JP6928613B2 - 自動車における自動車機能の監視および修正 - Google Patents

自動車における自動車機能の監視および修正 Download PDF

Info

Publication number
JP6928613B2
JP6928613B2 JP2018551501A JP2018551501A JP6928613B2 JP 6928613 B2 JP6928613 B2 JP 6928613B2 JP 2018551501 A JP2018551501 A JP 2018551501A JP 2018551501 A JP2018551501 A JP 2018551501A JP 6928613 B2 JP6928613 B2 JP 6928613B2
Authority
JP
Japan
Prior art keywords
vehicle
automobile
function
configuration
component
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018551501A
Other languages
English (en)
Other versions
JP2019511416A (ja
Inventor
ネッフ・アルブレヒト
ピッツ・ミヒャエル
フィッシャー・カイ
Original Assignee
バイエリシエ・モトーレンウエルケ・アクチエンゲゼルシヤフト
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by バイエリシエ・モトーレンウエルケ・アクチエンゲゼルシヤフト filed Critical バイエリシエ・モトーレンウエルケ・アクチエンゲゼルシヤフト
Publication of JP2019511416A publication Critical patent/JP2019511416A/ja
Application granted granted Critical
Publication of JP6928613B2 publication Critical patent/JP6928613B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/30Detection related to theft or to other events relevant to anti-theft systems
    • B60R25/307Detection related to theft or to other events relevant to anti-theft systems using data concerning maintenance or configuration
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0238Electrical distribution centers
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0225Failure correction strategy
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/008Registering or indicating the working of vehicles communicating information to a remotely located station
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0808Diagnosing performance data

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)
  • Safety Devices In Control Systems (AREA)
  • Control Of Driving Devices And Active Controlling Of Vehicle (AREA)
  • Traffic Control Systems (AREA)

