WO2015058921A1 - Verfahren und vorrichtung zur prüfung eines zählerstandes eines wegzählers in einem fahrzeug - Google Patents

Verfahren und vorrichtung zur prüfung eines zählerstandes eines wegzählers in einem fahrzeug Download PDF

Info

Publication number
WO2015058921A1
WO2015058921A1 PCT/EP2014/070332 EP2014070332W WO2015058921A1 WO 2015058921 A1 WO2015058921 A1 WO 2015058921A1 EP 2014070332 W EP2014070332 W EP 2014070332W WO 2015058921 A1 WO2015058921 A1 WO 2015058921A1
Authority
WO
WIPO (PCT)
Prior art keywords
counter
memory area
data
overwriting
vehicle
Prior art date
Application number
PCT/EP2014/070332
Other languages
English (en)
French (fr)
Inventor
Holger Heskamp
Boris Hackstein
Original Assignee
Volkswagen Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Volkswagen Aktiengesellschaft filed Critical Volkswagen Aktiengesellschaft
Publication of WO2015058921A1 publication Critical patent/WO2015058921A1/de

Links

Classifications

    • GPHYSICS
    • G01MEASURING; TESTING
    • G01CMEASURING DISTANCES, LEVELS OR BEARINGS; SURVEYING; NAVIGATION; GYROSCOPIC INSTRUMENTS; PHOTOGRAMMETRY OR VIDEOGRAMMETRY
    • G01C22/00Measuring distance traversed on the ground by vehicles, persons, animals or other moving solid bodies, e.g. using odometers, using pedometers
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0841Registering performance data
    • G07C5/085Registering performance data using electronic data carriers

