Die vorliegende Erfindung betrifft ein Antidiebstahlsystem, welches verhindert, dass ein Objekt mit miteinander verbundenen bordseitigen Vorrichtungen, beispielsweise ein Fahrzeug oder dergleichen, gestohlen wird.

Es ist allgemein bekannt, dass es eine Vorrichtung gibt, welche den Diebstahl eines Fahrzeugs verhindert, indem der Betrieb eines Motors nicht gestattet wird, wenn ein Diebstahlsignal von einem Antidiebstahl-Servicecenter empfangen wird (beispielsweise JP-A-2002-59812).

Es kann jedoch vorhergesehen werden, dass die Vorrichtung nach dem Stand der Technik die erwartete Funktionalität beim Verhindern eines Fahrzeugdiebstahls nicht geeignet erhöhen kann, wenn die Vorrichtung selbst aus dem Fahrzeug entfernt wird, d.h. sie kann das Diebstahlsignal von dem Antidiebstahl-Servicecenter nicht empfangen, um das Anlassen des Motors zu unterbinden.

Angesichts des voranstehenden Problems ist das Antidiebstahlsystem der vorliegenden Erfindung auf die Bereitstellung eines Systems gerichtet, welches auf geeignete Weise verhindert, dass das Objekt mit bordseitigen Vorrichtungen, beispielsweise das Fahrzeug gestohlen wird, indem die Diebstahlsmotivation wesentlich verringert/verschlechtert wird.

Bei dem Antidiebstahlsystem der vorliegenden Erfindung kommuniziert eine der Vorrichtungen eines Objekts mit bordseitigen Vorrichtungen, beispielsweise eines Fahrzeugs, mit dem Rest der bordseitigen Vorrichtungen, um die elektrische Verbindung zu überprüfen, bevor ihr eigener Betrieb und derjenige der restlichen bordseitigen Vorrichtungen begonnen wird. Wenn die elektrische Verbindung oder "Kommunikation" nicht festgestellt wird, unterbricht das Antidiebstahlsystem entweder den Betrieb sowohl von sich selbst als auch anderen Vorrichtungen oder schränkt die jeweiligen Betriebe hiervon ein.

Daher wird eine Verbindunganormalität zwischen einer der bordseitigen Vorrichtungen und den anderen Vorrichtungen erkannt, wenn das Objekt mit den bordseitigen Vorrichtungen gestohlen wird und irgendeine der bordseitigen Vorrichtungen, welche mit den anderen verbunden ist, von dem Objekt entfernt wird. Dies löst entweder das Unterbrechen des Betriebs der Vorrichtung und der anderen bordseitigen Vorrichtungen aus oder ermöglicht alternativ einen eingeschränkten Betrieb der Vorrichtung und der anderen bordseitigen Vorrichtungen und bewirkt, dass das gesamte System als eine Vorrichtungsgruppe nicht richtig arbeitet. Somit entmutigt ein Objekt mit bordseitigen Vorrichtungen mit diesem eingebauten Antidiebstahlsystem einen Dieb auf geeignete Weise, das Fahrzeug zu stehlen, indem er/sie veranlasst wird, einen Diebstahl als nicht lohnenswert zu betrachten und seine/ihre Motivation für den Diebstahl herabgesetzt wird.

In diesem Fall kann eine Gruppe der bordseitigen Vorrichtungen an dem Objekt mit den bordseitigen Vorrichtungen mit der anderen Gruppe von bordseitigen Vorrichtungen kommunizieren oder jede Vorrichtung des Objekts mit den bordseitigen Vorrichtungen kann mit anderen bordseitigen Vorrichtungen für einen Kommunikationsprüfvorgang kommunizieren. Weiterhin kann Gegenstand des Kommunikationsprüfvorgangs ein Teil aller bordseitigen Vorrichtungen sein oder er kann alle bordseitigen Vorrichtungen betreffen. Weiterhin kann ein eingeschränkter Betrieb nur der Vorrichtung selbst auferlegt werden, bei der eine Anormalität während des Kommunikationsprüfvorgangs mit anderen Vorrichtungen erkannt wurde oder er kann nur den anderen Vorrichtungen auferlegt werden.

Wenn die Kommunikation jeweils zwischen allen bordseitigen Vorrichtungen überprüft wird, kann jegliche Kommunikationsanormalität erkannt werden, d. h. jede entfernte Vorrichtung kann erkannt werden, da ein Kommunikationsverlust zwischen der entfernten Vorrichtung und den nicht entfernten Vorrichtungen auftritt. Im Ergebnis beenden entweder die nichtentfernten Vorrichtungen ihren Betrieb oder die nichtentfernten Vorrichtungen schränken ihren eigenen Betrieb ein und die Gruppe von Vorrichtungen als ein System wird daran gehindert, richtig zu arbeiten. In diesem Fall kann der Gegenstand des Kommunikationsprüfvorgangs auch ein Teil aller bordseitigen Vorrichtungen sein oder er kann alle bordseitigen Vorrichtungen umfassen.

Eine Kommunikation zwischen einer Vorrichtung und der anderen Vorrichtung wird bevorzugt mittels einer verschlüsselten Kommunikation überprüft. Auf diese Weise kann ein Herausfinden der Schritte des Kommunikationsüberprüfungsvorgangs verhindert werden und damit kann die Sicherheit des Systems erhöht werden. Für diesen Zweck kann eine "symmetric-key cryptography" oder "public key cryptography" verwendet werden.

