TECHNISCHER GEGENSTAND
Die vorliegende Erfindung betrifft ein Antidiebstahlsystem, welches
verhindert, dass ein Objekt mit miteinander verbundenen bordseitigen Vorrichtungen,
beispielsweise ein Fahrzeug oder dergleichen, gestohlen wird.
STAND DER TECHNIK
Es ist allgemein bekannt, dass es eine Vorrichtung gibt, welche den
Diebstahl eines Fahrzeugs verhindert, indem der Betrieb eines Motors nicht gestattet
wird, wenn ein Diebstahlsignal von einem Antidiebstahl-Servicecenter empfangen wird
(beispielsweise JP-A-2002-59812).
Es kann jedoch vorhergesehen werden, dass die Vorrichtung nach dem
Stand der Technik die erwartete Funktionalität beim Verhindern eines Fahrzeugdiebstahls
nicht geeignet erhöhen kann, wenn die Vorrichtung selbst aus dem Fahrzeug entfernt
wird, d.h. sie kann das Diebstahlsignal von dem Antidiebstahl-Servicecenter nicht
empfangen, um das Anlassen des Motors zu unterbinden.
Angesichts des voranstehenden Problems ist das Antidiebstahlsystem
der vorliegenden Erfindung auf die Bereitstellung eines Systems gerichtet, welches
auf geeignete Weise verhindert, dass das Objekt mit bordseitigen Vorrichtungen,
beispielsweise das Fahrzeug gestohlen wird, indem die Diebstahlsmotivation wesentlich
verringert/verschlechtert wird.
BESCHREIBUNG DER ERFINDUNG
Bei dem Antidiebstahlsystem der vorliegenden Erfindung kommuniziert
eine der Vorrichtungen eines Objekts mit bordseitigen Vorrichtungen, beispielsweise
eines Fahrzeugs, mit dem Rest der bordseitigen Vorrichtungen, um die elektrische
Verbindung zu überprüfen, bevor ihr eigener Betrieb und derjenige der restlichen
bordseitigen Vorrichtungen begonnen wird. Wenn die elektrische Verbindung oder "Kommunikation"
nicht festgestellt wird, unterbricht das Antidiebstahlsystem entweder den Betrieb
sowohl von sich selbst als auch anderen Vorrichtungen oder schränkt die jeweiligen
Betriebe hiervon ein.
Daher wird eine Verbindunganormalität zwischen einer der bordseitigen
Vorrichtungen und den anderen Vorrichtungen erkannt, wenn das Objekt mit den bordseitigen
Vorrichtungen gestohlen wird und irgendeine der bordseitigen Vorrichtungen, welche
mit den anderen verbunden ist, von dem Objekt entfernt wird. Dies löst entweder
das Unterbrechen des Betriebs der Vorrichtung und der anderen bordseitigen Vorrichtungen
aus oder ermöglicht alternativ einen eingeschränkten Betrieb der Vorrichtung und
der anderen bordseitigen Vorrichtungen und bewirkt, dass das gesamte System als
eine Vorrichtungsgruppe nicht richtig arbeitet. Somit entmutigt ein Objekt mit bordseitigen
Vorrichtungen mit diesem eingebauten Antidiebstahlsystem einen Dieb auf geeignete
Weise, das Fahrzeug zu stehlen, indem er/sie veranlasst wird, einen Diebstahl als
nicht lohnenswert zu betrachten und seine/ihre Motivation für den Diebstahl herabgesetzt
wird.
In diesem Fall kann eine Gruppe der bordseitigen Vorrichtungen an
dem Objekt mit den bordseitigen Vorrichtungen mit der anderen Gruppe von bordseitigen
Vorrichtungen kommunizieren oder jede Vorrichtung des Objekts mit den bordseitigen
Vorrichtungen kann mit anderen bordseitigen Vorrichtungen für einen Kommunikationsprüfvorgang
kommunizieren. Weiterhin kann Gegenstand des Kommunikationsprüfvorgangs ein Teil
aller bordseitigen Vorrichtungen sein oder er kann alle bordseitigen Vorrichtungen
betreffen. Weiterhin kann ein eingeschränkter Betrieb nur der Vorrichtung selbst
auferlegt werden, bei der eine Anormalität während des Kommunikationsprüfvorgangs
mit anderen Vorrichtungen erkannt wurde oder er kann nur den anderen Vorrichtungen
auferlegt werden.
Wenn die Kommunikation jeweils zwischen allen bordseitigen Vorrichtungen
überprüft wird, kann jegliche Kommunikationsanormalität erkannt werden, d. h. jede
entfernte Vorrichtung kann erkannt werden, da ein Kommunikationsverlust zwischen
der entfernten Vorrichtung und den nicht entfernten Vorrichtungen auftritt. Im Ergebnis
beenden entweder die nichtentfernten Vorrichtungen ihren Betrieb oder die nichtentfernten
Vorrichtungen schränken ihren eigenen Betrieb ein und die Gruppe von Vorrichtungen
als ein System wird daran gehindert, richtig zu arbeiten. In diesem Fall kann der
Gegenstand des Kommunikationsprüfvorgangs auch ein Teil aller bordseitigen Vorrichtungen
sein oder er kann alle bordseitigen Vorrichtungen umfassen.
Eine Kommunikation zwischen einer Vorrichtung und der anderen Vorrichtung
wird bevorzugt mittels einer verschlüsselten Kommunikation überprüft. Auf diese
Weise kann ein Herausfinden der Schritte des Kommunikationsüberprüfungsvorgangs
verhindert werden und damit kann die Sicherheit des Systems erhöht werden. Für diesen
Zweck kann eine "symmetric-key cryptography" oder "public key cryptography" verwendet
werden.
