DE102022211725A1 - Method for monitoring interfaces between a software application and a control unit - Google Patents

Method for monitoring interfaces between a software application and a control unit Download PDF

Info

Publication number
DE102022211725A1
DE102022211725A1 DE102022211725.5A DE102022211725A DE102022211725A1 DE 102022211725 A1 DE102022211725 A1 DE 102022211725A1 DE 102022211725 A DE102022211725 A DE 102022211725A DE 102022211725 A1 DE102022211725 A1 DE 102022211725A1
Authority
DE
Germany
Prior art keywords
monitoring device
control unit
software application
service request
monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022211725.5A
Other languages
German (de)
Inventor
Oliver Kust
Cyrille Wiederkehr
Andreas Wagner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102022211725.5A priority Critical patent/DE102022211725A1/en
Priority to PCT/EP2023/080928 priority patent/WO2024100007A1/en
Publication of DE102022211725A1 publication Critical patent/DE102022211725A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/12Arrangements for remote connection or disconnection of substations or of equipment thereof
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2637Vehicle, car, auto, wheelchair

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Überwachung von Schnittstellen zwischen einer Software-Applikation und einem Steuergerät, wobei das Steuergerät eine Ausgabevorrichtung ansteuert, dadurch gekennzeichnet, dass eine von der Software-Applikation an das Steuergerät gesendete Service-Anfrage und/oder Soll-Größe von einer Überwachungsvorrichtung, die derart angeordnet ist, dass die Service-Anfrage und/oder Soll-Größe zunächst an die Überwachungsvorrichtung und von dort an das Steuergerät gesendet werden kann, ausgehend von Regeln überprüft wird und die Service-Anfrage und/oder Soll-Größe nur dann von der Überwachungsvorrichtung an das Steuergerät übermittelt wird, wenn die Überprüfung durch die Überwachungsvorrichtung ergibt, dass die Service-Anfrage und/oder Soll-Größe zulässig ist. Die Erfindung betrifft außerdem eine Vorrichtung, ein Computerprogramm sowie ein elektronisches Speichermedium.The invention relates to a method for monitoring interfaces between a software application and a control unit, wherein the control unit controls an output device, characterized in that a service request and/or target value sent from the software application to the control unit is checked based on rules by a monitoring device which is arranged in such a way that the service request and/or target value can first be sent to the monitoring device and from there to the control unit, and the service request and/or target value is only transmitted from the monitoring device to the control unit if the check by the monitoring device shows that the service request and/or target value is permissible. The invention also relates to a device, a computer program and an electronic storage medium.

Description

Stand der TechnikState of the art

Elektronische Steuerungs- und Regelsysteme, wie sie z.B. in Maschinen, Fahrzeugen und Geräten zum Einsatz kommen, bestehen üblicherweise aus Eingabevorrichtungen wie z.B. Sensoren oder Bedienelementen, einer Steuerungs- bzw. Regellogik sowie Ausgabevorrichtungen wie z.B. Aktuatoren oder Anzeigen. In elektronisch programmierbaren Systemen wird die Logik in der Regel durch Software-Applikationen dargestellt, die als Funktionssoftware auf Rechengeräten ausgeführt wird und von einer Basissoftware der Rechengeräte zu unterscheiden ist.Electronic control and regulation systems, such as those used in machines, vehicles and devices, usually consist of input devices such as sensors or operating elements, a control or regulation logic and output devices such as actuators or displays. In electronically programmable systems, the logic is usually represented by software applications that are executed as functional software on computing devices and are to be distinguished from the basic software of the computing devices.

Software-Applikationen können auf einem einzelnen Steuergerät laufen oder auf einem Verbund von Steuergeräten (E/E-Architektur), wie sie z.B. bei Fahrzeugen Verwendung finden, verteilt sein und über Kommunikationssysteme, wie z.B. Datenbusse, miteinander kommunizieren.Software applications can run on a single control unit or be distributed across a network of control units (E/E architecture), such as those used in vehicles, and communicate with each other via communication systems such as data buses.

Um ein Fehlverhalten von Ausgabevorrichtungen zu erkennen sind unterschiedliche Verfahren bekannt. US 2003/0093727 A1 beschreibt eine Buswächtereinheit auf einem zentralen Knoten eines Datenbussystems, die bei einer Fehlkommunikation bzgl. festgelegter Zeitmuster auf dem Datenbus den verursachenden Teilnehmer für eine Kommunikation auf dem Datenbus zumindest zeitweise sperren kann oder dessen durch die Störeinflüsse ausgelöste Fehlkommunikation kompensiert.Different methods are known to detect malfunctions in output devices. US 2003/0093727 A1 describes a bus monitoring unit on a central node of a data bus system, which can, in the event of a communication error with regard to specified time patterns on the data bus, at least temporarily block the offending participant from communicating on the data bus or compensate for the communication error caused by the interference.

EP 3 437 261 B1 beschreibt eine Vorrichtung zur Filterung des Datentransfers von sicherheitsrelevanten Eingriffen von einer Kommunikationseinheit zu einer anderen mit einer Steuereinheit. Die Filterung basiert auf Parametern von einer weiteren Kommunikationseinheit und kann zu einer vollständigen Unterbrechung oder teilweisen Filterung des Datentransfers führen. EP 3 437 261 B1 describes a device for filtering the data transfer of safety-relevant interventions from one communication unit to another with a control unit. The filtering is based on parameters from another communication unit and can lead to a complete interruption or partial filtering of the data transfer.

Bei der Zuordnung von Software-Applikationen auf elektronische Rechengeräte müssen das Rechengerät und die Applikation eine geeignete Sicherheitsintegrität aufweisen. In modernen E/E-Architekturen kommen Rechengeräte und Software-Applikationen mit unterschiedlicher Sicherheitsintegrität zum Einsatz. Für den Zugriff von Software-Applikationen mit keiner oder geringer Sicherheitsintegrität auf Steuergeräte mit Ausgabevorrichtungen mit höherer Sicherheitsintegrität sind Zusatzmaßnahmen bzw. Überwachungsvorrichtungen erforderlich. Dies ist beispielsweise erforderlich in folgenden Fällen:

  • - Software-Applikationen, für die kein Nachweis vorliegt, dass sie nach einem Sicherheitsstandard entwickelt wurden, z.B. s.g. „legacy code“, „off-the-shelf“-Produkte.
  • - Software-Applikationen, die an sich nicht sicherheitsrelevant sind und daher nach keinem Sicherheitsstandard entwickelt wurden, aber auf sicherheitsrelevante Ausgabevorrichtungen zugreifen und deshalb im Sinne der Sicherheitsstandards keine Sicherheitsintegrität besitzen bzw. als „nicht-vertrauenswürdig“ gelten.
  • - Bei der bewussten Trennung von Software-Applikationen in „vertrauenswürdige“ und „nicht-vertrauenswürdige“ (Teil-) Funktionen, um die Sicherheitslast von „nicht-vertrauenswürdigen“ Funktionen zu nehmen und diese mit geringerem Aufwand entwickeln zu können. Dies kann auch die Unterscheidung von homologierungs-relevanten und nicht-homologierungs-relevanten Software-Applikationen einschließen.
  • - Die Verlagerung einer Software-Applikation bzw. Teilen einer Software-Applikation in neuen E/E-Architekturen.
When assigning software applications to electronic computing devices, the computing device and the application must have a suitable level of safety integrity. In modern E/E architectures, computing devices and software applications with different levels of safety integrity are used. Additional measures or monitoring devices are required for software applications with no or low levels of safety integrity to access control devices with output devices with higher levels of safety integrity. This is necessary, for example, in the following cases:
  • - Software applications for which there is no evidence that they were developed according to a security standard, e.g. “legacy code”, “off-the-shelf” products.
  • - Software applications that are not security-relevant in themselves and have therefore not been developed according to any security standard, but which access security-relevant output devices and therefore do not have security integrity within the meaning of the security standards or are considered "untrustworthy".
  • - When software applications are deliberately separated into "trusted" and "untrusted" (partial) functions in order to remove the security burden from "untrusted" functions and to be able to develop them with less effort. This can also include the distinction between homologation-relevant and non-homologation-relevant software applications.
  • - The relocation of a software application or parts of a software application in new E/E architectures.

Einrichtungen zur Überwachung von Applikations-Schnittstellen sollen dabei sicherstellen, dass Daten über Schnittstellen von nicht-vertrauenswürdigen Software-Applikationen in sämtlichen Betriebs-Situationen des Systems, beispielsweise einem Fahrzeug, zu keinen Fehlfunktionen durch eine Ausgabevorrichtung führen.Devices for monitoring application interfaces are intended to ensure that data via interfaces from non-trusted software applications do not lead to malfunctions through an output device in all operating situations of the system, for example a vehicle.

Offenbarung der ErfindungDisclosure of the invention

Das erfindungsgemäße Verfahren zur Überwachung von Schnittstellen zwischen einer Software-Applikation und einem Steuergerät, wobei das Steuergerät eine Ausgabevorrichtung ansteuert, hat demgegenüber den Vorteil, dass eine von der Software-Applikation an das Steuergerät gesendete Service-Anfrage und/oder Soll-Größe von einer Überwachungsvorrichtung, die derart angeordnet ist, dass die Service-Anfrage und/oder Soll-Größe zunächst an die Überwachungsvorrichtung und von dort an das Steuergerät gesendet werden kann, ausgehend von Regeln überprüft wird und die Service-Anfrage und/oder Soll-Größe nur dann von der Überwachungsvorrichtung an das Steuergerät übermittelt wird, wenn die Überprüfung durch die Überwachungsvorrichtung ergibt, dass die Service-Anfrage und/oder Soll-Größe zulässig ist.The method according to the invention for monitoring interfaces between a software application and a control unit, wherein the control unit controls an output device, has the advantage that a service request and/or target size sent from the software application to the control unit is checked based on rules by a monitoring device which is arranged in such a way that the service request and/or target size can first be sent to the monitoring device and from there to the control unit, and the service request and/or target size is only transmitted from the monitoring device to the control unit if the check by the monitoring device shows that the service request and/or target size is permissible.

Bei Regeln kann es sich, beispielsweise bei einer Anwendung des erfindungsgemäßen Verfahrens auf eine Wischersteuerung eines Fahrzeugs, um eine Vorgabe für eine zulässige Winkelposition eines Wischers handeln. Hierbei kann beispielsweise vorgegeben sein, dass eine bestimmte Winkelposition nur dann angefahren werden darf, wenn eine Motorhaube des Fahrzeugs geschlossen ist („Motorhaube geschlossen“) und zusätzlich ein Signal vorliegt, das angibt, dass der Wischer sich nicht im Wischbetrieb („Wischer aus“) befindet. Bevorzugterweise wird das erfindungsgemäße Verfahren in Kraftfahrzeugen, beispielsweise der Wischersteuerung von Kraftfahrzeugen angewendet.Rules can be a specification for a permissible angular position of a wiper, for example when the method according to the invention is applied to a wiper control of a vehicle. For example, it can be specified that a certain angular position may only be reached if the hood of the vehicle is closed. ("Bonnet closed") and there is also a signal indicating that the wiper is not in wiping mode ("wiper off"). The method according to the invention is preferably used in motor vehicles, for example the wiper control of motor vehicles.

Mit anderen Worten ist die Überwachungsvorrichtung so angeordnet, dass eine Kommunikationsverbindung zwischen der Software-Applikation und der Überwachungsvorrichtung sowie eine Kommunikationsverbindung zwischen der Überwachungsvorrichtung und dem Steuergerät besteht, sodass eine Service-Anfrage und/oder Soll-Größe von der Software-Applikation über die Überwachungsvorrichtung an das Steuergerät geleitet wird, sofern die Überwachungsvorrichtung die Weiterleitung der Service-Anfrage und/oder Soll-Größe nicht blockiert. In vorteilhafter Ausgestaltung ist die Überwachungsvorrichtung so angeordnet, dass eine Service-Anfrage und/oder Soll-Größe, die von der Software-Applikation an das Steuergerät gesendet werden soll, über die Überwachungsvorrichtung geleitet werden muss, da keine alternative Kommunikationsverbindung zwischen Software-Applikation und Steuergerät unter Umgehung der Überwachungsvorrichtung vorhanden ist.In other words, the monitoring device is arranged such that there is a communication connection between the software application and the monitoring device and a communication connection between the monitoring device and the control unit, so that a service request and/or target value is sent from the software application to the control unit via the monitoring device, provided that the monitoring device does not block the forwarding of the service request and/or target value. In an advantageous embodiment, the monitoring device is arranged such that a service request and/or target value that is to be sent from the software application to the control unit must be sent via the monitoring device, since there is no alternative communication connection between the software application and the control unit that bypasses the monitoring device.

Die Überwachungsvorrichtung kann in Hardware, in Software oder einer Kombination aus Hard- und Software realisiert sein.The monitoring device can be implemented in hardware, software or a combination of hardware and software.

Unter einer Service-Anfrage kann beispielsweise eine Ansteuerung der Ausgabevorrichtung verstanden werden, die einen zu erzielenden Effekt beschreibt, aber kein konkretes Ansteuersignal für die Ausgabevorrichtung festlegt, sodass das konkrete Ansteuersignal unter Verwendung der Service-Anfrage von dem Steuergerät gebildet wird. Ein Beispiel für eine Service-Anfrage im Zusammenhang mit einem Fahrzeug kann daher die Aufforderung „Nebelschlussleuchte Ein“ sein. Ein weiteres Beispiel für eine Service-Anfrage ist die Aufforderung, mit dem Wischer eines Fahrzeugs eine bestimmte Winkelposition anzufahren.A service request can be understood, for example, as a control of the output device that describes an effect to be achieved, but does not specify a specific control signal for the output device, so that the specific control signal is formed by the control unit using the service request. An example of a service request in connection with a vehicle can therefore be the request "rear fog light on". Another example of a service request is the request to move the wiper of a vehicle to a certain angular position.