Definitions

  • the invention relates to a method and a device for checking a counter reading of a travel counter in a vehicle.
  • EP 2 466 263 A1 describes a method in which it is determined by an interference-proof sensor when an angular rotation of a target wheel reaches a threshold value. Next is a measured counter reading in a counter of
  • ingress-safe sensor is incremented in response to the rotation angle determination step. Further, a first distance is determined based on the measured count of the counter. Also, a second measured distance is determined by an odometer. Further, an error value is determined based on a difference between the first measured distance and the second measured distance. Furthermore, the publication describes an interference-proof incrementable counter. This counter is part of a
  • the non-influencing counter can be a hardware counter. Furthermore, the non-influencing counter can not be modified and can not be reprogrammed. The intrinsically safe counter can not be reset and can act as the reference distance of a vehicle.
  • WO 2006/122263 A2 discloses a method for remote access to odometer data in a vehicle having at least two control devices connected via a data bus. Further, the document discloses that an odometer value transmitted over the data bus is accepted only if a message counter of the transmitted one
  • Odometer value is incremented in a predetermined manner over a plurality of successive time periods. This verifies that odometer data has been transmitted at a correct, predetermined time interval. Further, the document describes that it is verified whether a mileage increment is positive and appropriate.
  • SHE modules secure hardware extension modules for microcontroller
  • One task of these SHE modules is, for example, a secure management of encryption secrets in an encapsulated area of the microcontroller. In this case, an application software of the microcontroller has no possibility to read out the encryption secrets stored in the non-volatile memory blocks of an SHE module.
  • Proposed is a method for checking a counter reading of a travel counter in a vehicle, in particular in a motor vehicle.
  • the odometer may for example be an odometer of the vehicle, the meter reading in this case indicating a mileage of the vehicle.
  • the vehicle comprises at least one storage device.
  • the memory device may be part of a control and evaluation device. As will be explained in more detail below, the memory device may preferably be part of a hardware security module.
  • the storage device has at least one first storage area for data. Furthermore, the memory device has at least one first counter memory area assigned to the first memory area for storing a counter value.
  • Data from the first counter memory area can not be read out. This may mean that data from the first counter memory area can not be retrieved or read by devices other than the memory device. This can also mean that immediate access, in particular by means other than the memory device, to data in the first counter memory area is not possible. However, data from the first counter memory area, in particular exclusively, can be used or usable for carrying out at least one predetermined operation. In particular, data from the first counter memory area may be usable or usable for performing a comparison operation. For example, it can be checked by means of a comparison operation whether a counter value stored in the first counter memory area is greater than a comparison value to be specified.
  • the memory device can access the data stored in the first counter memory area for performing the at least one predetermined operation.
  • the data from the first counter memory area may be usable by the memory device exclusively for carrying out the at least one predetermined operation.
  • the data of the first counter memory area can only be accessed within the framework of the execution of the at least one predetermined operation. It is thus possible for the memory device, in particular exclusively, to be able to access data stored in the first counter memory area when carrying out a comparison operation. Also, the comparison operation can only by the
  • data in the first counter memory area can only be overwritten as part of an overwriting of data in the first memory area. This means that data in the first counter memory area can not be overwritten without overwriting data in the first memory area.
  • the data in the first memory area can not be read out.
  • data in the first memory area in particular exclusively, can be used to carry out
  • predetermined functions in particular for encryption or decryption of information, be usable or usable. This will be explained in more detail below.
  • Condition is met, wherein the first condition is met when a counter value is specified for performing the overwriting and this counter value is specified to be greater than the counter value stored in the first counter memory area.
  • an override function or operation for overwriting data in the first memory area can only be triggered or called if at least one current counter value is specified.
  • the override function by z For example, an override command can only be triggered if the parameter of the
  • Override command a counter value is specified.
  • trigger means that functional steps are performed to overwrite data.
  • the triggering does not necessarily result in the successful overwriting of the data.
  • override function by the override command, it is attempted to overwrite the data in the first memory area.
  • overwriting is only carried out if the at least first condition is met.
  • the counter reading of the current counter reading of the travel counter is specified, the counter reading of the travel counter of the vehicle being classified as erroneous if the overwriting is unsuccessful.
  • an error signal can be generated if the overwriting was not successful, in particular if the first condition is not met.
  • the error signal can in particular be generated by the hardware security module explained in more detail below. If the generated error signal is detected, for example by a further control device of the vehicle, the count of the travel counter of the vehicle can be classified as faulty.
  • the count of the path counter can be stored in a further memory device of the vehicle.
  • the count in response to output signals of at least one detection means for detecting a distance traveled by the
  • this stored counter reading can be retrieved and specified.
  • a hardware security module has the first one
  • a hardware security module can designate a module in which predetermined operations are firmly implemented in hardware. This means that the above-mentioned operations are performed only by hardware means and not by software means.
  • the term operations here also includes performing functions and / or
  • hardware security module also encompasses modules that are housed in an encapsulated area of a computing device, e.g. a microcontroller, a
  • Hardware security module can be programmable. Thus, predetermined
  • Operations in the hardware security module are implemented by software. After programming, however, these predetermined operations are no longer changeable.
  • the predetermined operations may be provided, for example, by a firmware that programs the hardware security module and that is not changeable after programming
  • predetermined operations executable by the hardware security module are unique, e.g. by a hardware construction or by programming, and then are unchangeable.
  • the immutability and invulnerability of the hardware security module executable operations can e.g. mean that single operation steps one
  • encryption or decryption operations are performed.
  • the hardware security module usable. For this purpose, only the hardware security module can be stored in the first memory area Access data for performing the predetermined operation. However, access to the data stored in the first memory area from a device other than the hardware security module is not possible. Furthermore, the data from the first memory area may be usable by the hardware security module exclusively for performing one or more predetermined operations. This means that the data of the first memory area can be accessed only in the context of performing a predetermined operation.
  • the hardware security module is as
  • the hardware security module may in this case be e.g. to securely manage data that contains or encodes encryption and decryption secrets.
  • the hardware security module can form an encapsulated area of the control device, wherein the control device can not access data stored in the storage devices of the hardware security module.
  • the controller may e.g. only call predetermined operations, which are then executed by the hardware security module.
  • overwriting data stored in the first storage area of the Hardware Security Module can only occur when an override function or operation to be performed by the hardware security module is invoked, with a counter value specified and that specified counter value greater than that in the first counter memory area is stored counter value.
  • control devices in particular designed as a microcontroller control devices of the vehicle, which are designed as a hardware security module can be used to a reliable test and secure storage of the counter reading of the path counter to enable.
  • Memory area another condition is met, the further condition being met, if, for performing the overwriting, the data currently stored in the first memory area or a predetermined master data set is / are specified.
  • an override function will only be triggered if additionally the data currently stored in the first memory area is specified.
  • the override function is executed only (and thus leads to the overwriting of the data stored in the first memory area), if the specified data correspond to the data currently stored in the first memory area.
  • Overwriting function data not the currently stored in the first memory area data it can be generated in accordance with the previously made explanations in relation to the counter value an error message.
  • the override function may also be performed (and thus result in overwriting of the data stored in the first memory area) if the data specified at or for triggering corresponds to a predetermined master data set.
  • the master record can also be called a master secret. This predetermined master data record can also be used for overwriting further memory areas of the memory device.
  • the data currently stored in the first memory area or the master data set may be specified as parameters of an override command.
  • the data stored in the first memory area can be known or determinable. However, the data stored in the first memory area can not be determinable by being read out of the first memory area since data from the first memory area can not be read out. For example, in addition, the data stored in the first memory area may additionally be stored outside the memory device with the first memory area
  • Storage area e.g. in a further memory device of the vehicle to be stored.
  • a control device which performs the overwriting function of the memory device, in particular the memory device designed as a hardware security module, e.g. by an override command, calls and thus triggers, although no access to the data currently stored in the first memory area, but to the corresponding data in the further memory device.
  • Memory device stored data of the first memory area are additionally protected against unauthorized access. Since only the secure storage of the meter reading of the travel counter is the aim of the method according to the invention, it may be uncritical to use data corresponding to that in the first
  • Memory area to allow stored data.
  • each successful overwriting stores the same data in the first storage area. This means that for overwriting always the same data to be stored in the first memory area are specified, which thus always correspond to the data currently stored in the first memory area. This results in an advantageous manner, an easy-to-implement method, but the hedge is given by the fulfillment of the further condition. The method is therefore easier to implement because no change in the first
  • Memory area stored or to be stored data must be tracked.
  • a renewed overwriting is triggered after covering a predetermined path after the time of the last overwriting.
  • This path can be detected, for example, by a suitable path detection device.
  • counter readings of this path detection device can be interrogated regularly, wherein the renewed overwriting is triggered when a desired difference occurs between counter states of different points in time.
  • re-overwriting may be triggered when the vehicle is after the time of the last one
  • the predetermined path here is preferably small to choose. Although this results in a frequent triggering of the override, but it is ensured that a true count of the Wegoudreers as often as possible in the first influence safe
  • Counter memory area is transmitted.
  • a renewed override is triggered after a predetermined vehicle state related event. For example, re-overwriting may be triggered when an ignition of the vehicle is turned on. Also, a new override can be triggered when more predetermined vehicle conditions occur.
  • a new override can be triggered, if one
  • connection of an external vehicle control device e.g. a control device of a diagnostic device is detected to a control device of the vehicle.
  • Connection can be wired or wireless. Figuratively speaking, the overwrite function is thus triggered with every attempt to establish contact with a vehicle communication system. If e.g. connected to an external computing device to change the count of the path counter in an undesirable manner, so is immediately after the connection recording and thus before influencing the external
  • a classification of a faulty occurs
  • the error message can be made visually, acoustically, haptically or in another way. Alternatively or cumulatively, an error message is stored in a classification of a faulty counter reading of the path counter.
  • the device comprises at least one control device and
  • the storage device has at least one first storage area for data.
  • the memory device has at least one first counter memory area assigned to the first memory area for storing a counter value. Data from the first counter memory area can not be read out. Data in the first memory area are overwritable, with overwriting of data in the first memory area Memory Area at least a first condition must be met, the first condition is met when a counter value is specified to perform the override and this specified counter value is greater than the counter value stored in the first counter memory area.
  • an override function can be called or triggered by the first control device, wherein the override function can be carried out by the memory device.
  • the current counter reading of the travel counter can be specified by the control device as counter value, wherein the counter reading of the travel counter of the vehicle can be classified as faulty if the overwriting is unsuccessful.
  • the memory device may generate an error message in the event of an unsuccessful overwrite operation.
  • the device comprises a hardware security module, wherein the hardware security module comprises the first memory area and the first memory area
  • the hardware security module can be designed as an extension of the first control device.
  • functions of the memory device may be exclusive of the first one
  • Control device be callable, these functions are hardware-based executable by first the first memory device.
  • FIGURE shows a schematic block diagram of a device according to the invention.
  • FIG. 1 shows a schematic block diagram of a device 1 according to the invention.
  • the device 1 comprises a control device 2, which may be designed, for example, as a microcontroller.
  • the device 1 comprises a hardware security module 3, which is designed as an extension of the control device 2.
  • the hardware security module 3 can in this case be embodied in particular as a so-called secure hardware extension.
  • a distance detection device 4 of a vehicle not shown, which detects a distance traveled by the vehicle and stores a current count aZ of the distance detection device 4, which corresponds to the traveled distance of the vehicle, in a path memory device 5.
  • a data storage device 6 wherein current data aD, which correspond to the current data aD stored in a first storage area 7 of the hardware security module 3, are stored in the data storage device 6. It is further shown that the hardware security module 3 comprises the first memory area 7 and a first counter memory area 8, which is assigned to the first memory area 7.
  • the control device 2 queries continuously or at predetermined intervals the current count aZ, which is stored in the path memory device 5 from. Exceeds a difference between a queried at a current time current count aZ and a queried at an earlier time current count aZ a
  • control device 2 calls an override function f of the hardware security module 3.
  • This override function f are passed as parameters or arguments of the current count aZ and the current data aD, which retrieves the control device 2 from the data storage device 6.
  • a first parameter corresponds to a given counter value, which is then compared with the counter value stored in the first counter memory area 8.
  • Parameter corresponds to a data set to be specified, which is then compared with the data currently stored in the first memory area 7.
  • a third parameter corresponds to the new data to be stored in the first memory area 7 of the hardware security module 3.
  • the override function can be called in dependence of still further parameters, for example an identifier of the first to be overwritten
  • the hardware security module 3 executes the overwriting function f, which is implemented in hardware in the hardware security module 3. In this case, the hardware security module 3 checks whether the current count aZ given as a parameter is greater than the current count aZ stored in the first counter memory area 8. If this is not the case, as indicated by an arrow n, then the hardware security module 3 generates an error message F and transmits it to the control device 2. However, if this first condition is fulfilled, the hardware security module checks in a second step, whether the as Parameter specified current data aD currently correspond to the first memory area 7 data aD. If this is not the case, as indicated by a further arrow n, then the hardware security module 3 likewise generates the error message F and transmits it to the control device 2.
  • neither the first memory area 7 stored data still overwrite the data stored in the first counter memory area 8. Only when both conditions are met are the current data aD given in triggering the override function f as the parameter in the first counter memory area 7 and the current count aZ displayed when the override function f is triggered in the first
  • Counter memory area 8 stored, whereby the overwriting was successful. Only in this case, the hardware security module 3 generates a success message E and transmits them to the control device 2. Of course, an order of checking the conditions can also be changed.
  • the override function f is part of a defined and z.
  • FIG. 1 shows that to execute the overwriting function f by the hardware security module 3, the current counter reading aZ is transmitted from the control device 2 to the hardware security module 3.
  • the current meter reading aZ can be transmitted encrypted by the control device 2 to the hardware security module 3 and then decrypted by the hardware security module 3 in a decryption operation.
  • the other parameters can be transmitted encrypted and then decrypted.
  • the proposed method describes a method in which using an override function (update function) of a hardware security module 3, a current counter reading aZ stored in the path memory device 5 can be checked for unwanted manipulation. If the current counter reading aZ specified when calling the overwriting function f is, for example, smaller than the current counter reading aZ stored in the first counter memory area 8, an error message F ensues, as explained above.
  • the control device 2 can, for example, be a display device 9 of FIG Control vehicle to indicate a faulty meter reading. For example, a mileage actually displayed on the display device 9 can be hidden or hidden. Also, a corresponding error message visually, in particular permanently, displayed on the display device 9. An entry can also be made in the corresponding error event memory.
  • a standardized hardware security module 3, which can be used as an extension for the control device 2 of the vehicle can also be used to check the count of a path counter of the vehicle.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Die Erfindung betrifft eine Vorrichtung und ein Verfahren zur Prüfung eines Zählerstandes eines Wegzählers in einem Fahrzeug, wobei das Fahrzeug mindestens eine Speichereinrichtung umfasst, wobei die Speichereinrichtung mindestens einen ersten Speicherbereich (7) für Daten aufweist, wobei die Speichereinrichtung weiter mindestens einen dem ersten Speicherbereich (7) zugeordneten ersten Zählerspeicherbereich (8) zur Speicherung eines Zählerwerts aufweist, wobei Daten aus dem ersten Zählerspeicherbereich (8) nicht auslesbar sind, wobei zum Überschreiben von Daten im ersten Speicherbereich (7) zumindest eine erste Bedingung erfüllt sein muss, wobei die erste Bedingung erfüllt ist, wenn zum Durchführen des Überschreibens ein Zählerwert angegeben wird und dieser angegebene Zählerwert größer als der im ersten Zählerspeicherbereich (8) gespeicherte Zählerwert ist, wobei als Zählerwert jeweils der aktuelle Zählerstand (aZ) des Wegzählers angegeben wird, wobei der Zählerstand (aZ) des Wegzählers des Fahrzeugs als fehlerhaft klassifiziert wird, falls das Überschreiben nicht erfolgreich ist.

