用于对车辆的组件的被篡改的运行进行识别的方法与流程

本发明涉及一种用于对车辆的组件的被篡改的运行进行识别的方法以及用于实施所述方法的一种计算单元和一种计算机程序。

背景技术：

用于篡改车辆组件的努力是已知的。在此，例如改变程序代码的数据或者传感器数值或额定值，以用于引起效率提高。这可能导致构件损坏和环境污染、甚至导致人员伤害，因为整个车辆设计（驱动装置、制动设备）可能受到影响。

排气系中的篡改也在曼延。所谓的选择性催化还原（英语selectivecatalyticreduction，scr）表示用于使车辆的内燃机的废气中的氮氧化物还原的技术，其中氮氧化物no、no2被还原，而不受欢迎的副反应、比如二氧化硫氧化成三氧化硫则在很大程度上被抑制。对于反应来说需要氨nh3，其被混入到废气中。反应产物是水和氮n2。为此目的而使用尿素溶液，所述尿素溶液在相应的scr喷射器之前被喷射到废气流中。通过水解反应，从尿素溶液中产生所需要的氨以及co2。所喷射的尿素的量取决于马达的氮氧化物排放并且因此取决于马达的当前转速和转矩。

为了节省这样的尿素溶液的消耗，攻击者试图如此篡改尿素计量系统，从而不再将尿素喷射到废气中。为了防止控制器注意到这种篡改，使用所谓的“尿素篡改器”，其模拟正确工作的计量系统和scr催化器的传感器信号并且将其传输给控制器。

这种篡改可能导致环境的巨大负担，因而重要的是，能够识别对于车辆的组件的篡改。

技术实现要素：

根据本发明，提出具有独立权利要求的特征的、一种用于对车辆的组件的被篡改的运行进行识别的方法以及用于实施该方法的一种计算单元和一种计算机程序。有利的设计方案是从属权利要求以及以下说明的主题。

在方法的过程中，在车辆外部的计算单元中接收来自车辆的组件所特有的数据。然后在车辆外部的计算单元中在使用在车辆外部的计算单元中存在的数据的情况下对所接收的组件所特有的数据实施可信度检查，其中从在车辆外部的计算单元中存在的数据中推导出可信度标准。在可信度检查的结果的基础上来评定或检查，是否存在车辆的组件的被篡改的运行。不言而喻，在车辆外部的计算单元中存在的数据和所接收的组件所特有的数据不是相同的数据，而是不同的数据。

作为车辆外部的计算单元应该是指以下计算单元，所述计算单元不是处于车辆中并且车辆或车辆的控制器能够经由无线电连接、例如经由移动无线电网络（例如3g、4g等）、wlan或蓝牙等与所述计算单元通信。适宜地，车辆外部的计算单元能够是所分配的计算单元的系统的一部分。

在这方面，作为组件所特有的数据应该是指以下数据，所述数据表征组件或组件的运行并且存在于车辆本身中、尤其是存在于车辆的控制器中。在此，尤其是涉及在车辆或车辆本身中的组件的当前运行期间所检测到的或者所确定的当前数据。尤其所述组件所特有的数据能够包括借助于传感器为组件的运行所检测到的传感器数值。作为替代方案或补充方案，组件所特有的数据能够包括用于对为了运行组件所需要的执行器进行操控的执行器数值。例如，组件所特有的数据能够是温度值、排气值或压力值（例如在尿素计量系统的阀打开时可预料的压力降）。

而在这方面作为在车辆外部的计算单元中存在的数据尤其应该是指以下数据，所述数据在车辆或组件的当前运行期间不存在于车辆中。车辆外部的计算单元例如能够从其他源头获得这些数据。尤其在车辆外部的计算单元中存在的数据是参考数据或比较数据，所述参考数据或比较数据表征组件或组件的无故障运行，然而不能在组件的当前运行中检测到并且不是保存在车辆本身中。通过从在车辆外部的计算单元中存在的数据中推导出可信性标准这种方式，能够适宜地推断，所接收的组件所特有的数据是否可信并且是来自于未被篡改的组件还是来自于被篡改的组件。