Description

本発明は、自動車において自動車機能を監視および修正する方法、それに関連する装置及びそれに関連する自動車に関する。
制御機器において、実際に機能不全が確認された場合、それらの故障は、修理工場でのソフトウェア更新により取り除かれるか、或いはそれが不可能な場合、修理工場での制御機器の交換により取り除かれる。しかし、いずれの場合も車両を修理工場に持って行かなければならない。
更に、制御機器または車両機能を新しい状況または変化した状況に適合させることは、実際には修理工場で実施されるソフトウェア更新によってのみ可能である。
また、車両機能ないし車両機能性および制御機器が乗っ取られることが最近起きるようになってきている。このように現れるセキュリティホールも、実際には修理工場での手間のかかるソフトウェア更新によって初めて取り除くことができる。
従って、このような機能不全と障害、或いはこのような危険な事象を速やかに、修理工場を訪問する必要無しに取り除く手段を提供することが望まれている。
本発明の課題は、従来技術で周知の欠点の少なくとも一部を防止するか、或いは少なくとも軽減する手段を提案することである。
この課題は、本発明において、主請求項に基づく方法を用いて、並びに同列の請求項に基づく装置および別の同列の請求項に基づく相応の自動車を用いて解決される。
この場合、主請求項の対象は、自動車において自動車機能を監視および修正する方法に関する。この方法はここで、自動車の機能の異常な挙動を特定する工程と、自動車の機能の異常な挙動をバックエンドに伝送する工程と、このバックエンドから命令を受信する工程であって、この命令が、機能の異常な挙動に対して適切な対応を実行するために自動車において採るべき緊急措置を指示する工程と、この受信した命令に基づき、自動車の機能の異常な挙動の原因である自動車コンポーネントを特定する工程と、適切な対応として、この自動車コンポーネントをダウングレードされたコンフィギュレーション(degradierte Konfiguration)(低機能化された環境設定・構成形態)に移行する工程であって、このダウングレードされたコンフィギュレーションが、その自動車コンポーネントのそれまでのコンフィギュレーションよりも制限された機能範囲を有する工程とを有する。このダウングレードされたコンフィギュレーションへの自動車コンポーネントの移行が不可能である場合に、本方法は更に、適切な対応として、この自動車コンポーネントを安全なコンフィギュレーションに移行する工程を有する。その際に、自動車コンポーネントにはこの安全なコンフィギュレーションが保持されている。
本方法の工程は、このとき自動的に実行することができる。
本発明の意味における“異常な挙動”とはここで、所定の挙動から外れた自動車機能の挙動を意味する。この場合、異常な挙動は、然るべき走行状況と、車両機能ないし自動車制御機器との少なくともいずれかに関する保安性(セキュリティ)および/または安全性(セーフティ)に係る危険な事象であり得る。
本発明の意味における“機能”とはここで、自動車コンポーネントにより実行され、自動車の動作を操作するプロセスを意味する。その例は、自動車のハンドル動作、ハイビーム支援機能、車間距離維持等といった支援機能でもよいが、例えば、ナビゲーション、電気式自動シート調整等の機能といった快適性機能でもよい。
本発明の意味における“バックエンド”とはここで、自動車機能ないし自動車制御機器における既知および未知の問題に関して見つけ出されたソリューション(解決策)を提供するサーバーまたはクラウドを意味する。これは、例えば、相応の問題解決策(問題ソリューション)データベースを用いて実現することができる。
本発明の意味における“自動車コンポーネント”とはここで、ハードウェアとしても、ソフトウェアとしても構成できる装置、例えば制御機器ないし制御装置、快適性機能装置および支援システムなどを意味する。このとき、自動車コンポーネントの特定は、例えば制御機器情報に基づき行なうことができる。それは、所定の制御機器の推定を可能とする情報、例えばシリアル番号、製造日、ファームウェア番号等の情報、或いはそれらの情報の組合せといったものである。
本発明の意味における“ダウングレードされたコンフィギュレーション”とはここで、パラメータ修正により対応する自動車コンポーネントの機能ないし機能範囲を制限するコンフィギュレーション(Konfiguration)(環境設定)を意味する。パラメータ修正とはここで、特に車両機能または自動車制御機器の適切なパラメータの値の変更であるとしてもよい。有利にはこのとき、然るべきパラメータのデフォルト値を一時的に上書きすることができる。即ち、デフォルト値は消去されるのではなく、有利には制御機器自体にバッファリングされる。しかし、デフォルト値のバッファリングは、自動車の別の箇所で、例えば中央コントローラの中央デフォルト値データベースで行なうことも可能である。修正されたパラメータはここでは、例えば所定の制限時間後に再びリセットする、つまりは、改めてデフォルト値で上書きすることができる。このとき、上書きされた値は失われてしまってもよい。その値はしかし、さらに引き続き蓄積された状態で保持することもできる。
本発明の意味における“安全なコンフィギュレーション(安全設定・安全構成形態)”とはここでは、自動車コンポーネントに保存された、例えばISO26262及びそれに基づく規格といった有効な安全規格に関して、機能的に安全であると見做されたコンフィギュレーションを意味する。
本発明による教示によって、自動車または自動車の一部の機能障害が発生した場合に、その挙動を認識することができ、バックエンドシステムの助けを借りて、発生した機能障害或いはその機能障害に係る車両機能ないし制御機器に対する適切なソリューション(解決策)を探索することができ、それに続き、発生した機能障害に対する相応しいソリューションを提供できるとの利点が得られる。
従って、別の利点は発生した機能障害に対して即座に適切に対処できることであり、これにより機能障害をくい止めて引き続き自動車の安全な運行が可能になるか、或いは問題のある−つまりは安全でない−車両運行が発生する可能性が防止できるようになる。
ここで、同列の請求項の対象は、自動車において自動車機能を監視および修正する装置に関する。本装置はこのとき、自動車の機能の異常な挙動を特定する機能監視機器と、この自動車の機能の異常な挙動の原因である自動車コンポーネントを特定する特定手段と、この自動車コンポーネントを、ダウングレードされたコンフィギュレーションおよび/または安全なコンフィギュレーションに移行させる修正手段を備え、このダウングレードされたコンフィギュレーションは、その自動車コンポーネントのそれまでのコンフィグレーションよりも制限された機能範囲を有する。その際に、この自動車コンポーネントには安全なコンフィギュレーションが保持されている。自動車コンポーネントの安全なコンフィギュレーションはこのとき、この安全なコンフィギュレーションの不正操作に対して保護されている。本装置はこのとき、本発明の何れかの方法を実施するように構成されている。
本発明による教示によって、自動車または自動車の一部の機能障害が発生した場合に、自動車のための装置がこの挙動を認識することができ、バックエンドシステムの助けを借りて、発生した機能障害或いはその機能障害に係る車両機能ないし制御機器に対する相応しいソリューションを自律的に探索することができ、それに続き、この発生した機能障害に対する相応しいソリューションを提供できるとの利点が得られる。
従って、別の利点は発生した機能障害に対して即座に適切に対処できることであり、これにより機能障害をくい止めて引き続き自動車の安全な運行が可能になるか、或いは問題のある−つまりは安全でない−車両運行が発生する可能性が防止できるようになる。
別の同列の請求項の対象は、ここでは自動車に関する。自動車はこのとき、少なくとも一つの自動車コンポーネントと、自動車の機能の異常な挙動をバックエンドに伝送するとともに、この機能の異常な挙動に関する命令を受信する移動体無線通信機器と、本発明の自動車において自動車機能を監視および修正する装置とを備える。その際に、自動車コンポーネントは、安全なコンフィギュレーションを有し、この安全なコンフィギュレーションは、有利にはこの安全なコンフィギュレーションの不正操作に対して保護されている。本発明の自動車において自動車機能を監視および修正する装置は、本発明の何れかの方法を実施するように構成されている。
本発明による教示によって、自動車または自動車の一部の機能障害が発生した場合に、自動車がこの挙動を認識することができ、バックエンドシステムの助けを借りて、発生した機能障害或いはその機能障害に係る車両機能ないし制御機器に対する相応しいソリューションを自律的に探索することができ、それに続き、発生した機能障害に対する相応しいソリューションを提供できるとの利点が得られる。
従って、別の利点は発生した機能障害に対して即座に適切に対処できることであり、これにより機能障害をくい止めて引き続き自動車の安全な運行が可能になるか、或いは問題のある−つまりは安全でない−車両運行が発生する可能性が防止できるようになる。
別の同列の請求項の対象は、このとき本発明の装置および/または本発明の自動車のためのコンピュータプログラム製品に関し、この装置は、本発明の何れかの方法に従って動作可能である。
本発明による教示によって、本方法を特に効率的かつ自動的に実施できるとの利点が得られる。
ここで、別の同列の請求項の対象は、本発明のコンピュータプログラム製品を有するデータ媒体に関する。
