Nothing Special   »   [go: up one dir, main page]

DE102022209301B4 - Verfahren zum Überführen eines Steuergerätes in einen sicheren Systemzustand - Google Patents

Verfahren zum Überführen eines Steuergerätes in einen sicheren Systemzustand Download PDF

Info

Publication number
DE102022209301B4
DE102022209301B4 DE102022209301.1A DE102022209301A DE102022209301B4 DE 102022209301 B4 DE102022209301 B4 DE 102022209301B4 DE 102022209301 A DE102022209301 A DE 102022209301A DE 102022209301 B4 DE102022209301 B4 DE 102022209301B4
Authority
DE
Germany
Prior art keywords
control device
messages
bus system
vehicle
control unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102022209301.1A
Other languages
English (en)
Other versions
DE102022209301A1 (de
Inventor
Marek Grünewald
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Volkswagen AG
Original Assignee
Volkswagen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Volkswagen AG filed Critical Volkswagen AG
Priority to DE102022209301.1A priority Critical patent/DE102022209301B4/de
Publication of DE102022209301A1 publication Critical patent/DE102022209301A1/de
Application granted granted Critical
Publication of DE102022209301B4 publication Critical patent/DE102022209301B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/407Bus networks with decentralised control
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/24Testing correct operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25032CAN, canbus, controller area network bus
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2637Vehicle, car, auto, wheelchair
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • G06F13/36Handling requests for interconnection or transfer for access to common bus or bus system
    • G06F13/368Handling requests for interconnection or transfer for access to common bus or bus system with decentralised access control
    • G06F13/376Handling requests for interconnection or transfer for access to common bus or bus system with decentralised access control using a contention resolving method, e.g. collision detection, collision avoidance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/42Bus transfer protocol, e.g. handshake; Synchronisation
    • G06F13/4282Bus transfer protocol, e.g. handshake; Synchronisation on a serial bus, e.g. I2C bus, SPI bus
    • G06F13/4295Bus transfer protocol, e.g. handshake; Synchronisation on a serial bus, e.g. I2C bus, SPI bus using an embedded synchronisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Überführen eines Steuergerätes in einem Fahrzeug (10) in einen sicheren Systemzustand, wobei ein Datenaustausch zwischen einem ersten Steuergerät (12) und einem zweiten Steuergerät (14) und einem dritten Steuergerät (22) über eine kabelgebundene Kommunikationsstrecke (16) stattfindet, wobei das erste Steuergerät (12) zusätzlich eine Schnittstelle (18) für eine drahtlose Kommunikation aufweist und wobei die kabelgebundene Kommunikationsstrecke mittels CAN-Bussystem (20) realisiert wird.
Bei dem Verfahren, bei dem der Hard- und Softwareaufwand minimiert wird, ist vorgesehen, dass im Bedarfsfalls durch das zweite Steuergerät (14) CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem übermittelt werden, so dass vermieden wird, dass das erste Steuergerät (12) und/oder das dritte Steuergerät (22) CAN-Botschaften im CAN-Bussystem (20) übermitteln können.

