injektor und ein Zünder.
  • Das Innenbordnetzwerk 81 ist ein Netzwerk wie ein Controller Area Network (CAN), ein Local Interconnect Network (LIN) und ein FlexRay.
  • Das Außenbordnetzwerk 88 ist über Mobilfunk wie Wi-Fi, Long Term Evolution (LTE) und 5G mit dem Internet verbunden.
  • 2 und 3 veranschaulichen eine Software-Konfiguration des fahrzeuginternen Systems 100. Die ECU (A) 1 und die ECU (B) 1 sind der Einfachheit halber in den 2 und 3 durch E und F getrennt. 2 und 3 veranschaulichen eine Verwaltungsdomäneneinheit (A) 10A, die mit einer Verwaltungsdomäneneinheit (B) 10B über das Innenbordnetzwerk 81 verbunden ist, und eine Basisdomäneneinheit (A) 20A, die mit einer Basisdomäneneinheit (B) 20B über das Innenbordnetzwerk 81 verbunden ist. Das Innenbordnetzwerk 81 ist ein virtuelles Netzwerk 91, das später beschrieben wird.
  • Wie in 2 dargestellt, werden die Verwaltungsdomäneneinheit (A) 10A, die Basisdomäneneinheit (A) 20A, eine erweiterte Domäneneinheit (A) 30A und eine Hypervisoreinheit 40A von der CPU 2A implementiert. Die Verwaltungsdomäneneinheit (A) 10A, die Basisdomäneneinheit (A) 20A, die erweiterte Domäneneinheit (A) 30A und die Hypervisoreinheit 40A sind Programme. Die CPU 2A kann durch eine einzelne CPU oder durch eine Vielzahl von CPUs implementiert sein. Die einzelne CPU und die Vielzahl von CPUs werden auch als Verarbeitungsschaltung bezeichnet. Funktionen der Verwaltungsdomäneneinheit (A) 10A, Basisdomäneneinheit (A) 20A, erweiterten Domäneneinheit (A) 30A und Hypervisoreinheit 40A werden durch eine Verarbeitungsschaltung implementiert. Programme, welche die Verwaltungsdomäneneinheit (A) 10A, Basisdomäneneinheit (A) 20A, erweiterte Domäneneinheit (A) 30A und Hypervisoreinheit 40A implementieren, werden im ROM 3A und dem RAM 4A gespeichert.
  • Programme, welche die Verwaltungsdomäneneinheit (A) 10A, Basisdomäneneinheit (A) 20A, erweiterte Domäneneinheit (A) 30A und Hypervisoreinheit 40A implementieren, können als gespeichert in einem computerlesbaren Aufzeichnungsmedium bereitgestellt werden oder können als Programmprodukt bereitgestellt werden.
  • In den Programmen entspricht die Verwaltungsdomäneneinheit (A) 10A einem Verwaltungsfunktionsprozess, entspricht die Basisdomäneneinheit (A) 20A einem Basisfunktionsprozess, entspricht die erweiterte Domäneneinheit (A) 30A einem erweiterten Funktionsprozess und entspricht die Hypervisoreinheit 40A einem Hypervisorprozess.
  • Die Hypervisoreinheit 40A veranlasst ein OS 33A, das ein erstes Betriebssystem ist, ein OS 23A, das ein zweites Betriebssystem ist, und ein OS 15A, das ein drittes Betriebssystem ist, zu arbeiten. Die Hypervisoreinheit 40A betreibt einen Hypervisor. Der Hypervisor wird auch Virtual Machine Monitor genannt, was eine Software ist, die eine Vielzahl von OS veranlasst, auf der ECU (A) 1 zu arbeiten. Bei jedem der OS 15A, 23A und 33A handelt es sich um ein OS, das auf der Hypervisoreinheit 40A arbeitet und ist z. B. ein Linux-OS (eingetragene Marke).
  • Die Verwaltungsdomäneneinheit (A) 10A erfasst eine Abnormalität durch Kommunikation mit der Hypervisoreinheit 40A. Im Einzelnen funktioniert dies wie folgt. Eine Angriffserfassungseinheit 11A erfasst, ob ein Cyberangriff ausgeführt wird oder nicht bzw. ob er bereits ausgeführt wurde oder nicht (Vorhandensein oder Nichtvorhandensein eines Cyberangriffs). Eine Infektionsbereichsidentifikationseinheit 12A identifiziert einen Bereich von Software, der durch den von der Angriffserfassungseinheit 11A erfassten Cyberangriff infiziert wurde. Eine Systemkonfigurationseinheit 13A verwaltet die Verwaltungsdomäneneinheit (A) 10A, die Basisdomäneneinheit (A) 20A, die erweiterte Domäneneinheit (A) 30A und virtuelle Netzwerke 91 und 95 und rekonfiguriert ein System in Übereinstimmung mit dem identifizierten Infektionsbereich. Eine Konfigurationsspeichereinheit 14A speichert Domänenkonfigurationsinformationen 140, die Informationen über ein Vorhandensein/Nichtvorhandensein eines Ersatz-Basisdomänenabschnitts (wird später beschrieben) in einer ECU enthält. Eine App (A1) 21A und eine App (A2) 22A arbeiten auf dem OS 23A, und eine App (A3) 31A und eine App (A4) 32A arbeiten auf dem OS 33A und implementieren damit Funktionen für die ECU (A) 1.
  • Die Verwaltungsdomäneneinheit (A) 10A, die Basisdomäneneinheit (A) 20A, die erweiterte Domäneneinheit (A) 30A sind virtuelle Maschinen, die durch den Hypervisor, der die Hypervisoreinheit 40A betreibt, verwaltet werden.
  • Die Verwaltungsdomäneneinheit (A) 10A arbeitet unter dem OS 15A, welches das dritte Betriebssystem ist und hält einen Betrieb einer erweiterten Domäneneinheit (A) an, wenn eine Abnormalität der erweiterten Domäneneinheit (A) 30A erfasst wird. Die Verwaltungsdomäneneinheit (A) 10A ist mit der Angriffserfassungseinheit 11A, der Infektionsbereichsidentifikationseinheit 12A, der Systemkonfigurationseinheit 13A, der Konfigurationsspeichereinheit 14A und dem OS 15A versehen. Das OS 15A veranlasst die Angriffserfassungseinheit 11A, die Infektionsbereichsidentifikationseinheit 12A, die Systemkonfigurationseinheit 13A und die Konfigurationsspeichereinheit 14A zu arbeiten.
  • Die Basisdomäneneinheit (A) 20A arbeitet unter dem OS 23A, welches das zweite Betriebssystem ist, ist mit der erweiterten Domäneneinheit (A) 30A verbunden und muss bei Auftreten einer Abnormalität den Betrieb fortsetzen. Die Basisdomäneneinheit (A) 20A ist vorgesehen mit der App (A1) und der App (A2), die auch bei einem Cyberangriff in Betrieb bleiben müssen, aus den Apps, die die Funktion der ECU (A) 1 implementieren, und mit dem OS 23A, das die App (A1) und die App (A2) veranlasst, zu arbeiten.
  • Die erweiterte Domäneneinheit (A) 30A arbeitet unter dem OS 33A, welches das erste Betriebssystem ist, ist mit dem Außenbordnetzwerk 88 verbunden und kann bei Auftreten einer Abnormalität angehalten werden. Die erweiterte Domäneneinheit (A) 30A ist vorgesehen mit Apps, die nicht in der Basisdomäneneinheit (A) 20A enthalten sind, mit anderen Worten mit der App (A3) 31A und der App (A4) 32A, deren Funktionen bei einem Cyberangriff angehalten werden können, aus den Apps, die die Funktion der ECU (A) 1 implementieren, und mit dem OS 33A, das die App (A3) 31A und die App (A4) 32A veranlasst, zu arbeiten.
  • Das Innenbordnetzwerk 81 wird unter Verwendung einer Technik wie einem Virtual Local Area Network (VLAN) virtualisiert. Das Innenbordnetzwerk 81 ist als virtuelles Netzwerk 91, das ein logisches Netzwerk ist, nur mit einer Domäneneinheit verbunden, mit der das Innenbordnetzwerk 81 kommunizieren muss.
