-
TECHNISCHER GEGENSTAND
-
Die
vorliegende Erfindung betrifft ein Antidiebstahlsystem, welches
verhindert, dass ein Objekt mit miteinander verbundenen bordseitigen
Vorrichtungen, beispielsweise ein Fahrzeug oder dergleichen, gestohlen
wird.
-
STAND DER TECHNIK
-
Es
ist allgemein bekannt, dass es eine Vorrichtung gibt, welche den
Diebstahl eines Fahrzeugs verhindert, indem der Betrieb eines Motors
nicht gestattet wird, wenn ein Diebstahlsignal von einem Antidiebstahl-Servicecenter
empfangen wird (beispielsweise JP-A-
2002-59812 ).
-
Es
kann jedoch vorhergesehen werden, dass die Vorrichtung nach dem
Stand der Technik die erwartete Funktionalität beim Verhindern eines Fahrzeugdiebstahls
nicht geeignet erhöhen
kann, wenn die Vorrichtung selbst aus dem Fahrzeug entfernt wird,
d.h. sie kann das Diebstahlsignal von dem Antidiebstahl-Servicecenter
nicht empfangen, um das Anlassen des Motors zu unterbinden.
-
Angesichts
des voranstehenden Problems ist das Antidiebstahlsystem der vorliegenden
Erfindung auf die Bereitstellung eines Systems gerichtet, welches
auf geeignete Weise verhindert, dass das Objekt mit bordseitigen
Vorrichtungen, beispielsweise das Fahrzeug gestohlen wird, indem
die Diebstahlsmotivation wesentlich verringert/verschlechtert wird.
-
BESCHREIBUNG DER ERFINDUNG
-
Bei
dem Antidiebstahlsystem der vorliegenden Erfindung kommuniziert
eine der Vorrichtungen eines Objekts mit bordseitigen Vorrichtungen,
beispielsweise eines Fahrzeugs, mit dem Rest der bordseitigen Vorrichtungen,
um die elektrische Verbindung zu überprüfen, bevor ihr eigener Betrieb
und derjenige der restlichen bordseitigen Vorrichtungen begonnen
wird. Wenn die elektrische Verbindung oder "Kommunikation" nicht festgestellt wird, unterbricht
das Antidiebstahlsystem entweder den Betrieb sowohl von sich selbst
als auch anderen Vorrichtungen oder schränkt die jeweiligen Betriebe
hiervon ein.
-
Daher
wird eine Verbindunganormalität
zwischen einer der bordseitigen Vorrichtungen und den anderen Vorrichtungen
erkannt, wenn das Objekt mit den bordseitigen Vorrichtungen gestohlen
wird und irgendeine der bordseitigen Vorrichtungen, welche mit den
anderen verbunden ist, von dem Objekt entfernt wird. Dies löst entweder
das Unterbrechen des Betriebs der Vorrichtung und der anderen bordseitigen
Vorrichtungen aus oder ermöglicht
alternativ einen eingeschränkten
Betrieb der Vorrichtung und der anderen bordseitigen Vorrichtungen
und bewirkt, dass das gesamte System als eine Vorrichtungsgruppe
nicht richtig arbeitet. Somit entmutigt ein Objekt mit bordseitigen
Vorrichtungen mit diesem eingebauten Antidiebstahlsystem einen Dieb
auf geeignete Weise, das Fahrzeug zu stehlen, indem er/sie veranlasst
wird, einen Diebstahl als nicht lohnenswert zu betrachten und seine/ihre
Motivation für
den Diebstahl herabgesetzt wird.
-
In
diesem Fall kann eine Gruppe der bordseitigen Vorrichtungen an dem
Objekt mit den bordseitigen Vorrichtungen mit der anderen Gruppe
von bordseitigen Vorrichtungen kommunizieren oder jede Vorrichtung
des Objekts mit den bordseitigen Vorrichtungen kann mit anderen
bordseitigen Vorrichtungen für einen
Kommunikationsprüfvorgang
kommunizieren. Weiterhin kann Gegenstand des Kommunikationsprüfvorgangs
ein Teil aller bordseitigen Vorrichtungen sein oder er kann alle
bordseitigen Vorrichtungen betreffen. Weiterhin kann ein eingeschränkter Betrieb nur
der Vorrichtung selbst auferlegt werden, bei der eine Anormalität während des
Kommunikationsprüfvorgangs
mit anderen Vorrichtungen erkannt wurde oder er kann nur den anderen
Vorrichtungen auferlegt werden.
-
Wenn
die Kommunikation jeweils zwischen allen bordseitigen Vorrichtungen überprüft wird,
kann jegliche Kommunikationsanormalität erkannt werden, d. h. jede
entfernte Vorrichtung kann erkannt werden, da ein Kommunikationsverlust
zwischen der entfernten Vorrichtung und den nicht entfernten Vorrichtungen
auftritt. Im Ergebnis beenden entweder die nichtentfernten Vorrichtungen
ihren Betrieb oder die nichtentfernten Vorrichtungen schränken ihren
eigenen Betrieb ein und die Gruppe von Vorrichtungen als ein System
wird daran gehindert, richtig zu arbeiten. In diesem Fall kann der
Gegenstand des Kommunikationsprüfvorgangs
auch ein Teil aller bordseitigen Vorrichtungen sein oder er kann
alle bordseitigen Vorrichtungen umfassen.
-
Eine
Kommunikation zwischen einer Vorrichtung und der anderen Vorrichtung
wird bevorzugt mittels einer verschlüsselten Kommunikation überprüft. Auf
diese Weise kann ein Herausfinden der Schritte des Kommunikationsüberprüfungsvorgangs
verhindert werden und damit kann die Sicherheit des Systems erhöht werden.
Für diesen
Zweck kann eine "symmetric-key
cryptography" oder "public key cryptography" verwendet werden.