车辆的组件能够比如是微粒过滤器、废气回收系统、废气后处理系统或计量系统。因此，就废气回收系统或废气后处理系统的情况而言，组件所特有的数据例如能够是排气系统所特有的数据，其尤其描述废气、例如其成分和/或其温度。

在所述方法的范围内，能够借助于所接收的组件所特有的数据和在车辆外部的计算单元中所存在的数据来检查是否存在篡改。在可信度检查的过程中尤其检查，是否可信的或者是否可能的、大概可能的或现实的是，组件所特有的数据在实际上在组件的当前运行期间来确定或者是否涉及被篡改的数据或由于被篡改的组件而产生的数据。尤其是为此考虑将在车辆外部的计算单元中存在的数据用作比较值或参考值，所述比较值或参考值适宜地表征组件的无故障的运行或者能够在无故障的运行期间确定的数据。因此，在这个意义上，可信度标准包括数据之间的、不太大的例如不超过阈值的偏差。

如果在可信度检查的过程中确定，组件所特有的数据是可信的，那就尤其评定，不存在组件的被篡改的运行。而如果在可信度检查的过程中确定，组件所特有的数据是不可信的，则尤其评定存在或者至少可能存在被篡改的运行。

尽管有时，攻击者为了进行篡改可能不受限制地直接获得对车辆、其控制器和存储在其上的数据的物理访问。而攻击者不能轻易地获得对车辆外部的计算单元（比如云）的访问，车辆或其控制器通过无线电连接与所述车辆外部的计算单元通信。在任何情况下，攻击者都能够篡改由车辆传输给车辆外部的计算单元的数据。然而，一旦这样的数据被传输给车辆外部的计算单元，攻击者通常就不再能够获得对其进行访问。因此，攻击者也适宜地不具有对在车辆外部的计算单元中存在的数据的访问可能性。因此，本发明提出，将针对组件的篡改的检查转移到车辆外部的计算单元中并且在该计算单元中根据在那里存在的数据来实施所述检查，因为攻击者不能获得对该计算单元进行访问并且不能影响在那里实施的针对篡改的检查。

通过该方法能够以可靠的方式、尤其是在攻击者不能对所述检查施加影响的情况下检查是否存在篡改。尤其能够连续地或者以有规律的时间间隔来实施可信度检查。为此目的，车辆适宜地连续地或以有规律的时间间隔将相应的组件所特有的数据传输给车辆外部的计算单元。

通过将篡改监控转移到车辆外部的计算单元中这种方式，此外比如能够在怀疑篡改时在不取决于当前位置的情况下由专家或本领域的专业人员来对篡改进行更具体的检查或验证。此外，例如能够防止由于车辆的故障存储器的删除而使篡改未被识别。因此，例如由于篡改而可能在起动车辆或马达时删除控制器中的故障存储器。通常，只有当故障计数器达到预先给定的阈值时并且因此当某个故障例如在多次不同的行车期间出现时，才确认故障。然而，由于相应的故障存储器的删除，在每次行驶开始之前将故障计数器复位。因此，故障计数器不可能达到阈值并且篡改保持未被识别。因为对于车辆外部的计算单元和在那里存在的数据来说涉及与所述车辆无关的数据，所以也能够识别这样的故障存储器篡改。尤其车辆外部的计算单元比如经由gps而能够具有车辆的当前位置。如果故障存储器的删除经常在引人注目的地点、尤其是在维修点之外出现，则能够识别对于车辆的篡改。在这个意义上，可信度标准包括，是否在对此来说允许的位置上、尤其是在维修点中对故障存储器进行删除。

优选在车辆外部的计算单元中存在的数据来自至少一部另外的车辆。尤其这些另外的车辆能够在所述车辆的附近运行并且例如能够与所述车辆相同的道路上行驶。此外，所述车辆和另外的车辆尤其能够涉及相同的车型或者至少涉及使用相同的或者类似的组件的车辆。

作为替代方案或补充方案，在车辆外部的计算单元中存在的数据来自至少一个涉及所述车辆的周围环境的源头。这些源头尤其是固定地安装的测量装置，其测量车辆正运动通过的周围环境。例如，这样的源头能够是环境测量装置，其例如检测所述车辆的周围环境中的噪声水平、空气污染等。例如，在车辆外部的计算单元中存在的数据在这种情况下能够涉及车辆的周围环境中的氮氧化物值并且与车辆的作为组件所特有的数据的内部氮氧化物值进行比较。因此，在这种意义上，可信度标准包括数据之间的、不太大的例如不超过阈值的偏差。