  • Verwaltungsdomäneneinheiten, die auf den einzelnen ECUs bestehen, sind über ein dediziertes virtuelles Netzwerk 95 verbunden.
  • Zum Beispiel ist die Verwaltungsdomäneneinheit (A) 10A über das unabhängige virtuelle Netzwerk 95 unter Verwendung der Hypervisoreinheit 40A mit einer separaten Verwaltungsdomäneneinheit (B) 10B einer separaten ECU (B) 1, die die separate Verwaltungsdomäneneinheit (B) 10B aufweist, und einer separaten Basisdomäneneinheit (A), die die Basisdomäneneinheit (A) 20A ersetzt, verbunden.
  • Das Außenbordnetzwerk 88 ist nur mit der erweiterten Domäneneinheit (A) 30A verbunden. Die auf der ECU 1 vorhandene Basisdomäneneinheit (A) 20A weist als Ersatz eine Domäneneinheit (A) auf, die die gleiche Funktion auf einer anderen ECU als der ECU (A) 1 aufweist. Diese Domäneneinheit (A) wird als Ersatz-Basisdomäneneinheit bezeichnet.
  • Im Normalbetrieb wartet die Ersatz-Basisdomäneneinheit in einem solchen Zustand, dass sie eine Basisdomäneneinheit, die dieselbe Funktion aufweist, ersetzen kann, wenn ein Betrieb der Basisdomäneneinheit angehalten wird. 3 veranschaulicht einen Fall, in dem die ECU (B) 1 eine Ersatz-Basisdomäneneinheit (A) 50B als Ersatz-Basisdomäneneinheit aufweist, die die gleiche Funktion wie die der Basisdomäneneinheit (A) 20A der ECU (A) 1 aufweist. Es genügt, wenn mindestens eine ECU unter allen ECUs außer der ECU (A) 1 eine Ersatz-Basisdomäneneinheit aufweist, die die gleiche Funktion wie die der Basisdomäneneinheit (A) 20A aufweist.
  • *** Beschreibung von Funktionsabläufen ***
  • 4 und 5 sind Flussdiagramme, die Betriebe des fahrzeuginternen Systems 100 veranschaulichen. Die Betriebe des fahrzeuginternen Systems 100 werden nun unter Bezugnahme auf die 4 und 5 beschrieben.
  • Als erstes werden Betriebe eines Falles beschrieben, in dem ein Cyberangriff auftritt. In der folgenden Beschreibung der Betriebe entspricht ein Betriebsablauf der ECU (A) 1 einem Steuerungsverfahren. Ein Programm, das Betriebe der ECU (A) 1 implementiert, entspricht einem Steuerungsprogramm.
  • In Schritt S101 wird die Angriffserfassungseinheit 11A durch ein periodisches Ereignis oder ein nicht-periodisches Ereignis vom OS 15A gestartet und erfasst das Vorhandensein/Nichtvorhandensein eines Cyberangriffs. Das periodische Ereignis ist beispielsweise eine durch einen Timer-Controller erzeugte Unterbrechung. Bei dem nicht-periodischen Ereignis handelt es sich z. B. um Datenübertragung/Datenempfang zwischen dem Außenbordnetzwerk 88 und der erweiterten Domäneneinheit (A) 30A, zwischen dem Außenbordnetzwerk 88 und der Basisdomäneneinheit (A) 20A oder zwischen der Basisdomäneneinheit (A) 20A und der erweiterten Domäneneinheit (A) 30A. Falls in der Basisdomäneneinheit (A) 20A oder in der erweiterten Domäneneinheit (A) 30A „notwendige Daten“ zum Erfassen, ob ein Cyberangriff vorliegt oder nicht, vorhanden sind, führt die Angriffserfassungseinheit 11A den folgenden Prozess durch. Die Angriffserfassungseinheit 11A bezieht sich auf die „notwendigen Daten“ durch Datenkommunikation mit der Basisdomäneneinheit (A) 20A oder der erweiterten Domäneneinheit (A) 30A über die Hypervisoreinheit 40A oder durch Bezugnahme auf einen gemeinsamen Speicher. Die „notwendigen Daten“ für das Erfassen, ob ein Cyberangriff vorliegt oder nicht, sind zum Beispiel ein Kommunikationsprotokoll zwischen Domäneneinheiten und ein Betriebsprotokoll von OS 23A, OS 33A, App (A1) 21A, App (A2) 22A, App (A3) 31A oder App (A4) 32A. In Ausführungsform 1 wird kein Erfassungsverfahren, das von der Angriffserfassungseinheit 11A unter Verwendung der „notwendigen Daten“ durchgeführt wird, zur Erfassung, ob ein Cyberangriff vorliegt oder nicht, erwähnt.
  • In Schritt S102 beurteilt die Angriffserfassungseinheit 11A, ob ein Cyberangriff vorliegt oder nicht. Falls ein Cyberangriff vorliegt (JA in Schritt S102), benachrichtigt die Angriffserfassungseinheit 11A die Infektionsbereichsidentifikationseinheit 12A, dass ein Vorhandensein eines Cyberangriffs erfasst wurde (Schritt S103).
  • In Schritt S104 identifiziert die Infektionsbereichsidentifikationseinheit 12A eine Infektion durch den Cyberangriff in der Basisdomäneneinheit (A) 20A und der erweiterten Domäneneinheit (A) 30A. Zu beachten ist, dass die Verwaltungsdomäneneinheit (A) 10A nur mit einer Verwaltungsdomäneneinheit einer anderen ECU über das unabhängige dedizierte virtuelle Netzwerk 95 verbunden ist. Daher wird die Verwaltungsdomäneneinheit (A) 10A nicht durch einen Cyberangriff von der erweiterten Domäneneinheit (A) 30A, die mit dem Außenbordnetzwerk 88 verbunden ist, oder von der Basisdomäneneinheit (A) 20A, die mit der erweiterten Domäneneinheit (A) 30A verbunden ist, infiziert werden. Dementsprechend ist die Verwaltungsdomäneneinheit (A) 10A kein Ziel der Infektionsbereichserfassung der Infektionsbereichsidentifikationseinheit 12A.
  • In Schritt S105 erzeugt die Infektionsbereichsidentifikationseinheit 12A eine Infektionsdomänenliste 16A, bei der es sich um eine Liste von infizierten Domäneneinheiten handelt.
  • 6 zeigt die Infektionsdomänenliste 16A, die von der Infektionsbereichsidentifikationseinheit 12A erzeugt wurde. Wie in 6 dargestellt, wird die Infektionsdomänenliste 16A aus Domänen-IDs und zu den Domänen-IDs zugehörigen Indikatoren für Vorhandensein/Nichtvorhandensein von Infektion gebildet. Vorhandensein/Nichtvorhandensein von Infektion wird durch 0 und 1 angegeben. Falls das Vorhandensein/Nichtvorhandensein von Infektion 0 ist, bedeutet dies, dass eine durch eine zugehörige Domänen-ID bezeichnete Domäneneinheit nicht infiziert ist. Falls das Vorhandensein/Nichtvorhandensein von Infektion 1 ist, bedeutet dies, dass eine durch eine zugehörige Domänen-ID bezeichnete Domäneneinheit infiziert ist. 6 veranschaulicht, dass eine mit Domänen-ID 3 bezeichnete Domäneneinheit und eine mit Domänen-ID 4 bezeichnete Domäneneinheit infiziert sind. Falls „notwendige Daten“ zur Identifizierung eines infizierten Bereichs in der Basisdomäneneinheit (A) 20A oder in der erweiterten Domäneneinheit (A) 30A vorhanden sind, identifiziert die Infektionsbereichsidentifikationseinheit 12A einen infizierten Bereich, indem sie sich auf die „notwendigen Daten“ zur Identifizierung des infizierten Bereichs bezieht, und zwar auf die gleiche Weise wie in einem oben beschriebenen Fall, in dem auf die „notwendigen Daten“ zur Erfassung, ob ein Cyberangriff vorliegt oder nicht, Bezug genommen wird. In Ausführungsform 1 wird nicht erwähnt, wie der infizierte Bereich identifiziert wird.
