JP6893585B2 - 自動車の非アクティブ化された動作状態の確定方法 - Google Patents
自動車の非アクティブ化された動作状態の確定方法 Download PDFInfo
- Publication number
- JP6893585B2 JP6893585B2 JP2020535294A JP2020535294A JP6893585B2 JP 6893585 B2 JP6893585 B2 JP 6893585B2 JP 2020535294 A JP2020535294 A JP 2020535294A JP 2020535294 A JP2020535294 A JP 2020535294A JP 6893585 B2 JP6893585 B2 JP 6893585B2
- Authority
- JP
- Japan
- Prior art keywords
- signal
- operating state
- automobile
- vehicle
- deactivated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R21/00—Arrangements or fittings on vehicles for protecting or preventing injuries to occupants or pedestrians in case of accidents or other traffic risks
- B60R21/01—Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W40/00—Estimation or calculation of non-directly measurable driving parameters for road vehicle drive control systems not related to the control of a particular sub unit, e.g. by using mathematical models
- B60W40/10—Estimation or calculation of non-directly measurable driving parameters for road vehicle drive control systems not related to the control of a particular sub unit, e.g. by using mathematical models related to vehicle motion
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R21/00—Arrangements or fittings on vehicles for protecting or preventing injuries to occupants or pedestrians in case of accidents or other traffic risks
- B60R21/01—Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents
- B60R2021/01122—Prevention of malfunction
- B60R2021/01129—Problems or faults
- B60R2021/01177—Misdeployment, e.g. during assembly, disassembly, accident salvage or recycling
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W2520/00—Input parameters relating to overall vehicle dynamics
- B60W2520/10—Longitudinal speed
Landscapes
- Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Mathematical Physics (AREA)
- Transportation (AREA)
- Air Bags (AREA)
Description
昨今の自動車は決まって、例えばエアバッグのような火薬式システムを有する。とりわけ自動車をスクラップする際には、このような火薬式システムは危険であり得る。したがって例えばエアバッグは、自動車をスクラップする際には決まってコントロール下で点火される。これは「エンドオブライフ作動」としても知られている。
ISO 26021は、例えばエアバッグのような火薬式コンポーネントの車両内での作動方法を定義している。これにより、車両リサイクルの際の火薬式コンポーネントの確実で好適な非アクティブ化のための、メーカーをまたいだメカニズムが提供されている。
ISO 26021の標準規格は、「エンドオブライフ作動」の前に、自動車の動作状態をチェックすることの可能性を示している。これに関し、エアバッグがコントロール下で点火される場合に自動車が停止していることを保証するため、例えば簡易な速度信号が読み取られる。この速度信号は、例えばそのほかにはABSのために使用される信号であり、信号バスを介して取得可能である。
ここでは、自動車の非アクティブ化された動作状態の特に有利な確定方法を紹介する。従属請求項は本方法の特に有利な変形形態を提示する。
前述の方法は、基本的には自動車のあらゆる動作状態に適用され得る。つまり例えば、自動車の電子コンポーネント(例えば制御機器、ラジオ、またはウィンドウリフター)の調整が動作状態であり得る。例えばエンジン回転数、燃料消費量、または走行速度も動作状態として考慮される。動作状態は、例えば、対応する動作状態を特徴づける動作パラメータが、相応に設定された値域内にある場合に、非アクティブ化された動作状態と見なされ得る。とりわけ、非アクティブ化された動作状態ではそのような動作パラメータが特に小さい可能性がある。例えばエンジン回転数が、アイドリングに関して設定された回転数の下にある場合、エンジン回転数から、自動車のスイッチがオフになっていることが推論され得る。この場合には、非アクティブ化された動作状態は、エンジンが切られていることを特色とする。
