DE102011106078A1 - Fahrzeugeinheit und Verfahren zum Betreiben der Fahrzeugeinheit - Google Patents

Fahrzeugeinheit und Verfahren zum Betreiben der Fahrzeugeinheit Download PDF

Info

Publication number
DE102011106078A1
DE102011106078A1 DE102011106078A DE102011106078A DE102011106078A1 DE 102011106078 A1 DE102011106078 A1 DE 102011106078A1 DE 102011106078 A DE102011106078 A DE 102011106078A DE 102011106078 A DE102011106078 A DE 102011106078A DE 102011106078 A1 DE102011106078 A1 DE 102011106078A1
Authority
DE
Germany
Prior art keywords
unit
operating system
main operating
partition
vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102011106078A
Other languages
English (en)
Inventor
Bernd Becker
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Automotive GmbH
Original Assignee
Continental Automotive GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive GmbH filed Critical Continental Automotive GmbH
Priority to DE102011106078A priority Critical patent/DE102011106078A1/de
Priority to CN201280032791.5A priority patent/CN103688268B/zh
Priority to EP12729145.8A priority patent/EP2727039A1/de
Priority to US14/129,018 priority patent/US9205809B2/en
Priority to PCT/EP2012/062203 priority patent/WO2013000854A1/de
Publication of DE102011106078A1 publication Critical patent/DE102011106078A1/de
Ceased legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R99/00Subject matter not provided for in other groups of this subclass
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Mechanical Engineering (AREA)
  • Stored Programmes (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Es werden eine Fahrzeugeinheit und ein Verfahren zur Steuerung von Fahrzeugfunktionen mit einem Mikroprozessor und angeschlossenem Speicher beschrieben, auf welchen ein Hauptbetriebssystem implementiert ist, welches die Schnittstelle der Hardware zu Anwendungspragrammen und Benutzerinteraktionen bildet. Es ist vorgesehen, dass der Mikroprozessor in einer Mikrokernel-Architektur mit separaten Partitionen für eine Hauptbetriebssystem-Einheit (1), eine Crypto-Einheit (4) und eine Supervisions-Einheit (2) aufgebaut ist, wobei in der Hauptbetriebssystem-Einheit (1) das Hauptbetriebssystem eingerichtet ist, wobei in der Crypto-Einheit (4) Software-Zertifikate gespeichert sind und ein Überprüfungsprogramm zur Überprüfung von Zertifikaten und Softwarepakten eingerichtet ist und wobei in der Supervisions-Einheit (2) ein Überwachungsprogramm zur Überwachung der Funktion der anderen Partitionen der Mikrokernel-Architektur vorgesehen ist.

Description

  • Die Erfindung betrifft eine Fahrzeugeinheit zur Steuerung von Fahrzeugfunktionen, beispielsweise eine zentrale Fahrzeugsteuereinheit, eine Multimedia-Fahrzeugeinheit oder dergleichen, sowie ein Verfahren zum Betreiben dieser Fahrzeugeinheit. Die Fahrzeugeinheit weist wie üblich einen Mikroprozessor mit einem angeschlossenen Speicher auf, wobei auf dem Mikroprozessor ein Hauptbetriebssystem, welches nachfolgend auch als Main Operating System OS bezeichnet wird, implementiert ist. Das Hauptbetriebssystem bildet erfindungsgemäß die Schnittstelle der Hardware der Fahrzeugsteuereinheit zu in dem Hauptsystem implementierten und/oder gegebenenfalls auch auf den Mikroprozessor zusätzlich implementierten Anwendungsprogrammen (Applikationen) und Benutzerinteraktionen über eine Benutzerschnittstelle (User Interface).
  • Derartige elektronische Fahrzeugeinheiten kommen zunehmend in Fahrzeugen zum Einsatz, wobei auf den Fahrzeugeinheiten Anwendungsprogramme installiert sind, die durch Benutzereingaben oder an die Fahrzeugeinheit angeschlossene Hardwarekomponenten oder beides gesteuert werden. Solche offenen Systeme führen mit einiger Wahrscheinlichkeit dazu, dass das Hauptbetriebssystem und/oder Anwendungsprogramme auf der Fahrzeugeinheit unter bestimmten Bedingungen nicht mehr funktionieren, beispielsweise aufgrund von Fehlern beim Beschreiben des in der Fahrzeugeinheit angeschlossenen Speichers. Derartige Probleme können bei zu vielen Rollback-Speicherzugriffen auf frühere Speichereinträge oder Hinzufüge- oder Löschaktionen von Programmen entstehen. Häufig ist dann eine Neuinstallation des Hauptbetriebssystems sowie gegebenenfalls der Anwendungsprogramme notwendig. Diese Neuinstallation ist für Erstausrüster, Zwischenhändler und Endkunden sehr aufwendig, weil die Fahrzeugeinheit aus dem Fahrzeug ausgebaut und an einen Reparaturservice versandt werden muss, der dann in einem auch als ”Flashing” bezeichneten Prozess den Speicher neu beschreiben muss, um das Hauptbetriebssystem und gegebenenfalls die Anwendungsprogramme auf dem Mikroprozessor neu zu implementieren.