Eine der bordseitigen Vorrichtungen kann als die Steuerung zum Überprüfen
der Kommunikation mit den anderen bordseitigen Vorrichtungen festgelegt werden.
Auf diese Weise kann eine Steuerung des Kommunikationsüberprüfungsvorgangs im Vergleich
zu einem Kommunikationsüberprüfungsvorgang vereinfacht werden, bei dem jede bordseitige
Vorrichtung mit einer anderen kommuniziert, so dass das System einfach aufgebaut
werden kann.
Eine der bordseitigen Vorrichtungen, welche als Steuerung festgelegt
ist, besitzt einen öffentlichen Schlüssel ("public key") für eine entsprechende
Vorrichtung und die entsprechende Vorrichtung besitzt einen privaten Schlüssel ("private
key"), der mit dem öffentlichen Schlüssel gekoppelt ist, welcher in der Vorrichtung
festgelegt ist, die als Steuerung dient. Unter Verwendung dieser Schlüssel, d. h.
mit einem öffentlichen Schlüssel in der Steuerung und einem privaten Schlüssel in
der entsprechenden Vorrichtung kann ein Kommunikationsüberprüfungsvorgang zwischen
diesen beiden Vorrichtungen durch eine verschlüsselte Kommunikation durchgeführt
werden.
Auf diese Weise können die Schritte des Kommunikationsüberprüfungsvorgangs
etc. auf sichere Weise geheimgehalten werden und die Sicherheit des Systems kann
erhöht werden, selbst wenn die Steuerung entfernt wird und der öffentliche Schlüssel
in der Steuerung decodiert wird, da die entsprechende Vorrichtung ihren eigenen
privaten Schlüssel beibehält.
Eine der bordseitigen Vorrichtungen, welche als Steuerung festgelegt
ist, hat bevorzugt eine Kommunikationsfunktion mit einer externen Einrichtung. Auf
diese Weise kann die als Steuerung festgelegte bordseitige Vorrichtung beispielsweise
ein Diebstahlsignal empfangen, welches unter Verwendung eines Telefonnetzwerks von
einem Antidiebstahl-Servicecenter geschickt wird.
Eine der bordseitigen Vorrichtungen, welche als Steuerung festgelegt
ist, überprüft bevorzugt die Kommunikation mit anderen bordseitigen Vorrichtungen
basierend auf einer Prioritätsreihenfolge des Rests der bordseitigen Vorrichtungen.
Auf diese Weise kann der Kommunikationsüberprüfungsvorgang mit gewissen bordseitigen
Vorrichtungen vor dem Kommunikationsüberprüfungsvorgang mit dem Rest der bordseitigen
Vorrichtungen durchgeführt werden.
Eine der bordseitigen Vorrichtungen, welche als Steuerung festgelegt
ist, überprüft die Kommunikation mit einem Teil des Rests der bordseitigen Vorrichtungen
zuerst und überprüft dann die Kommunikation mit allen anderen bordseitigen Vorrichtungen,
nachdem ein normaler Kommunikationsüberprüfungsvorgang mit dem Teil des Rests der
bordseitigen Vorrichtungen erkannt wurde und beginnt den Betrieb des Teils vom Rest
der bordseitigen Vorrichtungen. Auf diese Weise kann eine Kommunikation mit beispielsweise
einer Motor-ECU vor dem Rest der bordseitigen Vorrichtungen überprüft werden und
somit kann die Anwendungsfähigkeit des Systems verbessert werden, indem die Motor-ECU
in vorteilhafter Weise gestartet wird, bevor die Kommunikation mit den anderen Vorrichtungen
überprüft wird.
Eine bordseitige Vorrichtung, welche als Steuerung festgelegt worden
ist, überprüft bevorzugt die Kommunikation mit den anderen bordseitigen Vorrichtungen
zu bestimmten Intervallen, welche länger als ein minimaler Schwellenwert und kürzer
als ein maximaler Schwellenwert sind. Wenn ein Kommunikationsüberprüfungsvorgang
öfter als notwendig durchgeführt wird, kann dies für einen Dieb bei der Entschlüsselung
des Verschlüsselungscodes der Schritte, welche für den Kommunikationsüberprüfungsvorgang
verwendet werden, von Vorteil sein. Was dieses Problem betrifft, kann eine Überprüfung
der Kommunikation zu bestimmten Intervallen länger als der minimale Schwellenwert
die Chance zum Entschlüsseln der Schritte des Kommunikationsüberprüfungsvorgangs
durch einen Dieb verringern. Wenn zusätzlich die Kommunikation weniger häufig als
notwendig überprüft wird, kann dies einem Dieb eine längere Zeit zum Missbrauch
entfernter Vorrichtungen bieten, wenn bordseitige Vorrichtungen aus dem Fahrzeug
entfernt werden. was dieses Problem betrifft, kann eine Überprüfung der Kommunikation
in einem bestimmten Intervall kürzer als der maximale Schwellenwert die entfernte
Vorrichtung vor einem Missbrauch über eine längere Zeit durch einen Dieb schützen.
Die anderen bordseitigen Vorrichtungen können ihren eigenen Betrieb
stoppen oder sie können ihren eigenen Betrieb einschränken, wenn eine Kommunikation
durch die als Steuerung festgesetzte Vorrichtung in einem Intervall länger als ein
maximaler Schwellenwert oder in einem Intervall kürzer als ein minimaler Schwellenwert
überprüft wird. Auf diese Weise können die anderen bordseitigen Vorrichtungen ihren
Eigenbetrieb auf geeignete Weise stoppen oder ihren Eigenbetrieb einschränken, selbst
wenn eine Kommunikation durch die als Steuerung festgesetzte Vorrichtung aufgrund
eines manipulierenden Eingriffs nicht überprüft werden kann.