-
Eine
der bordseitigen Vorrichtungen kann als die Steuerung zum Überprüfen der
Kommunikation mit den anderen bordseitigen Vorrichtungen festgelegt
werden. Auf diese Weise kann eine Steuerung des Kommunikationsüberprüfungsvorgangs
im Vergleich zu einem Kommunikationsüberprüfungsvorgang vereinfacht werden,
bei dem jede bordseitige Vorrichtung mit einer anderen kommuniziert,
so dass das System einfach aufgebaut werden kann.
-
Eine
der bordseitigen Vorrichtungen, welche als Steuerung festgelegt
ist, besitzt einen öffentlichen Schlüssel ("public key") für eine entsprechende
Vorrichtung und die entsprechende Vorrichtung besitzt einen privaten
Schlüssel
("private key"), der mit dem öffentlichen
Schlüssel
gekoppelt ist, welcher in der Vorrichtung festgelegt ist, die als
Steuerung dient. Unter Verwendung dieser Schlüssel, d. h. mit einem öffentlichen
Schlüssel
in der Steuerung und einem privaten Schlüssel in der entsprechenden
Vorrichtung kann ein Kommunikationsüberprüfungsvorgang zwischen diesen
beiden Vorrichtungen durch eine verschlüsselte Kommunikation durchgeführt werden.
-
Auf
diese Weise können
die Schritte des Kommunikationsüberprüfungsvorgangs
etc. auf sichere Weise geheimgehalten werden und die Sicherheit
des Systems kann erhöht
werden, selbst wenn die Steuerung entfernt wird und der öffentliche Schlüssel in
der Steuerung decodiert wird, da die entsprechende Vorrichtung ihren
eigenen privaten Schlüssel
beibehält.
-
Eine
der bordseitigen Vorrichtungen, welche als Steuerung festgelegt
ist, hat bevorzugt eine Kommunikationsfunktion mit einer externen
Einrichtung. Auf diese Weise kann die als Steuerung festgelegte bordseitige
Vor richtung beispielsweise ein Diebstahlsignal empfangen, welches
unter Verwendung eines Telefonnetzwerks von einem Antidiebstahl-Servicecenter
geschickt wird.
-
Eine
der bordseitigen Vorrichtungen, welche als Steuerung festgelegt
ist, überprüft bevorzugt
die Kommunikation mit anderen bordseitigen Vorrichtungen basierend
auf einer Prioritätsreihenfolge
des Rests der bordseitigen Vorrichtungen. Auf diese Weise kann der
Kommunikationsüberprüfungsvorgang mit
gewissen bordseitigen Vorrichtungen vor dem Kommunikationsüberprüfungsvorgang
mit dem Rest der bordseitigen Vorrichtungen durchgeführt werden.
-
Eine
der bordseitigen Vorrichtungen, welche als Steuerung festgelegt
ist, überprüft die Kommunikation
mit einem Teil des Rests der bordseitigen Vorrichtungen zuerst und überprüft dann
die Kommunikation mit allen anderen bordseitigen Vorrichtungen, nachdem
ein normaler Kommunikationsüberprüfungsvorgang
mit dem Teil des Rests der bordseitigen Vorrichtungen erkannt wurde
und beginnt den Betrieb des Teils vom Rest der bordseitigen Vorrichtungen.
Auf diese Weise kann eine Kommunikation mit beispielsweise einer
Motor-ECU vor dem Rest der bordseitigen Vorrichtungen überprüft werden
und somit kann die Anwendungsfähigkeit
des Systems verbessert werden, indem die Motor-ECU in vorteilhafter
Weise gestartet wird, bevor die Kommunikation mit den anderen Vorrichtungen überprüft wird.
-
Eine
bordseitige Vorrichtung, welche als Steuerung festgelegt worden
ist, überprüft bevorzugt die
Kommunikation mit den anderen bordseitigen Vorrichtungen zu bestimmten
Intervallen, welche länger
als ein minimaler Schwellenwert und kürzer als ein maximaler Schwellenwert
sind. Wenn ein Kommunikationsüberprüfungsvorgang öfter als
notwendig durchgeführt
wird, kann dies für
einen Dieb bei der Entschlüsselung
des Verschlüsselungscodes
der Schritte, welche für
den Kommunikationsüberprüfungsvorgang
verwendet werden, von Vorteil sein. Was dieses Problem betrifft,
kann eine Überprüfung der
Kommunikation zu bestimmten Intervallen länger als der minimale Schwellenwert
die Chance zum Entschlüsseln
der Schritte des Kommunikationsüberprüfungsvorgangs
durch einen Dieb verringern. Wenn zusätzlich die Kommunikation weniger
häufig
als notwendig überprüft wird,
kann dies einem Dieb eine längere
Zeit zum Missbrauch entfernter Vorrichtungen bieten, wenn bordseitige
Vorrichtungen aus dem Fahrzeug entfernt werden. was dieses Problem
betrifft, kann eine Überprüfung der
Kommunikation in einem bestimmten Intervall kürzer als der maximale Schwellenwert
die entfernte Vorrichtung vor einem Missbrauch über eine längere Zeit durch einen Dieb schützen.
-
Die
anderen bordseitigen Vorrichtungen können ihren eigenen Betrieb
stoppen oder sie können ihren
eigenen Betrieb einschränken,
wenn eine Kommunikation durch die als Steuerung festgesetzte Vorrichtung
in einem Intervall länger
als ein maximaler Schwellenwert oder in einem Intervall kürzer als
ein minimaler Schwellenwert überprüft wird.
Auf diese Weise können
die anderen bordseitigen Vorrichtungen ihren Eigenbetrieb auf geeignete
Weise stoppen oder ihren Eigenbetrieb einschränken, selbst wenn eine Kommunikation
durch die als Steuerung festgesetzte Vorrichtung aufgrund eines
manipulierenden Eingriffs nicht überprüft werden
kann.