  • Weil dies sehr arbeits- und kostenintensiv ist, liegt die Aufgabe der vorliegenden Erfindung darin, die Anzahl der Fälle zu reduzieren, in denen die zuvor beschriebene Reparatur durch Ausbau und Übersendung der Fahrzeugeinheit an einen Reparaturservice ausgeführt werden müssen.
  • Diese Aufgabe wird durch eine Fahrzeugeinheit mit den Merkmalen des Anspruchs 1 und ein Verfahren zu deren Betreiben gemäß den Merkmalen des Anspruchs 7 gelöst. Bei einer Fahrzeugeinheit der eingangs beschriebenen Art ist dazu vorgesehen, dass der Mikroprozessor in einer Mikrokernel-Architektur mit separaten Partitionen für eine Hauptbetriebssystem-Einheit, eine Crypto-Einheit und eine Supervisions-Einheit aufgebaut ist, wobei in der Hauptbetriebssystem-Einheit das Hauptbetriebssystem sowie gegebenenfalls Anwendungsprogramme eingerichtet sind, in der Crypto-Einheit Software-Zertifikate gespeichert sind und ein Überprüfungsprogramm zur Überprüfung von Zertifikaten und Softwarepaketen eingerichtet ist, und wobei in der Supervisions-Einheit ein Überwachungsprogramm zur Überwachung der Funktionen der anderen Partitionen der Mikrokernel-Architektur vorgesehen ist.
  • Erfindungsgemäß arbeiten die separaten Partitionen mit den darauf eingerichteten Programmen unabhängig voneinander, wobei das Überwachungsprogramm der Supervisions-Einheit die Funktionen der anderen Partitionen überwacht und vorzugsweise bei Feststellen eines Fehlers einen Reparaturvorgang einleitet, beispielsweise durch Neubeschreiben der fehlerhaften Partition in der Mikrokernel-Architektur. Ein derartiger Flash-Vorgang dient dem Reparieren des Systems durch Zurückbringen auf den letztbekannten stabilen Zustands des Systems.
  • Durch das Vorsehen der Mikrokernel-Architektur mit den separaten Partitionen ist es daher erfindungsgemäß möglich, die Supervisions-Einheit auch dann zu verwenden, wenn die Hauptbetriebssystem-Einheit fehlerhaft ist, so dass durch die Supervisions-Einheit eine Reparatur des gesamten Systems erfolgen kann, die herkömmlich durch Anschließen eines entsprechenden Reparatursystems bei einem Reparaturservice erfolgen musste. Das Überwachungsprogramm der Supervisions-Einheit kann dabei beispielsweise als eine Art Watchdog-Funktion insbesondere für die Hauptbetriebssystem-Einheit realisiert sein. Erfindungsgemäß ist die gesamte Mikrokernel-Architektur vorzugsweise auf genau einem Mikroprozessor implementiert, auf dem also alle Einheiten der verschiedenen Partitionen eingerichtet sind und auf dem alle den verschiedenen Einheiten zugewiesenen Funktionen durch Implementierung geeigneter Programme ablaufen.
  • Erfindungsgemäß kann die Partition mit der Hauptbetriebssystem-Einheit dazu eingerichtet sein, von einem Endnutzer, beispielsweise durch einen Download und Installation neuer Anwendungsprogramme und/oder Firmwareprogramme, veränderbar sein. Firmwareprogramme können insbesondere auch neue Versionen des Hauptbetriebssystems umfassen.
  • Dabei ist es erfindungsgemäß möglich, sowohl Updates zu installieren als auch die Partition vollständig neu zu schreiben (Flashing), wobei das Hauptbetriebssystem in der Fahrzeugeinheit neu installiert wird. Dies stellt eine Möglichkeit dar, die Fahrzeugeinheit bei einem Softwarefehler wieder in einen funktionsfähigen Zustand zu versetzen.
