DE102022211725A1 - Method for monitoring interfaces between a software application and a control unit - Google Patents
Method for monitoring interfaces between a software application and a control unit Download PDFInfo
- Publication number
- DE102022211725A1 DE102022211725A1 DE102022211725.5A DE102022211725A DE102022211725A1 DE 102022211725 A1 DE102022211725 A1 DE 102022211725A1 DE 102022211725 A DE102022211725 A DE 102022211725A DE 102022211725 A1 DE102022211725 A1 DE 102022211725A1
- Authority
- DE
- Germany
- Prior art keywords
- monitoring device
- control unit
- software application
- service request
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 23
- 238000012544 monitoring process Methods 0.000 title claims abstract description 10
- 238000012806 monitoring device Methods 0.000 claims abstract description 75
- 238000004590 computer program Methods 0.000 claims abstract description 5
- 238000012913 prioritisation Methods 0.000 description 11
- 238000001914 filtration Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 8
- 241001295925 Gegenes Species 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000007257 malfunction Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- BUHVIAUBTBOHAG-FOYDDCNASA-N (2r,3r,4s,5r)-2-[6-[[2-(3,5-dimethoxyphenyl)-2-(2-methylphenyl)ethyl]amino]purin-9-yl]-5-(hydroxymethyl)oxolane-3,4-diol Chemical compound COC1=CC(OC)=CC(C(CNC=2C=3N=CN(C=3N=CN=2)[C@H]2[C@@H]([C@H](O)[C@@H](CO)O2)O)C=2C(=CC=CC=2)C)=C1 BUHVIAUBTBOHAG-FOYDDCNASA-N 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/12—Arrangements for remote connection or disconnection of substations or of equipment thereof
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/26—Pc applications
- G05B2219/2637—Vehicle, car, auto, wheelchair
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
Die Erfindung betrifft ein Verfahren zur Überwachung von Schnittstellen zwischen einer Software-Applikation und einem Steuergerät, wobei das Steuergerät eine Ausgabevorrichtung ansteuert, dadurch gekennzeichnet, dass eine von der Software-Applikation an das Steuergerät gesendete Service-Anfrage und/oder Soll-Größe von einer Überwachungsvorrichtung, die derart angeordnet ist, dass die Service-Anfrage und/oder Soll-Größe zunächst an die Überwachungsvorrichtung und von dort an das Steuergerät gesendet werden kann, ausgehend von Regeln überprüft wird und die Service-Anfrage und/oder Soll-Größe nur dann von der Überwachungsvorrichtung an das Steuergerät übermittelt wird, wenn die Überprüfung durch die Überwachungsvorrichtung ergibt, dass die Service-Anfrage und/oder Soll-Größe zulässig ist. Die Erfindung betrifft außerdem eine Vorrichtung, ein Computerprogramm sowie ein elektronisches Speichermedium.The invention relates to a method for monitoring interfaces between a software application and a control unit, wherein the control unit controls an output device, characterized in that a service request and/or target value sent from the software application to the control unit is checked based on rules by a monitoring device which is arranged in such a way that the service request and/or target value can first be sent to the monitoring device and from there to the control unit, and the service request and/or target value is only transmitted from the monitoring device to the control unit if the check by the monitoring device shows that the service request and/or target value is permissible. The invention also relates to a device, a computer program and an electronic storage medium.
Description
Stand der TechnikState of the art
Elektronische Steuerungs- und Regelsysteme, wie sie z.B. in Maschinen, Fahrzeugen und Geräten zum Einsatz kommen, bestehen üblicherweise aus Eingabevorrichtungen wie z.B. Sensoren oder Bedienelementen, einer Steuerungs- bzw. Regellogik sowie Ausgabevorrichtungen wie z.B. Aktuatoren oder Anzeigen. In elektronisch programmierbaren Systemen wird die Logik in der Regel durch Software-Applikationen dargestellt, die als Funktionssoftware auf Rechengeräten ausgeführt wird und von einer Basissoftware der Rechengeräte zu unterscheiden ist.Electronic control and regulation systems, such as those used in machines, vehicles and devices, usually consist of input devices such as sensors or operating elements, a control or regulation logic and output devices such as actuators or displays. In electronically programmable systems, the logic is usually represented by software applications that are executed as functional software on computing devices and are to be distinguished from the basic software of the computing devices.