Description

Beschreibung
Verfahren und Vorrichtung zur Prüfung eines Zählerstandes eines Wegzählers in einem
Fahrzeug
Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Prüfung eines Zählerstandes eines Wegzählers in einem Fahrzeug.
Bei vielen Fahrzeugen besteht die Möglichkeit, einen Kilometerstand des Fahrzeuges zu manipulieren. Dies erfolgt beispielsweise, um einen Wiederverkaufswert des Fahrzeugs zu erhöhen.
Es existieren eine Vielzahl von Verfahren, einen Kilometerstand eines Fahrzeugs möglichst sicher zu speichern. Die EP 2 466 263 A1 beschreibt ein Verfahren, in welchem durch einen beeinflussungssicheren Sensor bestimmt wird, wenn eine Winkelrotation eines Zielrades einen Schwellwert erreicht. Weiter wird ein gemessener Zählerstand in einem Zähler des
beeinflussungssicheren Sensors in Reaktion auf den Drehwinkel-Bestimmungsschritt inkrementiert. Weiter wird eine erste Distanz basierend auf dem gemessenen Zählerstand des Zählers bestimmt. Ebenfalls wird eine zweite gemessene Distanz durch ein Odometer bestimmt. Weiter wird ein Fehlerwert basierend auf einer Differenz zwischen der ersten gemessenen Distanz und der zweiten gemessenen Distanz bestimmt. Weiter beschreibt die Druckschrift einen beeinflussungssicheren inkrementierbaren Zähler. Dieser Zähler ist Teil einer
Sensorverarbeitungseinheit. Weiter offenbart die Druckschrift, dass der beeinflussungssichere Zähler ein Hardwarezähler sein kann. Weiter kann der beeinflussungssichere Zähler nicht modifizierbar und nicht reprogrammierbar sein. Der beeinflussungssichere Zähler kann nicht zurücksetzbar sein und kann als Referenzdistanz eines Fahrzeugs agieren.
Die WO 2006/122263 A2 offenbart ein Verfahren für einen Fernzugang zu Odometer-Daten in einem Fahrzeug mit zumindest zwei Steuereinrichtungen, die über einen Datenbus verbunden sind. Weiter offenbart die Druckschrift, dass ein Odometer-Wert, der über den Datenbus übertragen wird, nur dann akzeptiert wird, falls ein Botschaftszähler des übertragenen
Odometer-Werts in einer vorbestimmten Weise über eine Vielzahl von sukzessiven Zeitperioden inkrementiert wird. Hierdurch wird verifiziert, dass Odometer-Daten zu einem korrekten, vorbestimmten Zeitintervall übertragen wurden. Weiter beschreibt die Druckschrift, dass verifiziert wird, ob ein Inkrement zum Kilometerstand positiv und angemessen ist. Weiter bekannt sind so genannte Secure Hardware Extension-Module für MikroController (SHE- Module). Diese stellen eine Erweiterungshardware in einem Mikrocontroller dar. Eine Aufgabe dieser SHE-Module ist z.B. eine sichere Verwaltung von Verschlüsselungsgeheimnissen in einem gekapselten Bereich des Mikrocontrollers. Hierbei hat eine Applikationssoftware des Mikrocontrollers keine Möglichkeit, die in den nicht flüchtigen Speicherblöcken eines SHE- Moduls abgelegten Verschlüsselungsgeheimnisse auszulesen. Es besteht lediglich die
Möglichkeit, unter Verwendung eines gespeicherten Verschlüsselungsgeheimnisses Daten zu ver- bzw. zu entschlüsseln.
Es stellt sich das technische Problem, ein Verfahren und eine Vorrichtung zur Prüfung eines Zählerstandes eines Wegzählers in einem Fahrzeug zu schaffen, welche eine zuverlässige und insbesondere beeinflussungssichere Überprüfung des Zählerstandes ermöglichen.
Die Lösung des technischen Problems ergibt sich durch die Gegenstände mit den Merkmalen der Ansprüche 1 und 9. Weitere vorteilhafte Ausgestaltungen der Erfindung ergeben sich aus den Unteransprüchen.
Vorgeschlagen wird ein Verfahren zur Prüfung eines Zählerstandes eines Wegzählers in einem Fahrzeug, insbesondere in einem Kraftfahrzeug. Der Wegzähler kann beispielsweise ein Kilometerzähler des Fahrzeugs sein, wobei der Zählerstand in diesem Fall einen Kilometerstand des Fahrzeugs angibt.
Das Fahrzeug umfasst mindestens eine Speichereinrichtung. Die Speichereinrichtung kann hierbei Teil einer Steuer- und Auswerteeinrichtung sein. Wie nachfolgend noch näher erläutert, kann die Speichereinrichtung vorzugsweise Teil eines Hardware-Sicherheitsmoduls sein.
Die Speichereinrichtung weist mindestens einen ersten Speicherbereich für Daten auf. Weiter weist die Speichereinrichtung mindestens einen, dem ersten Speicherbereich zugeordneten, ersten Zählerspeicherbereich zur Speicherung eines Zählerwerts auf.
Daten aus dem ersten Zählerspeicherbereich sind nicht auslesbar. Dies kann bedeuten, dass Daten aus dem ersten Zählerspeicherbereich nicht durch von der Speichereinrichtung verschiedene Einrichtungen abgerufen oder ausgelesen werden können. Auch kann dies bedeuten, dass ein unmittelbarer Zugriff, insbesondere durch von der Speichereinrichtung verschiedene Einrichtungen, auf Daten im ersten Zählerspeicherbereich nicht möglich ist. Allerdings können Daten aus dem ersten Zählerspeicherbereich, insbesondere ausschließlich, zur Durchführung mindestens einer vorbestimmten Operation nutzbar oder verwendbar sein. Insbesondere können Daten aus dem ersten Zählerspeicherbereich zur Durchführung einer Vergleichsoperation nutzbar oder verwendbar sein. Durch eine Vergleichsoperation kann z.B. geprüft werden, ob ein im ersten Zählerspeicherbereich gespeicherter Zählerwert größer als ein anzugebender Vergleichswert ist.
Hierbei kann ausschließlich die Speichereinrichtung auf die im ersten Zählerspeicherbereich gespeicherten Daten zur Durchführung der mindestens einen vorbestimmten Operation zugreifen. Weiter können die Daten aus dem ersten Zählerspeicherbereich ausschließlich zur Durchführung der mindestens einen vorbestimmen Operation durch die Speichereinrichtung nutzbar sein. Dies bedeutet, dass auf die Daten des ersten Zählerspeicherbereichs nur im Rahmen der Durchführung der mindestens einen vorbestimmten Operation zugegriffen werden kann. So ist es möglich, dass die Speichereinrichtung, insbesondere ausschließlich, bei der Durchführung einer Vergleichsoperation auf im ersten Zählerspeicherbereich gespeicherte Daten zugreifen kann. Auch kann die Vergleichsoperation ausschließlich durch die
Speichereinrichtung durchgeführt werden.
Weiter können Daten im ersten Zählerspeicherbereich ausschließlich im Rahmen eines Überschreibens von Daten im ersten Speicherbereich überschrieben werden. Dies bedeutet, dass Daten im ersten Zählerspeicherbereich nicht ohne ein Überschreiben von Daten im ersten Speicherbereich überschrieben werden können.
Auch die Daten im ersten Speicherbereich können nicht auslesbar sein. Allerdings können Daten im ersten Speicherbereich, insbesondere ausschließlich, zur Durchführung
vorbestimmter Funktionen, insbesondere zur Ver- oder Entschlüsselung von Informationen, nutzbar oder verwendbar sein. Dies wird nachfolgend noch näher erläutert.
Zum Überschreiben von Daten im ersten Speicherbereich muss zumindest eine erste
Bedingung erfüllt sein, wobei die erste Bedingung erfüllt ist, wenn zum Durchführen des Überschreibens ein Zählerwert angegeben wird und dieser angegebene Zählerwert größer als der im ersten Zählerspeicherbereich gespeicherte Zählerwert ist.
So kann z.B. eine Überschreibefunktion oder -Operation zum Überschreiben von Daten im ersten Speicherbereich nur dann ausgelöst oder aufgerufen werden, falls zumindest ein aktueller Zählerwert angegeben wird. Beispielsweise kann die Überschreibefunktion durch z. B. einen Überschreibebefehl nur dann ausgelöst werden, falls als Parameter des
Überschreibebefehls ein Zählerwert angegeben wird.
Im Sinne dieser Erfindung bedeutet auslösen, dass Funktionsschritte zum Überschreiben von Daten ausgeführt werden. Jedoch hat das Auslösen, wie nachfolgend näher erläutert, nicht zwingend das erfolgreiche Überschreiben der Daten zur Folge. Somit also wird durch das Auslösen der Überschreibefunktion durch den Überschreibefehl versucht, die Daten im ersten Speicherbereich zu überschreiben. Das Überschreiben wird jedoch nur dann ausgeführt, wenn die zumindest erste Bedingung auch erfüllt ist.
