本发明专利技术涉及一种用于运行控制器(A‑G、X)的组合体(11)中的控制器(A‑G、X)的方法(10),其特征在于以下特征:―接收(11)改变所述组合体(11)的模式的请求,―对所述请求进行(12)检查,所述检测提供检查结果,―关于所述检查结果和所述组合体(11)的为所述控制器(A‑G、X)所知的状态将消息传播给其余的控制器(A‑G、X)并且分别接收(13)反馈并且―根据所述反馈来遵循(14)或者拒绝(15)所述请求。
【技术实现步骤摘要】
用于运行控制器的组合体中的控制器的方法和装置
本专利技术涉及一种用于运行控制器的组合体中的控制器的方法。除此以外,本专利技术涉及一种相应的装置、一种相应的计算机程序以及一种相应的机器可读的存储介质。
技术介绍
在IT安全中,每种用于对针对计算机系统或计算器网络的攻击进行识别的系统被称为攻击识别系统(intrusiondetectionsystem,IDS)。尤其知道基于网络的IDS(NIDS),其记录、分析有待监控的网段中的所有包并且根据已知的攻击模式来报告受怀疑的活动。DE102017210647A1公开了一种用于识别针对现场总线的攻击的方法,其特征在于以下特征:通过所述现场总线接收第一消息;对所述第一消息进行完整性检查;如果所述完整性检查失败,则拒绝第一消息并且生成第二消息;并且通过所述现场总线将第二消息发送给攻击识别系统。
技术实现思路
本专利技术提供根据独立权利要求所述的一种用于运行控制器的组合体中的控制器的方法、一种相应的装置、一种相应的计算机程序以及一种相应的存储介质。按本专利技术的方案基于如下认识,即:现代车辆由多个联网的组件所组成,这些组件共同履行不同的车辆功能。这些车辆功能能够单个地或也能够叠加地起作用。为了进行控制,定义了用于对车辆的运行状态进行分类的车辆运行模式,例如驾驶员驾驶、车辆例如用间距调节自动速度仪(adaptivecruisecontrol,ACC)等来自主或半自主地驾驶。所述网络之内的每个对功能来说必要的组件为此都同样必须占据“真正的”(上级的)状态,以用于如所规定的那样来履行车辆功能。此外,所提出的方法考虑到这样的组件状态必须在功能上和安全技术上彼此兼容的情况。在已知的安全计划的范围内,安全机构(limiter)被用在对于运行安全(safety)来说重要的组件(例如致动器)中,这些组件限制有错误的输入量的作用。为了能够在车辆架构之内使用舒适性功能和与安全相关的功能,而使用这样的能缩放的安全机构,其根据功能特点来限制所述作用。为此,与安全相关的组件在其输入信息的基础上被置于相应的必要的运行状态(以下被称为:模式)中。所述组件的用于进行模式改变的能力能够通过单个的被攻击者侵入的组件通过对于网络信号的篡改来进行攻击。在这种情况下,通过网络信号来如此引起各个组件的模式改变,从而将所使用的安全机构去除激活。比如考虑到致动器的能缩放的限制器的启用或停用或者传感器运行状态的切换。此外,多个组件能够被置于运行状态的不兼容的组合中。在考虑到这种威胁的情况下,按本专利技术的解决方案的优点在于,组合体中的所提出的类型的单个控制器在所述组合体的其他控制器不同意所请求的模式转变的情况下不能改变其配置。通过在从属权利要求中所列举的措施,能够实现在独立权利要求中所说明的基本构思的有利的拓展方案和改进方案。因此能够规定,所述组合体通过机动车的包括所述控制器的现场总线来通信并且对改变所述组合体的模式的请求的检查对应该由机动车遵守的运行条件加以考虑。通过这种方式,似乎提供所述车辆的一种对于各个控制器来说上级的模式,该模式不能通过惟一的组件来改变。根据另一个方面能够规定,所述组合体具有与机动车的特定功能相对应的所定义的模式,其中所提到的检查借助于所述模式之间的允许的转变来进行。因此,为所述组合体所包括的控制器仅仅允许朝兼容的系统配置进行的转变。附图说明本专利技术的实施例在附图中示出并且在下面的描述中进行详细解释。其中:图1示出了按照第一种实施方式的方法的流程图。图2示出了控制链的方框图。图3示出了传感器的状态转变图。图4示出了控制机构的状态转变图。图5示出了致动器的状态转变图。图6示出了包括所述控制链的总线部分的、在模式“驾驶员信息系统”中的方框图。图7示出了在可靠地转变为模式“拥堵辅助装置”时的特性。图8示出了由于通过网关或系统接口进行的攻击而产生的潜在的危险的特性。图9示出了在识别出通过网关或系统接口对元件进行的攻击并且相应地拒绝状态转变时的特性。图10示出了在根据缺失的或无效的状态向量识别出被侵入的组件并且相应地拒绝状态转变时的特征。图11示出了包括三个或更多个传感器的系统的、在模式“驾驶员信息系统”中的方框图。图12示出了基于分布的状态向量的、具有多数决定器的拜占庭故障模型的应用。