-
Die
anderen Vorrichtungen können
bevorzugt programmiert werden, um einen Kommunikationsüberprüfungsvorgang
durch die als Steuerung festgesetzte Vorrichtung anzufordern, wenn
die Kommunikation von der Steuerung nach Ab lauf einer bestimmten
Zeitdauer nicht überprüft worden
ist. Auf diese Weise kann das System den Rest der Vorrichtungen
vor einer Nichtbeachtung schützen,
wenn die Kommunikation von der als Steuerung festgesetzten Vorrichtung
nicht nach Ablauf einer bestimmten Zeitdauer überprüft wird. Das heisst, ein Ausfall
des Kommunikationsüberprüfungsvorgangs
mit den anderen bordseitigen Vorrichtungen beispielsweise aufgrund
eines Spannungsabfalls in dem Gesamtsystem kann verhindert werden,
wenn die Spannung in dem Gesamtsystem abfällt.
-
BEVORZUGTE AUSFÜHRUNGSFORMEN
-
Erste Ausführungsform
-
Die
erste Ausführungsform
der vorliegenden Erfindung, d. h. die Anwendung der vorliegenden
Erfindung bei einem System mit bordseitigen Vorrichtungen wird hier
unter Bezugnahme auf die 1 bis 4 beschrieben.
Die erste Ausführungsform
entspricht den Ansprüchen
1 bis 3.
-
1 zeigt
den strukturellen Aufbau des Gesamtsystems. Das Antidiebstahlsystem 1 weist
eine Kommunikations-ECU 3, eine Motor-ECU 4, ein Fahrzeugnavigationssystem 5 und
eine Klimaanlagen-ECU 6 auf, welche untereinander in einem
Fahrzeug 2 (einem Objekt mit bordseitigen Vorrichtungen im
Sinn der vorliegenden Erfindung) verbunden sind. Eine erste Kommunikationsleitung 7 verbindet
die Kommunikations-ECU 3, die Motor-ECU 4 und
das Fahrzeugnavigationssystem 5 und eine zweite Kommunikationsleitung 8 verbindet
das Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU 6.
-
Jede
dieser Vorrichtungen, d. h. die Kommunikations-ECU 3, die Motor-ECU 4,
das Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU 6 überprüft eine
elektrische Verbindung oder "Kommunikation" mit den anderen
bordseitigen Vorrichtungen. Auf diese Weise überprüft die Kommunikations-ECU 3 die
Kommunikation mit der Motor-ECU 4 über die erste Kommunikationsleitung 7.
Die Kommunikations-ECU 3 überprüft auch die Kommunikation mit
dem Fahrzeugnavigationssystem über
die erste Kommunikationsleitung 7. Weiterhin überprüft die Kommunikations-ECU 3 die
Kommunikation mit der Klimaanlage 6 über die erste Kommunikationsleitung 7,
das Fahrzeugnavigationssystem 5 und die zweite Kommunikationsleitung 8.
-
Auf
gleiche Weise wie oben beschrieben überprüft jede der folgenden Vorrichtungen,
d. h. die Motor-ECU 4, die Fahrzeugnavigations-ECU 5 und die
Klimaanlagen-ECU 6 eine Kommunikation mit den anderen Vorrichtungen. 2 zeigt
eine Liste von Kommunikationsüberprüfungsvorgangsbeziehungen
und von Kommunikationsüberprüfungsvorgangspfaden
einer jeden bordseitigen Vorrichtung mit der Steuerung. Was den
Kommunikationsüberprüfungsvorgang
betrifft, überprüft jede
der folgenden Vorrichtungen, d.h. die Kommunikations-ECU 3, die
Motor-ECU 4, das Fahrzeugnavigationssystem 5 und
die Klimaanlagen-ECU 6 die Kommunikation unter Verwendung
einer Datenkommunikation. Wenn eine Datenkommunikation erfolgreich
abgeschlossen ist, wird dies als normale Kommunikation erkannt und wenn
die Datenkommunikation nicht vollständig ist, wird dies als Kommunikationsfehler
betrachtet.
-
Bei
dem obenbeschriebenen Betriebsschema schickt die Kommunikations-ECU 3 ein
Signal betreffend den momentanen Standort bei Empfang eines Diebstahlsignals über das
Telefonnetzwerk an das Antidiebstahl-Servicecenter 9, wenn
sich das Fahrzeug 2 in dem Zustand "gestohlen" befindet.
-
Die
Arbeitsweise des oben erläuterten
Schemas wird nachfolgend unter Bezugnahme auf die 3 und 4 beschrieben.
In diesem Fall sei die Kommunikations-ECU 3 als ein Beispiel
zur Sicherstellung der Kommunikation mit den anderen Vorrichtungen
genommen. Die Kommunikations-ECU 3 überprüft eine
Kommunikation mit der Motor-ECU 4 über die erste Kommunikationsleitung 7 (Schritt
S1). Wenn die Kommunikations-ECU 3 eine erfolgreiche Datenkommunikation
mit der Motor-ECU 4 erkennt, bestimmt sie, dass die Kommunikation
zwischen der Kommunikations-ECU 3 und der Motor-ECU 4 normal
ist (Schritt S2: JA).