Unter einem Soll-Wert kann beispielsweise eine Vorgabe eines Wertes verstanden werden, den die Ausgabevorrichtung, insbesondere ein Aktuator stellen soll. Ein Beispiel für einen Soll-Wert im Zusammenhang mit einem Fahrzeug kann daher die Vorgabe eines zu erzeugenden Drehmoments an eine elektrische Maschine sein.A target value can be understood, for example, as a specification of a value that the output device, in particular an actuator, should provide. An example of a target value in connection with a vehicle can therefore be the specification of a torque to be generated by an electric machine.

Bei der Ausgabevorrichtung kann es sich insbesondere um einen Aktuator, insbesondere einen Aktuator eines Fahrzeugs, insbesondere einen Wischermotor, und/oder eine Anzeigevorrichtung und/oder eine Ausgabevorrichtung zur Ausgabe von Informationen, wie beispielsweise ein Display, handeln.The output device can in particular be an actuator, in particular an actuator of a vehicle, in particular a wiper motor, and/or a display device and/or an output device for outputting information, such as a display.

Vorteilhaft ist, dass die Überprüfung durch die Überwachungsvorrichtung zusätzlich in Abhängigkeit von Modi durchgeführt wird. Bei den Modi kann es sich bei einer Anwendung des erfindungsgemäßen Verfahrens in einem Fahrzeug beispielsweise um die Modi „Fahren“, „Parken“ und „Stillstand“ handeln. Die Modi wiederum können in vorteilhafter Weiterbildung aus Zustandsgrößen wie z.B. „Parkstellung“, beispielsweise bereitgestellt von einem Getriebesteuergerät, „Fahrzeuggeschwindigkeit“ oder „Motordrehzahl“ abgeleitet werden.It is advantageous that the check by the monitoring device is also carried out depending on modes. When the method according to the invention is used in a vehicle, the modes can be, for example, the "driving", "parking" and "standstill" modes. In an advantageous further development, the modes can in turn be derived from state variables such as "parking position", for example provided by a transmission control unit, "vehicle speed" or "engine speed".

Vorteilhaft ist außerdem, dass die Überwachungsvorrichtung einen Zustandsautomaten umfasst, der ausgehend von Eingabegrößen und/oder Zustandsgrößen die Modi bildet. Alternativ können die Modi direkt über Eingabegrößen und/oder Zustandsgrößen gebildet werden, die der Überwachungsvorrichtung zugeführt werden. Bei den Zustandsgrößen kann es sich insbesondere um Größen handeln, die den Zustand eines technischen Systems, beispielsweise eines Fahrzeugs, beschreiben. Bei dem Zustand des technischen Systems kann es sich insbesondere um einen Betriebszustand handeln. Beispiele für Zustandsgrößen bei Anwendung des erfindungsgemäßen Verfahrens in einem Fahrzeug sind unter anderem eine Information über den Zustand „Motorhaube geschlossen“ oder die Geschwindigkeit des Fahrzeugs.It is also advantageous that the monitoring device comprises a state machine that forms the modes based on input variables and/or state variables. Alternatively, the modes can be formed directly via input variables and/or state variables that are fed to the monitoring device. The state variables can in particular be variables that describe the state of a technical system, for example a vehicle. The state of the technical system can in particular be an operating state. Examples of state variables when using the method according to the invention in a vehicle include information about the "bonnet closed" state or the speed of the vehicle.

Bei den Eingabegrößen kann es sich insbesondere um über eine Eingabeeinheit, insbesondere eine Mensch-Maschine-Schnittstelle, eingegebene Größen handeln, beispielsweise um eine über einen Lenkstockhebel vorgegebene Wischeransteuerung wie beispielsweise eine Auswahl des Betriebs „Intervallwischen“ durch eine entsprechende Stellung des Lenkstockhebels. Alternativ oder zusätzlich können die Eingabegrößen aber auch von weiteren Steuergeräten, beispielsweise bei Anwendung des erfindungsgemäßen Verfahrens in einem Fahrzeug, stammen. Hier kann es sich beispielsweise um einen Regensensor handeln, der eine Eingabegröße „Wischer ein“ oder „Wischer Stufe 1“ oder „Intervall-Wischen“ übermittelt.The input variables can in particular be variables entered via an input unit, in particular a human-machine interface, for example a wiper control specified via a steering column lever, such as a selection of the "intermittent wiping" mode by a corresponding position of the steering column lever. Alternatively or additionally, the input variables can also come from other control units, for example when the method according to the invention is used in a vehicle. This can, for example, be a rain sensor that transmits an input variable "wiper on" or "wiper level 1" or "intermittent wiping".

Vorteilhaft ist, dass die Überwachungsvorrichtung zusätzlich eine Priorisierung mehrerer Service-Anfragen und/oder Soll-Größen, die die Software-Applikation an das Steuergerät sendet, vornimmt, insbesondere dann, wenn jede Service-Anfrage und/oder Soll-Größe, die von der Software-Applikation an das Steuergerät gesendet wird, von der Überwachungsvorrichtung überprüft wird. Durch eine zusätzliche Priorisierung kann die Funktionalität der Überwachungsvorrichtung sinnvoll ausgenutzt werden, ohne hierfür ein weiters Modul zu benötigen. Vorteilhafterweise wird so außerdem ermöglicht, dass sicherheitsrelevante Software-Applikationen und nicht-sicherheitsrelevante Applikationen auf die gleiche Ausgabeeinheit, beispielsweise auf den gleichen Aktuator, zugreifen können, wobei die sicherheits-relevante Software-Applikation höher priorisiert wird als die nicht-sicherheitsrelevante Software-Applikation. So kann die Sicherheit des Systems, beispielweise eines Fahrzeugs, weiter erhöht werden.It is advantageous that the monitoring device also prioritizes several service requests and/or target values that the software application sends to the control unit, especially when each service request and/or target value that is sent by the software application to the control unit is checked by the monitoring device. Additional prioritization allows the functionality of the monitoring device to be used effectively without requiring an additional module. This also advantageously enables safety-relevant software applications and non-safety-relevant applications to access the same output unit, for example the same actuator, with the safety-relevant software application being given a higher priority than the non-safety-relevant software application. This can further increase the safety of the system, for example of a vehicle.

Vorteilhaft sind außerdem eine Vorrichtung sowie ein Computerprogramm, die zur Durchführung des erfindungsgemäßen Verfahrens eingerichtet sind, sowie ein Speichermedium, dass das Computerprogramm umfasst.Also advantageous are a device and a computer program which are designed to carry out the method according to the invention, as well as a storage medium which comprises the computer program.