  • Gemäß einer besonders vorteilhaften Weiterbildung der vorliegenden Erfindung können weitere Partitionen der Mikrokernel-Architektur in dem Mikroprozessor dazu eingerichtet sein, durch den Endnutzer nicht änderbar zu sein. Dies kann vorzugsweise alle weiteren Partitionen der Mikrokernel-Architektur betreffen, insbesondere aber die Crypto-Einheit und die Supervisions-Einheit beziehungsweise die jeweiligen Partitionen mit der Crypto-Einheit und der Supervisions-Einheit. Hierdurch lässt sich insgesamt eine hohe Systemsicherheit bei gleichzeitiger Einflussnahme durch den Benutzer auf die Hauptbetriebssystem-Einheit erreichen, da die für eine mögliche Wiederherstellung des Hauptbetriebssystems verantwortlichen Partitionen und Einheiten der Mikrokernel-Architektur nicht durch Benutzereingriffe verändert werden können und daher eine Wiederherstellung der Fahrzeugeinheit auf einen vorgegebenen, definierten Stand ermöglichen.
  • In Weiterentwicklung des erfindungsgemäßen Gedankens kann die Crypto-Einheit dazu eingerichtet sein, in der Fahrzeugeinheit zu installierende Software mit in dem Überprüfungsprogramm paketweise zu entschlüsseln und/oder zu überprüfen. Hierdurch wird das Problem gelöst, dass der in den Fahrzeugeinheiten an den Mikroprozessor angeschlossene Speicher, insbesondere ein Flash-Speicher, nur eine vergleichsweise geringe Speicherplatzkapazität aufweist, die häufig für das Zwischenspeichern vollständiger Applikationen nicht ausreichend ist. Dies gilt beispielsweise auch für ein vollständiges Image (Abbild) der Partition mit dem Hauptbetriebssystem.
  • In diesem Zusammenhang ist aus der US 2009/0217136 A1 bereits ein Speichergerät mit einem Flash-Speichermodul und einem in dem Speichergerät enthaltenen Controller beschrieben, welcher einen eigenen Mikroprozessor mit einem Fehlerkorrekturmodul aufweist, das bei dem Speichern oder Lesen von Daten aus dem Flash-Speichermodul eine paketweise Korrektur durchführt. Hierfür schlägt die US 2009/0217136 A1 jedoch einen eigenständigen Mikroprozessor vor, der der Speichereinheit fest zugeordnet ist, wobei die Speichereinheit selbst an ein Host-Computersystem angeschlossen werden kann. Eine Realisierung dieser Funktion im Rahmen einer Mikrokernel-Architektur bietet dagegen den Vorteil, dass ein einziger Mikroprozessor verwendet werden kann, weil auch die erfindungsgemäße Crypto-Einheit im Rahmen der Mikrokernel-Architektur als eine von außen nicht veränderbare Partition ausgestaltet ist, die daher gegen ungewollte oder bewusste Manipulationen gesichert ist und im Rahmen der Entschlüsselung und Überprüfung der Hauptbetriebssystem- und/oder Anwendungssoftware besonders zuverlässig arbeitet. Im Rahmen dieser vorgeschlagenen Architektur ist es nicht notwendig, hierfür einen separaten Prozessor und Controller vorzusehen.
  • Vorteilhafterweise ist die erfindungsgemäß besonders wichtige Supervisions-Einheit dazu eingerichtet, mit dem Überwachungsprogramm im Falle eines Fehlers in dem Hauptbetriebssystem ein Wiederherstellungsverfahren für die Partitionen mit dem Hauptbetriebssystem einzuleiten. Indem dies automatisch bei dem Feststellen eines Fehlers in dem Hauptbetriebssystem der Fahrzeugeinheit erfolgt, kann die Fahrzeugbetriebseinheit hierdurch besonders sicher und zuverlässig betrieben werden.
  • Gemäß einer einfachen Variante kann in dem an die Fahrzeugeinheit angeschlossenen Flash-Speicher die Grundversion eines funktionierenden Hauptbetriebssystems mit den wesentlichen Anwendungsprogrammen beispielsweise in Form eines Abbildes (Image) abgelegt sein, welches als Backup-Image der Partition des Hauptbetriebssystems durch die Supervisionseinheit zurückgeschrieben wird.