前述の方法は、基本的には自動車のあらゆる動作状態に適用され得る。つまり例えば、自動車の電子コンポーネント(例えば制御機器、ラジオ、またはウィンドウリフター)の調整が動作状態であり得る。例えばエンジン回転数、燃料消費量、または走行速度も動作状態として考慮される。動作状態は、例えば、対応する動作状態を特徴づける動作パラメータが、相応に設定された値域内にある場合に、非アクティブ化された動作状態と見なされ得る。とりわけ、非アクティブ化された動作状態ではそのような動作パラメータが特に小さい可能性がある。例えばエンジン回転数が、アイドリングに関して設定された回転数の下にある場合、エンジン回転数から、自動車のスイッチがオフになっていることが推論され得る。この場合には、非アクティブ化された動作状態は、エンジンが切られていることを特色とする。
非アクティブ化された動作状態は、とりわけ非常に安全であり得る。これは、とりわけエンジンまたは電子コンポーネントが切られている場合にそうである。前述の方法により、非アクティブ化された動作状態が存在しているかどうかが、とりわけ非常に高い信頼性で認識され得る。
このために、前述の方法のステップa)では、自動車の動作パラメータを含む少なくとも1つの信号が受信される。
ステップa)では1つの信号が受信され得る。ただしステップa)で複数の信号が受信されてもよく、続いて後のステップb)、c)および場合によってはd)で、さらに処理され得る。以下に「信号」または「この信号」と言う場合は常に、ステップb)で設定可能な閾値と比較するために、およびステップc)で非アクティブ化された動作状態を認識するために、一緒に利用される複数の信号である場合も含んでいる。
ステップa)では1つの信号が受信され得る。ただしステップa)で複数の信号が受信されてもよく、続いて後のステップb)、c)および場合によってはd)で、さらに処理され得る。以下に「信号」または「この信号」と言う場合は常に、ステップb)で設定可能な閾値と比較するために、およびステップc)で非アクティブ化された動作状態を認識するために、一緒に利用される複数の信号である場合も含んでいる。
信号は、前述の方法を実施するために決定および適応されたユーザインターフェイスによって受信されることが好ましい。このユーザインターフェイスは、例えばラップトップのようなコンピュータであることができ、このコンピュータは、例えば診断コネクタおよび/または無線接続を介して自動車のネットワークにつながっている。しかしユーザインターフェイスが(永続的に)自動車内に設けられていてもよい。すなわちユーザインターフェイスは、例えば運転者によって操作可能な自動車のオンボードコンピュータであってもよい。本方法は、火薬式制御ユニット内で、したがって自動車内で実装されていてもよい。
信号は、例えば、動作パラメータを測定するためのセンサにつながった制御機器によって出力することができる。信号は、制御機器により直接的に計算の結果として出力することもできる。とりわけ、信号は自動車の信号バス上で取得可能であり得る。
前述の方法のステップb)では、ステップa)に基づいて受信された信号からの動作パラメータが、設定可能な閾値を最後に超えた時点が確定される。
設定可能な閾値は、とりわけユーザインターフェイス内に格納され得る。この閾値は、時間的に一定の値として設定され得る。閾値は、1つまたは複数のパラメータに依存して設定することもでき、したがって閾値は、この1つまたは複数のパラメータから、時間依存性に計算され得る。
設定可能な閾値は、とりわけユーザインターフェイス内に格納され得る。この閾値は、時間的に一定の値として設定され得る。閾値は、1つまたは複数のパラメータに依存して設定することもでき、したがって閾値は、この1つまたは複数のパラメータから、時間依存性に計算され得る。
設定可能な閾値を超えるとは、その前から比較的大きかった値が、閾値をまたいで、設定可能な閾値の上にいったということであり、またはその前から比較的小さかった値が、閾値をまたいで、設定可能な閾値の下にいったということである。これに関し、ステップb)で、設定可能な閾値の下から設定可能な閾値の上に超えることが考慮されるべきか、かつ/または設定可能な閾値の上から設定可能な閾値の下に超えることが考慮されるべきかが設定され得る。つまり例えば、ステップb)で、動作パラメータが設定可能な閾値の下に最後に落ち、その後、再び閾値を乗り越えていない時点が捕捉されることが設定され得る。それゆえステップb)で確定された時点は、どのくらい長い間、動作パラメータが設定可能な閾値より大きくなかったかを提示する。
基本的には、動作パラメータの目下の値に直接的に基づいて、非アクティブ化された動作状態が存在しているかどうかが判定され得る。しかしこれは間違いを起こしやすい。動作パラメータの目下の値が誤っている場合、非アクティブ化された動作状態が存在しているかどうかも誤って判定され得る。
この問題は、とりわけ自動車のデジタル化およびネットワーク化がますます進んでいることを鑑みて重要である。自動車へのサイバー攻撃が可能であることが分かっている。自動車へのサイバー攻撃の数および質は、将来的に増していくと予測され得る。これは、とりわけインターネット接続を有する自動車の場合にそうである(とりわけ「車車間(V2V)」通信または「路車間(V2I)」通信を介して)。攻撃者は既に、無線接続を介してメッセージを車両ネットワーク内に(とりわけ信号バス内に)導入することに、おそらく自動車への物理的アクセスを必要とすることなく成功している。
とりわけあり得るサイバー攻撃を鑑みて、前述の方法により、非アクティブ化された動作状態の認識が特に高い信頼性で行われ得る。これは、前述の方法が単に動作パラメータの目下の値だけに基づいてはいないからである。そうではなくステップb)では、どのくらい長く動作パラメータが設定可能な閾値を超えなかったかも考慮される。