这样的源头例如也能够是一种基础设施监控装置、例如一种通行费监控装置。例如，在车辆外部的计算单元中存在的数据在这种情况下能够用于车辆的理论模型，以用于能够尽可能贴近真实地模拟所述车辆的当前的运行。在这种情况下，数据尤其表征车辆当前在其中运动的周围环境、例如车辆当前所行驶的道路。此外，数据在这种情况下也能够涉及当前处于车辆附近的另外的交通参与者。

作为替代方案或补充方案，在车辆外部的计算单元中存在的数据优选也能够是所述车辆本身的在车辆外部的计算单元中收集的历史数据。在此，数据尤其是过去从所述车辆中接收的数据，这些数据存档在车辆外部的计算单元中并且不再存储在所述车辆本身中。优选可信度标准能够包括组件所特有的数据与由历史数据推导出来的趋势的不太大的、例如不超过阈值的偏差。

尤其所述车辆的数据能够防篡改地存储在车辆外部的计算单元中。数据例如能够配备时间戳，以便能够理解数据的历史或演变。

优选所述在车辆外部的计算单元中存在的数据是来自至少一部另外的车辆的组件所特有的数据。尤其来自车辆的组件所特有的数据和在车辆外部的计算单元中存在的数据是相同类型。例如，组件所特有的数据和在车辆外部的计算单元中存在的数据能够是相同的或结构相同的传感器的测量值、例如nox传感器的测量值。在此，车辆外部的数据表示有代表性的参考数据或比较值，因为能够认为，另外的车辆至少绝大部分没有被篡改并且尤其是类似于有待检查的车辆那样运行。只要所述车辆未被篡改，那么所述车辆的组件所特有的数据在此应该至少基本上与另外的车辆的在车辆外部的计算单元中存在的数据相一致。因此，在这种意义上，可信度标准包括数据之间的不太大的、例如不超过阈值的偏差。

根据一种特别优选的实施方式，组件所特有的数据包括特定的组件所特有的特征参量，其根据车辆的传感器数值来确定。车辆外部的计算单元能够适宜地指示车辆确定并且传输这种特征参量。经常可能出现以下情况，即：攻击者克服了现有的用于识别篡改的可行方案，从而不再能够用传统的方法来识别篡改。因此，车辆制造商可能始终寻找新的可行方案，以用于能够有效地识别出篡改。在此，尤其能够开发新的特征参量，借助于所述新的特征参量可以识别篡改。例如，这样的特征参量能够是传感器数值，所述传感器数值以特定的方式彼此关联并且联系起来。如果开发了新的这样的特征参量，那么车辆外部的计算单元就能够将这一点通知给所述车辆，所述车辆随后确定这个新的特征参量并且将其传输给车辆外部的计算单元。

优选根据车辆的排气传感器数值来确定组件所特有的特征参量。在这方面，作为排气传感器数值尤其应该是指所述车辆的废气流中的一个或多个传感器的测量值。例如，这些排气传感器数值能够涉及废气中的氮氧化物的份额或者废气的温度。由这样的排气传感器数值确定的特征参量代表着一种特别有效的可行方案，以用于适宜地针对篡改来检查组件、像比如废气回收系统或废气后处理系统。这样的取决于排气传感器数值的、用于尿素计量系统的特征参量特别优选地适合用于按规定地运行用于进行选择性催化还原的催化器。

优选根据大量的传感器数值的平均值来确定组件所特有的特征参量。例如能够在车辆中在特定的时间间隔之内检测所述大量的传感器数值。因此，特征参量适宜地是统计值，由此尤其能够对传感器数值中的波动和不规则性进行补偿，从而即使不存在篡改，也不会由于传感器数值的短时间的统计上的波动而错误地探测到篡改。