  • Alternativ oder ergänzend kann im Rahmen des Wiederherstellungsverfahrens ein vorzugsweise Benutzer-interaktiver Download einer aktuellen Hauptbetriebssystem-Version stattfinden, welche anschließend in der Partition der Hauptbetriebssystem-Einheit durch die Supervisions-Einheit installiert wird. Dabei kann vor oder während der Installation durch die Crypto-Einheit die Integrität der installierten Software überprüft werden.
  • Um eine einfache Übertragung einer aktuellen Hauptbetriebssystemversion oder aktueller Anwendungsprogramme zu ermöglichen, kann die Fahrzeugeinheit eine Schnittstelle für ein externes Speichermedium aufweisen, welche auch durch die Supervisions-Einheit ansteuerbar ist. Diese Schnittstelle kann beispielsweise eine USB-Schnittstelle, eine Schnittstelle zum Einstecken einer Secure-Digital-Card (SD-Karte), einer anderen Datenkarte oder dergleichen sein. Dabei muss die Schnittstelle nicht unmittelbar an der Fahrzeugeinheit vorgesehen sein, sondern kann erfindungsgemäß auch in eine in dem Fahrzeug ohnehin vorhandene Benutzerschnittstelle integriert sein.
  • Vorzugsweise weist die Supervisions-Einheit beziehungsweise das darin implementierte Überwachungsprogramm ein Not-Betriebssystem auf, welches dazu eingerichtet ist, benötigte Benutzerschnittstellen wie beispielsweise ein Display, eine Eingabeeinheit und dergleichen, sowie Schnittstellen für ein externes Speichermedium anzusteuern und das Wiederherstellungsverfahren auszuführen.
  • Gemäß einer besonders bevorzugten Ausführungsform kann die Mikrokernel-Architektur als sogenannter Separationskernel (Separation Kernel) mit einer separaten Partition für eine Policy-Einheit ausgebildet sein, wobei die Policy-Einheit dazu eingerichtet ist, die Kommunikation zwischen den einzelnen Partitionen der Mikrokernel-Architektur zu überwachen und gegebenenfalls zu steuern. So hindert zum Beispiel die Policy-Einheit das Hauptbetriebssystem an einem Zugriff auf die anderen Partitionen und kontrolliert Kommunikationsabläufe zwischen den einzelnen Partitionen. Hierdurch wird eine besonders hohe Betriebssicherheit und Manipulationssicherheit der Fahrzeugeinheit erreicht, weil durch die ebenfalls durch den Benutzer nicht veränderbare Policy-Einheit unvorhergesehene Aktionen innerhalb des an den Mikroprozessor angeschlossenen Speichers oder innerhalb des Mikroprozessors selbst nicht erfolgen können.
  • Die Fahrzeugeinheit beziehungsweise die jeweiligen Einheiten der verschiedenen Partitionen der Mikrokernel-Architektur sind erfindungsgemäß zur Durchführung des nachfolgend beschriebenen Verfahrens zum Betreiben der Fahrzeugeinheit oder Teilen davon eingerichtet. Dieses Verfahren dient dem Betreiben einer Fahrzeugeinheit mit einem Mikroprozessor, auf welchem die vorbeschriebene Mikrokernel-Architektur mit den separaten Partitionen für eine Hauptbetriebssystem-Einheit, eine Crypto-Einheit und eine Supvervisions-Einheit aufgesetzt ist. In der Hauptbetriebssystem-Einheit sind erfindungsgemäß das Hauptbetriebssystem sowie gegebenenfalls Anwendungsprogramme eingerichtet. Diese können durch den Nutzer verändert werden. In der Crypto-Einheit sind erfindungsgemäß Software-Zertifikate gespeichert und ein Überprüfungsprogramm zur Überprüfung von Zertifikaten und vollständiger Softwarepakete eingerichtet. In der Supervisions-Einheit ist erfindungsgemäß ein Überwachungsprogramm zur Überwachung der Funktionen der anderen Partitionen in der Mikrokernel-Architektur vorgesehen, wobei durch das Überwachungsprogramm der Supervisions-Einheit das Hauptbetriebssystem sowie gegebenenfalls vorhandene Anwendungssoftware während des Starts und/oder des Betriebs des Hauptbetriebssystems beziehungsweise der Fahrzeugeinheit überwacht und bei Abweichungen von einem vorgegebenen Verhalten ein Wiederherstellungsverfahren für das Hauptbetriebssystem eingeleitet wird. Dadurch lässt sich die Fahrzeugeinheit in vielen Fällen bei einem Ausfall neu starten und in einen betriebsfähigen Zustand zurückversetzen, ohne dass ein Ausbau der Fahrzeugeinheit und ein Neubeschreiben des an den Mikroprozessor angeschlossenen Speichers zur Neuimplementierung der Hauptbetriebssystem-Software sowie der Anwendungsprogramme notwendig werden.