例えば一人の攻撃者が、サイバー攻撃により動作パラメータの幾つかの値を不正操作することに成功してもなお、前述の方法により、非アクティブ化された動作状態が存在しているかどうかが正しく認識され得る。前述の方法は、とりわけこの場合、一時的に不正操作するサイバー攻撃に対してロバスト性がある。
前述の方法のステップc)では、ステップb)に基づいて確定された時点が、設定期間より以前のことかどうかに依存して、非アクティブ化された動作状態が認識される。
設定期間は、とりわけユーザインターフェイス内に格納され得る。この期間は、時間的に一定の値として設定され得る。期間は、1つまたは複数のパラメータに依存して設定することもでき、したがって期間は、この1つまたは複数のパラメータから、時間依存性に計算され得る。
設定期間は、とりわけユーザインターフェイス内に格納され得る。この期間は、時間的に一定の値として設定され得る。期間は、1つまたは複数のパラメータに依存して設定することもでき、したがって期間は、この1つまたは複数のパラメータから、時間依存性に計算され得る。
ステップc)では、とりわけ、設定期間によって決定される経過時間内に動作パラメータが設定可能な閾値を超えたか否かがチェックされ得る。つまり設定期間は、目下の時点から過去へと延びている。設定可能な閾値が設定期間内に超えられなかった場合、動作パラメータは全設定期間の間ずっと、設定可能な閾値の同じ側にあった。この場合であれば、非アクティブ化された動作状態が存在しているか否かが特に高い信頼性をもって認識され得る。例えば、非アクティブ化された動作状態が動作パラメータの特に小さな値によって特徴づけられている場合、ステップc)では、動作パラメータが少なくとも全設定期間の間ずっと設定可能な閾値の下にあった場合、非アクティブ化された動作状態の存在を判定し得る。そうでない場合、つまり動作パラメータが設定期間内に一時的にだけでも設定可能な閾値の上にあった場合、これに対応して、非アクティブ化された動作状態は存在していないと判定され得る。
この手順により、とりわけサイバー攻撃による不正操作を困難にすることができ、またはサイバー攻撃の影響が軽減され得る。前述の例では、ステップc)で誤った判定が下されるには、攻撃者は動作パラメータの値を全設定期間の間ずっと、設定可能な閾値の下の値へと不正操作しなければならない。これは、1つの値の不正操作よりかなり難しい。動作パラメータが、例えば実際は全設定期間の間ずっと対応する設定可能な閾値の上にあり、かつこの期間の一部の間だけ、設定可能な閾値の下の値への不正操作が行われた場合、前述の方法は、これによって何らの影響も受けないままである。
本方法の好ましい一実施形態では、信号がステップa)で多数の不連続の受信時点で受信され、これらの受信時点は長くて最大受信期間だけ離れており、かつステップc)で使用される設定期間は、少なくとも最大受信時点より大きい。
動作パラメータは、とりわけ繰り返し(とりわけ周期的に)受信され得る。これは、とりわけ信号バスを介して取得可能なパラメータの場合にそうである。これらのパラメータは決まって、ある特定のクロック周波数で更新される。このクロックに応じて、動作パラメータが相応に不連続の受信時点で受信され得る。これに関し受信期間は、2つの隣接する受信時点の時間間隔を提示する。最大受信期間は、2つの隣接する受信時点の間にある最大の時間間隔である。動作パラメータが周期的に受信される場合、すべての受信時点が同じ受信期間だけ離れており、この受信期間は最大受信期間にも相当する。
不連続の受信時点で受信可能なこのような動作パラメータの場合にとりわけ前述の方法が有利であり、なぜなら不連続の受信時点の1つでの不正操作は取るに足りないものだからである。つまり攻撃者が、サイバー攻撃の際、不連続の受信時点の1つで動作パラメータの値を不正操作することに成功する場合、これはまだステップc)での判定への影響を有さない。攻撃者が、設定期間内のすべての不連続の受信時点で動作パラメータを不正操作する場合に初めて、これがステップc)での判定への影響を有する。しかし不連続の受信時点の複数での動作パラメータの不正操作は、1つの受信時点での不正操作より明らかに難しい。
設定期間が、最大受信期間に比べて大きく選択されればされるほど、攻撃が影響を有するためにより多くの値が不正操作されなければならない。これに対応して、特に大きな設定期間が好ましい。
本方法のさらなる好ましい一実施形態では、動作パラメータは自動車の速度である。
動作パラメータとしての自動車の速度を通して、とりわけ自動車の停止が認識され得る。
動作パラメータとしての自動車の速度を通して、とりわけ自動車の停止が認識され得る。
しかし前述の方法は、自動車の速度の代わりにまたはそれに加えて、とりわけ自動車のエンジンがかかっているか切られているかを提示する動作パラメータによっても実施され得る。これによっても自動車の停止が認識され得る。
自動車の停止を特に高い信頼性で認識し得ることは、とりわけエアバッグの「エンドオブライフ作動」の際に有利であり得る。これはとりわけ、本方法のさらなる好ましい実施形態で活用でき、その実施形態では、本方法がさらに、自動車の火薬式要素の少なくとも1つの作動信号のための出力信号を出力するために適応されており、この出力信号は、非アクティブ化された動作状態が認識された場合は第1の値を含み、この出力信号は、それ以外は第2の値を含み、かつここでは本方法はさらに以下のプロセスステップ、すなわち
d)ステップc)で非アクティブ化された動作状態が認識された場合に、自動車の対応する火薬式要素のための少なくとも1つの作動信号を出力するステップを含む。
d)ステップc)で非アクティブ化された動作状態が認識された場合に、自動車の対応する火薬式要素のための少なくとも1つの作動信号を出力するステップを含む。
この実施形態では前述の方法が、とりわけ、少なくとも1つの火薬式要素を作動させるために、つまりとりわけ、例えば車両リサイクルの際にエアバッグをコントロール下で作動させるために(「エンドオブライフ作動」)利用され得る。
火薬式要素はとりわけエアバッグであり得る。
