DE112021007689T5 - Steuervorrichtung - Google Patents

Steuervorrichtung Download PDF

Info

Publication number
DE112021007689T5
DE112021007689T5 DE112021007689.2T DE112021007689T DE112021007689T5 DE 112021007689 T5 DE112021007689 T5 DE 112021007689T5 DE 112021007689 T DE112021007689 T DE 112021007689T DE 112021007689 T5 DE112021007689 T5 DE 112021007689T5
Authority
DE
Germany
Prior art keywords
monitoring
unit
communication
memory
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112021007689.2T
Other languages
English (en)
Inventor
Toshiki IKEGASHIRA
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of DE112021007689T5 publication Critical patent/DE112021007689T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Computer Hardware Design (AREA)
  • Small-Scale Networks (AREA)
  • Debugging And Monitoring (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)

Abstract

Eine Steuervorrichtung umfasst: eine Steuereinheit (100) zum Ausführen einer Steuerverarbeitung an einem Steuerziel; eine Kommunikationseinheit (101) zum Senden und Empfangen von Kommunikationsdaten in Bezug auf das Steuerziel; eine Speichereinheit (102) zum Speichern von Daten eines Steuerwertes (von Steuerwerten) in der Steuereinheit und desjenigen der Steuerverarbeitung darin; eine Prozessüberwachungseinheit (103) zum Überwachen der Steuerverarbeitung der Steuereinheit; eine Kommunikationsüberwachungseinheit (104) zum Überwachen von Kommunikationsdaten der Kommunikationseinheit; eine Speicherüberwachungseinheit (106) zum Überwachen eines Speichers oder von Speichern der Speichereinheit; und eine Unregelmäßigkeitsbestimmungseinheit (106) zum Durchführen einer Bestimmung, ob die Steuerverarbeitung der Steuereinheit unregelmäßig ist oder nicht, aus einem Überwachungsergebnis der Prozessüberwachungseinheit (103), dem der Kommunikationsüberwachungseinheit (104) und dem der Speicherüberwachungseinheit (105).