Software-Applikationen können auf einem einzelnen Steuergerät laufen oder auf einem Verbund von Steuergeräten (E/E-Architektur), wie sie z.B. bei Fahrzeugen Verwendung finden, verteilt sein und über Kommunikationssysteme, wie z.B. Datenbusse, miteinander kommunizieren.Software applications can run on a single control unit or be distributed across a network of control units (E/E architecture), such as those used in vehicles, and communicate with each other via communication systems such as data buses.
Um ein Fehlverhalten von Ausgabevorrichtungen zu erkennen sind unterschiedliche Verfahren bekannt.
Bei der Zuordnung von Software-Applikationen auf elektronische Rechengeräte müssen das Rechengerät und die Applikation eine geeignete Sicherheitsintegrität aufweisen. In modernen E/E-Architekturen kommen Rechengeräte und Software-Applikationen mit unterschiedlicher Sicherheitsintegrität zum Einsatz. Für den Zugriff von Software-Applikationen mit keiner oder geringer Sicherheitsintegrität auf Steuergeräte mit Ausgabevorrichtungen mit höherer Sicherheitsintegrität sind Zusatzmaßnahmen bzw. Überwachungsvorrichtungen erforderlich. Dies ist beispielsweise erforderlich in folgenden Fällen:
- - Software-Applikationen, für die kein Nachweis vorliegt, dass sie nach einem Sicherheitsstandard entwickelt wurden, z.B. s.g. „legacy code“, „off-the-shelf“-Produkte.
- - Software-Applikationen, die an sich nicht sicherheitsrelevant sind und daher nach keinem Sicherheitsstandard entwickelt wurden, aber auf sicherheitsrelevante Ausgabevorrichtungen zugreifen und deshalb im Sinne der Sicherheitsstandards keine Sicherheitsintegrität besitzen bzw. als „nicht-vertrauenswürdig“ gelten.
- - Bei der bewussten Trennung von Software-Applikationen in „vertrauenswürdige“ und „nicht-vertrauenswürdige“ (Teil-) Funktionen, um die Sicherheitslast von „nicht-vertrauenswürdigen“ Funktionen zu nehmen und diese mit geringerem Aufwand entwickeln zu können. Dies kann auch die Unterscheidung von homologierungs-relevanten und nicht-homologierungs-relevanten Software-Applikationen einschließen.
- - Die Verlagerung einer Software-Applikation bzw. Teilen einer Software-Applikation in neuen E/E-Architekturen.
- - Software applications for which there is no evidence that they were developed according to a security standard, e.g. “legacy code”, “off-the-shelf” products.
- - Software applications that are not security-relevant in themselves and have therefore not been developed according to any security standard, but which access security-relevant output devices and therefore do not have security integrity within the meaning of the security standards or are considered "untrustworthy".
- - When software applications are deliberately separated into "trusted" and "untrusted" (partial) functions in order to remove the security burden from "untrusted" functions and to be able to develop them with less effort. This can also include the distinction between homologation-relevant and non-homologation-relevant software applications.
- - The relocation of a software application or parts of a software application in new E/E architectures.
Einrichtungen zur Überwachung von Applikations-Schnittstellen sollen dabei sicherstellen, dass Daten über Schnittstellen von nicht-vertrauenswürdigen Software-Applikationen in sämtlichen Betriebs-Situationen des Systems, beispielsweise einem Fahrzeug, zu keinen Fehlfunktionen durch eine Ausgabevorrichtung führen.Devices for monitoring application interfaces are intended to ensure that data via interfaces from non-trusted software applications do not lead to malfunctions through an output device in all operating situations of the system, for example a vehicle.
Offenbarung der ErfindungDisclosure of the invention
Das erfindungsgemäße Verfahren zur Überwachung von Schnittstellen zwischen einer Software-Applikation und einem Steuergerät, wobei das Steuergerät eine Ausgabevorrichtung ansteuert, hat demgegenüber den Vorteil, dass eine von der Software-Applikation an das Steuergerät gesendete Service-Anfrage und/oder Soll-Größe von einer Überwachungsvorrichtung, die derart angeordnet ist, dass die Service-Anfrage und/oder Soll-Größe zunächst an die Überwachungsvorrichtung und von dort an das Steuergerät gesendet werden kann, ausgehend von Regeln überprüft wird und die Service-Anfrage und/oder Soll-Größe nur dann von der Überwachungsvorrichtung an das Steuergerät übermittelt wird, wenn die Überprüfung durch die Überwachungsvorrichtung ergibt, dass die Service-Anfrage und/oder Soll-Größe zulässig ist.The method according to the invention for monitoring interfaces between a software application and a control unit, wherein the control unit controls an output device, has the advantage that a service request and/or target size sent from the software application to the control unit is checked based on rules by a monitoring device which is arranged in such a way that the service request and/or target size can first be sent to the monitoring device and from there to the control unit, and the service request and/or target size is only transmitted from the monitoring device to the control unit if the check by the monitoring device shows that the service request and/or target size is permissible.