Description

  • Die Erfindung betrifft ein Verfahren zum Überführen eines Steuergerätes in einem Fahrzeug, insbesondere Kraftfahrzeug, in einen sicheren Systemzustand, wobei ein Datenaustausch zwischen einem ersten Steuergerät und einem zweiten Steuergerät über eine kabelgebundene Kommunikationsstrecke stattfindet, wobei das erste Steuergerät zusätzlich eine Schnittstelle für eine drahtlose Kommunikation aufweist, wobei die kabelgebundene Kommunikationsstrecke mittels CAN-Bus realisiert wird, wobei durch das zweite Steuergerät CAN-Botschaften an ein drittes Steuergerät übermittelt werden, wobei das dritte Steuergerät als Aktor fungiert, wobei mindestens das zweite Steuergerät gemäß dem CAN-Standard einen internen Zählerstand beinhaltet, der erhöht wird, wenn fehlerhafte CAN-Botschaften erkannt werden, wobei mindestens das zweite Steuergerät von einem ersten Betriebsmodus in einen zweiten Betriebsmodus überführt wird, wenn ein interner Zählerstand einen ersten Grenzwert erreicht.
  • Daneben betrifft die Erfindung ein Fahrzeug mit mindestens einem ersten Steuergerät, mit einem zweiten Steuergerät und einem dritten Steuergerät, wobei die Steuergeräte mittels eines CAN-Bussystems miteinander verbunden sind.
  • In modernen Kraftfahrzeugen wird eine große Anzahl an Sensoreinrichtungen, Steuergeräten und Steuerungscomputern verbaut. Diese Elemente sind in der Regel über ein Bordnetz miteinander verbunden, das häufig als Bussystem realisiert ist. Über das Bussystem können Daten untereinander ausgetauscht werden. Über eine Schnittstelle können zusätzlich externe übergeordnete Systeme angesprochen werden. Die Steuergeräte, Steuerungscomputer und Sensorvorrichtungen, im Folgenden insgesamt als Steuergeräte bezeichnet, sind dazu ausgelegt, verschiedene im Fahrzeug anfallende Überwachungs- und Steuerungsfunktionen durchzuführen. Dazu gehört unter anderem die Steuerung und/oder Überwachung der Motor und Getriebe-Steuerungen oder auch von Antiblockiersystemen. Zum Teil müssen diese Systeme in Echtzeit beziehungsweise mit möglichst wenig Zeitverzögerung arbeiten, da wichtige Prozesse, wie beispielweise die Bremsverzögerung, gesteuert werden müssen.
  • Befinden sich Steuergeräte auf einem Fahrzeugbus, welche über Funkschnittstellen, beispielsweise WLAN und/oder Bluetooth, verfügen, könnte sich ein Angreifer in diese Steuergeräte einhacken und den Fahrzeugbus manipulieren.
  • Aus dem Stand der Technik ist es zur Lösung dieses Problems beispielsweise bekannt, verschlüsselte CAN-Botschaften zu übermitteln. Eine solche Verschlüsselung erfordert allerdings eine entsprechende Hard- und Softwareinfrastruktur, die nicht in jedem Bussystem gegeben ist.
  • Die DE 10 2019 001 978 A1 offenbart eine Überwachung der Kommunikation auf einem Kommunikationsbus hinsichtlich unberechtigter Buszugriffe. Dazu wird die Überführung eines Steuergerätes in einem Fahrzeug in einen sicheren Systemzustand vorgeschlagen.
  • Die US 2022 / 0 078 201 A1 offenbart eine Schaltung zum Erkennen und Abmildern einer „Busoff attack“. Dabei ist ein interner Zähler in einem Steuergerät vorgesehen, wobei der interne Zählerstand erhöht wird, wenn fehlerhafte CAN-Botschaften erkannt werden.
  • Die DE 10 2017 212 757 A1 offenbart ein Verfahren zum Schützen eines Feldbusses. Dazu ist vorgesehen, dass eine erste Botschaft empfangen wird. Für diese Botschaft wird eine Prüfvorschrift gesucht. Wird diese aufgefunden, wird die erste Botschaft auf eine Anomalie geprüft. Wird eine Anomalie erkannt, wird eine zweite Botschaft einem Botschaftenzähler übertragen, wobei folgende Botschaften aufgrund einer fehlerhaften Abfolge verworfen werden.
  • Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren sowie ein Fahrzeug anzugeben, bei denen im Falle einer Cyber-Attacke ermöglicht wird, das System in einen sicheren Modus zu verbringen, wobei gleichzeitig der Hard- und Softwareaufwand minimiert wird.
  • Diese Aufgabe ist bei der vorliegenden Erfindung durch die Merkmale des Kennzeichnungsteils des Patentanspruchs 1 zunächst dadurch gelöst, dass durch das zweite Steuergerät CAN-Botschaften mit einer vorbestimmten Priorität im CAN-Bussystem übermittelt werden, so dass vermieden wird, dass das erste Steuergerät und/oder das dritte Steuergerät CAN-Botschaften im Bussystem übermitteln können, wenn sich das zweite Steuergerät im zweiten Betriebsmodus befindet oder wenn erkannt wird, dass eine CAN-Botschaft an das dritte Steuergerät übermittelt wird, die nicht vom zweiten Steuergerät stammt.
  • Unter einem Aktor ist in diesem Zusammenhang ein Gerät zu verstehen, das Signale eines Steuergerätes in Aktionen umsetzt. Bei einem Aktor kann es sich beispielsweise um einen Elektromotor oder elektromagnetische Ventile handeln. Aktoren sind im Stand der Technik in einer Vielzahl von elektronischen Regelsystemen in Fahrzeugen verbaut. Aktoren sind beispielsweise dafür zuständig, Klappen zu verstellen, Durchflüsse von Flüssigkeiten zu regeln und/oder Pumpen zu betätigen, um einen gewünschten Druck aufzubauen. Aktoren werden ebenfalls bei der Motorsteuerung und bei Komfortsystemen von modernen Kraftfahrzeugen verwendet. Bei der Motorsteuerung werden Aktoren genutzt, um beispielsweise Leerlaufdrehzahlen zu regeln, Lüftungsklappen zu steuern, um Drehmomente beziehungsweise Leistungen zu optimieren und/oder um Kraftstoff für eine optimale Verbrennung zu dosieren.