Nachfolgend wird ein Ausführungsbeispiel der vorliegenden Erfindung mit Anwendung in einem Fahrzeug, insbesondere im Zusammenhang mit einer Wischersteuerung, anhand der beiliegenden Zeichnungen näher erläutert. Dabei zeigen:An embodiment of the present invention with application in a vehicle, in particular in connection with a wiper control, is explained in more detail below with reference to the accompanying drawings. In the drawings:

Kurze Beschreibung der ZeichnungenShort description of the drawings

  • 1 eine schematische Darstellung einer Überwachung von Service-Anfragen und/oder Soll-Größen durch eine Überwachungsvorrichtung gemäß einem ersten Ausführungsbeispiel des erfindungsgemäßen Verfahrens; 1 a schematic representation of a monitoring of service requests and/or target values by a monitoring device according to a first embodiment of the method according to the invention;
  • 2 eine schematische Darstellung einer Überwachung von Service-Anfragen und/oder Soll-Größen durch eine Überwachungsvorrichtung, die eine Priorisierung umfasst, gemäß einer zweiten Ausführungsform des erfindungsgemäßen Verfahrens; 2 a schematic representation of a monitoring of service requests and/or target values by a monitoring device which includes prioritization, according to a second embodiment of the method according to the invention;
  • 3 eine schematische Darstellung einer Überwachungsvorrichtung gemäß einem weiteren Ausführungsbeispiel; 3 a schematic representation of a monitoring device according to a further embodiment;
  • 4 bevorzugte Anordnungen der Überwachungsvorrichtung. 4 preferred arrangements of the monitoring device.

1 zeigt eine schematische Darstellung einer Überwachung von Service-Anfragen und/oder Soll-Größen durch eine Überwachungsvorrichtung (16) gemäß einem Ausführungsbeispiel des erfindungsgemäßen Verfahrens. Eine nicht vertrauenswürdige Software-Applikation (14) sendet eine Service-Anfrage und/oder Soll-Größe an die Überwachungsvorrichtung (16), wo die Service-Anfrage und/oder Soll-Größe anhand von Regeln und Modi überprüft wird. Ist die Service-Anfrage und/oder Soll-Größe zulässig, wird die Service-Anfrage und/oder Soll-Größe an ein Steuergerät mit Ausgabevorrichtung (18) weitergeleitet, wo die Umsetzung der Service-Anfrage und/oder Soll-Größe erfolgt. Eine Vorrichtung zum Bereitstellen von Eingabegrößen (10), beispielsweise ein Lenkstockhebel, übermittelt Eingabegrößen, beispielsweise eine Stellung eines Lenkstockhebels zur Steuerung eines Wischers, an die Software-Applikation (14), die Überwachungsvorrichtung (16) und das Steuergerät mit Ausgabevorrichtung (18). Eine Vorrichtung zur Bereitstellung von Zustandsgrößen (12) übermittelt Zustandsgrößen, Beispielsweise die Zustandsgrößen „Stillstand“, „Fahren“ und/oder „Parken“ an die Software-Applikation (14) und die Überwachungsvorrichtung (16). Das Steuergerät mit Ausgabevorrichtung (18) kann Informationen an die Vorrichtung zum Bereitstellen von Zustandsgrößen (12) übermitteln, die dort zur Bildung weiterer bzw. aktualisierter Zustandsgrößen verwendet werden können. 1 shows a schematic representation of a monitoring of service requests and/or target values by a monitoring device (16) according to an embodiment of the method according to the invention. A non-trustworthy software application (14) sends a service request and/or target value to the monitoring device (16), where the service request and/or target value is checked using rules and modes. If the service request and/or target value is permissible, the service request and/or target value is forwarded to a control unit with an output device (18), where the service request and/or target value is implemented. A device for providing input values (10), for example a steering column lever, transmits input values, for example a position of a steering column lever for controlling a wiper, to the software application (14), the monitoring device (16) and the control unit with an output device (18). A device for providing state variables (12) transmits state variables, for example the state variables "standstill", "driving" and/or "parking" to the software application (14) and the monitoring device (16). The control unit with output device (18) can transmit information to the device for providing state variables (12), which can be used there to form further or updated state variables.

2 zeigt eine schematische Darstellung einer Überwachung von Service-Anfragen und/oder Soll-Größen durch eine Überwachungsvorrichtung (16), die eine Priorisierung umfasst, gemäß einer zweiten Ausführungsform des erfindungsgemäßen Verfahrens. Eine erste, vertrauenswürdige Software-Applikation (21), die auf einem erstes Rechengerät (20), das als vertrauenswürdig eingestuft ist, ausgeführt wird, sendet Service-Anfragen und/oder Soll-Größen an die Überwachungsvorrichtung (16). Eine zweite, nicht vertrauenswürdige Software-Applikation (23), die auf einem zweiten Rechengerät (22), das als nicht vertrauenswürdig eingestuft ist, ausgeführt wird, sendet Service-Anfragen und/oder Soll-Größen an die Überwachungsvorrichtung (16). Die erste Software-Applikation (21), die zweite Software-Applikation (23) und die Überwachungsvorrichtung (16) empfangen je Eingabegrößen und Zustandsgrößen (symbolisiert durch die entsprechenden Pfeile). Die Überwachungsvorrichtung (16) umfasst eine erste Filter- und Priorisierungseinheit (27), der die Service-Anfragen und/oder Soll-Größen der ersten Software-Applikation (21) zugeführt werden sowie eine zweite Filter- und Priorisierungseinheit (25), der die Service-Anfragen und/oder Soll-Größen der zweiten Software-Applikation (23) zugeführt werden. Die durch die zweite Filter- und Priorisierungseinheit gefilterten und priorisierten Service-Anfragen und/oder Soll-Größen werden ebenfalls der ersten Filter- und Priorisierungseinheit (27) zugeführt, sodass die erste Filter- und Priorisierungseinheit (27) eine Filterung und Priorisierung, der durch die zweite Filter- und Priorisierungseinheit (25) gefilterten und priorisierten Service-Anfragen und/oder Soll-Größen und der von der ersten Software-Applikation (21) übermittelten Service-Anfragen und/oder Soll-Größen vornimmt. 2 shows a schematic representation of a monitoring of service requests and/or target values by a monitoring device (16), which includes prioritization, according to a second embodiment of the method according to the invention. A first, trustworthy software application (21), which is executed on a first computing device (20), which is classified as trustworthy, sends service requests and/or target values to the monitoring device (16). A second, untrustworthy software application (23), which is executed on a second computing device (22), which is classified as untrustworthy, sends service requests and/or target values to the monitoring device (16). The first software application (21), the second software application (23) and the monitoring device (16) each receive input values and state values (symbolized by the corresponding arrows). The monitoring device (16) comprises a first filtering and prioritization unit (27) to which the service requests and/or target sizes of the first software application (21) are fed, and a second filtering and prioritization unit (25) to which the service requests and/or target sizes of the second software application (23) are fed. The service requests and/or target sizes filtered and prioritized by the second filtering and prioritization unit are also fed to the first filtering and prioritization unit (27), so that the first filtering and prioritization unit (27) filters and prioritizes the service requests and/or target sizes filtered and prioritized by the second filtering and prioritization unit (25) and the service requests and/or target sizes transmitted by the first software application (21).