  • In Schritt S106 benachrichtigt die Infektionsbereichsidentifikationseinheit 12A die Systemkonfigurationseinheit 13A über die Infektionsdomänenliste 16A.
  • Wenn eine Abnormalität der Basisdomäneneinheit (A) 20A erfasst wird, hält die Verwaltungsdomäneneinheit (A) 10A einen Betrieb der Basisdomäneneinheit (A) 20A an (S107). Dann, in dem später zu beschreibenden Schritt S112, veranlasst die Verwaltungsdomäneneinheit (A) 10A die separate Verwaltungsdomäneneinheit (B) 10B, einen Betrieb der Ersatz-Basisdomäneneinheit (A) 50B, die eine separate Basisdomäneneinheit ist, zu starten. Im Einzelnen funktioniert dies wie folgt.
  • In Schritt S107 hält die Systemkonfigurationseinheit 13A der Verwaltungsdomäneneinheit (A) 10A über die Hypervisoreinheit 40A den Betrieb einer Domäneneinheit an, die in der von der Infektionsbereichsidentifikationseinheit 12A mitgeteilten Infektionsdomänenliste 16A beschrieben ist. Die in der Infektionsdomänenliste 16A aufgeführte Domäneneinheit ist die Basisdomäneneinheit (A) 20A oder die erweiterte Domäneneinheit (A) 30A.
  • In Schritt S108 benachrichtigt die Systemkonfigurationseinheit 13A die Systemkonfigurationseinheiten aller anderen ECUs von der Infektionsdomänenliste 16A durch eine Domäne-zu-Domäne-Kommunikation über das virtuelle Netzwerk 95, so dass Informationen über die Domäneneinheit, die den Betrieb gestoppt hat, von allen ECUs im Fahrzeugsystem 100 gemeinsam genutzt werden. Falls die Infektionsdomänenliste 16A die Basisdomäneneinheit (A) 20A nicht enthält, muss die Infektionsdomänenliste 16A nicht gemeldet werden.
  • Eine Systemkonfigurationseinheit 13 jeder ECU speichert die Domänenkonfigurationsinformationen 140 in einer Konfigurationsspeichereinheit 14.
  • 7 veranschaulicht die Domänenkonfigurationsinformationen 140, die die ECU (B) 1 besitzt. Wie in 7 dargestellt, werden die Domänenkonfigurationsinformationen 140 aus Domänen-IDs und Ersatzindikatoren für Vorhandensein/Nichtvorhandensein, die mit den Domänen-IDs assoziiert sind, gebildet. Ersatz von Vorhandensein/Nichtvorhandensein wird durch 0 und 1 angegeben. Falls der Ersatz von Vorhandensein/Nichtvorhandensein 0 ist, bedeutet dies, dass eine Ersatz-Domäneneinheit einer durch eine assoziierte Domänen-ID bezeichneten Domäneneinheit nicht existiert. Falls der Ersatz von Vorhandensein/Nichtvorhandensein 1 ist, bedeutet dies, dass eine Ersatz-Domäneneinheit einer durch eine assoziierte Domänen-ID bezeichneten Domäneneinheit existiert. 7 veranschaulicht, dass eine Ersatz-Domäneneinheit, deren Domänen-ID 1 ist, und eine Ersatz-Domäneneinheit, deren Domänen-ID 2 ist, existiert. 5 veranschaulicht einen Zustand, in dem die Domänenkonfigurationsinformationen 140 in einer Konfigurationsspeichereinheit 14B der ECU (B) 1 gespeichert sind.
  • In Schritt S109 bezieht sich eine Systemkonfigurationseinheit 13B der ECU (B) 1 auf die Domänenkonfigurationsinformationen 140 und beurteilt, ob die benachrichtigte Infektionsdomänenliste 16A die Basisdomäneneinheit (A) 20A enthält, die ein Paar mit der Ersatz-Basisdomäneneinheit (A) 50B bildet, die die ECU (B) 1 besitzt, oder nicht.
  • Falls die Infektionsdomänenliste 16A die Basisdomäneneinheit (A) 20A enthält, die ein Paar mit der Ersatz-Basisdomäneneinheit (A) 50B bildet (JA in Schritt S109), beurteilt die Systemkonfigurationseinheit 13B, ob die Ersatz-Basisdomäneneinheit (A) 50B in Betrieb ist oder nicht (Schritt S110). Falls die Systemkonfigurationseinheit 13B beurteilt, dass die Ersatz-Basisdomäneneinheit (A) 50B in Betrieb ist (JA in Schritt S110), unternimmt die Systemkonfigurationseinheit 13B nichts. Falls die Systemkonfigurationseinheit 13B beurteilt, dass die Ersatz-Basisdomäneneinheit (A) 50B nicht in Betrieb ist (NEIN in Schritt S110), geht die Verarbeitung weiter mit Schritt S114. Schritt S114 und Schritt S115 sind optionale Prozesse und die Verarbeitung kann weitergehen von Schritt S114 bis Schritt S112.
  • Falls die Infektionsdomänenliste 16A nicht die Basisdomäneneinheit (A) 20A enthält, die auch ein Paar mit der Ersatz-Basisdomäneneinheit (A) 50B bildet (NEIN in Schritt S109), beurteilt die Systemkonfigurationseinheit 13B, ob die Ersatz-Basisdomäneneinheit (A) 50B in Betrieb ist oder nicht (Schritt S111).
  • In Schritt S112, falls die Infektionsdomänenliste 16A die Basisdomäneneinheit (A) 20A enthält, die ein Paar mit der Ersatz-Basisdomäneneinheit (A) 50B bildet, die die ECU (B) 1 besitzt (JA in Schritt S109), und falls die Ersatz-Basisdomäneneinheit (A) 50B nicht arbeitet, sondern wartet (NEIN in Schritt S110), bricht die Systemkonfigurationseinheit 13B das Warten der Ersatz-Basisdomäneneinheit (A) 50B ab und startet die Ersatz-Basisdomäneneinheit (A) 50B.
  • In Schritt S113, in einem Fall, in dem die Infektionsdomänenliste 16A nicht die Basisdomäneneinheit (A) 20A enthält, die ein Paar mit der Ersatz-Basisdomäneneinheit (A) 50B bildet, wenn die Ersatz-Basisdomäneneinheit (A) 50B arbeitet (JA in Schritt S111), versetzt die Systemkonfigurationseinheit 13B die Ersatz-Basisdomäneneinheit (A) 50B wieder in einen Wartezustand und hält die Ersatz-Basisdomäneneinheit (A) 50B an. Die Systemkonfigurationseinheit 13B versetzt die Ersatz-Basisdomäneneinheit (A) 50B wieder in den Wartezustand, da die Ersatz-Basisdomäneneinheit (A) 50B nicht in der Infektionsdomänenliste 16A aufgeführt ist.
  • Vor Aufhebung des Wartezustands der Ersatz-Basisdomäneneinheit (A) 50B und Betreiben der Ersatz-Basisdomäneneinheit (A) 50B in Schritt S112 kann die Systemkonfigurationseinheit 13B beurteilen, ob Ressourcen zum Betreiben der Ersatz-Basisdomäneneinheit (A) 50B ausreichend sind oder nicht (Schritt S114), indem sie sich auf eine Ressourcenlast wie eine Auslastung der CPU 2B und eine Speichernutzung bezieht. Falls die Ressourcen ausreichen, fährt die Systemkonfigurationseinheit 13B mit der Verarbeitung in Schritt S112 fort; falls die Ressourcen nicht ausreichen, fährt die Systemkonfigurationseinheit 13B mit der Verarbeitung in Schritt S115 fort.
  • In Schritt S115 kann die Systemkonfigurationseinheit 13B eine erweiterte Domäneneinheit (B) 30B anhalten. Wenn die erweiterte Domäneneinheit (B) 30B in Schritt S115 angehalten wird, nachdem die Ersatz-Basisdomäneneinheit (A) 50B in Schritt S113 in den Wartezustand versetzt ist, kann die Systemkonfigurationseinheit 13B in Schritt S118 die erweiterte Domäneneinheit (B) 30B neu starten, die in Schritt S115 angehalten wurde.