出力信号は、とりわけユーザインターフェイスによって出力でき、かつ火薬式制御ユニットによって、とりわけエアバッグ制御機器によって受信され得る。この場合、出力信号の値に応じて、対応する火薬式要素を作動させるための作動信号が火薬式制御ユニットによって出力され得る。各々の火薬式要素に対してそれぞれの作動信号が出力されることが好ましい。これに対し、出力信号がグローバルに出力されることが好ましい。これは、すべての火薬式要素に対して1つの同じ出力信号が出力されることを意味する。この出力信号は、とりわけ「真」を第1の値として、および「偽」を第2の値として含み得る。火薬式制御ユニットにより作動信号が出力される前に、火薬式制御ユニットにより、どちらの値にこの出力信号があるかがチェックされ得る。「エンドオブライフ作動」は、出力信号が値「真」を含む場合にのみ行われることが好ましい。これに対し、もう1つの、とりわけ事故に起因する作動は、とりわけ出力信号に関係なく行われ得る。つまりとりわけ、事故の際のエアバッグの規定通りの作動が前述の方法によって阻止されないことが保証され得る。
出力信号は、とりわけユーザインターフェイスによって出力でき、かつ火薬式制御ユニットによって、とりわけエアバッグ制御機器によって受信され得る。この場合、出力信号の値に応じて、対応する火薬式要素を作動させるための作動信号が火薬式制御ユニットによって出力され得る。各々の火薬式要素に対してそれぞれの作動信号が出力されることが好ましい。これに対し、出力信号がグローバルに出力されることが好ましい。これは、すべての火薬式要素に対して1つの同じ出力信号が出力されることを意味する。この出力信号は、とりわけ「真」を第1の値として、および「偽」を第2の値として含み得る。火薬式制御ユニットにより作動信号が出力される前に、火薬式制御ユニットにより、どちらの値にこの出力信号があるかがチェックされ得る。「エンドオブライフ作動」は、出力信号が値「真」を含む場合にのみ行われることが好ましい。これに対し、もう1つの、とりわけ事故に起因する作動は、とりわけ出力信号に関係なく行われ得る。つまりとりわけ、事故の際のエアバッグの規定通りの作動が前述の方法によって阻止されないことが保証され得る。
前述の方法によりこの実施形態では、自動車が「エンドオブライフ作動」の際に走行中ではないことが保証され得る。エアバッグが通常の走行中に(つまり企図されたように事故の状況でではなく)、例えばサイバー攻撃によって作動される場合、これは運転者の激しい方向転換に基づいて重大な事故を引き起こし得る。すべてのエアバッグが走行中にまったく予期せず作動される場合、これは運転者が自動車のコントロールを失うことになり得る。それに加え、自動車の乗員がエアバッグの「エンドオブライフ作動」により直接的に危険にさらされる可能性もある。これは、とりわけ「エンドオブライフ作動」の際に(例えば同乗者用エアバッグの場合の)チャイルド保護機能が迂回される場合にそうである。
エアバッグの「エンドオブライフ作動」の際に、簡易な目下の速度信号だけしかチェックされない場合、サイバー攻撃の攻撃者は、このチェックを非常に簡単な不正操作によって擦り抜け得るであろう。攻撃者は、メッセージを車両ネットワーク内に導入し、かつこうしてとりわけ速度信号を不正操作できると仮定される。この場合、攻撃者は1つの値の不正操作により、自動車が停止していると見なされることを達成し得る。このように不正操作された速度信号と「実際の」速度信号とは、さらなる措置なしでは区別され得ない。つまり攻撃者が、攻撃者によって導入されるエアバッグの「エンドオブライフ作動」のための信号の直前に、速度信号の1つの値を不正操作する場合、攻撃者は最高速度での走行時にもエアバッグを悪用して作動させ得るであろう。前述の方法により、これは明らかに困難になる。したがってこの実施形態では前述の方法は、とりわけサイバー攻撃に対して特にロバスト性がある。
速度信号は、通常は周期的に、通信バスを介して伝送される。これに関して以下では、2つの速度信号の間の最大受信期間(つまり最大限許容される周期時間)がTvMaxで表される。サイバー攻撃の攻撃者が、不正操作された速度信号を外部信号として、設定期間TW≧TvMaxにわたって車両ネットワーク内に導入する場合、速度信号は、少なくとも1つの受信時点で不正操作され、したがって少なくとも1つの有効な速度信号が不正操作される。この信号が、自動車の停止に関するここではvsで表された設定可能な閾値の上にある場合、自動車は移動中と仮定される。これに関連して、自動車が時点tで移動中と仮定されるべきかまたは停止中と仮定されるべきかを提示する割当てS:t→{偽,真}が以下のように定義され得る。
出力信号の値は、とりわけこのように定義された割当てに基づいて規定され得る。割当てSは、設定可能な閾値vsが、考察される時点tの前の設定期間TW内で少なくとも一時的に超えられた場合に、値「偽」を仮定する。つまりこれは、値「偽」の場合、自動車が走行中と仮定されることを意味する。それ以外は、割当てSは値「真」を仮定する。つまりこの場合には自動車が停止中と仮定され得る。
割当てSを特に簡単に実装するため、受信された速度信号v(t’)はリングバッファ(「ring buffer」)内で記憶され、このリングバッファ内には、受信された信号が一方の側で読み込まれ、かつこれらの要素から、やがてもう一方の側で再び取り出される。リングバッファ内に記憶された信号の1つが設定可能な閾値を超えるかどうかをチェックするために、リングバッファ内に記憶された、設定期間に属するすべての要素がチェックされ得る。このためにリングバッファは、少なくとも
の要素を記憶し得ることが好ましい。これに関し、
は、xの整数に丸められた値を示している。TvMinは最小受信期間である。最小受信期間は、通常は1秒〜数秒の範囲内にある。これに対応してリングバッファは数百個の信号を記憶し得ることが好ましい。
このような実装では、メモリ容量も必要な処理時間も不利であり得る。これはとりわけ、本方法が例えばリソースが制限された火薬式制御ユニット内で実装されるべき場合にそうである。さらに、攻撃者はリングバッファを多数の不正操作された信号で溢れさせようとし得るであろう。