  • Außerdem kommen Aktoren in Komfortsystemen, beispielsweise zur Ver- und Entriegelung von Fahrzeugtüren oder bei der Fernbetätigung von Tankdeckeln, Heckklappen, Motorhauben und/oder Ablagefächern zum Einsatz. Dank leistungsfähiger Aktoren in unterschiedlichsten Ausführungen konnten in den letzten Jahren zahlreiche Sicherheits- und Assistenzsysteme realisiert werden. Dadurch tragen Aktoren dazu bei, den Autofahrer in kritischen Situationen zu unterstützen und somit Unfälle zu vermeiden.
  • Unter dem ersten Betriebsmodus ist der Normalzustand des zweiten Steuergerätes beziehungsweise der Steuergeräte allgemein zu verstehen, bei dem CAN-Botschaften empfangen und versendet werden können. Beim zweiten Betriebsmodus wird das zweite Steuergerät eingeschränkt. Der zweite Betriebsmodus kann beispielsweise einem nach dem CAN-Standard bekannten Error-Passiv Modus entsprechen. Wenn auf dem CAN-Bussystem ein Frame fehlerhaft übertragen wird, erkennen das die anderen Teilnehmer, also die anderen Steuergeräte und intervenieren mit einem Active Error Frame, welcher den Sender veranlasst seine CAN-Botschaft ein weiteres Mal zu senden. Dies kann unter Umständen so oft wiederholt werden, bis der interne Fehlerzähler des entsprechenden Steuergerätes, das den Error Frame verschickt, zu hoch ist. Dann ist vorgesehen, dass das Steuergerät selbst davon ausgeht, dass ein Defekt vorliegt und in den Error-Passiv Modus überführt wird.
  • Wenn ein Cyber-Angriff über die drahtlose Kommunikationsschnittstelle erfolgt, gibt es grundsätzlich zwei Szenarien, durch die Schadsoftware das Bussystem manipulieren könnte. Zum einen ist denkbar, dass eine Schadsoftware über das erste Steuergerät beliebige Sendebotschaften des zweiten Steuergerätes manipuliert. Dadurch sendet das zweite Steuergerät Error-Frames aus, wodurch die Botschaften gemäß der CAN-Spezifikation zerstört werden. Der interne Zählerstand wird dabei erhöht, wobei das zweite Steuergerät bei Erreichen des ersten Grenzwertes in den Error-Passiv Modus überführt wird. Danach werden vom zweiten Steuergerät keine Error-Frames mehr gesendet. Dies hat zur Folge, dass die Schadsoftware des ersten Steuergerätes CAN-Botschaften zum dritten Steuergerät senden kann. Der Fehler wird durch das dritte Steuergerät nicht erkannt und wird nicht in einen Notlauf überführt. Die Schadsoftware kann infolgedessen das Bussystem manipulieren.
  • Ein zweites denkbares Szenario besteht darin, dass eine potentielle Schadsoftware des ersten Steuergerätes Botschaften an das dritte Steuergerät, mit einer Zykluszeit von 1 ms parallel zu den Botschaften des zweiten Steuergerätes an das erste Steuergerät, sendet. Von dem dritten Steuergerät wird nicht erkannt von welchem Steuergerät die korrekten Botschaften stammen. Das Erreichen eines sicheren Notlaufs kann für das dritte Steuergerät dann nicht gewährleistet werden.
  • Durch das erfindungsgemäße Verfahren werden nun Maßnahmen im Falle dieser Szenarien ergriffen. Die CAN-Botschaft mit vorbestimmter Priorität kann entsprechend auch eine vorbestimmte Zyklusrate und Nutzdaten mit nur dominanten Bits enthalten. Auf diese Weise kann vermieden werden, dass ein anderes Steuergerät Daten auf den Bus senden kann. Eine Manipulation des Bussystems kann somit verhindert werden.
  • Die vorbestimmte Priorität kann einer nach dem CAN-Standard höchsten Priorität entsprechen, sodass die CAN-Botschaften des zweiten Steuergerätes das CAN-Bussystem fluten und Botschaften eines möglicherweise kompromittierten Steuergerätes mit einer aufgespielten Schadsoftware nicht weitergeleitet werden können.
  • Weitere bevorzugte Ausgestaltungen der Erfindung ergeben sich aus den übrigen, in den Unteransprüchen genannten Merkmalen.
  • Bei einer ersten Ausgestaltung des erfindungsgemäßen Verfahrens ist ein Fehlerspeicher vorgesehen. Ein Eintrag in den Fehlerspeicher wird vorgenommen, wenn durch das zweite Steuergerät CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem übermittelt werden. Auf diese Weise können mögliche Cyber-Attacken nachverfolgt werden. Zusätzlich können neben dem Fehler auch Datum und Uhrzeit gespeichert werden.
  • Erfindungsgemäß ist vorgesehen, dass eine Information über eine mögliche Cyber-Attacke in einem Anzeigebereich einer Anzeigeeinrichtung dargestellt wird. Auf diese Weise wird der Fahrer des Fahrzeugs gewarnt und kann entscheiden, ob er eine Weiterfahrt für sicher hält.
  • Beim Anzeigebereich der Anzeigeeinrichtung kann es sich um ein Display im Mittelbereich oder im Cockpitbereich, beispielsweise im Kombiinstrument des Fahrzeugs, handeln. Alternativ oder zusätzlich kann der Anzeigebereich der Anzeigeeinrichtung als Head-Up-Display ausgestaltet sein. Unter Head-Up-Display ist ein Anzeigebereich zu verstehen, bei dem der Fahrer seine Kopfhaltung beziehungsweise Blickrichtung beibehalten kann, weil die Informationen in sein Sichtfeld, beispielsweise auf die Windschutzscheibe des Fahrzeugs, projiziert werden.