Bei Regeln kann es sich, beispielsweise bei einer Anwendung des erfindungsgemäßen Verfahrens auf eine Wischersteuerung eines Fahrzeugs, um eine Vorgabe für eine zulässige Winkelposition eines Wischers handeln. Hierbei kann beispielsweise vorgegeben sein, dass eine bestimmte Winkelposition nur dann angefahren werden darf, wenn eine Motorhaube des Fahrzeugs geschlossen ist („Motorhaube geschlossen“) und zusätzlich ein Signal vorliegt, das angibt, dass der Wischer sich nicht im Wischbetrieb („Wischer aus“) befindet. Bevorzugterweise wird das erfindungsgemäße Verfahren in Kraftfahrzeugen, beispielsweise der Wischersteuerung von Kraftfahrzeugen angewendet.Rules can be a specification for a permissible angular position of a wiper, for example when the method according to the invention is applied to a wiper control of a vehicle. For example, it can be specified that a certain angular position may only be reached if the hood of the vehicle is closed. ("Bonnet closed") and there is also a signal indicating that the wiper is not in wiping mode ("wiper off"). The method according to the invention is preferably used in motor vehicles, for example the wiper control of motor vehicles.
Mit anderen Worten ist die Überwachungsvorrichtung so angeordnet, dass eine Kommunikationsverbindung zwischen der Software-Applikation und der Überwachungsvorrichtung sowie eine Kommunikationsverbindung zwischen der Überwachungsvorrichtung und dem Steuergerät besteht, sodass eine Service-Anfrage und/oder Soll-Größe von der Software-Applikation über die Überwachungsvorrichtung an das Steuergerät geleitet wird, sofern die Überwachungsvorrichtung die Weiterleitung der Service-Anfrage und/oder Soll-Größe nicht blockiert. In vorteilhafter Ausgestaltung ist die Überwachungsvorrichtung so angeordnet, dass eine Service-Anfrage und/oder Soll-Größe, die von der Software-Applikation an das Steuergerät gesendet werden soll, über die Überwachungsvorrichtung geleitet werden muss, da keine alternative Kommunikationsverbindung zwischen Software-Applikation und Steuergerät unter Umgehung der Überwachungsvorrichtung vorhanden ist.In other words, the monitoring device is arranged such that there is a communication connection between the software application and the monitoring device and a communication connection between the monitoring device and the control unit, so that a service request and/or target value is sent from the software application to the control unit via the monitoring device, provided that the monitoring device does not block the forwarding of the service request and/or target value. In an advantageous embodiment, the monitoring device is arranged such that a service request and/or target value that is to be sent from the software application to the control unit must be sent via the monitoring device, since there is no alternative communication connection between the software application and the control unit that bypasses the monitoring device.
Die Überwachungsvorrichtung kann in Hardware, in Software oder einer Kombination aus Hard- und Software realisiert sein.The monitoring device can be implemented in hardware, software or a combination of hardware and software.
Unter einer Service-Anfrage kann beispielsweise eine Ansteuerung der Ausgabevorrichtung verstanden werden, die einen zu erzielenden Effekt beschreibt, aber kein konkretes Ansteuersignal für die Ausgabevorrichtung festlegt, sodass das konkrete Ansteuersignal unter Verwendung der Service-Anfrage von dem Steuergerät gebildet wird. Ein Beispiel für eine Service-Anfrage im Zusammenhang mit einem Fahrzeug kann daher die Aufforderung „Nebelschlussleuchte Ein“ sein. Ein weiteres Beispiel für eine Service-Anfrage ist die Aufforderung, mit dem Wischer eines Fahrzeugs eine bestimmte Winkelposition anzufahren.A service request can be understood, for example, as a control of the output device that describes an effect to be achieved, but does not specify a specific control signal for the output device, so that the specific control signal is formed by the control unit using the service request. An example of a service request in connection with a vehicle can therefore be the request "rear fog light on". Another example of a service request is the request to move the wiper of a vehicle to a certain angular position.