前述の欠点は、以下に説明する前述の方法の好ましい実装において回避でき、この実装ではタイムスタンプが使用される。これによりリングバッファの前述の欠点が迂回され得る。とりわけ、特に大きなメモリ容量および/または特に長い処理時間は必要ない。これを達成するため、速度信号のすべての値が、連続的に働く監視機能によってチェックされる。タイムスタンプは、その時々に受信された信号が設定可能な閾値を超える場合にセットされる。これによりタイムスタンプは常に、設定可能な閾値を超えた最後の時点がいつであったかを提示する。したがってSは以下のようにも定義され得る。
出力信号の値は、とりわけこのように定義された割当てに基づいて規定され得る。
本方法のさらなる好ましい一実施形態では、プロセスステップa)〜d)が、少なくとも1つの火薬式要素を非アクティブ化するための要求への反応において実施される。
本方法のさらなる好ましい一実施形態では、プロセスステップa)〜d)が、少なくとも1つの火薬式要素を非アクティブ化するための要求への反応において実施される。
少なくとも1つの火薬式要素を非アクティブ化するための要求は、とりわけ、特にエアバッグを「エンドオブライフ作動」させるための要求であり得る。とりわけ、要求はユーザインターフェイスによって出力され得る。
つまり、車両リサイクルの際、例えばラップトップをユーザインターフェイスとして、例えば診断コネクタを介して自動車につなげることができ、こうして少なくとも1つの火薬式要素を非アクティブ化するための要求が出力され得る。それに応じて、前述の方法に基づいて自動車が停止中であるかどうかがチェックされ、そうである場合に限り、エアバッグがコントロール下で作動される。
とりわけ要求への反応として、上述の割当てSが値「真」を仮定するかまたは「偽」を仮定するかがチェックされ得る。割当てSが値「真」を仮定する場合にのみ、「エンドオブライフ作動」が行われる。つまり、タイムスタンプとその時々の時間tとの比較により、自動車が設定期間中に停止していたか否かが突き止められ得る。タイムスタンプが、自動車が停止中であることを提示する場合にのみ、「エンドオブライフ作動」が作動される。
さらなる一態様として、前述の方法を実施するために適応された制御機器を紹介する。これまでに本方法に関して述べた特別な利点および形態特徴は、ユーザインターフェイスに適用可能および転用可能である。制御機器は、自動車の信号バスから、およびとりわけステップa)で受信される信号を提供するための主制御機器から分離されていることが好ましい。この分離はとりわけ、主制御機器からの制御機器の不正操作が不可能であるように実装される。攻撃者が主制御機器を不正操作でき、かつ改ざんした信号を信号バス内に送り込めても、攻撃者は依然として制御機器へのアクセスを有さない。このようにして、制御機器内で前述の方法の実施を不正操作できることが阻止され得る。ステップa)で受信される信号だけが、主制御機器からまたは信号バスを介して制御機器によって受信され得るように、制御機器が適用されることが好ましい。こうして、主制御機器からの制御機器の不正操作が不可能または少なくともかなり困難であることが保証され得る。
さらに、前述の方法のすべてのステップを実行するよう適応されたコンピュータプログラムを紹介する。これに加え、前述のコンピュータプログラムが記憶された機械可読のメモリ媒体を紹介する。これまでに本方法およびユーザインターフェイスに関して述べた特別な利点および形態特徴は、コンピュータプログラムおよび機械可読のメモリ媒体に適用可能および転用可能である。
本発明のさらなる詳細および本発明を制限しない例示的実施形態を、図面に基づいてより詳しく解説する。
図1は、ネットワーク3および火薬式制御ユニット4を含む自動車1を示している。ネットワーク3には、ユーザインターフェイス5ならびにケーブル接続6およびインターフェイス8を含むユーザ構成2がつなげられている。インターフェイス8とユーザインターフェイス5の間には、これに加えて無線接続7が形成されている。インターフェイス8は、診断コネクタ9を介して自動車1またはそのネットワーク3と結合している。ネットワーク3は、とりわけバッテリー11およびイグニッションスイッチ10を含む。
火薬式制御ユニット4は、とりわけ、プロセッサ12および安全要素13を備えたエアバッグ制御機器14を含む。エアバッグ制御機器14は、とりわけエアバッグシステムのための点火玉であり得る火薬式要素15につながっている。とりわけプロセッサ12および安全要素13により、図2〜図5で示される方法が実行され得る。
図2は、図1からの自動車1の非アクティブ化された動作状態の確定方法の第1の図を示している。これに関し、横軸では時間tが示されている。これに対してとりわけ信号16が概略的に示されている。これはとりわけ自動車1の速度信号であり得る。特に認識できるのは、信号16が、長くて最大受信期間24だけ離れた不連続の受信時点17で存在しているということである。信号16の上方には、どの信号を攻撃者25が自動車1内に導入するかが示唆されている。ここで示した例では、攻撃者25はある特定の時点で、火薬式要素15を作動させるための要求18を自動車1内に導入する。その上方にもまた、ユーザ構成2を介して(およびとりわけユーザインターフェイス5を介して)速度チェック19が実施されることが示唆されている。その際、自動車1の停止が認識されると、手続開始20が行われる。これは、とりわけ火薬式要素15の「エンドオブライフ作動」であり得る。攻撃者25による介入は、この例では要求18の導入に達している。自動車1が走行中である場合、これは火薬式要素15の作動には至らないであろう。
図3は、図1からの自動車1の非アクティブ化された動作状態の確定方法の第2の図を示している。図2の図とは違い、攻撃者25は、ここでは追加的に外部信号21を導入する。外部信号21は、速度チェック19を改ざんし得る速度信号である。速度チェック19が1つの速度信号だけに依存して行われる場合、この1つの外部信号21が、攻撃者によって導入された要求18により火薬式要素15を作動させるのに十分であり得る。