  • Um die Sicherheit zu erhöhen, ist erfindungsgemäß vorgesehen, dass der Fahrer des Fahrzeugs aufgefordert wird, das Fahrzeug abzustellen, wenn durch das zweite Steuergerät CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem übermittelt werden. Da bei diesem Szenario die Wahrscheinlichkeit sehr hoch ist, dass eine Cyber-Attacke auf mindestens ein Steuergerät ausgeführt wird, ist es ratsam, das Fahrzeug abzustellen, damit keine Fehlfunktionen während der Fahrt auftreten können.
  • Bei einer weiteren vorteilhaften Ausgestaltung der Erfindung ist vorgesehen, dass der interne Zählerstand zurückgesetzt wird, wenn durch das zweite Steuergerät CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem übermittelt werden. Da bereits eine Anzahl fehlerhafter Botschaften übermittelt wurde und möglicherweise eine Cyber-Attacke von einem Dritten ausgeführt wird, muss der interne Zählerstand nicht weiterhin derart hoch eingestellt sein, dass sich das zweite Steuergerät im zweiten Betriebsmodus befindet.
  • Erfindungsgemäß ist vorgesehen, dass durch das zweite Steuergerät CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem so lange übermittelt werden, bis das Fahrzeug abgeschaltet wird. Bei abgeschaltetem Fahrzeug, also beispielsweise, wenn die Zündung ausgeschaltet ist, kann das Fahrzeug keine drahtlose Verbindung mittels des ersten Steuergerätes aufbauen. Es ist also wahrscheinlich, dass bei abgeschaltetem Fahrzeug ein Hackerangriff nicht mehr möglich ist. Daher ist davon auszugehen, dass bei erneuter Zündung das Bussystem problemlos funktioniert. Das zweite Steuergerät übermittelt dann zunächst keine priorisierten Nachrichten, um andere Geräte des Bussystems daran zu hindern, Botschaften zu übermitteln. Es wird zunächst davon ausgegangen, dass keine Cyber-Attacke mehr vorliegt. Sollte dies doch der Fall sein, wird dies entsprechend erkannt und das zweite Steuergerät übermittelt erneut priorisierte Botschaften im Bussystem.
  • Eine weitere Ausgestaltung der Erfindung sieht vor, dass die Übermittlung der CAN-Botschaften mit vorbestimmter Priorität mittels Ansteuerns eines MOSFET realisiert wird. Durch den MOSFET kann der Spannungspegel eines CAN-Transceivers auf „dominant“ gestellt werden, sodass der maximale Spannungspegel für das System erreicht wird. Generell werden die Spannungspegel entsprechend verändert, wenn ein Sender auf einem CAN-Bus eine Nachricht übermittelt. Durch die „dominante“ Einstellung werden die weiteren möglichen Nachrichten von anderen Steuergeräten folglich überlagert und nicht registriert.
  • Ferner ist bei einer weiteren Ausgestaltung des erfindungsgemäßen Verfahrens vorgesehen, dass die CAN-Botschaften über einen Botschaftszähler und eine CRC-Checksumme verfügen. Auf diese Weise können Botschaften entsprechend vorab überprüft und zugeordnet werden, sodass lediglich die zwei zuvor beschriebenen Szenarien für die Übermittlung einer Schadsoftware bestehen.
  • Gemäß einer weiteren Ausgestaltung der Erfindung ist vorgesehen, dass das zweite Steuergerät bei einem internen Zählerstand von 128 in den zweiten Betriebsmodus überführt wird. Es kann generell vorgesehen sein, dass der interne Zählerstand eines CAN-Controllers im zweiten Steuergerät um +8 inkrementiert wird, wenn ein Error Frame übermittelt wird. Bei einem internen Zählerstand von 128 geht das zweite Steuergerät dann in den Error-Passiv Modus. Bei einem internen Zählerstand von 256 kann das zweite Steuergerät in einen dritten Betriebsmodus, beispielsweise einem nach dem CAN-Standard bekannten Bus-Off-Zustand geschaltet werden. Das zweite Steuergerät sendet dann keine Botschaften mehr. Somit kann ein zweiter Grenzwert des internen Zählerstandes definiert werden, durch den eine weitere Zustandsänderung des zweiten Steuergerätes bewirkt wird.
  • Elektronische oder elektrische Geräte und/oder andere relevante Geräte oder Komponenten gemäß den hier beschriebenen Ausführungsformen der vorliegenden Erfindung können unter Verwendung jeder geeigneten Hardware, Firmware (zum Beispiel einer anwendungsspezifischen integrierten Schaltung), Software oder einer Kombination aus Software, Firmware und Hardware implementiert werden. Beispielsweise können die verschiedenen Komponenten dieser Geräte auf einem integrierten Schaltkreis (IC) oder auf separaten IC-Chips untergebracht sein. Darüber hinaus können die verschiedenen Komponenten dieser Geräte auf einer flexiblen gedruckten Schaltungsfolie, einem Tape-Carrier-Package (TCP), einer Leiterplatte (PCB) oder auf einem einzigen Substrat implementiert sein. Darüber hinaus können die verschiedenen Komponenten dieser Vorrichtungen ein Prozess oder Thread sein, der auf einem oder mehreren Prozessoren in einem oder mehreren Computergeräten läuft, Computerprogrammanweisungen ausführt und mit anderen Systemkomponenten interagiert, um die verschiedenen hier beschriebenen Funktionen auszuführen. Die Computerprogrammanweisungen sind in einem Speicher gespeichert, der in einem Computergerät unter Verwendung eines Standardspeichers, wie zum Beispiel eines Arbeitsspeichers (RAM), implementiert werden kann. Die Computerprogrammanweisungen können auch in anderen nicht-übertragbaren, computerlesbaren Medien gespeichert werden, wie zum Beispiel auf einer CD-ROM, einem Flash-Laufwerk oder ähnlichem. Eine fachkundige Person sollte auch erkennen, dass die Funktionalität verschiedener Computergeräte kombiniert oder in ein einziges Computergerät integriert werden kann oder dass die Funktionalität eines bestimmten Computergeräts auf ein oder mehrere andere Computergeräte verteilt werden kann, ohne vom Anwendungsbereich der beispielhaften Ausführungsformen der vorliegenden Erfindung abzuweichen.