  • In der ECU (A) 1 und der ECU (B) 1 wird eine Verbindungseinstellung des virtuellen Netzwerks in Übereinstimmung mit der Post-Ersetzung-Domänenkonfiguration der Basisdomäneneinheit geändert. In Bezug auf die ECU (A) 1 ändert die Systemkonfigurationseinheit 13A in Schritt S116 eine Verbindungseinstellung des virtuellen Netzwerks 91. In der ECU (B) 1 ändert die Systemkonfigurationseinheit 13B in Schritt S117 eine Verbindungseinstellung des virtuellen Netzwerks 91.
  • Die Betriebe des fahrzeuginternen Systems 100 werden in einem Fall, in dem der aufgetretene Cyberangriff aufgehört hat, unter Bezugnahme auf 4 beschrieben.
  • Falls die Angriffserfassungseinheit 11A in Schritt S102 ein Vorhandensein/Nichtvorhandensein eines Cyberangriffs beurteilt und falls das Beurteilungsergebnis angibt, dass kein Cyberangriff vorliegt (NEIN in Schritt S102), bezieht sich die Angriffserfassungseinheit 11A auf die beim letzten Mal durchgeführte Beurteilung des Vorhandenseins/Nichtvorhandenseins eines Cyberangriffs (Schritt S119). Falls das Ergebnis des letzten Mals ein Vorhandensein eines Cyberangriffs angibt (JA in Schritt S114), beurteilt die Angriffserfassungseinheit 11A aus einem oder einer Vielzahl von Erfassungsergebnissen, die dem letzten Mal vorausgehen, ob ein Cyberangriff regelmäßig auftritt oder nicht (Schritt S120). Ob die Frequenz hoch ist oder nicht, kann durch Vergleich mit einem voreingestellten Frequenzschwellenwert bestimmt werden. Falls eine Anzahl von Erfassungszeiten größer als der Schwellenwert ist, bestimmt die Angriffserfassungseinheit 11A, dass die Frequenz hoch ist. Falls die Anzahl von Erfassungszeiten gleich wie oder kleiner als der Schwellenwert ist, bestimmt die Angriffserfassungseinheit 11A, dass die Frequenz niedrig ist.
  • Falls die Frequenz eines Cyberangriffs hoch ist, geht die Verarbeitung zurück zu Schritt S101 (JA in Schritt S120).
  • Wenn eine Abnormalität der erweiterten Domäneneinheit (A) 30A aufgelöst wird, startet die Verwaltungsdomäneneinheit (A) 10A die erweiterte Domäneneinheit (A) 30A neu. Wenn eine Abnormalität der Basisdomäneneinheit (A) aufgelöst wird, startet die Verwaltungsdomäneneinheit (A) 10A die Basisdomäneneinheit (A) 20A neu. Falls die Frequenz von Cyberangriffen niedrig ist, weist die Angriffserfassungseinheit 11A in Schritt S121 die Systemkonfigurationseinheit 13A an, neu zu starten.
  • In Schritt S122 startet die Systemkonfigurationseinheit 13A, die die Neustartanweisung empfangen hat, eine angehaltene Domäneneinheit neu (Schritt S122). Eine angehaltene Domäneneinheit ist die erweiterte Domäneneinheit (A) 30A, die mit dem Außenbordnetzwerk 88 verbunden werden soll, oder die Basisdomäneneinheit (A) 20A, die mit der erweiterten Domäneneinheit (A) 30A verbunden werden soll. Alternativ kann die Systemkonfigurationseinheit 13A die Basisdomäneneinheit (A) 20A oder die erweiterte Domäneneinheit (A) 30A durch Zurücksetzen der ECU (A) 1 neu starten. Außerdem kann die Systemkonfigurationseinheit 13A beim Neustart der Basisdomäneneinheit (A) 20A den folgenden Prozess durchführen, um zu verhindern, dass die Basisdomäneneinheit (A) 20A im fahrzeuginternen System 100 gleichzeitig mit der Ersatz-Basisdomäneneinheit (A) 50B der ECU (B) 1 arbeitet. Das heißt, die Systemkonfigurationseinheit 13A wartet auf einen Neustart der Basisdomäneneinheit, bis die Ersatz-Basisdomäneneinheit (A) 50B anhält. Durch Kommunikation mit der Systemkonfigurationseinheit 13B über das virtuelle Netzwerk 95 kann der Systemkonfigurationseinheit 13A mitgeteilt werden, ob die Ersatz-Basisdomäneneinheit (A) 50B angehalten oder in Betrieb ist.
  • In Schritt S108 benachrichtigt die Systemkonfigurationseinheit 13A die Systemkonfigurationseinheiten 15 aller anderen ECUs über die Infektionsdomänenliste 16A, in der die Basisdomäneneinheit (A) 20A und die erweiterte Domäneneinheit (A) 30A als nicht infiziert eingestellt sind. Diese Mitteilung wird per Datenkommunikation über das virtuelle Netzwerk 95 übertragen. Die Systemkonfigurationseinheit 13A ändert eine Verbindungseinstellung des virtuellen Netzwerks in Übereinstimmung mit einer Domänenkonfiguration nach Neustart (Schritt S116). In ähnlicher Weise ändert die Systemkonfigurationseinheit 13B in der ECU (B) 1, die die als nicht infiziert eingestellte Infektionsdomänenliste 16A empfangen hat, eine Verbindungseinstellung des virtuellen Netzwerks in Übereinstimmung mit der Domänenkonfiguration nach Neustart (Schritt S117).
  • *** Wirkung der Ausführungsform 1 ***
    1. (1) Die Systemkonfigurationseinheit hält eine erweiterte Domäneneinheit, die durch den Cyberangriff infiziert ist, an (Schritt S107). So kann eine Infektionskette von einer erweiterten Domäne zu einer Basisdomäneneinheit verhindert werden. Folglich können die Betriebe der Basisdomäneneinheit fortgesetzt werden.
    2. (2) Wenn der Cyberangriff stoppt, startet die Systemkonfigurationseinheit die erweiterte Domäneneinheit neu (Schritt S122). Folglich kann die ECU die Betriebe der erweiterten Domäneneinheit fortsetzen.
    3. (3) Falls eine Infektion die Basisdomäneneinheit erreicht, hält die Systemkonfigurationseinheit die Basisdomäneneinheit an (Schritt S107) und die Systemkonfiguration überträgt auch die Infektionsdomänenliste 16A, so dass die Funktion der infizierten Basisdomäneneinheit durch die Ersatz-Basisdomäneneinheit ersetzt wird.
  • Folglich können die Betriebe der Basisdomäneneinheit fortgesetzt werden.
  • (4) Wenn der Cyberangriff in der ECU (A) 1 stoppt, wird die Basisdomäneneinheit neu gestartet (Schritt S122). Folglich kann die Systemkonfiguration vor Empfangen des Cyberangriffs wiederhergestellt werden, und die Betriebe können fortgesetzt werden.
  • (5) Verwaltungsdomäneneinheiten sind miteinander nur über das unabhängige virtuelle Netzwerk 95 verbunden. Als Folge kann die ECU eine von dem Außenbordnetzwerk 88 eindringende Infektion verhindern. So kann verhindert werden, dass vier Funktionen, nämlich die Angriffserfassungseinheit, die Infektionsbereichsidentifikationseinheit, die Systemkonfigurationseinheit und die Konfigurationsspeichereinheit, die einen Mechanismus realisieren, der die Funktion gegen einen Cyberangriff oder einen Ausfall ersetzt, einen fehlerhaften Betrieb aufgrund des Cyberangriffs verursachen.
  • (6) Tritt ein Fehler in der ECU auf, benachrichtigt die Hypervisoreinheit die Systemkonfigurationseinheit über den Fehler.
  • Die Systemkonfigurationseinheit führt eine Verarbeitung auf dieselbe Weise durch wie in einem Fall, in dem alle Basisdomäneneinheiten und alle erweiterten Domäneneinheiten auf der ECU durch einen Cyberangriff infiziert sind. Folglich kann die Basisdomäneneinheit durch eine andere ECU ersetzt werden, selbst wenn ein Fehler in der ECU auftritt. Somit können die Betriebe der Basisdomäneneinheit fortgesetzt werden, selbst wenn ein Fehler auftritt.
