PITZ MICHAEL (DE)
WO2014195180A1 | 2014-12-11 | |||
WO2013028840A1 | 2013-02-28 |
GB2473956A | 2011-03-30 | |||
EP0503409A2 | 1992-09-16 |
Verfahren zur Überwachung und Modifikation von Kraftfahrzeugfunktionen in einem Kraftfahrzeug (100), das Verfahren aufweisend: Ermitteln (10) eines anomalen Verhaltens (112) einer Funktion (110) des Kraftfahrzeuges (100), Übermitteln (20) des anomalen Verhaltens (112) der Funktion (110) des Kraftfahrzeuges (100) an ein Backend (200), Empfangen (30) einer Instruktion (230) von dem Backend (200), wobei die Instruktion (230) indikativ ist, für eine zu ergreifende akute Maßnahme in dem Kraftfahrzeug (100), um auf das anomale Verhalten (112) der Funktion (110) eine adäquate Reaktion auszuführen, Ermitteln (40) einer Kraftfahrzeugkomponente (140), welche ursächlich für das anomale Verhalten (112) der Funktion (110) des Kraftfahrzeuges (100) ist, basierend auf der empfangenen Instruktion (230), Überführen (50) der Kraftfahrzeugkomponente (140) in eine degradierte Konfiguration als adäquate Reaktion, wobei die degradierte Konfiguration einen eingeschränkteren Funktionsumfang aufweist, als in dessen bisheriger Konfiguration, und falls das Überführen (50) der Kraftfahrzeugkomponente (140) in die degradierte Konfiguration nicht möglich ist: Überführen (52) der Kraftfahrzeugkomponente (140) in eine sichere Konfiguration als adäquate Reaktion, wobei die sichere Konfiguration in der Kraftfahrzeugkomponente (140) vorgehalten ist. Verfahren gemäß Anspruch 1, wobei das Verfahren ferner, für den Fall, dass das Überführen (52) der Kraftfahrzeugkomponente (140) in die sichere Konfiguration nicht möglich ist, aufweist: Abschalten (54) der Kraftfahrzeugkomponente (140) als adäquate Reaktion. Verfahren gemäß Anspruch 2, wobei das Verfahren ferner, für den Fall, dass das Abschalten (54) der Kraftfahrzeugkomponente (140) nicht erfolgreich ist, aufweist : Überführen (56) des Kraftfahrzeuges (100) in einen sicheren Zustand als adäquate Reaktion, wobei der sichere Zustand einen sicheren Betrieb des Kraftfahrzeuges (100) bezüglich einer Safety- und/oder Security-Relevanz aufweist. Verfahren gemäß Anspruch 3, wobei das Verfahren ferner, für den Fall, dass das Überführen (56) des Kraftfahrzeuges (100) in den sicheren Zustand nicht möglich ist, aufweist: Abschalten (58) eines Fahrbetriebes des Kraftfahrzeuges (100) als adäquate Reaktion. 5. Verfahren gemäß Anspruch 4, wobei das Abschalten (58) des Fahrbetriebes des Kraftfahrzeuges (100), sicher bezüglich einer Safety- Relevanz des Kraftfahrzeuges (100) erfolgt. Verfahren gemäß irgendeinem der vorhergehenden Ansprüche, das Verfahren ferner aufweisend: Übermitteln (60) der durchgeführten adäquaten Reaktion an das Backend (200), als erfolgreich ergriffene akute Maßnahme in dem Kraftfahrzeug (100) . 7. Verfahren gemäß irgendeinem der vorhergehenden Ansprüche, das Verfahren ferner aufweisend: Empfangen (70) eines Patches von dem Backend (200), als eine Anomalie-Korrektur-Instruktion, die indikativ ist, für eine zu ergreifende persistente Maßnahme in dem Kraftfahrzeug (100), um das anomale Verhalten (112) der Funktion (110) künftig zu beseitigen und/oder zu unterbinden. Verfahren gemäß irgendeinem der vorhergehenden Ansprüche, das Verfahren ferner aufweisend: Ermitteln (42) einer weiteren Kraftfahrzeugkomponente (142), welche ebenfalls von dem anomalen Verhalten (112) der Funktion (110) des Kraftfahrzeuges (100) betroffen ist, vorzugsweise basierend auf der empfangenen Instruktion (230), und Entsprechendes Anwenden der weiteren Verfahrensschritte (50, 52, 54, 56, 58, 60, 70) zur Modifikation der Kraftfahrzeugkomponente (140) auf die weitere Kraftfahrzeugkomponente (142). Verfahren gemäß irgendeinem der vorhergehenden Ansprüche, das Verfahren ferner aufweisend: Übermitteln (80) der durchgeführten adäquaten Reaktion an ein weiteres Kraftfahrzeug (300), als Instruktion (230), für eine zu ergreifende aktuelle und/oder vorbeugende akute Maßnahme in dem weiteren Kraftfahrzeug (300). Verfahren gemäß Anspruch 9, wobei das Übermitteln (80) der durchgeführten adäquaten Reaktion an das weitere Kraftfahrzeug (300) von dem Kraftfahrzeug (100) aus erfolgt. 11. Verfahren gemäß Anspruch 9 oder 10, wobei das Übermitteln (80) der durchgeführten adäquaten Reaktion an das weitere Kraftfahrzeug (300) von dem Backend (200) aus erfolgt. 12. Verfahren gemäß irgendeinem der vorhergehenden Ansprüche, wobei das Ermitteln (10) des anomalen Verhaltens (112) der Funktion (110) des Kraftfahrzeuges (100) feststellbar ist von: - dem Backend (200), einem Kraftfahrzeuginsassen, und/oder - einer kraftfahrzeugeigenen Routine. 13. Verfahren gemäß irgendeinem der vorhergehenden Ansprüche, wobei das Backend (200) eine zertifizierte kraftfahrzeugexterne Authorität aufweist. 14. Verfahren gemäß irgendeinem der vorhergehenden Ansprüche, wobei die Instruktion (230) eine Weisung aufweist, unter welchen Kriterien die adäquate Reaktion wieder aufgehoben werden kann. 15. Verfahren gemäß irgendeinem der vorhergehenden Ansprüche, wobei das anomale Verhalten (112) der Funktion (100) des Kraftfahrzeuges (100) indikativ ist, für ein Hacking des Kraftfahrzeuges (100) beziehungsweise der Kraftfahrzeugkomponente (140) . 16. Verfahren gemäß irgendeinem der vorhergehenden Ansprüche, wobei das anomale Verhalten (112) der Funktion (100) dazu geeignet ist, einen funktionssicheren Betrieb des Kraftfahrzeuges (100) zu gefährden. Verfahren gemäß irgendeinem der vorhergehenden Ansprüche, wobei die sichere Konfiguration der Kraftfahrzeugkomponente (140) gesichert ist, gegen ein Manipulieren der sicheren Konfiguration. Vorrichtung (400) zur Überwachung und Modifikation von Kraftfahrzeugfunktionen in einem Kraftfahrzeug (100), die Vorrichtung (400) aufweisend: Eine Funktionsüberwachungsvorrichtung (410), zum Ermitteln (10) eines anomalen Verhaltens (112) einer Funktion (110) des Kraftfahrzeuges (100), Ein Ermittlungsmittel (440), zum Ermitteln (40) einer Kraftfahrzeugkomponente (140), welche ursächlich für das anomale Verhalten (112) der Funktion (110) des Kraftfahrzeuges (100) ist, und Ein Modifizierungsmittel (450), zum Überführen (50, 52) der Kraftfahrzeugkomponente (140) in eine: Degradierte Konfiguration, wobei die degradierte Konfiguration einen eingeschränkteren Funktionsumfang aufweist, als in dessen bisheriger Konfiguration, und/oder Sichere Konfiguration, wobei die sichere Konfiguration in der Kraftfahrzeugkomponente (140) vorgehalten ist, und wobei die sichere Konfiguration der Kraftfahrzeugkomponente (140) gesichert ist, gegen ein Manipulieren der sicheren Konfiguration, und wobei die Vorrichtung (400) dazu eingerichtet ist, ein Verfahren gemäß irgendeinem der vorhergehenden Ansprüche auszuführen. 19. Kraftfahrzeug (100) aufweisend: - Mindestens eine Kraftfahrzeugkomponente (140), wobei die Kraftfahrzeugkomponente (140) eine sichere Konfiguration aufweist, die vorzugsweise gesichert ist, gegen ein Manipulieren der sicheren Konfiguration, Eine Mobilfunkkommunikationsvorrichtung (120), zum Übermitteln (20) eines anomalen Verhaltens (112) einer Funktion (110) des Kraftfahrzeuges (100) an ein Backend (200) und zum Empfangen (30) einer Instruktion (230) bezüglich des anomalen Verhaltens (112) der Funktion (110), und Eine Vorrichtung (400) zur Überwachung und Modifikation von Kraftfahrzeugfunktionen in dem Kraftfahrzeug (100), gemäß Anspruch 18. Ein Computerprogrammprodukt für eine Vorrichtung (400) gemäß Anspruch 18 und/oder für ein Kraftfahrzeug (100) gemäß Anspruch 19, wobei die Vorrichtung (400) gemäß Anspruch 18 nach einem Verfahren gemäß irgendeinem der vorhergehenden Ansprüche 1 bis 17 betreibbar ist. Ein Datenträger, aufweisend ein Computerprogrammprodukt gemäß Anspruch 20. |
Die vorliegende Erfindung betrifft ein Verfahren zur Überwachung und Modifikation von Kraftfahrzeugfunktionen einem Kraftfahrzeug, eine diesbezügliche Vorrichtung und ein diesbezügliches Kraftfahrzeug.
Werden aktuell Fehlfunktionen in Steuergeräten
festgestellt, so werden diese Fehler entweder durch ein Softwareupdate in der Werkstatt behoben oder falls dies nicht möglich ist, durch einen Austausch des Steuergerätes in der Werkstatt. In beiden Fällen jedoch, muss das
Fahrzeug in eine Werkstatt gebracht werden.
Ferner ist es aktuell lediglich durch ein in der
Werkstatt vorzunehmendes Softwareupdate möglich,
Steuergeräte beziehungsweise Fahrzeugfunktionen an neue beziehungsweise veränderte Gegebenheiten anzupassen.
Auch kommt es in letzter Zeit häufiger vor, dass
Fahrzeugfunktionen beziehungsweise Fahrzeugfunktionalitäten und Steuergeräte kompromittiert werden. Solche auftretenden Sicherheitslücken können aktuell auch erst durch ein aufwändiges Softwareupdate in einer Werkstatt behoben werden .
Daher wäre es wünschenswert eine Möglichkeit
bereitzustellen, welche schnell und ohne Notwendigkeit eines Werkstattbesuches solche Fehlfunktionen und Störungen beziehungsweise solch kritische Ereignisse behebt.
Es ist Ziel der Erfindung eine Möglichkeit
vorzuschlagen, welche zumindest einen Teil der im Stand der Technik bekannten Nachteile vermeidet oder zumindest vermindert . Die Aufgabe wird erfindungsgemäß gelöst, mittels eines Verfahrens gemäß dem Hauptanspruch, sowie mittels einer Vorrichtung gemäß einem nebengeordneten Anspruch und eines entsprechenden Kraftfahrzeuges gemäß eines weiteren
nebengeordneten Anspruches.
Der Gegenstand des Hauptanspruches betrifft dabei ein Verfahren zur Überwachung und Modifikation von
Kraftfahrzeugfunktionen in einem Kraftfahrzeug. Das
Verfahren weist dabei auf: Ermitteln eines anomalen
Verhaltens einer Funktion des Kraftfahrzeuges. Übermitteln des anomalen Verhaltens der Funktion des Kraftfahrzeuges an ein Backend. Empfangen einer Instruktion von dem Backend. Dabei ist die Instruktion indikativ, für eine zu
ergreifende akute Maßnahme in dem Kraftfahrzeug, um auf das anomale Verhalten der Funktion eine adäquate Reaktion auszuführen. Ermitteln einer Kraftfahrzeugkomponente, welche ursächlich für das anomale Verhalten der Funktion des Kraftfahrzeuges ist, basierend auf der empfangenen Instruktion. Überführen der Kraftfahrzeugkomponente in eine degradierte Konfiguration als adäquate Reaktion. Dabei weist die degradierte Konfiguration einen eingeschränkteren Funktionsumfang auf, als in dessen bisheriger
Konfiguration. Und falls das Überführen der
Kraftfahrzeugkomponente in die degradierte Konfiguration nicht möglich ist, weist das Verfahren ferner auf:
Überführen der Kraftfahrzeugkomponente in eine sichere Konfiguration als adäquate Reaktion. Dabei ist die sichere Konfiguration in der Kraftfahrzeugkomponente vorgehalten.
Die Verfahrensschritte können dabei automatisiert ausgeführt werden.
Ein anomales Verhalten im Sinne der Erfindung meint dabei ein Verhalten einer Kraftfahrzeugfunktion, die außerhalb einem definierten Verhalten liegt. Das anomale Verhalten kann dabei ein kritisches Ereignis sein, welches Security- und/oder Safety-relevant in Bezug auf eine entsprechende Fahrsituation und/oder eine Fahrzeugfunktion beziehungsweise ein Steuergerät des Kraftfahrzeuges ist.
Eine Funktion im Sinne der Erfindung meint dabei einen Vorgang, der von einer Kraftfahrzeugkomponente ausgeführt wird und sich auf das Verhalten des Kraftfahrzeuges
auswirkt. Beispiele dafür können Assistenzfunktionen, wie Lenkbewegungen, Fernlichtassistenzfunktion, Abstandshaltung und dergleichen des Kraftfahrzeuges sein, jedoch auch
Komfortfunktionen wie beispielsweise eine Navigation, eine elektrische automatische Sitzeinstellung und dergleichen.
Ein Backend im Sinne der Erfindung meint dabei einen Server beziehungsweise eine Cloud, auf dem ermittelte
Lösungen für bekannte und unbekannte Probleme bei
Kraftfahrzeugfunktionen beziehungsweise Steuergeräten von Kraftfahrzeugen bereitgestellt werden. Dies kann
beispielsweise mittels einer entsprechenden
Problemlösungsdatenbank realisiert werden.
Eine Kraftfahrzeugkomponente im Sinne der Erfindung meint dabei Vorrichtungen wie beispielsweise Steuergeräte beziehungsweise Steuervorrichtungen,
Komfortfunktionsvorrichtungen und Assistenzsysteme, die sowohl in Hardware als auch in Software ausgestaltet sein können. Das Ermitteln der Kraftfahrzeugkomponente kann dabei beispielsweise basierend auf einer
Steuergeräteinformation erfolgen. Die ist eine Information, mit welcher auf ein bestimmtes Steuergerät
zurückgeschlossen werden kann, wie beispielsweise eine Seriennummer, ein Herstellungsdatum, eine Firmwarenummer und dergleichen oder auch eine Kombination dieser
Informationen.
Eine degradierte Konfiguration im Sinne der Erfindung meint dabei eine Konfiguration, welche die Funktion
beziehungsweise den Funktionsumfang der entsprechenden Kraftfahrzeugkomponente mittels Parametermodifikation einschränkt. Eine Parametermodifikation kann dabei
insbesondere eine Änderung eines Wertes eines entsprechenden Parameters einer Fahr zeugfunkt ion
beziehungsweise eines Steuergerätes des Kraftfahrzeuges meinen. Dabei kann vorzugsweise eine Default-Wert des entsprechenden Parameters temporär überschrieben werden. Das heißt, dass der Default-Wert nicht verloren geht, sondern zwischengespeichert wird, vorzugsweise in dem
Steuergerät selbst. Jedoch ist auch ein Zwischenspeichern des Default-Wertes an einer anderen Stelle im Kraftfahrzeug möglich, beispielsweise in einem zentralen Controller in einer zentralen Default-Werte-Datenbank . Der modifizierte Parameter kann dabei beispielsweise nach einem bestimmten Zeitlimit wieder zurückgesetzt werden, somit also erneut mit dem Default-Wert überschrieben werden. Dabei kann der überschriebene Wert verloren gehen. Er kann jedoch auch zusätzlich weiterhin gespeichert vorgehalten werden.
Eine sichere Konfiguration im Sinne der Erfindung meint dabei eine Konfiguration, welche in der
Kraftfahrzeugkomponenten hinterlegt ist und als
funktionssicher gilt, bezüglich gültiger Sicherheitsnormen, wie Beispielsweise der IS026262 und darauf basierenden Normen .
Durch die erfindungsgemäße Lehre wird der Vorteil erreicht, dass im Falle eines Eintretens einer
Funktionsstörung des Kraftfahrzeuges oder von Teilen des Kraftfahrzeuges, dieses Verhalten erkannt werden kann und unter Zuhilfenahme eines Backendsystems nach einer
entsprechenden Lösung für die aufgetretene Funktionsstörung beziehungsweise von der Funktionsstörung betroffenen
Fahr zeugfunkt ionen beziehungsweise Steuergräten gesucht werden kann und anschließend eine entsprechende Lösung für die aufgetretene Funktionsstörung bereitgestellt werden kann .
Ein weiterer Vorteil ist, dass damit umgehend auf eine aufgetretene Funktionsstörung adäquat reagiert werden kann, um die Funktionsstörung einzudämmen und einen sicheren Betrieb des Kraftfahrzeuges weiterhin zu ermöglichen beziehungsweise verhindern zu können, dass ein problematischer, also unsicherer, Fahrzeugbetrieb entstehen kann . Der Gegenstand eines nebengeordneten Anspruches
betrifft dabei eine Vorrichtung zur Überwachung und
Modifikation von Kraftfahrzeugfunktionen in einem
Kraftfahrzeug. Die Vorrichtung weist dabei auf: Eine
Funktionsüberwachungsvorrichtung, zum Ermitteln eines anomalen Verhaltens einer Funktion des Kraftfahrzeuges. Ein Ermittlungsmittel, zum Ermitteln einer
Kraftfahrzeugkomponente, welche ursächlich für das anomale Verhalten der Funktion des Kraftfahrzeuges ist. Ein
Modifizierungsmittel, zum Überführen der
Kraftfahrzeugkomponente in eine degradierte Konfiguration und/oder in eine sichere Konfiguration. Dabei weist die degradierte Konfiguration einen eingeschränkteren
Funktionsumfang auf, als in dessen bisheriger
Konfiguration. Die sichere Konfiguration ist dabei in der Kraftfahrzeugkomponente vorgehalten. Dabei ist die sichere Konfiguration der Kraftfahrzeugkomponente gesichert, gegen ein Manipulieren der sicheren Konfiguration. Und dabei ist die Vorrichtung dazu eingerichtet, irgendein
erfindungsgemäßes Verfahren auszuführen.
Durch die erfindungsgemäße Lehre wird der Vorteil erreicht, dass im Falle eines Eintretens einer
Funktionsstörung des Kraftfahrzeuges oder von Teilen des Kraftfahrzeuges, eine Vorrichtung für das Kraftfahrzeug dieses Verhalten erkennen kann und unter Zuhilfenahme eines Backendsystems selbständig nach einer entsprechenden Lösung für die aufgetretene Funktionsstörung beziehungsweise von der Funktionsstörung betroffenen Fahrzeugfunktionen
beziehungsweise Steuergräten suchen kann und anschließend eine entsprechende Lösung für die aufgetretene
Funktionsstörung bereitstellen kann. Ein weiterer Vorteil ist, dass damit umgehend auf eine aufgetretene Funktionsstörung adäquat reagiert werden kann, um die Funktionsstörung einzudämmen und einen sicheren Betrieb des Kraftfahrzeuges weiterhin zu ermöglichen beziehungsweise verhindern zu können, dass ein
problematischer, also unsicherer, Fahrzeugbetrieb entstehen kann .
Der Gegenstand eines weiteren nebengeordneten
Anspruches betrifft dabei ein Kraftfahrzeug. Dabei weist das Kraftfahrzeug auf: Mindestens eine
Kraftfahrzeugkomponente, eine
Mobilfunkkommunikationsvorrichtung, zum Übermitteln eines anomalen Verhaltens einer Funktion des Kraftfahrzeuges an ein Backend und zum Empfangen einer Instruktion bezüglich des anomalen Verhaltens der Funktion, und eine
erfindungsgemäße Vorrichtung zur Überwachung und
Modifikation von Kraftfahrzeugfunktionen in dem
Kraftfahrzeug. Dabei weist die Kraftfahrzeugkomponente eine sichere Konfiguration auf, die vorzugsweise gesichert ist, gegen ein Manipulieren der sicheren Konfiguration. Und die erfindungsgemäße Vorrichtung zur Überwachung und
Modifikation von Kraftfahrzeugfunktionen in dem
Kraftfahrzeug ist dazu eingerichtet, irgendein
erfindungsgemäßes Verfahren auszuführen.
Durch die erfindungsgemäße Lehre wird der Vorteil erreicht, dass im Falle eines Eintretens einer
Funktionsstörung des Kraftfahrzeuges oder von Teilen des Kraftfahrzeuges, das Kraftfahrzeug dieses Verhalten
erkennen kann und unter Zuhilfenahme eines Backendsystems selbständig nach einer entsprechenden Lösung für die aufgetretene Funktionsstörung beziehungsweise von der
Funktionsstörung betroffenen Fahrzeugfunktionen
beziehungsweise Steuergräten suchen kann und anschließend eine entsprechende Lösung für die aufgetretene
Funktionsstörung bereitstellen kann. Ein weiterer Vorteil ist, dass damit umgehend auf eine aufgetretene Funktionsstörung adäquat reagiert werden kann, um die Funktionsstörung einzudämmen und einen sicheren Betrieb des Kraftfahrzeuges weiterhin zu ermöglichen beziehungsweise verhindern zu können, dass ein
problematischer, also unsicherer, Fahrzeugbetrieb entstehen kann .
Der Gegenstand eines weiteren nebengeordneten
Anspruches betrifft dabei ein Computerprogrammprodukt für eine erfindungsgemäße Vorrichtung und/oder ein
erfindungsgemäßes Kraftfahrzeug, wobei die Vorrichtung nach irgendeinem erfindungsgemäßen Verfahren betreibbar ist.
Durch die erfindungsgemäße Lehre wird der Vorteil erreicht, dass das Verfahren besonders effizient
automatisiert ausgeführt werden kann.
Der Gegenstand eines weiteren nebengeordneten
Anspruches betrifft dabei einen Datenträger aufweisend ein erfindungsgemäßes Computerprogrammprodukt.
Durch die erfindungsgemäße Lehre wird der Vorteil erreicht, dass das Verfahren besonders effizient auf die das Verfahren ausführenden Vorrichtungen, Systeme und/oder Kraftfahrzeuge verteilt beziehungsweise vorgehalten werden kann.
Bevor nachfolgend Ausgestaltungen der Erfindung
eingehender beschrieben werden, ist zunächst festzuhalten, dass die Erfindung nicht auf die beschriebenen Komponenten oder die beschriebenen Verfahrensschritte beschränkt ist. Weiterhin stellt auch die verwendete Terminologie keine Einschränkung dar, sondern hat lediglich beispielhaften Charakter. Soweit in der Beschreibung und den Ansprüchen der Singular verwendet wird ist dabei jeweils der Plural mit umfasst, soweit der Kontext dies nicht explizit
ausschließt. Etwaige Verfahrensschritte können, soweit der Kontext dies nicht explizit ausschließt, automatisiert ausgeführt werden.
Nachfolgend werden weitere exemplarische
Ausgestaltungen des erfindungsgemäßen Verfahrens erläutert.
Entsprechend einer ersten exemplarischen Ausgestaltung weist das Verfahren ferner, für den Fall, dass das
Überführen der Kraftfahrzeugkomponente in die sichere
Konfiguration nicht möglich ist, ein Abschalten der
Kraftfahrzeugkomponente als adäquate Reaktion auf.
Diese Ausgestaltung weist den Vorteil auf, dass ein Notfallbetrieb ermöglicht werden kann, in welchem das
Kraftfahrzeug sicher betrieben werden kann, selbst wenn die von der Funktionsstörung betroffene Kraftfahrzeugkomponente nicht in eine sichere Konfiguration überführt werden kann.
Entsprechend einer weiteren exemplarischen
Ausgestaltung weist das Verfahren ferner, für den Fall, dass das Abschalten der Kraftfahrzeugkomponente nicht erfolgreich ist, ein Überführen des Kraftfahrzeuges in einen sicheren Zustand als adäquate Reaktion auf. Dabei weist der sichere Zustand einen sicheren Betrieb des
Kraftfahrzeuges bezüglich einer Safety- und/oder
Security-Relevanz auf.
Der sichere Betrieb im Sinne der Erfindung meint dabei einen Betrieb, der funktionssicher bezüglich Safety- und/oder Security-Aspekten eines Fahrbetriebes und/oder Fahr zeugbetriebes des Kraftfahrzeuges ist.
Safety-relevant im Sinne der Erfindung meint dabei relevant bezüglich gültiger Sicherheitsnormen, wie
Beispielsweise der IS026262 und darauf basierenden Normen.
Security-relevant im Sinne der Erfindung meint dabei hingegen relevant für den Zugriffschütz , Schutz vor
Eindringlingen, Schutz vor Datenverfälschungen und/oder Datenmanipulationen, Manipulationen von Steuergeräten und dergleichen .
Ein sicherer Zustand bezüglich des kritischen
Ereignisses im Sinne der Erfindung, kann dabei einen
Zustand einer entsprechenden Fahrsituation und/oder einer Fahrzeugfunktion beziehungsweise eines Steuergerätes des Kraftfahrzeuges meinen, bei dem bezüglich der zu steuernden Safety-relevanten Funktion/System/Modul und damit etwaiger weiterer damit verbundener Safety-relevanter
Funktionen/Systeme/Module, von welchem/denen kein
unvertretbares Risiko für Leib und Leben ausgehen kann.
Diese Ausgestaltung weist den Vorteil auf, dass es ermöglicht werden kann, auf Safety- und/oder Security- relevante kritische Funktionsstörungen des Kraftfahrzeuges zu reagieren und sicherzustellen, dass das Kraftfahrzeug im Betrieb funktionssicher bleibt.
Entsprechend einer weiteren exemplarischen
Ausgestaltung weist das Verfahren ferner, für den Fall, dass das Überführen des Kraftfahrzeuges in den sicheren Zustand nicht möglich ist, ein Abschalten eines
Fahrbetriebes des Kraftfahrzeuges als adäquate Reaktion auf .
Diese Ausgestaltung weist den Vorteil auf, dass
verhindert werden kann, dass ein Kraftfahrzeug, bei dem eine Funktionsstörung von Kraftfahrzeugkomponenten vorliegt die nicht behoben werden kann, dieses Kraftfahrzeug
unsicher betrieben wird. Entsprechend einer weiteren exemplarischen
Ausgestaltung weist das Verfahren ferner auf, dass das Abschalten des Fahrbetriebes des Kraftfahrzeuges, sicher bezüglich einer Safety-Relevanz des Kraftfahrzeuges erfolgt .
Diese Ausgestaltung weist den Vorteil auf, dass das
Abschalten des Kraftfahrzeuges unfallfrei erfolgen kann. Entsprechend einer weiteren exemplarischen Ausgestaltung weist das Verfahren ferner ein Übermitteln der durchgeführten adäquaten Reaktion an das Backend auf, als erfolgreich ergriffene akute Maßnahme in dem
Kraftfahrzeug .
Diese Ausgestaltung weist den Vorteil auf, dass eine Qualitätssicherung für die an das Kraftfahrzeug
übermittelte Instruktion möglich wird.
Ein weiterer Vorteil ist, dass die adäquate
durchgeführte Reaktion in Backend aufgezeichnet werden kann, um darauf basierend weitere Lösungsmöglichkeiten ermitteln zu können beziehungsweise die übermittelten
Instruktionen weiter entwickeln zu können, um diese
kontinuierlich zu verbessern.
Entsprechend einer weiteren exemplarischen
Ausgestaltung weist das Verfahren ferner ein Empfangen eines Patches von dem Backend auf, als eine
Anomalie-Korrektur-Instruktion, welche indikativ ist, für eine zu ergreifende persistente Maßnahme in dem
Kraftfahrzeug, um das anomale Verhalten der Funktion künftig zu beseitigen und/oder zu unterbinden.
Diese Ausgestaltung weist den Vorteil auf, dass über eine temporäre Lösung hinaus, für die Funktionsstörung beziehungsweise für das anomale Verhalten der betroffenen Funktion eine permanente Modifikation bereitgestellt werden kann, um ein erneutes Auftreten dieses anomalen Verhaltens beziehungsweise um bei einem erneuten Auftreten dieses anomalen Verhaltens, einen funktionssicheren Betrieb der Funktion des Kraftfahrzeuges ermöglichen zu können.
Entsprechend einer weiteren exemplarischen
Ausgestaltung weist das Verfahren ferner auf: Ermitteln einer weiteren Kraftfahrzeugkomponente, welche ebenfalls von dem anomalen Verhalten der Funktion des Kraftfahrzeuges betroffen ist, vorzugsweise basierend auf der empfangenen Instruktion. Und entsprechendes Anwenden der weiteren
Verfahrensschritte zur Modifikation der
Kraftfahrzeugkomponente auf die weitere
Kraftfahrzeugkomponente.
Ein entsprechendes Anwenden der weiteren
Verfahrensschritte zur Modifikation der
Kraftfahrzeugkomponente auf die weitere
Kraftfahrzeugkomponente im Sinne der Erfindung meint dabei, dass Verfahrensteile der beschriebenen exemplarischen
Ausgestaltungen, zur Behebung und/oder Korrektur des anomalen Verhaltens der Kraftfahrzeugkomponente, auch auf die weitere Kraftfahrzeugkomponente anwendbar sind.
Diese Ausgestaltung weist den Vorteil auf, dass eine Lösung für das anomale Verhalten weiterer betroffener
Funktionen bereitgestellt werden kann.
Entsprechend einer weiteren exemplarischen
Ausgestaltung weist das Verfahren ferner ein Übermitteln der durchgeführten adäquaten Reaktion an ein weiteres
Kraftfahrzeug auf, als Instruktion, für eine zu ergreifende aktuelle und/oder vorbeugende akute Maßnahme in dem
weiteren Kraftfahrzeug.
Diese Ausgestaltung weist den Vorteil auf, dass weitere Kraftfahrzeuge auf das anomale Verhalten vorbereitet beziehungsweise vorkonditioniert werden können, auch wenn diese Kraftfahrzeuge von dem anomalen Verhalten zu diesem Zeitpunkt noch nicht betroffen sind. Entsprechend einer weiteren exemplarischen
Ausgestaltung weist das Verfahren ferner auf, dass das Übermitteln der durchgeführten adäquaten Reaktion an das weitere Kraftfahrzeug von dem Kraftfahrzeug aus erfolgt.
Diese Ausgestaltung weist den Vorteil auf, dass das von dem anomalen Verhalten betroffene Kraftfahrzeug selbst weitere Kraftfahrzeuge entsprechend vorbereiten kann. Entsprechend einer weiteren exemplarischen Ausgestaltung weist das Verfahren ferner auf, dass das Übermitteln der durchgeführten adäquaten Reaktion an das weitere Kraftfahrzeug von dem Backend aus erfolgt.
Diese Ausgestaltung weist den Vorteil auf, dass das Backend, nachdem es von dem von dem anomalen Verhalten betroffenen Kraftfahrzeug informiert wurde, weitere
Kraftfahrzeuge entsprechend vorbereitend instruieren kann.
Entsprechend einer weiteren exemplarischen
Ausgestaltung weist das Verfahren ferner auf, dass das Ermitteln des anomalen Verhaltens der Funktion des
Kraftfahrzeuges von dem Backend, von einem
Kraftfahrzeuginsassen und/oder von einer
kraftfahrzeugeigenen Routine feststellbar ist.
Diese Ausgestaltung weist den Vorteil auf, dass das Auftreten des anomalen Verhaltens von mehreren Quellen festgestellt werden kann. Dadurch kann die
Entdeckungsgeschwindigkeit des anomalen Verhaltens erhöht werden. Dadurch kann die Zeit, vom ersten Auftreten der Anomalie bis zu deren Entdeckung verringert werden, wodurch die Kraftfahrzeugsicherheit beziehungsweise
Kraftfahrzeugzuverlässigkeit erhöht werden kann.
Entsprechend einer weiteren exemplarischen
Ausgestaltung weist das Verfahren ferner auf, dass das Backend eine zertifizierte kraftfahrzeugexterne Authorität aufweist .
Diese Ausgestaltung weist den Vorteil auf, dass die
Möglichkeit eines Missbrauches der vorgestellten Erfindung, beispielsweise für eine Nutzung zum Einschleusen eines solchen anomalen Verhaltens, zumindest reduziert wenn nicht gar vollständig verhindert werden kann. Entsprechend einer weiteren exemplarischen Ausgestaltung weist das Verfahren auf, dass die Instruktion eine Weisung aufweist, unter welchen Kriterien die adäquate Reaktion wieder aufgehoben werden kann.
Solche Kriterien können zeitgebunden sein, können jedoch auch bestimmte Zustände sein, wie beispielsweise Funktionszustände oder Kraftfahrzeugzustände, die bei Vorliegen eines solchen Kriteriums, ein Aufheben der vorzunehmenden Modifikationen vorsehen.
Diese Ausgestaltung weist den Vorteil auf, dass eine
Möglichkeit vorgesehen ist, die vorzunehmende Modifikation wieder aufzuheben beziehungsweise rückgängig zu machen. Dies kann insbesondere dann sein, wenn deutlich ist, dass das anomale Verhalten lediglich von temporärer Natur ist.
Entsprechend einer weiteren exemplarischen
Ausgestaltung weist das Verfahren ferner auf, dass das anomale Verhalten der Funktion des Kraftfahrzeuges
indikativ ist, für ein Hacking des Kraftfahrzeuges
beziehungsweise der Kraftfahrzeugkomponente.
Dabei kann das Hacking mittels einer Datenmanipulation oder auch einer Manipulation eines Steuergerätes,
beispielsweise mittels eines sogenannten Hacking-Angriffs, von außerhalb des Kraftfahrzeuges mittels einer wireless Lösung erfolgen.
Diese Ausgestaltung weist den Vorteil auf, dass einem Kompromittieren eines Kraftfahrzeuges beziehungsweise einer Kraftfahrzeugfunktion des Kraftfahrzeuges schnellstmöglich begegnet werden kann, um das Kompromittieren eindämmen zu können.
Entsprechend einer weiteren exemplarischen
Ausgestaltung weist das Verfahren ferner auf, dass das anomale Verhalten der Funktion dazu geeignet ist, einen funktionssicheren Betrieb des Kraftfahrzeuges zu gefährden Diese Ausgestaltung weist den Vorteil auf, dass für fahrzeugkritische Funktionen entsprechende Modifikations ¬ und Eingriffsmöglichkeiten vorgesehen beziehungsweise vorgenommen werden können.
Entsprechend einer weiteren exemplarischen
Ausgestaltung weist das Verfahren ferner auf, dass die sichere Konfiguration der Kraftfahrzeugkomponente gesichert ist, gegen ein Manipulieren der sicheren Konfiguration.
Diese Ausgestaltung weist den Vorteil auf, dass eine besonders gegen Hacking geschützte Rückfalloption für eine Kraftfahrzeugfunktion vorgesehen werden kann.
Die Erfindung erlaubt es somit, einem anomalen
Verhalten des Kraftfahrzeuges zu begegnen und Vorkehrungen vorzusehen und durchführen zu können, um ein solch anomales Verhalten auffangen zu können, damit das Kraftfahrzeug in einem solchen Fall einen weiterhin funktionssicheren
Betrieb des Kraftfahrzeuges bereitstellen zu können. Somit wird es ermöglicht, spezifische auf das Fahrzeug, also inklusive der entsprechenden verbauten Teile, den Fahrer und die konkrete Fahrsituation zugeschnittene Funktions- Parametrisierungen im Backend zu generieren und in das Fahrzeug zu laden, die ferner zusätzliches Wissen aus dem Backend berücksichtigen können.
Für die Funktionen sind Default-Parametrisierungen im Fahrzeug hinterlegt, die gegebenenfalls nur eine
eingeschränkte Funktionalität ermöglicht. In einem extremen Fall kann dies bedeuten, dass eine Funktion deaktiviert ist, bis ein entsprechender Parameterdatensatz als
Problemlösung verfügbar ist.
Und falls bei entsprechenden relevanten Fahrzeug- Eigenschaften ein kritisches Ereignis identifiziert ist, das als ein anomales Verhalten aufgefasst werden kann, suchen und bereitstellen eines entsprechendem
Parameterdatensatzes, welcher beispielsweise entsprechende Funktionsparametrisierungen oder Funktionseinschränkungen beziehungsweise keine vollständige
Funktionsaktivierungsfreigabe des entsprechenden
Steuergerätes beziehungsweise der entsprechenden Funktion als Parameterinformation aufweisen kann.
Somit können Teilumfänge, also feingranular , von
Funktionen beziehungsweise Steuergeräten über das Backend deaktiviert und/oder modifiziert werden, sobald diese
Teilumfänge ein anomales Verhalten aufweisen.
Insbesondere können auftretende Fehler beziehungsweise
Fehlfunktionen des Kraftfahrzeuges behoben werden.
In dem Fall eines Hackings des Kraftfahrzeuges kann besonders wirksam eingegriffen werden, um den Auswirkungen des Hackings als auch dem Hack selber wirkungsvoll
entgegentreten zu können.
In Analogie zu einem differenzierten „Schottensystem'' ' im Schiffsbau gegen Eintreten von Wasser, wird somit folgende Maßnahme im Automobil bezüglich einer dynamischen Abschottung von sensiblen Fahrzeugumfängen bei Auftreten von akuten Safety- und Security-relevanten Problemen vorgeschlagen .
Dies kann mittels einer Sicherheits-Steuerungseinheit im Fahrzeug erreicht werden, zur koordinierten Ausbildung von Sicherheitsmechanismen, falls im Backend oder im
Fahrzeug durch Überwachungsalgorithmen ein Safety- oder Security-Problem erkannt wird.
Nachfolgen einige Beispiele solcher
Sicherheitsmechanismen :
A) Anpassung Gateway-Tabelle - mittels Routing-Regeln von welchem auf welchen Bus beziehungsweise von welchem an welches Steuergerät - für bestimmte oder alle applikative Nachrichten, Signale und Diagnose-Nachrichten,
beispielsweise Blockieren bestimmter Nachrichten-Typen oder Ids, Empfänger, Sender, Busse. B) Änderung von Switch- und Router Konfigurationen, beispielsweise Ethernet / IP wie zum Beispiels nicht übersetzen bestimmter Nahrichten-Typen
C) Anpassung der maximal pro Zeiteinheit von einem Bus auf den anderen Bus oder von einem Steuergerät, auch SG genannt, auf ein anderes SG übersetzten Nachrichten, sogenannte Denail-of-Service Abwehr
D) Blockieren von Nachrichten bestimmter Absender oder Adressaten im Switch oder Gateway
E) Komplettes Deaktivieren bestimmter Steuergeräte und/oder Sensoren/Aktoren, mittels beispielsweise stromlos schalten, in den Bootloader versetzen, sämtliche
ausgehenden Nachrichten blockieren, LIN-Bus deaktivieren, LIN-Sensoren/Aktoren Deaktivieren
F) Deaktivieren bestimmter Funktionen oder permanentes
Degradieren
G) physikalisches Deaktivieren bestimmter
Busanschlüsse
Die oben genannten Mechanismen können in zentralen oder dezentralen Gateways des Fahrzeugs umgesetzt werden.
Die oben genannten Mechanismen können auch einzeln beziehungsweise in vordefinierten Kombinationen abgesichert werden, bezüglich ihrer Wirksamkeit und gegebenenfalls zertifiziert sein bezüglich Safety/Security .
Ferner kann eine vordefinierte Ablage bestimmter
Kombinationen im Fahrzeug vorgesehen werden.
Auch kann eine „Maximale-Sicherheit s ' ' -Konfiguration für die hier genannten Mechanismen im Kraftfahrzeug
hinterlegt werden, wie beispielsweise eine Gateway-Tabelle, Bestromung und dergleichen, die zu einem maximal sicheren Fahrzeug führen und eine minimale Angriffsfläche /
Restrisiko bieten. Ferner kann ein akutes Bilden von
Quarantäne-Mechanismen für Teilsysteme wie beispielsweise Steuergeräte oder Busse erfolgen.
Das Auslösen solcher Konfigurationen kann durch die hier beispielhaft genannten Auslöse-Mechanismen erfolgen. Die oben genannten Mechanismen können, falls
aktiviert, optional dann nur in bestimmten Fahrzeug- oder Funktionszuständen wirksam sein, beispielsweise nur bei Fahrt, nicht aber im Stand; nur bei Internetzugriff, nicht aber bei offline-Betrieb des Fahrzeugs und dergleichen.
Das Auswählen der oben genannten Kombinationen von Mechanismen erfolgt dann nach bestimmten Fahrzeug- oder Funktionszuständen .
Die zuvor genannten Methoden können beispielsweise in einem zentralen Gateway zwischen zentralen Switches realisiert werden.
Die zuvor genannten Mechanismen beziehungsweise
Methoden können durch einen Befehl ausgelöst werden oder auch durch Konfigurationsvorgabe aus dem Backend, im
Fahrzeug oder vom Fahrzeugnutzer selbst, beispielsweise per Human-Machine-Interface, auch HMI genannt, oder USB-Stick. Eine HMI Eingabe könnte einen entsprechend langen und damit sicheren, vom Diensteprovider, wie beispielsweise dem
Fahrzeughersteller, an den Kunden beispielsweise
persönlich, per Brief, telefonisch oder auch per USB- Download mitgeteilten spezifischen „Geheim-Code ' '
voraussetzen .
Die oben genannten Mechanismen können jedoch auch automatisch ausgelöst werden, wenn nicht innerhalb eines ZeitIntervalls wiederkehrend ein Freischaltbefehl erfolgt, der das automatische Auslösen durch die Sicherheits- Steuerungseinheit verhindert. Der Freischaltbefehl kann dabei über Backend oder über Smartphone / USB Stick / Fahrzeugschlüssel des Kunden / QR-Code / Strichcode / Nummerneingabe / Mobilfunk / SMS erfolgen, falls eine
Datenverbindung zum Backend nicht erfolgen kann.
Beispiel: Wenn das Überwachungssystem im Fahrzeug nicht jeweils innerhalb von 7 Tagen eine Nachricht aus dem
Backend / Smartphone / USB-Stick / Datenspeicher auf dem Fahrzeugschlüssel / QR-Code / Strichcode - beispielsweise einlesbar über ein Smartphone mit Fahrzeuganbindung oder über Kameras des Fahrzeugs / Mobilfunk / SMS / Nummerneingabe erhält, dass das System bedenkenlos genutzt werden kann, erfolgt eine entsprechende Auslösung der oben genannten Mechanismen, um einen sicheren zustand
einzunehmen. Das Backend kann dabei entsprechende
Freischaltcodes generieren, gegebenenfalls
fahrzeugspezifisch in Abhängigkeit der Ausstattung, HW-SW- Versionen, dem aktuellen Land, Kundenverhalten und
dergleichen .
Ferner kann zusätzlich ein Mechanismus bereitgestellt werden, bei denen das Fahrzeug Fahr zeugdaten bereitstellt zur Ermittlung, ob das Fahrzeug von einem Security/ Safety Thema betroffen ist und zur Ermittlung eines
Freischaltkeys. Falls keine Online-verbindung herstellbar ist, kann dies auch über das Smartphone des
Fahrzeugnutzers, einem USB Stick / Fahr zeugschlüssel des Fahrzeugnutzers / QR-Code / Strichcode / Anzeige eines Codes im Smartphone und/oder in der Head-Unit und
dergleichen erfolgen. Dieser Code muss dann im Backend von einem fahrzeugexternen Computer aus eingegeben werden muss.
Die oben genannten Mechanismen können gegebenenfalls über eine 2-Faktor Authentifikation ausgelöst werden, beispielsweise kann ein Auslösen beziehungsweise
deaktivieren der automatischen Auslösung nur erfolgen, falls über zwei unabhängige technische Wege die Auslösung beziehungsweise der Freischaltcode empfangen wurde.
Dabei kann ein Feedback an den Fahrzeugnutzer
erfolgen, dass die Auslösung durchgeführt wurde. Auch kann eine Bestätigung durch den Fahrzeugnutzer erfolgen. Ferner kann auch eine Benachrichtigung erfolgen, dass eine
automatische Auslösung bald vorgenommen wird, wenn der Freischaltcode nicht aktualisiert wird.
Zusätzliche kann eine Überprüfungseinheit im Fahrzeug vorgesehen werden, die unabhängig von der „Sicherheit s- Steuerungseinheit ' ' prüft, ob die Sicherheits-Konfiguration durch die Sicherheit s-Steuerungseinheit erfolgreich war. Dies kann beispielsweise durch lauschen am Bus erfolgen, ob Funktion/Steuergeräte deaktiviert sind, einem Senden von Test-Nachrichten und dergleichen.
Die Überprüfungseinheit kann dabei besonders
abgesichert /zertifiziert /geschützt umgesetzt sein.
Ferner kann eine Rückmeldung der Überprüfungseinheit an das Backend erfolgen, ob die Sicherheits-Konfiguration erfolgreich umgesetzt wurde.
Ferner kann eine gegenseitige Überprüfung der
„Sicherheit s-Steuerungseinheit ' ' und der „Zusätzlichen
Überprüfungseinheit ' ' vorgenommen werden, beispielsweise mittels Alive, Verhaltensprüfung,
Signatur /CRC/Fingerprint /Zertifikat . Dabei können
Notfallmaßnahmen vorgesehen werden, falls die gegenseitige Überprüfung fehlschlägt, wie beispielsweise eine
Benachrichtigung des Backendes, eine Deakt ivierung oder Aktivierung von Sicherheitsmaßnahmen, wie beispielsweise vornehmen maximaler Sicherheits-Einstellungen.
Ferner kann eine zyklische Prüfung der Signaturen und Nachrichtenverhalten und Fehlermeldungen der Steuergeräte und Funktionen durch die Zusätzliche Überprüfungseinheit vorgenommen werden. Auch hier können Notfallmaßnahmen greifen, falls die Überprüfung fehlschlägt. Qualifizierte Schotten können dabei im Sinne einer Zertifizierung für Safety IS026262 beziehungsweise Security vorgesehen werden.
Sowohl aus Sicht einzelner Funktionen, wie
beispielsweise Remote Software-Update-Funktion des
Fahrzeugs, HAF-Funkt ion, Fehlererkennung einer Funktion eines Steuergerätes, als auch durch die Sicherheits- Steuerungseinheit und der zusätzlichen Überprüfungseinheit, als auch von der Backend-Seite können Varianten zur
Ausgestaltung und Aktivierung von Konfigurationen
vorgesehen beziehungsweisebereitgestellt werden. Die Erfindung wird nachfolgend eingehender an Hand der
Figuren erläutert werden. In diesen zeigen: Fig. 1 eine schematische Darstellung eines
vorgeschlagenen Verfahrens gemäß einer beispielhaften Ausgestaltung der Erfindung;
Fig. 2 eine schematische Darstellung eines
vorgeschlagenen Verfahrens gemäß einer weiteren
beispielhaften Ausgestaltung der Erfindung;
Fig. 3 eine schematische Darstellung eines
vorgeschlagenen Verfahrens gemäß einer weiteren
beispielhaften Ausgestaltung der Erfindung;
Fig. 4 eine schematische Darstellung eines
vorgeschlagenen Verfahrens gemäß einer weiteren
beispielhaften Ausgestaltung der Erfindung;
Fig. 5 eine schematische Darstellung eines
vorgeschlagenen Verfahrens gemäß einer weiteren
beispielhaften Ausgestaltung der Erfindung;
Fig. 6 eine schematische Darstellung eines
vorgeschlagenen Verfahrens gemäß einer weiteren
beispielhaften Ausgestaltung der Erfindung;
Fig. 7 eine schematische Darstellung eines
vorgeschlagenen Verfahrens gemäß einer weiteren
beispielhaften Ausgestaltung der Erfindung;
Fig. 8 eine schematische Darstellung eines
vorgeschlagenen Verfahrens gemäß einer weiteren
beispielhaften Ausgestaltung der Erfindung;
Fig. 9 eine schematische Darstellung einer
vorgeschlagenen Vorrichtung gemäß einer weiteren
beispielhaften Ausgestaltung der Erfindung; und
Fig. 10 eine schematische Darstellung eines
vorgeschlagenen Kraftfahrzeuges gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung.
Fig. 1 zeigt eine schematische Darstellung eines vorgeschlagenen Verfahrens gemäß einer beispielhaften Ausgestaltung der Erfindung.
Dabei zeigt Fig. 1 eine schematische Darstellung eines
Verfahren zur Überwachung und Modifikation von Kraftfahrzeugfunktionen in einem Kraftfahrzeug 100. Das Verfahren weist dabei auf: Ermitteln 10 eines anomalen Verhaltens 112 einer Funktion 110 des Kraftfahrzeuges 100. Übermitteln 20 des anomalen Verhaltens 112 der Funktion 110 des Kraftfahrzeuges 100 an ein Backend 200. Empfangen 30 einer Instruktion 230 von dem Backend 200, wobei die
Instruktion 230 indikativ ist, für eine zu ergreifende akute Maßnahme in dem Kraftfahrzeug 100, um auf das anomale Verhalten 112 der Funktion 110 eine adäquate Reaktion auszuführen. Ermitteln 40 einer Kraftfahrzeugkomponente 140, welche ursächlich für das anomale Verhalten 112 der Funktion 110 des Kraftfahrzeuges 100 ist, basierend auf der empfangenen Instruktion 230. Überführen 50 der
Kraftfahrzeugkomponente 140 in eine degradierte
Konfiguration als adäquate Reaktion, wobei die degradierte Konfiguration einen eingeschränkteren Funktionsumfang aufweist, als in dessen bisheriger Konfiguration. Und falls das Überführen 50 der Kraftfahrzeugkomponente 140 in die degradierte Konfiguration nicht möglich ist, weist das Verfahren ferner ein Überführen 52 der
Kraftfahrzeugkomponente 140 in eine sichere Konfiguration als adäquate Reaktion auf, wobei die sichere Konfiguration in der Kraftfahrzeugkomponente 140 vorgehalten ist. Fig. 2 zeigt eine schematische Darstellung eines vorgeschlagenen Verfahrens gemäß einer weiteren
beispielhaften Ausgestaltung der Erfindung.
Dabei zeigt Fig. 2 eine schematische Darstellung eines bezüglich der Fig. 1 weiterentwickelten Verfahrens. Das zuvor für Fig. 1 Gesagte, gilt daher auch für Fig. 2 fort.
Fig. 2 zeigt das Verfahren aus Fig. 1 bei dem ferner das Verfahren für den Fall, dass das Überführen 52 der Kraftfahrzeugkomponente 140 in die sichere Konfiguration nicht möglich ist, ein Abschalten 54 der
Kraftfahrzeugkomponente 140 als adäquate Reaktion aufweist. Fig. 3 zeigt eine schematische Darstellung eines vorgeschlagenen Verfahrens gemäß einer weiteren
beispielhaften Ausgestaltung der Erfindung.
Dabei zeigt Fig. 3 eine schematische Darstellung eines bezüglich der Fig. 1 und Fig. 2 weiterentwickelten
Verfahrens. Das zuvor für Fig. 1 und Fig. 2 Gesagte, gilt daher auch für Fig. 3 fort.
Fig. 3 zeigt das Verfahren aus Fig. 2 bei dem ferner das Verfahren für den Fall, dass das Abschalten 54 der Kraftfahrzeugkomponente 140 nicht erfolgreich ist, ein Überführen 56 des Kraftfahrzeuges 100 in einen sicheren Zustand als adäquate Reaktion aufweist, wobei der sichere Zustand einen sicheren Betrieb des Kraftfahrzeuges 100 bezüglich einer Safety- und/oder Security-Relevanz aufweist .
Fig. 4 zeigt eine schematische Darstellung eines vorgeschlagenen Verfahrens gemäß einer weiteren
beispielhaften Ausgestaltung der Erfindung.
Dabei zeigt Fig. 4 eine schematische Darstellung eines bezüglich der Fig. 1 bis Fig. 3 weiterentwickelten
Verfahrens. Das zuvor für Fig. 1 bis Fig. 3 Gesagte, gilt daher auch für Fig. 4 fort.
Fig. 4 zeigt das Verfahren aus Fig. 3 bei dem ferner das Verfahren für den Fall, dass das Überführen 56 des
Kraftfahrzeuges 100 in den sicheren Zustand nicht möglich ist, ein Abschalten 58 eines Fahrbetriebes des
Kraftfahrzeuges als adäquate Reaktion aufweist. Fig. 5 zeigt eine schematische Darstellung eines vorgeschlagenen Verfahrens gemäß einer weiteren
beispielhaften Ausgestaltung der Erfindung.
Dabei zeigt Fig. 5 eine schematische Darstellung eines bezüglich der Fig. 1 bis Fig. 4 weiterentwickelten
Verfahrens. Das zuvor für Fig.l bis Fig. 4 Gesagte, gilt daher auch für Fig. 5 fort. Fig. 5 zeigt das Verfahren aus Fig. 4 bei dem ferner das Verfahren ein Übermitteln 60 der durchgeführten
adäquaten Reaktion an das Backend 200 aufweist, als
erfolgreich ergriffene akute Maßnahme in dem Kraftfahrzeug 100.
Fig. 6 zeigt eine schematische Darstellung eines vorgeschlagenen Verfahrens gemäß einer weiteren
beispielhaften Ausgestaltung der Erfindung.
Dabei zeigt Fig. 6 eine schematische Darstellung eines bezüglich der Fig. 1 weiterentwickelten Verfahrens. Das zuvor für Fig. 1 Gesagte, gilt daher auch für Fig. 6 fort.
Fig. 6 zeigt das Verfahren aus Fig. 1 bei dem ferner das Verfahren ein Empfangen 70 eines Patches von dem
Backend 200 aufweist, als eine Anomalie Korrektur
Instruktion, die indikativ ist, für eine zu ergreifende persistente Maßnahme in dem Kraftfahrzeug 100, um das anomale Verhalten 112 der Funktion 110 künftig zu
beseitigen und/oder zu unterbinden.
Fig. 7 zeigt eine schematische Darstellung eines vorgeschlagenen Verfahrens gemäß einer weiteren
beispielhaften Ausgestaltung der Erfindung.
Dabei zeigt Fig. 7 eine schematische Darstellung eines bezüglich der Fig. 1 weiterentwickelten Verfahrens. Das zuvor für Fig. 1 Gesagte, gilt daher auch für Fig. 7 fort.
Fig. 7 zeigt das Verfahren aus Fig. 1 bei dem ferner das Verfahren aufweist: Ermitteln 42 einer weiteren
Kraftfahrzeugkomponente 142, welche ebenfalls von dem anomalen Verhalten 112 der Funktion 110 des Kraftfahrzeuges 100 betroffen ist, vorzugsweise basierend auf der
empfangenen Instruktion 230. Und entsprechendes Anwenden der weiteren Verfahrensschritte 50, 52, 54, 56, 58, 60, 70 zur Modifikation der Kraftfahrzeugkomponente 140 auf die weitere Kraftfahrzeugkomponente 142. Fig. 8 zeigt eine schematische Darstellung eines vorgeschlagenen Verfahrens gemäß einer weiteren
beispielhaften Ausgestaltung der Erfindung.
Dabei zeigt Fig. 8 eine schematische Darstellung eines bezüglich der Fig. 1 weiterentwickelten Verfahrens. Das zuvor für Fig. 1 Gesagte, gilt daher auch für Fig. 8 fort.
Fig. 8 zeigt das Verfahren aus Fig. 1 bei dem ferner das Verfahren ein Übermitteln 80 der durchgeführten
adäquaten Reaktion an ein weiteres Kraftfahrzeug 300 aufweist, als Instruktion 230, für eine zu ergreifende aktuelle und/oder vorbeugende akute Maßnahme in dem
weiteren Kraftfahrzeug 300.
Fig. 9 zeigt eine schematische Darstellung einer vorgeschlagenen Vorrichtung gemäß einer weiteren
beispielhaften Ausgestaltung der Erfindung.
Dabei zeigt Fig. 9 eine schematische Darstellung einer vorgeschlagenen Vorrichtung 400 zur Überwachung und
Modifikation von Kraftfahrzeugfunktionen in einem
Kraftfahrzeug 100. Die Vorrichtung 400 weist dabei auf:
Eine Funktionsüberwachungsvorrichtung 410, zum Ermitteln 10 eines anomalen Verhaltens 112 einer Funktion 110 des
Kraftfahrzeuges 100. Ein Ermittlungsmittel 440, zum
Ermitteln 40 einer Kraftfahrzeugkomponente 140, welche ursächlich für das anomale Verhalten 112 der Funktion 110 des Kraftfahrzeuges 100 ist. Ein Modifizierungsmittel 450, zum Überführen 50, 52 der Kraftfahrzeugkomponente 140 in eine degradierte Konfiguration und/oder in eine sichere Konfiguration. Dabei weist die degradierte Konfiguration einen eingeschränkteren Funktionsumfang auf, als in dessen bisheriger Konfiguration. Die sichere Konfiguration ist in der Kraftfahrzeugkomponente 140 vorgehalten. Und dabei ist die sichere Konfiguration der Kraftfahrzeugkomponente 140 gesichert, gegen ein Manipulieren der sicheren
Konfiguration. Und dabei ist die Vorrichtung 400 dazu eingerichtet , irgendein erfindungsgemäßes Verfahren
aus zuführen .
Fig. 10 zeigt eine schematische Darstellung eines vorgeschlagenen Kraftfahrzeuges gemäß einer beispielhaften Ausgestaltung der Erfindung.
Dabei zeigt Fig. 10 eine schematische Darstellung eines Kraftfahrzeuges 100 aufweisend: Mindestens eine
Kraftfahrzeugkomponente 140, eine
Mobilfunkkommunikationsvorrichtung 120, zum Übermitteln 20 eines anomalen Verhaltens 112 einer Funktion 110 des
Kraftfahrzeuges 100 an ein Backend 200 und zum Empfangen 30 einer Instruktion 230 bezüglich des anomalen Verhaltens 112 der Funktion 110 und eine erfindungsgemäße Vorrichtung 400 zur Überwachung und Modifikation von
Kraftfahrzeugfunktionen in dem Kraftfahrzeug 100. Und dabei weist die Kraftfahrzeugkomponente 140 eine sichere
Konfiguration auf, die vorzugsweise gesichert ist, gegen ein Manipulieren der sicheren Konfiguration.
Dabei kommuniziert die erfindungsgemäße Vorrichtung 400 zur Überwachung und Modifikation von
Kraftfahrzeugfunktionen mit der
Mobilfunkkommunikationsvorrichtung 120, um die
entsprechende Überwachung der Funktionen 110 im
Kraftfahrzeug 100 und bei Bedarf entsprechende
Modifikationen im Kraftfahrzeug 100 vornehmen zu können.
Die Erfindungsidee kann wie folgt zusammengefasst werden. Es werden ein Verfahren, eine diesbezügliche
Vorrichtung und ein Kraftfahrzeug bereitgestellt, wodurch es möglich werden kann, dass für bestimmte Funktionen beziehungsweise Steuergeräte im Fahrzeug, die für diese Funktionen vorhandenen Parametersätze durch eine vom
Fahrzeug beziehungsweise den zugehörigen Funktionen
initiierte Abfrage an ein Backend beziehungsweise einen
Server verändert werden können. Insbesondere kann dies auch temporär geschehen. Dies erfolgt dann, wenn ein anomales Verhalten einer Funktion des Kraftfahrzeuges festgestellt wird .
Im Fahrzeug werden die darin hinterlegten Parameter für Funktionen beziehungsweise Steuergeräte dabei sozusagen wie Default-Werte der Parametersätze für die entsprechenden Funktionen beziehungsweise Steuergeräte betrachtet. Diese Parametersätze können mit der vorgeschlagenen Erfindung im Bedarfsfall geändert werden, indem eine entsprechende
Problemlösung aus einer Problemdatenbank angefordert beziehungsweise übermittelt wird, die eine entsprechende Parameterinformation als Workaround des entsprechenden Default-Parameterwertes des entsprechenden Parameters des entsprechenden Steuergerätes aufweist. Die Wirksamkeit des entsprechenden Parameters beziehungsweise Parametersatzes bezüglich der Problemlösung des kritischen Ereignisses, also des anomalen Verhaltens, kann dabei gegebenenfalls im Vorfeld abgesichert beziehungsweise zertifiziert sein.
Das heißt, Das Kraftfahrzeug beziehungsweise eine entsprechende Vorrichtung des Kraftfahrzeuges baut von sich aus eine Online-Verbindung zum Backend auf, holt sich aus dem Backend eine im Backend ermittelte/berechnete optimale Parametrisierung als Parameterinformation und überschreibt mit diesen optimalen Parameterwerten die Default-Werte . Das Überschreiben kann dabei insbesondere temporär erfolgen, so dass die Default-Werte nicht verloren gehen.
Den temporären Werten können dabei Kriterien als
Rahmenbedingungen beigelegt werden, so dass bei Eintritt eines solchen Kriteriums die Funktion nicht mehr mit den temporären Werten aus dem Backend sondern erneut mit den Default-Werten parametrisiert wird.
Eine derart ausgelegte Funktion beziehungsweise ein derart ausgelegtes Steuergerät, wie beispielsweise die Fahrerassistenzfunktion „automatisches Fernlicht'" würde also bei Auftreten eines anomalen Verhaltens eine
entsprechende Meldung als Nachfrage im Backend auslösen und eine geeignete Parametrisierung für die entsprechende Funktion zurückgeben. Solch eine Parametrisierung im Beispiel des automatisierten Fernlichtes könnte dabei ein anomales Verhalten, bei dem beispielsweise eine „0 " fehlerhaft in eine „!'' umgewandelt wurde und dadurch gezielt entgegenkommende Fahrzeuge anleuchtet anstatt abzublenden, auffangen und korrigieren.
Bezugs zeichenliste
10 Ermitteln eines anomalen Verhaltens einer
Funktion des Kraftfahrzeuges
20 Übermitteln des anomalen Verhaltens der Funktion des Kraftfahrzeuges an ein Backend
30 Empfangen einer Instruktion von dem Backend
40 Ermitteln einer Kraftfahrzeugkomponente
50 Überführen der Kraftfahrzeugkomponente in eine degradierte Konfiguration
52 Überführen der Kraftfahrzeugkomponente in eine sichere Konfiguration
54 Abschalten der Kraftfahrzeugkomponente
56 Überführen des Kraftfahrzeuges in einen sicheren
Zustand
58 Abschalten eines Fahrbetriebes des
Kraftfahrzeuges
60 Übermitteln der durchgeführten adäquaten
Reaktion an das Backend
70 Empfangen eines Patches von dem Backend
80 Übermitteln der durchgeführten adäquaten
Reaktion an ein weiteres Kraftfahrzeug 100 Kraftfahrzeug
110 Funktion des Kraftfahrzeuges
112 Anomales Verhalten der Funktion des
Kraftfahrzeuges
120 MobilfunkkommunikationsVorrichtung
140 Kraftfahrzeugkomponente
142 weitere Kraftfahrzeugkomponente
200 Backend
230 Instruktion
300 Weiteres Kraftfahrzeug
400 Vorrichtung
410 FunktionsüberwachungsVorrichtung
440 Ermittlungsmittel
450 Modifizierungsmittel