Description

  • TECHNISCHES GEBIET
  • Die Offenbarung der vorliegenden Anmeldung betrifft eine Steuervorrichtung.
  • HINTERGRUND
  • In den letzten Jahren hat sich gezeigt, dass bordeigene oder Fahrzeug-Systeme eines Automobils oder Kraftfahrzeugs über ein oder mehrere Netzwerke mit fahrzeugexternen Vorrichtungen verbunden sind, so dass die Gefahr besteht, dass ein Dritter mit böswilliger Absicht von außen über das oder die Netzwerke unbefugt in das oder die bordeigenen Systeme eindringt. Wenn ein Dritter unbefugt in das (die) Bordsystem(e) eindringt, besteht die Möglichkeit, dass beispielsweise in einer ECU (Electronic Control Unit), die eine Steuervorrichtung ist, die an einem Automobil oder Kraftfahrzeug angebracht ist, ein Programm (Programme) der ECU manipuliert wird (werden) und die Steuerung der Steuervorrichtung von dem Dritten übernommen wird, so dass es zu einem Unfall des Kraftfahrzeugs kommen kann, weil es ferngesteuert wird.
  • In einem herkömmlichen Bordsystem ist ein Verfahren zur Behandlung von Unregelmäßigkeiten denkbar, bei dem auch bei Ausfall eines Abschnitts einer Vorrichtung eine durch die Störung verursachte Unregelmäßigkeit erkannt wird, so dass ein sicherer Betrieb erreicht werden kann, indem eine Funktion(en) der Vorrichtung mittels Fail-Safe oder ähnliches degeneriert wird.
  • Wenn jedoch ein Programm oder mehrere Programme manipuliert werden und ein Mechanismus zur Erkennung von Unregelmäßigkeiten aufgrund einer Fehlfunktion verändert wird oder wenn Informationen, die Gegenstand der Erkennung von Unregelmäßigkeiten sind, so getarnt werden, als ob die Informationen einen normalen Wert hätten, wird es schwierig, Unregelmäßigkeiten als solche zu erkennen.
  • Als Mechanismus zum Erkennen von Unregelmäßigkeiten in einem Kraftfahrzeug, das einem Cyber-Sicherheitsangriff ausgesetzt ist, wurden Überlegungen zu einem Mechanismus zum Überwachen von Kommunikationsdaten angestellt. Als Technologien für die Sicherheit gibt es eine Technologie der Nachrichtenauthentifizierung, die einer digitalen Signatur und/oder ähnliches, so dass es möglich ist, Unregelmäßigkeit aufgrund von getarnten Kommunikationsdaten zu erkennen; allerdings gehören diese Technologien zu Technologien, um Gegenmaßnahmen in Bezug auf ein bekanntes Angriffsszenario zu ergreifen, und daher kann nicht gesagt werden, dass ein unbekannter Cybersicherheitsangriff damit bewältigt werden kann. Wenn ein Programm oder mehrere Programme manipuliert werden, wird es schwierig, Unregelmäßigkeiten zu erkennen, und so ergibt sich die Notwendigkeit, nicht nur die Kommunikationsdaten, sondern auch das Verhalten des Kraftfahrzeugs oder das seiner ECU(s) zu überwachen.
  • Als eine der Gegenmaßnahmen gegen unbekannte Cybersicherheitsangriffe gibt es die Technologie des sicheren Bootens (Secure Boot); aufgrund einer Speicherprüfung, die zum Zeitpunkt der Aktivierung oder des Starts durchgeführt wird, kann ein Kraftfahrzeug jedoch nicht mit einem Angriff fertig werden, wenn der Angriff während der Fahrt des Kraftfahrzeugs erfahren wird. Darüber hinaus ergibt sich das Problem, dass die Arbeitslast eines Prozesses größer wird, wenn ein Speicher zu jeder Zeit während der Laufzeit des Kraftfahrzeugs überprüft wird. Um damit umzugehen, ist ein Mechanismus erforderlich, bei dem, selbst wenn ein Cybersicherheitsangriff nicht nur zum Zeitpunkt der Aktivierung oder eines Starts, sondern auch während der Zeit, in der ein Kraftfahrzeug fährt, empfangen wird, eine Unregelmäßigkeit erkannt wird, während eine Prozessarbeitslast(en) der Steuerverarbeitung gedämpft wird, so dass das Kraftfahrzeug sicher fahrfähig gemacht wird.
  • In der Patentschrift 1 ist beschrieben, dass bei einem empfangenen Steuerframe ermittelt wird, ob es sich um einen unregelmäßigen Frame innerhalb einer vorgegebenen Zeitspanne handelt oder nicht, und dass ein unregelmäßiger Frame erkannt werden kann. In dem Steuerframe ist ein Zustandsframe des Steuerzustands umfasst.
  • Patentdokument 2 besagt, dass ein Überwachungsverfahren von Kommunikationsdaten in Übereinstimmung mit einem Zustand eines Kraftfahrzeugs geändert wird, und dass, ohne eine Arbeitslast der Datenverarbeitung zu erhöhen, unregelmäßige Daten erkannt werden können.
  • Patentdokument 3 besagt, dass aus einer Verarbeitungsreihenfolge einer Sequenz, die ein Betriebszustand einer elektronischen Steuervorrichtung ist, einem Ausführungszustand der Sequenz, einem Ausführungszeitpunkt davon, einem Steuerwert (Steuerwerten) davon, einem Kommunikationselement davon und dergleichen, eine andere elektronische Steuervorrichtung einen Betriebszustand aufzeichnet, und dass noch eine andere elektronische Steuervorrichtung den Betriebszustand überwacht, wodurch Unregelmäßigkeit in einem Fall erkannt werden kann, in dem Abweichungen von einem normalen Zustand auftreten.
  • VERWANDTER STAND DER TECHNIK
  • Patentdokumente
    • Patentdokument 1: Japanische Patentveröffentlichung Nr. 6280662
    • Patentdokument 2: Japanische Patentveröffentlichung Nr. 6531011
    • Patentdokument 3: Internationale Veröffentlichung Nr. 2019/159615
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Aufgabenstellung der Erfindung
  • In einer herkömmlichen Technologie, wie sie im Patentdokument 1 beschrieben ist, ergibt sich beispielsweise folgendes Problem. In Patentdokument 1 ist es möglich, Unregelmäßigkeit von Steuerrahmen zu erkennen, einschließlich eines Zustandsrahmens des Steuerzustands, der von einem Kommunikationskanal empfangen wird; wenn jedoch die Steuerverarbeitung selbst manipuliert wird, besteht die Möglichkeit, dass die Erkennung der Unregelmäßigkeit flieht oder dass eine fehlerhafte Erkennung durchgeführt wird.
  • Darüber hinaus wird in einer konventionellen Technologie, die in Patentdokument 2 beschrieben ist, ein Überwachungsverfahren von Kommunikationsdaten in Übereinstimmung mit einem Zustand eines Kraftfahrzeugs geändert, wodurch unregelmäßige Kommunikationsdaten erkannt werden können, während eine Prozessarbeitslast gebremst wird; ähnlich wie in Patentdokument 1 besteht jedoch die Möglichkeit, dass die Erkennung von Unregelmäßigkeiten flieht oder eine fehlerhafte Erkennung durchgeführt wird, wenn die Steuerverarbeitung selbst manipuliert wird.
  • Darüber hinaus werden in einer konventionellen Technologie, die in Patentdokument 3 beschrieben ist, eine Verarbeitungsreihenfolge einer Sequenz und/oder ein Steuerwert und ein Kommunikationselement dazu gebracht, Gegenstände der Überwachung zu werden; ein Speicher wird jedoch nicht dazu gebracht, ein Gegenstand der Überwachung in dem Umfang zu werden. Wenn der Speicher manipuliert wird und wenn ein anderer neuer Prozess innerhalb eines Prozessschrittes einer Sequenz hinzugefügt wurde, kann eine Erkennung nicht erreicht werden, wenn eine Unregelmäßigkeit in einer solchen Weise auftritt, dass eine Sequenz einen normalen Weg durchläuft und ein intrinsischer oder primärer Steuerwert ausgeführt wird, so dass ein wichtiger Wert, der sich auf die Steuerung bezieht, dazu führt, dass der andere neue Prozess parallel zu einer intrinsischen oder primären Sequenz durchlaufen wird. Um eine Unregelmäßigkeit zu erkennen, die in einem Prozessschritt einer Sequenz auftritt, ist es außerdem notwendig, die Sequenz zu beenden. Außerdem wird die Arbeitslast eines Prozesses nicht berücksichtigt. Aufgrund der Konfiguration, in der zwei Steuereinheiten zum Überwachen einer Steuervorrichtung erforderlich sind, ist es nicht möglich, Unregelmäßigkeiten mit einer einzigen Steuereinheit zu erkennen.
  • Eine Aufgabe der Offenbarung ist es, eine Steuervorrichtung zu erhalten, in der Kommunikationsdaten in der Steuerverarbeitung, ein Prozess (oder Prozesse) darin und ein Speicher oder Speicher darin überwacht werden, und eine optimale Überwachung durchgeführt wird, während eine Prozessarbeitslast (oder Prozesse) gedrosselt wird, wodurch, selbst wenn ein Cybersicherheitsangriff empfangen wird, eine Unregelmäßigkeit der Kommunikationsdaten, die der Steuerverarbeitung und die des Speichers oder der Speicher erkannt werden, so dass es möglich ist, eine Unregelmäßigkeit der Steuerverarbeitung zu erkennen.
  • Mittel zur Lösung der Aufgabenstellung
  • In einer in der Offenbarung der betreffenden Anwendung offenbarten Steuervorrichtung, die eine Kommunikation von Daten in Bezug auf ein Steuerobjekt oder - ziel durchführt, umfasst die Steuervorrichtung: eine Steuereinheit zum Ausführen einer Steuerverarbeitung in Bezug auf das Steuerziel; eine Kommunikationseinheit zum Senden und Empfangen von Kommunikationsdaten in Bezug auf das Steuerziel; eine Speichereinheit zum Speichern eines Speichers eines Steuerwerts (von Steuerwerten) in der Steuereinheit und desjenigen der Steuerverarbeitung darin; eine Prozessüberwachungseinheit zum Überwachen der Steuerverarbeitung der Steuereinheit; eine Kommunikationsüberwachungseinheit zum Überwachen von Kommunikationsdaten der Kommunikationseinheit; eine Speicherüberwachungseinheit zum Überwachen eines Speichers oder von Speichern der Speichereinheit; und eine Unregelmäßigkeitsbestimmungseinheit zum Durchführen einer Bestimmung, ob eine Steuerverarbeitung der Steuereinheit unregelmäßig ist oder nicht, aus einem Überwachungsergebnis der Prozessüberwachungseinheit, dem der Kommunikationsüberwachungseinheit und dem der Speicherüberwachungseinheit.
  • Effekte der Erfindung
  • Gemäß der in der Offenbarung der betreffenden Anmeldung offenbarten Steuervorrichtung wird eine Unregelmäßigkeit von Kommunikationsdaten durch einen Cybersicherheitsangriff oder die der Steuerverarbeitung dadurch oder die eines Speichers dadurch erkannt, wodurch eine Unregelmäßigkeit der Steuerverarbeitung erkannt wird, so dass es möglich ist, ein Steuerobjekt oder -ziel sicher zu steuern.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
    • 1 ist ein Funktionsblockdiagramm einer Steuervorrichtung gemäß Ausführungsform 1;
    • 2 ist ein Diagramm, das Kombinationen von Überwachungsmethoden zeigt, bei denen eine Überwachungsverwaltungseinheit der Steuervorrichtung gemäß Ausführungsform 1 bestimmt;
    • 3 ist ein Diagramm, das Kombinationen von Überwachungsmethoden einer Kommunikationsüberwachungseinheit zeigt, in der die Überwachungsverwaltungseinheit der Steuervorrichtung gemäß Ausführungsform 1 bestimmt;
    • 4 ist ein Diagramm, das Kombinationen von Überwachungsmethoden einer Prozessüberwachungseinheit zeigt, in der die Überwachungsverwaltungseinheit der Steuervorrichtung gemäß Ausführungsform 1 bestimmt;
    • 5 ist ein Diagramm, das Kombinationen von Überwachungsmethoden einer Speicherüberwachungseinheit zeigt, in der die Überwachungsverwaltungseinheit der Steuervorrichtung gemäß Ausführungsform 1 bestimmt;
    • 6 ist ein Flussdiagramm, das die Steuerverarbeitung der Steuervorrichtung gemäß Ausführungsform 1 zeigt;
    • 7 ist ein Flussdiagramm, das die Unregelmäßigkeits-Bestimmungs-Verarbeitung der Steuervorrichtung gemäß Ausführungsform 1 zeigt;
    • 8 ist ein Flussdiagramm, das die Verarbeitung von Bestimmungsüberwachungsverfahren in der Steuervorrichtung gemäß Ausführungsform 1 zeigt; und
    • 9 ist ein Diagramm, das beispielhaft eine Hardwarekonfiguration der Steuervorrichtung gemäß Ausführungsform 1 zeigt.
  • AUSFÜHRUNGSFORMEN DER ERFINDUNG
  • Nachfolgend werden unter Bezugnahme auf die Zeichnungen die bevorzugten beispielhaften Ausführungsformen einer Steuervorrichtung erläutert, die in der Offenbarung der betreffenden Anmeldung offenbart sind. Es ist zu beachten, dass im Folgenden die Erläuterung im Detail für einen Fall als spezifisches Beispiel der Steuervorrichtung erfolgt, die auf eine bordseitige Steuervorrichtung (ECU) angewendet wird, deren Steuerobjekt(e) oder -ziel(e) als ein Kraftfahrzeug oder Kraftfahrzeug und als bordseitige Geräte oder Vorrichtungen definiert sind.
  • Ausführungsform 1.
  • 1 ist ein funktionelles Blockdiagramm einer bordseitigen Steuervorrichtung (ECU), auf die eine Steuervorrichtung gemäß Ausführungsform 1 angewendet wird. Die bordseitige Steuervorrichtung (ECU) (im Folgenden als Steuervorrichtung 10 bezeichnet) in Ausführungsform 1 ist gebildet aus einer Steuervorrichtung 100, einer Kommunikationseinheit 101, einer Speicher- oder Speichereinheit 102, einer Prozessüberwachungseinheit 103, einer Kommunikationsüberwachungseinheit 104, einer Speicherüberwachungseinheit 105, einer Unregelmäßigkeitsbestimmungseinheit 106, einer Zustandsverwaltungseinheit 107 und einer Überwachungsverwaltungseinheit 108, die in der Steuervorrichtung vorgesehen sind.
  • Bei der Steuervorrichtung 10 handelt es sich um eine bordseitige Steuereinheit zum Durchführen der Steuerung eines Automobils oder Kraftfahrzeugs. Die Steuervorrichtung 10 ist mit einer anderen Steuervorrichtung im Inneren eines Kraftfahrzeugs (beispielsweise mit einer Standby-Steuervorrichtung, einer elektrischen Servolenkungsvorrichtung und dergleichen) über eine oder mehrere Kommunikationsleitungen, beispielsweise ein CAN (Controller Area Network), verbunden, die jedoch in der Abbildung nicht dargestellt sind.
  • Die Steuervorrichtung 100 hat die Funktion, Vorrichtungen oder Geräte an einem innerhalb des Kraftfahrzeugs angebrachten Steuerobjekt(en) oder Ziel(en) zu steuern. Es kann auch so eingerichtet sein, dass eine solche Steuervorrichtung 100 in der Steuervorrichtung 10 in einer einzelnen oder einer Vielzahl von Steuereinheiten vorhanden ist. Es ist zu beachten, dass in 1 Vorrichtungen oder Geräte an einem oder mehreren Steuerziel(en) nicht dargestellt sind; daher wird in der folgenden Erläuterung eine Vorrichtung oder ein Gerät an dem Steuerziel einfach als „Steuerziel“ bezeichnet. Das Steuerziel, das innerhalb des Kraftfahrzeugs angebracht ist, ist beispielsweise ein Stellmotor.
  • Konkret liest die Steuervorrichtung 100 aus einem oder mehreren ROM(s) der Speichereinheit 102 und einem oder mehreren RAM(s) derselben ein oder mehrere einem Steuerziel zugehörige Daten des Steuerprogramms aus und führt ein oder mehrere aus der Speichereinheit ausgelesene Programme aus, wodurch die Steuerung auf dem Steuerziel durchgeführt wird. Darüber hinaus kann es auch so eingerichtet sein, dass ein solches Steuerverfahren in einer Vielzahl von Steuerverfahren existiert.
  • Die Kommunikationseinheit 101 weist die Funktionen auf, Kommunikationsdaten in Bezug auf eine andere Steuervorrichtung zwischen zu senden und zu empfangen. Solche Funktionen umfassen beispielsweise die Funktionen zum Senden und Empfangen von Kommunikationsdaten der CAN-Kommunikation.
  • Die Speichereinheit 102 ist mit einem Speicher oder Speichern vorgesehen, die ein Betriebsprogramm oder mehrere Betriebsprogramme, die eine Steuerverarbeitung der Steuervorrichtung 100 darstellen, und ihren Steuerwert oder ihre Steuerwerte, die zum Zeitpunkt ihres Betriebs verwendet werden, aufzeichnen. Der oder die Speicher umfassen ein oder mehrere ROM(s) und/oder ein oder mehrere RAM(s).
  • Die Prozessüberwachungseinheit 103 erfasst eine oder mehrere Ausführungsprozedur(en) der Steuerverarbeitung zur Verwendung in der Steuervorrichtung 100, oder eine Ausführungsanzahl davon, oder eine Ausführungszeit(en) davon. Darüber hinaus können auch eine oder mehrere andere Informationen erfasst werden. Bei der als Gegenstand definierten Steuerverarbeitung kann es sich auch um eine Gesamtsteuerverarbeitung oder um eine Teilverarbeitung handeln.
  • Die Kommunikationsüberwachungseinheit 104 erfasst eine Kommunikations-ID von Kommunikationsdaten, die von der Kommunikationseinheit 101 empfangen wurden, eine Datenlänge davon, einen Datenwert (Datenwerte) davon, die Änderungsgröße des Datenwerts (der Datenwerte) davon, eine Kommunikationsperiode davon, und eine Kommunikationsfrequenz davon. Darüber hinaus kann eine weitere Information oder können weitere Informationen hinzugefügt werden.
  • Die Speicherüberwachungseinheit 105 erfasst einen Speicher eines von der Speichereinheit 102 gespeicherten Steuerwerts bzw. der von ihr gespeicherten Steuerverarbeitung. Darüber hinaus können eine oder mehrere andere Informationen hinzugefügt werden. Außerdem können die Daten des Speichers erfasst werden, indem sie komprimiert werden, wobei die Daten einem Hashing oder dergleichen unterzogen werden.
  • Die Unregelmäßigkeitsbestimmungseinheit 106 vergleicht ein Überwachungsergebnis der Prozessüberwachungseinheit 103, das der Kommunikationsüberwachungseinheit 104 und das der Speicherüberwachungseinheit 105 mit jeweiligen Normalwerten. Was die Normalwerte betrifft, so werden die Werte, die als die Subjekt-Gegenstände der Überwachung in Bezug auf die Prozessüberwachungseinheit 103 zum Zeitpunkt ihres normalen Betriebs, die Kommunikationsüberwachungseinheit 104 dort und die Speicherüberwachungseinheit 105 dort gelten, im Voraus in einem oder mehreren ROM(s) der Speichereinheit 102 oder einem oder mehreren RAM(s) davon gespeichert.
  • Es kann so eingerichtet sein, dass, wenn ein Überwachungsergebnis der Speicherüberwachungseinheit 105 mit einem Normalwert verglichen wird, die Unregelmäßigkeitsbestimmungseinheit 106 durch Unterteilung eines Speichers feststellt, ob der Vergleich der Koinzidenz stattfindet oder nicht. Darüber hinaus können die Speicherdaten auch durch Komprimierung verglichen werden, wobei die Daten einem Hashing oder Ähnlichem unterzogen werden. Um die Sicherheit zu erhöhen und/oder eine hohe Verarbeitungsgeschwindigkeit zu erreichen, kann der Vergleich auch durch ein HSM (Hardware Security Module) durchgeführt werden.
  • Die Unregelmäßigkeitsbestimmungseinheit 106 stellt Unregelmäßigkeit fest, wenn ein Vergleichsergebnis eines Überwachungsergebnisses nicht mit einem Normalwert übereinstimmt. Die Voraussetzung für die Bestimmung der Unregelmäßigkeit ist ein beliebiges Vergleichsergebnis in einem Fall, in dem ein Überwachungsergebnis der Kommunikationsüberwachungseinheit 104 nicht mit einem Normalwert übereinstimmt, oder ein Fall, in dem ein Überwachungsergebnis der Prozessüberwachungseinheit 103 nicht mit einem Normalwert übereinstimmt, oder ein Fall, in dem ein Überwachungsergebnis der Speicherüberwachungseinheit 105 nicht mit einem Normalwert übereinstimmt.
  • Wenn eine Unregelmäßigkeit festgestellt wird, kann die Unregelmäßigkeitsbestimmungseinheit 106 zur Verarbeitung der Unregelmäßigkeitsgegenmaßnahme übergehen. Die Verarbeitung von Unregelmäßigkeiten umfasst beispielsweise eine Umschaltung der Kommunikationsleitung(en), eine Umschaltung auf eine Steuervorrichtung in Bereitschaft, eine Funktionsdegenerierung einer Steuervorrichtung und dergleichen. Wenn die Normalität festgestellt wird, wird die normale Steuerverarbeitung der Steuervorrichtung 100 kontinuierlich ausgeführt.
  • Die Zustandsverwaltungseinheit 107 erfasst einen oder mehrere Zustände eines Kraftfahrzeugs. Erfasst wird einer der folgenden Zustände: ein Steuerzustand der Steuereinheit 10, ein Steuerzustand eines Motorsteuersystems, ein Umgebungszustand eines Kraftfahrzeugs, Positionsinformationen eines Kraftfahrzeugs, ein Kommunikationszustand der Steuereinheit 10, ein Zustand eines Bedieners oder Fahrers innerhalb eines Kraftfahrzeugs, ein Prozessarbeitslastzustand in der Steuereinheit 10 und ein Cybersicherheitsangriffszustand in Bezug auf die Steuereinheit 10.
  • Genauer gesagt gibt ein Steuerzustand der Steuervorrichtung 10 einen Aktivierungs- oder Startzustand der Steuervorrichtung 10, einen Schlafzustand derselben und/oder dergleichen an. Darüber hinaus kann auch ein anderer Zustand erfasst werden.
  • Konkret gibt ein Steuersystem eines Motorsteuersystems einen Betriebszustand an, wie beispielsweise einen Fahrbetrieb des Kraftfahrzeugs, einen Wendebetrieb oder einen Anhaltebetrieb des Kraftfahrzeugs. Darüber hinaus kann auch ein anderer Zustand davon erfasst werden.
  • Konkret gibt ein Umgebungszustand eines Kraftfahrzeugs eine Verkehrssituation, wie beispielsweise Stau oder dergleichen, und/oder das Wetter, wie beispielsweise Schnee oder dergleichen, an. Darüber hinaus kann auch ein anderer Zustand davon erfasst werden.
  • Konkret geben Positionsinformationen eines Kraftfahrzeugs an, dass sich das Kraftfahrzeug in einem Tunnel, an einer Kreuzung und/oder ähnlichem befindet. Darüber hinaus kann auch ein anderer Zustand erfasst werden.
  • Genauer gesagt gibt ein Kommunikationszustand der Steuervorrichtung 10 an, ob die Steuervorrichtung 10 während der Kommunikation mit der Steuervorrichtung 10 kommuniziert oder nicht. Darüber hinaus kann der Kommunikationszustand fein klassifiziert werden.
  • Genauer gesagt gibt ein Zustand eines Bedieners oder Fahrers in einem Kraftfahrzeug einen Zustand an, in dem der Fahrer schläft, müde ist oder dergleichen. Darüber hinaus kann auch ein anderer Zustand erfasst werden.
  • Genauer gesagt gibt ein Prozessarbeitslastzustand in der Steuervorrichtung 10 an, ob es einen Spielraum oder eine Marge für die Verarbeitung gibt, wenn eine Prozessarbeitslast in der Steuervorrichtung 10 klein ist, ob es keinen Spielraum für die Verarbeitung gibt, wenn die Prozessarbeitslast groß ist, oder dergleichen. Darüber hinaus kann der darin enthaltene Prozessarbeitslastzustand fein klassifiziert werden.
  • Genauer gesagt, wenn die Unregelmäßigkeit durch die Unregelmäßigkeitsbestimmungseinheit 106 bestimmt wird, gibt ein Cybersicherheitsangriffszustand in Bezug auf die Steuervorrichtung 10 an, ob sich die Steuervorrichtung in einem Kommunikationsunregelmäßigkeitszustand gemäß einem Überwachungsergebnis der Kommunikationsüberwachungseinheit 104 befindet, oder ob sich die Steuervorrichtung in einem Verarbeitungsunregelmäßigkeitszustand gemäß einem Überwachungsergebnis der Prozessüberwachungseinheit 103 befindet, oder ob sich die Steuervorrichtung in einem Speicherunregelmäßigkeitszustand gemäß einem Überwachungsergebnis der Speicherüberwachungseinheit 105 befindet.
  • Die Überwachungsverwaltungseinheit 108 bestimmt in Übereinstimmung mit einem oder mehreren Zuständen, die von der Zustandsverwaltungseinheit 107 erfasst werden, ein Überwachungsverfahren der Prozessüberwachungseinheit 103, das der Kommunikationsüberwachungseinheit 104 und das der Speicherüberwachungseinheit 105; und die Überwachungsverwaltungseinheit bestimmt jeweilige Prioritätsgrade dieser Überwachungsverfahren. Beispielsweise, wenn ein Kommunikationszustand der Steuervorrichtung 10 in einem Zustand während der Kommunikation mit ist, ist es notwendig zu erkennen, ob unregelmäßige Kommunikationsdaten empfangen werden oder nicht, und daher wird eine Priorität der Kommunikationsüberwachung gegeben. Wenn sich ein Steuersystem eines Motorsteuersystems in einem Zustand befindet, in dem es läuft, wird der Prozessüberwachung Priorität eingeräumt, um keine unregelmäßigen Prozesse zu verursachen; und wenn sich sein Zustand in einem Zustand befindet, in dem es anhält, wird der Speicherüberwachung Priorität eingeräumt, um einen Spielraum oder eine Marge in Bezug auf die Arbeitslast eines Prozesses zu haben. Zu diesen Zuständen kann ein anderer Zustand hinzugefügt werden, oder ein Zustand kann geändert werden.
  • Die Überwachungsverwaltungseinheit 108 weist eine Priorität derart zu, dass in Übereinstimmung mit einem Zustand, der von der Zustandsverwaltungseinheit 107 erfasst wird, die Priorität der Kommunikationsüberwachung in einem Fall eines Kommunikationsunregelmäßigkeitszustandes gegeben wird, dass die Priorität der Prozessüberwachung in einem Fall eines Verarbeitungsunregelmäßigkeitszustandes gegeben wird, und dass die Priorität der Speicherüberwachung in einem Fall eines Speicherunregelmäßigkeitszustandes gegeben wird.
  • Die Überwachungs-Verwaltungseinheit 108 bestimmt, in Übereinstimmung mit einem Prozess-Arbeitslast-Zustand in der Steuervorrichtung 10 und dem Grad der Priorität darin, ein beliebiges Überwachungsverfahren mittels Überwachung nur der Prozess-Überwachungseinheit 103, Überwachung nur der Kommunikations-Überwachungseinheit 104 oder Überwachung nur der Speicher-Überwachungseinheit 105 oder mittels Überwachung einer Kombination zwischen der Prozess-Überwachungseinheit 103, der Kommunikations-Überwachungseinheit 104 und der Speicher-Überwachungseinheit 105. Kombinationen zwischen diesen Überwachungsmethoden und ihre Prioritätsgrade sind in 2 dargestellt. Die Kombinationen dieser Überwachungsmethoden können in Abhängigkeit von der Arbeitslast des Prozesses modifiziert werden.
  • Die Überwachungsverwaltungseinheit 108 bestimmt eine Überwachungsmethode der Prozessüberwachungseinheit 103, die der Kommunikationsüberwachungseinheit 104 und die der Speicherüberwachungseinheit 105 in Übereinstimmung mit ihren jeweiligen Prioritätsgraden.
  • Überwachungsmethoden der Kommunikationsüberwachungseinheit 104, deren Prioritäten in Abhängigkeit von Kraftfahrzeugzuständen zugewiesen werden, sind in 3 dargestellt. Wenn der Kommunikationsüberwachung in Übereinstimmung mit einem Zustand, der von der Zustandsverwaltungseinheit 107 erfasst wird, eine Priorität gegeben wird, weil sich die Steuervorrichtung 10 in einem Zustand befindet, in dem sie kommuniziert, oder weil sich die Steuervorrichtung in einem Zustand der Unregelmäßigkeit der Kommunikation befindet, wird die Überwachung durchgeführt, indem die Priorität einem oder mehreren Kommunikationsüberwachungselementen zugewiesen wird. Als Überwachungselemente der Kommunikationsdaten werden eine Nachrichten-ID, Daten, ein Zeitraum und die Frequenz überwacht. Die Anzahl der Überwachungselemente wird in Abhängigkeit von der Arbeitsbelastung des Prozesses geändert. Diese Überwachungselemente können in Abhängigkeit von der Arbeitsbelastung des Prozesses geändert und/oder ergänzt werden. Darüber hinaus kann ein Zustand, in dem der Kommunikationsüberwachung Priorität eingeräumt wird, ein weiterer Zustand sein.
  • Überwachungsverfahren der Prozessüberwachungseinheit 103, deren Prioritäten in Abhängigkeit von Kraftfahrzeugzuständen vergeben werden, sind in 4 dargestellt. Wenn eine Priorität der Prozessüberwachung in Übereinstimmung mit einem Zustand gegeben wird, der von der Zustandsverwaltungseinheit 107 erfasst wird, weil ein Kraftfahrzeug während der Fahrt oder in einem Zustand der Unregelmäßigkeit der Verarbeitung ist, wird die Überwachung durchgeführt, indem die Priorität einem oder mehreren Prozessüberwachungselementen zugewiesen wird. Als Überwachungselemente der Steuerverarbeitung werden eine Ausführungsreihenfolge, eine Ausführungszeit(en) und eine Ausführungsnummer überwacht. Die Anzahl der Überwachungselemente wird in Abhängigkeit von der Arbeitsbelastung des Prozesses geändert. Diese Überwachungspunkte können je nach Arbeitsbelastung des Prozesses geändert und/oder ergänzt werden. Darüber hinaus kann ein Zustand, in dem der Prozessüberwachung eine Priorität eingeräumt wird, ein weiterer Zustand sein.
  • Überwachungsmethoden der Speicherüberwachungseinheit 105, deren Prioritäten in Übereinstimmung mit Kraftfahrzeugzuständen zugewiesen werden, sind in 5 dargestellt. Wenn eine Priorität der Speicherüberwachung in Übereinstimmung mit einem Zustand gegeben wird, der von der Zustandsverwaltungseinheit 107 erfasst wird, weil ein Kraftfahrzeug während des Anhaltens oder in einem Zustand der Unregelmäßigkeit des Speichers ist, wird die Überwachung durchgeführt, indem die Priorität einem oder mehreren Speicherüberwachungselementen zugewiesen wird. Als Überwachungselemente der Speicher werden ein Speicher eines Steuerwerts bzw. von Steuerwerten und der der Steuerverarbeitung überwacht. Die Anzahl der Überwachungselemente wird in Abhängigkeit von der Arbeitsbelastung des Prozesses geändert. Darüber hinaus ist es möglich, die Überwachung nicht durchzuführen, wenn die Arbeitslast des Prozesses groß ist und die Verarbeitung nicht erreicht werden kann. Diese Überwachungselemente können in Abhängigkeit von der Arbeitsbelastung des Prozesses geändert und/oder ergänzt werden. Darüber hinaus kann ein Zustand, in dem der Speicherüberwachung Priorität eingeräumt wird, ein anderer Zustand sein.
  • Nachfolgend wird die Steuerverarbeitung der Steuervorrichtung 10 unter Bezugnahme auf 6 im Detail erläutert. 6 ist ein Flussdiagramm, das die Abläufe der Verarbeitung zeigt, beginnend mit dem Start einer Steuerung der Steuervorrichtung 100 gemäß Ausführungsform 1, bis die Steuerverarbeitung der Steuervorrichtung 100 ausgeführt wird, während sie die Verarbeitung zur Erkennung von Unregelmäßigkeiten durchläuft.
  • In Schritt S601 beginnt die Steuervorrichtung 100 mit ihrer Steuerverarbeitung. Nach Beendigung von Schritt S601 fährt die Verarbeitung mit Schritt S602 fort.
  • In Schritt S602 wird die Verarbeitung zum Erkennen von Unregelmäßigkeiten ausgeführt. Nach Beendigung von Schritt S602 geht die Verarbeitung zu Schritt S603 über.
  • In Schritt S603 fährt die Verarbeitung mit Schritt S604 fort, wenn die Unregelmäßigkeit der Steuervorrichtung in Übereinstimmung mit einem Ergebnis der Unregelmäßigkeitserfassungsverarbeitung erkannt wird. Wenn die Normalität der Steuervorrichtung in Übereinstimmung mit einem Ergebnis der Unregelmäßigkeits-Erkennungsverarbeitung erkannt wird, fährt die Verarbeitung mit Schritt S605 fort.
  • In Schritt S604 wird die Verarbeitung zum Zeitpunkt der Unregelmäßigkeitsbestimmung ausgeführt.
  • In Schritt S605 wird die Steuerverarbeitung in der Steuervorrichtung 100 ausgeführt. Nach Beendigung von Schritt S605 wird die Steuerverarbeitung beendet.
  • Als nächstes wird die Erklärung im Detail unter Bezugnahme auf 7 für Schritt S602 der Unregelmäßigkeits-Erkennungsverarbeitung in 6 gemacht. 7 ist ein Flussdiagramm, das die Abläufe der Steuerverarbeitung zur Erkennung von Unregelmäßigkeiten in der Steuervorrichtung 10 gemäß Ausführungsform 1 zeigt.
  • In Schritt S701 erfasst die Zustandsverwaltungseinheit 107 einen Kraftfahrzeugzustand. Nach Beendigung von Schritt S701 wird die Verarbeitung mit Schritt S702 fortgesetzt.
  • In Schritt S702 bestimmt die Überwachungsverwaltungseinheit 108 in Abhängigkeit von einem Zustand, der von der Zustandsverwaltungseinheit 107 erfasst wird, ein Überwachungsverfahren und den Prioritätsgrad des Überwachungsverfahrens. Nach Beendigung von Schritt S702 geht die Verarbeitung weiter zu Schritt S703.
  • In Schritt S703, wenn der Kommunikationsüberwachung in Schritt S702 eine Priorität gegeben wird, fährt die Verarbeitung mit Schritt S704 fort. Wenn der Kommunikationsüberwachung keine Priorität eingeräumt wird, fährt die Verarbeitung mit Schritt S705 fort.
  • In Schritt S704 überwacht die Kommunikationsüberwachungseinheit 104 Kommunikationsdaten. Nach Beendigung von Schritt S704 fährt die Verarbeitung mit Schritt S709 fort.
  • In Schritt S705, wenn der Prozessüberwachung in Schritt S702 eine Priorität gegeben wird, fährt die Verarbeitung mit Schritt S706 fort. Wenn der Prozessüberwachung keine Priorität eingeräumt wird, fährt die Verarbeitung mit Schritt S707 fort.
  • In Schritt S706 überwacht die Prozessüberwachungseinheit 103 die Steuerverarbeitung. Nach Beendigung von Schritt S706 geht die Verarbeitung zu Schritt S709 über.
  • In Schritt S707, wenn der Speicherüberwachung in Schritt S702 eine Priorität gegeben wird, fährt die Verarbeitung mit Schritt S708 fort. Wenn der Speicherüberwachung keine Priorität eingeräumt wird, fährt die Verarbeitung mit Schritt S709 fort.
  • In Schritt S708 überwacht die Speicherüberwachungseinheit 105 einen Speicher oder mehrere Speicher. Nach Beendigung von Schritt S708 fährt die Verarbeitung mit Schritt S709 fort.
  • In Schritt S709 kehrt die Verarbeitung zu Schritt S703 zurück, wenn es eine Vielzahl von Überwachungsmethoden für die Kommunikationsüberwachung, die Prozessüberwachung und die Speicherüberwachung in Schritt S702 gibt, und auch, wenn die Verarbeitung für sie nicht abgeschlossen ist. Wenn die Verarbeitung für sie abgeschlossen ist, fährt die Verarbeitung mit Schritt S710 fort.
  • In Schritt S710 werden die Vergleiche durchgeführt, ob ein Überwachungsergebnis in Schritt S704 mit einem normalen Wert übereinstimmt, oder ob ein Überwachungsergebnis in Schritt S706 mit einem normalen Wert übereinstimmt, oder ob ein Überwachungsergebnis in Schritt S708 mit einem normalen Wert übereinstimmt. Nach Beendigung von Schritt S710 geht die Verarbeitung weiter zu Schritt S711.
  • In Schritt S711 wird festgestellt, dass die Steuervorrichtung normal ist, wenn die Vergleichsergebnisse in Schritt S710 mit den jeweiligen Normalwerten übereinstimmen, während festgestellt wird, dass die Steuervorrichtung unregelmäßig ist, wenn die Vergleichsergebnisse nicht mit den jeweiligen Normalwerten übereinstimmen. Nach Beendigung von Schritt S711 wird die Verarbeitung zur Erkennung von Unregelmäßigkeiten beendet.
  • Als nächstes wird die Erklärung im Detail unter Bezugnahme auf 8 für Schritt S702 der Überwachungsmethoden-Bestimmungs-Verarbeitung in 7 gemacht. 8 ist ein Flussdiagramm, das die Verarbeitungsabläufe der Bestimmung von Überwachungsverfahren der Überwachungsverwaltungseinheit 108 in der Steuervorrichtung 10 gemäß Ausführungsform 1 zeigt.
  • In Schritt S801 bestimmt die Überwachungsverwaltungseinheit 108 den Prioritätsgrad der Kommunikationsüberwachung, den der Prozessüberwachung und den der Speicherüberwachung auf der Grundlage eines Kraftfahrzeugzustands, der von der Zustandsverwaltungseinheit 107 erfasst wird, und bestimmt eine Überwachungsmethode(n). Nach Beendigung des Schrittes S801 fährt die Verarbeitung mit dem Schritt S802 fort.
  • In Schritt S802 fährt die Verarbeitung mit Schritt S803 fort, wenn die Überwachungsverwaltungseinheit 108 in Schritt S801 feststellt, dass eine Kommunikationsüberwachung erforderlich ist. Wenn in Schritt S801 festgestellt wird, dass die Kommunikationsüberwachung nicht erforderlich ist, fährt die Verarbeitung mit Schritt S804 fort.
  • In Schritt S803 bestimmt die Überwachungsverwaltungseinheit 108 eine Überwachungsmethode der Kommunikationsüberwachung auf der Grundlage eines Kraftfahrzeugzustands, der von der Zustandsüberwachungseinheit 107 erfasst wird. Nach Beendigung von Schritt S803 fährt die Verarbeitung mit Schritt S808 fort.
  • In Schritt S804 fährt die Verarbeitung mit Schritt S805 fort, wenn die Überwachungsverwaltungseinheit 108 in Schritt S801 feststellt, dass eine Prozessüberwachung erforderlich ist. Wenn in Schritt S801 festgestellt wird, dass die Prozessüberwachung nicht erforderlich ist, fährt die Verarbeitung mit Schritt S806 fort.
  • In Schritt S805 bestimmt die Überwachungsverwaltungseinheit 108 ein Überwachungsverfahren der Prozessüberwachung auf der Grundlage eines Kraftfahrzeugzustands, der von der Zustandsverwaltungseinheit 107 erfasst wird. Nach Beendigung des Schrittes S805 fährt die Verarbeitung mit dem Schritt S808 fort.
  • In Schritt S806 fährt die Verarbeitung mit Schritt S807 fort, wenn die Überwachungsverwaltungseinheit 108 in Schritt S801 feststellt, dass eine Speicherüberwachung erforderlich ist. Wenn in Schritt S801 festgestellt wird, dass die Speicherüberwachung nicht erforderlich ist, fährt die Verarbeitung mit Schritt S808 fort.
  • In Schritt S807 bestimmt die Überwachungsverwaltungseinheit 108 ein Überwachungsverfahren der Speicherüberwachung auf der Grundlage eines Kraftfahrzeugzustands, der von der Zustandsverwaltungseinheit 107 erfasst wird. Nach Beendigung von Schritt S807 fährt die Verarbeitung mit Schritt S808 fort.
  • In Schritt S808, wenn nicht alle Überwachungsmethoden bestimmt sind, kehrt die Verarbeitung zu Schritt S802 zurück. Wenn alle Überwachungsmethoden bestimmt sind, wird die Verarbeitung zur Bestimmung der Überwachungsmethoden beendet.
  • Es ist zu beachten, dass die Steuervorrichtung 10, wie in 9 beispielhaft gezeigt, aus einem Prozessor 11 und einer Speicher- oder Speichervorrichtung 12 gebildet ist. Die Speichervorrichtung 12 ist mit einer flüchtigen Speichervorrichtung eines Direktzugriffsspeichers (RAM) oder dergleichen und mit einer nichtflüchtigen Zusatzspeichervorrichtung beispielsweise eines Flash-Speichers oder dergleichen versehen. Außerdem kann anstelle des Flash-Speichers eine zusätzliche Vorrichtung in Form einer Festplatte vorgesehen sein. Der Prozessor 11 führt ein oder mehrere Programme aus, die von der Vorrichtung 12 eingegeben wurden. In diesem Fall wird das Programm bzw. werden die Programme über die flüchtige Speichervorrichtung von der zusätzlichen Speichervorrichtung in den Prozessor 11 eingegeben. Außerdem kann der Prozessor 11 seine Daten eines berechneten Ergebnisses oder ähnliches in die flüchtige Speichereinrichtung der Vorrichtung 12 ausgeben oder die Daten in der Hilfsspeichereinrichtung über die flüchtige Speichereinrichtung speichern.
  • Es ist zu beachten, dass in der oben beschriebenen Ausführungsform 1 die Erläuterung beispielhaft für die Steuervorrichtung erfolgt ist, die als Onboard-Steuervorrichtung verwendet wird. Die Steuereinheit, die in der Offenbarung der betreffenden Anwendung offenbart wird, ist jedoch nicht notwendigerweise auf die bordseitige Steuereinheit beschränkt. Beispielsweise ist es möglich, für eine Steuervorrichtung, die mit einer oder mehreren Kommunikationsleitungen verbunden ist, einen Mechanismus zu verwenden, der ein hohes Maß an Sicherheitsstärke aufweist, und auch den Mechanismus, der Unregelmäßigkeiten der Steuervorrichtung frühzeitig erkennt.
  • Gemäß Ausführungsform 1 nach der oben beschriebenen Offenbarung der betreffenden Anwendung können bei der Steuerverarbeitung Effekte erzielt werden, wie sie im Folgenden beschrieben werden.
  • In einer herkömmlichen Steuervorrichtung verwendet die Vorrichtung ein Verfahren zum Erkennen von Unregelmäßigkeiten, das sich auf Kommunikationsdaten konzentriert, und/oder ein Verfahren zum Erkennen von Unregelmäßigkeiten, das sich auf die Steuerverarbeitung konzentriert. Andererseits überwacht die Steuervorrichtung gemäß Ausführungsform 1 Kommunikationsdaten und/oder Steuerwert(e), Steuerverarbeitung und einen oder mehrere Speicher und vergleicht, ob ein Überwachungsergebnis mit einem Normalwert übereinstimmt oder nicht, wodurch die Steuervorrichtung mit der Konfiguration zum Erkennen von Unregelmäßigkeiten der Steuervorrichtung vorgesehen ist.
  • Gemäß dieser Anordnung ist es möglich, eine Unregelmäßigkeit zu erkennen, selbst wenn Kommunikationsdaten durch einen Cybersicherheitsangriff verschleiert werden und/oder wenn ein Steuerwert oder Steuerwerte und die Steuerverarbeitung dadurch verschleiert werden und/oder selbst wenn ein Speicher oder Speicher manipuliert werden.
  • Darüber hinaus umfasst die Steuervorrichtung gemäß Ausführungsform 1 die Zustandsverwaltungseinheit zum Erfassen eines Kraftfahrzeugzustands und die Überwachungsverwaltungseinheit zum Durchführen einer Bestimmung eines Überwachungsverfahrens, dem eine Priorität in Abhängigkeit von einem Kraftfahrzeugzustand gegeben werden soll; und die Steuervorrichtung umfasst die Konfiguration, in der Überwachungsverfahren in Abhängigkeit von dem Kraftfahrzeugzustand umgeschaltet oder miteinander kombiniert werden können. Durch diese Anordnung wird es möglich, eine optimale Überwachung zu erreichen, während die Arbeitslast eines Prozesses gedämpft wird.
  • Darüber hinaus ist die Steuervorrichtung gemäß Ausführungsform 1 mit einer Ausgestaltung vorgesehen, bei der eine Vielzahl von Überwachungsmethoden beherrschbar ist, darunter die Überwachung auf nur Kommunikationsdaten, die Überwachung auf nur Steuerverarbeitung, die Überwachung auf nur einen oder mehrere Speicher, die Überwachung mittels einer Kombination aus den Kommunikationsdaten, der Steuerverarbeitung und dem oder den Speichern. Gemäß dieser Anordnung ist es möglich, Überwachungsmethoden miteinander zu kombinieren, je nach der Arbeitsbelastung des Prozesses.
  • Weiterhin ist die Vorrichtung gemäß Ausführungsform 1 mit der Konfiguration vorgesehen, bei der in Abhängigkeit von einem Kraftfahrzeugzustand auf ein Überwachungsverfahren von Kommunikationsdaten, auf ein Überwachungsverfahren der Steuerverarbeitung, auf ein Überwachungsverfahren eines Speichers oder von Speichern, auf die eine Priorität gegeben werden soll, bestimmt wird. Gemäß dieser Anordnung wird es möglich, eine Überwachung von Kommunikationsdaten in Übereinstimmung mit einer Prozessarbeitslast, eine Überwachung der Steuerverarbeitung in Übereinstimmung mit einer Prozessarbeitslast und eine Überwachung eines Speichers oder von Speichern in Übereinstimmung mit einer Prozessarbeitslast zu erreichen.
  • Darüber hinaus ist die Steuervorrichtung gemäß Ausführungsform 1 mit der Konfiguration vorgesehen, in der die Überwachung durch Zuweisung einer Priorität auf der Kommunikationsüberwachungseinheit durchgeführt wird, wenn die Steuervorrichtung während der Kommunikation mit. Gemäß dieser Anordnung wird es möglich, Unregelmäßigkeit von Kommunikationsdaten zu erkennen.
  • Darüber hinaus ist die Steuervorrichtung gemäß Ausführungsform 1 mit einer Konfiguration vorgesehen, in der die Überwachung durch Zuweisung einer Priorität an die Prozessüberwachungseinheit durchgeführt wird, wenn ein Kraftfahrzeug in Betrieb ist. Gemäß dieser Anordnung ist es möglich, eine Unregelmäßigkeit der Steuerverarbeitung zu erkennen.
  • Darüber hinaus ist die Steuervorrichtung gemäß Ausführungsform 1 mit einer Konfiguration vorgesehen, in der die Überwachung durch Zuweisung einer Priorität an die Speichersteuereinheit durchgeführt wird, wenn ein Kraftfahrzeug im Stillstand ist. Durch diese Anordnung wird es möglich, eine Manipulation eines Speichers oder von Speichern zu erkennen.
  • Weiterhin ist die Steuervorrichtung gemäß Ausführungsform 1 mit der Konfiguration vorgesehen, in der ein Kommunikationsüberwachungsergebnis, ein Prozessüberwachungsergebnis und ein Speicherüberwachungsergebnis mit einem Kommunikationsüberwachungswert zu einer normalen Zeit, einem Prozessüberwachungswert dort bzw. einem Speicherüberwachungswert dort, verglichen werden. Gemäß dieser Anordnung wird es möglich, eine Unregelmäßigkeit der Steuervorrichtung zu erkennen, wenn ein Wert oder mehrere Werte zum normalen Zeitpunkt nicht mit einem Überwachungsergebnis oder mehreren Überwachungsergebnissen übereinstimmen.
  • Darüber hinaus ist die Steuervorrichtung gemäß Ausführungsform 1 mit einer Konfiguration vorgesehen, durch die es möglich ist, einen Zustand zu erfassen, ob ein Cybersicherheitsangriff empfangen wird oder nicht. Gemäß dieser Anordnung ist es möglich, eine Unregelmäßigkeit der Steuervorrichtung auch nach einem Cybersicherheitsangriff zu erkennen.
  • In der vorliegenden Offenbarung der betreffenden Anwendung werden beispielhafte Ausführungsformen beschrieben; verschiedene Merkmale, Aspekte und Funktionen, die in den Ausführungsformen beschrieben sind, sind jedoch nicht notwendigerweise auf die Anwendungen einer bestimmten Ausführungsform(en) beschränkt, sondern sind in einer Ausführungsform(en) allein oder in verschiedenen Kombinationen anwendbar.
  • Daher können unbegrenzte Modifikationsbeispiele, die nicht beispielhaft sind, angenommen werden, ohne dass der Umfang der in der Beschreibung der Offenbarung der betreffenden Anwendung offenbarten Technologien verlassen wird. Beispielsweise ist ein solcher Fall umfasst, bei dem mindestens ein Bestandteil einer anderen Ausführungsform geändert, hinzugefügt oder beseitigt wird.
  • Erläuterung von Bezugszeichen und Symbolen
  • Die Bezugszeichen sind wie folgt festgelegt:
    • 10
    Steuervorrichtung
    100
    Steuereinheit
    101
    Kommunikationseinheit
    102
    Speichereinheit
    103
    Prozessüberwachungseinheit
    104
    Kommunikationsüberwachungseinheit
    105
    Speicherüberwachungseinheit
    106
    Unregelmäßigkeitsbestimmungsvorrichtung
    107
    Zustandsverwaltungseinheit
    108
    Überwachungsverwaltungseinheit.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 6531011 [0009]
    • WO 2019/159615 [0009]