  • (7) Die Verwaltungsdomäneneinheit (A) 10A führt eine Fortbestandsbestätigung durch, des Bestätigens, ob ein Fehler in der Verwaltungsdomäneneinheit (A) 10A und einer separaten Verwaltungsdomäneneinheit aufgetreten ist oder nicht. Da die Systemkonfigurationseinheiten voneinander Fortbestandsbestätigung durchführen, wird eine ECU, deren Fortbestand nicht bestätigt werden kann, als Ursache eines Fehlers angesehen, und es kann derselbe Effekt erzielt werden wie in einem Fall, in dem eine ECU einen Fehler verursacht hat.
  • (8) In dem herkömmlichen fahrzeuginternen System werden einige oder alle der Funktionen der ECU im Vorhinein auf eine andere ECU übertragen, um auf einen Fehler vorzubereiten. Wenn ein Fehler auftritt, betreibt eine andere ECU eine übertragene Funktion. Falls also ein Fehler in der ECU auftritt, wird die Funktion nicht angehalten. Dieses herkömmliche Schema ist effektiv gegen einen Fehler.
  • Bei dem herkömmlichen Schema wird jedoch, wie bei einem Cyberangriff, die auf eine andere ECU übertragene Funktion erneut infiziert, solange der Cyberangriff andauert. Auch falls eine Funktion selbst, die den funktionsübertragenden Mechanismus realisiert, aufgrund eines Cyberangriffs einen fehlerhaften Betrieb verursacht, kann die Funktion nicht übertragen werden.
  • Da die ECU von Ausführungsform 1 im Gegensatz dazu mit einer Verwaltungsdomäneneinheit vorgesehen ist, kann das Problem des herkömmlichen fahrzeuginternen Systems gelöst werden, wie in den Punkten (1) bis (5) in der Wirkung von Ausführungsform 1 beschrieben.
  • Ausführungsform 2.
  • Ein fahrzeuginternes System 100 von Ausführungsform 2 wird unter Bezugnahme auf 8 bis 10 beschrieben. In Ausführungsform 1 arbeitet die Systemkonfigurationseinheit für eine infizierte Domäneneinheit, die ein Ziel ist. In Ausführungsform 2 werden, wenn eine Systemkonfiguration aufgrund einer Infektion oder eines Fehlers geändert wird, die Betriebe der Basisdomäneneinheit und der erweiterten Domäneneinheit entsprechend der neuen Systemkonfiguration geändert. Betriebe werden in den später zu beschreibenden Schritten S201 und S202 geändert, wenn die Verwaltungsdomäneneinheit eine Betriebsänderungsmitteilung an die Hypervisoreinheit sendet, die eine Betriebsänderung entweder der einen oder der anderen der erweiterten Domäneneinheit oder der Basisdomäneneinheit anweist. Die Hypervisoreinheit veranlasst zumindest entweder eine oder die andere der erweiterten Domäneneinheit und der Basisdomäneneinheit, einen Betrieb in Übereinstimmung mit der Betriebsänderungsmitteilung zu ändern. Eine später zu beschreibende Systemänderungsmitteilung ist eine Betriebsänderungsmitteilung.
  • Eine Systemkonfigurationsänderung umfasst einen Betriebsstart oder einen Betriebshalt der Basisdomäneneinheit, einen Betriebsstart oder einen Betriebshalt einer erweiterten Domäneneinheit (A) 30A und einen Betriebsstart oder einen Betriebshalt einer Ersatz-Basisdomäneneinheit. Das heißt, dass die Systemkonfigurationsänderung ein Betriebsstart oder ein Betriebshalt von zumindest entweder einer der Basisdomäneneinheit, der erweiterten Domäneneinheit und der Ersatz-Basisdomäneneinheit ist.
  • Ein Hardware-Konfigurationsdiagramm des fahrzeuginternen Systems 100 von Ausführungsform 2 ist das gleiche wie das von 1.
  • 8 veranschaulicht ein Software-Konfigurationsdiagramm einer ECU (A) 1 aus einer Softwarekonfiguration des fahrzeuginternen Systems 100 von Ausführungsform 2. In der ECU (A) 1 ist eine Hypervisoreinheit 40A mit einer Konfigurationsänderungsbenachrichtigungseinheit 41A vorgesehen, eine Basisdomäneneinheit (A) 20A ist mit einer Konfigurationsänderungsempfangseinheit 24A vorgesehen und die erweiterte Domäneneinheit (A) 30A ist mit einer Konfigurationsänderungsempfangseinheit 34B vorgesehen. Die ECU (A) 1 von 8 ist mit einer ECU (B) 1, ähnlich der in 3, verbunden. Da ECU (B) 1, mit der die ECU (A) 1 verbunden ist, die gleiche Konfiguration wie die von 3 aufweist, entfällt die Veranschaulichung derselben. Es ist zu beachten, dass die ECU (B) 1, deren Veranschaulichung entfällt, mit einer Konfigurationsänderungsbenachrichtigungseinheit 41B, einer Konfigurationsänderungsempfangseinheit 24B und einer Konfigurationsänderungsempfangseinheit 34B vorgesehen ist, genau wie es die ECU (A) 1 von Ausführungsform 2 ist. Eine ECU (C) 1 und eine ECU (D) 1 sind jeweils mit einer Konfigurationsänderungsbenachrichtigungseinheit, einer Konfigurationsänderungsempfangseinheit und einer Konfigurationsänderungsempfangseinheit vorgesehen, genau wie es die ECU (B) 1 ist.
  • 9 ist ein Flussdiagramm von Betrieben der ECU (A) 1 in Ausführungsform 2. Das Flussdiagramm von 9 wird durch Hinzufügen von Schritt S201, Schritt S203 und Schritt S205 zu dem Flussdiagramm von 4 gebildet. In 9 sind dem Schritt S116 vorausgehende Schritte nicht dargestellt. Schritt S201 beschreibt Betriebe einer Systemkonfigurationseinheit 13A; Schritt S203 beschreibt Betriebe der Konfigurationsänderungsbenachrichtigungseinheit 41A; und Schritt S205 beschreibt Betriebe der Konfigurationsänderungsempfangseinheiten 24A und 34A.
  • 10 ist ein Flussdiagramm von Betrieben der ECU (B) 1 in Ausführungsform 2. Das Flussdiagramm von 10 wird durch Hinzufügen von Schritt S202, Schritt S204 und Schritt S206 zu dem Flussdiagramm von 5 gebildet. In 9 sind dem Schritt S117 vorausgehende Schritte nicht dargestellt. Schritt S202 beschreibt Betriebe einer Systemkonfigurationseinheit 13B; Schritt S204 beschreibt Betriebe der Konfigurationsänderungsbenachrichtigungseinheit 41B; und Schritt S206 beschreibt Betriebe der Konfigurationsänderungsempfangseinheiten 24B und 34B.
  • In Schritt S203 und Schritt S205 von 9 empfängt die Konfigurationsänderungsbenachrichtigungseinheit 41A die Systemänderungsmitteilung von der Systemkonfigurationseinheit 13A und gibt eine Konfigurationsänderungsanweisung an die Basisdomäneneinheit (A) 20A und die erweiterte Domäneneinheit (A) 30A auf der Grundlage der Systemänderungsmitteilung, so dass eine Systemänderung durchgeführt wird. Die Konfigurationsänderungsempfangseinheit 24A der Basisdomäneneinheit (A) 20A und die Konfigurationsänderungsempfangseinheit 34A der erweiterten Domäneneinheit (A) 30A empfangen die Konfigurationsänderungsanweisung von der Konfigurationsänderungsbenachrichtigungseinheit 41A und benachrichtigen entsprechende Apps über Inhalte der Konfigurationsänderungsanweisung.