-
Danach überprüft die Kommunikations-ECU 3 die
Kommunikation mit dem Fahrzeugnavigationssystem 5 über die
erste Kommunikationsleitung 7 (Schritt S3). Wenn die Kommunikations-ECU 3 eine erfolgreiche
Datenkommunikation mit dem Fahrzeugnavigationssystem 5 erkennt,
bestimmt sie, dass die Kommunikation zwischen der Kommunikations-ECU 3 und
dem Fahrzeugnavigationssystem 5 normal ist (Schritt S4:
JA). Danach überprüft die Kommunikations-ECU 3 die
Kommunikation mit der Klimaanlagen-ECU 6 über die
erste Kommunikationsleitung 7, das Fahrzeugnavigationssystem 5 und die
zweite Kommunikationsleitung 8 (Schritt S5). Wenn die Kommunikations-ECU 3 eine
erfolgreiche Datenkommunikation mit der Klimaanlagen-ECU 6 erkennt,
bestimmt sie, dass die Kommunikation zwischen der Kommunikations-ECU 3 und
der Klimaanlagen-ECU 6 normal ist (Schritt S6: JA).
-
Nachfolgend
prüft die
Kommunikations-ECU 3 die Kommunikation mit dem Telefonnetzwerk (Schritt
S7). Wenn die Kommunikations-ECU 3 eine normale Kommunikation
mit dem Telefonnetzwerk erkennt (Schritt S8: JA), bestimmt sie,
ob ein Diebstahlsignal von dem Antidiebstahl-Servicecenter 9 über das
Telefonnetzwerk empfangen wurde (Schritt S9). Wenn die Kommunikations-ECU 3 erkennt,
dass kein Diebstahlsignal von dem Antidiebstahl-Servicecenter geschickt
worden ist (Schritt S9: NEIN), gibt sie ein normales Betriebssignal
zum Betreiben der Motor-ECU 4, des Fahrzeugnavigationssystems 5 und
der Klimaanlagen-ECU 6 aus (Schritt S10).
-
Wenn
andererseits eine Anormalität
in der Kommunikation zwischen der Kommunikations-ECU 3 und
der Motor-ECU 4 (Schritt S2: NEIN) oder zwischen der Kommunikations-ECU 3 und
dem Fahrzeugnavigationssystem 5 (Schritt S4: NEIN) oder zwischen
der Kommunikations-ECU 3 und der Klimaanlagen-ECU 6 (Schritt
S6: NEIN) erkannt wird, schickt die Kommunikations-ECU 3 ein
Betriebsstopsignal, um den Betrieb der Motor-ECU 4 oder
des Fahrzeugnavigationssystem 5 oder der Klimaanlagen-ECU 6 zu
stoppen (Schritt S11).
-
Durch
die obenbeschriebenen Abläufe
betreibt die Kommunikations-ECU 3 die Motor-ECU 4, das
Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU 6 unter
der Bedingung normal, dass die Kommunikation mit diesen Vorrichtungen
und mit dem Telefonnetzwerk normal ist und dass von dem Antidiebstahl-Servicecenter 9 kein
Diebstahlsignal ausgeschickt wird. Im Gegensatz hierzu stoppt die Kommunikations-ECU 3 den
Betrieb der Motor-ECU 4, des Fahrzeugnavigationssystem 5 und
der Klimaanlagen-ECU 6, wenn die Kommunikation mit diesen Vorrichtungen
oder mit dem Telefonnetzwerk nicht normal ist oder wenn von dem
Antidiebstahl-Servicecenter 9 ein Diebstahlsignal ausgeschickt
wird.
-
In
den obenbeschriebenen Fällen
kann die Kommunikations-ECU 3 auch den Betrieb der Motor-ECU 4,
des Fahrzeugnavigationssystems und der Klimaanlagen-ECU 6 einschränken, anstelle
den Betrieb dieser Vorrichtungen anzuhalten. Weiterhin arbeitet
die Kommunikations-ECU 3 selbst normal, wenn die Kommunikation
mit den anderen Vorrichtungen normal ist und kann entweder ihren
eigenen Betrieb stoppen oder ihren eigenen Betrieb einschränken, wenn
die Kommunikation mit den anderen Vorrichtungen nicht normal ist.
-
Die
Details des Kommunikationsüberprüfungsvorganges
gemäss
obiger Beschreibung werden nachfolgend erläutert. In 4 sind
die Schritte des Kommunikationsüberprüfungsvorgangs
zwischen der Kommunikations-ECU 3 und der Motor-ECU 4 als
Beispiel genommen.
-
Die
Kommunikations-ECU 3 erzeugt eine Zufallszahl X1 (Schritt
T1) und schickt ein Signal ml mit der Zufallszahl X1 an die Motor-ECU 4.
Beim Empfang des Signals ml von der Kommunikations-ECU 3 entnimmt
die Motor-ECU 4 die Zufallszahl X1 aus dem Signal ml und
verschlüsselt
die Zufallszahl X1, um eine Zufallszahl X2 zu erzeugen (Schritt T2)
und erzeugt eine Zufallszahl Y1 (Schritt T3). Danach schickt die
Motor-ECU 4 ein Signal m2 mit den Zufallszahlen X2 und
Y1 an die Kommunikations-ECU 3.
-
Bei
Empfang des Signals m2 von der Motor-ECU 4 entnimmt die
Kommunikations-ECU 3 die Zufallszahlen X2 und Y1 aus dem
Signal m2 und bestimmt, ob in der Motor-ECU 4 die Verschlüsselung normal
durchgeführt
wurde, indem zu der Zufallszahl X2 (Schritt T4) unterschieden wird.
wenn die Kommunikations-ECU 3 eine normale Verschlüsselung
in der Motor-ECU 4 erkennt, verschlüsselt sie die Zufallszahl Y1,
um eine Zufallszahl Y2 zu erzeugen (Schritt T5) und schickt ein
Signal m3 mit der Zufallszahl Y2 an die Motor-ECU 4.
-
Bei
Empfang des Signals m3 von der Kommunikations-ECU 3 entnimmt
die Motor-ECU 4 die Zufallszahl Y2 aus dem Si gnal m3 und
bestimmt, ob die Verschlüsselung
in der Kommunikations-ECU 3 normal durchgeführt wurde,
indem zur Zufallszahl Y2 unterschieden wird (Schritt T6). Wenn die
Motor-ECU 4 eine normale Verschlüsselung in der Kommunikations-ECU 3 erkennt,
schickt sie ein Signal m4 an die Kommunikations-ECU 3.