本発明による教示によって、本方法を実施する装置、システムおよび/または自動車に本方法を特に効率的に分配または保持させることができるとの利点が得られる。
以下において本発明の実施形態を詳しく説明する前に、先ずは、本発明がここで述べる構成要素またはここで述べる方法の工程に限定されないことに留意すべきである。更に、ここで使用する技術も、限定を表すのではなく、単に例示する性質を有する。ここで、本明細書および請求項において単数形が使用されている場合、文脈がそのことを明示的に排除しない限り、それぞれ複数形も含まれる。場合によっては有り得る方法の工程は、文脈がそのことを明示的に排除しない限り、自動的に実施することができる。
以下において、本発明の方法の別の実施形態を説明する。
第一の実施形態では、本方法は更に、安全なコンフィギュレーションへの自動車コンポーネントの移行が不可能である場合に、適切な対応として自動車コンポーネントを停止するとの特徴を有する。
この実施形態は、機能障害に係る自動車コンポーネントを安全なコンフィギュレーションに移行できない場合でも、自動車を安全に運行させることが可能な緊急動作を実現できるとの利点を有する。
別の実施形態では、本方法は更に、自動車コンポーネントの停止が成功しない場合に、適切な対応として自動車を安全な状態に移行させるとの特徴を有する。ここで、安全な状態には、安全性および/または保安性に関して自動車の安全な運行が含まれる。
本発明の意味における“安全な運行”とはここで、自動車の走行動作および/または車両運行の安全性および/または保安性の観点において機能的に安全な運行を意味する。
本発明の意味における“安全性(セーフティ)に係る”とはここで、ISO26262及びそれに基づく規格といった有効な安全規格に関して関連があることを意味する。
本発明の意味における“保安性(セキュリティ)に係る”とはここで、アクセス保護、侵入に対する保護、データ改竄および/またはデータ不正操作と制御機器の不正操作等に対する保護に関して関連があることを意味する。
本発明の意味における“危険な事象に対する安全な状態”とはここで、制御すべき安全性に係る機能/システム/モジュールと、場合によってはそれらと繋がった別の安全性に係る機能/システム/モジュールとに関して、それらから身体および生命の是認できないリスクが生じ得ない、然るべき走行状況および/または車両機能ないし自動車制御機器の状態を意味するとしてよい。
この実施形態は、安全性および/または保安性に係る自動車の危険な機能障害に対処するとともに、運行中の自動車が機能的に安全な状態に留まることを保証できるとの利点を有する。
別の実施形態では、本方法は更に、安全な状態への自動車の移行が不可能である場合に、適切な対応として、自動車の走行動作を停止するとの特徴を有する。
この実施形態は、取り除くことができない自動車コンポーネントの機能障害が存在する自動車に関して、その自動車を安全でない状態で運行させることを防止できるとの利点を有する。
別の実施形態では、本方法は更に、自動車の走行動作の停止が、自動車の安全性関連に関して安全確実に行なわれるとの特徴を有する。
この実施形態は、自動車の停止を無事故で実施できるとの利点を有する。
別の実施形態では、本方法は更に、自動車において成功裏にとられた緊急措置として、実施された適切な対応をバックエンドに伝送するとの特徴を有する。
この実施形態は、自動車に伝送される命令に対する品質保証が可能になるとの利点を有する。
別の利点は、実施された適切な対応をバックエンドに記録できることで、それに基づく別のソリューションの可能性を見つけ出すことができるか、或いは伝送された命令を更に発展させて、その命令を継続的に改善できることである。
別の実施形態では、本方法は更に、機能の異常な挙動を将来的に排除および/阻止するために自動車でとるべき永続的な措置を指示するパッチを異常訂正命令としてバックエンドから受信する工程を有する。
この実施形態は、異常な挙動の新たな発生の阻止、或いはその異常な挙動の新たな発生時に自動車の機能の機能的に安全な動作を可能にできるように、機能障害または機能の異常な挙動に対して、一時的なソリューションからさらに恒久的な修正を提供できるとの利点を有する。
別の実施形態では、本方法は更に、有利には受信した命令に基づき、自動車の機能の異常な挙動に同じように見舞われている別の自動車コンポーネントを特定する工程と、自動車コンポーネントを修正するためのさらなる工程をこの別の自動車コンポーネントに適切に適用する工程とを有する。
本発明の意味における“自動車コンポーネントを修正するためのさらなる工程をこの別の自動車コンポーネントに適切に適用する”とはここで、自動車コンポーネントの異常な挙動を除去および/または訂正するための前述した実施形態における方法の一部をこの別の自動車コンポーネントにも適用できることを意味する。
この実施形態は、別の関連する機能の異常な挙動に対するソリューションを提供できるとの利点を有する。
別の実施形態では、本方法は更に、別の自動車に、その別の自動車において採るべき目下の及び/又は予防的な緊急措置に関する命令として、実施された適切な対応を伝送する工程を有する。
この実施形態は、別の自動車がその時点で未だ異常な挙動に関連していない場合でも、それらの自動車が異常な挙動に対して準備または事前に調整できるとの利点を有する。
別の実施形態では、本方法は更に、実施された適切な対応の、別の自動車への伝送が自動車から行なわれるとの特徴を有する。
この実施形態は、異常な挙動に関連する自動車そのものが、別の複数の自動車に然るべく準備をさせることができるとの利点を有する。
別の実施形態では、本方法は更に、実施された適切な対応の、別の自動車への伝送がバックエンドから行なわれるとの特徴を有する。
この実施形態は、バックエンドが、異常な挙動に関連する自動車から情報を得た後、別の自動車に然るべく準備をするように命令を出すことができるとの利点を有する。
別の実施形態では、本方法は更に、自動車の機能の異常な挙動の特定がバックエンド、自動車の乗員および自動車独自のルーチンの中の一つ以上によって確認可能であるとの特徴を有する。
この実施形態は、異常な挙動の発生が複数の特定主体によって確認できるとの利点を有する。それによって、異常な挙動の発見速度を上げることができる。それによって、異常の最初の発生からその発見までの時間を低減することができ、それにより自動車の安全・保安性または自動車の信頼性を向上することができる。
別の実施形態では、本方法は更に、バックエンドが自動車外部の認証された権限を有するとの特徴を有する。
この実施形態は、ここで提案する発明が悪用される可能性、例えば、そのような異常な挙動を送り込むのに使用するために悪用される可能性を完全に防止できない場合でも、少なくとも低減はできるとの利点を有する。
別の実施形態では、本方法は更に、如何なる判断基準に基づき適切な対応を再び解除できるかという指示を命令が有しているとの特徴を有する。
そのような判断基準は、時間に制約されたものでもよいが、機能の状態や自動車の状態といった所定の状態であって、そのような判断基準が存在するときには実施すべき修正を解除することにしている所定の状態とすることもできる。
この実施形態は、実施すべき修正を再び解除するか或いは元に戻す手段が設けられているとの利点を有する。それは、特に、異常な挙動が単に一時的なものであることが明らかな場合にはじめて可能であるとしてもよい。
別の実施形態では、本方法は更に、自動車の機能の異常な挙動が自動車または自動車コンポーネントのハッキングを示しているとの特徴を有する。
ハッキングはこのとき、データ不正操作または制御機器の不正操作によって、例えば、ワイヤレスソリューションを用いた自動車外からの所謂ハッキング攻撃によって行なわれる可能性がある。
この実施形態は、自動車の不正外部操作ないし自動車の自動車機能の不正外部操作に出来る限り速く対処できることで、不正外部操作(乗っ取り)(Kompromittieren)をくい止めることができるようになるとの利点を有する。
別の実施形態では、本方法は更に、機能の異常な挙動が、自動車の機能的に安全な運行を危険に晒すのに当てはまっているとの特徴を有する。
この実施形態は、車両の危険に係る機能に対して、然るべき修正手段および介入手段を提供または実施できるとの利点を有する。
別の実施形態では、本方法は更に、自動車コンポーネントの安全なコンフィギュレーションが、その安全なコンフィギュレーションの不正操作に対して保護されているとの特徴を有する。
この実施形態は、特にハッキングに対して保護された、自動車機能に対するフォールバックオプション(Ruckfalloption)を設けることができるとの利点を有する。
従って、本発明は、自動車の異常な挙動に対処するとともに予防措置を提供および実施できることが可能となるため、そのような異常な挙動を捕捉でき、それにより、自動車がそのような場合に自動車の引き続き機能的に安全な運行を提供できるようになる。そのため、自動車(すなわち組み込まれた相応の部分を含む。)、運転者および具体的な走行状況に対してアレンジされた固有の機能パラメータ設定をバックエンドで生成して、車両にロードすることが可能であり、そのパラメータ設定は更に、バックエンドからの追加情報を考慮することができる。
これらの機能に関して、デフォルトパラメータ設定が車両に保存されており、その設定は、必要に応じて、制限された機能性だけを可能にする。極端な場合、それは、問題解決策としての適正なパラメータデータセットが入手可能になるまでの機能の無効化を意味するのでもよい。