Erfindungsgemäß wird als Zählerwert jeweils der aktuelle Zählerstand des Wegzählers angegeben, wobei der Zählerstand des Wegzählers des Fahrzeugs als fehlerhaft klassifiziert wird, falls das Überschreiben nicht erfolgreich ist.
Somit wird also nach dem Auslösen der Überschreibefunktion, beispielsweise im Rahmen der vorhergehend erläuterten Vergleichsoperation, geprüft, ob der angegebene Zählerwert größer als der aktuell im ersten Zählerspeicherbereich gespeicherte Zählerwert ist. Weiter kann ein Fehlersignal generiert werden, falls das Überschreiben nicht erfolgreich war, insbesondere falls die erste Bedingung nicht erfüllt ist. Das Fehlersignal kann insbesondere von dem nachfolgend noch näher erläuterten Hardware-Sicherheitsmodul generiert werden. Wird das generierte Fehlersignal detektiert, beispielsweise durch eine weitere Steuereinrichtung des Fahrzeugs, so kann der Zählerstand des Wegzählers des Fahrzeugs als fehlerhaft klassifiziert werden.
Der Zählerstand des Wegzählers kann in einer weiteren Speichereinrichtung des Fahrzeugs gespeichert sein. Beispielsweise kann der Zählerstand in Abhängigkeit von Ausgangssignalen zumindest einer Erfassungseinrichtung zur Erfassung eines zurückgelegten Wegs des
Fahrzeugs bestimmt und in der weiteren Speichereinrichtung gespeichert werden. Zum
Auslösen der Überschreibefunktion kann dieser gespeicherte Zählerstand abgerufen und angegeben werden.
Somit wird in vorteilhafter Weise die Prüfung eines Zählerstands eines Wegzählers geschaffen, die eine Speichereinrichtung nutzt, bei welcher das Überschreiben bestimmter
Speicherbereiche ausschließlich im Rahmen des Überschreibens anderer Speicherbereiche der Speichereinrichtung möglich ist und zusätzliche Bedingungen erfüllt sein müssen. Insbesondere wenn, wie nachfolgend ebenfalls noch näher erläutert, das Überschreiben von Daten im ersten Speicherbereich nur unter Erfüllung noch weiterer Bedingungen möglich ist, kann auf diese Weise eine noch beeinflussungssichere Speicherung des Zählerwerts des Wegzählers erfolgen. Dies wiederum ermöglicht eine sichere Überprüfung des Zählerstands.
In einer bevorzugten Ausführungsform weist ein Hardware-Sicherheitsmodul den ersten
Speicherbereich und den ersten Zählerspeicherbereich auf. Hierbei kann ein Hardware- Sicherheitsmodul ein Modul bezeichnen, in welchem vorbestimmte Operationen hardwaremäßig fest implementiert sind. Dies bedeutet, dass die vorhergehend genannten Operationen ausschließlich durch Hardwaremittel und nicht durch Softwaremittel durchgeführt werden. Der Begriff Operationen umfasst hierbei auch das Durchführen von Funktionen und/oder
Berechnungen. Der Begriff Hardware-Sicherheitsmodul umfasst jedoch auch Module, die in einem gekapselten Bereich einer Recheneinrichtung, z.B. eines Mikrocontrollers, einen
Prozessor, einen Arbeitsspeicher und einen Programmspeicher aufweisen. Ein solches
Hardware-Sicherheitsmodul kann programmierbar sein. Somit können vorbestimmte
Operationen in dem Hardware-Sicherheitsmodul softwaremäßig implementiert werden. Nach der Programmierung sind diese vorbestimmten Operationen jedoch nicht mehr veränderbar. Die vorbestimmten Operationen können beispielsweise durch eine Firmware bereitgestellt werden, mit der das Hardware-Sicherheitsmodul programmiert wird und die nach der Programmierung nicht mehr veränderbar ist
Wesentlich ist somit, dass vorbestimmte Operationen, die durch das Hardware- Sicherheitsmodul ausführbar sind, einmalig, z.B. durch einen Hardwareaufbau oder durch eine Programmierung, festgelegt werden und dann unveränderbar sind.
Die Unveränderbarkeit und Unbeeinflussbarkeit der vom Hardware-Sicherheitsmodul ausführbaren Operationen kann z.B. bedeuten, dass einzelne Operationsschritte einer
(gesamten) Operation, die vom Hardware-Sicherheitsmodul durchgeführt wird, nicht verändert, z.B. ausgetauscht oder weggelassen, werden können. Auch eine Reihenfolge von
Operationsschritten kann nicht verändert werden.
Wie vorhergehend bereits erläutert, können mittels des Hardware-Sicherheitsmoduls
beispielsweise Ver- oder Entschlüsselungsoperationen ausgeführt werden.
Insbesondere sind Daten aus dem ersten Speicherbereich zur Durchführung einer
vorbestimmten Operation durch das Hardware-Sicherheitsmodul nutzbar. Hierzu kann ausschließlich das Hardware-Sicherheitsmodul auf die im ersten Speicherbereich gespeicherten Daten zur Durchführung der vorbestimmten Operation zugreifen. Ein Zugriff auf die im ersten Speicherbereich gespeicherten Daten von einer Einrichtung, die vom Hardware- Sicherheitsmodul verschieden ist, ist jedoch nicht möglich. Weiter können die Daten aus dem ersten Speicherbereich ausschließlich zur Durchführung einer oder mehrerer vorbestimmter Operation(en) durch das Hardware-Sicherheitsmodul nutzbar sein. Dies bedeutet, dass auf die Daten des ersten Speicherbereichs nur im Rahmen der Durchführung einer vorbestimmten Operation zugegriffen werden kann.
Hierdurch ergibt sich in vorteilhafter Weise eine verbesserte Absicherung gegenüber einer unerwünschten Beeinflussung des Zählerstandes des Wegzählers, da dieser nur im Rahmen einer Ausführung einer oder mehrerer vorbestimmter und nicht beeinflussbarer Operationen verändert werden kann.
In einer weiter bevorzugten Ausführungsform ist das Hardware-Sicherheitsmodul als
Erweiterung einer Steuereinrichtung des Fahrzeugs ausgebildet. Das Hardware- Sicherheitsmodul kann hierbei z.B. der sicheren Verwaltung von Daten dienen, die Ver- und Entschlüsselungsgeheimnisse enthalten oder kodieren. Das Hardware-Sicherheitsmodul kann einen gekapselten Bereich der Steuereinrichtung bilden, wobei die Steuereinrichtung nicht auf in den Speichereinrichtungen des Hardware-Sicherheitsmoduls gespeicherte Daten zugreifen kann. So kann die Steuereinrichtung z.B. ausschließlich vorbestimmte Operationen aufrufen, die dann vom Hardware-Sicherheitsmodul ausgeführt werden.
Ein Überschreiben von Daten, die im ersten Speicherbereich des Hardware-Sicherheitsmoduls gespeichert sind, kann beispielsweise nur dann erfolgen, wenn eine vom Hardware- Sicherheitsmodul auszuführende Überschreibefunktion bzw. -Operation aufgerufen wird, wobei ein Zählerwert angegeben wird und dieser angegebene Zählerwert größer als der im ersten Zählerspeicherbereich gespeicherte Zählerwert ist.
Hierdurch ergibt sich in vorteilhafter Weise, dass bereits verwendete oder in Zukunft geplante Erweiterungen von Steuereinrichtungen, insbesondere von als Mikrocontroller ausgebildete Steuereinrichtungen des Fahrzeugs, die als Hardware-Sicherheitsmodul ausgeführt sind, genutzt werden können, um eine zuverlässige Prüfung und beeinflussungssichere Speicherung des Zählerstandes des Wegzählers zu ermöglichen.
In einer weiteren Ausführungsform muss zum Überschreiben von Daten im ersten
Speicherbereich eine weitere Bedingung erfüllt sein, wobei die weitere Bedingung erfüllt ist, wenn zum Durchführen des Überschreibens die aktuell im ersten Speicherbereich gespeicherten Daten oder ein vorbestimmter Master-Datensatz angegeben werden/wird.
So kann z.B. eine Überschreibefunktion nur dann ausgelöst werden, falls zusätzlich die aktuell im ersten Speicherbereich gespeicherten Daten angegeben werden. Die Überschreibefunktion wird nur dann ausgeführt (und führt somit zum Überschreiben der im ersten Speicherbereich gespeicherten Daten), wenn die angegebenen Daten den aktuell im ersten Speicherbereich gespeicherten Daten entsprechen. Entsprechen die zum oder beim Auslösen der