Die Kommunikations-ECU 3 erkennt eine normale Datenkommunikation
mit der Motor-ECU 4 bei Empfang des Signals m4 von der Motor-ECU 4 und
schliesst diesen Kommunikationsüberprüfungsvorgang
zwischen der Kommunikations-ECU 3 und der Motor-ECU 4 ab.
-
Die
Kommunikations-ECU 3 überprüft eine Kommunikation
mit der Motor-ECU 4 durch Verschlüsselung der Datenkommunikation
in den obenbeschriebenen Schritten und überprüft die Kommunikation mit dem
Fahrzeugnavigationssystem 5 und der Klimaanlagen-ECU 6 auf
gleiche Weise durch eine Verschlüsselung
der Datenkommunikation. Der Kommunikationsüberprüfungsvorgang zwischen den anderen
Vorrichtungen wird auf gleiche Weise durch eine Verschlüsselung
der Datenkommunikation durchgeführt.
-
Die
Zufallszahlen X1 und Y1 können
wirksam Daten für
den Kommunikationsüberprüfungsvorgang
verschlüsseln,
wenn sie in jedem Kommunikationsüberprüfungsvorgang
zufallsmässig
erzeugt werden. Genauergesagt, das obige Schema kann umgesetzt werden,
indem die Kommunikations-ECU 3 und die Motor-ECU 4 eine
Mehrzahl von Zufallszahlen in ihren Speichern abspeichern und einander bei
jedem Ablauf eines Kommunikationsüberprüfungsvorgangs darüber informieren,
welche Zufallszahl sie verwenden. Der alternative Weg zur Bestimmung
der Zufallszahl ist, dass eine bestimmte Reihenfolge von Zufallszahlen
in einem nichtflüchtigen Speicher
gehalten wird und die Zufallszahl abhängig von der Reihenfolge zwischen
der Kommunikations-ECU 3 und der Motor-ECU 4 aufgerufen
wird.
-
In
der ersten Ausführungsform
der vorliegenden Erfindung ist das Ablaufschema im Antidiebstahlsystem
so programmiert, dass der Betrieb der anderen Vorrichtung gestoppt
wird, wenn in dem Kommunikationsüberprüfungsvorgang,
der von jeder der bordseitigen Vorrichtungen des Fahrzeugs 2 durchgeführt wird,
eine Anormalität
erkannt wird, d. h. von der Kommunikations-ECU 3, der Motor-ECU 4, dem
Fahrzeugnavigationssystem 5 und der Klimaanlagen-ECU 6.
Wenn das Fahrzeug 2 gestohlen wird und eine der bordseitigen
Vorrichtungen ausgebaut wird, wird das Gesamtsystem an bordseitigen
Vorrichtungen an einer korrekten Arbeitsweise gehindert. Im Ergebnis
lässt dies
einen Dieb erwägen, dass
sich der Diebstahl nicht lohnt, so dass die Motivation zum Diebstahl
wesentlich abnimmt. Dies wiederum schützt das Fahrzeug 2 auf
geeignete Weise vor einem Diebstahl. Zusätzlich werden die Schritte des
Kommunikationsüberprüfungsvorgangs
durch die verschlüsselten
Daten des Kommunikationsüberprüfungsvorgangs
zwischen den bordseitigen Vorrichtungen geschützt, so dass die Sicherheit
des Antidiebstahlsystems verbessert ist.
-
Zweite Ausführungsform
-
Nachfolgend
wird die zweite Ausführungsform
der vorliegenden Erfindung unter Bezugnahme auf die 5 und 6 beschrieben.
In dieser Beschreibung wird der gleiche Abschnitt wie in der ersten
Ausführungsform
weggelassen und nur die Unterschiede werden beschrieben. Die zweite
Ausführungsform
entspricht den Ansprüchen
1, 4 und 11.
-
In
der ersten Ausführungsform
ist jede der folgenden Vorrichtungen, nämlich die Kommunikations-ECU 3,
die Motor-ECU 4, das Fahrzeugnavigationssystem 5 und
die Klima anlagen-ECU 6 so programmiert, dass eine Kommunikation
mit anderen Vorrichtungen sichergestellt ist. Bei der zweiten Ausführungsform überprüft die Kommunikations-ECU 3 die
Kommunikation mit der Motor-ECU 4, dem Fahrzeugnavigationssystem 5 und
der Klimaanlagen-ECU 6 und der Kommunikationsüberprüfungsvorgang
durch die Motor-ECU 4, das Fahrzeugnavigationssystem 5 und
die Klimaanlagen-ECU 6 ist weggelassen. Mit anderen Worten,
die Kommunikations-ECU 3 ist
als eine Steuervorrichtung der vorliegenden Erfindung programmiert.
-
Bei
diesem Betriebsschema bestimmt die Kommunikations-ECU 3 zuerst,
ob sich das Fahrzeug 2 in einem gestohlenen Zustand befindet
oder nicht (Schritt S21). Wenn das Fahrzeug als sich nicht in einem
gestohlenen Zustand befindlich bestimmt wird (Schritt S21: NEIN),
prüft die
Kommunikations-ECU 3 die Kommunikation mit der Motor-ECU 4 (Schritt
S22). Wenn der Kommunikationsüberprüfungsvorgang
mit der Motor-ECU 4 als normal bestimmt wird (Schritt S23:
JA), gibt die Kommunikations-ECU 3 ein Normalbetriebssignal
an die Motor-ECU 4 aus, um die Motor-ECU 4 zu betreiben, bevor die
Kommunikation mit dem Fahrzeugnavigationssystem 5 und der
Klimaanlagen-ECU 6 überprüft wird
(Schritt S24).