Eine der bordseitigen Vorrichtungen kann als die Steuerung zum Überprüfen der Kommunikation mit den anderen bordseitigen Vorrichtungen festgelegt werden. Auf diese Weise kann eine Steuerung des Kommunikationsüberprüfungsvorgangs im Vergleich zu einem Kommunikationsüberprüfungsvorgang vereinfacht werden, bei dem jede bordseitige Vorrichtung mit einer anderen kommuniziert, so dass das System einfach aufgebaut werden kann.

Eine der bordseitigen Vorrichtungen, welche als Steuerung festgelegt ist, besitzt einen öffentlichen Schlüssel ("public key") für eine entsprechende Vorrichtung und die entsprechende Vorrichtung besitzt einen privaten Schlüssel ("private key"), der mit dem öffentlichen Schlüssel gekoppelt ist, welcher in der Vorrichtung festgelegt ist, die als Steuerung dient. Unter Verwendung dieser Schlüssel, d. h. mit einem öffentlichen Schlüssel in der Steuerung und einem privaten Schlüssel in der entsprechenden Vorrichtung kann ein Kommunikationsüberprüfungsvorgang zwischen diesen beiden Vorrichtungen durch eine verschlüsselte Kommunikation durchgeführt werden.

Auf diese Weise können die Schritte des Kommunikationsüberprüfungsvorgangs etc. auf sichere Weise geheimgehalten werden und die Sicherheit des Systems kann erhöht werden, selbst wenn die Steuerung entfernt wird und der öffentliche Schlüssel in der Steuerung decodiert wird, da die entsprechende Vorrichtung ihren eigenen privaten Schlüssel beibehält.

Eine der bordseitigen Vorrichtungen, welche als Steuerung festgelegt ist, hat bevorzugt eine Kommunikationsfunktion mit einer externen Einrichtung. Auf diese Weise kann die als Steuerung festgelegte bordseitige Vorrichtung beispielsweise ein Diebstahlsignal empfangen, welches unter Verwendung eines Telefonnetzwerks von einem Antidiebstahl-Servicecenter geschickt wird.

Eine der bordseitigen Vorrichtungen, welche als Steuerung festgelegt ist, überprüft bevorzugt die Kommunikation mit anderen bordseitigen Vorrichtungen basierend auf einer Prioritätsreihenfolge des Rests der bordseitigen Vorrichtungen. Auf diese Weise kann der Kommunikationsüberprüfungsvorgang mit gewissen bordseitigen Vorrichtungen vor dem Kommunikationsüberprüfungsvorgang mit dem Rest der bordseitigen Vorrichtungen durchgeführt werden.

Eine der bordseitigen Vorrichtungen, welche als Steuerung festgelegt ist, überprüft die Kommunikation mit einem Teil des Rests der bordseitigen Vorrichtungen zuerst und überprüft dann die Kommunikation mit allen anderen bordseitigen Vorrichtungen, nachdem ein normaler Kommunikationsüberprüfungsvorgang mit dem Teil des Rests der bordseitigen Vorrichtungen erkannt wurde und beginnt den Betrieb des Teils vom Rest der bordseitigen Vorrichtungen. Auf diese Weise kann eine Kommunikation mit beispielsweise einer Motor-ECU vor dem Rest der bordseitigen Vorrichtungen überprüft werden und somit kann die Anwendungsfähigkeit des Systems verbessert werden, indem die Motor-ECU in vorteilhafter Weise gestartet wird, bevor die Kommunikation mit den anderen Vorrichtungen überprüft wird.

Eine bordseitige Vorrichtung, welche als Steuerung festgelegt worden ist, überprüft bevorzugt die Kommunikation mit den anderen bordseitigen Vorrichtungen zu bestimmten Intervallen, welche länger als ein minimaler Schwellenwert und kürzer als ein maximaler Schwellenwert sind. Wenn ein Kommunikationsüberprüfungsvorgang öfter als notwendig durchgeführt wird, kann dies für einen Dieb bei der Entschlüsselung des Verschlüsselungscodes der Schritte, welche für den Kommunikationsüberprüfungsvorgang verwendet werden, von Vorteil sein. Was dieses Problem betrifft, kann eine Überprüfung der Kommunikation zu bestimmten Intervallen länger als der minimale Schwellenwert die Chance zum Entschlüsseln der Schritte des Kommunikationsüberprüfungsvorgangs durch einen Dieb verringern. Wenn zusätzlich die Kommunikation weniger häufig als notwendig überprüft wird, kann dies einem Dieb eine längere Zeit zum Missbrauch entfernter Vorrichtungen bieten, wenn bordseitige Vorrichtungen aus dem Fahrzeug entfernt werden. was dieses Problem betrifft, kann eine Überprüfung der Kommunikation in einem bestimmten Intervall kürzer als der maximale Schwellenwert die entfernte Vorrichtung vor einem Missbrauch über eine längere Zeit durch einen Dieb schützen.

Die anderen bordseitigen Vorrichtungen können ihren eigenen Betrieb stoppen oder sie können ihren eigenen Betrieb einschränken, wenn eine Kommunikation durch die als Steuerung festgesetzte Vorrichtung in einem Intervall länger als ein maximaler Schwellenwert oder in einem Intervall kürzer als ein minimaler Schwellenwert überprüft wird. Auf diese Weise können die anderen bordseitigen Vorrichtungen ihren Eigenbetrieb auf geeignete Weise stoppen oder ihren Eigenbetrieb einschränken, selbst wenn eine Kommunikation durch die als Steuerung festgesetzte Vorrichtung aufgrund eines manipulierenden Eingriffs nicht überprüft werden kann.