Unter einem Soll-Wert kann beispielsweise eine Vorgabe eines Wertes verstanden werden, den die Ausgabevorrichtung, insbesondere ein Aktuator stellen soll. Ein Beispiel für einen Soll-Wert im Zusammenhang mit einem Fahrzeug kann daher die Vorgabe eines zu erzeugenden Drehmoments an eine elektrische Maschine sein.A target value can be understood, for example, as a specification of a value that the output device, in particular an actuator, should provide. An example of a target value in connection with a vehicle can therefore be the specification of a torque to be generated by an electric machine.
Bei der Ausgabevorrichtung kann es sich insbesondere um einen Aktuator, insbesondere einen Aktuator eines Fahrzeugs, insbesondere einen Wischermotor, und/oder eine Anzeigevorrichtung und/oder eine Ausgabevorrichtung zur Ausgabe von Informationen, wie beispielsweise ein Display, handeln.The output device can in particular be an actuator, in particular an actuator of a vehicle, in particular a wiper motor, and/or a display device and/or an output device for outputting information, such as a display.
Vorteilhaft ist, dass die Überprüfung durch die Überwachungsvorrichtung zusätzlich in Abhängigkeit von Modi durchgeführt wird. Bei den Modi kann es sich bei einer Anwendung des erfindungsgemäßen Verfahrens in einem Fahrzeug beispielsweise um die Modi „Fahren“, „Parken“ und „Stillstand“ handeln. Die Modi wiederum können in vorteilhafter Weiterbildung aus Zustandsgrößen wie z.B. „Parkstellung“, beispielsweise bereitgestellt von einem Getriebesteuergerät, „Fahrzeuggeschwindigkeit“ oder „Motordrehzahl“ abgeleitet werden.It is advantageous that the check by the monitoring device is also carried out depending on modes. When the method according to the invention is used in a vehicle, the modes can be, for example, the "driving", "parking" and "standstill" modes. In an advantageous further development, the modes can in turn be derived from state variables such as "parking position", for example provided by a transmission control unit, "vehicle speed" or "engine speed".
Vorteilhaft ist außerdem, dass die Überwachungsvorrichtung einen Zustandsautomaten umfasst, der ausgehend von Eingabegrößen und/oder Zustandsgrößen die Modi bildet. Alternativ können die Modi direkt über Eingabegrößen und/oder Zustandsgrößen gebildet werden, die der Überwachungsvorrichtung zugeführt werden. Bei den Zustandsgrößen kann es sich insbesondere um Größen handeln, die den Zustand eines technischen Systems, beispielsweise eines Fahrzeugs, beschreiben. Bei dem Zustand des technischen Systems kann es sich insbesondere um einen Betriebszustand handeln. Beispiele für Zustandsgrößen bei Anwendung des erfindungsgemäßen Verfahrens in einem Fahrzeug sind unter anderem eine Information über den Zustand „Motorhaube geschlossen“ oder die Geschwindigkeit des Fahrzeugs.It is also advantageous that the monitoring device comprises a state machine that forms the modes based on input variables and/or state variables. Alternatively, the modes can be formed directly via input variables and/or state variables that are fed to the monitoring device. The state variables can in particular be variables that describe the state of a technical system, for example a vehicle. The state of the technical system can in particular be an operating state. Examples of state variables when using the method according to the invention in a vehicle include information about the "bonnet closed" state or the speed of the vehicle.
Bei den Eingabegrößen kann es sich insbesondere um über eine Eingabeeinheit, insbesondere eine Mensch-Maschine-Schnittstelle, eingegebene Größen handeln, beispielsweise um eine über einen Lenkstockhebel vorgegebene Wischeransteuerung wie beispielsweise eine Auswahl des Betriebs „Intervallwischen“ durch eine entsprechende Stellung des Lenkstockhebels. Alternativ oder zusätzlich können die Eingabegrößen aber auch von weiteren Steuergeräten, beispielsweise bei Anwendung des erfindungsgemäßen Verfahrens in einem Fahrzeug, stammen. Hier kann es sich beispielsweise um einen Regensensor handeln, der eine Eingabegröße „Wischer ein“ oder „Wischer Stufe 1“ oder „Intervall-Wischen“ übermittelt.The input variables can in particular be variables entered via an input unit, in particular a human-machine interface, for example a wiper control specified via a steering column lever, such as a selection of the "intermittent wiping" mode by a corresponding position of the steering column lever. Alternatively or additionally, the input variables can also come from other control units, for example when the method according to the invention is used in a vehicle. This can, for example, be a rain sensor that transmits an input variable "wiper on" or "wiper level 1" or "intermittent wiping".