そして、然るべき関連する車両特性において、異常な挙動として解釈できる危険な事象が確認された場合に、然るべきパラメータデータセットが探索されて用意され、そのデータセットは、例えば、パラメータ情報として、然るべき制御機器ないし然るべき機能の、然るべき機能パラメータ設定ないし機能制限を含むか、或いは完全な機能有効化許可(Funktionsaktivierungsfreigabe)を含まないことが可能である。
そのため、機能ないし制御機器の一部領域が異常な挙動を示したら、それらの一部領域、つまり細部をバックエンドによって無効化および/または修正することができる。
特に、発生した自動車の故障や機能不全を除去することができる。
自動車のハッキングの場合、特に効果的に介入することができるので、そのハッキングの影響に対しても、そのハッキング自体に対しても有効に対抗することができる。
従って、船構造における水の侵入に対して区画化された“隔壁システム”と同様に、自動車において、安全性および保安性に係る緊急な問題の発生時に影響を受け易い車両範囲を動的に隔離することに関して、次の措置を提案する。
これは、バックエンドまたは車両において監視アルゴリズムにより安全性または保安性の問題が認識された場合に、安全・保安機構がコーディネートされて構築されるように車両の安全・保安制御ユニットを用いて実現することができる。
そのような安全・保安機構の幾つかの例は、以下の通りである。
A)所定または全ての、アプリケーション情報、信号および診断情報に関する、例えば所定の情報タイプないしIDのブロック、受信機、送信機、バスに関するゲートウェイテーブルの(何処のバスから何処のバスに、或いは何処の制御機器から何処の制御機器にルーティングするのかのルーティング・ルールを用いた)適合化
B)例えば所定の情報タイプを変換しないといった、イーサネット/IP等のスイッチコンフィギュレーションとルータコンフィギュレーションの変更
C)一つのバスから別のバスに、或いは一つの(SGとも呼ばれる)制御機器から別のSGに単位時間当たり最大限変換される情報の適合化(所謂サービス妨害防衛)
D)スイッチまたはゲートウェイにおける所定の発信者または受信者の情報のブロック
E)所定の制御機器および/またはセンサー/アクチュエータの完全無効化(例えば、無電流にスイッチング、ブートローダーへの置換、全出力情報のブロック、LINバスの無効化、LINセンサー/アクチュエータの無効化を用いる。)
F)所定の機能の無効化または恒久的なダウングレード
G)所定のバス端子の物理的な無効化
上記の機構は、車両の中央のゲートウェイまたは分散されたゲートウェイにおいて実施することができる。
上記の機構は、その作用に関して個別的に、或いは予め規定された組合せによっても防護することができ、必要に応じて、安全性/保安性に関して認証することができる。
更に、予め規定された順序の所定の組合せを車両に配備することができる。
また、ここで挙げた機構に関する“安全・保安性最大”のコンフィギュレーション(例えばゲートウェイテーブル、通電等)を自動車に保存することができ、それらは、車両の安全・保安性を最大にするとともに、攻撃の的/残存リスクを最小限にする。更に、例えば制御機器やバスなどの部分システムに関する検疫機構を緊急に形成することができる。
そのようなコンフィギュレーションの作動開始は、ここで例示した作動開始機構によって行なうことができる。
上記の機構は、有効化されると、選択により所定の車両状態または機能状態でのみ動作可能となる。例えば、走行時だけ動作可能だが、停止状態では動作可能ではなく、インターネットアクセス時だけ動作可能だが、車両のオフライン動作状態では動作可能ではない。
そして、上記の機構の組合せの選択は、所定の車両状態または機能状態に基づき行なわれる。
上記の方法は、例えば、中央スイッチ間の中央ゲートウェイで実現することができる。
上記の機構または方法は、コマンドによって作動開始することができるか、或いはバックエンドからの−、或いは車両における−、或いは車両の使用者自身の−コンフィギュレーションの事前設定、例えば(HMIとも呼ばれる)ヒューマン・マシン・インタフェースまたはUSBスティックを介したコンフィギュレーションの事前設定によっても作動開始することができる。HMI入力は、例えば車両製造業者などのサービス提供業者から顧客に、例えば個人宛に、手紙により、電話により、或いはUSBダウンロードにより伝送される相応に長く、従って安全な特定の“秘密コード”を必要条件にすることができる。
しかし、上記の機構は、安全・保安制御ユニットによる自発的な作動開始を防止する作動許可コマンドが一定期間内に繰り返し実行されない場合に、自発的に作動開始することもできる。作動許可コマンドはこのとき、バックエンドを介して、或いはバックエンドとのデータ接続が行なえない場合には、スマートフォン/USBスティック/顧客の車両キー/QRコード/バーコード/数字入力/移動体無線/SMSを介して実行することができる。
例:車両内の監視システムが、システムをためらい無く使用できるとの情報を、7日以内毎にバックエンド/スマートフォン/USBスティック/車両キーのデータメモリ/QRコード/(例えば、車両との接続部を備えたスマートフォンにより、或いは車両のカメラにより読取可能な)バーコード/移動体無線/SMS/数字入力から得られない場合に、安全な状態をとるために上記の機構を然るべく作動開始する。バックエンドはこのとき、必要に応じて装備、ハードウェア−ソフトウェアのバージョン、実際の国・地域、顧客の振る舞い等に応じて車両毎に然るべき作動許可コードを生成することができる。
また、車両が保安性/安全性のテーマに係るのか否かを特定するとともに作動許可キーを算出するための車両データを車両が用意する機構をさらに提供することができる。オンライン接続を構築できない場合、それは、車両の使用者のスマートフォン、USBスティック/車両の使用者の車両キー/QRコード/バーコード/スマートフォンおよび/またはヘッドユニットでのコードの表示等を介して行うこともできる。そして、このコードは、車両外のコンピュータからバックエンドにおいて入力されなければならない。
上記の機構は、場合によっては、2要素認証によって作動開始することができ、例えば、二つの独立した技術経路を介して作動開始または作動許可コードを受信した場合にのみ、作動開始または自発的な作動開始の無効化を実行することができる。
この場合、作動開始が実行されたというフィードバックを車両の使用者に行なうことができる。車両の使用者による確認を行なうこともできる。また、作動許可コードが更新されない場合に、自発的な作動開始が直ぐにでも実施されるとの通報を行なうこともできる。
更に、“安全・保安制御ユニット”と独立して、安全・保安制御ユニットによる安全・保安コンフィギュレーションが成功したのか否かを調べる検査ユニットを車両に配備することができる。これは、例えば、試験情報等の送信で機能/制御機器が無効化されているかどうかバスにおいて監視(lauschen)することによって行なうことができる。
この場合、検査ユニットは、特に保証/認証/保護された形態で実現することができる。
また、安全・保安コンフィギュレーションが成功裏に実行されたのかどうかの検査ユニットの応答をバックエンド宛てに行なうことができる。
また、“安全・保安制御ユニット”と“付加検査ユニット”の相互検査を、例えばアライブ(Alive)、行動検査、署名/CRC/指紋/証明書によって実施することができる。この場合、相互検査が失敗した場合の非常措置、例えば、バックエンドの通報、安全・保安措置(例えば、安全・保安性最大の設定実施など)の無効化または有効化などを提供することができる。
また、制御機器と機能のエラー通知および通報態様と署名のサイクリックな検査をこの付加検査ユニットにより実施することができる。ここでも、検証が上手くいかない場合に、非常措置を採ることができる。この場合、判定される区画は、安全性または保安性のISO26262に関して認証するとの意味において設けることができる。
例えば車両のリモートソフトウェア更新機能、HAF機能、制御機器の機能の故障認識などの個々の機能の観点からも、安全・保安制御ユニットおよび付加検査ユニットによっても、バックエンド側からも、コンフィギュレーションを実施および有効化するための変更態様を提供または用意することができる。
以下に本発明を図面に基づき詳しく説明する。
本発明の一つの実施形態による提案方法の概略図である。 本発明の別の実施形態による提案方法の概略図である。 本発明の別の実施形態による提案方法の概略図である。 本発明の別の実施形態による提案方法の概略図である。 本発明の別の実施形態による提案方法の概略図である。 本発明の別の実施形態による提案方法の概略図である。 本発明の別の実施形態による提案方法の概略図である。 本発明の別の実施形態による提案方法の概略図である。 本発明の別の実施形態による提案装置の概略図である。 本発明の別の実施形態による提案自動車の概略図である。
図1は、本発明の一つの実施形態による提案方法の概略図を示している。
図1はここで、自動車100における自動車機能の監視および修正方法の概略を図示している。本例では、この方法は、自動車100の機能110の異常な挙動112を特定する工程10と、自動車100の機能110の異常な挙動112をバックエンド200に伝送する工程20と、バックエンド200から命令230を受信する工程30であって、命令230が、機能110の異常な挙動112に対して適切な対応を実行するために、自動車100において採るべき緊急措置を指示する工程30と、受信した命令230に基づき、自動車100の機能110の異常な挙動112の原因である自動車コンポーネント140を特定する工程40と、適切な対応として、自動車コンポーネント140をダウングレードされたコンフィギュレーション(低機能化された環境設定)に移行する工程50であって、このダウングレードされたコンフィギュレーションが、その自動車コンポーネントのそれまでのコンフィギュレーションよりも制限された機能範囲を有する工程50とを有する。このダウングレードされたコンフィギュレーションへの自動車コンポーネント140の移行50が不可能である場合に、本方法は更に、適切な対応として、自動車コンポーネント140を安全なコンフィギュレーションに移行する工程52を有し、その際に、自動車コンポーネント140にはこの安全なコンフィギュレーションが保持されている。
