▶ ローベルト ボツシユ ゲゼルシヤフト ミツト ベシユレンクテル ハフツングの特許一覧
特開2024-7523メッセージの安全な高可用性伝送のための装置、方法、コンピュータプログラム、この装置を含んでいる車両
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024007523
(43)【公開日】2024-01-18
(54)【発明の名称】メッセージの安全な高可用性伝送のための装置、方法、コンピュータプログラム、この装置を含んでいる車両
(51)【国際特許分類】
H04L 12/22 20060101AFI20240110BHJP
B62D 6/00 20060101ALI20240110BHJP
H04L 12/66 20060101ALI20240110BHJP
G06F 13/36 20060101ALI20240110BHJP
G06F 13/10 20060101ALI20240110BHJP
G06F 21/64 20130101ALN20240110BHJP
G06F 21/85 20130101ALN20240110BHJP
【FI】
H04L12/22
B62D6/00
H04L12/66
G06F13/36 530B
G06F13/10 310E
G06F21/64
G06F21/85
【審査請求】未請求
【請求項の数】10
【出願形態】OL
【外国語出願】
(21)【出願番号】P 2023109089
(22)【出願日】2023-07-03
(31)【優先権主張番号】10 2022 206 796.7
(32)【優先日】2022-07-04
(33)【優先権主張国・地域又は機関】DE
(71)【出願人】
【識別番号】390023711
【氏名又は名称】ローベルト ボツシユ ゲゼルシヤフト ミツト ベシユレンクテル ハフツング
【氏名又は名称原語表記】ROBERT BOSCH GMBH
【住所又は居所原語表記】Stuttgart, Germany
(74)【代理人】
【識別番号】100114890
【弁理士】
【氏名又は名称】アインゼル・フェリックス=ラインハルト
(74)【代理人】
【識別番号】100098501
【弁理士】
【氏名又は名称】森田 拓
(74)【代理人】
【識別番号】100116403
【弁理士】
【氏名又は名称】前川 純一
(74)【代理人】
【識別番号】100134315
【弁理士】
【氏名又は名称】永島 秀郎
(74)【代理人】
【識別番号】100162880
【弁理士】
【氏名又は名称】上島 類
(72)【発明者】
【氏名】アンドレアス リーディンガー
(72)【発明者】
【氏名】ラインハルト グロスハイム
(72)【発明者】
【氏名】ニコラス ヒュープナー
【テーマコード(参考)】
3D232
5K030
【Fターム(参考)】
3D232CC26
3D232CC37
3D232DE09
3D232EC37
3D232GG01
5K030GA15
5K030HA05
5K030HC14
5K030HD03
5K030LC13
(57)【要約】 (修正有)
【課題】システムにおけるメッセージの安全な高可用性伝送のための装置、方法及びプログラムを提供する。
【解決手段】車両のステア・バイ・ワイヤステアリングシステムにおいて、ステアリングホイールアクチュエータの操作要素である第1の制御機器である制御機器102と、、ラック・アンド・ピニオン式駆動装置の駆動部の制御機器である第2の制御機器104と、を通信のために接続する冗長的なプライベートデータバス110は、第1のチャネル112でのメッセージの伝送のための通信を、メッセージ認証コードによって保護し、第2のチャネル114でのメッセージの伝送のための通信を、メッセージ認証コードによる保護を伴わずに実行する。メッセージは、車両のセンサ106又はアクチュエータ108から信号を伝送し、第1の動作状態において第1のチャネルからの信号を使用し、第2の動作状態において第2のチャネルからの信号を使用する。
【選択図】図1
【解決手段】車両のステア・バイ・ワイヤステアリングシステムにおいて、ステアリングホイールアクチュエータの操作要素である第1の制御機器である制御機器102と、、ラック・アンド・ピニオン式駆動装置の駆動部の制御機器である第2の制御機器104と、を通信のために接続する冗長的なプライベートデータバス110は、第1のチャネル112でのメッセージの伝送のための通信を、メッセージ認証コードによって保護し、第2のチャネル114でのメッセージの伝送のための通信を、メッセージ認証コードによる保護を伴わずに実行する。メッセージは、車両のセンサ106又はアクチュエータ108から信号を伝送し、第1の動作状態において第1のチャネルからの信号を使用し、第2の動作状態において第2のチャネルからの信号を使用する。
【選択図】図1
【特許請求の範囲】
【請求項1】
特に、車両(100)のステア・バイ・ワイヤステアリングシステムにおける、メッセージの安全な高可用性伝送のための方法であって、