Die anderen Vorrichtungen können bevorzugt programmiert werden, um
einen Kommunikationsüberprüfungsvorgang durch die als Steuerung festgesetzte Vorrichtung
anzufordern, wenn die Kommunikation von der Steuerung nach Ablauf einer bestimmten
Zeitdauer nicht überprüft worden ist. Auf diese Weise kann das System den Rest der
Vorrichtungen vor einer Nichtbeachtung schützen, wenn die Kommunikation von der
als Steuerung festgesetzten Vorrichtung nicht nach Ablauf einer bestimmten Zeitdauer
überprüft wird. Das heisst, ein Ausfall des Kommunikationsüberprüfungsvorgangs mit
den anderen bordseitigen Vorrichtungen beispielsweise aufgrund eines Spannungsabfalls
in dem Gesamtsystem kann verhindert werden, wenn die Spannung in dem
Gesamtsystem abfällt.
BEVORZUGTE AUSFÜHRUNGSFORMEN
Erste Ausführungsform
Die erste Ausführungsform der vorliegenden Erfindung, d. h. die Anwendung
der vorliegenden Erfindung bei einem System mit bordseitigen Vorrichtungen wird
hier unter Bezugnahme auf die 1 bis 4
beschrieben. Die erste Ausführungsform entspricht den Ansprüchen 1 bis 3.
1 zeigt den strukturellen Aufbau des
Gesamtsystems. Das Antidiebstahlsystem 1 weist eine Kommunikations-ECU
3, eine Motor-ECU 4, ein Fahrzeugnavigationssystem 5
und eine Klimaanlagen-ECU 6 auf, welche untereinander in einem Fahrzeug
2 (einem Objekt mit bordseitigen Vorrichtungen im Sinn der vorliegenden
Erfindung) verbunden sind. Eine erste Kommunikationsleitung 7 verbindet
die Kommunikations-ECU 3, die Motor-ECU 4 und das Fahrzeugnavigationssystem
5 und eine zweite Kommunikationsleitung 8 verbindet das Fahrzeugnavigationssystem
5 und die Klimaanlagen-ECU 6.
Jede dieser Vorrichtungen, d. h. die Kommunikations-ECU
3, die Motor-ECU 4, das Fahrzeugnavigationssystem 5 und
die Klimaanlagen-ECU 6 überprüft eine elektrische Verbindung oder "Kommunikation"
mit den anderen bordseitigen Vorrichtungen. Auf diese Weise überprüft die Kommunikations-ECU
3 die Kommunikation mit der Motor-ECU 4 über die erste Kommunikationsleitung
7. Die Kommunikations-ECU 3 überprüft auch die Kommunikation mit
dem Fahrzeugnavigationssystem über die erste Kommunikationsleitung 7. Weiterhin
überprüft die Kommunikations-ECU 3 die Kommunikation mit der Klimaanlage
6 über die erste Kommunikationsleitung 7, das Fahrzeugnavigationssystem
5 und die zweite Kommunikationsleitung 8.
Auf gleiche Weise wie oben beschrieben überprüft jede der folgenden
Vorrichtungen, d. h. die Motor-ECU 4, die Fahrzeugnavigations-ECU
5 und die Klimaanlagen-ECU 6 eine Kommunikation mit den anderen
Vorrichtungen. 2 zeigt eine Liste von Kommunikationsüberprüfungsvorgangsbeziehungen
und von Kommunikationsüberprüfungsvorgangspfaden einer jeden bordseitigen Vorrichtung
mit der Steuerung. Was den Kommunikationsüberprüfungsvorgang betrifft, überprüft
jede der folgenden Vorrichtungen, d.h. die Kommunikations-ECU 3, die Motor-ECU
4, das Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU
6 die Kommunikation unter Verwendung einer Datenkommunikation. Wenn eine
Datenkommunikation erfolgreich abgeschlossen ist, wird dies als normale Kommunikation
erkannt und wenn die Datenkommunikation nicht vollständig ist, wird dies als Kommunikationsfehler
betrachtet.
Bei dem obenbeschriebenen Betriebsschema schickt die Kommunikations-ECU
3 ein Signal betreffend den momentanen Standort bei Empfang eines Diebstahlsignals
über das Telefonnetzwerk an das Antidiebstahl-Servicecenter 9, wenn sich
das Fahrzeug 2 in dem Zustand "gestohlen" befindet.
Die Arbeitsweise des oben erläuterten Schemas wird nachfolgend unter
Bezugnahme auf die 3 und 4
beschrieben. In diesem Fall sei die Kommunikations-ECU 3 als ein Beispiel
zur Sicherstellung der Kommunikation mit den anderen Vorrichtungen genommen. Die
Kommunikations-ECU 3 überprüft eine Kommunikation mit der Motor-ECU
4 über die erste Kommunikationsleitung 7 (Schritt S1). Wenn die
Kommunikations-ECU 3 eine erfolgreiche Datenkommunikation mit der Motor-ECU
4 erkennt, bestimmt sie, dass die Kommunikation zwischen der Kommunikations-ECU
3 und der Motor-ECU 4 normal ist (Schritt S2: JA).