Service-Anfragen und/oder Sollgrößen der ersten Software-Applikation (21) werden folglich durch die Überwachungsvorrichtung (16) nur einmal gefiltert, während die Service-Anfragen und/oder Soll-Größen der (nicht vertrauenswürdigen) zweiten Software-Applikation zweimal gefiltert und priorisiert werden. Durch die hierarchische Priorisierung können die Service-Anfragen und/oder Soll-Größen der ersten Software-Applikation (21) gegenüber den Service-Anfragen und/oder Soll-Größen der zweiten Software-Applikation (23) stehts höher priorisiert werden. Die erste Filter- und Priorisierungseinheit (27) stellt gefilterte und priorisierte Service-Anfragen und/oder Soll-Größen bereit, die außerhalb der Überwachungsvorrichtung (16) weiterverarbeitet werden bzw. an Steuergeräte, wie im Zusammenhang mit 1 beschrieben, weitergegeben werden können.Service requests and/or target values of the first software application (21) are consequently filtered only once by the monitoring device (16), while the service requests and/or target values of the (untrustworthy) second software application are filtered and prioritized twice. The hierarchical prioritization allows the service requests and/or target values of the first software application (21) can always be given a higher priority than the service requests and/or target values of the second software application (23). The first filter and prioritization unit (27) provides filtered and prioritized service requests and/or target values that are further processed outside the monitoring device (16) or forwarded to control devices, such as in connection with 1 described, can be passed on.

3 zeigt eine schematische Darstellung einer Überwachungsvorrichtung (16) gemäß einem weiteren Ausführungsbeispiel. Bei den Überwachungsvorrichtungen, wie im Zusammenhang mit 1 und 2 beschrieben, kann es sich insbesondere um die Überwachungsvorrichtung (16) aus 3 handeln. 3 shows a schematic representation of a monitoring device (16) according to a further embodiment. In the monitoring devices, as in connection with 1 and 2 described, it can in particular be the monitoring device (16) made of 3 act.

Die Überwachungsvorrichtung (16) umfasst einen Zustandsautomaten (31), dem Eingabegrößen und Zustandsgrößen zugeführt werden, sowie einen Soll-Größen-Filter (33), der wiederum Regeln (32) zum Filtern von Service-Anfragen und/oder Soll-Grö-ßen umfasst. Der Zustandsautomat (31) ist eingerichtet, ausgehend von den Eingabegrößen und Zustandsgrößen Modi zu bilden und diese an den Soll-Größen-Filter (33) weiterzuleiten. Die Regeln (32) werden unter Verwendung der Modi gebildet. Anhand der Regeln und Modi werden Service-Anfragen und/oder Soll-Größen, die an den Soll-Größen-Filter (33) der Überwachungsvorrichtung (16) gesendet werden, gefiltert. Die gefilterten (und ggf. priorisierten) Service-Anfragen und/oder Soll-Größen werden von der Überwachungsvorrichtung (16) ausgegeben.The monitoring device (16) comprises a state machine (31) to which input variables and state variables are fed, as well as a target variable filter (33), which in turn comprises rules (32) for filtering service requests and/or target variables. The state machine (31) is set up to form modes based on the input variables and state variables and to forward these to the target variable filter (33). The rules (32) are formed using the modes. Service requests and/or target variables that are sent to the target variable filter (33) of the monitoring device (16) are filtered using the rules and modes. The filtered (and possibly prioritized) service requests and/or target variables are output by the monitoring device (16).

4 zeigt, aufgeteilt auf die Unterfiguren 4a und 4b, sechs bevorzugte Anordnungen der Überwachungsvorrichtung (16). Teile mit gleicher Funktionalität werden in den sechs bevorzugten Anordnungen mit gleichen Bezugszeichen gekennzeichnet. Hierbei handelt es sich um:

  • - eine Überwachungsvorrichtung (16), wie im Zusammenhang mit den 1 bis 3 beschrieben,
  • - ein erstes vertrauenswürdiges Rechengerät (40),
  • - eine vertrauenswürdige Software-Applikation (41), die auf dem vertrauenswürdigen Rechengerät (40) ausgeführt wird,
  • - ein nicht vertrauenswürdiges Rechengerät (42),
  • - eine nicht vertrauenswürdige Software-Applikation (43), die auf dem nicht vertrauenswürdigen Rechengerät (42) ausgeführt wird,
  • - ein Steuergerät mit Ausgabevorrichtung (49),
  • - ein zweites vertrauenswürdiges Rechengerät (44) auf dem keine Software-Applikation ausgeführt wird sowie
  • - ein Rechengerät mit Maßnahmen gegen Interferenz (45), auf dem mehrere Software-Applikationen ausgeführt werden. Die Maßnahmen gegen Interferenz ermöglichen insbesondere die Ausführung von mehreren Software-Applikationen ohne, dass die Ausführung einer Software-Applikation Auswirkungen auf den Ablauf oder die Ergebnisse der anderen Software-Applikation hat.
4 shows, divided into sub-figures 4a and 4b, six preferred arrangements of the monitoring device (16). Parts with the same functionality are identified with the same reference numerals in the six preferred arrangements. These are:
  • - a monitoring device (16) as described in connection with the 1 to 3 described,
  • - a first trustworthy computing device (40),
  • - a trusted software application (41) running on the trusted computing device (40),
  • - an untrustworthy computing device (42),
  • - a non-trusted software application (43) running on the non-trusted computing device (42),
  • - a control unit with output device (49),
  • - a second trusted computing device (44) on which no software application is executed and
  • - a computing device with anti-interference measures (45) on which several software applications are executed. The anti-interference measures enable in particular the execution of several software applications without the execution of one software application having an effect on the sequence or the results of the other software application.

Insbesondere das Steuergrät mit Ausgabevorrichtung (49) und die Überwachungsvorrichtung (16) können in Hardware, in Software oder einer Kombination von Hard- und Software realisiert sein.In particular, the control device with output device (49) and the monitoring device (16) can be implemented in hardware, in software or a combination of hardware and software.