  • Die vorgenannte Aufgabe wird außerdem gelöst von einem Fahrzeug mit mindestens einem ersten Steuergerät, mit einem zweiten Steuergerät und einem dritten Steuergerät, wobei die Steuergeräte mittels eines CAN-Bussystems miteinander verbunden sind. Es ist vorgesehen, dass die Steuergeräte dafür eingerichtet und ausgestaltet sind, ein erfindungsgemäßes Verfahren durchzuführen. Die Ausführungen bezüglich des erfindungsgemäßen Verfahrens gelten entsprechend auch für das erfindungsgemäße Fahrzeug.
  • Die verschiedenen in dieser Anmeldung genannten Ausführungsformen der Erfindung sind, sofern im Einzelfall nicht anders ausgeführt, mit Vorteil miteinander kombinierbar.
  • Die Erfindung wird nachfolgend in Ausführungsbeispielen anhand der zugehörigen Zeichnungen erläutert. Es zeigen:
    • 1 eine schematische Darstellung eines CAN-Bussystems in einem Fahrzeug,
    • 2 eine schematische Darstellung des Innenraums eines Fahrzeugs mit einer Anzeigeeinrichtung und
    • 3 eine Blockdarstellung verschiedener Schritte eines Ausführungsbeispiels der Durchführung eines erfindungsgemäßen Verfahrens.
  • 1 zeigt eine Anordnung verschiedener Steuergeräte in einem Fahrzeug 10. Dabei ist ein erstes Steuergerät 12 mit einem zweiten Steuergerät 14 mittels einer kabelgebundenen Kommunikationsstrecke 16 verbunden. Das erste Steuergerät 12 weist zusätzlich eine Schnittstelle 18 für drahtlose Kommunikation auf. Bei der kabelgebundenen Kommunikationsstrecke 16 handelt es sich um ein CAN-Bussystem 20. Ferner ist ein drittes Steuergerät 22 innerhalb des CAN-Bussystems 20 mit dem ersten Steuergerät 12 und dem zweiten Steuergerät 14 verbunden. Das dritte Steuergerät 22 dient in diesem Ausführungsbeispiel als Aktor, wobei CAN-Botschaften an das dritte Steuergerät 22 lediglich dem zweiten Steuergerät 14 vorbehalten sind.
  • Die Schnittstelle 18 für drahtlose Kommunikation des ersten Steuergerätes 12 ist sowohl mit Bluetooth als auch mit WLAN ausgestattet. Diese Schnittstellen stellen gleichzeitig eine Möglichkeit für einen Hacker dar, Schadsoftware in das erste Steuergerät 12 einzuspielen. Die potentielle Schadsoftware könnte zum Beispiel eine gezielte Störung des CAN Bitstroms von CAN Botschaften verursachen und damit zum Beispiel Signalanforderungen, also CAN-Botschaft vom zweiten Steuergerät 14 an das dritte Steuergerät 22, derart manipulieren, dass die Anforderungen nicht beim dritten Steuergerät 22 ankommen. Die Software und Logikanforderungen zum Ansteuern für eine bestimmte Funktion liegen dabei im zweiten Steuergerät 14. Wenn der Sender auf dem CAN-Bus eine Nachricht übermittelt, werden die Spannungspegel entsprechend verändert. Dies geschieht durch Ansteuern eines hier nicht dargestellten MOSFET, der das Spannungslevel beispielsweise auf „dominant“ oder „rezessiv“ einstellen kann.
  • Wenn ein Cyber-Angriff über die Schnittstelle 18 für drahtlose Kommunikation erfolgt, gibt es grundsätzlich zwei Szenarien, durch die Schadsoftware das CAN-Bussystem 20 manipulieren könnte. Zum einen ist denkbar, dass eine Schadsoftware über das erste Steuergerät 12 beliebige Sendebotschaften des zweiten Steuergerätes 14 manipuliert. Dadurch sendet das zweite Steuergerät 14 Error-Frames aus, wodurch die Botschaften gemäß der CAN-Spezifikation zerstört werden. Ein interner Zählerstand wird dabei erhöht, wobei das zweite Steuergerät 14 bei Erreichen eines ersten Grenzwertes in einen Error-Passiv Modus überführt wird. Danach werden vom zweiten Steuergerät 14 keine Error-Frames mehr gesendet. Dies hat zur Folge, dass die Schadsoftware des ersten Steuergerätes 12 CAN-Botschaften zum dritten Steuergerät 22 senden kann. Der Fehler wird durch das dritte Steuergerät 22 nicht erkannt und das dritte Steuergerät 22 wird nicht in einen Notlauf überführt. Die Schadsoftware kann infolgedessen das CAN-Bussystem 20 manipulieren.
  • Bei dem vorliegenden Ausführungsbeispiel ist nun vorgesehen, dass durch das zweite Steuergerät 14 CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem übermittelt werden, so dass vermieden wird, dass das erste Steuergerät 12 und/oder das dritte Steuergerät 22 CAN-Botschaften im CAN-Bussystem 20 übermitteln können, wenn sich das zweite Steuergerät 14 im Error-Passiv Modus befindet oder wenn erkannt wird, dass eine CAN-Botschaft an das dritte Steuergerät 22 übermittelt wird, die nicht vom zweiten Steuergerät 14 stammt. Auf diese Weise kann vermieden werden, dass ein anderes Steuergerät Daten auf den Bus senden kann. Eine Manipulation des Bussystems kann somit verhindert werden.