Danach überprüft die Kommunikations-ECU 3 die Kommunikation
mit dem Fahrzeugnavigationssystem 5 über die erste Kommunikationsleitung
7 (Schritt S3). Wenn die Kommunikations-ECU 3 eine erfolgreiche
Datenkommunikation mit dem Fahrzeugnavigationssystem 5 erkennt, bestimmt
sie, dass die Kommunikation zwischen der Kommunikations-ECU 3 und dem Fahrzeugnavigationssystem
5 normal ist (Schritt S4: JA). Danach überprüft die Kommunikations-ECU
3 die Kommunikation mit der Klimaanlagen-ECU 6 über die erste
Kommunikationsleitung 7, das Fahrzeugnavigationssystem 5 und die
zweite Kommunikationsleitung 8 (Schritt S5). Wenn die Kommunikations-ECU
3 eine erfolgreiche Datenkommunikation mit der Klimaanlagen-ECU
6 erkennt, bestimmt sie, dass die Kommunikation zwischen der Kommunikations-ECU
3 und der Klimaanlagen-ECU 6 normal ist (Schritt S6: JA).
Nachfolgend prüft die Kommunikations-ECU 3 die Kommunikation
mit dem Telefonnetzwerk (Schritt S7). Wenn die Kommunikations-ECU 3 eine
normale Kommunikation mit dem Telefonnetzwerk erkennt (Schritt S8: JA), bestimmt
sie, ob ein Diebstahlsignal von dem Antidiebstahl-Servicecenter 9 über
das Telefonnetzwerk empfangen wurde (Schritt S9). Wenn die Kommunikations-ECU
3 erkennt, dass kein Diebstahlsignal von dem Antidiebstahl-Servicecenter
geschickt worden ist (Schritt S9: NEIN), gibt sie ein normales Betriebssignal zum
Betreiben der Motor-ECU 4, des Fahrzeugnavigationssystems 5 und
der Klimaanlagen-ECU 6 aus (Schritt S10).
Wenn andererseits eine Anormalität in der Kommunikation zwischen der
Kommunikations-ECU 3 und der Motor-ECU 4 (Schritt S2: NEIN) oder
zwischen der Kommunikations-ECU 3 und dem Fahrzeugnavigationssystem
5 (Schritt S4: NEIN) oder zwischen der Kommunikations-ECU 3 und
der Klimaanlagen-ECU 6 (Schritt S6: NEIN) erkannt wird,
schickt die Kommunikations-ECU 3 ein Betriebsstopsignal, um den Betrieb
der Motor-ECU 4 oder des Fahrzeugnavigationssystem 5 oder der
Klimaanlagen-ECU 6 zu stoppen (Schritt S11).
Durch die obenbeschriebenen Abläufe betreibt die Kommunikations-ECU
3 die Motor-ECU 4, das Fahrzeugnavigationssystem 5 und
die Klimaanlagen-ECU 6 unter der Bedingung normal, dass die Kommunikation
mit diesen Vorrichtungen und mit dem Telefonnetzwerk normal ist und dass von dem
Antidiebstahl-Servicecenter 9 kein Diebstahlsignal ausgeschickt wird. Im
Gegensatz hierzu stoppt die Kommunikations-ECU 3 den Betrieb der Motor-ECU
4, des Fahrzeugnavigationssystem 5 und der Klimaanlagen-ECU
6, wenn die Kommunikation mit diesen Vorrichtungen oder mit dem Telefonnetzwerk
nicht normal ist oder wenn von dem Antidiebstahl-Servicecenter 9 ein Diebstahlsignal
ausgeschickt wird.
In den obenbeschriebenen Fällen kann die Kommunikations-ECU
3 auch den Betrieb der Motor-ECU 4, des Fahrzeugnavigationssystems
und der Klimaanlagen-ECU 6 einschränken, anstelle den Betrieb dieser Vorrichtungen
anzuhalten. Weiterhin arbeitet die Kommunikations-ECU 3 selbst normal,
wenn die Kommunikation mit den anderen Vorrichtungen normal ist und kann entweder
ihren eigenen Betrieb stoppen oder ihren eigenen Betrieb einschränken, wenn die
Kommunikation mit den anderen Vorrichtungen nicht normal ist.
Die Details des Kommunikationsüberprüfungsvorganges gemäss obiger
Beschreibung werden nachfolgend erläutert. In 4 sind
die Schritte des Kommunikationsüberprüfungsvorgangs zwischen der Kommunikations-ECU
3 und der Motor-ECU 4 als Beispiel genommen.
Die Kommunikations-ECU 3 erzeugt eine Zufallszahl X1 (Schritt
T1) und schickt ein Signal ml mit der Zufallszahl X1 an die Motor-ECU
4. Beim Empfang des Signals ml von der Kommunikations-ECU 3 entnimmt
die Motor-ECU 4 die Zufallszahl X1 aus dem Signal ml und verschlüsselt
die Zufallszahl X1, um eine Zufallszahl X2 zu erzeugen (Schritt T2) und erzeugt
eine Zufallszahl Y1 (Schritt T3). Danach schickt die Motor-ECU 4 ein Signal
m2 mit den Zufallszahlen X2 und Y1 an die Kommunikations-ECU 3.
Bei Empfang des Signals m2 von der Motor-ECU 4 entnimmt die
Kommunikations-ECU 3 die Zufallszahlen X2 und Y1 aus dem Signal m2 und
bestimmt, ob in der Motor-ECU 4 die Verschlüsselung normal durchgeführt
wurde, indem zu der Zufallszahl X2 (Schritt T4) unterschieden wird. wenn die Kommunikations-ECU
3 eine normale Verschlüsselung in der Motor-ECU 4 erkennt, verschlüsselt
sie die Zufallszahl Y1, um eine Zufallszahl Y2 zu erzeugen (Schritt T5) und schickt
ein Signal m3 mit der Zufallszahl Y2 an die Motor-ECU 4.