図2は、本発明の別の実施形態による提案方法の概略を図示している。
図2は、図1について更に発展させた方法の概略図を図示している。従って、図1に関して前に述べたことは、図2にも有効である。
図2は、図1に基づく方法を図示しており、この方法は更に、安全なコンフィギュレーションへの自動車コンポーネント140の移行52が不可能である場合に、適切な対応として、その自動車コンポーネント140を停止する工程54を有する。
図3は、本発明の別の実施形態による提案方法の概略を図示している。
ここで、図3は、図1および図2について更に発展させた方法の概略を図示している。従って、図1および図2に関して前に述べたことは、図3にも有効である。
図3は、図2に基づく方法を図示しており、この方法は更に、自動車コンポーネント140の停止54が成功しなかった場合に、適切な対応として、その自動車コンポーネント140を安全な状態に移行する工程56を有し、この安全な状態には、安全性および/または保安性に関して自動車100の安全な運行が含まれる。
図4は、本発明の別の実施形態による提案方法の概略を図示している。
ここで、図4は、図1〜図3について更に発展させた方法の概略を図示している。従って、図1〜図3に関して前に述べたことは、図4にも有効である。
図4は、図3に基づく方法を図示しており、この方法は更に、安全な状態への自動車コンポーネント140の移行56が不可能である場合に、適切な対応として、自動車の走行状態を停止する工程58を有する。
図5は、本発明の別の実施形態による提案方法の概略を図示している。
ここで、図5は、図1〜図4について更に発展させた方法の概略図を図示している。従って、図1〜図4に関して前に述べたことは、図5にも有効である。
図5は、図4に基づく方法を図示しており、この方法は更に、自動車100において成功裏に採られた緊急措置として実施された適切な対応をバックエンド200に伝送する工程60を有する。
図6は、本発明の別の実施形態による提案方法の概略を図示している。
ここで、図6は、図1について更に発展させた方法の概略を図示している。従って、図1に関して前に述べたことは、図6にも有効である。
図6は、図1に基づく方法を図示しており、この方法は更に、機能110の異常な挙動112を将来的に排除および/または阻止するために自動車100でとるべき永続的な措置を指示するパッチを異常訂正命令としてバックエンド200から受信する工程70を有する。
図7は、本発明の別の実施形態による提案方法の概略図を図示している。
ここで、図7は、図1について更に発展させた方法の概略図を図示している。従って、図1に関して前に述べたことは、図7にも有効である。
図7は、図1に基づく方法を図示しており、この方法は更に、有利には受信した命令230に基づき、自動車100の機能110の異常な挙動112に同じように見舞われている別の自動車コンポーネント142を特定する工程42と、自動車コンポーネント140を修正するためのさらなる工程50,52,54,56,58,60,70をこの別の自動車コンポーネント142に適切に適用する工程とを有する。
図8は、本発明の別の実施形態による提案方法の概略を図示している。
ここで、図8は、図1について更に発展させた方法の概略を図示している。従って、図1に関して前に述べたことは、図8にも有効である。
図8は、図1に基づく方法を図示しており、この方法は更に、別の自動車300に、その別の自動車300において採るべき目下のおよび/または予防的な緊急措置に関する命令230として、実施された適切な対応を伝送する工程80を有する。
図9は、本発明の別の実施形態による提案装置の概略を図示している。
ここで、図9は、自動車100において自動車機能を監視および修正する提案装置400の概略を図示している。この装置400は、本例では、自動車100の機能110の異常な挙動112を特定10する機能監視機器410と、自動車100の機能110の異常な挙動112の原因である自動車コンポーネント140を特定40する特定手段440と、この自動車コンポーネント140をダウングレードされたコンフィギュレーションおよび/または安全なコンフィギュレーションに移行50,52させる修正手段450とを備えている。ここで、ダウングレードされたコンフィギュレーションは、その自動車コンポーネントのそれまでのコンフィギュレーションよりも制限された機能範囲を有する。自動車コンポーネント140には安全なコンフィギュレーションが保持されている。自動車コンポーネント140の安全なコンフィギュレーションはこのとき、この安全なコンフィギュレーションの不正操作に対して保護されている。この装置400はこのとき、本発明の何れかの方法を実施するように構成されている。
図10は、本発明の一つの実施形態による提案自動車の概略を図示している。
ここで、図10は、自動車100の概略を図示し、当該自動車100は、少なくとも一つの自動車コンポーネント140と、自動車100の機能110の異常な挙動112をバックエンド200に伝送20するとともに、この機能110の異常な挙動112に関する命令230を受信30する移動体無線通信機器120と、本発明の自動車100において自動車機能を監視および修正する装置400とを備える。その際に、自動車コンポーネント140は、安全なコンフィギュレーションを有し、この安全なコンフィギュレーションは、有利にはこの安全なコンフィギュレーションの不正操作に対して保護されている。
本発明の自動車機能を監視および修正する装置400はここで、自動車100における機能110の適切な監視と、自動車100における必要な場合の適切な修正とを実施できるようにするために、移動体無線通信機器120と通信する。
本発明の思想は、以下の通り要約することができる。車両の所定の機能ないし制御機器に関して、それらの機能のために存在するパラメータセットが、車両またはそれに付属する機能により始動されるバックエンドまたはサーバーへの問い合わせによって変更できることを可能にする方法、それに関する装置および自動車が提供される。特に、その変更は、一時的に行なうこともできる。それは、自動車の機能の異常な挙動が確認された場合に行なわれる。
車両においては、そこに保存された機能ないし制御機器用パラメータは、それに対応する機能ないし制御機器用パラメータセットの言わばデフォルト値のようなものと見做される。これらのパラメータセットは、ここで提案する発明に基づき、問題データベースに相応の問題解決策が要求され、それが伝送されることによって必要に応じて変更することができるが、そこには、然るべき制御機器の対応するパラメータの相応のデフォルトパラメータ値の回避策としての然るべきパラメータ情報が含まれる。この場合、危険な事象、即ち異常な挙動の問題解決策に関する適切なパラメータまたはパラメータセットの有効性は、場合によっては、前段階において保証または認証することができる。
即ち、自動車または自動車の然るべき装置は、自発的にバックエンドとのオンライン接続を構築して、バックエンドから、バックエンドで特定/算出された最適なパラメータ設定をパラメータ情報として取り出して、その最適なパラメータ値によりデフォルト値を上書きする。上書きはこのとき、特に、一時的に行なうことができ、そのためデフォルト値は消去されない。
一時的な値にはこのとき判断基準を基本条件として付与できるので、そのような判断基準が満たされれば、これらの機能は最早バックエンドからの一時的な値によってパラメータ設定されるのではなく、デフォルト値によって改めてパラメータ設定されることになる。
このように装備された機能又はこのように装備された制御機器、例えばドライバ支援機能の“自動ハイビーム”などは、異常な挙動が発生した場合に、バックエンドにおける問い合わせとして然るべきメッセージを発出し、対応する機能に適したパラメータ設定が返送される。そのようなパラメータ設定はこのとき、自動ハイビームを例にすれば、例えば値“0”が間違って“1”に変換されたことで遮光するかわり対向車に向けて照明を当ててしまう異常な挙動に注目し、これを訂正することができるであろう。
10 自動車機能の異常な挙動の特定
20 バックエンドへの自動車機能の異常な挙動の伝送
30 バックエンドからの命令の受信
40 自動車コンポーネントの特定
50 ダウングレードされたコンフィギュレーションへの自動車コンポーネントの移行
52 安全なコンフィギュレーションへの自動車コンポーネントの移行
54 自動車コンポーネントの停止
56 安全な状態への自動車の移行
58 自動車の走行動作の停止
60 バックエンドへの実施された適切な対応の伝送
70 バックエンドからのパッチの受信
80 別の自動車への実施された適切な対応の伝送
100 自動車
110 自動車の機能
112 自動車の機能の異常な挙動
120 移動体無線通信機器
140 自動車コンポーネント
142 別の自動車コンポーネント
200 バックエンド
230 命令
300 別の自動車
400 本装置
410 機能監視機器
440 特定手段
450 修正手段