図4は、図1からの自動車1の非アクティブ化された動作状態の確定方法の第3の図を示している。ここでは速度チェック19が速度監視22に依存して行われる。速度監視22は、設定期間23にわたって行われる。示したように、速度チェック19の際に誤った結果が得られるには、信号16の値が、設定期間23内のすべての受信時点17で、それぞれの外部信号21によって不正操作されなければならない。つまりここでは、攻撃者によって導入された要求18が火薬式要素15の作動に至るには、攻撃者25は全設定期間23にわたって外部信号21を導入しなければならない。
図5は、図1からの自動車1の非アクティブ化された動作状態の確定方法の第4の図を示している。本方法は以下のステップ、すなわち
a)自動車1の動作パラメータを含む信号16を受信するステップ、
b)ステップa)に基づいて受信された信号16からの動作パラメータが、設定可能な閾値を最後に超えた時点を確定するステップ、
c)ステップb)に基づいて確定された時点が、設定期間23より以前のことであるかどうかに依存して、非アクティブ化された動作状態を認識するステップを含む。
a)自動車1の動作パラメータを含む信号16を受信するステップ、
b)ステップa)に基づいて受信された信号16からの動作パラメータが、設定可能な閾値を最後に超えた時点を確定するステップ、
c)ステップb)に基づいて確定された時点が、設定期間23より以前のことであるかどうかに依存して、非アクティブ化された動作状態を認識するステップを含む。
本方法はさらに、自動車1の火薬式要素15の作動信号のための出力信号を出力するために適応されており、この出力信号は、非アクティブ化された動作状態が認識された場合は第1の値を含み、この出力信号は、それ以外は第2の値を含む。それに応じて本方法はさらにステップ、すなわち
d)ステップc)で非アクティブ化された動作状態が認識された場合に、自動車1の対応する火薬式要素15のための少なくとも1つの作動信号を出力するステップを含む。
d)ステップc)で非アクティブ化された動作状態が認識された場合に、自動車1の対応する火薬式要素15のための少なくとも1つの作動信号を出力するステップを含む。
Claims (7)
- 自動車(1)の非アクティブ化された動作状態の確定方法であって、少なくとも以下のプロセスステップ、すなわち
a)前記自動車(1)の動作パラメータを含む少なくとも1つの信号(16)を受信するステップ、
b)ステップa)に基づいて受信された前記少なくとも1つの信号(16)からの前記動作パラメータが、設定可能な閾値を最後に超えた時点を確定するステップ、
c)ステップb)に基づいて確定された前記時点が、設定期間(23)より以前のことであるかどうかに依存して、前記非アクティブ化された動作状態を認識するステップを含み、
前記方法がさらに、前記自動車(1)の火薬式要素(15)の少なくとも1つの作動信号のための出力信号を出力するために適応されており、前記出力信号が、非アクティブ化された動作状態が認識された場合は第1の値を含み、前記出力信号が、それ以外は第2の値を含み、かつ、前記方法がさらに以下のプロセスステップ、すなわち
d)ステップc)で非アクティブ化された動作状態が認識された場合に、前記自動車(1)の対応する前記火薬式要素(15)のための前記少なくとも1つの作動信号を出力するステップを含む、確定方法。 - 前記少なくとも1つの信号(16)がステップa)で多数の不連続の受信時点(17)で受信され、前記受信時点(17)が長くて最大受信期間(24)だけ離れており、かつステップc)で使用される前記設定可能な期間(23)が、少なくとも前記最大受信期間(24)より大きい、請求項1に記載の方法。
- 前記動作パラメータが前記自動車(1)の速度である、請求項1または2に記載の方法。
- 前記プロセスステップa)〜d)が、前記火薬式要素(15)を非アクティブ化するための要求(18)への反応において実施される、請求項1から3のいずれか一項に記載の方法。
- 請求項1から4のいずれか一項に記載の方法を実施するために適応された制御機器(5)。
- 請求項1から4のいずれか一項に記載の方法のすべてのステップを実行するよう適応されたコンピュータプログラム。
- 請求項6に記載の前記コンピュータプログラムが記憶された機械可読のメモリ媒体。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102017216022.5 | 2017-09-12 | ||
| DE102017216022.5A DE102017216022A1 (de) | 2017-09-12 | 2017-09-12 | Verfahren zum Ermitteln eines deaktivierten Betriebszustandes eines Kraftfahrzeugs |
| PCT/EP2018/071416 WO2019052745A1 (de) | 2017-09-12 | 2018-08-07 | Verfahren zum ermitteln eines deaktivierten betriebszustandes eines kraftfahrzeugs |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020533610A JP2020533610A (ja) | 2020-11-19 |
| JP6893585B2 true JP6893585B2 (ja) | 2021-06-23 |
Family
ID=63165360
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020535294A Active JP6893585B2 (ja) | 2017-09-12 | 2018-08-07 | 自動車の非アクティブ化された動作状態の確定方法 |
Country Status (5)
| Country | Link |
|---|---|
| EP (1) | EP3681766B1 (ja) |
| JP (1) | JP6893585B2 (ja) |
| CN (1) | CN111051144B (ja) |
| DE (1) | DE102017216022A1 (ja) |