Bei Empfang des Signals m3 von der Kommunikations-ECU 3 entnimmt
die Motor-ECU 4 die Zufallszahl Y2 aus dem Signal m3 und bestimmt, ob die
Verschlüsselung in der Kommunikations-ECU 3 normal durchgeführt wurde,
indem zur Zufallszahl Y2 unterschieden wird (Schritt T6). Wenn die Motor-ECU
4 eine normale Verschlüsselung in der Kommunikations-ECU 3 erkennt,
schickt sie ein Signal m4 an die Kommunikations-ECU 3. Die Kommunikations-ECU
3 erkennt eine normale Datenkommunikation mit der Motor-ECU 4
bei Empfang des Signals m4 von der Motor-ECU 4 und schliesst diesen Kommunikationsüberprüfungsvorgang
zwischen der Kommunikations-ECU 3 und der Motor-ECU 4 ab.
Die Kommunikations-ECU 3 überprüft eine Kommunikation mit
der Motor-ECU 4 durch Verschlüsselung der Datenkommunikation in den obenbeschriebenen
Schritten und überprüft die Kommunikation mit dem Fahrzeugnavigationssystem
5 und der Klimaanlagen-ECU 6 auf gleiche Weise durch eine Verschlüsselung
der Datenkommunikation. Der Kommunikationsüberprüfungsvorgang zwischen den anderen
Vorrichtungen wird auf gleiche Weise durch eine Verschlüsselung der Datenkommunikation
durchgeführt.
Die Zufallszahlen X1 und Y1 können wirksam Daten für den Kommunikationsüberprüfungsvorgang
verschlüsseln, wenn sie in jedem Kommunikationsüberprüfungsvorgang zufallsmässig
erzeugt werden. Genauergesagt, das obige Schema kann umgesetzt werden, indem die
Kommunikations-ECU 3 und die Motor-ECU 4 eine Mehrzahl von Zufallszahlen
in ihren Speichern abspeichern und einander bei jedem Ablauf eines Kommunikationsüberprüfungsvorgangs
darüber informieren, welche Zufallszahl sie verwenden. Der alternative Weg zur Bestimmung
der Zufallszahl ist, dass eine bestimmte Reihenfolge von Zufallszahlen in einem
nichtflüchtigen Speicher gehalten wird und die Zufallszahl abhängig von der Reihenfolge
zwischen der Kommunikations-ECU 3 und der Motor-ECU 4 aufgerufen
wird.
In der ersten Ausführungsform der vorliegenden Erfindung ist das Ablaufschema
im Antidiebstahlsystem so programmiert, dass der Betrieb der anderen Vorrichtung
gestoppt wird, wenn in dem Kommunikationsüberprüfungsvorgang, der von jeder der
bordseitigen Vorrichtungen des Fahrzeugs 2 durchgeführt wird, eine Anormalität
erkannt wird, d. h. von der Kommunikations-ECU 3, der Motor-ECU
4, dem Fahrzeugnavigationssystem 5 und der Klimaanlagen-ECU
6. Wenn das Fahrzeug 2 gestohlen wird und eine der bordseitigen
Vorrichtungen ausgebaut wird, wird das Gesamtsystem an bordseitigen Vorrichtungen
an einer korrekten Arbeitsweise gehindert. Im Ergebnis lässt dies einen Dieb erwägen,
dass sich der Diebstahl nicht lohnt, so dass die Motivation zum Diebstahl wesentlich
abnimmt. Dies wiederum schützt das Fahrzeug 2 auf geeignete Weise vor einem
Diebstahl. Zusätzlich werden die Schritte des Kommunikationsüberprüfungsvorgangs
durch die verschlüsselten Daten des Kommunikationsüberprüfungsvorgangs zwischen
den bordseitigen Vorrichtungen geschützt, so dass die Sicherheit des Antidiebstahlsystems
verbessert ist.
Zweite Ausführungsform
Nachfolgend wird die zweite Ausführungsform der vorliegenden Erfindung
unter Bezugnahme auf die 5 und 6
beschrieben. In dieser Beschreibung wird der gleiche Abschnitt wie in der ersten
Ausführungsform weggelassen und nur die Unterschiede werden beschrieben. Die zweite
Ausführungsform entspricht den Ansprüchen 1, 4 und 11.
In der ersten Ausführungsform ist jede der folgenden Vorrichtungen,
nämlich die Kommunikations-ECU 3, die Motor-ECU 4, das Fahrzeugnavigationssystem
5 und die Klimaanlagen-ECU 6 so programmiert, dass eine Kommunikation
mit anderen Vorrichtungen sichergestellt ist. Bei der zweiten Ausführungsform überprüft
die Kommunikations-ECU 3 die Kommunikation mit der Motor-ECU
4, dem Fahrzeugnavigationssystem 5 und der Klimaanlagen-ECU
6 und der Kommunikationsüberprüfungsvorgang durch die Motor-ECU
4, das Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU
6 ist weggelassen. Mit anderen Worten, die Kommunikations-ECU
3 ist als eine Steuervorrichtung der vorliegenden Erfindung programmiert.
Bei diesem Betriebsschema bestimmt die Kommunikations-ECU
3 zuerst, ob sich das Fahrzeug 2 in einem gestohlenen Zustand
befindet oder nicht (Schritt S21). Wenn das Fahrzeug als sich nicht in einem gestohlenen
Zustand befindlich bestimmt wird (Schritt S21: NEIN), prüft die Kommunikations-ECU
3 die Kommunikation mit der Motor-ECU 4 (Schritt S22). Wenn der
Kommunikationsüberprüfungsvorgang mit der Motor-ECU 4 als normal bestimmt
wird (Schritt S23: JA), gibt die Kommunikations-ECU 3 ein Normalbetriebssignal
an die Motor-ECU 4 aus, um die Motor-ECU 4 zu betreiben, bevor
die Kommunikation mit dem Fahrzeugnavigationssystem 5 und der Klimaanlagen-ECU
6 überprüft wird (Schritt S24).