  • In einer besonders vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens wird zur Feststellung von Abweichungen während des Starts und/oder Betriebs des Hauptbetriebssystems eine typische Startzeit für eine Benutzerschnittstelle (Human Machine Interface – HMI), die durch das Hauptbetriebssystem beanspruchte Rechenzeit des Mikroprozessors und/oder der durch das Hauptbetriebssystem beanspruchte Speicherplatzbedarf beispielsweise durch Vergleich mit vorgegebenen Grenzwerten für einen Normalbetrieb überwacht. Derartige Daten lassen sich durch das Überwachungsprogramm in einer Art Watchdog-Funktion einfach überwachen, indem beispielsweise ein Ansprechen der Benutzerschnittstelle simuliert und abgefragt sowie der Betrieb des Mikroprozessors und des Speicherplatzes überwacht werden. Dies ist im Rahmen eines eigenständigen Prozesses in der Supervisions-Einheit ohne Weiteres möglich, ohne dass mögliche Fehler in der Partition der Hauptbetriebssystem-Einheit diese Funktion beeinträchtigen.
  • Sofern bei dem Feststellen eines nicht ordnungsgemäßen Betriebs der Partition mit der Hauptbetriebssystem-Einheit das Wiederherstellungsverfahren gestartet wird, kann im Rahmen dieses Wiederherstellungsverfahrens vorzugsweise die Partition mit der Hauptbetriebssystem-Einheit vollständig abgeschaltet und aus der Mikrokernel-Architektur entladen werden. Erfindungsgemäß übernimmt dann das Not-Betriebssystem der Supervisions-Einheit die Ansteuerung der Benutzerschnittstelle und/oder einer Schnittstelle für das externe Speichermedium, um den Ausfall der Fahrzeugeinheit anzuzeigen und ein neues Implementieren der Hauptbetriebssystem-Einheit in der entsprechenden Partition der Mikrokernel-Architektur vornehmen zu können. Das erfindungsgemäße Wiederherstellungsverfahren kann dann automatisiert und/oder benutzergesteuert durchgeführt werden. Eine besonders schnelle, automatische Wiederherstellung der defekten Partition lässt sich dann erreichen, wenn bei dem erfindungsgemäßen Verfahren ein Rückschreiben eines in der Fahrzeugeinheit, beispielsweise dem an dem Mikroprozessor angeschlossenen Speicher, gespeichertes Backup-Images der Partition des Hauptbetriebssystems erfolgt. Nach dem Rückschreiben eines solchen Backup-Images kann die Fahrzeugeinheit neu gestartet werden, wobei bei dem Neustart das neuinstallierte Hauptbetriebssystem ausgeführt wird.
  • Alternativ kann bei dem Wiederherstellungsverfahren das Ausführen eines Benutzer-interaktiven Downloads einer aktuellen Hauptbetriebssystem-Version erfolgen, wobei die aktuelle Hauptbetriebssystem-Version insbesondere über ein externes Speichermedium eingelesen und in der Partition für das Hauptbetriebssystem installiert wird. Erfindungsgemäß kann dem Benutzer dazu eine Seriennummer, eine Versionsidentifikationsnummer oder dergleichen ausgegeben werden, um dem Benutzer die Auswahl des passenden Hauptbetriebssystems, das heißt einer geeigneten Firmware, von einer Herstellerseite in dem Internet zu ermöglichen. In Abwandlung dieser zusätzlich gegebenen Informationen kann auch ein geeigneter Internet-Link, insbesondere in Form einer html-Datei, auf dem externen Speichermedium ausgegeben werden, der nach Anschluss an ein anderes Computersystem mit Internet-Anschluss unmittelbar aufgerufen werden kann und zum Download des geeigneten Hauptbetriebssystems führt. Die html-Datei, gegebenenfalls mit JavaScript-Anteilen, überprüft die Größe des Speichermediums und speichert eine Image-Datei und/oder eine Update-Datei des zu installierenden Hauptbetriebssystems in ein geeignetes Verzeichnis. Hierdurch wird eine Fehlerreduktion erreicht, weil eine fehlerhafte Installation eines falschen Betriebssystems von vornherein vermieden wird, ohne dass die in der Fahrzeugeinheit installierte Crypto-Einheit entsprechend eingreifen müsste. Gegebenenfalls kann hierbei auch ein Zertifikat eingesetzt werden.