Vorteilhaft ist, dass die Überwachungsvorrichtung zusätzlich eine Priorisierung mehrerer Service-Anfragen und/oder Soll-Größen, die die Software-Applikation an das Steuergerät sendet, vornimmt, insbesondere dann, wenn jede Service-Anfrage und/oder Soll-Größe, die von der Software-Applikation an das Steuergerät gesendet wird, von der Überwachungsvorrichtung überprüft wird. Durch eine zusätzliche Priorisierung kann die Funktionalität der Überwachungsvorrichtung sinnvoll ausgenutzt werden, ohne hierfür ein weiters Modul zu benötigen. Vorteilhafterweise wird so außerdem ermöglicht, dass sicherheitsrelevante Software-Applikationen und nicht-sicherheitsrelevante Applikationen auf die gleiche Ausgabeeinheit, beispielsweise auf den gleichen Aktuator, zugreifen können, wobei die sicherheits-relevante Software-Applikation höher priorisiert wird als die nicht-sicherheitsrelevante Software-Applikation. So kann die Sicherheit des Systems, beispielweise eines Fahrzeugs, weiter erhöht werden.It is advantageous that the monitoring device also prioritizes several service requests and/or target values that the software application sends to the control unit, especially when each service request and/or target value that is sent by the software application to the control unit is checked by the monitoring device. Additional prioritization allows the functionality of the monitoring device to be used effectively without requiring an additional module. This also advantageously enables safety-relevant software applications and non-safety-relevant applications to access the same output unit, for example the same actuator, with the safety-relevant software application being given a higher priority than the non-safety-relevant software application. This can further increase the safety of the system, for example of a vehicle.
Vorteilhaft sind außerdem eine Vorrichtung sowie ein Computerprogramm, die zur Durchführung des erfindungsgemäßen Verfahrens eingerichtet sind, sowie ein Speichermedium, dass das Computerprogramm umfasst.Also advantageous are a device and a computer program which are designed to carry out the method according to the invention, as well as a storage medium which comprises the computer program.
Nachfolgend wird ein Ausführungsbeispiel der vorliegenden Erfindung mit Anwendung in einem Fahrzeug, insbesondere im Zusammenhang mit einer Wischersteuerung, anhand der beiliegenden Zeichnungen näher erläutert. Dabei zeigen:An embodiment of the present invention with application in a vehicle, in particular in connection with a wiper control, is explained in more detail below with reference to the accompanying drawings. In the drawings:
Kurze Beschreibung der ZeichnungenShort description of the drawings
-
1 eine schematische Darstellung einer Überwachung von Service-Anfragen und/oder Soll-Größen durch eine Überwachungsvorrichtung gemäß einem ersten Ausführungsbeispiel des erfindungsgemäßen Verfahrens;1 a schematic representation of a monitoring of service requests and/or target values by a monitoring device according to a first embodiment of the method according to the invention; -
2 eine schematische Darstellung einer Überwachung von Service-Anfragen und/oder Soll-Größen durch eine Überwachungsvorrichtung, die eine Priorisierung umfasst, gemäß einer zweiten Ausführungsform des erfindungsgemäßen Verfahrens;2 a schematic representation of a monitoring of service requests and/or target values by a monitoring device which includes prioritization, according to a second embodiment of the method according to the invention; -
3 eine schematische Darstellung einer Überwachungsvorrichtung gemäß einem weiteren Ausführungsbeispiel;3 a schematic representation of a monitoring device according to a further embodiment; -
4 bevorzugte Anordnungen der Überwachungsvorrichtung.4 preferred arrangements of the monitoring device.