| WO (1) | WO2019052745A1 (ja) |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0811672A (ja) * | 1994-06-28 | 1996-01-16 | Tokai Rika Co Ltd | 乗員保護装置用センサの強制作動構造 |
| JPH09118196A (ja) * | 1995-08-24 | 1997-05-06 | Aisin Seiki Co Ltd | 衝撃感知装置 |
| JP3898341B2 (ja) * | 1998-04-24 | 2007-03-28 | 株式会社ケーヒン | エアバッグの廃棄装置 |
| FR2807993B1 (fr) * | 2000-04-19 | 2002-07-26 | Renault | Dispositif et procede pour declencher volontairement notamment le deploiement d'equipements de securite du type "airbag" dans un vehicule automobile |
| DE10109989B4 (de) * | 2001-03-01 | 2010-04-15 | Fendt, Günter | Lenkradverriegelung für Kraftfahrzeuge |
| JP4152217B2 (ja) * | 2003-02-19 | 2008-09-17 | 日野自動車株式会社 | トリガ発生装置 |
| DE102007003013A1 (de) * | 2006-07-17 | 2008-02-21 | Volkswagen Ag | Verfahren und Vorrichtung zur Fahrtrichtungserkennung eines Kraftfahrzeugs |
| DE102007023122B3 (de) * | 2007-05-16 | 2008-09-04 | Fendt, Günter | Verfahren zum Entsorgen von Verkehrsteilnehmerschutzeinrichtungen |
| JP5131691B2 (ja) * | 2008-03-06 | 2013-01-30 | 株式会社ツルオカ | オートリサイクルシステム |
| SE535210C2 (sv) * | 2010-10-07 | 2012-05-22 | Scania Cv Ab | Förfarande och system för att fastställa drifttillstånd hos ett motorfordon |
| DE102011004561A1 (de) * | 2011-02-23 | 2012-08-23 | Continental Automotive Gmbh | Verfahren zum Betreiben eines Reifendruckkontrollsystems für ein Kraftfahrzeug, Reifendruckkontrollsystem und Kraftfahrzeug |
| DE102012214337A1 (de) * | 2011-08-11 | 2013-03-14 | Continental Teves Ag & Co. Ohg | Verfahren zur Erkennung eines Fahrzeugstillstands |
| DE102012204542A1 (de) * | 2012-03-21 | 2013-09-26 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren und Vorrichtung zum Ermitteln eines Verkehrszustandes |
| DE102012108171A1 (de) * | 2012-09-03 | 2014-03-06 | Knorr-Bremse Systeme für Schienenfahrzeuge GmbH | Stillstandsermittlung bei einem Schienenfahrzeug |
| DE102013206611A1 (de) * | 2013-04-12 | 2014-10-16 | Robert Bosch Gmbh | Überwachungsvorrichtung für ein Fahrzeug und Verfahren zur Überwachung eines Fahrzeugs |
| US9776589B2 (en) * | 2014-06-26 | 2017-10-03 | GM Global Technology Operations LLC | Vehicle control system and method of using the same |
-
2017
- 2017-09-12 DE DE102017216022.5A patent/DE102017216022A1/de not_active Withdrawn
-
2018
- 2018-08-07 EP EP18752737.9A patent/EP3681766B1/de active Active
- 2018-08-07 JP JP2020535294A patent/JP6893585B2/ja active Active
- 2018-08-07 CN CN201880058604.8A patent/CN111051144B/zh active Active
- 2018-08-07 WO PCT/EP2018/071416 patent/WO2019052745A1/de unknown
Also Published As
| Publication number | Publication date |
|---|---|
| CN111051144B (zh) | 2022-04-08 |
| CN111051144A (zh) | 2020-04-21 |
| WO2019052745A1 (de) | 2019-03-21 |