  • 2 zeigt ein Ausführungsbeispiel des vorgenannten Verfahrens, bei dem eine Cyber-Attacke erkannt wurde. Neben einem entsprechenden Fehlereintrag in einem hier nicht dargestellten Fehlerspeicher, wird dem Fahrer des Fahrzeugs 10 über einen Anzeigebereich 24 einer Anzeigeeinrichtung 26 mitgeteilt, dass möglicherweise eine Cyber-Attacke vorliegt. Der Fahrer des Fahrzeugs 10 hat dann die Möglichkeit, das Fahrzeug 10 an den Straßenrand zu fahren und abzustellen. Die Wahrscheinlichkeit, dass eine Cyber-Attacke bei ausgeschalteter Zündung weiterhin ausgeführt wird, ist vergleichsweise unwahrscheinlich, da auch die drahtlose Verbindung nicht mehr bestehen kann.
  • 3 zeigt eine schematische Blockdarstellung einzelner Verfahrensschritte eines Ausführungsbeispiels eines erfindungsgemäßen Verfahrens. Dabei wird in Schritt 100 angenommen, dass eine Schadsoftware beliebige Sendebotschaften des zweiten Steuergerätes 14 manipuliert. Das zweite Steuergerät 14 sendet zuerst Error-Frames, um die Botschaft gemäß den CAN-Spezifikationen zu zerstören. Ein interner Zähler eines CAN-Controllers im zweiten Steuergerät 14 wird um +8 inkrementiert. Beim Zählerstand von 128 geht das zweite Steuergerät 14 in einen Error-Passiv Modus, wobei dann keine Error-Frames mehr ausgesendet werden. Bei einem Zählerstand von 256 geht das zweite Steuergerät 14 in einen Bus-Off-Zustand, wobei dann gar keine Botschaften mehr vom zweiten Steuergerät 14 gesendet werden.
  • Sobald sich das zweite Steuergerät im Error-Passiv Modus befindet, kann die Schadsoftware des ersten Steuergerätes 12 CAN-Botschaften zum dritten Steuergerät 22 senden. Das dritte Steuergerät 22 erkennt keinen Fehler und akzeptiert im schlimmsten Fall die manipulierten Botschaften.
  • Alternativ ist in Schritt 102 denkbar, dass die Schadsoftware im ersten Steuergerät 12 Botschaften an das dritte Steuergerät 22 mit einer Zykluszeit von 1 ms sendet, parallel zu den Botschaften vom zweiten Steuergerät 14 zum ersten Steuergerät 12 (Zykluszeit 10 ms). Das dritte Steuergerät 22 erkennt nicht, von welchem Steuergerät die „richtigen“ Botschaften stammen. Ein Erreichen eines sicheren Notlaufs des dritten Steuergerätes 22 kann nicht gewährleistet werden.
  • Gegen diese beiden Angriffs-Szenarien wird eine entsprechende Lösung angeboten, welche einen möglichst geringen oder gar keinen zusätzlichen Hardwareaufwand benötigt, um zumindest bestimmte Funktionen im dritten Steuergerät 22 in den sicheren Notlauf zu bringen und zusätzlich die Fehlfunktion beziehungsweise Manipulation dem Fahrer des Fahrzeugs 10 anzuzeigen. Der Notlauf ist dabei ein sicherer Systemzustand, welcher erlaubt, das System beziehungsweise das Fahrzeug 10 weiter zu betreiben und/oder dieses sicher abzustellen.
  • Dafür ist in Schritt 106 vorgesehen, dass durch das zweite Steuergerät 14 CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem 20 übermittelt werden, so dass vermieden wird, dass das erste Steuergerät 12 und/oder das dritte Steuergerät 22 CAN-Botschaften im CAN-Bussystem 20 übermitteln können, wenn sich das zweite Steuergerät 14 im Error-Passiv Modus befindet, oder wenn erkannt wird, dass eine CAN-Botschaft an das dritte Steuergerät 22 übermittelt wird, die nicht vom zweiten Steuergerät 14 stammt.
  • In Schritt 108 ist vorgesehen, dass ein Eintrag in einen Fehlerspeicher vorgenommen wird, wenn durch das zweite Steuergerät 14 CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem übermittelt werden. Auf diese Weise können mögliche Cyber-Attacken nachverfolgt werden. Zusätzlich können neben dem Fehler auch Datum und Uhrzeit gespeichert werden.
  • In Schritt 110 wird eine Information über eine mögliche Cyber-Attacke in einem Anzeigebereich 24 einer Anzeigeeinrichtung 26 dargestellt. Auf diese Weise wird der Fahrer des Fahrzeugs gewarnt und kann entscheiden, ob er eine Weiterfahrt für sicher hält.
  • In einem letzten Schritt 112 ist vorgesehen, dass durch das zweite Steuergerät 14 CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem so lange übermittelt werden, bis das Fahrzeug 10 abgeschaltet wird. Bei abgeschaltetem Fahrzeug 10, also beispielsweise, wenn die Zündung ausgeschaltet ist, kann das Fahrzeug 10 keine drahtlose Verbindung mittels des ersten Steuergerätes 12 aufbauen. Es ist also wahrscheinlich, dass bei abgeschaltetem Fahrzeug 10 ein Hackerangriff nicht mehr möglich ist. Daher ist davon auszugehen, dass bei erneuter Zündung das CAN-Bussystem 20 problemlos funktioniert. Das zweite Steuergerät 14 übermittelt dann zunächst keine priorisierten Nachrichten, um andere Geräte des CAN-Bussystems 20 daran zu hindern, Botschaften zu übermitteln. Es wird zunächst davon ausgegangen, dass keine Cyber-Attacke mehr vorliegt. Sollte dies doch der Fall sein, werden die entsprechenden Szenarien der Schritte 100 oder 102 erkannt und das zweite Steuergerät 14 übermittelt erneut priorisierte Botschaften im CAN-Bussystem 20.
  • Bezugszeichenliste
    • 10
    Fahrzeug
    12
    erstes Steuergerät
    14
    zweites Steuergerät
    16
    kabelgebundene Kommunikationsstrecke
    18
    Schnittstelle für drahtlose Kommunikation
    20
    CAN-Bussystem
    22
    drittes Steuergerät
    24
    Anzeigebereich
    26
    Anzeigeeinrichtung