具体实施方式根据本专利技术,可能采用独立的硬件产品或软件过程的形式的控制单元不仅在来自车辆网络的到达的消息的基础上转变其模式,而且事先根据功能组合体中的其它控制器的状态向量对所述消息进行核实。然后,所述控制单元仅仅以有效的功能配置来改变其模式。作为对此的前提,在每次模式转变时将相应的状态信息分配到车辆网络中并且在那里同步。因此,驾驶模式的状态信息被分配并且不再由车辆网络中的唯一的来源来获取。如图1所示,根据以下流程进行模式转变:控制器向根据功能配置明确定义的控制器组合体通报进行模式改变的请求(过程11)。重要的控制器组合体中的每个控制器检查所请求的完善度。此外,重要的控制器组合体中的每个控制器就完整性检查所请求的模式改变(在下面的表格中所示出的配置和在图3、4、5中所示出的转变)以及关于与功能的相容性的边界条件,也就是随后车辆状况是否允许安全地转变为所请求的模式(过程12)。也能够先后地或分几部分地进行检查(过程12),以便由此实现特定的故障响应。重要的控制器组合体的每个控制器将这种检查的结果及其在状态向量中的状态通知给其它控制器并且接收相应的反馈(过程13)。只有当所有控制器都同意并且存在有效的系统配置时或者当――根据拜占庭式的故障模型――预先给定的最小数量的反馈是肯定的并且所请求的模式用参与所述组合体的控制器的子集允许受限制的功能时,每个控制器才最后实施模式改变(过程14)。例如在存在多个冗余的传感器时才可能出现最后一种情况。对于不是所述组合体中的所有控制器都能够检查模式改变的请求的完善度、完整性和真实性这种情况来说,只要至少一个控制器能够进行这种检查,则仍然能够应用本专利技术的一种变型方案。在这种情形中,仅仅有此能力的控制器进行相应的检查并且将其结果通知给其余的控制器。图2示范性地示出了由三个组件(C、D、E)构成的具有潜在危险的环境相互影响的组合体(11)。在图2中所示出的系统描述被用在下面的实施例中。在此,潜在危险性直接源自致动器(E)并且间接地源自传感器(C)和控制器(B)。在此假设,所述致动器(E)根据状态将对环境的影响限制到一般安全的极限值,并且所述系统能够将必要的边界条件、比如速度、可能的防抱死系统(ABS)的状态、系统故障和用于配置转换的环境影响包含到决定之中。所述控制器(C、D、E)在此可被视为有限的状态机,其状态(C0-C3、D0-D3、E0-E2)和允许的状态转变在图3、4或5中得到阐明。所述组合体(11)的、由这些状态的组合产生的模式的意义可以在以下表格中得知。传感器的状态<本文档来自技高网...
【技术保护点】
1.用于运行控制器(A-G、X)的组合体(11)中的控制器(A-G、X)的方法(10),/n其特征在于以下特征:/n―接收(11)改变所述组合体(11)的模式的请求,/n―对所述请求进行(12)检查,所述检查提供检查结果,/n―关于所述检查结果和所述组合体(11)的为所述控制器(A-G、X)所知的状态将消息传播给其余的控制器(A-G、X)并且分别接收(13)反馈并且/n―根据所述反馈来遵循(14)或者拒绝(15)所述请求。/n
【技术特征摘要】
20190329 DE 102019204452.21.用于运行控制器(A-G、X)的组合体(11)中的控制器(A-G、X)的方法(10),
其特征在于以下特征:
―接收(11)改变所述组合体(11)的模式的请求,
―对所述请求进行(12)检查,所述检查提供检查结果,
―关于所述检查结果和所述组合体(11)的为所述控制器(A-G、X)所知的状态将消息传播给其余的控制器(A-G、X)并且分别接收(13)反馈并且
―根据所述反馈来遵循(14)或者拒绝(15)所述请求。
2.根据权利要求1所述的方法(10),
其特征在于以下特征中的至少一个特征:
―如果所述反馈全部是肯定的并且所述控制器(A-G、X)将所请求的模式视为有效,则遵循(14)所述请求,或者
―如果预先给定的最小数量的反馈是肯定的并且所请求的模式允许受限制的功能性,则遵循所述请求。
3.根据权利要求1或2所述的方法(10),
其特征在于以下特征中的至少一个特征:
―所述检查涉及所述请求的完善度,
―所述检查涉及所述请求的完整性,或者
―所述检查涉及所述请求的真实性。
4.根据权利要求1至3中任一项所述的方法(10),
其特征在于以下特征:
―所述组合体(11)通过机动车的包括所述控制器(A-G、X)的现场总线(12)来通信,并且
―所述检查对应该由所述机动车遵守的运行条件加以考虑。
5.根据权利要求4所述的方法(10),
其特征在于以下特征中的至少一个特征:
―所述控制器(A...
【专利技术属性】
技术研发人员:J克拉尔曼,C洛德霍泽,F维默,J格拉夫,J科贝尔斯基,S格赖纳,
申请(专利权)人:罗伯特·博世有限公司,
类型:发明
国别省市:德国;DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。