  • Trotzdem ist es besonders vorteilhaft, wenn vor oder während der Installation des Hauptbetriebssystems und/oder einer für das Hauptbetriebssystem geeigneten Anwendung in Form eines Anwendungsprogramms eine Überprüfung durch die Crypto-Einheit erfolgt. Dabei können Seriennummer, Hardwareversion, Integrität, Zertifikat oder dergleichen überprüft und gegebenenfalls auch eine Entschlüsselung vorgenommen werden.
  • Erfindungsgemäß kann nach dem Schreiben eines Internet-Links, beispielsweise in Form der html-Datei, in einen automatischen Start-Up-Modus geschaltet werden, der beim Starten beziehungsweise Hochfahren der Fahrzeugeinheit das Vorhandensein eines externen Speichermediums mit der Image-Datei und/oder der Update-Datei überprüft und bei Vorhandensein deren Installation sofort startet. Andernfalls wird das Vorhandensein des externen Speichers nicht geprüft. Hierdurch wird auch sichergestellt, dass nicht mehrmals ein Update mit derselben Softwareversion erfolgt, was unter Umständen zu einem instabilen System führen kann. Nach einer erfolgreichen Neuinstallation des Hauptbetriebssystems, auch Flashen genannt, wird dann wieder in den normalen und üblicher Weise auch schnelleren Startmodus geschaltet.
  • Schließlich betrifft die vorliegende Erfindung auch ein Computerprogrammprodukt mit Programmcodemitteln zur Einrichtung in einer Recheneinheit, welches Computerprogrammprodukt dadurch gekennzeichnet ist, dass durch die Programmcodemittel bei Ausführen des Computerprogramms eine Mikrokernel-Architektur gemäß einem der Ansprüche 1 bis 6 und/oder ein Verfahren gemäß einem der Ansprüche 7 bis 12 in dem Mikroprozessor der Fahrzeugeinheit eingerichtet wird.
  • Weitere Vorteile, Merkmale und Anwendungsmöglichkeiten der vorliegenden Erfindung ergeben sich auch aus der nachfolgenden Beschreibung eines Ausführungsbeispiels und der Zeichnung. Dabei bilden alle beschriebenen und/oder bildlich dargestellten Merkmale für sich oder in beliebiger Kombination den Gegenstand der vorliegenden Erfindung, auch unabhängig von ihrer Zusammenfassung in den Ansprüchen oder deren Rückbezügen. Es zeigen:
  • 1: schematisch den Aufbau einer erfindungsgemäßen Mikrokernel-Architektur und
  • 2: einen schematischen Ablauf zum Betrieb einer Fahrzeug-Einheit gemäß der vorliegenden Erfindung.
  • In 1 ist dazu die Systempartitionierung eines an den Mikroprozessor angeschlossenen Speichers dargestellt, auf den der Speicher zum Ablauf der verschiedenen Programme in den Partitionen zugreift. Diese Partition ist als ein Separationskernel ausgebildet, der eine spezielle Variante einer Mikrokernel-Architektur darstellt. Bei der Mikrokernel-Architektur sind die verschiedenen Partitionen 1, 2, 3, 4 für die Hauptbetriebssystem-Einheit, die Supervisions-Einheit, die Policy-Einheit und die Crypto-Einheit auf demselben Mikroprozessor mit angeschlossenem Speicher implementiert, wobei die verschiedenen Partitionen unabhängig voneinander auf dem Mikroprozessor ablaufen und auch parallel ausgeführt werden können.
  • In der Partition 1 der Hauptbetriebssystem-Einheit ist das Hauptbetriebssystem der Fahrzeugeinheit installiert, welches durch den Endnutzer beispielsweise durch den Download und Installation neuer Anwendungsprogramme oder neuer Hauptbetriebssystem-Softwareversionen verändert werden kann.
  • Die Partition 4 mit der Crypto-Einheit ist für das Speichern und Validieren von Zertifikaten und das Überprüfen der Zertifikate von Anwendungssoftware oder kompletten Softwarepaketen zuständig. Alle Softwarezertifikate sind im Inneren der Partitionen 4 mit der Crypto-Einheit installiert, ohne dass die anderen Partitionen 1, 2, 3 Zugriff auf die Partition 4 haben. Hierdurch wird erfindungsgemäß die Sicherheit erhöht, weil die Crypto-Einheit durch den Benutzer nicht verändert werden kann.