Service-Anfragen und/oder Sollgrößen der ersten Software-Applikation (21) werden folglich durch die Überwachungsvorrichtung (16) nur einmal gefiltert, während die Service-Anfragen und/oder Soll-Größen der (nicht vertrauenswürdigen) zweiten Software-Applikation zweimal gefiltert und priorisiert werden. Durch die hierarchische Priorisierung können die Service-Anfragen und/oder Soll-Größen der ersten Software-Applikation (21) gegenüber den Service-Anfragen und/oder Soll-Größen der zweiten Software-Applikation (23) stehts höher priorisiert werden. Die erste Filter- und Priorisierungseinheit (27) stellt gefilterte und priorisierte Service-Anfragen und/oder Soll-Größen bereit, die außerhalb der Überwachungsvorrichtung (16) weiterverarbeitet werden bzw. an Steuergeräte, wie im Zusammenhang mit
Die Überwachungsvorrichtung (16) umfasst einen Zustandsautomaten (31), dem Eingabegrößen und Zustandsgrößen zugeführt werden, sowie einen Soll-Größen-Filter (33), der wiederum Regeln (32) zum Filtern von Service-Anfragen und/oder Soll-Grö-ßen umfasst. Der Zustandsautomat (31) ist eingerichtet, ausgehend von den Eingabegrößen und Zustandsgrößen Modi zu bilden und diese an den Soll-Größen-Filter (33) weiterzuleiten. Die Regeln (32) werden unter Verwendung der Modi gebildet. Anhand der Regeln und Modi werden Service-Anfragen und/oder Soll-Größen, die an den Soll-Größen-Filter (33) der Überwachungsvorrichtung (16) gesendet werden, gefiltert. Die gefilterten (und ggf. priorisierten) Service-Anfragen und/oder Soll-Größen werden von der Überwachungsvorrichtung (16) ausgegeben.The monitoring device (16) comprises a state machine (31) to which input variables and state variables are fed, as well as a target variable filter (33), which in turn comprises rules (32) for filtering service requests and/or target variables. The state machine (31) is set up to form modes based on the input variables and state variables and to forward these to the target variable filter (33). The rules (32) are formed using the modes. Service requests and/or target variables that are sent to the target variable filter (33) of the monitoring device (16) are filtered using the rules and modes. The filtered (and possibly prioritized) service requests and/or target variables are output by the monitoring device (16).
- - eine Überwachungsvorrichtung (16), wie im Zusammenhang mit den
1 bis 3 beschrieben, - - ein erstes vertrauenswürdiges Rechengerät (40),
- - eine vertrauenswürdige Software-Applikation (41), die auf dem vertrauenswürdigen Rechengerät (40) ausgeführt wird,
- - ein nicht vertrauenswürdiges Rechengerät (42),
- - eine nicht vertrauenswürdige Software-Applikation (43), die auf dem nicht vertrauenswürdigen Rechengerät (42) ausgeführt wird,
- - ein Steuergerät mit Ausgabevorrichtung (49),
- - ein zweites vertrauenswürdiges Rechengerät (44) auf dem keine Software-Applikation ausgeführt wird sowie
- - ein Rechengerät mit Maßnahmen gegen Interferenz (45), auf dem mehrere Software-Applikationen ausgeführt werden. Die Maßnahmen gegen Interferenz ermöglichen insbesondere die Ausführung von mehreren Software-Applikationen ohne, dass die Ausführung einer Software-Applikation Auswirkungen auf den Ablauf oder die Ergebnisse der anderen Software-Applikation hat.
- - a monitoring device (16) as described in connection with the
1 to 3 described, - - a first trustworthy computing device (40),
- - a trusted software application (41) running on the trusted computing device (40),
- - an untrustworthy computing device (42),
- - a non-trusted software application (43) running on the non-trusted computing device (42),
- - a control unit with output device (49),
- - a second trusted computing device (44) on which no software application is executed and
- - a computing device with anti-interference measures (45) on which several software applications are executed. The anti-interference measures enable in particular the execution of several software applications without the execution of one software application having an effect on the sequence or the results of the other software application.
Insbesondere das Steuergrät mit Ausgabevorrichtung (49) und die Überwachungsvorrichtung (16) können in Hardware, in Software oder einer Kombination von Hard- und Software realisiert sein.In particular, the control device with output device (49) and the monitoring device (16) can be implemented in hardware, in software or a combination of hardware and software.
Die vorgestellten Ausführungsformen des erfindungsgemäßen Verfahrens ermöglichen eine sichere Ausführung von nicht vertrauenswürdigen Software-Anwendungen, deren Service-Anfragen und/oder Soll-Größen von einem Steuergerät mit Ausgabevorrichtung, insbesondere einem Aktuator, umgesetzt werden. Somit wird ein hohes Maß an Flexibilität für E/E-Architekturen, insbesondere von Fahrzeugen, ermöglicht.The presented embodiments of the method according to the invention enable secure execution of non-trustworthy software applications whose service requests and/or target values are implemented by a control unit with an output device, in particular an actuator. This enables a high degree of flexibility for E/E architectures, in particular of vehicles.