Nachfolgend überprüft die Kommunikations-ECU 3 die Kommunikation
mit dem Fahrzeugnavigationssystem 5 (Schritt S25). Wenn der Kommunikationsüberprüfungsvorgang
mit dem Fahrzeugnavigationssystem als normal bestimmt wird (Schritt S26: JA), prüft
die Kommunikations-ECU 3 die Kommunikation mit der Klimaanlagen-ECU
6 (Schritt S27). Wenn der Kommunikationsüberprüfungsvorgang mit der Klimaanlagen-ECU
6 als normal bestimmt wird (Schritt S28: JA), prüft die Kommunikations-ECU
3 die Kommunikation mit dem Telefonnetzwerk (Schritt S29).
Wenn der Kommunikationsüberprüfungsvorgang mit dem Telefonnetzwerk
als normal bestimmt wird (Schritt S30: JA), bestimmt die Kommunikations-ECU
3, ob über das Telefonnetzwerk von dem Antidiebstahl-Servicecenter
9 ein Diebstahlsignal empfangen worden ist (Schritt S31). wenn von dem
Antidiebstahl-Servicecenter 9 kein Diebstahlsignal empfangen worden ist
(Schritt S31: NEIN), gibt die Kommunikations-ECU 3 ein Normalbetriebssignal
an das Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU 6, um diese
Vorrichtungen zu betreiben (Schritt S32) und speichert ab, dass sich das Fahrzeug
2 nicht in einem gestohlenen Zustand befindet (Schritt S33).
Im Gegensatz hierzu folgt die Kommunikations-ECU 3 den Abläufen
der Schritte S34 bis S44 entsprechend den Schritten S1 bis S11 in der ersten Ausführungsform,
wenn das Fahrzeug 2 als gestohlen bestimmt wird (Schritt S21: JA) und speichert,
dass das Fahrzeug 2 sich in einem gestohlenen Zustand befindet.
Durch Durchführen der obigen Abläufe verwendet die Kommunikations-ECU
3 ein unterschiedliches Szenario zu dem, wie es in der ersten Ausführungsform
verwendet wurde, um den Betrieb der Motor-ECU 4 zu starten, bevor die Kommunikation
mit dem Fahrzeugnavigationssystem 5 und der Klimaanlagen-ECU
6 überprüft wird, wenn der Kommunikationsüberprüfungsvorgang mit der Motor-ECU
4 als normal bestimmt wurde. Auf diese Weise kann die Motor-ECU
4 zuerst ohne Verzögerung gestartet werden.
In der zweiten Ausführungsform wird die Kommunikation durch eine Verschlüsselung
der Datenkommunikation überprüft. Wie in 6 gezeigt,
enthält die Kommunikations-ECU 3 den bestimmten öffentlichen Schlüssel
für die Motor-ECU 4, das Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU
6 und entsprechende private Schlüssel werden von der Motor-ECU
4, dem Fahrzeugnavigationssystem 5 und der Klimaanlagen-ECU
6 gehalten. Wenn die Kommunikation mit der Motor-ECU 4 überprüft
wird, verwendet die Kommunikations-ECU 3 den bestimmten öffentlichen Schlüssel
für die Motor-ECU 4, um Daten zu kodieren und schickt sie an die Motor-ECU
4. Die Motor-ECU 4 entschlüsselt die Daten von der Kommunikations-ECU
3 unter Verwendung eines entsprechenden privaten Schlüssels für die Motor-ECU
4.
In der zweiten Ausführungsform ist die Kommunikations-ECU
3 programmiert, um eine Kommunikation mit anderen bordseitigen Vorrichtungen
zu bestimmten Intervallen sicherzustellen, welche länger als ein minimaler Schwellenwert
und kürzer als ein maximaler Schwellenwert sind. In diesem Fall kann der untere
Grenzwert und der obere Grenzwert des bestimmten Intervalls entweder vom System
selbst bestimmt werden oder er kann vom Benutzer des Systems festgelegt werden.
Wenn die Kommunikation in einem Intervall überprüft wird, welches entweder länger
als der maximale Schwellenwert oder kürzer als der minimale Schwellenwert ist, d.
h. wenn das Zeitverhalten des Kommunikationsüberprüfungsvorgangs anormal ist, ist
jede der folgenden Vorrichtungen, nämlich die Motor-ECU 4, das Fahrzeugnavigationssystem
5 und die Klimaanlagen-ECU 6 so programmiert, dass sie ihren eigenen
Betrieb stoppt oder ihren eigenen Betrieb einschränkt.
Darüberhinaus sind die Motor-ECU 4, das Fahrzeugnavigationssystem
5 und die Klimaanlagen-ECU 6 programmiert, um eine Kommunikation
sicherzustellen, wenn die Kommunikationsüberprüfung durch die Kommunikations-ECU
3 nicht innerhalb einer bestimmten Zeitdauer begonnen wird. In diesem Fall
kann die bestimmte Zeitdauer von dem System selbst definiert sein oder sie kann
vom Benutzer des Systems bestimmt werden.