优选根据车辆的内燃机的当前数值来确定组件所特有的特征参量。因此，传感器数值尤其能够与内燃机的当前的运行相关，由此能够改进并且准确地对传感器数值的可信度进行评定。内燃机的当前数值尤其是用于速度、转速、功率、转矩等的当前数值。

根据一种特别优选的设计方案，组件所特有的特征参量包括大量与内燃机的当前数值、特别优选地与当前的转速和/或当前的转矩相关的传感器数值的平均值，。这些平均值尤其作为与内燃机的当前数值相关的函数优选以当前转速和当前转矩的形式来确定。例如，组件所特有的特征参量在此能够以表格的形式或者也能够作为函数或函数图来构成。这样的组件所特有的特征参量代表着一种用于识别组件的篡改的特别有效的可行方案。

所述组件所特有的特征参量特别优选地包括大量的与内燃机的当前数值相关的排气传感器数值的平均值。这些大量的排气传感器数值尤其包括排气传感器的测量值，所述排气传感器在废气流中不仅布置在用于喷射尿素溶液的喷射器的上游而且布置在其下游。这样的组件所特有的特征参量特别有利地适合用于对用来进行选择性催化还原的催化器的尿素计量系统进行篡改监控。

如果在所述可信度检查的结果的基础上评定存在对于所述组件的篡改，则优选实施预先给定的措施。尤其用该措施能够验证是否在实际上存在对于组件的篡改。例如，作为这样的措施能够实施至少另一项检查，是否存在篡改。最终评分尤其能够由单个结果所组成。如果这个最终评分例如超过阈值，则能够识别篡改。

尤其也能够考虑，作为措施首先使计数器增加并且当该计数器达到预先给定的阈值时实施另外的检查。这样的另外的检查尤其能够是主动测试，在主动测试的过程中主动地探寻是否存在对于组件的篡改。这另外的检查例如同样能够在车辆外部的计算单元中或者特别是也直接在车辆中由控制器来实施。因为在这样的主动的测试的过程中攻击者几乎不能篡改信号，所以这样的测试是用于验证是否在实际上存在着对于组件的篡改的有效方法。

特别优选所述组件是用于进行选择性催化还原（英语selectivecatalyticreduction，scr）的催化器或者用于这样的催化器的计量系统或者尿素计量系统。如在开头所解释的那样，在这样的催化器的运行过程中将尿素溶液喷射到废气流中。通过水解反应由尿素溶液产生氨以及c02。这种氨与废气流中的氮氧化物no、no2反应并且使其还原。所喷射的尿素量取决于马达的氮氧化物排放并且因此取决于马达的当前转速和转矩。在这方面，作为这样的催化器或相应的计量系统的被篡改的运行尤其是指，计量系统如此被篡改，从而比如通过将计量系统完全去除激活这种方式不再或至少几乎不再将尿素喷射到废气中。此外，在这样的篡改过程中，对正确地发挥功能的计量系统或者说scr系统的传感器数值进行模拟并且将其传输给车辆的控制器，用于防止所述篡改被识别。该方法以特别有利的方式适合用于识别用于进行选择性催化还原的这样的催化器的被篡改的运行或者用于按规定地运行这样的催化器的相应的尿素计量系统的被篡改的运行。

按本发明的计算单元尤其在程序技术上被设立用于实施按本发明的方法。

以计算机程序的形式来实施所述方法也是有利的，因为这尤其在执行用的控制器还用于其它任务并且因此本来就存在时引起的成本特别低。用于提供计算机程序的合适的数据载体尤其是磁性存储器、光学存储器和电存储器、像例如硬盘、闪存盘、eeprom、dvd等。也能够通过计算机网络（互联网、内联网等）来下载程序。

本发明的另外的优点和设计方案从说明书和附图中得出。

附图说明

本发明借助于实施例在附图中示意性地示出并且在下面参照附图进行描述。其中：

图1示意性地示出了由车辆和车辆外部的计算单元所构成的系统，所述车辆外部的计算单元被设立用于实施按本发明的方法的一种优选的实施方式，以用于识别出车辆的篡改。

图2作为方框图示意性示出了按本发明的方法的一种优选的实施方式。

图3示意性地示出了由车辆和车辆外部的计算单元所构成的系统，所述车辆外部的计算单元被设立用于实施按本发明的方法的一种优选的实施方式。

具体实施方式

图1示意性地示出了车辆110，应该对该车辆就以下方面进行检查，即：是否存在对于车辆110的组件的篡改、例如对于用于进行选择性催化还原的催化器的尿素计量系统的篡改。为此目的，车辆110在其运行期间将组件所特有的或者催化器所特有的数据经由无线电连接130、例如经由移动无线电网络、如3g、4g等并且必要时经由互联网传输给车辆外部的计算单元120或车辆外部的计算单元系统120（尤其是传输给所谓的云）。