-
Nachfolgend überprüft die Kommunikations-ECU 3 die
Kommunikation mit dem Fahrzeugnavigationssystem 5 (Schritt
S25). Wenn der Kommunikationsüberprüfungsvorgang
mit dem Fahrzeugnavigationssystem als normal bestimmt wird (Schritt
S26: JA), prüft
die Kommunikations-ECU 3 die Kommunikation mit der Klimaanlagen-ECU 6 (Schritt
S27). Wenn der Kommunikationsüberprüfungsvorgang
mit der Klimaanlagen-ECU 6 als normal bestimmt wird (Schritt
S28: JA), prüft
die Kommunikations-ECU 3 die Kommunikation mit dem Telefonnetzwerk
(Schritt S29).
-
Wenn
der Kommunikationsüberprüfungsvorgang
mit dem Telefonnetzwerk als normal bestimmt wird (Schritt S30: JA),
bestimmt die Kommunikations-ECU 3, ob über das Telefonnetzwerk von
dem Antidiebstahl-Servicecenter 9 ein Diebstahlsignal empfangen
worden ist (Schritt S31). wenn von dem Antidiebstahl-Servicecenter 9 kein
Diebstahlsignal empfangen worden ist (Schritt S31: NEIN), gibt die Kommunikations-ECU 3 ein
Normalbetriebssignal an das Fahrzeugnavigationssystem 5 und
die Klimaanlagen-ECU 6, um diese Vorrichtungen zu betreiben (Schritt
S32) und speichert ab, dass sich das Fahrzeug 2 nicht in
einem gestohlenen Zustand befindet (Schritt S33).
-
Im
Gegensatz hierzu folgt die Kommunikations-ECU 3 den Abläufen der
Schritte S34 bis S44 entsprechend den Schritten S1 bis S11 in der
ersten Ausführungsform,
wenn das Fahrzeug 2 als gestohlen bestimmt wird (Schritt
S21: JA) und speichert, dass das Fahrzeug 2 sich in einem
gestohlenen Zustand befindet.
-
Durch
Durchführen
der obigen Abläufe
verwendet die Kommunikations-ECU 3 ein unterschiedliches
Szenario zu dem, wie es in der ersten Ausführungsform verwendet wurde,
um den Betrieb der Motor-ECU 4 zu starten, bevor die Kommunikation
mit dem Fahrzeugnavigationssystem 5 und der Klimaanlagen-ECU 6 überprüft wird,
wenn der Kommunikationsüberprüfungsvorgang
mit der Motor-ECU 4 als normal bestimmt wurde. Auf diese
Weise kann die Motor-ECU 4 zuerst ohne Verzögerung gestartet werden.
-
In
der zweiten Ausführungsform
wird die Kommunikation durch eine Verschlüsselung der Datenkommunikation überprüft. Wie
in 6 gezeigt, enthält die Kommunikations-ECU 3 den
bestimmten öffentlichen
Schlüssel
für die
Mo tor-ECU 4, das Fahrzeugnavigationssystem 5 und
die Klimaanlagen-ECU 6 und entsprechende private Schlüssel werden
von der Motor-ECU 4, dem Fahrzeugnavigationssystem 5 und
der Klimaanlagen-ECU 6 gehalten. Wenn die Kommunikation
mit der Motor-ECU 4 überprüft wird,
verwendet die Kommunikations-ECU 3 den bestimmten öffentlichen
Schlüssel
für die
Motor-ECU 4, um Daten zu kodieren und schickt sie an die
Motor-ECU 4. Die Motor-ECU 4 entschlüsselt die Daten
von der Kommunikations-ECU 3 unter Verwendung eines entsprechenden
privaten Schlüssels für die Motor-ECU 4.
-
In
der zweiten Ausführungsform
ist die Kommunikations-ECU 3 programmiert, um eine Kommunikation
mit anderen bordseitigen Vorrichtungen zu bestimmten Intervallen
sicherzustellen, welche länger
als ein minimaler Schwellenwert und kürzer als ein maximaler Schwellenwert
sind. In diesem Fall kann der untere Grenzwert und der obere Grenzwert des
bestimmten Intervalls entweder vom System selbst bestimmt werden
oder er kann vom Benutzer des Systems festgelegt werden. Wenn die
Kommunikation in einem Intervall überprüft wird, welches entweder länger als
der maximale Schwellenwert oder kürzer als der minimale Schwellenwert
ist, d. h. wenn das Zeitverhalten des Kommunikationsüberprüfungsvorgangs
anormal ist, ist jede der folgenden Vorrichtungen, nämlich die
Motor-ECU 4, das Fahrzeugnavigationssystem 5 und
die Klimaanlagen-ECU 6 so programmiert, dass sie ihren
eigenen Betrieb stoppt oder ihren eigenen Betrieb einschränkt.
-
Darüberhinaus
sind die Motor-ECU 4, das Fahrzeugnavigationssystem 5 und
die Klimaanlagen-ECU 6 programmiert, um eine Kommunikation sicherzustellen,
wenn die Kommunikationsüberprüfung durch
die Kommunikations-ECU 3 nicht innerhalb einer bestimmten
Zeitdauer begonnen wird. In diesem Fall kann die bestimmte Zeitdauer
von dem System selbst definiert sein oder sie kann vom Benutzer
des Systems bestimmt werden.