Eine bevorzugte Anwendung des erfindungsgemäßen Verfahrens steht im Zusammenhang mit der Ansteuerung eines Wischers eines Fahrzeugs. Eine Service-Anfrage wie z.B. „Ansteuerung der Winkelposition 20°“ kann durch die Überwachungsvorrichtung gefiltert und mit Regeln verglichen werden. Die Regeln können dabei z.B. vorsehen, dass Winkelpositionen größer als 10° nur dann angefahren werden dürfen, wenn der Modus des Fahrzeugs „Fahren“ ist und gleichzeitig eine Zustandsgröße des Fahrzeugs „Motorhaube geschlossen“ vorliegt. Andere regeln sind ebenso denkbar, wobei die Regeln insbesondere von den Modi anhängen können.A preferred application of the method according to the invention is related to controlling a wiper of a vehicle. A service request such as "control of the
ZITATE ENTHALTEN IN DER BESCHREIBUNGQUOTES INCLUDED IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of documents listed by the applicant was generated automatically and is included solely to provide the reader with better information. The list is not part of the German patent or utility model application. The DPMA accepts no liability for any errors or omissions.
Zitierte PatentliteraturCited patent literature
- US 20030093727 A1 [0003]US 20030093727 A1 [0003]
- EP 3437261 B1 [0004]EP 3437261 B1 [0004]
Claims (8)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102022211725.5A DE102022211725A1 (en) | 2022-11-07 | 2022-11-07 | Method for monitoring interfaces between a software application and a control unit |
PCT/EP2023/080928 WO2024100007A1 (en) | 2022-11-07 | 2023-11-07 | Method for monitoring interfaces between a software application and a control unit |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102022211725.5A DE102022211725A1 (en) | 2022-11-07 | 2022-11-07 | Method for monitoring interfaces between a software application and a control unit |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102022211725A1 true DE102022211725A1 (en) | 2024-05-08 |
Family
ID=88863326
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102022211725.5A Pending DE102022211725A1 (en) | 2022-11-07 | 2022-11-07 | Method for monitoring interfaces between a software application and a control unit |
Country Status (2)
Country | Link |
---|---|
DE (1) | DE102022211725A1 (en) |
WO (1) | WO2024100007A1 (en) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE4038350A1 (en) | 1990-12-01 | 1992-06-04 | Gerhard Mahlkow | WIPER SYSTEM FOR MOTOR VEHICLES |
DE10011710A1 (en) | 2000-03-10 | 2001-10-18 | Daimler Chrysler Ag | Method for determining a mid-position in a vehicle steering system includes a steering angle set point transmitter operating with a steering wheel and a hydraulic steering angle regulator operating steerable vehicle wheels |
US20030093727A1 (en) | 2001-09-29 | 2003-05-15 | Ralf Belschner | Bus monitor unit |
EP2284633B1 (en) | 2009-07-21 | 2011-10-12 | Siemens Aktiengesellschaft | Method for accessing control devices, control program and communication control device in a vehicle |
DE102016202527A1 (en) | 2016-02-18 | 2017-08-24 | Robert Bosch Gmbh | Computing unit for a motor vehicle |
DE102018214999A1 (en) | 2017-10-13 | 2019-04-18 | Robert Bosch Gmbh | Device for securing diagnostic commands to a control unit and corresponding motor vehicle |
EP3437261B1 (en) | 2016-03-29 | 2022-05-18 | Robert Bosch GmbH | Device and method for filtering safety-relevant interventions, and gateway control device |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102014116883B4 (en) * | 2014-11-18 | 2022-07-14 | Schneider Electric Automation Gmbh | Method of accessing features of an embedded device |
DE102015211540A1 (en) * | 2015-06-23 | 2016-12-29 | Bayerische Motoren Werke Aktiengesellschaft | Method, server, firewall, control unit, and system for programming a control unit of a vehicle |
PL4016207T3 (en) * | 2020-12-18 | 2023-05-08 | Danfoss A/S | A method for configuring setpoints for a vapour compression system |
-
2022
- 2022-11-07 DE DE102022211725.5A patent/DE102022211725A1/en active Pending
-
2023
- 2023-11-07 WO PCT/EP2023/080928 patent/WO2024100007A1/en unknown
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE4038350A1 (en) | 1990-12-01 | 1992-06-04 | Gerhard Mahlkow | WIPER SYSTEM FOR MOTOR VEHICLES |