Claims (21)

  1. 自動車(100)において自動車機能を監視および修正する方法において、
    自動車コンポーネント(140)により実行され、自動車(100)の動作を操作するプロセスである自動車(100)の機能(110)の異常な挙動(112)を特定する工程(10)と、
    自動車(100)の機能(110)の特定された異常な挙動(112)をバックエンド(200)に伝送する工程(20)と、
    バックエンド(200)において、機能障害或いはその機能障害に係る車両機能ないし制御機器に対する適切なソリューションが探索され、機能障害に対する相応しいソリューションが用意される工程と、
    バックエンド(200)から命令(230)を受信する工程(30)であって、この命令(230)が、機能(110)の異常な挙動(112)に対して適切な対応を実行するために、自動車(100)において採るべき緊急措置を指示する工程と、
    受信した命令(230)に基づき、自動車(100)の機能(110)の異常な挙動(112)の原因である自動車コンポーネント(140)を、その機能を実行する自動車コンポーネント(140)の中から特定する工程(40)と、
    適切な対応として、自動車(100)の機能(110)の異常な挙動(112)の原因であると特定された自動車コンポーネント(140)をダウングレードされたコンフィギュレーションに移行する工程(50)であって、ダウングレードされたコンフィギュレーションが、その自動車コンポーネントのそれまでのコンフィギュレーションよりも制限された機能範囲を有する工程と、
    ダウングレードされたコンフィギュレーションへの自動車コンポーネント(140)の移行(50)が不可能である場合に、
    適切な対応として、自動車コンポーネント(140)を安全なコンフィギュレーションに移行し、自動車コンポーネント(140)には、この安全なコンフィギュレーションが保持されている工程(52)と、
    を有する方法。
  2. 安全なコンフィギュレーションへの自動車コンポーネント(140)の移行(52)が不可能である場合に、適切な対応として、その自動車コンポーネント(140)を停止する工程(54)を更に有する請求項1に記載の方法。
  3. 自動車コンポーネント(140)の停止(54)が成功しなかった場合に、適切な対応として、自動車(100)を安全な状態に移行する工程(56)を更に有し、この安全な状態には、安全性および/または保安性に関して自動車(100)の安全な運行が含まれる請求項2に記載の方法。
  4. 安全な状態への自動車(100)の移行(56)が不可能である場合に、適切な対応として、自動車(100)の走行動作を停止する工程(58)を更に有する請求項3に記載の方法。
  5. 自動車(100)の走行動作の停止(58)が、自動車(100)の安全性に関して安全に行なわれる請求項4に記載の方法。
  6. 自動車(100)において成功裏に採られた緊急措置として実施された適切な対応をバックエンド(200)に伝送する工程(60)を更に有する請求項1から5までのいずれか一つに記載の方法。
  7. 機能(110)の異常な挙動(112)を将来的に排除および/または阻止するために自動車(100)でとるべき永続的な措置を指示するパッチを異常訂正命令としてバックエンド(200)から受信する工程(70)を更に有する請求項1から6までのいずれか一つに記載の方法。
  8. 有利には受信した命令(230)に基づき、自動車(100)の機能(110)の異常な挙動(112)に同じように見舞われている別の自動車コンポーネント(142)を特定する工程(42)と、
    自動車コンポーネント(140)を修正するためのさらなる工程(50,52,54,56,58,60,70)をこの別の自動車コンポーネント(142)に適切に適用する工程と、
    を更に有する請求項1から7までのいずれか一つに記載の方法。
  9. 別の自動車(300)に対して、その別の自動車(300)において採るべき実際の緊急措置および/または予防的な緊急措置に関する命令(230)として、実施した適切な対応を伝送する工程(80)を更に有する請求項1から8までのいずれか一つに記載の方法。
  10. 実施した適切な対応の、別の自動車(300)への伝送(80)が自動車(100)から行なわれる請求項9に記載の方法。
  11. 実施した適切な対応の、別の自動車(300)への伝送(80)がバックエンド(200)から行なわれる請求項9又は10に記載の方法。
  12. 自動車(100)の機能(110)の異常な挙動(112)の特定(10)が、バックエンド(200)、自動車の乗員および自動車独自のルーチンの中の一つ以上によって確認可能である請求項1から11までのいずれか一つに記載の方法。
  13. バックエンド(200)が、自動車外部の認証された権限を有する請求項1から12までのいずれか一つに記載の方法。
  14. 命令(230)が、如何なる判断基準に基づき適切な対応を再び解除できるかとの指示を有する請求項1から13までのいずれか一つに記載の方法。
  15. 自動車(100)の機能(110)の異常な挙動(112)が、自動車(100)または自動車コンポーネント(140)のハッキングを示している請求項1から14までのいずれか一つに記載の方法。
  16. 機能(110)の異常な挙動(112)が、自動車(100)の機能的に安全な運行を危険に晒す特質を有している請求項1から15までのいずれか一つに記載の方法。
  17. 自動車コンポーネント(140)の安全なコンフィギュレーションが、その安全なコンフィギュレーションの不正操作に対して保護されている請求項1から16までのいずれか一つに記載の方法。
  18. 自動車(100)において自動車機能を監視および修正する装置(400)において、 装置(400)は、
    自動車(100)の機能(110)の異常な挙動(112)を特定(10)する機能監視機器(410)と、
    自動車(100)の機能(110)の異常な挙動(112)の原因である自動車コンポーネント(140)を特定(40)する特定手段(440)と、
    自動車コンポーネント(140)を、
    ダウングレードされたコンフィギュレーションおよび/または安全なコンフィギュレーションに移行(50,52)させる修正手段(450)であって、
    ダウングレードされたコンフィギュレーションは、その自動車コンポーネントのそれまでのコンフィギュレーションよりも制限された機能範囲を有し、
    安全なコンフィギュレーションは、自動車コンポーネント(140)に保持されており、この自動車コンポーネント(140)の安全なコンフィギュレーションが、その安全なコンフィギュレーションの不正操作に対して保護されている、
    修正手段(450)と、を備え、
    装置(400)が、請求項1から17までのいずれか一つに記載の方法を実施するように構成されている、
    装置。
  19. 少なくとも一つの自動車コンポーネント(140)であって、自動車コンポーネント(140)が、安全なコンフィギュレーションを有し、有利には安全なコンフィギュレーションが安全なコンフィギュレーションの不正操作に対して保護されている少なくとも一つの自動車コンポーネントと、
    自動車(100)の機能(110)の異常な挙動(112)をバックエンド(200)に伝送(20)するとともに、その機能(110)の異常な挙動(112)に関する命令(230)を受信(30)する移動体無線通信機器(120)と、
    自動車(100)において自動車機能を監視および修正する、請求項18に記載の装置(400)と、
    を備えた自動車(100)。
  20. 請求項18に記載の装置(400)および/または請求項19に記載の自動車(100)のためのコンピュータプログラム製品であって、
    請求項18に記載の装置(400)が、請求項1から17までのいずれか一つに記載の方法に従って動作可能であるコンピュータプログラム製品。
  21. 請求項20に記載のコンピュータプログラム製品を有するデータ媒体。
JP2018551501A 2015-12-21 2016-12-19 自動車における自動車機能の監視および修正 Active JP6928613B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102015226236 2015-12-21
DE102015226236.7 2015-12-21
PCT/EP2016/081714 WO2017108675A1 (de) 2015-12-21 2016-12-19 Überwachung und modifikation von kraftfahrzeugfunktionen in einem kraftfahrzeug