  • Die Partition 2 mit der Supervisions-Einheit überwacht beispielsweise mit Wachtdog-ähnlichen Mechanismen die anderen Partitionen 1, 3, 4, und insbesondere die Partition 1 mit der Hauptbetriebssystem-Einheit, welche für die ordnungsgemäße Funktion der Fahrzeugeinheit zuständig ist. Diese Einheit ist erfindungsgemäß also für das Detektieren eines nicht funktionsfähigen Hauptbetriebssystems und das Einleiten eines automatischen oder Benutzer-interaktiven Wiederherstellungsprozesses zuständig.
  • Die Partition 3 mit der Policy-Einheit ist eine Standard-Einheit eines Separationskernels und überwacht beziehungsweise steuert die Kommunikation zwischen den verschiedenen Partitionen 1, 2, 4. So wird beispielsweise überprüft, ob eine Partition A eine Mitteilung M an eine Partition B senden darf. Ferner steuert die Policy-Einheit die Zugriffsrechte auf physikalische Speicherbereiche oder Flash-Partitionen und ändert die Budgets für die Zuweisung an Prozessorleistung zu einzelnen Prozessen oder von Speicherplatz.
  • Ein wesentliches Konzept der vorliegenden Erfindung liegt nun darin, den für die Überwachung und Wiederherstellung der gesamten Fahrzeugeinheit zuständigen Programmcode aus der Partition 1 mit der Hauptbetriebssystem-Einheit in die Partition 2 mit der Supervisions-Einheit auszulagern, wobei diese Partition 2 durch die Mikrokernel-Architektur vor einer Beeinflussung oder einem Zugriff aus der Partition 1 geschützt ist, während sie dennoch auf demselben Mikroprozessor abläuft.
  • Mit dieser Funktion wird auch die Überwachungsfunktion von einem hierfür üblicherweise vorgesehenen externen Mikrokontroller in die Partition 2 der Supervisions-Einheit übertragen, die im Rahmen ihrer Aufgaben mit der Policy-Einheit und der Crypto-Einheit zusammenwirkt.
  • Alle diese Einheiten in den Partitionen 2, 3 und 4 können nicht durch Softwareupdates oder Benutzereingriffe verändert werden, so dass diese ab dem Moment der Herstellung der Fahrzeugeinheit unveränderlich feststehen. Hierdurch lässt sich eine Wiederherstellung der Partitionen 1 mit dem Hauptbetriebssystem in vorhersehbarer Weise kontrollieren. Das Zusammenwirken der Supervisions-Einheit, der Crypto-Einheit und der Policy-Einheit im Rahmen des Separationskernels in der Mikrokernel-Architektur stellen damit sicher, dass nur die Flash-Partitionen überschrieben werden, die der Hauptbetriebssystem-Einheit in der Partition 1 zugerechnet werden, die durch herunterladbare Anwendungsprogramme oder neue Firmwareversionen verändert werden können. Gleichzeitig verhindert die Policy-Einheit in der Partition 3 einen Zugriff der Hauptbetriebssystem-Einheit auf die anderen Partitionen 2, 3 und 4. Erfindungsgemäß können die Supervisions-Einheit, die Crypto-Einheit und die Policy-Einheit anstelle der drei verschiedenen Partitionen 2, 3 und 4 auch in einer gemeinsamen Partition zusammengefasst werden, die erfindungsgemäß jedoch von der Partition 1 der Hauptbetriebssystem-Einheit verschieden ist. Hierdurch lässt sich gegebenenfalls Speicher sparen und die Laufzeitperformance durch einen optimaleren Scheduling-Aufwand des Mikrokernes verbessern.
  • Innerhalb dieser Mikrokernel-Architektur, wie sie in 1 dargestellt ist, lässt sich der nachfolgend beschriebene Ablauf zum Feststellen von Fehlern in der Hauptbetriebssystem-Einheit und zum Wiederherstellen der Hauptbetriebssystem-Einheit zuverlässig implementieren.
  • Das erfindungsgemäße Verfahren wird nachfolgend anhand des schematischen Verfahrensablaufs gemäß 2 beschrieben.