| DE102017216022A1 (de) | 2019-03-14 |
| JP2020533610A (ja) | 2020-11-19 |
| EP3681766A1 (de) | 2020-07-22 |
| EP3681766B1 (de) | 2021-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8032275B2 (en) | Device and method for side impact detection in a vehicle | |
| US6563232B2 (en) | Process for triggering passenger protection systems | |
| US6615122B1 (en) | Impact judgement method and passenger protection device | |
| WO1999020491A1 (en) | Crash detection system | |
| CN108983758B (zh) | 一种汽车诊断设备的软件防护方法、装置及终端 | |
| US6363308B1 (en) | Satellite crash sensor and method with constant and dynamic thresholds for multi-stage restraint deployment | |
| US20080046148A1 (en) | Control Apparatus for Occupant Restraint Device | |
| US20040084883A1 (en) | Variable time venting algorithm | |
| JP5046600B2 (ja) | 乗員保護制御装置の展開判断方法及び装置 | |
| JP4015552B2 (ja) | 車両内の少なくとも1つのエアバッグをトリガするための方法 | |
| US11394726B2 (en) | Method and apparatus for transmitting a message sequence over a data bus and method and apparatus for detecting an attack on a message sequence thus transmitted | |
| CN109845219B (zh) | 用于一车辆的验证装置 | |
| KR101092753B1 (ko) | 충돌 시 도어락 해제 알고리즘 장착 시스템 | |
| US9586548B2 (en) | Method and control unit for detecting an impact of a collision object on a vehicle | |
| JP6893585B2 (ja) | 自動車の非アクティブ化された動作状態の確定方法 | |
| US6732034B2 (en) | Method for classifying a rollover event of a vehicle | |
| CN105216726A (zh) | 安全气囊控制方法和安全气囊控制系统 | |
| EP3121753B1 (en) | System for controlling the communication between a main device and an auxiliary device and associated main device and auxiliary device used in the system | |
| US7225069B2 (en) | Arrangement for controlling retaining means | |
| US20100017067A1 (en) | Method and control unit for triggering passenger protection means | |
| Sharma et al. | Towards the prevention of car hacking: A threat to automation industry | |
| EP3121754B1 (en) | Safety system for controlling the communication between at least one control unit and an auxiliary device | |
| EP3618015A1 (en) | Electronic key and method for operating an electronic key | |
| EP2463842A2 (en) | Method and system for a vehicle for generating and sending an alarm about an accident | |
| US7503580B2 (en) | Vehicle occupant protection system with disable mode |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200407 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210319 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210518 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210531 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210601 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6893585 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |