具有能够后续通过应用程序改变的行驶行为的机动车制造技术

本发明专利技术涉及一种机动车(10)，该机动车具有处理器设备(20)，该处理器设备设计用于在第一通信区(K1)中执行应用程序，该机动车还具有用于车辆控制数据的存储设备(42)，车辆控制数据决定机动车(10)的行驶行为。存储设备(42)被布置在机动车(10)的第二通信区(K2)中。本发明专利技术的目的在于，通过应用程序能实现对车辆控制数据进行后续的改变并且在此提供一种对车辆控制数据被不期望地篡改的保护。为此，第一通信区(K1)和第二通信区(K2)通过监控设备(16)相耦合，监控设备设计用于，在应用程序尝试将新数据从第一通信区(K1)传输至第二通信区(K2)的情况下，只有当监控设备(16)识别到新数据所引起的机动车(10)行驶行为在预定的安全标准的规定下是安全的时，才将新数据转发到第二通信区(K2)。

【技术实现步骤摘要】
【国外来华专利技术】具有能够后续通过应用程序改变的行驶行为的机动车
本专利技术涉及一种机动车。该机动车具有用于在机动车与车外设备——例如工厂的编程设备或者互联网的服务器——之间进行无线数据传输和/或在该机动车与另外的机动车之间进行无线数据传输的通信设备。该通信设备例如可以是移动通信模块或者Car-2-X或者Car-2-Car通信模块。此外，在按照本专利技术的机动车中提供如下的处理器设备，该处理器设备设计用于执行应用程序。在此，应用程序可以与车外设备通过通信设备交换数据。
技术介绍
这样的车辆易受计算机病毒和另外的所谓的恶意软件影响，计算机病毒和另外的所谓的恶意软件可以从外部潜入到机动车中并且由处理器设备执行为应用程序的组成部分或者独立的恶意程序。特别关键的是，机动车能够自主地或者至少部分自主地(驾驶)完成行驶任务。在此，行驶任务是机动车的纵向导向和/或横向导向。行驶任务例如可以包括自动的加油、停车。另外一方面，任务自动化的完成例如涉及在加油过程后通过网上支付进行支付。在未来几年中可以期待由机动车这样自动化完成任务的增长。也将有越来越多的线控驱动系统可供使用，亦即，与机械装置无关地通过电子控制设备操纵刹车和转向。控制设备的控制信号受驱动装置(原动机)综合特性曲线、传感器和软件影响。所述类型的机动车特别易受恶意的应用程序的篡改的影响。驱动部件中和传感装置中的功能可能会由于外部的影响变得有缺陷。于是，与此相联系的是对于其他的交通参与者以及所涉及的机动车的乘客的危险。通过恶意软件可以蓄意地影响车辆行为，乘客的个人数据可以被窃取并且可以从外部访问控制回路或者综合特性曲线并且例如因此也影响线控驱动系统。就这点而言，由文献DE10123475A1已知一种用于机动车的多媒体系统，机动车具有车载计算机，在车载计算机上安装有用于使得车辆部件与外围设备互相作用的软件。与车载计算机在逻辑上相分离地提供有应用计算机，该应用计算机允许用户对外部的多媒体服务进行访问，对此应用计算机执行相应的应用、亦即应用程序。对车辆内部网络的控制设备和另外的部件进行访问的车载计算机与和外界存在联系的应用计算机之间的隔离通过防火墙实现。如果由防火墙的相应的过滤规则所允许的话，则车载计算机和应用计算机可以通过该防火墙交换数据。具有与外部的数据服务进行通信的应用程序的应用计算机形成第一通信区，对于第一通信区适用确定的与外部的数据服务进行数据交换用的规则。车载计算机和与其在防火墙的另外一侧上联网的控制设备形成第二通信区，从机动车的外部只有穿过防火墙才能到达该第二通信区。在应用防火墙的情况下不利的是，防火墙不对这样的恶意程序进行保护：该恶意程序能够在第一通信区中对在防火墙中被登记为允许的应用程序的应用程序进行篡改。防火墙也不对操作错误进行保护，也就是例如在机械师在工厂中借助于无恶意的应用程序穿过防火墙对第二通信区中的车载计算机进行访问以便例如重新配置控制设备时。如果在这种情况下导致配置错误，则同样地可以得出机动车的不期望的行驶行为，而这不能通过防火墙进行防止。与Car-2-Car通信、即与另外的机动车的数据交换相关联地，存在如下的危险：该另外的机动车例如由于有故障的发射单元将对安全重要的错误信息——例如在超车行动期间的无意义的命令——传输到自身的机动车上，从而自身的机动车在该情况下停止。
技术实现思路
本专利技术的目的在于，提供一种对机动车中被不期望地篡改的保护，能够后续借助于应用程序或者甚至通过借助于车外设备和/或另外的机动车的数据连接去影响车辆的行驶行为。该目的通过按照专利权利要求1的机动车以及专利权利要求12的方法来实现。本专利技术的有利的改进方案由从属权利要求给出。在按照本专利技术的机动车中同样地构造有两个通信区。应用程序——该应用程序在第一通信区中由处理器设备执行——可以通过通信装置从第一通信区与车外设备和/或另外的机动车交换数据。因此处理器设备例如可以包括信息娱乐系统，该信息娱乐系统例如可以执行用于导航的应用程序并且在此例如从网络中接收当前的交通数据。数据被无线地传输，亦即前述的通信设备例如可以是移动通信模块、蓝牙接口、NFC接口(NFC：nearfieldcommunication近场通信)、WLAN接口(WLAN：WirelessLocalAreaNetwork无线局域网)、WiFi接口或者Car-2-X通信单元。与第一通信区相隔离地，在车辆的第二通信区中提供有用于车辆控制数据的存储设备，即这样的数据：通过该数据确定机动车的行驶行为。这样的车辆控制数据例如可以是用于控制设备、例如驱动装置控制设备或者线控驱动控制设备的综合特性曲线的综合特性曲线数据。并且例如可以包括用于配置传感器的参数值。车辆控制数据也可以理解为其他车辆的命令，该命令在Car-2-Car通信的框架中被接收并且可以被转发到第二通信区中的控制设备的命令存储器上。按照本专利技术，两个通信区在此没有通过防火墙互相进行隔离，该防火墙总是在应用程序被授权时才允许从第一通信区中的应用程序对第二通信区的存储器中的车辆控制数据进行访问。更确切地说，在按照本专利技术的机动车中规定，第一和第二通信区通过监控设备——例如微控制器或者ASIC(ASIC：ApplicationSpecificIntegratedCircuit专用集成电路)——相耦合，该监控设备设计用于对所传输的数据自身进行检查。也就是不会对数据的发送者、亦即应用程序进行检查，而是对数据的内容进行检查。在应用程序正尝试从第一通信区到第二通信区传输新数据时，只有在监控设备识别到新数据导致机动车的安全的行驶行为后才将该新数据转发到第二通信区中。在此，在监控设备中预定有相应的安全标准。换言之，只有符合安全标准的数据才被转发到第二通信区中。按照本专利技术的机动车具有如下优点，根据其一致性或可信度与发送者无关地直接对新数据进行检查。因此机动车自身防止了如下的系统状态：该系统状态可能引起危险的行驶行为。因此，在服务机械师利用允许的应用程序无意地将错误的车辆控制数据写入第二通信区中的存储器中时，机动车自身甚至对操作错误进行保护。相应地，第二通信区优选延伸到这样的机动车部件上：该部件对于机动车的行驶工况是必要的。于是由监控设备对所有如下的车辆控制数据进行保护，虽然一方面对车辆控制数据不期望的改变进行阻止，但是另外一方面在机动车制造后，在机动车由最终用户使用时，还能改变车辆控制数据。换言之，用于车辆通信数据的存储设备涉及所有那些位于不同的部件中的存储区域。因此，部件例如可以是一个或者多个如下的设备：涉及行驶安全性的控制设备、用于行驶动力学控制的控制设备、用于这样的控制设备的综合特性曲线存储器、传感器、用于供电的车载电网、线控驱动控制设备、用于无人驾驶和/或自主行驶的控制设备。安全标准可以以各种方式构成，监控设备根据安全标准检查新数据。以哪种方式构成安全标准则取决于利用安全标准检查哪种数据类型。按照本专利技术的机动车的改进方案在此规定，将新数据与至少一个保存在车辆中的框架式综合特性曲线进行比较。换言之，新数据必须位于预定的取值间隔中。该取值间隔的边缘由一个或者多个综合特性曲线确定。如果用户尝试将新数据存储在第二通信区中的综合特性曲线存储器中，且新数据在作为车辆控制数据应用时导致控制值超出由至少一个综合本文档来自技高网...

【技术保护点】
一种机动车(10)，该机动车具有：‑通信设备(22)，用于在机动车(10)与车外设备(28)之间进行无线数据传输和/或在该机动车与另外的机动车之间进行无线数据传输，‑处理器设备(20)，该处理器设备设计用于在第一通信区(K1)中执行应用程序，第一通信区设计用于通过通信设备(22)在应用程序与车外设备(28)之间和/或在该应用程序与另外的机动车之间进行数据交换，以及‑用于车辆控制数据的存储设备(42)，车辆控制数据决定机动车(10)的行驶行为，其中，存储设备(42)被布置在机动车(10)的第二通信区(K2)中，其特征在于，所述第一通信区(K1)和第二通信区(K2)通过监控设备(16)相耦合，监控设备设计用于，在应用程序尝试将新数据从第一通信区(Kl)传输至第二通信区(K2)的情况下，只有当监控设备(16)识别到新数据所引起的机动车(10)行驶行为在预定的安全标准的规定下是安全的时，才将新数据转发到第二通信区(K2)。

【技术特征摘要】
【国外来华专利技术】2013.02.22 DE 102013003040.41.一种机动车(10)，该机动车具有：-通信设备(22)，用于在机动车(10)与车外设备(28)之间进行无线数据传输和/或在该机动车与另外的机动车之间进行无线数据传输，-处理器设备(20)，该处理器设备设计用于在第一通信区(K1)中执行应用程序，第一通信区设计用于通过通信设备(22)在应用程序与车外设备(28)之间和/或在该应用程序与另外的机动车之间进行数据交换，以及-用于车辆控制数据的存储设备(42)，车辆控制数据决定机动车(10)的行驶行为，其中，存储设备(42)被布置在机动车(10)的第二通信区(K2)中，其中，所述第一通信区(K1)和第二通信区(K2)通过监控设备(16)相耦合，监控设备设计用于，在应用程序尝试将新数据从第一通信区(Kl)传输至第二通信区(K2)的情况下，只有当监控设备(16)识别到新数据所引起的机动车(10)行驶行为在预定的安全标准的规定下是安全的时，才将新数据转发到第二通信区(K2)，其特征在于，a)在机动车(10)中存储有多个预设的、可选择的综合特性曲线，所述监控设备设计用于，基于新数据启用至少一个预设的综合特性曲线并且由此激活该综合特性曲线以用作机动车中的车辆控制数据，和/或b)所述监控设备(16)设计用于，基于新数据来模拟由新数据所得出的行驶行为，只有在按照预定的可信度标准得出允许的行驶行为时才转发新数据，和c)其中，在机动车(10)中，设有通过监控设备(16)与第一通信区(K1)相耦合的第三通信区(K3)，该第三通信区带有用于与车辆和/或个人有关的、用于网上支付和/或网上服务的秘密数据(32)的存储器(30)，其中，所述监控设备(16)设计用于，仅利用有效的验证码(40)才允许从第一通信区(K1)到第三通信区(K3)的数据访问。2.根据权利要求1所述的机动车(10)，其中，所述监控设备(16)设计用于，将新数据与至少一个保存在机动车(10)中的框架式综合特性曲线进行比较，如果新数据在作为车辆控制数据应用时导致控制值超出由至少一个框架式综合特性曲线所规定的允许范围，则阻止新数据的传输。3.根据权利要求1或2所述的机动车(10)，其中，所述第二通信区(K2)包括至少一个对于机动车的行驶工况必要的部件(44、46、48)，该部件通过用于接收新数据的监控设备(16)与第一通信区(K1)相耦合，并且存储设备(42)至少部分地包括所述部件。4.根据权利要求3所述的机动车(10)，其中，所述至少一个部件(44、46、48)包括：涉及行驶安全性的控制...

【专利技术属性】
技术研发人员：W·维尔丁，T·克劳特，W·施密特，J·米夏埃尔，M·舒斯乐，J·兰德格拉夫，R·斯塔尔曼，M·莫勒，
申请(专利权)人：奥迪股份公司，
类型：发明
国别省市：德国;DE