第1の制御機器(102)、特に、好ましくはステアリングホイールアクチュエータの操作要素の制御機器と、第2の制御機器(104)、特に、好ましくはラック・アンド・ピニオン式駆動装置の駆動部の制御機器とを通信のために接続する、好ましくは冗長的なプライベートデータバス(110)において、第1のチャネル(112)でのメッセージの伝送のための通信を、メッセージ認証コード、特にMessage Authentication Codeによって保護し、
第2のチャネル(114)でのメッセージの伝送のための通信を、前記メッセージ認証コードによる保護を伴わずに実行し、
前記メッセージは、特に、前記車両(100)のセンサ(106)またはアクチュエータ(108)から信号を伝送し(202)、
第1の動作状態において前記第1のチャネル(112)からの信号を使用し(206)、
第2の動作状態において前記第2のチャネル(114)からの信号を使用する(208)、
ことを特徴とする方法。
第1の制御機器(102)、特に、好ましくはステアリングホイールアクチュエータの操作要素の制御機器と、第2の制御機器(104)、特に、好ましくはラック・アンド・ピニオン式駆動装置の駆動部の制御機器とを通信のために接続する、好ましくは冗長的なプライベートデータバス(110)において、第1のチャネル(112)でのメッセージの伝送のための通信を、メッセージ認証コード、特にMessage Authentication Codeによって保護し、
第2のチャネル(114)でのメッセージの伝送のための通信を、前記メッセージ認証コードによる保護を伴わずに実行し、
前記メッセージは、特に、前記車両(100)のセンサ(106)またはアクチュエータ(108)から信号を伝送し(202)、
第1の動作状態において前記第1のチャネル(112)からの信号を使用し(206)、
第2の動作状態において前記第2のチャネル(114)からの信号を使用する(208)、
ことを特徴とする方法。
【請求項2】
前記第2の動作状態における動作のための期間が制限されるか、または制限されている(208)、請求項1記載の方法。
【請求項3】
エラー、特に意図的に生じたエラーまたは偶発的に生じたエラーを識別し(204)、前記エラーが原因で前記第1のチャネル(112)からの信号が利用できない場合に、前記第2のチャネル(114)からの前記信号を使用する、請求項1または2記載の方法。
【請求項4】
前記エラーを、特に、前記車両(100)の中央制御機器に報告し(208)、
前記中央制御機器によって調整された、前記エラーに対する応答を実行する、請求項3記載の方法。
前記中央制御機器によって調整された、前記エラーに対する応答を実行する、請求項3記載の方法。
【請求項5】
送信されるべきメッセージのデータパケットを、前記メッセージ認証コードによる保護のための鍵によって保護し(202)、
前記データパケットを送信し、
前記データパケットを前記鍵によって検証する、請求項1から4までのいずれか1項記載の方法。
前記データパケットを送信し、
前記データパケットを前記鍵によって検証する、請求項1から4までのいずれか1項記載の方法。
【請求項6】
前記メッセージを伝送するために、複数のデータパケットを一緒に、前記鍵によって保護する(202)、請求項5記載の方法。
【請求項7】
前記プライベートデータバス(110)上で、メッセージの伝送のための少なくとも1つの別のチャネルでの通信を前記メッセージ認証コードによって保護する(202)、請求項1から6までのいずれか1項記載の方法。
【請求項8】
特に、車両(100)のステア・バイ・ワイヤステアリングシステムにおける、メッセージの安全な高可用性伝送のための装置であって、
前記装置は、好ましくは冗長的なプライベートデータバス(110)と、第1の制御機器(102)、特に、好ましくはステアリングホイールアクチュエータの操作要素の制御機器と、第2の制御機器(104)、特に、好ましくはラック・アンド・ピニオン式駆動装置の駆動部の制御機器とを含んでおり、
前記データバス(110)は、前記第1の制御機器(102)と前記第2の制御機器(104)とを通信のために接続し、
前記装置は、請求項1から7までのいずれか1項記載の方法を実施するように構成されている、
ことを特徴とする装置。
前記装置は、好ましくは冗長的なプライベートデータバス(110)と、第1の制御機器(102)、特に、好ましくはステアリングホイールアクチュエータの操作要素の制御機器と、第2の制御機器(104)、特に、好ましくはラック・アンド・ピニオン式駆動装置の駆動部の制御機器とを含んでおり、
前記データバス(110)は、前記第1の制御機器(102)と前記第2の制御機器(104)とを通信のために接続し、
前記装置は、請求項1から7までのいずれか1項記載の方法を実施するように構成されている、
ことを特徴とする装置。
【請求項9】
車両(100)であって、
前記車両(100)は請求項8記載の装置を含んでいる、
ことを特徴とする車両(100)。