Überschreibefunktion angegebenen Daten nicht den aktuell im ersten Speicherbereich gespeicherten Daten, so kann entsprechend den vorhergehend getätigten Erläuterungen in Bezug auf den Zählerwert eine Fehlermeldung generiert werden.
Alternativ kann die Überschreibefunktion auch dann durchgeführt werden (und somit zum Überschreiben der im ersten Speicherbereich gespeicherten Daten führen), wenn die beim oder zum Auslösen angegebenen Daten einem vorbestimmten Master-Datensatz entsprechen. Der Master-Datensatz kann auch als Mastergeheimnis bezeichnet werden. Dieser vorbestimmte Master-Datensatz kann hierbei auch zum Überschreiben weiterer Speicherbereiche der Speichereinrichtung verwendet werden.
Die aktuell im ersten Speicherbereich gespeicherten Daten oder der Master-Datensatz können als Parameter eines Überschreibebefehls angegeben werden.
Die im ersten Speicherbereich gespeicherten Daten können hierbei bekannt oder bestimmbar, sein. Allerdings können die im ersten Speicherbereich gespeicherten Daten nicht bestimmbar sein, indem sie aus dem ersten Speicherbereich ausgelesen werden, da Daten aus dem ersten Speicherbereich nicht auslesbar sein können. Z.B. können die im ersten Speicherbereich gespeicherten Daten zusätzlich außerhalb der Speichereinrichtung mit dem ersten
Speicherbereich, z.B. in einer weiteren Speichereinrichtung des Fahrzeugs, gespeichert sein.
Somit hat eine Steuereinrichtung, die die Überschreibefunktion der Speichereinrichtung, insbesondere der als Hardware-Sicherheitsmodul ausgeführten Speichereinrichtung z.B. durch einen Überschreibebefehl, aufruft und somit auslöst, zwar keinen Zugriff auf die im ersten Speicherbereich aktuell gespeicherten Daten, jedoch auf die entsprechenden Daten in der weiteren Speichereinrichtung. Selbstverständlich können die in der weiteren
Speichereinrichtung gespeicherten Daten des ersten Speicherbereichs zusätzlich gegen unbefugte Zugriffe abgesichert werden. Da ausschließlich die sichere Speicherung des Zählerstands des Wegzählers Ziel des erfindungsgemäßen Verfahrens ist, kann es unkritisch sein, Daten, die den im ersten
Speicherbereich gespeicherten Daten entsprechen, auch außerhalb des ersten
Speicherbereichs zu speichern und einen Zugriff auf diese außerhalb des ersten
Speicherbereichs gespeicherten Daten zu ermöglichen.
Durch die weitere Bedingung ergibt sich jedoch in vorteilhafter Weise, dass die Sicherheit gegenüber einer unerwünschten Beeinflussung des in dem ersten Zählerspeicherbereich gespeicherten Zählerstandes des Wegzählers weiter erhöht wird.
In einer weiteren Ausführungsform werden bei jedem erfolgreichen Überschreiben die gleichen Daten im ersten Speicherbereich gespeichert. Dies bedeutet, dass zum Überschreiben immer die gleichen im ersten Speicherbereich zu speichernden Daten angegeben werden, die somit auch immer den aktuell im ersten Speicherbereich gespeicherten Daten entsprechen. Hierdurch ergibt sich in vorteilhafter Weise ein einfach zu implementierendes Verfahren, wobei jedoch die Absicherung durch die Erfüllung der weiteren Bedingung gegeben ist. Das Verfahren ist insbesondere deswegen einfacher implementierbar, weil keine Änderung der im ersten
Speicherbereich gespeicherten oder zu speichernden Daten verfolgt werden muss.
In einer weiteren Ausführungsform wird ein erneutes Überschreiben nach Zurücklegen eines vorbestimmten Weges nach dem Zeitpunkt des letzten Überschreibens ausgelöst. Dieser Weg kann beispielsweise durch eine geeignete Wegerfassungseinrichtung erfasst werden.
Beispielsweise können regelmäßig Zählerstände dieser Wegerfassungseinrichtung abgefragt werden, wobei das erneute Überschreiben ausgelöst wird, wenn eine gewünschte Differenz zwischen Zählerstanden verschiedener Zeitpunkte eintritt. Beispielsweise kann ein erneutes Überschreiben ausgelöst werden, wenn das Fahrzeug nach dem Zeitpunkt des letzten
Überschreibens eine vorbestimmte Wegstrecke, z.B. 50 km, zurückgelegt hat. Zusätzlich kann selbstverständlich noch eine Zeitbedingung bei der Auswertung der Differenz von
Zählerständen berücksichtigt werden.
Der vorbestimmte Weg ist hierbei vorzugsweise klein zu wählen. Hierdurch ergibt sich zwar ein häufiges Auslösen der Überschreibefunktion, jedoch wird gewährleistet, dass ein wahrer Zählerstand des Wegzählers möglichst häufig in den beeinflussungssicheren ersten
Zählerspeicherbereich übertragen wird. In einer weiteren oder alternativen Ausführungsform wird ein erneutes Überschreiben nach einem vorbestimmten fahrzeugzustandsbezogenen Ereignis ausgelöst. Beispielsweise kann ein erneutes Überschreiben ausgelöst werden, wenn eine Zündung des Fahrzeugs eingeschaltet wird. Auch kann ein erneutes Überschreiben ausgelöst werden, wenn weitere vorbestimmte Fahrzeugzustände eintreten.
Beispielsweise kann ein erneutes Überschreiben ausgelöst werden, falls eine
Verbindungsaufnahme einer fahrzeugexternen Steuereinrichtung, z.B. einer Steuereinrichtung eines Diagnosegeräts, zu einer Steuereinrichtung des Fahrzeugs detektiert wird. Die
Verbindungsaufnahme kann hierbei drahtgebunden oder drahtlos erfolgen. Bildlich gesprochen wird somit bei jeder versuchten Kontaktaufnahme mit einem Fahrzeugkommunikationssystem die Überschreibefunktion ausgelöst. Wird z.B. eine externe Recheneinrichtung angeschlossen, um den Zählerstand des Wegzählers in unerwünschter Weise zu verändern, so wird unmittelbar nach der Verbindungsaufnahme und somit noch vor einer Beeinflussung der externen
Recheneinrichtung der aktuelle Zählerstand in den beeinflussungssicheren ersten
Zählerspeicherbereich übertragen.
Hierdurch ergibt sich eine verbesserte Absicherung der Speicherung des Zählerstands des Wegzählers.
In einer weiteren Ausführungsform erfolgt bei einer Klassifikation eines fehlerhaften
Zählerstands des Wegzählers eine Fehlermeldung. Die Fehlermeldung kann hierbei optisch, akustisch, haptisch oder auf eine andere Weise erfolgen. Alternativ oder kumulativ wird bei einer Klassifikation eines fehlerhaften Zählerstands des Wegzählers eine Fehlermeldung gespeichert.
Somit ergibt sich in vorteilhafter Weise, dass ein Fahrzeugführer oder entsprechendes
Fachpersonal über einen fehlerhaften Zählerstands des Wegzählers informiert wird.
Weiter vorgeschlagen wird eine Vorrichtung zur Prüfung eines Zählerstandes eines Wegzählers in einem Fahrzeug. Die Vorrichtung umfasst mindestens eine Steuereinrichtung und
mindestens eine Speichereinrichtung. Die Speichereinrichtung weist mindestens einen ersten Speicherbereich für Daten auf. Weiter weist die Speichereinrichtung mindestens einen dem ersten Speicherbereich zugeordneten ersten Zählerspeicherbereich zur Speicherung eines Zählerwert auf. Daten aus dem ersten Zählerspeicherbereich sind nicht auslesbar. Daten im ersten Speicherbereich sind überschreibbar, wobei zum Überschreiben von Daten im ersten Speicherbereich zumindest eine erste Bedingung erfüllt sein muss, wobei die erste Bedingung erfüllt ist, wenn zum Durchführen des Überschreibens ein Zählerwert angegeben wird und dieser angegebene Zählerwert größer als der im ersten Zählerspeicherbereich gespeicherte Zählerwert ist. Hierbei kann eine Überschreibefunktion durch die erste Steuereinrichtung aufrufbar oder auslösbar sein, wobei die Überschreibefunktion von der Speichereinrichtung durchführbar ist.
Erfindungsgemäß ist durch die Steuereinrichtung als Zählerwert jeweils der aktuelle Zählerstand des Wegzählers angebbar, wobei der Zählerstand des Wegzählers des Fahrzeugs als fehlerhaft klassifizierbar ist, falls das Überschreiben nicht erfolgreich ist. Wie vorhergehend erläutert, kann die Speichereinrichtung bei einem nicht erfolgreichen Überschreibvorgang eine Fehlermeldung erzeugen.