DE10011710A1 (en) | 2000-03-10 | 2001-10-18 | Daimler Chrysler Ag | Method for determining a mid-position in a vehicle steering system includes a steering angle set point transmitter operating with a steering wheel and a hydraulic steering angle regulator operating steerable vehicle wheels |
US20030093727A1 (en) | 2001-09-29 | 2003-05-15 | Ralf Belschner | Bus monitor unit |
EP2284633B1 (en) | 2009-07-21 | 2011-10-12 | Siemens Aktiengesellschaft | Method for accessing control devices, control program and communication control device in a vehicle |
DE102016202527A1 (en) | 2016-02-18 | 2017-08-24 | Robert Bosch Gmbh | Computing unit for a motor vehicle |
EP3437261B1 (en) | 2016-03-29 | 2022-05-18 | Robert Bosch GmbH | Device and method for filtering safety-relevant interventions, and gateway control device |
DE102018214999A1 (en) | 2017-10-13 | 2019-04-18 | Robert Bosch Gmbh | Device for securing diagnostic commands to a control unit and corresponding motor vehicle |
Non-Patent Citations (1)
Title |
---|
OPEL CASCADA Betriebsanleitung. ADAM OPEL AG, Rüsselsheim, Germany, 08/2015. URL: https://www.opel-niedersachsen.de/media/files/Cascada-08-2015-MY16.pdf [abgerufen am 05.09.2023] |
Also Published As
Publication number | Publication date |
---|---|
WO2024100007A1 (en) | 2024-05-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3584140B1 (en) | Vehicle and method and apparatus for controlling a safety-relevant process | |
EP2823430B1 (en) | Electronic control system | |
DE102005057066B4 (en) | Dual processor supervisory control system for a vehicle | |
EP1600831B1 (en) | Method and apparatus for monitoring several electronic control units using question-answer-communication | |
DE4126449C2 (en) | Control device for vehicles | |
EP3473512B1 (en) | Functional module, control unit for an operating assisting system and working device | |
WO2019072840A1 (en) | Apparatus for protecting diagnosis commands to a controller, and corresponding motor vehicle | |
EP0886823B1 (en) | Method of checking the operability of a computing unit | |
DE10331873A1 (en) | Distributed software monitoring method, e.g. for automotive applications, whereby computer units, controlled by one or more control units, are considered as master or slave units for implementing master-slave communication | |
DE10316452A1 (en) | Electrical, decentralized braking-by-wire system, includes additional communications unit receiving or exchanging data between wheel modules on different sides of vehicle | |
DE10142511B4 (en) | Error handling of software modules | |
DE102005060902A1 (en) | Control device for e.g. engine of motor vehicle, has memories for instructions, where part of instructions defines process, which checks acceptance of parameters and permits execution of another process when value is found for acceptance | |
DE10208866A1 (en) | Establishment and procedure for the assessment and achievement of security in systems as well as corresponding computer program | |
DE102022211725A1 (en) | Method for monitoring interfaces between a software application and a control unit | |
DE102016203966A1 (en) | Control unit and method for controlling at least one actuator of a vehicle | |
DE102022211737A1 (en) | Method for determining rules for a monitoring device | |
DE102007046706A1 (en) | Control device for vehicles | |
DE102021208459B4 (en) | Method for authentic data transmission between control units in a vehicle, arrangement with control units, computer program and vehicle | |
WO2005001692A2 (en) | Method and device for monitoring a distributed system | |
DE102007046731B4 (en) | Method for controlling an actuator in a motor vehicle | |
DE102019132428A1 (en) | Function-oriented electronics architecture | |
DE102016105876A1 (en) | Electronic control unit for a vehicle with separate data connection, assistance system, vehicle and method | |
EP1639416A1 (en) | Electronic control unit and method for specifying a software architecture for an electronic control unit | |
WO2008128710A1 (en) | Control device for vehicles | |
EP2678994B1 (en) | Method for configuring a control apparatus for a motor vehicle, computer program and control apparatus |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R163 | Identified publications notified |