  • In Schritt S204 und Schritt S206 von 10 empfängt die Konfigurationsänderungsbenachrichtigungseinheit 41B eine Systemänderungsmitteilung von der Systemkonfigurationseinheit 13B und gibt eine Konfigurationsänderungsanweisung an eine Basisdomäneneinheit (A) 20B und eine erweiterte Domäneneinheit (A) 30B auf der Grundlage der Systemänderungsmitteilung, so dass eine Systemänderung durchgeführt wird. Die Konfigurationsänderungsempfangseinheit 24B der Basisdomäneneinheit (A) 20B und die Konfigurationsänderungsempfangseinheit 34B der erweiterten Domäneneinheit (A) 30B empfangen die Konfigurationsänderungsanweisung von der Konfigurationsänderungsbenachrichtigungseinheit 41B und benachrichtigen entsprechende Apps über Inhalte der Konfigurationsänderungsanweisung.
  • Betriebe des fahrzeuginternen Systems 100 von Ausführungsform 2 werden unter Bezugnahme auf 9 bis 10 beschrieben.
  • Als erstes werden Betriebe eines Falles beschrieben, in dem ein Cyberangriff aufgetreten ist. Betriebe von Schritt S101 bis Schritt S118 sind gleich wie die in Ausführungsform 1. Nach Schritt S116 und Schritt S117 sendet die Systemkonfigurationseinheit jeder ECU eine Systemänderungsmitteilung, dass die Systemkonfiguration geändert wurde, über ein entsprechendes OS oder einen Gerätetreiber an die Konfigurationsänderungsbenachrichtigungseinheit der Hypervisoreinheit, wobei ein Mittel wie ein Hypervisor-Aufruf verwendet wird (Schritt S201, Schritt S202). Die Systemänderungsmitteilung, dass die Systemkonfiguration geändert wurde, ist z.B. eine Information, dass die erweiterte Domäneneinheit (A) 30A der ECU (A) angehalten wurde, was unter Verwendung der Infektionsdomänenliste 16A mitgeteilt wird.
  • Bei Empfang der Systemänderungsmitteilung nimmt die Konfigurationsänderungsbenachrichtigungseinheit als Ziel zum Beispiel eine App einer Domäneneinheit, die einen degenerierenden Betrieb durch Konfigurationsänderung durchführen soll, wobei die App mit einer Änderung der Systemkonfiguration in Verbindung steht, und benachrichtigt die Konfigurationsänderungsempfangseinheit über die Konfigurationsänderungsanweisung, wobei ein Mittel wie zum Beispiel eine virtuelle Unterbrechung verwendet wird (Schritt S203, Schritt S204).
  • Nach Empfang der Konfigurationsänderungsanweisung weist die Konfigurationsänderungsempfangseinheit jede App an, den Betrieb zu ändern, um z. B. einen Degenerierungsbetrieb durchzuführen (Schritt S205, Schritt S206).
  • Betriebe in einem Fall, in dem ein aufgetretener Cyberangriff aufgehört hat, werden nicht beschrieben.
  • Betriebe von Schritt S102, Schritt S119 bis Schritt S122, Schritt S108, Schritt S116, Schritt S109 bis Schritt S115, Schritt S117 und Schritt S118 sind die gleichen wie die von Ausführungsform 1.
  • Nach Schritt S116 und Schritt S117 sendet die Systemkonfigurationseinheit jeder ECU eine Systemänderungsmitteilung, dass die Systemkonfiguration geändert wurde, über ein entsprechendes OS oder den Gerätetreiber an die Konfigurationsänderungsbenachrichtigungseinheit der Hypervisoreinheit, wobei ein Mittel wie ein Hypervisor-Aufruf verwendet wird (Schritt S201, Schritt S202). Die Systemänderungsmitteilung, dass die Systemkonfiguration geändert wurde, ist z.B. eine Information, dass die erweiterte Domäneneinheit (A) 30A der ECU (A) angefangen hat zu arbeiten, was unter Verwendung der Infektionsdomänenliste 16A mitgeteilt wird.
  • Die Konfigurationsänderungsbenachrichtigungseinheit nimmt als Ziel zum Beispiel eine App einer Domäneneinheit, die einen normalen Betrieb durch Konfigurationsänderung durchführen sollte, wobei die App mit der Änderung der Systemkonfiguration in Verbindung steht, und benachrichtigt die Konfigurationsänderungsempfangseinheit über die Konfigurationsänderungsanweisung, wobei ein Mittel wie zum Beispiel eine virtuelle Unterbrechung verwendet wird (Schritt S203, Schritt S204).
  • Nach Empfang der Konfigurationsänderungsanweisung weist die Konfigurationsänderungsempfangseinheit jede App an, den Betrieb zu ändern, um beispielsweise einen normalen Betrieb durchzuführen (Schritt S205, Schritt S206).
  • Wenn die Bereichsidentifikation der Infektionsbereichsidentifikationseinheit pro App statt pro Domäneneinheit durchgeführt werden kann, kann auch nur das Arbeiten einer App angehalten werden, die aufgrund einer Infektion oder eines Fehlers in der Domäneneinheit nicht mehr normal funktioniert.
  • *** Wirkung der Ausführungsform 2 ***
  • Wie oben beschrieben, kann, wenn eine Änderung der Systemkonfiguration von der Systemkonfigurationseinheit mit Hilfe von Mitteln wie einem Hypervisor-Aufruf und einer virtuellen Unterbrechung mitgeteilt wird, die App der Domäneneinheit benachrichtigt werden, dass die Systemkonfiguration verändert wurde, ohne ein Netzwerk zu verwenden. Daher ist es möglich, eine Änderung des Betriebs, wie z. B. einen Degenerierungsbetrieb, durchzuführen, ohne ein Sicherheitsrisiko einzugehen.
  • Bezugszeichenliste
    • 1
    ECU (A), ECU (B), ECU (C), ECU (D);
    2A
    CPU;
    3A
    ROM;
    4A
    RAM;
    5A
    Peripheriecontroller;
    6A, 7A, 8A, 9A
    I/O;
    10A
    Verwaltungsdomänenein-heit(A)
    11A
    Angriffserfassungseinheit;
    12A
    Infektionsbereichsidentifikati-onseinheit;
    13A
    Systemkonfigurationseinheit;
    14A
    Konfigurationsspeicher-einheit;
    15A
    OS;
    16A
    Infektionsdomänenliste;
    20A
    Basisdomäneneinheit (A);
    21A
    App (A1);
    22A
    App (A2);
    23A
    OS;
    24A
    Konfigurationsänderungsemp-fangseinheit;
    30A
    erweiterte Domäneneinheit (A);
    31A
    App (A3);
    32A
    App (A4);
    33A
    OS;
    34A
    Konfigurationsänderungsempfangseinheit;
    40A
    Hypervi-soreinheit;
    41A
    Konfigurationsänderungsbenachrichtigungseinheit;
    10B
    Ver-waltungsdomäneneinheit (B);
    11B
    Angriffserfassungseinheit;
    12B
    Infektions-bereichsidentifikationseinheit;
    13B
    Systemkonfigurationseinheit;
    14B
    Konfi-gurationsspeichereinheit;
    15B
    OS;
    20B
    Basisdomäneneinheit (B);
    21B
    App (B1);
    22B
    App (B2);
    23B
    OS;
    30B
    erweiterte Domäneneinheit (B);
    31B
    App (B3);
    32B
    App (B4);
    33B
    OS;
    40B
    Hypervisoreinheit;
    50B
    Ersatz-Basisdomä-neneinheit (A);
    61
    Sensor;
    71
    Aktuator;
    81
    Innenbordnetzwerk;
    88
    Außen-bordnetzwerk;
    91, 95
    virtuelles Netzwerk;
    100
    fahrzeuginternes System;
    140
    Domänenkonfigurationsinformationen.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 2018099972 A [0003]