Claims (9)

  1. Eine Steuervorrichtung, die eine Kommunikation von Daten in Bezug auf ein dazwischenliegendes Steuerziel durchführt, wobei die Steuervorrichtung umfasst: eine Steuereinheit zum Ausführen von Steuerverarbeitung an dem Steuerziel; eine Kommunikationseinheit zum Übertragen und Empfangen von Kommunikationsdaten in Bezug auf das Steuerziel; eine Speichereinheit zum Speichern von Daten eines Steuerwerts in der Steuereinheit und der einer Steuerverarbeitung darin; eine Prozessüberwachungseinheit zum Überwachen einer Steuerverarbeitung der Steuereinheit; eine Kommunikationsüberwachungseinheit zum Überwachen von Kommunikationsdaten der Kommunikationseinheit; eine Speicherüberwachungseinheit zum Überwachen eines Speichers der Speichereinheit; und eine Unregelmäßigkeitsbestimmungseinheit zum Durchführen einer Bestimmung, ob die Steuerverarbeitung der Steuereinheit unregelmäßig ist oder nicht, aus einem Überwachungsergebnis der Prozessüberwachungseinheit, dem der Kommunikationsüberwachungseinheit und dem der Speicherüberwachungseinheit.
  2. Steuervorrichtung nach Anspruch 1, die die Steuervorrichtung eines Kraftfahrzeugsteuersystems zur Steuerung des Betriebs eines Kraftfahrzeugs ist, wobei die Steuervorrichtung ferner umfasst eine Zustandsverwaltungseinheit zum Erfassen eines Zustands aus der Gruppe von einem Steuerzustand der Steuereinheit, einem Steuerzustand des Kraftfahrzeugsteuersystems, einem benachbarten Umgebungszustand eines Kraftfahrzeugs, Positionsinformationen eines Kraftfahrzeugs, einem Kommunikationszustand in Bezug auf ein Kraftfahrzeug, einem Zustand eines Fahrers innerhalb eines Kraftfahrzeugs, einem Zustand einer Prozessarbeitslast in der Steuereinheit und einem Angriffszustand des Kraftfahrzeugsteuersystems; und eine Überwachungsverwaltungseinheit zum Bestimmen, in Übereinstimmung mit dem Zustand, eines Überwachungsverfahrens und eines Prioritätsgrades davon auf der Prozessüberwachungseinheit, eines Überwachungsverfahrens und eines Prioritätsgrades davon auf der Kommunikationsüberwachungseinheit und eines Überwachungsverfahrens und eines Prioritätsgrades davon auf der Speicherüberwachungseinheit.
  3. Steuervorrichtung nach Anspruch 2, wobei die Überwachungsverwaltungseinheit in Übereinstimmung mit einem Überwachungsverfahren und einem Prioritätsgrad davon ein Überwachungsverfahren durch eine beliebige Kombination der Überwachung nur der Kommunikationsüberwachungseinheit, der Überwachung nur der Prozessüberwachungseinheit oder der Überwachung nur der Speicherüberwachungseinheit oder ein Überwachungsverfahren durch eine Kombination der Überwachung der Kommunikationsüberwachungseinheit, der Prozessüberwachungseinheit und/oder der Speicherüberwachungseinheit bestimmt.
  4. Steuervorrichtung nach Anspruch 2 oder Anspruch 3, wobei die Überwachungsverwaltungseinheit in Übereinstimmung mit einem Überwachungsverfahren und einem Prioritätsgrad davon ein Überwachungsverfahren durch eine Kombination aus der Kommunikationsüberwachungseinheit, der Prozessüberwachungseinheit und/oder der Speicherüberwachungseinheit bestimmt; und außerdem die Überwachungsverwaltungseinheit ein Überwachungsverfahren von Kommunikationsdaten in der Kommunikationsüberwachungseinheit, ein Überwachungsverfahren der Steuerverarbeitung in der Prozessüberwachungseinheit und ein Überwachungsverfahren eines Speichers eines Steuerwertes in der Speicherüberwachungseinheit und das der Steuerverarbeitung darin bestimmt.
  5. Steuervorrichtung nach einem der Ansprüche 2 bis 4, wobei die Überwachungsverwaltungseinheit einen Prioritätsgrad der Kommunikationsüberwachungseinheit höher als eine andere Überwachungseinheit zuweist, wenn die Steuervorrichtung in einem Zustand ist, während einer Kommunikation damit, gemäß der Zustandsverwaltungseinheit; die Überwachungsverwaltungseinheit in Übereinstimmung mit einem Zustand einer Prozessarbeitslast gemäß der Zustandsverwaltungseinheit in der Steuervorrichtung ein Überwachungsverfahren durch eine Kombination aus der Gruppe einer Überwachung nur der Kommunikationsüberwachungseinheit, einer Überwachung nur der Kommunikationsüberwachungseinheit und der Prozessüberwachungseinheit, einer Überwachung nur der Kommunikationsüberwachungseinheit und der Speicherüberwachungseinheit und einer Überwachung der Kommunikationsüberwachungseinheit, der Prozessüberwachungseinheit und der Speicherüberwachungseinheit bestimmt; und außerdem die Überwachungsverwaltungseinheit ein Überwachungsverfahren von Kommunikationsdaten in der Kommunikationsüberwachungseinheit bestimmt.
  6. Steuervorrichtung nach einem der Ansprüche 2 bis 4, wobei die Überwachungsverwaltungseinheit einen Prioritätsgrad der Prozessüberwachungseinheit höher als eine andere Überwachungseinheit zuweist, wenn sich ein Kraftfahrzeug in einem Zustand während der Fahrt gemäß der Zustandsüberwachungseinheit befindet; die Überwachungsverwaltungseinheit in Übereinstimmung mit einem Zustand einer Prozessarbeitslast gemäß der Zustandsverwaltungseinheit in der Steuervorrichtung ein beliebiges Überwachungsverfahren durch eine Kombination aus der Gruppe einer Überwachung nur der Prozessüberwachungseinheit, einer Überwachung nur der Prozessüberwachungseinheit und der Kommunikationsüberwachungseinheit, einer Überwachung nur der Prozessüberwachungseinheit und der Speicherüberwachungseinheit und einer Überwachung der Kommunikationsüberwachungseinheit, der Prozessüberwachungseinheit und der Speicherüberwachungseinheit bestimmt; und außerdem die Überwachungsverwaltungseinheit ein Überwachungsverfahren der Steuerverarbeitung in der Prozessüberwachungseinheit bestimmt.
  7. Steuervorrichtung nach einem der Ansprüche 2 bis 4, wobei die Überwachungsverwaltungseinheit einen Prioritätsgrad der Speicherüberwachungseinheit höher als eine andere Überwachungseinheit zuweist, wenn sich ein Kraftfahrzeug gemäß der Zustandsverwaltungseinheit in einem Anhaltezustand befindet; die Überwachungsverwaltungseinheit in Übereinstimmung mit einem Zustand einer Prozessarbeitslast gemäß der Zustandsverwaltungseinheit in der Steuervorrichtung ein beliebiges Überwachungsverfahren durch eine Kombination aus der Gruppe der Überwachung nur der Speicherüberwachungseinheit, einer Überwachung nur der Speicherüberwachungseinheit und der Kommunikationsüberwachungseinheit, einer Überwachung nur der Speicherüberwachungseinheit und der Prozessüberwachungseinheit und einer Überwachung der Speicherüberwachungseinheit, der Kommunikationsüberwachungseinheit und der Prozessüberwachungseinheit bestimmt; und außerdem die Überwachungsverwaltungseinheit ein Überwachungsverfahren eines Speichers eines Steuerwerts in der Speicherüberwachungseinheit und das der Steuerverarbeitung darin bestimmt.
  8. Steuervorrichtung nach Anspruch 1, wobei die Unregelmäßigkeitsbestimmungseinheit jeweilige Normalwerte von Überwachungswerten, die Überwachungsgegenstände werden sollen, in Bezug auf die Prozessüberwachungseinheit, die Kommunikationsüberwachungseinheit und die Speicherüberwachungseinheit, mit einem Überwachungsergebnis der Prozessüberwachungseinheit, mit dem der Kommunikationsüberwachungseinheit und mit dem der Speicherüberwachungseinheit vergleicht; und die Unregelmäßigkeitsbestimmungseinheit eine Bestimmung durchführt, so dass die Steuervorrichtung unregelmäßig ist, wenn die jeweiligen Normalwerte nicht miteinander übereinstimmen.
  9. Steuervorrichtung nach Anspruch 2 oder Anspruch 3, wobei die Zustandsverwaltungseinheit einen Zustand erfasst, ob ein Kraftfahrzeug einen Cybersicherheitsangriff erfährt oder nicht, wobei die Zustandsverwaltungseinheit einen Kommunikationsangriffszustand einnimmt, wenn von der Unregelmäßigkeitsbestimmungseinheit in Übereinstimmung mit einem Überwachungsergebnis der Kommunikationsüberwachungseinheit eine Unregelmäßigkeit festgestellt wird, und die Überwachungsverwaltungseinheit einen Prioritätsgrad der Kommunikationsüberwachungseinheit höher als eine andere Überwachungseinheit zuordnet; die Zustandsverwaltungseinheit einen Prozessangriffszustand annimmt, wenn eine Unregelmäßigkeit durch die Unregelmäßigkeitsbestimmungseinheit in Übereinstimmung mit einem Überwachungsergebnis der Prozessüberwachungseinheit bestimmt wird, und die Überwachungsverwaltungseinheit einen Prioritätsgrad der Prozessüberwachungseinheit höher als eine andere Überwachungseinheit zuweist; und die Zustandsverwaltungseinheit einen Speicherangriffszustand annimmt, wenn eine Unregelmäßigkeit durch die Unregelmäßigkeitsbestimmungseinheit in Übereinstimmung mit einem Überwachungsergebnis der Speicherüberwachungseinheit bestimmt wird, und die Überwachungsverwaltungseinheit einen Prioritätsgrad der Speicherüberwachungseinheit höher als eine andere Überwachungseinheit zuweist.
DE112021007689.2T 2021-05-20 2021-05-20 Steuervorrichtung Pending DE112021007689T5 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2021/019205 WO2022244200A1 (ja) 2021-05-20 2021-05-20 制御装置