Die anderen Vorrichtungen können bevorzugt programmiert werden, um einen Kommunikationsüberprüfungsvorgang durch die als Steuerung festgesetzte Vorrichtung anzufordern, wenn die Kommunikation von der Steuerung nach Ablauf einer bestimmten Zeitdauer nicht überprüft worden ist. Auf diese Weise kann das System den Rest der Vorrichtungen vor einer Nichtbeachtung schützen, wenn die Kommunikation von der als Steuerung festgesetzten Vorrichtung nicht nach Ablauf einer bestimmten Zeitdauer überprüft wird. Das heisst, ein Ausfall des Kommunikationsüberprüfungsvorgangs mit den anderen bordseitigen Vorrichtungen beispielsweise aufgrund eines Spannungsabfalls in dem Gesamtsystem kann verhindert werden, wenn die Spannung in dem Gesamtsystem abfällt.

Die erste Ausführungsform der vorliegenden Erfindung, d. h. die Anwendung der vorliegenden Erfindung bei einem System mit bordseitigen Vorrichtungen wird hier unter Bezugnahme auf die 1 bis 4 beschrieben. Die erste Ausführungsform entspricht den Ansprüchen 1 bis 3.

1 zeigt den strukturellen Aufbau des Gesamtsystems. Das Antidiebstahlsystem 1 weist eine Kommunikations-ECU 3, eine Motor-ECU 4, ein Fahrzeugnavigationssystem 5 und eine Klimaanlagen-ECU 6 auf, welche untereinander in einem Fahrzeug 2 (einem Objekt mit bordseitigen Vorrichtungen im Sinn der vorliegenden Erfindung) verbunden sind. Eine erste Kommunikationsleitung 7 verbindet die Kommunikations-ECU 3, die Motor-ECU 4 und das Fahrzeugnavigationssystem 5 und eine zweite Kommunikationsleitung 8 verbindet das Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU 6.

Jede dieser Vorrichtungen, d. h. die Kommunikations-ECU 3, die Motor-ECU 4, das Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU 6 überprüft eine elektrische Verbindung oder "Kommunikation" mit den anderen bordseitigen Vorrichtungen. Auf diese Weise überprüft die Kommunikations-ECU 3 die Kommunikation mit der Motor-ECU 4 über die erste Kommunikationsleitung 7. Die Kommunikations-ECU 3 überprüft auch die Kommunikation mit dem Fahrzeugnavigationssystem über die erste Kommunikationsleitung 7. Weiterhin überprüft die Kommunikations-ECU 3 die Kommunikation mit der Klimaanlage 6 über die erste Kommunikationsleitung 7, das Fahrzeugnavigationssystem 5 und die zweite Kommunikationsleitung 8.

Auf gleiche Weise wie oben beschrieben überprüft jede der folgenden Vorrichtungen, d. h. die Motor-ECU 4, die Fahrzeugnavigations-ECU 5 und die Klimaanlagen-ECU 6 eine Kommunikation mit den anderen Vorrichtungen. 2 zeigt eine Liste von Kommunikationsüberprüfungsvorgangsbeziehungen und von Kommunikationsüberprüfungsvorgangspfaden einer jeden bordseitigen Vorrichtung mit der Steuerung. Was den Kommunikationsüberprüfungsvorgang betrifft, überprüft jede der folgenden Vorrichtungen, d.h. die Kommunikations-ECU 3, die Motor-ECU 4, das Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU 6 die Kommunikation unter Verwendung einer Datenkommunikation. Wenn eine Datenkommunikation erfolgreich abgeschlossen ist, wird dies als normale Kommunikation erkannt und wenn die Datenkommunikation nicht vollständig ist, wird dies als Kommunikationsfehler betrachtet.

Bei dem obenbeschriebenen Betriebsschema schickt die Kommunikations-ECU 3 ein Signal betreffend den momentanen Standort bei Empfang eines Diebstahlsignals über das Telefonnetzwerk an das Antidiebstahl-Servicecenter 9, wenn sich das Fahrzeug 2 in dem Zustand "gestohlen" befindet.

Die Arbeitsweise des oben erläuterten Schemas wird nachfolgend unter Bezugnahme auf die 3 und 4 beschrieben. In diesem Fall sei die Kommunikations-ECU 3 als ein Beispiel zur Sicherstellung der Kommunikation mit den anderen Vorrichtungen genommen. Die Kommunikations-ECU 3 überprüft eine Kommunikation mit der Motor-ECU 4 über die erste Kommunikationsleitung 7 (Schritt S1). Wenn die Kommunikations-ECU 3 eine erfolgreiche Datenkommunikation mit der Motor-ECU 4 erkennt, bestimmt sie, dass die Kommunikation zwischen der Kommunikations-ECU 3 und der Motor-ECU 4 normal ist (Schritt S2: JA).