Wie oben beschrieben prüft unter den bordseitigen Vorrichtungen des
Fahrzeugs 2 die Kommunikations-ECU 3 die Kommunikation mit anderen
Vorrichtungen, also der Motor-ECU 4, dem Fahrzeugnavigationssystem
5 und der Klimaanlagen-ECU 6 bei der zweiten Ausführungsform des
Systems. Wenn eine Anormalität während des Kommunikationsüberprüfungsvorgangs erkannt
wird, ist das System programmiert, um den Betrieb der anderen bordseitigen Vorrichtungen
zu stoppen. Wenn daher eine der bordseitigen Vorrichtungen aus dem gestohlenen Fahrzeug
2 entfernt wird, verhindert dieses Betriebsschema, dass das System als
eine Gruppe von Vorrichtungen korrekt arbeitet. Im Ergebnis denkt sich ein Dieb,
dass es nicht wert ist, das Fahrzeug zu stehlen und eine Motivation zum Diebstahl
wird verschlechtert, so dass das Fahrzeug 2 geeignet vor Diebstahl geschützt
ist.
Wenn nur die Kommunikations-ECU 3 programmiert ist, um eine
Kommunikation mit den anderen bordseitigen Vorrichtungen sicherzustellen, d. h.
mit der Motor-ECU 4, dem Fahrzeugnavigationssystem 5 und der Klimaanlagen-ECU
6, kann die Steuerung des Antidiebstahlsystems vereinfacht werden und ist
im Aufbau einfach im Vergleich zu dem Betriebsschema der ersten Ausführungsform.
Weiterhin hält die Kommunikations-ECU 3 den bestimmten öffentlichen
Schlüssel für jede der anderen bordseitigen Vorrichtungen und die Motor-ECU
4, das Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU
6 halten ihre eigenen privaten Schlüssel; das System ist programmiert,
eine Kombination durch eine Verschlüsselung der Datenkommunikation mit diesen öffentlichen
Schlüsseln und privaten Schlüsseln sicherzustellen. Die Sicherheit des Systems ist
damit verbessert und die Schritte des Kommunikationsüberprüfungsvorgangs können
nicht ohne weiteres entschlüsselt werden, da der private Schlüssel der Verschlüsselung
von der anderen bordseitigen Vorrichtung gehalten wird, selbst wenn die Kommunikations-ECU
3 aus dem Fahrzeug 2 entfernt wird und der öffentliche Schlüssel
der Kommunikations-ECU 3 entschlüsselt wird.
Wenn der Kommunikationsüberprüfungsvorgang mit der Motor-ECU
4 als normal bestimmt wird, gibt die Kommunikations-ECU 3 ein
Normalbetriebssignal an die Motor-ECU 4 aus, um die Motor-ECU
4 zu betreiben, bevor die Kommunikation mit dem Fahrzeugnavigationssystem
5 und der Klimaanlagen-ECU 6 überprüft wird. Dieses Betriebsschema
ermöglicht dem System, die Motor-ECU 4 an erster Stelle ohne Verzögerung
zu starten und die Einsatzfähigkeit des Systems wird verbessert.
Weiterhin ist die Kommunikations-ECU 3 programmiert, um eine
Kommunikation mit anderen bordseitigen Vorrichtungen zu bestimmten Intervallen sicherzustellen,
die länger als ein minimaler Schwellenwert und kürzer als ein maximaler Schwellenwert
sind. Wenn die Kommunikation öfters als notwendig überprüft wird, kann dies von
einem Dieb herangezogen werden, die verschlüsselten Codes zu entschlüsseln, die
für den Kommunikationsüberprüfungsvorgang verwendet werden. Was dieses Problem betrifft,
so kann eine Überprüfung der Kommunikation in einem bestimmten Intervall länger
als der minimale Schwellenwert die Chance der Entschlüsselung der Schritte des Kommunikationsüberprüfungsvorgangs
durch einen Dieb verringern. Wenn zusätzlich die Kommunikation weniger häufig als
notwendig überprüft wird, kann dies einem Dieb eine längere Zeitdauer verschaffen,
entfernte Vorrichtungen zu benutzen, wenn bordseitige Vorrichtungen aus dem Fahrzeug
2 entfernt werden. Was dieses Problem betrifft, so kann eine Überprüfung
der Kommunikation in einem bestimmten Intervall kürzer als der maximale Schwellenwert
einen Dieb daran hindern, entfernte Vorrichtungen zu missbrauchen.
Weiterhin sind die Vorrichtungen, beispielsweise die Motor-ECU
4, das Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU
6 so programmiert, dass sie entweder ihren eigenen Betrieb stoppen oder
ihren Betrieb einschränken, wenn die Kommunikation von der Kommunikations-ECU
3 in einem Intervall überprüft wird, welches länger als die bestimmte maximale
Dauer ist oder in einem Intervall überprüft wird, welches kürzer
als die bestimmte minimale Dauer ist. Auf diese Weise können die Motor-ECU
4, das Fahrzeugnavigationssystem 5 und die Klimaanlage
4, das Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU
6 ihren eigenen Betrieb geeignet stoppen oder ihren eigenen Betrieb einschränken,
selbst wenn der Kommunikationsüberprüfungsvorgang durch die Kommunikations-ECU
3 aufgrund eines manipulierenden Eingriffs nicht richtig durchgeführt werden
kann.
Weiterhin sind die Motor-ECU 4, das Fahrzeugnavigationssystem
5 und die Klimaanlagen-ECU 6 so programmiert, dass sie einen Kommunikationsüberprüfungsvorgang
durch die Kommunikations-ECU 3 anfordern, wenn die Kommunikation nicht
innerhalb einer bestimmten Zeitdauer überprüft worden ist. Auf diese Weise kann
das System verhindern, dass die Motor-ECU 4, dass Fahrzeugnavigationssystem
5 und die Klimaanlagen-ECU 6 übergangen werden, da die Kommunikation
über eine bestimmte Zeitdauer hinweg nicht überprüft wurde.