Publications (1)

Publication Number Publication Date
DE112021007689T5 true DE112021007689T5 (de) 2024-03-07

Family

ID=84140197

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112021007689.2T Pending DE112021007689T5 (de) 2021-05-20 2021-05-20 Steuervorrichtung

Country Status (4)

Country Link
JP (1) JPWO2022244200A1 (de)
CN (1) CN117241981A (de)
DE (1) DE112021007689T5 (de)
WO (1) WO2022244200A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6531011B2 (ja) 2015-09-04 2019-06-12 日立オートモティブシステムズ株式会社 車載ネットワーク装置
WO2019159615A1 (ja) 2018-02-14 2019-08-22 日立オートモティブシステムズ株式会社 車両監視システム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4995170B2 (ja) * 2008-10-06 2012-08-08 日本電信電話株式会社 不正検知方法、不正検知装置、不正検知プログラムおよび情報処理システム
JP5522160B2 (ja) * 2011-12-21 2014-06-18 トヨタ自動車株式会社 車両ネットワーク監視装置
JP6808595B2 (ja) * 2017-09-01 2021-01-06 クラリオン株式会社 車載装置、インシデント監視方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6531011B2 (ja) 2015-09-04 2019-06-12 日立オートモティブシステムズ株式会社 車載ネットワーク装置
WO2019159615A1 (ja) 2018-02-14 2019-08-22 日立オートモティブシステムズ株式会社 車両監視システム

Also Published As

Publication number Publication date
CN117241981A (zh) 2023-12-15
WO2022244200A1 (ja) 2022-11-24
JPWO2022244200A1 (de) 2022-11-24

Similar Documents

Publication Publication Date Title
DE10213165B3 (de) Verfahren und Vorrichtung zum Übernehmen von Daten
DE112019000485T5 (de) System und verfahren zum bereitstellen der sicherheit für einfahrzeuginternes netzwerk
DE102019201382A1 (de) Vorrichtung und verfahren zum steuern eines fahrzeugs auf dergrundlage von redundanter architektur
DE102018210318B4 (de) Verfahren zur Sicherung von Fahrzeugkomponenten und entsprechende Fahrzeugkomponente
WO2003003200A1 (de) Verfahren zum übertragen von software-modulen
DE112018005352T5 (de) Informationsverarbeitungsvorrichtung, bewegte einrichtung, verfahren und programm
EP2907072B1 (de) Verfahren zur steuerung eines getrennten ablaufs von verknüpften programmblöcken und steuergerät
DE102018221063A1 (de) Konfiguration eines Steuerungssystems für ein zumindest teilautonomes Kraftfahrzeug
WO2011107319A2 (de) Verfahren zum verifizieren eines speicherblocks eines nicht-flüchtigen speichers
DE102005039128A1 (de) Sicherheitseinrichtung für elektronische Geräte
DE112021007689T5 (de) Steuervorrichtung
DE102023110645A1 (de) Sicherheitsverfahren und Sicherheitsvorrichtung
DE102013021231A1 (de) Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät
DE102019004612A1 (de) Verfahren zum Betreiben eines Fahrzeugs mit einem Steuergerät
DE112018004881T5 (de) Überwachungsvorrichtung, Überwachungssystem und Computerprogramm
DE102017219241A1 (de) Verfahren und Halbleiterschaltkreis zum Schützen eines Betriebssystems eines Sicherheitssystems eines Fahrzeugs
DE102021208459A1 (de) Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
DE102022203871A1 (de) Steuersystem
DE102009027369A1 (de) Verfahren sowie System zur Ansteuerung von mindestens einem Aktuator
DE102019204452A1 (de) Verfahren und Vorrichtung zum Betreiben eines Steuergerätes in einem Verbund von Steuergeräten
DE102017212560A1 (de) Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion
DE112020007053T5 (de) Steuervorrichtung und Steuerverfahren
DE112018007548B4 (de) Datenkommunikationssteuerungseinrichtung, Datenkommunikationssteuerprogramm und Datensteuerungssystem
DE102005008928A1 (de) Verfahren zur Authentifizierung eines Moduls
DE112020007248T5 (de) Steuersystem

Legal Events

Date Code Title Description
R012 Request for examination validly filed