前記車両(100)は請求項8記載の装置を含んでいる、
ことを特徴とする車両(100)。
【請求項10】
コンピュータプログラムであって、
前記コンピュータプログラムはコンピュータ可読命令を含んでおり、前記コンピュータ可読命令がコンピュータによって実行された場合に、請求項1から7までのいずれか1項記載の方法が実施される、
ことを特徴とするコンピュータプログラム。
前記コンピュータプログラムはコンピュータ可読命令を含んでおり、前記コンピュータ可読命令がコンピュータによって実行された場合に、請求項1から7までのいずれか1項記載の方法が実施される、
ことを特徴とするコンピュータプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
背景技術
本発明は、メッセージの安全な高可用性伝送のための装置、方法、コンピュータプログラムおよびこの装置を含んでいる車両を基礎とする。
本発明は、メッセージの安全な高可用性伝送のための装置、方法、コンピュータプログラムおよびこの装置を含んでいる車両を基礎とする。
【0002】
車両は、種々異なるセンサのデータを評価して、種々異なるアクチュエータを駆動制御する制御機器を含んでいる。センサデータは、極めて確実にかつ極めて高い高周波、たとえば1kHzで伝送されなければならない。ミリ秒の領域のレイテンシは、機能、たとえば操舵感の悪化につながり、たとえば車両の操舵に関する制御不能を生じさせることがある。
【0003】
このような要求を伴う制御機器に対する通信のために、プライベートデータバスが知られている。これらは、同じ信号を伝送するための複数の冗長的なチャネルを有することができる。これらのチャネルは、メッセージ認証コードによって攻撃から保護されている。たとえば、Message Authentication Code、すなわちMAC、たとえばNIST Special Publication 800-38Bに準拠するAES CMACが使用される。
【0004】
メッセージ認証コードによって保護されているデータにおいて、データ完全性またはデータ真正性が損なわれていることが確認された場合、たとえば、このデータは使用されない。これによって、一方では安全性が高くなり、またデータバス上の帯域幅も高くなる。なぜなら、データの冗長的に伝送されるすべてのインスタンスがメッセージ認証コードによって保護されているからである。
【0005】
発明の開示
操作変数およびセンサデータの高い可用性という目標と、操作変数およびセンサデータの完全性および真正性という目標との間の目標間対立に対する解決手段を得ることが望まれている。
操作変数およびセンサデータの高い可用性という目標と、操作変数およびセンサデータの完全性および真正性という目標との間の目標間対立に対する解決手段を得ることが望まれている。
【0006】
これは、独立請求項に記載されている方法、装置、車両およびコンピュータプログラムによって得られる。
【0007】
特に、車両のステア・バイ・ワイヤステアリングシステムにおける、メッセージの安全な高可用性伝送のための方法は、第1の制御機器、特に、好ましくはステアリングホイールアクチュエータの操作要素の制御機器と、第2の制御機器、特に、好ましくはラック・アンド・ピニオン式駆動装置の駆動部の制御機器とを通信のために接続する、好ましくは冗長的なプライベートデータバスにおいて、第1のチャネルでのメッセージの伝送のための通信を、メッセージ認証コード、特にMessage Authentication Codeによって保護し、第2のチャネルでのメッセージの伝送のための通信を、メッセージ認証コードによる保護を伴わずに実行し、これらのメッセージは信号を伝送し、第1の動作状態において第1のチャネルからの信号を使用し、第2の動作状態において第2のチャネルからの信号を使用すること、を予定している。
【0008】
たとえば、車両の横方向のガイドに関与する制御機器の接続は、プライベートデータバスによって実現され、ここではバス加入者のいずれも、公共ネットワークへの直接的な接続性を有していない。このプライベートバスは、安全なゾーンとみなされる。第1のチャネルでの通信は、MACを使用して、完全性/真正性に関して保護される。第2のチャネルでの通信は、MACによって付加的に保護されない。この2チャネルデータ伝送は、第1のチャネルだけが完全性/真正性に関して保護されるように利用される。これによって、第1の動作状態、すなわち通常動作においては、第1のチャネルのデータだけが使用できるという状況が生じる。第1のチャネルの可用性が制限されるべき場合にだけ、第2のチャネルが、特に制限された期間にわたって、フォールバックレベルとなる。これによって、次の利点が得られる:
【0009】
第2のチャネルのバス負荷が低くなる。
【0010】
完全性検査/真正性検査に使用されるソフトウェアコンポーネント/ハードウェアコンポーネントは、Automotive Safety Integrity Levelの分類段階ASIL Dの要件に従って評価される必要はない。