Claims (7)

  1. Verfahren zum Überführen eines Steuergerätes in einem Fahrzeug (10), insbesondere Kraftfahrzeug, in einen sicheren Systemzustand, wobei ein Datenaustausch zwischen einem ersten Steuergerät (12) und einem zweiten Steuergerät (14) über eine kabelgebundene Kommunikationsstrecke (16) stattfindet, wobei das erste Steuergerät (12) zusätzlich eine Schnittstelle (18) für eine drahtlose Kommunikation aufweist, wobei die kabelgebundene Kommunikationsstrecke mittels CAN-Bussystem (20) realisiert wird, wobei durch das zweite Steuergerät (14) CAN-Botschaften an ein drittes Steuergerät (22) übermittelt werden, wobei das dritte Steuergerät (22) als Aktor fungiert, wobei mindestens das zweite Steuergerät (14) gemäß dem CAN-Standard einen internen Zählerstand beinhaltet, der erhöht wird, wenn fehlerhafte CAN-Botschaften erkannt werden, wobei mindestens das zweite Steuergerät (14) in von einem ersten Betriebsmodus in einen zweiten Betriebsmodus überführt wird, wenn ein interner Zählerstand einen ersten Grenzwert erreicht, dadurch gekennzeichnet, dass durch das zweite Steuergerät (14) CAN-Botschaften mit einer vorbestimmten Priorität im CAN-Bussystem übermittelt werden, so dass vermieden wird, dass das erste Steuergerät (12) und/oder das dritte Steuergerät (22) CAN-Botschaften im CAN-Bussystem (20) übermitteln können, wenn sich das zweite Steuergerät (14) im zweiten Betriebsmodus befindet oder wenn erkannt wird, dass eine CAN-Botschaft an das dritte Steuergerät (22) übermittelt wird, die nicht vom zweiten Steuergerät (14) stammt, dass eine Information über eine mögliche Cyber-Attacke in einem Anzeigebereich (24) einer Anzeigeeinrichtung (26) dargestellt wird, dass der Fahrer des Fahrzeugs (10) aufgefordert wird, das Fahrzeug (10) abzustellen, wenn durch das zweite Steuergerät (14) CAN-Botschaften mit der vorbestimmten Priorität im CAN-Bussystem übermittelt werden und dass durch das zweite Steuergerät (14) CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem so lange übermittelt werden, bis das Fahrzeug (10) abgeschaltet wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass ein Fehlerspeicher vorgesehen ist und dass ein Eintrag in den Fehlerspeicher vorgenommen wird, wenn durch das zweite Steuergerät (14) CAN-Botschaften mit der vorbestimmten Priorität im CAN-Bussystem übermittelt werden.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass der interne Zählerstand zurückgesetzt wird, wenn durch das zweite Steuergerät (14) CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem übermittelt werden.
  4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Übermittlung der CAN-Botschaften mit vorbestimmter Priorität mittels Ansteuerns eines MOSFET realisiert wird.
  5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die CAN-Botschaften über einen Botschaftszähler und eine CRC-Checksumme verfügen.
  6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass das zweite Steuergerät (14) bei einem internen Zählerstand von 128 in den zweiten Betriebsmodus überführt wird.
  7. Fahrzeug (10) mit mindestens einem ersten Steuergerät (12), mit einem zweiten Steuergerät (14) und einem dritten Steuergerät (22), wobei die Steuergeräte (12, 14, 22) mittels eines CAN-Bussystems (20) miteinander verbunden sind, dadurch gekennzeichnet, dass die Steuergeräte (12, 14, 22) dafür eingerichtet und ausgestaltet sind, ein Verfahren nach einem der Ansprüche 1 bis 6 durchzuführen.
DE102022209301.1A 2022-09-07 2022-09-07 Verfahren zum Überführen eines Steuergerätes in einen sicheren Systemzustand Active DE102022209301B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102022209301.1A DE102022209301B4 (de) 2022-09-07 2022-09-07 Verfahren zum Überführen eines Steuergerätes in einen sicheren Systemzustand