-
Wie
oben beschrieben prüft
unter den bordseitigen Vorrichtungen des Fahrzeugs 2 die
Kommunikations-ECU 3 die Kommunikation mit anderen Vorrichtungen,
also der Motor-ECU 4, dem Fahrzeugnavigationssystem 5 und
der Klimaanlagen-ECU 6 bei der zweiten Ausführungsform
des Systems. Wenn eine Anormalität
während
des Kommunikationsüberprüfungsvorgangs
erkannt wird, ist das System programmiert, um den Betrieb der anderen
bordseitigen Vorrichtungen zu stoppen. Wenn daher eine der bordseitigen
Vorrichtungen aus dem gestohlenen Fahrzeug 2 entfernt wird,
verhindert dieses Betriebsschema, dass das System als eine Gruppe von
Vorrichtungen korrekt arbeitet. Im Ergebnis denkt sich ein Dieb,
dass es nicht wert ist, das Fahrzeug zu stehlen und eine Motivation
zum Diebstahl wird verschlechtert, so dass das Fahrzeug 2 geeignet
vor Diebstahl geschützt
ist.
-
Wenn
nur die Kommunikations-ECU 3 programmiert ist, um eine
Kommunikation mit den anderen bordseitigen Vorrichtungen sicherzustellen,
d. h. mit der Motor-ECU 4, dem Fahrzeugnavigationssystem 5 und
der Klimaanlagen-ECU 6, kann die Steuerung des Antidiebstahlsystems
vereinfacht werden und ist im Aufbau einfach im Vergleich zu dem
Betriebsschema der ersten Ausführungsform.
-
Weiterhin
hält die
Kommunikations-ECU 3 den bestimmten öffentlichen Schlüssel für jede der anderen
bordseitigen Vorrichtungen und die Motor-ECU 4, das Fahrzeugnavigationssystem 5 und die
Klimaanlagen-ECU 6 halten ihre eigenen privaten Schlüssel; das
System ist programmiert, eine Kombination durch eine Verschlüsselung
der Datenkommunikation mit diesen öffentlichen Schlüsseln und
priva ten Schlüsseln
sicherzustellen. Die Sicherheit des Systems ist damit verbessert
und die Schritte des Kommunikationsüberprüfungsvorgangs können nicht ohne
weiteres entschlüsselt
werden, da der private Schlüssel
der Verschlüsselung
von der anderen bordseitigen Vorrichtung gehalten wird, selbst wenn die
Kommunikations-ECU 3 aus dem Fahrzeug 2 entfernt
wird und der öffentliche
Schlüssel
der Kommunikations-ECU 3 entschlüsselt wird.
-
Wenn
der Kommunikationsüberprüfungsvorgang
mit der Motor-ECU 4 als normal bestimmt wird, gibt die
Kommunikations-ECU 3 ein Normalbetriebssignal an die Motor-ECU 4 aus,
um die Motor-ECU 4 zu betreiben, bevor die Kommunikation
mit dem Fahrzeugnavigationssystem 5 und der Klimaanlagen-ECU 6 überprüft wird.
Dieses Betriebsschema ermöglicht
dem System, die Motor-ECU 4 an erster Stelle ohne Verzögerung zu
starten und die Einsatzfähigkeit
des Systems wird verbessert.
-
Weiterhin
ist die Kommunikations-ECU 3 programmiert, um eine Kommunikation
mit anderen bordseitigen Vorrichtungen zu bestimmten Intervallen
sicherzustellen, die länger
als ein minimaler Schwellenwert und kürzer als ein maximaler Schwellenwert
sind. Wenn die Kommunikation öfters
als notwendig überprüft wird,
kann dies von einem Dieb herangezogen werden, die verschlüsselten
Codes zu entschlüsseln,
die für
den Kommunikationsüberprüfungsvorgang
verwendet werden. Was dieses Problem betrifft, so kann eine Überprüfung der
Kommunikation in einem bestimmten Intervall länger als der minimale Schwellenwert
die Chance der Entschlüsselung
der Schritte des Kommunikationsüberprüfungsvorgangs
durch einen Dieb verringern. Wenn zusätzlich die Kommunikation weniger
häufig
als notwendig überprüft wird,
kann dies einem Dieb eine längere
Zeitdauer verschaffen, entfernte Vorrichtungen zu benutzen, wenn
bordseitige Vorrichtungen aus dem Fahrzeug 2 entfernt werden.
Was dieses Problem betrifft, so kann eine Überprüfung der Kommunikation in einem
bestimmten Intervall kürzer
als der maximale Schwellenwert einen Dieb daran hindern, entfernte
Vorrichtungen zu missbrauchen.
-
Weiterhin
sind die Vorrichtungen, beispielsweise die Motor-ECU 4,
das Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU 6 so
programmiert, dass sie entweder ihren eigenen Betrieb stoppen oder
ihren Betrieb einschränken,
wenn die Kommunikation von der Kommunikations-ECU 3 in
einem Intervall überprüft wird,
welches länger
als die bestimmte maximale Dauer ist oder in einem Intervall überprüft wird,
welches kürzer
als die bestimmte minimale Dauer ist. Auf diese Weise können die
Motor-ECU 4, das Fahrzeugnavigationssystem 5 und die
Klimaanlage 4, das Fahrzeugnavigationssystem 5 und
die Klimaanlagen-ECU 6 ihren eigenen Betrieb geeignet stoppen
oder ihren eigenen Betrieb einschränken, selbst wenn der Kommunikationsüberprüfungsvorgang
durch die Kommunikations-ECU 3 aufgrund eines manipulierenden
Eingriffs nicht richtig durchgeführt
werden kann.
-
Weiterhin
sind die Motor-ECU 4, das Fahrzeugnavigationssystem 5 und
die Klimaanlagen-ECU 6 so programmiert, dass sie einen
Kommunikationsüberprüfungsvorgang
durch die Kommunikations-ECU 3 anfordern, wenn die Kommunikation nicht
innerhalb einer bestimmten Zeitdauer überprüft worden ist. Auf diese Weise
kann das System verhindern, dass die Motor-ECU 4, dass
Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU 6 übergangen
werden, da die Kommunikation über
eine bestimmte Zeitdauer hinweg nicht überprüft wurde.