Hierdurch ergibt sich in vorteilhafter Weise eine Vorrichtung, mittels derer eines der
vorhergehend erläuterten Verfahren durchführbar ist.
In einer weiteren Ausführungsform umfasst die Vorrichtung ein Hardware-Sicherheitsmodul, wobei das Hardware-Sicherheitsmodul den ersten Speicherbereich und den ersten
Zählerspeicherbereich aufweist. Insbesondere kann das Hardware-Sicherheitsmodul als Erweiterung der ersten Steuereinrichtung ausgeführt sein.
Weiter können Funktionen der Speichereinrichtung ausschließlich durch die erste
Steuereinrichtung aufrufbar sein, wobei diese Funktionen hardwarebasiert durch erste die erste Speichereinrichtung ausführbar sind.
Die Erfindung wird anhand eines Ausführungsbeispiels näher erläutert. Die einzige Figur zeigt ein schematisches Blockschaltbild einer erfindungsgemäßen Vorrichtung.
In Fig. 1 ist ein schematisches Blockschaltbild einer erfindungsgemäßen Vorrichtung 1 dargestellt. Die Vorrichtung 1 umfasst eine Steuereinrichtung 2, die z.B. als MikroController ausgebildet sein kann. Weiter umfasst die Vorrichtung 1 ein Hardware-Sicherheitsmodul 3, welches als Erweiterung der Steuereinrichtung 2 ausgebildet ist. Das Hardware- Sicherheitsmodul 3 kann hierbei insbesondere als so genannte Secure Hardware Extension ausgeführt sein. Weiter dargestellt ist eine Wegerfassungseinrichtung 4 eines nicht dargestellten Fahrzeugs, welches einen zurückgelegten Weg des Fahrzeugs erfasst und einen aktuellen Zählerstand aZ der Wegerfassungseinrichtung 4, der dem zurückgelegten Weg des Fahrzeugs entspricht, in einer Wegspeichereinrichtung 5 speichert. Dargestellt ist weiter eine Datenspeichereinrichtung 6, wobei in der Datenspeichereinrichtung 6 aktuelle Daten aD gespeichert sind, die den in einem ersten Speicherbereich 7 des Hardware-Sicherheitsmoduls 3 gespeicherten aktuellen Daten aD entsprechen. Dargestellt ist weiter, dass das Hardware-Sicherheitsmodul 3 den ersten Speicherbereich 7 und einen ersten Zählerspeicherbereich 8 umfasst, der dem ersten Speicherbereich 7 zugeordnet ist.
Die Steuereinrichtung 2 fragt kontinuierlich oder in vorbestimmten Zeitabständen den aktuellen Zählerstand aZ, der in der Wegspeichereinrichtung 5 gespeichert ist, ab. Überschreitet eine Differenz zwischen einem zu einem aktuellen Zeitpunkt abgefragten aktuellen Zählerstand aZ und einem zu einem früheren Zeitpunkt abgefragten aktuellen Zählerstand aZ einen
vorbestimmten Schwellwert, so ruft die Steuereinrichtung 2 eine Überschreibefunktion f des Hardware-Sicherheitsmoduls 3 auf. Dieser Überschreibefunktion f werden als Parameter bzw. Argumente der aktuelle Zählerstand aZ sowie die aktuellen Daten aD, die die Steuereinrichtung 2 aus der Datenspeichereinrichtung 6 abruft, übergeben.
Es ist dargestellt, dass der Überschreibefunktion f zumindest drei Parameter übergeben werden. Ein erster Parameter entspricht einem anzugebenden Zählerwert, der dann mit dem im ersten Zählerspeicherbereich 8 gespeicherten Zählerwert verglichen wird. Ein zweiter
Parameter entspricht einem anzugebenden Datensatz, der dann mit den aktuell im ersten Speicherbereich 7 gespeicherten Daten verglichen wird. Ein dritter Parameter entspricht den neu im ersten Speicherbereich 7 des Hardware-Sicherheitsmoduls 3 zu speichernden Daten. Selbstverständlich kann die Überschreibefunktion in Abhängigkeit noch weiterer Parameter aufgerufen werden, beispielsweise einer Kennung des zu überschreibenden ersten
Speicherbereichs 7.
Das Hardware-Sicherheitsmodul 3 führt die Überschreibefunktion f, die hardwaremäßig im Hardware-Sicherheitsmodul 3 implementiert ist, aus. Hierbei wird vom Hardware- Sicherheitsmodul 3 geprüft, ob der als Parameter angegebene aktuelle Zählerstand aZ größer als der im ersten Zählerspeicherbereich 8 gespeicherte aktuelle Zählerstand aZ ist. Ist dies nicht der Fall, was durch einen Pfeil n angedeutet ist, so generiert das Hardware-Sicherheitsmodul 3 eine Fehlermeldung F und überträgt diese an die Steuereinrichtung 2. Ist diese erste Bedingung jedoch erfüllt, so überprüft das Hardware-Sicherheitsmodul in einem zweiten Schritt, ob die als Parameter angegebenen aktuellen Daten aD den aktuell im ersten Speicherbereich 7 gespeicherten Daten aD entsprechen. Ist dies nicht der Fall, was durch einen weiteren Pfeil n angedeutet ist, so generiert das Hardware-Sicherheitsmodul 3 ebenfalls die Fehlermeldung F und überträgt diese an die Steuereinrichtung 2. Ist zumindest eine der beiden Bedingungen nicht erfüllt, so werden weder die im ersten Speicherbereich 7 gespeicherten Daten aD noch die im ersten Zählerspeicherbereich 8 gespeicherten Daten überschrieben. Ausschließlich wenn beide Bedingungen erfüllt sind, werden die beim Auslösen der Überschreibefunktion f als Parameter angegebenen aktuellen Daten aD im ersten Zählerspeicherbereich 7 und der beim Auslösen der Überschreibefunktion f angegebene aktuelle Zählerstand aZ im ersten
Zählerspeicherbereich 8 gespeichert, wodurch das Überschreiben erfolgreich war. Nur in diesem Fall generiert das Hardware-Sicherheitsmodul 3 eine Erfolgsmeldung E und überträgt diese an die Steuereinrichtung 2. Selbstverständlich kann eine Reihenfolge der Prüfung der Bedingungen auch verändert werden.
Die Überschreibefunktion f ist ein Teil eines definierten und z. B. hardwaremäßig
implementierten Überschreibe-Protokolls, wobei Daten im ersten Speicherbereich 7
ausschließlich gemäß diesem Überschreibe-Protokoll überschrieben werden können.
In Fig. 1 ist dargestellt, dass zum Ausführen der Überschreibefunktion f durch das Hardware- Sicherheitsmodul 3 der aktuelle Zählerstand aZ von der Steuereinrichtung 2 an das Hardware- Sicherheitsmodul 3 übertragen wird. Hierbei kann der aktuelle Zählerstand aZ verschlüsselt von der Steuereinrichtung 2 an das Hardware-Sicherheitsmodul 3 übertragen und dann von dem Hardware-Sicherheitsmodul 3 in einer Entschlüsselungsoperation entschlüsselt werden.
Entsprechend können auch die weiteren Parameter verschlüsselt übertragen und dann entschlüsselt werden.
Somit beschreibt das vorgeschlagene Verfahren ein Verfahren, bei dem unter Verwendung einer Überschreibefunktion (Update-Funktion) eines Hardware-Sicherheitsmoduls 3 ein in der Wegspeichereinrichtung 5 gespeicherte aktuelle Zählerstand aZ auf unerwünschte Manipulation überprüft werden kann. Ist der beim Aufruf der Überschreibefunktion f angegebene aktuelle Zählerstand aZ z.B. kleiner als der in dem ersten Zählerspeicherbereich 8 gespeicherte aktuelle Zählerstand aZ, so erfolgt, wie vorhergehend erläutert, eine Fehlermeldung F. In Abhängigkeit der Fehlermeldung F kann die Steuereinrichtung 2 beispielsweise eine Anzeigevorrichtung 9 des Fahrzeugs ansteuern, um einen fehlerhaften Zählerstand anzuzeigen. Beispielsweise kann ein eigentlich auf der Anzeigeeinrichtung 9 anzuzeigender Kilometerstand ausgeblendet oder verborgen werden. Auch kann eine entsprechende Fehlermeldung visuell, insbesondere permanent, auf der Anzeigeeinrichtung 9 angezeigt werden. Ebenfalls kann ein Eintrag in entsprechenden Fehler-Ereignisspeicher erfolgen.
Insgesamt ergibt sich in vorteilhafter Weise, dass ein standardisiertes Hardware- Sicherheitsmodul 3, welches als Erweiterung für die Steuereinrichtung 2 des Fahrzeugs verwendet werden kann, ebenfalls zur Prüfung des Zählerstandes eines Wegzählers des Fahrzeugs genutzt werden kann.
Bezugszeichenliste
1 Vorrichtung
2 Steuereinrichtung
3 Hardware-Sicherheitsmodul
4 Wegerfassungseinrichtung
5 Wegspeichereinrichtung
6 Datenspeichereinrichtung
7 erster Speicherbereich
8 erster Zählerspeicherbereich
9 Anzeigevorrichtung
aZ aktueller Zählerstand
aD aktuelle Daten
F Fehlermeldung
E Erfolgsmeldung
f Überschreibefunktion
n Pfeil