Danach überprüft die Kommunikations-ECU 3 die Kommunikation mit dem Fahrzeugnavigationssystem 5 über die erste Kommunikationsleitung 7 (Schritt S3). Wenn die Kommunikations-ECU 3 eine erfolgreiche Datenkommunikation mit dem Fahrzeugnavigationssystem 5 erkennt, bestimmt sie, dass die Kommunikation zwischen der Kommunikations-ECU 3 und dem Fahrzeugnavigationssystem 5 normal ist (Schritt S4: JA). Danach überprüft die Kommunikations-ECU 3 die Kommunikation mit der Klimaanlagen-ECU 6 über die erste Kommunikationsleitung 7, das Fahrzeugnavigationssystem 5 und die zweite Kommunikationsleitung 8 (Schritt S5). Wenn die Kommunikations-ECU 3 eine erfolgreiche Datenkommunikation mit der Klimaanlagen-ECU 6 erkennt, bestimmt sie, dass die Kommunikation zwischen der Kommunikations-ECU 3 und der Klimaanlagen-ECU 6 normal ist (Schritt S6: JA).

Nachfolgend prüft die Kommunikations-ECU 3 die Kommunikation mit dem Telefonnetzwerk (Schritt S7). Wenn die Kommunikations-ECU 3 eine normale Kommunikation mit dem Telefonnetzwerk erkennt (Schritt S8: JA), bestimmt sie, ob ein Diebstahlsignal von dem Antidiebstahl-Servicecenter 9 über das Telefonnetzwerk empfangen wurde (Schritt S9). Wenn die Kommunikations-ECU 3 erkennt, dass kein Diebstahlsignal von dem Antidiebstahl-Servicecenter geschickt worden ist (Schritt S9: NEIN), gibt sie ein normales Betriebssignal zum Betreiben der Motor-ECU 4, des Fahrzeugnavigationssystems 5 und der Klimaanlagen-ECU 6 aus (Schritt S10).

Wenn andererseits eine Anormalität in der Kommunikation zwischen der Kommunikations-ECU 3 und der Motor-ECU 4 (Schritt S2: NEIN) oder zwischen der Kommunikations-ECU 3 und dem Fahrzeugnavigationssystem 5 (Schritt S4: NEIN) oder zwischen der Kommunikations-ECU 3 und der Klimaanlagen-ECU 6 (Schritt S6: NEIN) erkannt wird, schickt die Kommunikations-ECU 3 ein Betriebsstopsignal, um den Betrieb der Motor-ECU 4 oder des Fahrzeugnavigationssystem 5 oder der Klimaanlagen-ECU 6 zu stoppen (Schritt S11).

Durch die obenbeschriebenen Abläufe betreibt die Kommunikations-ECU 3 die Motor-ECU 4, das Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU 6 unter der Bedingung normal, dass die Kommunikation mit diesen Vorrichtungen und mit dem Telefonnetzwerk normal ist und dass von dem Antidiebstahl-Servicecenter 9 kein Diebstahlsignal ausgeschickt wird. Im Gegensatz hierzu stoppt die Kommunikations-ECU 3 den Betrieb der Motor-ECU 4, des Fahrzeugnavigationssystem 5 und der Klimaanlagen-ECU 6, wenn die Kommunikation mit diesen Vorrichtungen oder mit dem Telefonnetzwerk nicht normal ist oder wenn von dem Antidiebstahl-Servicecenter 9 ein Diebstahlsignal ausgeschickt wird.

In den obenbeschriebenen Fällen kann die Kommunikations-ECU 3 auch den Betrieb der Motor-ECU 4, des Fahrzeugnavigationssystems und der Klimaanlagen-ECU 6 einschränken, anstelle den Betrieb dieser Vorrichtungen anzuhalten. Weiterhin arbeitet die Kommunikations-ECU 3 selbst normal, wenn die Kommunikation mit den anderen Vorrichtungen normal ist und kann entweder ihren eigenen Betrieb stoppen oder ihren eigenen Betrieb einschränken, wenn die Kommunikation mit den anderen Vorrichtungen nicht normal ist.

Die Details des Kommunikationsüberprüfungsvorganges gemäss obiger Beschreibung werden nachfolgend erläutert. In 4 sind die Schritte des Kommunikationsüberprüfungsvorgangs zwischen der Kommunikations-ECU 3 und der Motor-ECU 4 als Beispiel genommen.

Die Kommunikations-ECU 3 erzeugt eine Zufallszahl X1 (Schritt T1) und schickt ein Signal ml mit der Zufallszahl X1 an die Motor-ECU 4. Beim Empfang des Signals ml von der Kommunikations-ECU 3 entnimmt die Motor-ECU 4 die Zufallszahl X1 aus dem Signal ml und verschlüsselt die Zufallszahl X1, um eine Zufallszahl X2 zu erzeugen (Schritt T2) und erzeugt eine Zufallszahl Y1 (Schritt T3). Danach schickt die Motor-ECU 4 ein Signal m2 mit den Zufallszahlen X2 und Y1 an die Kommunikations-ECU 3.

Bei Empfang des Signals m2 von der Motor-ECU 4 entnimmt die Kommunikations-ECU 3 die Zufallszahlen X2 und Y1 aus dem Signal m2 und bestimmt, ob in der Motor-ECU 4 die Verschlüsselung normal durchgeführt wurde, indem zu der Zufallszahl X2 (Schritt T4) unterschieden wird. wenn die Kommunikations-ECU 3 eine normale Verschlüsselung in der Motor-ECU 4 erkennt, verschlüsselt sie die Zufallszahl Y1, um eine Zufallszahl Y2 zu erzeugen (Schritt T5) und schickt ein Signal m3 mit der Zufallszahl Y2 an die Motor-ECU 4.