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022209301.1A DE102022209301B4 (de) 2022-09-07 2022-09-07 Verfahren zum Überführen eines Steuergerätes in einen sicheren Systemzustand

Publications (2)

Publication Number Publication Date
DE102022209301A1 DE102022209301A1 (de) 2024-03-07
DE102022209301B4 true DE102022209301B4 (de) 2024-03-28

Family

ID=89905660

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022209301.1A Active DE102022209301B4 (de) 2022-09-07 2022-09-07 Verfahren zum Überführen eines Steuergerätes in einen sicheren Systemzustand

Country Status (1)

Country Link
DE (1) DE102022209301B4 (de)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008002738A1 (de) 2008-06-27 2010-01-07 Airbus Deutschland Gmbh Verfahren zum Erkennen eines fehlerhaften Knotens
DE102017212757A1 (de) 2017-07-25 2019-01-31 Robert Bosch Gmbh Verfahren und Vorrichtung zum Schützen eines Feldbusses
US20190260772A1 (en) 2018-11-13 2019-08-22 Marcio Rogerio Juliato Bus-off attack prevention circuit
DE102018105007B4 (de) 2018-03-05 2019-10-17 Volkswagen Aktiengesellschaft Verfahren zur Übertragung von Daten über einen Kommunikationskanal, entsprechend ausgelegte Vorrichtung und Kommunikationsschnittstelle sowie entsprechend ausgelegtes Computerprogramm
US20200174958A1 (en) 2018-12-04 2020-06-04 Palo Alto Research Center Incorporated Method and apparatus to prevent a node device from transmitting an unallowable message onto a can bus
DE102019001978A1 (de) 2019-03-21 2020-10-08 Volkswagen Aktiengesellschaft Verfahren zur Überwachung der Kommunikation auf einem Kommunikationsbus, elektronische Vorrichtung zum Anschluss an einen Kommunikationsbus sowie Fahrzeug

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008002738A1 (de) 2008-06-27 2010-01-07 Airbus Deutschland Gmbh Verfahren zum Erkennen eines fehlerhaften Knotens
DE102017212757A1 (de) 2017-07-25 2019-01-31 Robert Bosch Gmbh Verfahren und Vorrichtung zum Schützen eines Feldbusses
DE102018105007B4 (de) 2018-03-05 2019-10-17 Volkswagen Aktiengesellschaft Verfahren zur Übertragung von Daten über einen Kommunikationskanal, entsprechend ausgelegte Vorrichtung und Kommunikationsschnittstelle sowie entsprechend ausgelegtes Computerprogramm
US20190260772A1 (en) 2018-11-13 2019-08-22 Marcio Rogerio Juliato Bus-off attack prevention circuit
US20220078201A1 (en) 2018-11-13 2022-03-10 Intel Corporation Bus-off attack prevention circuit
US20200174958A1 (en) 2018-12-04 2020-06-04 Palo Alto Research Center Incorporated Method and apparatus to prevent a node device from transmitting an unallowable message onto a can bus
DE102019001978A1 (de) 2019-03-21 2020-10-08 Volkswagen Aktiengesellschaft Verfahren zur Überwachung der Kommunikation auf einem Kommunikationsbus, elektronische Vorrichtung zum Anschluss an einen Kommunikationsbus sowie Fahrzeug

Also Published As

Publication number Publication date
DE102022209301A1 (de) 2024-03-07

Similar Documents

Publication Publication Date Title
DE10326287B4 (de) Fahrzeug-Kommunikationssystem, Initialisierungseinheit sowie im Fahrzeug eingebaute Steuereinheit
EP2040957B1 (de) Verfahren und vorrichtung zur plausibilitätskontrolle von messwerten im kraftfahrzeugumfeld
DE10243713B4 (de) Redundante Steuergeräteanordnung
EP2767097B1 (de) Kommunikationssystem für ein kraftfahrzeug
DE4126449C2 (de) Kontroll- bzw. Steuerungsvorrichtung für Fahrzeuge
EP2087646B1 (de) Vorrichtung und verfahren zur manipulation von kommunikations-botschaften
DE10065118A1 (de) System und Verfahren zur Steuerung und/oder Überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbundes
WO2020187985A1 (de) Verfahren zur überwachung der kommunikation auf einem kommunikationsbus, elektronische vorrichtung zum anschluss an einen kommunikationsbus sowie fahrzeug
DE102018212879A1 (de) Steuervorrichtung und Steuerverfahren
DE102013200535A1 (de) Verfahren und Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs
WO2004021095A1 (de) Verfahren und vorrichtung zur steuerung von betriebsabläufen, insbesondere in einem fahrzeug________________________________
DE102019214461A1 (de) Verfahren zum Fernsteuern eines Kraftfahrzeugs
DE102017209557A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
DE102019130036A1 (de) Vorrichtung zur Steuerung eines automatisierten Fahrbetriebs eines Fahrzeugs
DE102017218134B3 (de) Verfahren und Vorrichtung zum Übertragen einer Botschaftsfolge über einen Datenbus sowie Verfahren und Vorrichtung zum Erkennen eines Angriffs auf eine so übertragene Botschaftsfolge
DE102022209301B4 (de) Verfahren zum Überführen eines Steuergerätes in einen sicheren Systemzustand
EP3688958B1 (de) System und verfahren zum geschützten übertragen von daten
DE102019205237A1 (de) Anzeigen einer ASIL-D-Information mittels eines weniger sicheren Geräts
DE102007008168A1 (de) Schaltungsvorrichtung und entsprechendes Verfahren zum Ansteuern einer Last
DE102017209556A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
DE102021208459B4 (de) Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
EP4062591A2 (de) Verfahren zur überwachung der kommunikation auf einem kommunikationsbus, elektronische vorrichtung zum anschluss an einen kommunikationsbus, sowie zentrale überwachungsvorrichtung zum anschluss an einen kommunikationsbus
DE102013200528A1 (de) Verfahren und Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs
DE102004056138A1 (de) Verfahren und Vorrichtung zur Lenksäulenverriegelung
DE102019204176B4 (de) Schaltungsanordnung zum Verhindern der fehlerhaften Datenübertragung über eine Busschnittstelle

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division