Claims

Patentansprüche
Verfahren zur Prüfung eines Zählerstandes eines Wegzählers in einem Fahrzeug, wobei das Fahrzeug mindestens eine Speichereinrichtung umfasst, wobei die
Speichereinrichtung mindestens einen ersten Speicherbereich (7) für Daten aufweist, wobei die Speichereinrichtung weiter mindestens einen dem ersten Speicherbereich (7) zugeordneten ersten Zählerspeicherbereich (8) zur Speicherung eines Zählerwerts aufweist, wobei Daten aus dem ersten Zählerspeicherbereich (8) nicht auslesbar sind, wobei zum Überschreiben von Daten im ersten Speicherbereich (7) zumindest eine erste Bedingung erfüllt sein muss, wobei die erste Bedingung erfüllt ist, wenn zum Durchführen des Überschreibens ein Zählerwert angegeben wird und dieser angegebene Zählerwert größer als der im ersten Zählerspeicherbereich (8) gespeicherte Zählerwert ist, dadurch gekennzeichnet, dass
als Zählerwert jeweils der aktuelle Zählerstand (aZ) des Wegzählers angegeben wird, wobei der Zählerstand (aZ) des Wegzählers des Fahrzeugs als fehlerhaft klassifiziert wird, falls das Überschreiben nicht erfolgreich ist.
Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass ein Hardware- Sicherheitsmodul (3) den ersten Speicherbereich (7) und den ersten
Zählerspeicherbereich (8) aufweist.
Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass das Hardware- Sicherheitsmodul (3) als Erweiterung einer Steuereinrichtung (2) des Fahrzeugs ausgebildet ist.
Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass zum
Überschreiben von Daten im ersten Speicherbereich (7) eine weitere Bedingung erfüllt sein muss, wobei die weitere Bedingung erfüllt ist, wenn zum Durchführen des
Überschreibens die aktuell im ersten Speicherbereich (7) gespeicherten Daten oder ein vorbestimmter Master-Datensatz angegeben wird.
Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass bei jedem erfolgreichen Überschreiben die gleichen Daten im ersten Speicherbereich (7)
gespeichert werden.
6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass ein erneutes Überschreiben nach Zurücklegen eines vorbestimmten Weges nach dem Zeitpunkt des letzten Überschreibens ausgelöst wird.
7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass ein erneutes Überschreiben nach einem vorbestimmten fahrzeugzustandsbezogenen Ereignis ausgelöst wird.
8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass bei einer Klassifikation eines fehlerhaften aktuellen Zählerstands (aZ) des Wegzählers eine
Fehlermeldung (F) erfolgt und/oder gespeichert wird.
9. Vorrichtung zur Prüfung eines Zählerstandes eines Wegzählers in einem Fahrzeug,
wobei die Vorrichtung (1 ) mindestens eine Steuereinrichtung (2) und mindestens eine Speichereinrichtung umfasst, wobei die Speichereinrichtung mindestens einen ersten Speicherbereich (7) für Daten aufweist, wobei die Speichereinrichtung weiter mindestens einen dem ersten Speicherbereich (7) zugeordneten ersten Zählerspeicherbereich (8) zur Speicherung eines Zählerwerts aufweist, wobei Daten aus dem ersten
Zählerspeicherbereich (8) nicht auslesbar sind, wobei Daten im ersten Speicherbereich (7) überschreibbar sind, wobei zum Überschreiben von Daten im ersten Speicherbereich (7) zumindest eine erste Bedingung erfüllt sein muss, wobei die erste Bedingung erfüllt ist, wenn zum Durchführen des Überschreibens ein Zählerwert angegeben wird und dieser angegebene Zählerwert größer als der im ersten Zählerspeicherbereich (8) gespeicherte Zählerwert ist,
dadurch gekennzeichnet, dass
durch die Steuereinrichtung (2) als Zählerwert jeweils der aktuelle Zählerstand (aZ) des Wegzählers angebbar ist, wobei der Zählerstand (aZ) des Wegzählers des Fahrzeugs als fehlerhaft klassifizierbar ist, falls das Überschreiben nicht erfolgreich ist.
10. Vorrichtung nach Anspruch 9, dadurch gekennzeichnet, dass die Vorrichtung (1 ) ein
Hardware-Sicherheitsmodul (3) umfasst, wobei das Hardware-Sicherheitsmodul (3) den ersten Speicherbereich (7) und den ersten Zählerspeicherbereich (8) aufweist.
PCT/EP2014/070332 2013-10-23 2014-09-24 Verfahren und vorrichtung zur prüfung eines zählerstandes eines wegzählers in einem fahrzeug WO2015058921A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102013221489.8A DE102013221489B4 (de) 2013-10-23 2013-10-23 Verfahren und Vorrichtung zur Prüfung eines Zählerstandes eines Wegzählers in einem Fahrzeug
DE102013221489.8 2013-10-23