Publications (2)

Publication Number Publication Date
JP2019511416A JP2019511416A (ja) 2019-04-25
JP6928613B2 true JP6928613B2 (ja) 2021-09-01

Family

ID=57609847

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2018550864A Active JP6864006B2 (ja) 2015-12-21 2016-12-07 自動車の安全性及び/又はセキュリティに関連する制御機器の修正方法とそれに関する装置
JP2018551501A Active JP6928613B2 (ja) 2015-12-21 2016-12-19 自動車における自動車機能の監視および修正

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2018550864A Active JP6864006B2 (ja) 2015-12-21 2016-12-07 自動車の安全性及び/又はセキュリティに関連する制御機器の修正方法とそれに関する装置

Country Status (6)

Country Link
US (2) US10875502B2 (ja)
EP (2) EP3393859B1 (ja)
JP (2) JP6864006B2 (ja)
CN (2) CN108290533B (ja)
DE (1) DE102016225425A1 (ja)
WO (2) WO2017108407A1 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017210859A1 (de) * 2017-06-28 2019-01-03 Robert Bosch Gmbh Verfahren zur Selbstüberprüfung von Fahrfunktionen eines autonomen oder teilautonomen Fahrzeuges
CN111758125B (zh) * 2018-03-01 2022-03-22 本田技研工业株式会社 行驶控制装置、行驶控制方法以及程序
DE102019113818B4 (de) 2018-05-31 2023-03-30 Panasonic Intellectual Property Management Co., Ltd. Elektronische steuerungseinrichtung, überwachungsverfahren, programm und gateway-einrichtung
EP3608773A1 (en) 2018-08-09 2020-02-12 Audi Ag Method for providing an automatic software development/generation and deployment functionality in at least one vehicle and corresponding backend server system
DE102018130297A1 (de) 2018-11-29 2020-06-04 Infineon Technologies Ag Arbeitsnachweis-Konzept für ein Fahrzeug
DE102018222086A1 (de) * 2018-12-18 2020-06-18 Volkswagen Aktiengesellschaft Steueranordnung für ein Fahrzeug, Fahrzeug und Verfahren zum Konfigurieren eines fahrzeuginternen Systems
DE102019203251B3 (de) * 2019-03-11 2020-06-18 Volkswagen Aktiengesellschaft Verfahren und System zur sicheren Signalmanipulation für den Test integrierter Sicherheitsfunktionalitäten
LU102362B1 (de) * 2020-12-24 2022-06-27 Andre Stuth Verfahren und Vorrichtungen zur intuitiv-unbewussten Lösungsfindung
DE102021103730A1 (de) 2021-02-17 2022-08-18 Cariad Se Fahrerassistenzsystem und Verfahren zum Bereitstellen einer Notlauffunktion für ein Kraftfahrzeug
DE102021104153A1 (de) * 2021-02-22 2022-08-25 Bayerische Motoren Werke Aktiengesellschaft Steuervorrichtung, telematiksteuergerät und verfahren
US11941926B2 (en) 2021-08-04 2024-03-26 Ford Global Technologies, Llc Vehicle variation remediation
DE102021128534A1 (de) 2021-11-03 2023-05-04 Bayerische Motoren Werke Aktiengesellschaft Steuergeräteverbund, Fortbewegungsmittel und Verfahren zur Kommunikation zwischen Steuergeräten eines Fortbewegungsmittels
DE102022202068A1 (de) 2022-03-01 2023-09-07 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Bestimmen einer E/E-Architektur eines Fahrzeugs
DE102022133584A1 (de) * 2022-12-16 2024-06-27 Bayerische Motoren Werke Aktiengesellschaft Verfahren und Vorrichtung zum Entsperren einer gesperrten Funktion eines Steuergeräts