Claims (9)

  1. Elektronische Steuereinheit, die in einem Fahrzeug zu installieren ist, wobei die elektronische Steuereinheit umfasst: eine erweiterte Domäneneinheit, die unter einem ersten Betriebssystem arbeitet, mit einem Außenbordnetzwerk verbunden ist und bei Auftreten einer Abnormalität angehalten werden kann; eine Basisdomäneneinheit, die unter einem zweiten Betriebssystem arbeitet, mit der erweiterten Domäneneinheit verbunden ist und bei Auftreten einer Abnormalität den Betrieb fortsetzen muss; eine Verwaltungsdomäneneinheit, die unter einem dritten Betriebssystem arbeitet und den Betrieb der erweiterten Domäneneinheit anhält, wenn die Abnormalität der erweiterten Domäneneinheit erfasst wird; und eine Hypervisoreinheit, die das erste Betriebssystem, das zweite Betriebssystem und das dritte Betriebssystem veranlasst zu arbeiten, wobei die Verwaltungsdomäneneinheit über ein unabhängiges virtuelles Netzwerk unter Verwendung der Hypervisoreinheit mit einer separaten Verwaltungsdomäneneinheit einer separaten elektronischen Steuereinheit, die die separate Verwaltungsdomäneneinheit aufweist, und einer separaten Basisdomäneneinheit, die die Basisdomäneneinheit ersetzt, verbunden ist; und wenn eine Abnormalität der Basisdomäneneinheit erfasst wird, die Verwaltungsdomäneneinheit einen Betrieb der Basisdomäneneinheit anhält und die separate Verwaltungsdomäneneinheit, die von der separaten elektronischen Steuereinheit besessen wird, veranlasst, einen Betrieb der separaten Basisdomäneneinheit zu starten.
  2. Elektronische Steuereinheit nach Anspruch 1, wobei wenn die Abnormalität der Basisdomäneneinheit aufgelöst wird, die Verwaltungsdomäneneinheit die Basisdomäneneinheit neu startet.
  3. Elektronische Steuereinheit nach Anspruch 1 oder 2, wobei die Verwaltungsdomäneneinheit eine Fortbestandsbestätigung des Bestätigens, ob ein Fehler zwischen der Verwaltungsdomäneneinheit und der separaten Verwaltungsdomäneneinheit aufgetreten ist oder nicht, durchführt.
  4. Elektronische Steuereinheit nach einem der Ansprüche 1 bis 3, wobei die Verwaltungsdomäneneinheit die Abnormalität durch Kommunikation mit der Hypervisoreinheit erfasst.
  5. Elektronische Steuereinheit nach einem der Ansprüche 1 bis 4, wobei wenn die Abnormalität der erweiterten Domäneneinheit aufgelöst wird, die Verwaltungsdomäneneinheit die erweiterte Domäneneinheit neu startet.
  6. Elektronische Steuereinheit nach einem der Ansprüche 1 bis 5, wobei die Abnormalität eine durch einen Cyberangriff verursachte Infektion ist.
  7. Elektronische Steuereinheit nach einem der Ansprüche 1 bis 5, wobei die Abnormalität ein Fehler ist.
  8. Elektronische Steuereinheit nach einem der Ansprüche 1 bis 7, wobei die Verwaltungsdomäneneinheit an die Hypervisoreinheit eine Betriebsänderungsmitteilung sendet, die eine Betriebsänderung zumindest entweder einer oder der anderen der erweiterten Domäneneinheit und der Basisdomäneneinheit anweist, und wobei die Hypervisoreinheit zumindest entweder eine oder die andere der erweiterten Domäneneinheit und der Basisdomäneneinheit veranlasst, einen Betrieb in Übereinstimmung mit der Betriebsänderungsmitteilung zu ändern.
  9. Programm, das einen Computer, der eine elektronische Steuereinheit ist, veranlasst durchzuführen: einen erweiterten Funktionsprozess, der unter einem ersten Betriebssystem arbeitet, mit einem Außenbordnetzwerk verbunden ist und bei Auftreten einer Abnormalität angehalten werden kann; einen Basisfunktionsprozess, der unter einem zweiten Betriebssystem arbeitet, mit dem erweiterten Funktionsprozess kommuniziert und bei Auftreten einer Abnormalität den Betrieb fortsetzen muss; einen Verwaltungsfunktionsprozess, der unter einem dritten Betriebssystem arbeitet und den Betrieb des erweiterten Funktionsprozesses anhält, wenn die Abnormalität des erweiterten Funktionsprozesses erfasst wird; und einen Hypervisorprozess, der das erste Betriebssystem, das zweite Betriebssystem und das dritte Betriebssystem veranlasst zu arbeiten, wobei der Verwaltungsfunktionsprozess über ein unabhängiges virtuelles Netzwerk unter Verwendung des Hypervisorprozesses mit einem separaten Verwaltungsfunktionsprozess einer separaten elektronischen Steuereinheit, die den separaten Verwaltungsfunktionsprozess aufweist, und einem separaten Basisfunktionsprozess, der den Basisfunktionsprozess ersetzt, verbunden ist; und wenn eine Abnormalität des Basisfunktionsprozesses erfasst wird, der Verwaltungsfunktionsprozess einen Betrieb des Basisfunktionsprozesses anhält und den separaten Verwaltungsfunktionsprozess, der von der separaten elektronischen Steuereinheit besessen wird, veranlasst einen Betrieb des separaten Basisfunktionsprozesses zu starten.
DE112019007432.6T 2019-06-27 2019-06-27 Elektronische steuereinheit und programm Active DE112019007432B4 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2019/025741 WO2020261519A1 (ja) 2019-06-27 2019-06-27 電子制御ユニット及びプログラム