4a zeigt eine erste Anordnung (links oben) der Überwachungsvorrichtung (16), die in das erstes vertrauenswürdige Rechengerät (40) integriert ist. Auf dem ersten vertrauenswürdigen Rechengerät (40) wird die vertrauenswürdige Software-Applikation (41) ausgeführt. Auf dem nicht vertrauenswürdigen Rechengerät (42) wird die nicht vertrauenswürdige Software-Applikation (43) ausgeführt. Service-Anfragen und/oder Soll-Größen der vertrauenswürdigen Software-Applikation (41) sowie der nicht vertrauenswürdigen Software-Applikation (43) werden der Überwachungsvorrichtung (16) zugeführt und dort gefiltert und priorisiert. Die gefilterten und priorisierten Service-Anfragen und/oder Soll-Größen werden an das Steuergerät mit Ausgabevorrichtung (49) weitergeleitet. Service-Anfragen und/oder Soll-Größen, die nicht den Regeln entsprechen, werden von der Überwachungsvorrichtung (16) nicht weitergeleitet. 4a shows a first arrangement (top left) of the monitoring device (16) which is integrated into the first trustworthy computing device (40). The trustworthy software application (41) is executed on the first trustworthy computing device (40). The untrustworthy software application (43) is executed on the untrustworthy computing device (42). Service requests and/or target values of the trustworthy software application (41) and the untrustworthy software application (43) are fed to the monitoring device (16) and filtered and prioritized there. The filtered and prioritized service requests and/or target values are forwarded to the control device with output device (49). Service requests and/or target values which do not comply with the rules are not forwarded by the monitoring device (16).

4a zeigt außerdem eine zweite Anordnung (rechts oben) der Überwachungsvorrichtung (16), die in das zweite vertrauenswürdige Rechengerät (44) integriert ist. Die vertrauenswürde Software-Applikation (41), die auf dem vertrauenswürdigen ersten Rechengerät (40) ausgeführt wird, sowie die nicht vertrauenswürdige Software-Applikation (43), die auf dem nicht vertrauenswürdigen Rechengerät (42) ausgeführt wird, senden je Service-Anfragen und/oder Soll-Größen an die Überwachungsvorrichtung (16), wo sie gefiltert und priorisiert werden. Die gefilterten und priorisierten Service-Anfragen und/oder Soll-Größen werden an das Steuergerät mit Ausgabevorrichtung (49) weitergeleitet. Service-Anfragen und/oder Soll-Größen, die nicht den Regeln entsprechen, werden von der Überwachungsvorrichtung (16) nicht weitergeleitet. 4a also shows a second arrangement (top right) of the monitoring device (16) which is integrated into the second trustworthy computing device (44). The trustworthy software application (41) which is executed on the trustworthy first computing device (40) and the untrustworthy software application (43) which is executed on the untrustworthy computing device (42) each send service requests and/or target values to the monitoring device (16), where they are filtered and prioritized. The filtered and prioritized service requests and/or target values are forwarded to the control device with output device (49). Service requests and/or target values which do not comply with the rules are not forwarded by the monitoring device (16).

4a zeigt außerdem eine dritte Anordnung (links unten) der Überwachungsvorrichtung (16), die in das zweite vertrauenswürdige Rechengerät (44) integriert ist. Außerdem ist das Steuergerät mit Ausgabevorrichtung (49) im Rahmen dieser Anordnung ebenfalls in das zweite vertrauenswürdige Rechengerät (44) integriert. Die vertrauenswürde Software-Applikation (41), die auf dem vertrauenswürdigen ersten Rechengerät (40) ausgeführt wird, sowie die nicht vertrauenswürdige Software-Applikation (43), die auf dem nicht vertrauenswürdigen Rechengerät (42) ausgeführt wird, senden je Service-Anfragen und/oder Soll-Größen an die Überwachungsvorrichtung (16), wo sie gefiltert und priorisiert werden. Die gefilterten und priorisierten Service-Anfragen und/oder Soll-Größen werden an das Steuergerät mit Ausgabevorrichtung (49) weitergeleitet. Service-Anfragen und/oder Soll-Größen, die nicht den Regeln entsprechen, werden von der Überwachungsvorrichtung (16) nicht weitergeleitet. 4a also shows a third arrangement (bottom left) of the monitoring device (16) which is integrated into the second trustworthy computing device (44). In addition, the control device with output device (49) is also integrated into the second trustworthy computing device (44) as part of this arrangement. The trustworthy software application (41) which is executed on the trustworthy first computing device (40) and the untrustworthy software application (43) which is executed on the untrustworthy computing device (42) each send service requests and/or target values to the monitoring device (16), where they are filtered and prioritized. The filtered and prioritized service requests and/or target values are forwarded to the control device with output device (49). Service requests and/or target values which do not comply with the rules are not forwarded by the monitoring device (16).

4a zeigt außerdem eine vierte Anordnung (rechts unten) der Überwachungsvorrichtung (16), die in das Rechengerät mit Maßnahmen gegen Interferenz (45) integriert ist. Auf dem Rechengerät mit Maßnahmen gegen Interferenz (45) laufen die vertrauenswürdige Software-Applikation (41) und die nicht vertrauenswürdige Software-Applikation (43). Die vertrauenswürde Software-Applikation (41) sowie die nicht vertrauenswürdige Software-Applikation (43) senden je Service-Anfragen und/oder Soll-Größen an die Überwachungsvorrichtung (16), wo sie gefiltert und priorisiert werden. Die gefilterten und priorisierten Service-Anfragen und/oder Soll-Größen werden an das Steuergerät mit Ausgabevorrichtung (49) weitergeleitet. Service-Anfragen und/oder Soll-Grö-ßen, die nicht den Regeln entsprechen, werden von der Überwachungsvorrichtung (16) nicht weitergeleitet. 4a also shows a fourth arrangement (bottom right) of the monitoring device (16) which is integrated into the computing device with anti-interference measures (45). The trustworthy software application (41) and the untrustworthy software application (43) run on the computing device with anti-interference measures (45). The trustworthy software application (41) and the untrustworthy software application (43) each send service requests and/or target values to the monitoring device (16), where they are filtered and prioritized. The filtered and prioritized service requests and/or target values are forwarded to the control device with output device (49). Service requests and/or target values that do not comply with the rules are not forwarded by the monitoring device (16).

4b zeigt eine fünfte Anordnung (links) der Überwachungsvorrichtung (16), die in das zweite vertrauenswürdige Rechengerät (44) integriert ist. Auf dem Rechengerät mit Maßnahmen gegen Interferenz (45) laufen die vertrauenswürdige Software-Applikation (41) und die nicht vertrauenswürdige Software-Applikation (43). Die vertrauenswürde Software-Applikation (41) sowie die nicht vertrauenswürdige Software-Applikation (43) senden je Service-Anfragen und/oder Soll-Größen an die Überwachungsvorrichtung (16), wo sie gefiltert und priorisiert werden. Die gefilterten und priorisierten Service-Anfragen und/oder Soll-Größen werden an das Steuergerät mit Ausgabevorrichtung (49) weitergeleitet, das sich außerhalb des zweiten vertrauenswürdigen Rechengeräts (44) befindet. Service-Anfragen und/oder Soll-Größen, die nicht den Regeln entsprechen, werden von der Überwachungsvorrichtung (16) nicht weitergeleitet. 4b shows a fifth arrangement (left) of the monitoring device (16) which is integrated into the second trustworthy computing device (44). The trustworthy software application (41) and the untrustworthy software application (43) run on the computing device with anti-interference measures (45). The trustworthy software application (41) and the untrustworthy software application (43) each send service requests and/or target values to the monitoring device (16), where they are filtered and prioritized. The filtered and prioritized service requests and/or target values are forwarded to the control device with output device (49), which is located outside the second trustworthy computing device (44). Service requests and/or target values that do not comply with the rules are not forwarded by the monitoring device (16).