通过无线电连接130，车辆外部的计算单元120此外能够接收其他数据，尤其是从例如处于车辆110的周围环境中或例如使用与待检查的车辆110相同类型的催化器的其他车辆150处接收其他数据。尽管在图1中为了清晰起见仅仅示出了另一车辆150，但是不言而喻，车辆外部的计算单元120能够从多部其他车辆150处接收数据。

此外，车辆外部的计算单元120能够从固定地安装在车辆110的周围环境中的源头140处接收其他数据，例如从例如用于对车辆110的周围环境中的空气污染进行检测的环境测量装置141处或者从例如以通行费监控装置的形式构成的基础设施监控装置142处接收其他数据。

在此也要说明，在图1中为清楚起见仅仅示出了两个这样的源头140，但是车辆外部的计算单元120能够从多个这样的源头140处接收数据。

为了识别是否存在对于车辆110的催化器或计量系统的篡改，车辆外部的计算单元120尤其在程序技术上被设立用于如在图2中示意性地作为方框图示出并且接下来参考图1和2所解释的那样来实施按本发明的方法的一种优选的实施方式。

在方框210中，车辆外部的计算单元120接收不仅涉及车辆110而且涉及其周围环境的数据。

在步骤211中，车辆外部的计算单元120从车辆110处接收组件所特有的或催化器所特有的数据、尤其是用于scr系统检查的特定的特征参量。这种特征参量尤其是与车辆110的内燃机的当前数值相关的排气传感器数值的平均值。这些排气传感器数值例如是排气传感器、比如在废气流中不仅布置在用于喷射尿素溶液的喷射器的上游而且布置在其下游的nox传感器的测量值。这些排气传感器数值的平均值尤其作为与内燃机的当前数值相关的函数以当前转速和当前转矩的形式在预先给定的时间内来确定并且加以保存。

在步骤212中，车辆外部的计算单元120此外从其他车辆150处接收其他数据。在此，作为其他数据，从其他车辆150处作为与内燃机的相应的当前数值相关的、相应的排气传感器数值的平均值来分别接收相应的特征参量。

在方框220中，在车辆外部的计算单元120中对所接收的数据实施可信度检查，其中可信度标准从在车辆外部的计算单元120中的存在的数据中推导出来。

在步骤221中，在此例如能够首先以统计方式对在步骤212中所接收的其它数据进行测评，以例如用于确定用于在未被篡改的车辆中的特征参量的预期值。优选将通过下游的排气传感器所获取的、来自在相应的表征的运行点（转速、转矩）中的连续车辆运行的平均值与在这些相应的运行点中的对车辆来说典型的所期望的数值进行比较，以用于从中形成作为在相应的运行点中的残差（residuum）的偏差。如此获得的取决于运行点的残差被标准化到相应的取决于运行点的期望值上，以用于由此获得取决于运行点的按百分比计算的偏差。所期望的数值能够根据车辆所独有地传输的车辆识别码（vin）根据车型特点保存在车辆外部的计算单元120中。

在步骤222中，将在步骤211中由车辆110所接收的组件或催化器所特有的数据与在步骤212中接收的并且必要时在步骤221中经过统计测评的在车辆外部的计算单元中所存的数据进行比较。因此，在这种意义上，可信度标准包括组件所特有的数据与期望值的、不太大的、例如不超过阈值的偏差。

如果车辆110的特征参量和其它车辆150的特征参量至少基本上一致并且彼此相差不超过预先给定的、例如5%的数值，那就在步骤223中评定不存在对于scr催化器的计量系统的篡改。