Family Cites Families (58)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5046022A (en) * 1988-03-10 1991-09-03 The Regents Of The University Of Michigan Tele-autonomous system and method employing time/position synchrony/desynchrony
US5949776A (en) * 1990-01-18 1999-09-07 Norand Corporation Hierarchical communication system using premises, peripheral and vehicular local area networking
US5838562A (en) * 1990-02-05 1998-11-17 Caterpillar Inc. System and a method for enabling a vehicle to track a preset path
EP0503409A3 (en) * 1991-03-08 1993-11-24 Reinshagen Kabelwerk Gmbh Switching arrangement for controlling the opening and closing procedure for power-operated windows in motor vehicles
US10361802B1 (en) * 1999-02-01 2019-07-23 Blanding Hovenweep, Llc Adaptive pattern recognition based control system and method
US5957985A (en) * 1996-12-16 1999-09-28 Microsoft Corporation Fault-resilient automobile control system
JP4399987B2 (ja) * 2001-01-25 2010-01-20 株式会社デンソー 車両統合制御におけるフェイルセーフシステム
US6975247B2 (en) * 2001-09-25 2005-12-13 Kimmet Stephen G Entity catastrophic security system and method
WO2003029922A2 (en) * 2001-10-01 2003-04-10 Kline & Walker, Llc Pfn/trac system faa upgrades for accountable remote and robotics control
JP2004034807A (ja) 2002-07-02 2004-02-05 Omron Corp 開閉体制御装置
US7715961B1 (en) * 2004-04-28 2010-05-11 Agnik, Llc Onboard driver, vehicle and fleet data mining
JP2006029850A (ja) * 2004-07-13 2006-02-02 Alpine Electronics Inc ナビゲーションシステム及びルート案内方法
JP4661380B2 (ja) * 2005-06-14 2011-03-30 トヨタ自動車株式会社 故障診断装置、故障診断システム、故障診断方法、及び車載装置
JP4926590B2 (ja) * 2006-07-28 2012-05-09 本田技研工業株式会社 情報装置および情報システム
US8694328B1 (en) * 2006-12-14 2014-04-08 Joseph Gormley Vehicle customization and personalization activities
US8065244B2 (en) * 2007-03-14 2011-11-22 Halliburton Energy Services, Inc. Neural-network based surrogate model construction methods and applications thereof
JP2009087107A (ja) * 2007-10-01 2009-04-23 Hitachi Ltd 車両用制御システム
US8260487B2 (en) * 2008-01-08 2012-09-04 General Electric Company Methods and systems for vital bus architecture
JP2010061437A (ja) * 2008-09-04 2010-03-18 Fuji Xerox Co Ltd 障害解析システム、障害処理装置、電子機器、プログラム
GB2473957B (en) * 2009-09-24 2011-12-07 David Gilleland Positioning system
JP2011070287A (ja) * 2009-09-24 2011-04-07 Toyota Motor Corp プログラム更新装置、センタ及びプログラム更新システム
US8475050B2 (en) * 2009-12-07 2013-07-02 Honeywell International Inc. System and method for obstacle detection using fusion of color space information
JPWO2011087020A1 (ja) * 2010-01-15 2013-05-20 株式会社日立製作所 組み込み装置及び組み込みシステム
US8751100B2 (en) 2010-08-13 2014-06-10 Deere & Company Method for performing diagnostics or software maintenance for a vehicle
JP5395036B2 (ja) * 2010-11-12 2014-01-22 日立オートモティブシステムズ株式会社 車載ネットワークシステム
JP5853205B2 (ja) * 2011-03-29 2016-02-09 パナソニックIpマネジメント株式会社 車両制御装置
US8543280B2 (en) * 2011-04-29 2013-09-24 Toyota Motor Engineering & Manufacturing North America, Inc. Collaborative multi-agent vehicle fault diagnostic system and associated methodology
US8935019B2 (en) * 2011-08-23 2015-01-13 Sygnet Rail Technologies, Llc Apparatus and method for power production, control, and/or telematics, suitable for use with locomotives
DE102012200184A1 (de) * 2012-01-09 2013-07-11 Robert Bosch Gmbh Sicherer Betrieb eines Kraftfahrzeugs
US20140309876A1 (en) * 2013-04-15 2014-10-16 Flextronics Ap, Llc Universal vehicle voice command system
JP5813547B2 (ja) * 2012-03-23 2015-11-17 株式会社デンソー 車両挙動制御システム
DE102012206147A1 (de) * 2012-04-16 2013-10-17 Robert Bosch Gmbh Verfahren und Vorrichtung zum Betreiben einer Antriebsvorrichtung eines Fahrzeugs
JP2014051108A (ja) * 2012-09-04 2014-03-20 Nissan Motor Co Ltd 旋回走行制御装置、旋回走行制御方法
EP3943759A3 (en) * 2012-12-26 2022-05-04 Danfoss Power Solutions II Technology A/S Fault isolation & decontamination procedures for electrohydraulic valves
US8849494B1 (en) * 2013-03-15 2014-09-30 Google Inc. Data selection by an autonomous vehicle for trajectory modification
DE102013210553A1 (de) * 2013-06-06 2014-12-11 Bayerische Motoren Werke Aktiengesellschaft Vorausschauendes Fahrwerkregelsystem
CN203623598U (zh) * 2013-10-31 2014-06-04 长城汽车股份有限公司 一种汽车转向柱锁止装置
JP6220232B2 (ja) 2013-11-08 2017-10-25 日立オートモティブシステムズ株式会社 車両の制御装置
US20160371977A1 (en) * 2014-02-26 2016-12-22 Analog Devices, Inc. Apparatus, systems, and methods for providing intelligent vehicular systems and services
US10348825B2 (en) * 2014-05-07 2019-07-09 Verizon Patent And Licensing Inc. Network platform-as-a-service for creating and inserting virtual network functions into a service provider network
JP2015219830A (ja) * 2014-05-20 2015-12-07 トヨタ自動車株式会社 運転支援装置
US9405293B2 (en) * 2014-05-30 2016-08-02 Nissan North America, Inc Vehicle trajectory optimization for autonomous vehicles
US10032317B2 (en) * 2015-02-11 2018-07-24 Accenture Global Services Limited Integrated fleet vehicle management system
US10197631B2 (en) * 2015-06-01 2019-02-05 Verizon Patent And Licensing Inc. Systems and methods for determining vehicle battery health
US9547944B2 (en) * 2015-06-10 2017-01-17 Honeywell International Inc. Health monitoring system for diagnosing and reporting anomalies
CN105005222B (zh) * 2015-06-12 2017-05-31 山东省科学院自动化研究所 基于大数据的新能源电动汽车整车性能提升系统及方法
US9767626B2 (en) * 2015-07-09 2017-09-19 Ford Global Technologies, Llc Connected services for vehicle diagnostics and repairs
WO2017042702A1 (en) * 2015-09-07 2017-03-16 Karamba Security Context-based secure controller operation and malware prevention
US10397019B2 (en) * 2015-11-16 2019-08-27 Polysync Technologies, Inc. Autonomous vehicle platform and safety architecture
US9811083B2 (en) * 2015-11-23 2017-11-07 Easy Aerial Inc. System and method of controlling autonomous vehicles
US9836894B2 (en) * 2015-12-03 2017-12-05 GM Global Technology Operations LLC Distributed vehicle health management systems
US10516683B2 (en) * 2017-02-15 2019-12-24 Ford Global Technologies, Llc Systems and methods for security breach detection in vehicle communication systems
US20180373980A1 (en) * 2017-06-27 2018-12-27 drive.ai Inc. Method for training and refining an artificial intelligence
EP3655836A4 (en) * 2017-07-20 2021-04-21 Nuro, Inc. REPOSITIONING AN AUTONOMOUS VEHICLE
CN110945448A (zh) * 2017-07-28 2020-03-31 纽诺有限公司 自主和半自主载具上的灵活隔间设计
US10816980B2 (en) * 2018-04-09 2020-10-27 Diveplane Corporation Analyzing data for inclusion in computer-based reasoning models
US10816981B2 (en) * 2018-04-09 2020-10-27 Diveplane Corporation Feature analysis in computer-based reasoning models
US11592833B2 (en) * 2018-05-04 2023-02-28 Direct Current Capital LLC Method for updating a localization map for a fleet of autonomous vehicles

Also Published As

Publication number Publication date
US20180304858A1 (en) 2018-10-25
DE102016225425A1 (de) 2017-06-22
EP3393859B1 (de) 2021-11-17
JP2019511416A (ja) 2019-04-25
EP3393865A1 (de) 2018-10-31
JP6864006B2 (ja) 2021-04-21
US11084462B2 (en) 2021-08-10
CN108367731B (zh) 2020-12-29
JP2019509216A (ja) 2019-04-04
US10875502B2 (en) 2020-12-29
CN108367731A (zh) 2018-08-03
US20180297610A1 (en) 2018-10-18
CN108290533B (zh) 2021-11-19
CN108290533A (zh) 2018-07-17
EP3393859A1 (de) 2018-10-31
WO2017108407A1 (de) 2017-06-29
EP3393865B1 (de) 2021-03-31
WO2017108675A1 (de) 2017-06-29

Similar Documents

Publication Publication Date Title
JP6928613B2 (ja) 自動車における自動車機能の監視および修正
US11178133B2 (en) Secure vehicle control unit update
JP6807906B2 (ja) 車両へのコンピュータ攻撃を阻止するためのルールを生成するシステムおよび方法
JP6762347B2 (ja) 交通手段に対するコンピュータ攻撃を阻止するためのシステムおよび方法
US9471770B2 (en) Method and control unit for recognizing manipulations on a vehicle network
CN111466094A (zh) 基于车辆私钥的车辆安全消息
JP6782444B2 (ja) 監視装置、監視方法およびコンピュータプログラム
CN105009545B (zh) 具有能够后续通过应用程序改变的行驶行为的机动车
US11784871B2 (en) Relay apparatus and system for detecting abnormalities due to an unauthorized wireless transmission
WO2013093591A1 (en) Vehicle network monitoring method and apparatus
CN113365885B (zh) 用于停用机动车的方法、用于机动车的停用系统和机动车
CN109416711B (zh) 用于安全验证机动车中的控制装置的方法
CN109005147B (zh) 用于避免被操纵的数据传输而保护车辆网络的方法
US11916877B2 (en) System and method for the protected transmission of data
US20200166933A1 (en) Method for providing a safe operation of subsystems within a safety critical system
GB2582006A (en) Vehicle controller
CN114007906A (zh) 安全处理装置
US20230391345A1 (en) Performing security functions using devices having embedded hardware security modules
JP2023170125A (ja) セキュリティ方法、および、セキュリティ装置
US20220245254A1 (en) Control apparatus for vehicle
EP4184862A1 (en) Cybersecurity response by a driver of a vehicle
US20230267212A1 (en) Mitigation of a manipulation of software of a vehicle
JP6997124B2 (ja) 通信監視装置
US20190289551A1 (en) Telephony Control Device, Means of Locomotion and Method for Operating a Mobile Radio Module for a Means of Locomotion
CN113442844A (zh) 适配运输工具的组件的设置的方法、计算机程序和设备

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191213

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20200703

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200924

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201007

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20201218

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210226

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210714

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210806

R150 Certificate of patent or registration of utility model

Ref document number: 6928613

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250