4b zeigt eine sechste Anordnung (rechts) der Überwachungsvorrichtung (16), die in das zweite vertrauenswürdige Rechengerät (44) integriert ist. Auf dem Rechengerät mit Maßnahmen gegen Interferenz (45) laufen die vertrauenswürdige Software-Applikation (41) und die nicht vertrauenswürdige Software-Applikation (43). Die vertrauenswürde Software-Applikation (41) sowie die nicht vertrauenswürdige Software-Applikation (43) senden je Service-Anfragen und/oder Soll-Größen an die Überwachungsvorrichtung (16), wo sie gefiltert und priorisiert werden. Die gefilterten und priorisierten Service-Anfragen und/oder Soll-Größen werden an das Steuergerät mit Ausgabevorrichtung (49) weitergeleitet, das ebenfalls in das zweite vertrauenswürdige Rechengerät (44) integriert ist. Service-Anfragen und/oder Soll-Größen, die nicht den Regeln entsprechen, werden von der Überwachungsvorrichtung (16) nicht weitergeleitet. 4b shows a sixth arrangement (right) of the monitoring device (16), which is integrated into the second trustworthy computing device (44). The trustworthy software application (41) and the untrustworthy software application (43) run on the computing device with anti-interference measures (45). The trustworthy software application (41) and the untrustworthy software application (43) each send service requests and/or target values to the monitoring device (16), where they are filtered and prioritized. The filtered and prioritized service requests and/or target values are forwarded to the control device with output device (49), which is also integrated into the second trustworthy computing device (44). Service requests and/or target values that do not comply with the rules are not forwarded by the monitoring device (16).

Die vorgestellten Ausführungsformen des erfindungsgemäßen Verfahrens ermöglichen eine sichere Ausführung von nicht vertrauenswürdigen Software-Anwendungen, deren Service-Anfragen und/oder Soll-Größen von einem Steuergerät mit Ausgabevorrichtung, insbesondere einem Aktuator, umgesetzt werden. Somit wird ein hohes Maß an Flexibilität für E/E-Architekturen, insbesondere von Fahrzeugen, ermöglicht.The presented embodiments of the method according to the invention enable secure execution of non-trustworthy software applications whose service requests and/or target values are implemented by a control unit with an output device, in particular an actuator. This enables a high degree of flexibility for E/E architectures, in particular of vehicles.

Eine bevorzugte Anwendung des erfindungsgemäßen Verfahrens steht im Zusammenhang mit der Ansteuerung eines Wischers eines Fahrzeugs. Eine Service-Anfrage wie z.B. „Ansteuerung der Winkelposition 20°“ kann durch die Überwachungsvorrichtung gefiltert und mit Regeln verglichen werden. Die Regeln können dabei z.B. vorsehen, dass Winkelpositionen größer als 10° nur dann angefahren werden dürfen, wenn der Modus des Fahrzeugs „Fahren“ ist und gleichzeitig eine Zustandsgröße des Fahrzeugs „Motorhaube geschlossen“ vorliegt. Andere regeln sind ebenso denkbar, wobei die Regeln insbesondere von den Modi anhängen können.A preferred application of the method according to the invention is related to controlling a wiper of a vehicle. A service request such as "control of the angular position 20°" can be filtered by the monitoring device and compared with rules. The rules can, for example, stipulate that angular positions greater than 10° may only be approached if the mode of the vehicle is "driving" and at the same time a state variable of the vehicle "bonnet closed" is present. Other rules are also conceivable, whereby the rules can depend in particular on the modes.

ZITATE ENTHALTEN IN DER BESCHREIBUNGQUOTES INCLUDED IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of documents listed by the applicant was generated automatically and is included solely to provide the reader with better information. The list is not part of the German patent or utility model application. The DPMA accepts no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • US 20030093727 A1 [0003]US 20030093727 A1 [0003]
  • EP 3437261 B1 [0004]EP 3437261 B1 [0004]

Claims (8)

Verfahren zur Überwachung von Schnittstellen zwischen einer Software-Applikation und einem Steuergerät, wobei das Steuergerät eine Ausgabevorrichtung ansteuert, dadurch gekennzeichnet, dass eine von der Software-Applikation an das Steuergerät gesendete Service-Anfrage und/oder Soll-Größe von einer Überwachungsvorrichtung, die derart angeordnet ist, dass die Service-Anfrage und/oder Soll-Größe zunächst an die Überwachungsvorrichtung und von dort an das Steuergerät gesendet werden kann, ausgehend von Regeln überprüft wird und die Service-Anfrage und/oder Soll-Größe nur dann von der Überwachungsvorrichtung an das Steuergerät übermittelt wird, wenn die Überprüfung durch die Überwachungsvorrichtung ergibt, dass die Service-Anfrage und/oder Soll-Größe zulässig ist.Method for monitoring interfaces between a software application and a control unit, wherein the control unit controls an output device, characterized in that a service request and/or target size sent from the software application to the control unit is checked on the basis of rules by a monitoring device which is arranged such that the service request and/or target size can first be sent to the monitoring device and from there to the control unit, and the service request and/or target size is only transmitted from the monitoring device to the control unit if the check by the monitoring device shows that the service request and/or target size is permissible. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Überprüfung durch die Überwachungsvorrichtung zusätzlich in Abhängigkeit von Modi durchgeführt wird.Procedure according to Claim 1 , characterized in that the check by the monitoring device is additionally carried out depending on modes. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass die Überwachungsvorrichtung einen Zustandsautomaten umfasst, der ausgehend von Eingabegrößen und/oder Zustandsgrößen die Modi bildet.Procedure according to Claim 2 , characterized in that the monitoring device comprises a state machine which forms the modes based on input variables and/or state variables. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Überwachungsvorrichtung zusätzlich eine Priorisierung mehrerer Service-Anfragen und/oder Soll-Größen, die die Software-Applikation an das Steuergerät sendet, vornimmt.Method according to one of the Claims 1 until 3 , characterized in that the monitoring device additionally prioritizes several service requests and/or target values that the software application sends to the control unit. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass jede Service-Anfrage und/oder Soll-Größe, die von der Software-Applikation an das Steuergerät gesendet wird, von der Überwachungsvorrichtung überprüft wird.Procedure according to Claim 4 , characterized in that each service request and/or target value sent from the software application to the control unit is checked by the monitoring device. Vorrichtung, eingerichtet das Verfahren nach einem der Ansprüche 1 bis 5 durchzuführen.Device, arranged to carry out the method according to one of the Claims 1 until 5 to carry out. Computerprogramm, das dazu ausgebildet ist oder durch Kompilieren dazu ausgebildet wird, jeden Schritt des Verfahrens nach einem der vorangegangenen Ansprüche auszuführen.A computer program adapted or compiled to carry out each step of the method according to any preceding claim. Elektronisches Speichermedium, auf dem das Computerprogramm nach Anspruch 7 gespeichert ist.Electronic storage medium on which the computer program is Claim 7 is stored.
DE102022211725.5A 2022-11-07 2022-11-07 Method for monitoring interfaces between a software application and a control unit Pending DE102022211725A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102022211725.5A DE102022211725A1 (en) 2022-11-07 2022-11-07 Method for monitoring interfaces between a software application and a control unit
PCT/EP2023/080928 WO2024100007A1 (en) 2022-11-07 2023-11-07 Method for monitoring interfaces between a software application and a control unit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022211725.5A DE102022211725A1 (en) 2022-11-07 2022-11-07 Method for monitoring interfaces between a software application and a control unit