Bei Empfang des Signals m3 von der Kommunikations-ECU 3 entnimmt die Motor-ECU 4 die Zufallszahl Y2 aus dem Signal m3 und bestimmt, ob die Verschlüsselung in der Kommunikations-ECU 3 normal durchgeführt wurde, indem zur Zufallszahl Y2 unterschieden wird (Schritt T6). Wenn die Motor-ECU 4 eine normale Verschlüsselung in der Kommunikations-ECU 3 erkennt, schickt sie ein Signal m4 an die Kommunikations-ECU 3. Die Kommunikations-ECU 3 erkennt eine normale Datenkommunikation mit der Motor-ECU 4 bei Empfang des Signals m4 von der Motor-ECU 4 und schliesst diesen Kommunikationsüberprüfungsvorgang zwischen der Kommunikations-ECU 3 und der Motor-ECU 4 ab.

Die Kommunikations-ECU 3 überprüft eine Kommunikation mit der Motor-ECU 4 durch Verschlüsselung der Datenkommunikation in den obenbeschriebenen Schritten und überprüft die Kommunikation mit dem Fahrzeugnavigationssystem 5 und der Klimaanlagen-ECU 6 auf gleiche Weise durch eine Verschlüsselung der Datenkommunikation. Der Kommunikationsüberprüfungsvorgang zwischen den anderen Vorrichtungen wird auf gleiche Weise durch eine Verschlüsselung der Datenkommunikation durchgeführt.

Die Zufallszahlen X1 und Y1 können wirksam Daten für den Kommunikationsüberprüfungsvorgang verschlüsseln, wenn sie in jedem Kommunikationsüberprüfungsvorgang zufallsmässig erzeugt werden. Genauergesagt, das obige Schema kann umgesetzt werden, indem die Kommunikations-ECU 3 und die Motor-ECU 4 eine Mehrzahl von Zufallszahlen in ihren Speichern abspeichern und einander bei jedem Ablauf eines Kommunikationsüberprüfungsvorgangs darüber informieren, welche Zufallszahl sie verwenden. Der alternative Weg zur Bestimmung der Zufallszahl ist, dass eine bestimmte Reihenfolge von Zufallszahlen in einem nichtflüchtigen Speicher gehalten wird und die Zufallszahl abhängig von der Reihenfolge zwischen der Kommunikations-ECU 3 und der Motor-ECU 4 aufgerufen wird.

In der ersten Ausführungsform der vorliegenden Erfindung ist das Ablaufschema im Antidiebstahlsystem so programmiert, dass der Betrieb der anderen Vorrichtung gestoppt wird, wenn in dem Kommunikationsüberprüfungsvorgang, der von jeder der bordseitigen Vorrichtungen des Fahrzeugs 2 durchgeführt wird, eine Anormalität erkannt wird, d. h. von der Kommunikations-ECU 3, der Motor-ECU 4, dem Fahrzeugnavigationssystem 5 und der Klimaanlagen-ECU 6. Wenn das Fahrzeug 2 gestohlen wird und eine der bordseitigen Vorrichtungen ausgebaut wird, wird das Gesamtsystem an bordseitigen Vorrichtungen an einer korrekten Arbeitsweise gehindert. Im Ergebnis lässt dies einen Dieb erwägen, dass sich der Diebstahl nicht lohnt, so dass die Motivation zum Diebstahl wesentlich abnimmt. Dies wiederum schützt das Fahrzeug 2 auf geeignete Weise vor einem Diebstahl. Zusätzlich werden die Schritte des Kommunikationsüberprüfungsvorgangs durch die verschlüsselten Daten des Kommunikationsüberprüfungsvorgangs zwischen den bordseitigen Vorrichtungen geschützt, so dass die Sicherheit des Antidiebstahlsystems verbessert ist.

Nachfolgend wird die zweite Ausführungsform der vorliegenden Erfindung unter Bezugnahme auf die 5 und 6 beschrieben. In dieser Beschreibung wird der gleiche Abschnitt wie in der ersten Ausführungsform weggelassen und nur die Unterschiede werden beschrieben. Die zweite Ausführungsform entspricht den Ansprüchen 1, 4 und 11.

In der ersten Ausführungsform ist jede der folgenden Vorrichtungen, nämlich die Kommunikations-ECU 3, die Motor-ECU 4, das Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU 6 so programmiert, dass eine Kommunikation mit anderen Vorrichtungen sichergestellt ist. Bei der zweiten Ausführungsform überprüft die Kommunikations-ECU 3 die Kommunikation mit der Motor-ECU 4, dem Fahrzeugnavigationssystem 5 und der Klimaanlagen-ECU 6 und der Kommunikationsüberprüfungsvorgang durch die Motor-ECU 4, das Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU 6 ist weggelassen. Mit anderen Worten, die Kommunikations-ECU 3 ist als eine Steuervorrichtung der vorliegenden Erfindung programmiert.

Bei diesem Betriebsschema bestimmt die Kommunikations-ECU 3 zuerst, ob sich das Fahrzeug 2 in einem gestohlenen Zustand befindet oder nicht (Schritt S21). Wenn das Fahrzeug als sich nicht in einem gestohlenen Zustand befindlich bestimmt wird (Schritt S21: NEIN), prüft die Kommunikations-ECU 3 die Kommunikation mit der Motor-ECU 4 (Schritt S22). Wenn der Kommunikationsüberprüfungsvorgang mit der Motor-ECU 4 als normal bestimmt wird (Schritt S23: JA), gibt die Kommunikations-ECU 3 ein Normalbetriebssignal an die Motor-ECU 4 aus, um die Motor-ECU 4 zu betreiben, bevor die Kommunikation mit dem Fahrzeugnavigationssystem 5 und der Klimaanlagen-ECU 6 überprüft wird (Schritt S24).