相反，如果所述车辆110的特征参量和其它车辆150的特征参量彼此相差超过预先给定的、例如5%的数值，则在步骤224中评定，存在着或者至少可能存在着对于计量系统的篡改。

在后一种情况下，在步骤230中实施预先给定的措施、比如能够提高故障计数器。如果该故障计数器达到阈值，则能够额外地作为预先给定的措施来实施主动的检查，是否在实际上存在着篡改。车辆外部的计算单元120为此目的能够指示车辆110实施相应的主动的检查。

作为对于计量系统的主动的检查，例如能够借助于理论模型来确定尿素计量系统的刚性（“rigidity”）和在打开尿素计量系统的阀时的可预料的压力降。刚性尤其描述在计量阀关闭时泵功率减小之后的压力降。随后，能够为了测试目的而操控尿素计量系统，特别是能够打开阀并且将实际测量的数值与模型的理论值进行比较。

如果在所述可信度检查的结果的基础上评定存在着对于所述组件的篡改，那么在实施一个或多个预先给定的措施时还能够进一步改进对于被篡改的运行的识别。而后尤其用这些措施能够在总体上验证是否在实际上存在着对于组件的篡改。

例如，作为这样的措施，能够实施系统测试作为进一步的检查，是否存在篡改。

例如，作为这样的措施，也能够检查，根据所经过的里程和/或运行持续时间是否已经补充了充足的尿素，尤其燃料消耗与尿素消耗的比率是可信的。

例如作为这样的措施也能够检查，如上所述是否进行故障存储器的频繁的删除。

最终评分尤其能够由各个结果加权地组成。如果最终评分例如处于阈值之上，则能够识别篡改。

在图3a中示意性地示出了按照按本发明的方法的一种优选的实施方式的由车辆110和车辆外部的计算单元120构成的系统。

车辆110在此具有第一控制器310、例如马达控制器。此外，车辆110具有第二控制器320，该第二控制器作为连接控制器被设立用于车辆110和车辆外部的计算单元120之间的连接和通信。例如，该连接控制器320能够构造为所谓的“连接控制单元”（ccu）。控制器310和连接控制器320能够通过车辆的通信系统、例如通过现场总线、比如can尤其加密地彼此通信。

控制器310尤其确定组件所特有的/催化器所特有的数据或者组件所特有的/催化器所特有的特征参量，其应该被传输给车辆外部的计算单元120以用于针对篡改进行检查。用311来表示用于确定这些数据的控制器310的相应的模块。

通过通信系统，控制器310将这些数据传输给连接控制器320，该连接控制器又将这些数据传输给车辆外部的计算单元120。连接控制器320的相应的发送模块用321来表示。

在车辆外部的计算单元120中设置有接收模块331，以用于接收这些数据并且必要时从另外的车辆150或者另外的源头140处接收另外的数据。此外设置了可信度模块332，该可信度模块如上面参照图2所解释的那样对所接收的数据实施可信度检查。

如果在可信度检查332的过程中评定存在或者至少可能存在车辆110的催化器的尿素计量系统的篡改，则将该结果传输给协调模块335。

此外，在控制器310中还能够由相应的模块312、313、314在车辆110本身中随车执行针对篡改的另外的检查。这些检查的结果由控制器310传输给连接控制器320并且分别由相应的发送模块322、323、324传输给车辆外部的计算单元120、尤其是传输给协调模块335。

如果在这些检查331、312、313、314之一的过程中评定存在或者至少可能存在车辆110的催化器的尿素计量系统的篡改，则在协调模块335中尤其每次都提高计数器。当该计数器达到阈值时，协调模块335指示车辆110、尤其是控制器310针对篡改实施主动的检查。

如果比如由车辆的制造商开发了新的组件所特有的特征参量，借助于该特征参量能够可靠地识别出篡改，则协调模块335能够指示控制器310、尤其是模块311在未来确定并且传输这个组件所特有的特征参量。

在此要说明，用于对针对篡改的不同检查的结果进行协调的协调模块335例如也能够被实施到连接控制器320中，如在图3b中所示。在这种情况下，发送模块322、323、324能够被取消。在这种情况下，可信度检查332的结果由车辆外部的计算单元120传输给连接控制器320中的协调模块335。