【0011】
第2の動作状態に対しては、物理的な攻撃を排除することはできない。しかし、この被害シナリオは非常に監視しやすい。なぜなら、このような攻撃は悪用とみなされるべきであり、期間が制限されているので利益が少ないように思われるからである。しかし、発生している残留リスクは、認識され、受け入れられなければならない。
【0012】
第2の動作状態における動作のための期間は、好ましくは制限されるか、または制限されている。このような動作状態は、時間的に制限される。これによって、攻撃が成功するリスクが減る。
【0013】
好ましくは、エラー、特に意図的に生じたエラーまたは偶発的に生じたエラーを識別し、このエラーが原因で第1のチャネルからの信号が利用できない場合に、第2のチャネルからの信号を使用することが予定されている。第1の動作状態、すなわち通常動作においては、有効なMACを介して、自身の完全性/真正性が検証可能な信号だけが使用される。意図的に生じたエラーまたは偶発的なエラーが原因で、有効なMACを介して、自身の完全性/真正性を検証可能な信号が利用可能でない場合には、可用性要求を満たすために、第2のチャネルの保護されていない信号が使用される。
【0014】
好ましくは、エラーを、特に、車両の中央制御機器に報告し、中央制御機器によって調整された、このエラーに対する応答を実行する。
【0015】
送信されるべきメッセージのデータパケットを、メッセージ認証コードによる保護のための鍵によって保護し、このデータパケットを送信し、このデータパケットをこの鍵によって検証することが予定されていてよい。これらの鍵は、製造中に第1の制御機器および/または第2の制御機器に入れられてよい、またはランタイムに、分割されたマスタシークレットに基づいて生成されてよい。
【0016】
メッセージを伝送するために、複数のデータパケットを一緒に、この鍵によって保護することが予定されていてよい。このことは、関与する制御機器における計算容量の節約と共にバス負荷の低減のためにも特に有利である。
【0017】
プライベートデータバス上で、メッセージの伝送のための少なくとも1つの別のチャネルでの通信をメッセージ認証コードによって保護することが予定されていてよい。
【0018】
特に、車両のステア・バイ・ワイヤステアリングシステムにおける、メッセージの安全な高可用性伝送のための装置は、この装置が、好ましくは冗長的なプライベートデータバスと、第1の制御機器、特に、好ましくはステアリングホイールアクチュエータの操作要素の制御機器と、第2の制御機器、特に、好ましくはラック・アンド・ピニオン式駆動装置の駆動部の制御機器とを含んでおり、データバスは、第1の制御機器と第2の制御機器とを通信のために接続し、この装置が、上述の方法を実施するように構成されていることを予定している。この装置は、上述の方法の利点に相当する利点を有している。
【0019】
車両は装置を含んでおり、この装置の利点に相当する利点を有している。
【0020】
コンピュータ可読命令を含んでいるコンピュータプログラムであって、このコンピュータ可読命令がコンピュータによって実行された場合に、上述の方法が実施される。このコンピュータプログラムは、上述の方法の利点に相当する利点を有している。
【0021】
さらなる有利な実施形態は、以降の説明および図面から明らかになる。
【図面の簡単な説明】
【0022】
【0023】
図1には、メッセージの安全な高可用性伝送のための装置を備えた車両100が概略的に示されている。
【0024】
この装置は、この例では、車両100のステア・バイ・ワイヤステアリングシステムにおける、メッセージの安全な高可用性伝送について記載されている。
【0025】
この装置は、第1の制御機器102および第2の制御機器104を含んでいる。
【0026】
第1の制御機器102は、この例では、操作要素、好ましくはステアリングホイールアクチュエータの制御機器である。第2の制御機器104は、この例では、好ましくはラック・アンド・ピニオン式駆動装置の駆動部の制御機器である。
【0027】
車両100は、少なくとも1つのセンサ106と、少なくとも1つのアクチュエータ108とを含んでいる。
【0028】
それぞれ1つのセンサ106およびそれぞれ1つのアクチュエータ108は複数の制御機器のうちのそれぞれ1つと、通信のために、特に各データ接続109を介して接続されている。
【0029】
この例では、操作要素は、複数のセンサ106のうちの1つと、この例では第1の制御機器102と接続されている複数のアクチュエータ108のうちの1つとを含んでいる。
【0030】
この例では、駆動部は、複数のセンサ106のうちの1つと、この例では第2の制御機器104と接続されている複数のアクチュエータ108のうちの1つとを含んでいる。
【0031】
装置は、好ましくは冗長的なプライベートデータバス110を含んでいる。データバス110は、第1の制御機器102と第2の制御機器104とを、通信のために接続する。