Nachfolgend überprüft die Kommunikations-ECU 3 die Kommunikation mit dem Fahrzeugnavigationssystem 5 (Schritt S25). Wenn der Kommunikationsüberprüfungsvorgang mit dem Fahrzeugnavigationssystem als normal bestimmt wird (Schritt S26: JA), prüft die Kommunikations-ECU 3 die Kommunikation mit der Klimaanlagen-ECU 6 (Schritt S27). Wenn der Kommunikationsüberprüfungsvorgang mit der Klimaanlagen-ECU 6 als normal bestimmt wird (Schritt S28: JA), prüft die Kommunikations-ECU 3 die Kommunikation mit dem Telefonnetzwerk (Schritt S29).

Wenn der Kommunikationsüberprüfungsvorgang mit dem Telefonnetzwerk als normal bestimmt wird (Schritt S30: JA), bestimmt die Kommunikations-ECU 3, ob über das Telefonnetzwerk von dem Antidiebstahl-Servicecenter 9 ein Diebstahlsignal empfangen worden ist (Schritt S31). wenn von dem Antidiebstahl-Servicecenter 9 kein Diebstahlsignal empfangen worden ist (Schritt S31: NEIN), gibt die Kommunikations-ECU 3 ein Normalbetriebssignal an das Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU 6, um diese Vorrichtungen zu betreiben (Schritt S32) und speichert ab, dass sich das Fahrzeug 2 nicht in einem gestohlenen Zustand befindet (Schritt S33).

Im Gegensatz hierzu folgt die Kommunikations-ECU 3 den Abläufen der Schritte S34 bis S44 entsprechend den Schritten S1 bis S11 in der ersten Ausführungsform, wenn das Fahrzeug 2 als gestohlen bestimmt wird (Schritt S21: JA) und speichert, dass das Fahrzeug 2 sich in einem gestohlenen Zustand befindet.

Durch Durchführen der obigen Abläufe verwendet die Kommunikations-ECU 3 ein unterschiedliches Szenario zu dem, wie es in der ersten Ausführungsform verwendet wurde, um den Betrieb der Motor-ECU 4 zu starten, bevor die Kommunikation mit dem Fahrzeugnavigationssystem 5 und der Klimaanlagen-ECU 6 überprüft wird, wenn der Kommunikationsüberprüfungsvorgang mit der Motor-ECU 4 als normal bestimmt wurde. Auf diese Weise kann die Motor-ECU 4 zuerst ohne Verzögerung gestartet werden.

In der zweiten Ausführungsform wird die Kommunikation durch eine Verschlüsselung der Datenkommunikation überprüft. Wie in 6 gezeigt, enthält die Kommunikations-ECU 3 den bestimmten öffentlichen Schlüssel für die Motor-ECU 4, das Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU 6 und entsprechende private Schlüssel werden von der Motor-ECU 4, dem Fahrzeugnavigationssystem 5 und der Klimaanlagen-ECU 6 gehalten. Wenn die Kommunikation mit der Motor-ECU 4 überprüft wird, verwendet die Kommunikations-ECU 3 den bestimmten öffentlichen Schlüssel für die Motor-ECU 4, um Daten zu kodieren und schickt sie an die Motor-ECU 4. Die Motor-ECU 4 entschlüsselt die Daten von der Kommunikations-ECU 3 unter Verwendung eines entsprechenden privaten Schlüssels für die Motor-ECU 4.

In der zweiten Ausführungsform ist die Kommunikations-ECU 3 programmiert, um eine Kommunikation mit anderen bordseitigen Vorrichtungen zu bestimmten Intervallen sicherzustellen, welche länger als ein minimaler Schwellenwert und kürzer als ein maximaler Schwellenwert sind. In diesem Fall kann der untere Grenzwert und der obere Grenzwert des bestimmten Intervalls entweder vom System selbst bestimmt werden oder er kann vom Benutzer des Systems festgelegt werden. Wenn die Kommunikation in einem Intervall überprüft wird, welches entweder länger als der maximale Schwellenwert oder kürzer als der minimale Schwellenwert ist, d. h. wenn das Zeitverhalten des Kommunikationsüberprüfungsvorgangs anormal ist, ist jede der folgenden Vorrichtungen, nämlich die Motor-ECU 4, das Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU 6 so programmiert, dass sie ihren eigenen Betrieb stoppt oder ihren eigenen Betrieb einschränkt.

Darüberhinaus sind die Motor-ECU 4, das Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU 6 programmiert, um eine Kommunikation sicherzustellen, wenn die Kommunikationsüberprüfung durch die Kommunikations-ECU 3 nicht innerhalb einer bestimmten Zeitdauer begonnen wird. In diesem Fall kann die bestimmte Zeitdauer von dem System selbst definiert sein oder sie kann vom Benutzer des Systems bestimmt werden.