-
Dritte Ausführungsform
-
Nachfolgend
wird eine dritte Ausführungsform
unter Bezugnahme auf 7 beschrieben. Der gleiche Abschnitt,
wie er in zweiten Ausführungsform beschrieben
worden ist, ist weggelassen und nur der unterschiedliche Abschnitt
wird beschrieben. In der zweiten Ausführungsform überprüft nur die Kommunikations-ECU 3 als
eine Steuervorrichtung die Kommunikation. In der dritten Ausführungsform
werden die Kommunikations-ECU 3 und die Motor-ECU 4 als Steuervorrichtung
herangezogen, um die Kommunikation sicherzustellen.
-
In
diesem Fall kontrollieren sowohl die Kommunikations-ECU 3 als
auch die Motor-ECU 4 das Fahrzeugnavigationssystem 5 und
die Klimaanlagen-ECU 6 und der Grad des eingeschränkten Betriebs
des Fahrzeugnavigationssystems 5 und der Klimaanlagen-ECU 6 wird
durch eine Politik bestimmt, dass eine grössere Einschränkung eine
kleinere quasi überstimmt.
Daher kann die Motor-ECU 4 als Steuervorrichtung arbeiten,
selbst wenn die Kommunikations-ECU 3 nicht als Steuervorrichtung
benutzt werden kann, da ihr interner Aufbau offengelegt ist, und
somit kann verhindert werden, dass wie in der ersten und zweiten
Ausführungsform
die bordseitigen Vorrichtungen korrekt arbeiten. Im Ergebnis impliziert
dieses Betriebsschema einem Dieb, dass es nicht Wert ist, das Fahrzeug
zu stehlen, so dass die Motivation zum Diebstahl herabgesetzt wird
und das Fahrzeug geeignet vor einem Diebstahl geschützt wird.
-
Andere Ausführungsform
-
Die
vorliegende Erfindung ist nicht auf die obigen Ausführungsformen
beschränkt,
sondern kann wie folgt abgewandelt oder verbessert werden.
-
Das
Betriebsschema ist nicht nur für
die bordseitigen Vorrichtungen eines Fahrzeugs anwendbar, sondern
auch bei Vorrichtungen, welche an anderen Gerätetypen angeordnet sind.
-
Wenn
eine Funktion der Kommunikationsüberprüfung in
jeder Vorrichtung enthalten ist, kann die Kabelbaumverbindung zwischen
den Vorrichtungen ebenfalls modifiziert werden, um einen geeigneten Aufbau
zu haben, der eine unterschiedliche Anzahl von Signalen etc. aufnehmen
kann. Auf diese Weise kann eine solche geschützte Struktur des Kabelbaums
geeignet verhindern, dass das Fahrzeug 2 gestohlen wird,
in dem die Motivation zum Diebstahl herabgesetzt wird und eine Schadensausbreitung
kann ebenfalls unterdrückt
werden, wenn bordseitige Vorrichtungen aus einem gestohlenen Fahrzeug 2 entfernt
werden.
-
KURZE BESCHREIBUNG DER
ZEICHNUNGEN
-
1 zeigt
ein schematisches Diagramm der ersten Ausführungsform der vorliegenden
Erfindung.
-
2 zeigt
ein Diagramm, welches verbundene Vorrichtungen in Form von bordseitigen
Vorrichtungen, welche Gegenstand des Kommunikationsüberprüfungsvorgangs
sind und den Kommunikationsüberprüfungsvorgangs-Pfad
zu diesen Vorrichtungen darstellt.
-
3 zeigt
ein Flussdiagramm, welches darstellt, wie die Kommunikations-ECU 3 die
Kommunikation mit anderen bordseitigen Vorrichtungen prüft.
-
4 zeigt
ein Flussdiagramm, welches darstellt, wie die Kommunikations-ECU 3 die
Kommunikation 3 mit der Motor-ECU 4 prüft.
-
5 zeigt
ein Flussdiagramm, welches die zweite Ausführungsform der vorliegenden
Erfindung darstellt.
-
6 zeigt
einen öffentlichen
Schlüssel
und einen privaten Schlüssel
in jeder der bordseitigen Vorrichtungen.
-
7 zeigt
ein Diagramm, welches die Beziehung zwischen Steuervorrichtungen,
verbundenen Vorrichtungen (Gegenstände des Kommunikationsüberprüfungsvorganges)
und gesteuerten Vorrichtungen darstellt.
-
ZUSAMMENFASSUNG
-
Eine
Aufgabe der Erfindung ist es, ein Diebstahlverhinderungssystem zu
schaffen, welches ein Fahrzeug auf geeignete Weise vor einem Diebstahl schützt. Eine
Kommunikations-ECU (3), eine Motor-ECU (4), ein
Fahrzeugnavigationssystem (5) und eine Klimaanlagen-ECU
(6), welche alle in ein Fahrzeug (2) eingebaut
sind, stehen miteinander in Kommunikation, um eine elektrische Verbindung
oder "Kommunikation" sicherzustellen.
Wenn hinsichtlich der Kommunikation eine Anormalität erkannt
wird, stoppen sowohl die angesprochene Vorrichtung als auch die
Vorrichtung, welche den Kommunikationsüberprüfungsvorgang durchführt, ihre
Arbeit. Wenn eine der obigen Vorrichtungen aus dem Fahrzeug (2) entfernt
wird, wenn das Fahrzeug (2) gestohlen wird, verhindert
dieses Betriebsschema, dass die bordseitigen Vorrichtungen als Gesamtsystem
korrekt arbeiten. Daher verringert dieses Operationsschema die Motivation
zum Diebstahl ganz erheblich, was zu einem geeigneten Schutz des
Fahrzeugs (2) vor Diebstahl führt.