【0032】
データバス110は、第1のチャネル112を含んでいる。この例では、第1のチャネル112は双方向チャネルである。第1のチャネル112を一方向とすることもできる。
【0033】
データバス110は、第2のチャネル114を含んでいる。この例では、第2のチャネル114は双方向チャネルである。第2のチャネル114を一方向とすることもできる。
【0034】
第1の制御機器102は、第1の1次計算設備115および第1の2次計算設備116を含んでいる。
【0035】
第2の制御機器104は、第2の1次計算設備117および第2の2次計算設備118を含んでいる。
【0036】
第1の1次計算設備115は、メッセージ認証コードによって保護された、信号を伝送するメッセージを決定するための第1の設備119を含んでいる。
【0037】
第2の1次計算設備117は、メッセージ認証コードによって保護された、信号を伝送するメッセージを決定するための第2の設備120を含んでいる。
【0038】
第1の1次計算設備115は、メッセージ認証コードによって保護された、信号を伝送するメッセージを検証するための第1の設備121を含んでいる。
【0039】
第2の1次計算設備117は、メッセージ認証コードによって保護された、信号を伝送するメッセージを検証するための第2の設備122を含んでいる。
【0040】
1次計算設備は、この例では、第1のチャネル112を介した通信を行うように構成されており、ここではメッセージは、メッセージ認証コードによって保護されて伝送される。2次計算設備は、この例では、第2のチャネル114を介した通信を行うように構成されており、ここではメッセージは、メッセージ認証コードによる保護を伴わずに伝送される。
【0041】
制御機器は、この例ではさらに、公共データバス124を介して通信するように構成されている。
【0042】
この装置は、以降で説明する方法を実施するように構成されている。
【0043】
コンピュータプログラムはコンピュータ可読命令を含んでおり、このコンピュータ可読命令がコンピュータ、たとえば計算設備によって実行された場合に、上述の方法が実施される。
【0044】
この方法は、特に車両100のステア・バイ・ワイヤステアリングシステムにおける、メッセージの安全な高可用性伝送のために用いられる。
【0045】
この方法は、ステップ202を含んでいる。
【0046】
ステップ202では、信号を伴うメッセージが、特に、複数のセンサ106のうちの少なくとも1つから、または車両100の複数のアクチュエータ108のうちの少なくとも1つから伝送される。
【0047】
第1のチャネル112でのメッセージの伝送のための通信は、メッセージ認証コード、特にMessage Authentication Codeによって保護される。
【0048】
第2のチャネル114でのメッセージの伝送のための通信は、メッセージ認証コードによる保護を伴わずに実行される。
【0049】
送信されるべきメッセージのデータパケットは、たとえばメッセージ認証コードによる保護のための鍵によって保護され、このデータパケットが送信され、このデータパケットがこの鍵によって検証される。
【0050】
メッセージを伝送するために、複数のデータパケットを一緒に、この鍵によって保護することが予定されていてよい。
【0051】
プライベートデータバス110上で、メッセージ認証コードによって保護される、メッセージの伝送のための少なくとも1つの別のチャネルでの通信が予定されていてよい。
【0052】
この方法は、ステップ204を含んでいる。
【0053】
ステップ204では、エラー、特に意図的に生じたエラーまたは偶発的に生じたエラーが識別され、このエラーが原因で、第1のチャネル112からの信号が利用できないか否かが検査される。
【0054】
エラーが存在しない場合には、ステップ206が実行される。そうでない場合には、ステップ208が実行される。
【0055】
ステップ206では、第1の動作状態において、第1のチャネル112からの信号が使用される。これらの信号は、MACを使用して、完全性/真正性に関して保護されている。
【0056】
ステップ208では、第2の動作状態において、第2のチャネル114からの信号が使用される。これらの信号は、MACによって付加的に保護されない。
【0057】
プライベートデータバス110上で、メッセージの伝送のための少なくとも1つの別のチャネルでの通信がメッセージ認証コードによって保護される場合には、まずは第2のチャネル114からの信号の代わりに、これを使用することが予定されていてよい。
【0058】
一実施形態では、第2の動作状態における動作のための期間が制限されているか、または制限される。
【0059】
一実施形態では、エラーが、特に、車両100の中央制御機器に報告される。
【0060】
中央制御機器によって調整された、このエラーに対する応答が実行されることが予定されていてよい。
【図1】
【図2】
【外国語明細書】