Wie oben beschrieben prüft unter den bordseitigen Vorrichtungen des Fahrzeugs 2 die Kommunikations-ECU 3 die Kommunikation mit anderen Vorrichtungen, also der Motor-ECU 4, dem Fahrzeugnavigationssystem 5 und der Klimaanlagen-ECU 6 bei der zweiten Ausführungsform des Systems. Wenn eine Anormalität während des Kommunikationsüberprüfungsvorgangs erkannt wird, ist das System programmiert, um den Betrieb der anderen bordseitigen Vorrichtungen zu stoppen. Wenn daher eine der bordseitigen Vorrichtungen aus dem gestohlenen Fahrzeug 2 entfernt wird, verhindert dieses Betriebsschema, dass das System als eine Gruppe von Vorrichtungen korrekt arbeitet. Im Ergebnis denkt sich ein Dieb, dass es nicht wert ist, das Fahrzeug zu stehlen und eine Motivation zum Diebstahl wird verschlechtert, so dass das Fahrzeug 2 geeignet vor Diebstahl geschützt ist.

Wenn nur die Kommunikations-ECU 3 programmiert ist, um eine Kommunikation mit den anderen bordseitigen Vorrichtungen sicherzustellen, d. h. mit der Motor-ECU 4, dem Fahrzeugnavigationssystem 5 und der Klimaanlagen-ECU 6, kann die Steuerung des Antidiebstahlsystems vereinfacht werden und ist im Aufbau einfach im Vergleich zu dem Betriebsschema der ersten Ausführungsform.

Weiterhin hält die Kommunikations-ECU 3 den bestimmten öffentlichen Schlüssel für jede der anderen bordseitigen Vorrichtungen und die Motor-ECU 4, das Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU 6 halten ihre eigenen privaten Schlüssel; das System ist programmiert, eine Kombination durch eine Verschlüsselung der Datenkommunikation mit diesen öffentlichen Schlüsseln und privaten Schlüsseln sicherzustellen. Die Sicherheit des Systems ist damit verbessert und die Schritte des Kommunikationsüberprüfungsvorgangs können nicht ohne weiteres entschlüsselt werden, da der private Schlüssel der Verschlüsselung von der anderen bordseitigen Vorrichtung gehalten wird, selbst wenn die Kommunikations-ECU 3 aus dem Fahrzeug 2 entfernt wird und der öffentliche Schlüssel der Kommunikations-ECU 3 entschlüsselt wird.

Wenn der Kommunikationsüberprüfungsvorgang mit der Motor-ECU 4 als normal bestimmt wird, gibt die Kommunikations-ECU 3 ein Normalbetriebssignal an die Motor-ECU 4 aus, um die Motor-ECU 4 zu betreiben, bevor die Kommunikation mit dem Fahrzeugnavigationssystem 5 und der Klimaanlagen-ECU 6 überprüft wird. Dieses Betriebsschema ermöglicht dem System, die Motor-ECU 4 an erster Stelle ohne Verzögerung zu starten und die Einsatzfähigkeit des Systems wird verbessert.

Weiterhin ist die Kommunikations-ECU 3 programmiert, um eine Kommunikation mit anderen bordseitigen Vorrichtungen zu bestimmten Intervallen sicherzustellen, die länger als ein minimaler Schwellenwert und kürzer als ein maximaler Schwellenwert sind. Wenn die Kommunikation öfters als notwendig überprüft wird, kann dies von einem Dieb herangezogen werden, die verschlüsselten Codes zu entschlüsseln, die für den Kommunikationsüberprüfungsvorgang verwendet werden. Was dieses Problem betrifft, so kann eine Überprüfung der Kommunikation in einem bestimmten Intervall länger als der minimale Schwellenwert die Chance der Entschlüsselung der Schritte des Kommunikationsüberprüfungsvorgangs durch einen Dieb verringern. Wenn zusätzlich die Kommunikation weniger häufig als notwendig überprüft wird, kann dies einem Dieb eine längere Zeitdauer verschaffen, entfernte Vorrichtungen zu benutzen, wenn bordseitige Vorrichtungen aus dem Fahrzeug 2 entfernt werden. Was dieses Problem betrifft, so kann eine Überprüfung der Kommunikation in einem bestimmten Intervall kürzer als der maximale Schwellenwert einen Dieb daran hindern, entfernte Vorrichtungen zu missbrauchen.

Weiterhin sind die Vorrichtungen, beispielsweise die Motor-ECU 4, das Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU 6 so programmiert, dass sie entweder ihren eigenen Betrieb stoppen oder ihren Betrieb einschränken, wenn die Kommunikation von der Kommunikations-ECU 3 in einem Intervall überprüft wird, welches länger als die bestimmte maximale Dauer ist oder in einem Intervall überprüft wird, welches kürzer als die bestimmte minimale Dauer ist. Auf diese Weise können die Motor-ECU 4, das Fahrzeugnavigationssystem 5 und die Klimaanlage 4, das Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU 6 ihren eigenen Betrieb geeignet stoppen oder ihren eigenen Betrieb einschränken, selbst wenn der Kommunikationsüberprüfungsvorgang durch die Kommunikations-ECU 3 aufgrund eines manipulierenden Eingriffs nicht richtig durchgeführt werden kann.

Weiterhin sind die Motor-ECU 4, das Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU 6 so programmiert, dass sie einen Kommunikationsüberprüfungsvorgang durch die Kommunikations-ECU 3 anfordern, wenn die Kommunikation nicht innerhalb einer bestimmten Zeitdauer überprüft worden ist. Auf diese Weise kann das System verhindern, dass die Motor-ECU 4, dass Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU 6 übergangen werden, da die Kommunikation über eine bestimmte Zeitdauer hinweg nicht überprüft wurde.