Publications (1)

Publication Number Publication Date
WO2015058921A1 true WO2015058921A1 (de) 2015-04-30

Family

ID=51659618

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2014/070332 WO2015058921A1 (de) 2013-10-23 2014-09-24 Verfahren und vorrichtung zur prüfung eines zählerstandes eines wegzählers in einem fahrzeug

Country Status (2)

Country Link
DE (1) DE102013221489B4 (de)
WO (1) WO2015058921A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110857989A (zh) * 2018-08-16 2020-03-03 弗劳恩霍夫应用研究促进协会 基于运行时间的距离测量中的tdc共享的装置和方法

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018101523B4 (de) * 2018-01-24 2022-10-13 Bayerische Motoren Werke Aktiengesellschaft Verfahren und Vorrichtung zum Speichern von Wegstreckendaten
DE102020201517B4 (de) 2020-02-07 2022-09-01 Volkswagen Aktiengesellschaft Verfahren zur Manipulationsüberwachung einer Laufleistung eines Fahrzeugs, Manipulationsüberwachsungsanordnung und Fahrzeug mit derselben
DE102020204095A1 (de) * 2020-03-30 2021-09-30 Siemens Mobility GmbH Verfahren und System zur Datenverwaltung in einem Transportmittel
DE102022210715B4 (de) 2022-10-11 2024-07-18 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung eingetragener Verein Vorrichtung mit einer amorphen oder teilkristallinen oder kristallinen Schicht, ein Speicherbaustein, ein Verfahren zum Herstellen dieser Vorrichtung und des Speicherbausteins sowie die Verwendung der Vorrichtung und/oder des Speicherbausteins als Sicherheitsbauelement

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10026738C1 (de) * 2000-05-30 2001-10-25 Siemens Ag Verfahren zum Schutz einer in einem Kombiinstrument eines Fahrzeugs gespeicherten Wegstrecke vor Manipulation sowie Vorrichtung zum Durchführen des Verfahrens

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10138703C1 (de) * 2001-08-07 2003-03-20 Daimler Chrysler Ag Verfahren zum Abspeichern von Kilometerstandsdaten
WO2006122263A2 (en) * 2005-05-11 2006-11-16 Pinpoint Tracking Solutions, Llc Method and apparatus for secure storage and remote monitoring vehicle odometer
WO2012019659A1 (de) * 2010-08-07 2012-02-16 Audi Ag Kraftwagen umfassend eine elektronische komponente mit datenspeicher und verfahren zum erkennen einer manipulation von daten in dem datenspeicher
US20120158356A1 (en) * 2010-12-17 2012-06-21 Nxp. B.V. Tamper-proof odometer system
DE102011110965A1 (de) * 2011-08-24 2013-02-28 Deutsche Telekom Ag Verfahren zur Manipulationssicherng und zum Schutz von Daten, insbesondere von auf ein Kraftfahrzeug bezogenen Daten. Verwendung eines Identitätsmoduls. Identitätsmodul und Computerprogramm
US9361739B2 (en) * 2012-02-23 2016-06-07 GM Global Technology Operations LLC Odometer monitoring and redundant storage system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10026738C1 (de) * 2000-05-30 2001-10-25 Siemens Ag Verfahren zum Schutz einer in einem Kombiinstrument eines Fahrzeugs gespeicherten Wegstrecke vor Manipulation sowie Vorrichtung zum Durchführen des Verfahrens

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110857989A (zh) * 2018-08-16 2020-03-03 弗劳恩霍夫应用研究促进协会 基于运行时间的距离测量中的tdc共享的装置和方法
CN110857989B (zh) * 2018-08-16 2024-01-23 弗劳恩霍夫应用研究促进协会 基于运行时间的距离测量中的tdc共享的装置和方法

Also Published As

Publication number Publication date
DE102013221489A1 (de) 2015-04-23
DE102013221489B4 (de) 2016-11-03

Similar Documents

Publication Publication Date Title
DE102013221489B4 (de) Verfahren und Vorrichtung zur Prüfung eines Zählerstandes eines Wegzählers in einem Fahrzeug
EP3136285B1 (de) Verfahren und speichermodul für sicherheitsgeschützte schreibvorgänge und/oder lesevorgänge auf dem speichermodul
DE102014219456A1 (de) Deaktivieren eines autonomen fahrmodus eines fahrzeugs
EP3743688B1 (de) Verfahren und vorrichtung zum speichern von wegstreckendaten
EP3264208A1 (de) Verfahren zum aktualisieren von prozessobjekten in einem engineerings-system
EP1113404B1 (de) Verfahren und Vorrichtung zur Manipulationssicherung eines Wegstreckenzählers oder eines Fahrzeugschreibers
DE102017214661A1 (de) Verfahren zum Erkennen einer Manipulation zumindest eines Steuergeräts eines Kraftfahrzeugs sowie Prozessorvorrichtung für ein Kraftfahrzeug und Kraftfahrzeug
DE102018118190A1 (de) Verfahren und Vorrichtung zur Kontrolle eines Fahrverhaltens eines hochautomatisiert fahrenden Fahrzeugs sowie Infrastrukturanlage, Fahrzeug oder Überwachungsfahrzeug mit der Vorrichtung
EP0660960B1 (de) Verfahren und vorrichtung zum bestimmen, registrieren und fallweisen auswerten von betriebs- und/oder fahrdaten eines fahrzeuges
DE102012207215A1 (de) Verfahren und Vorrichtung zur Überwachung von Funktionen eines Rechnersystems, vorzugsweise eines Motorsteuersystems eines Kraftfahrzeuges
DE102016210788A1 (de) Komponente zur Verarbeitung eines schützenswerten Datums und Verfahren zur Umsetzung einer Sicherheitsfunktion zum Schutz eines schützenswerten Datums in einer solchen Komponente
EP2376871B1 (de) Verfahren zum betreiben einer sensorvorrichtung und sensorvorrichtung
EP3127763B1 (de) Verfahren zur betriebsvalidierung einer sensoreinheit, sensoreinheit und tachographsystem
EP2966622A1 (de) Unfalldatenspeichervorrichtung und lenksäulenmodul
DE102017130412A1 (de) Tastenfeld-mastercode
DE102015213594A1 (de) Verfahren, computer-lesbares Medium, und System zum Erfassen einer Verkehrssituation eines oder mehrerer Fahrzeuge in einer Umgebung eines Egofahrzeugs
DE102011110965A1 (de) Verfahren zur Manipulationssicherng und zum Schutz von Daten, insbesondere von auf ein Kraftfahrzeug bezogenen Daten. Verwendung eines Identitätsmoduls. Identitätsmodul und Computerprogramm
DE112020007053T5 (de) Steuervorrichtung und Steuerverfahren
WO2012019659A1 (de) Kraftwagen umfassend eine elektronische komponente mit datenspeicher und verfahren zum erkennen einer manipulation von daten in dem datenspeicher
DE102014226420A1 (de) Sicherheitssystem für ein Fahrzeug einer Fahrzeugflotte
EP2078289A1 (de) Fahrtschreiberanordnung und verfahren zum einbringen einer kennung in einen adapter für die fahrtschreiberanordnung
EP1763456B1 (de) Vorrichtung zur erkennung eines einbaufehlers bei gegenüberliegenden satellitensensoren in einem fahrzeug
DE102021205844B3 (de) Verfahren zum Detektieren eines digitalen Angriffs auf ein fahrdynamisches Steuergerät eines Kraftfahrzeugs, Computerprogrammprodukt sowie Angriffsdetektionssystem
WO2020088908A1 (de) Vorrichtung und betriebsverfahren zum überprüfen von betriebsdaten einer gesicherten start-betriebsphase eines insbesondere in einer industriellen anlagenumgebung verwendbaren gerätes
AT525553B1 (de) Messgerät und Verfahren zum Betreiben eines Messgeräts

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 14780433

Country of ref document: EP

Kind code of ref document: A1

122 Ep: pct application non-entry in european phase

Ref document number: 14780433

Country of ref document: EP

Kind code of ref document: A1