Publications (2)

Publication Number Publication Date
DE112019007432T5 true DE112019007432T5 (de) 2022-03-17
DE112019007432B4 DE112019007432B4 (de) 2024-02-08

Family

ID=74061536

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112019007432.6T Active DE112019007432B4 (de) 2019-06-27 2019-06-27 Elektronische steuereinheit und programm

Country Status (5)

Country Link
US (1) US20220055637A1 (de)
JP (1) JP6972437B2 (de)
CN (1) CN113993752B (de)
DE (1) DE112019007432B4 (de)
WO (1) WO2020261519A1 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022168453A1 (ja) * 2021-02-08 2022-08-11 パナソニックIpマネジメント株式会社 車両制御システム、車両制御システムの制御方法及びプログラム
JP2024070327A (ja) * 2022-11-11 2024-05-23 パナソニックオートモーティブシステムズ株式会社 情報提供方法及び情報処理装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018099972A (ja) 2016-12-20 2018-06-28 トヨタ自動車株式会社 車両システム

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4242405B2 (ja) * 2006-09-15 2009-03-25 三菱電機株式会社 車載電子制御装置
JP2008123439A (ja) * 2006-11-15 2008-05-29 Denso Corp オペレーティング・システム、プログラム及び移動体操縦支援装置
JP5045159B2 (ja) * 2007-03-12 2012-10-10 三菱電機株式会社 制御用サブユニットおよび制御用メインユニット
JP4985662B2 (ja) * 2009-01-22 2012-07-25 株式会社デンソー プログラム、及び制御装置
CN102343875A (zh) * 2011-07-13 2012-02-08 武汉市菱电汽车电子有限责任公司 基于整车控制策略的电动汽车驱动器及其控制方法
JP5382084B2 (ja) * 2011-10-07 2014-01-08 株式会社デンソー 車両用装置
US9117318B2 (en) 2012-03-14 2015-08-25 Flextronics Ap, Llc Vehicle diagnostic detection through sensitive vehicle skin
JP5372297B1 (ja) * 2012-12-20 2013-12-18 三菱電機株式会社 車載装置及びプログラム
CN106068501A (zh) 2014-03-07 2016-11-02 三菱电机株式会社 计算机装置和计算机机构
US9571279B2 (en) 2014-06-05 2017-02-14 Cavium, Inc. Systems and methods for secured backup of hardware security modules for cloud-based web services
WO2017034008A1 (ja) * 2015-08-25 2017-03-02 株式会社Seltech ハイパーバイザーを有するシステム
US20190340116A1 (en) * 2017-01-24 2019-11-07 Mitsubishi Electric Corporation Shared backup unit and control system
US10983823B2 (en) * 2017-01-25 2021-04-20 Mitsubishi Electric Corporation Computer apparatus, task initiation method, and computer readable medium
JP6242557B1 (ja) * 2017-03-21 2017-12-06 三菱電機株式会社 制御装置および制御プログラム
JP6723955B2 (ja) * 2017-05-12 2020-07-15 日立オートモティブシステムズ株式会社 情報処理装置及び異常対処方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018099972A (ja) 2016-12-20 2018-06-28 トヨタ自動車株式会社 車両システム

Also Published As

Publication number Publication date
WO2020261519A1 (ja) 2020-12-30
JP6972437B2 (ja) 2021-11-24
DE112019007432B4 (de) 2024-02-08
CN113993752B (zh) 2023-09-08
US20220055637A1 (en) 2022-02-24
CN113993752A (zh) 2022-01-28
JPWO2020261519A1 (ja) 2021-11-18

Similar Documents

Publication Publication Date Title
DE60106467T2 (de) Verfahren zum Installieren Überwachungsagenten, System und Computerprogramm von Objekten in einem IT-Netz Überwachung
DE102017106087A1 (de) Fehlertoleranz-muster und schaltprotokoll für mehrere hot- und cold-standby-redundanzen
DE102014102582A1 (de) Fehlertolerantes Steuerungssystem
DE102015221330A1 (de) Verfahren und Vorrichtung zum robusten Aktualisieren von Firmware eines Fahrzeuges über eine Luftschnittstelle
DE102015201443A1 (de) Verfahren und Vorrichtung zum Steuern eines Watchdog
DE102014108249A1 (de) Realisieren erweiterter Fehlerbehandlung für einen gemeinsam genutzten Adapter in einem virtualisierten System
DE102016124352A1 (de) Kommunikationssystem und ein in dem Kommunikationssystem ausgeführtes Informationssammelverfahren
DE112019007432B4 (de) Elektronische steuereinheit und programm
DE102017106086A1 (de) Hybrid-dual-duplex fail-betriebsmuster und verallgemeinerung einer beliebigen anzahl an ausfällen
EP3929740A1 (de) Verfahren zur orchestrierung einer container-basierten anwendung auf einem endgerät
DE112013007469B4 (de) Kommunikationssystem, Standby-Vorrichtung, Kommunikationsverfahren, und Standby-Programm
DE102016204713A1 (de) Ansteuervorrichtung
EP3983897B1 (de) Verfahren zum sicherstellen und aufrechterhalten der funktion eines sicherheitskritischen gesamtsystems
DE102013021231A1 (de) Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät
DE102019004612A1 (de) Verfahren zum Betreiben eines Fahrzeugs mit einem Steuergerät
DE102015218898A1 (de) Verfahren zur redundanten Verarbeitung von Daten
DE102019201515A1 (de) Fahrzeugkommunikationsnetzwerk und -verfahren
DE102021130896A1 (de) Elektronische steuerungseinheit, zeitinformationsbereitstellungsverfahren, zeitinformationsbereitstellungsprogramm und elektronisches steuerungssystem
DE102022106659A1 (de) Ota-master, aktualisierungssteuerungsverfahren und nicht-transitorisches speichermedium
DE102012217312B4 (de) Verfahren und System zur Aktualisierung von Code in Verarbeitungssystemen
DE102022101072A1 (de) Center, aktualisierungssteuerungsverfahren, nicht-transitorisches speichermedium, ota-master und softwareaktualisierungssystem
DE102021208459A1 (de) Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
EP3705993B1 (de) System und verfahren zum auffinden und identifizieren von rechenknoten in einem netzwerk
DE112018002612T5 (de) Fahrzeugsteuervorrichtung
DE112020001541T5 (de) Informationsverarbeitungsvorrichtung, beweglicher gegenstand und informationsverarbeitungsverfahren

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R084 Declaration of willingness to licence
R018 Grant decision by examination section/examining division