Dritte Ausführungsform
Nachfolgend wird eine dritte Ausführungsform unter Bezugnahme auf
7 beschrieben. Der gleiche Abschnitt, wie er in zweiten
Ausführungsform beschrieben worden ist, ist weggelassen und nur der unterschiedliche
Abschnitt wird beschrieben. In der zweiten Ausführungsform überprüft nur die Kommunikations-ECU
3 als eine Steuervorrichtung die Kommunikation. In der dritten Ausführungsform
werden die Kommunikations-ECU 3 und die Motor-ECU 4 als Steuervorrichtung
herangezogen, um die Kommunikation sicherzustellen.
In diesem Fall kontrollieren sowohl die Kommunikations-ECU
3 als auch die Motor-ECU 4 das Fahrzeugnavigationssystem
5 und die Klimaanlagen-ECU 6 und der Grad des eingeschränkten
Betriebs des Fahrzeugnavigationssystems 5 und der Klimaanlagen-ECU
6 wird durch eine Politik bestimmt, dass eine grössere Einschränkung eine
kleinere quasi überstimmt. Daher kann die Motor-ECU 4 als Steuervorrichtung
arbeiten, selbst wenn die Kommunikations-ECU 3 nicht als Steuervorrichtung
benutzt werden kann, da ihr interner Aufbau offengelegt ist, und somit kann verhindert
werden, dass wie in der ersten und zweiten Ausführungsform die bordseitigen Vorrichtungen
korrekt arbeiten. Im Ergebnis impliziert dieses Betriebsschema einem Dieb, dass
es nicht Wert ist, das Fahrzeug zu stehlen, so dass die Motivation zum Diebstahl
herabgesetzt wird und das Fahrzeug geeignet vor einem Diebstahl geschützt wird.
Andere Ausführungsform
Die vorliegende Erfindung ist nicht auf die obigen Ausführungsformen
beschränkt, sondern kann wie folgt abgewandelt oder verbessert werden.
Das Betriebsschema ist nicht nur für die bordseitigen Vorrichtungen
eines Fahrzeugs anwendbar, sondern auch bei Vorrichtungen, welche an anderen Gerätetypen
angeordnet sind.
Wenn eine Funktion der Kommunikationsüberprüfung in jeder Vorrichtung
enthalten ist, kann die Kabelbaumverbindung zwischen den Vorrichtungen ebenfalls
modifiziert werden, um einen geeigneten Aufbau zu haben, der eine unterschiedliche
Anzahl von Signalen etc. aufnehmen kann. Auf diese Weise kann eine solche geschützte
Struktur des Kabelbaums geeignet verhindern, dass das Fahrzeug 2 gestohlen
wird, in dem die Motivation zum Diebstahl herabgesetzt wird und eine Schadensausbreitung
kann ebenfalls unterdrückt werden, wenn bordseitige Vorrichtungen aus einem gestohlenen
Fahrzeug 2 entfernt werden.
KURZE BESCHREIBUNG DER ZEICHNUNGEN
1 zeigt ein schematisches Diagramm der
ersten Ausführungsform der vorliegenden Erfindung.
2 zeigt ein Diagramm, welches verbundene
Vorrichtungen in Form von bordseitigen Vorrichtungen, welche Gegenstand des Kommunikationsüberprüfungsvorgangs
sind und den Kommunikationsüberprüfungsvorgangs-Pfad zu diesen Vorrichtungen darstellt.
3 zeigt ein Flussdiagramm, welches darstellt,
wie die Kommunikations-ECU 3 die Kommunikation mit anderen bordseitigen
Vorrichtungen prüft.
4 zeigt ein Flussdiagramm, welches darstellt,
wie die Kommunikations-ECU 3 die Kommunikation 3 mit der Motor-ECU
4 prüft.
5 zeigt ein Flussdiagramm, welches die
zweite Ausführungsform der vorliegenden Erfindung darstellt.
6 zeigt einen öffentlichen Schlüssel
und einen privaten Schlüssel in jeder der bordseitigen Vorrichtungen.
7 zeigt ein Diagramm, welches die Beziehung
zwischen Steuervorrichtungen, verbundenen Vorrichtungen (Gegenstände des Kommunikationsüberprüfungsvorganges)
und gesteuerten Vorrichtungen darstellt.
ZUSAMMENFASSUNG
Eine Aufgabe der Erfindung ist es, ein Diebstahlverhinderungssystem
zu schaffen, welches ein Fahrzeug auf geeignete Weise vor einem Diebstahl schützt.
Eine Kommunikations-ECU (3), eine Motor-ECU (4), ein Fahrzeugnavigationssystem
(5) und eine Klimaanlagen-ECU (6), welche alle in ein Fahrzeug
(2) eingebaut sind, stehen miteinander in Kommunikation, um eine elektrische
Verbindung oder "Kommunikation" sicherzustellen. Wenn hinsichtlich der Kommunikation
eine Anormalität erkannt wird, stoppen sowohl die angesprochene Vorrichtung als
auch die Vorrichtung, welche den Kommunikationsüberprüfungsvorgang durchführt, ihre
Arbeit. Wenn eine der obigen Vorrichtungen aus dem Fahrzeug (2) entfernt
wird, wenn das Fahrzeug (2) gestohlen wird, verhindert dieses Betriebsschema,
dass die bordseitigen Vorrichtungen als Gesamtsystem korrekt arbeiten. Daher verringert
dieses Operationsschema die Motivation zum Diebstahl ganz erheblich, was zu einem
geeigneten Schutz des Fahrzeugs (2) vor Diebstahl führt.