Publications (1)

Publication Number Publication Date
DE102022211725A1 true DE102022211725A1 (en) 2024-05-08

Family

ID=88863326

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022211725.5A Pending DE102022211725A1 (en) 2022-11-07 2022-11-07 Method for monitoring interfaces between a software application and a control unit

Country Status (2)

Country Link
DE (1) DE102022211725A1 (en)
WO (1) WO2024100007A1 (en)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4038350A1 (en) 1990-12-01 1992-06-04 Gerhard Mahlkow WIPER SYSTEM FOR MOTOR VEHICLES
DE10011710A1 (en) 2000-03-10 2001-10-18 Daimler Chrysler Ag Method for determining a mid-position in a vehicle steering system includes a steering angle set point transmitter operating with a steering wheel and a hydraulic steering angle regulator operating steerable vehicle wheels
US20030093727A1 (en) 2001-09-29 2003-05-15 Ralf Belschner Bus monitor unit
EP2284633B1 (en) 2009-07-21 2011-10-12 Siemens Aktiengesellschaft Method for accessing control devices, control program and communication control device in a vehicle
DE102016202527A1 (en) 2016-02-18 2017-08-24 Robert Bosch Gmbh Computing unit for a motor vehicle
DE102018214999A1 (en) 2017-10-13 2019-04-18 Robert Bosch Gmbh Device for securing diagnostic commands to a control unit and corresponding motor vehicle
EP3437261B1 (en) 2016-03-29 2022-05-18 Robert Bosch GmbH Device and method for filtering safety-relevant interventions, and gateway control device

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014116883B4 (en) * 2014-11-18 2022-07-14 Schneider Electric Automation Gmbh Method of accessing features of an embedded device
DE102015211540A1 (en) * 2015-06-23 2016-12-29 Bayerische Motoren Werke Aktiengesellschaft Method, server, firewall, control unit, and system for programming a control unit of a vehicle
PL4016207T3 (en) * 2020-12-18 2023-05-08 Danfoss A/S A method for configuring setpoints for a vapour compression system

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4038350A1 (en) 1990-12-01 1992-06-04 Gerhard Mahlkow WIPER SYSTEM FOR MOTOR VEHICLES
DE10011710A1 (en) 2000-03-10 2001-10-18 Daimler Chrysler Ag Method for determining a mid-position in a vehicle steering system includes a steering angle set point transmitter operating with a steering wheel and a hydraulic steering angle regulator operating steerable vehicle wheels
US20030093727A1 (en) 2001-09-29 2003-05-15 Ralf Belschner Bus monitor unit
EP2284633B1 (en) 2009-07-21 2011-10-12 Siemens Aktiengesellschaft Method for accessing control devices, control program and communication control device in a vehicle
DE102016202527A1 (en) 2016-02-18 2017-08-24 Robert Bosch Gmbh Computing unit for a motor vehicle
EP3437261B1 (en) 2016-03-29 2022-05-18 Robert Bosch GmbH Device and method for filtering safety-relevant interventions, and gateway control device
DE102018214999A1 (en) 2017-10-13 2019-04-18 Robert Bosch Gmbh Device for securing diagnostic commands to a control unit and corresponding motor vehicle

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
OPEL CASCADA Betriebsanleitung. ADAM OPEL AG, Rüsselsheim, Germany, 08/2015. URL: https://www.opel-niedersachsen.de/media/files/Cascada-08-2015-MY16.pdf [abgerufen am 05.09.2023]

Also Published As

Publication number Publication date
WO2024100007A1 (en) 2024-05-16

Similar Documents

Publication Publication Date Title
EP3584140B1 (en) Vehicle and method and apparatus for controlling a safety-relevant process
EP2823430B1 (en) Electronic control system
DE102005057066B4 (en) Dual processor supervisory control system for a vehicle
EP1600831B1 (en) Method and apparatus for monitoring several electronic control units using question-answer-communication
DE4126449C2 (en) Control device for vehicles
EP3473512B1 (en) Functional module, control unit for an operating assisting system and working device
WO2019072840A1 (en) Apparatus for protecting diagnosis commands to a controller, and corresponding motor vehicle
EP0886823B1 (en) Method of checking the operability of a computing unit
DE10331873A1 (en) Distributed software monitoring method, e.g. for automotive applications, whereby computer units, controlled by one or more control units, are considered as master or slave units for implementing master-slave communication
DE10316452A1 (en) Electrical, decentralized braking-by-wire system, includes additional communications unit receiving or exchanging data between wheel modules on different sides of vehicle
DE10142511B4 (en) Error handling of software modules
DE102005060902A1 (en) Control device for e.g. engine of motor vehicle, has memories for instructions, where part of instructions defines process, which checks acceptance of parameters and permits execution of another process when value is found for acceptance
DE10208866A1 (en) Establishment and procedure for the assessment and achievement of security in systems as well as corresponding computer program
DE102022211725A1 (en) Method for monitoring interfaces between a software application and a control unit
DE102016203966A1 (en) Control unit and method for controlling at least one actuator of a vehicle
DE102022211737A1 (en) Method for determining rules for a monitoring device
DE102007046706A1 (en) Control device for vehicles
DE102021208459B4 (en) Method for authentic data transmission between control units in a vehicle, arrangement with control units, computer program and vehicle
WO2005001692A2 (en) Method and device for monitoring a distributed system
DE102007046731B4 (en) Method for controlling an actuator in a motor vehicle
DE102019132428A1 (en) Function-oriented electronics architecture
DE102016105876A1 (en) Electronic control unit for a vehicle with separate data connection, assistance system, vehicle and method
EP1639416A1 (en) Electronic control unit and method for specifying a software architecture for an electronic control unit
WO2008128710A1 (en) Control device for vehicles
EP2678994B1 (en) Method for configuring a control apparatus for a motor vehicle, computer program and control apparatus

Legal Events

Date Code Title Description
R163 Identified publications notified