Nachfolgend wird eine dritte Ausführungsform unter Bezugnahme auf 7 beschrieben. Der gleiche Abschnitt, wie er in zweiten Ausführungsform beschrieben worden ist, ist weggelassen und nur der unterschiedliche Abschnitt wird beschrieben. In der zweiten Ausführungsform überprüft nur die Kommunikations-ECU 3 als eine Steuervorrichtung die Kommunikation. In der dritten Ausführungsform werden die Kommunikations-ECU 3 und die Motor-ECU 4 als Steuervorrichtung herangezogen, um die Kommunikation sicherzustellen.

In diesem Fall kontrollieren sowohl die Kommunikations-ECU 3 als auch die Motor-ECU 4 das Fahrzeugnavigationssystem 5 und die Klimaanlagen-ECU 6 und der Grad des eingeschränkten Betriebs des Fahrzeugnavigationssystems 5 und der Klimaanlagen-ECU 6 wird durch eine Politik bestimmt, dass eine grössere Einschränkung eine kleinere quasi überstimmt. Daher kann die Motor-ECU 4 als Steuervorrichtung arbeiten, selbst wenn die Kommunikations-ECU 3 nicht als Steuervorrichtung benutzt werden kann, da ihr interner Aufbau offengelegt ist, und somit kann verhindert werden, dass wie in der ersten und zweiten Ausführungsform die bordseitigen Vorrichtungen korrekt arbeiten. Im Ergebnis impliziert dieses Betriebsschema einem Dieb, dass es nicht Wert ist, das Fahrzeug zu stehlen, so dass die Motivation zum Diebstahl herabgesetzt wird und das Fahrzeug geeignet vor einem Diebstahl geschützt wird.

Die vorliegende Erfindung ist nicht auf die obigen Ausführungsformen beschränkt, sondern kann wie folgt abgewandelt oder verbessert werden.

Das Betriebsschema ist nicht nur für die bordseitigen Vorrichtungen eines Fahrzeugs anwendbar, sondern auch bei Vorrichtungen, welche an anderen Gerätetypen angeordnet sind.

Wenn eine Funktion der Kommunikationsüberprüfung in jeder Vorrichtung enthalten ist, kann die Kabelbaumverbindung zwischen den Vorrichtungen ebenfalls modifiziert werden, um einen geeigneten Aufbau zu haben, der eine unterschiedliche Anzahl von Signalen etc. aufnehmen kann. Auf diese Weise kann eine solche geschützte Struktur des Kabelbaums geeignet verhindern, dass das Fahrzeug 2 gestohlen wird, in dem die Motivation zum Diebstahl herabgesetzt wird und eine Schadensausbreitung kann ebenfalls unterdrückt werden, wenn bordseitige Vorrichtungen aus einem gestohlenen Fahrzeug 2 entfernt werden.

1 zeigt ein schematisches Diagramm der ersten Ausführungsform der vorliegenden Erfindung.

2 zeigt ein Diagramm, welches verbundene Vorrichtungen in Form von bordseitigen Vorrichtungen, welche Gegenstand des Kommunikationsüberprüfungsvorgangs sind und den Kommunikationsüberprüfungsvorgangs-Pfad zu diesen Vorrichtungen darstellt.

3 zeigt ein Flussdiagramm, welches darstellt, wie die Kommunikations-ECU 3 die Kommunikation mit anderen bordseitigen Vorrichtungen prüft.

4 zeigt ein Flussdiagramm, welches darstellt, wie die Kommunikations-ECU 3 die Kommunikation 3 mit der Motor-ECU 4 prüft.

5 zeigt ein Flussdiagramm, welches die zweite Ausführungsform der vorliegenden Erfindung darstellt.

6 zeigt einen öffentlichen Schlüssel und einen privaten Schlüssel in jeder der bordseitigen Vorrichtungen.

7 zeigt ein Diagramm, welches die Beziehung zwischen Steuervorrichtungen, verbundenen Vorrichtungen (Gegenstände des Kommunikationsüberprüfungsvorganges) und gesteuerten Vorrichtungen darstellt.

Eine Aufgabe der Erfindung ist es, ein Diebstahlverhinderungssystem zu schaffen, welches ein Fahrzeug auf geeignete Weise vor einem Diebstahl schützt. Eine Kommunikations-ECU (3), eine Motor-ECU (4), ein Fahrzeugnavigationssystem (5) und eine Klimaanlagen-ECU (6), welche alle in ein Fahrzeug (2) eingebaut sind, stehen miteinander in Kommunikation, um eine elektrische Verbindung oder "Kommunikation" sicherzustellen. Wenn hinsichtlich der Kommunikation eine Anormalität erkannt wird, stoppen sowohl die angesprochene Vorrichtung als auch die Vorrichtung, welche den Kommunikationsüberprüfungsvorgang durchführt, ihre Arbeit. Wenn eine der obigen Vorrichtungen aus dem Fahrzeug (2) entfernt wird, wenn das Fahrzeug (2) gestohlen wird, verhindert dieses Betriebsschema, dass die bordseitigen Vorrichtungen als Gesamtsystem korrekt arbeiten. Daher verringert dieses Operationsschema die Motivation zum Diebstahl ganz erheblich, was zu einem geeigneten Schutz des Fahrzeugs (2) vor Diebstahl führt.