  • Während des Startens der Fahrzeugeinheit läuft in der Supervisions-Einheit der Partition 2 ein Überwachungsprogramm ab, um Fehler des Hauptbetriebssystems festzustellen. Dazu überwacht die Supervisions-Einheit das Starten des Hauptbetriebssystems im Hinblick auf einige Detailfunktionen. Diese Detailfunktionen beinhalten wichtige Servicefunktionen und Zustände des Hauptbetriebssystems.
  • Diese wichtigen Zustände und Funktionen betreffen zum einen eine Basis-Benutzerinteraktion über eine Mensch-Maschine-Schnittstelle HMI, die über das Hauptbetriebssystem angesteuert wird. Dazu wird die Funktion der Mensch-Maschine-Schnittstelle durch die Supervisions-Einheit beispielsweise mittels einer fingierten Eingabe überprüft. Sofern die Mensch-Maschine-Schnittstelle beim Starten der Fahrzeugeinheit nach einer vorgegebenen Zeit nicht einsatzbereit ist, kann dies als Fehler des Hauptbetriebssystems gewertet werden.
  • Zusätzlich kann die Partition 1 des Hauptbetriebssystems als fehlerhaft angesehen werden, wenn eine außergewöhnliche Belastung der Rechenleistung des Prozessors oder ein außergewöhnlicher Speicherplatzbedarf festgestellt wird. Auch ein übermäßiger Netzwerkverkehr zwischen den einzelnen Partitionen des Separationskernels kann als Merkmal für ein fehlerhaftes Hauptbetriebssystems gewertet werden.
  • Im Falle eines festgestellten Fehlers des Hauptbetriebssystems wird eine Wiederherstellung eingeleitet. Im Rahmen dieser Wiederherstellung startet die Überwachungseinheit einen Wiederherstellungsmodus, in welchem die Partition 1 mit der Hauptbetriebssystem-Einheit vollständig ausgeschaltet und aus der Mikrokernel-Architektur entladen wird. Die Supervisions-Einheit übernimmt dann im Rahmen eines Not-Betriebssystems die verbliebenen Funktionen der Fahrzeugeinheit, zu der insbesondere auch das Ansprechen der Mensch-Maschine-Schnittstelle gehört.
  • So gibt die Supervisions-Einheit über einen Bildschirm der Mensch-Maschine-Schnittstelle eine Fehlermeldung an den Endnutzer aus. Auf demselben Bildschirm, auf dem die Fehlermitteilung angezeigt wird, wird ein Internetlink, insbesondere ein https-Link, mit einigen Einzelheiten wie der Seriennummer oder einer Versionsidentifikationsnummer ausgegeben, so dass der Endbenutzer ein aktuelles Software-Paket für das Hauptbetriebssystem und/oder die von ihm benötigte Anwendungssoftware aus dem Internet von einer Serviceseite des Herstellers der Fahrzeugeinheit herunterladen kann.
  • Der Softwaredownload kann von einem herkömmlichen PC erfolgen und auf einem externen Speichermittel, beispielsweise einem USB-Speicherstick, erfolgen. Um diesen Softwaredownload einlesen zu können, aktiviert die Supervisions-Einheit in dem Nat-Betriebssystem die benötigten Treiber für externe Schnittstellen zur Anbindung externer Speichermittel. Wenn das Not-Betriebssystem beispielsweise bei einem Neustart der Fahrzeugeinheit ein derartiges externes Speichermittel an einer Schnittstelle feststellt, wird deren Dateisystem nach einem Software-Update-Paket durchsucht. Sobald ein solches Paket festgestellt wird, wird der Hash-Wert des Paketes berechnet, eine entsprechende Signatur gelesen und die verschlüsselte Software-Version und die Hardware-Kompatibilität des Pakets von dem Speichergerät ausgelesen und an die Partition 4 mit der Crypto-Einheit übersandt. Die Crypto-Einheit überprüft die Inhalte des Software-Pakets und gibt der Überwachungs-Einheit eine Rückmeldung, ob das Software-Paket für die vorliegende Hardware zulässig ist. Ferner kann das Crypto-Paket die Software paketweise entschlüsseln und zur Installation bereitstellen.
  • Wenn das Software-Paket für die Hardware gültig ist, führt die Supervisions-Einheit eine vollständige Überprüfung der Blöcke der Flash-Partitionen durch, die für das Hauptbetriebssystem verwendet werden. Danach startet es eine Neuinstallation der Flash-Partition mit dem Hauptbetriebssystem (Flashing). Nach einer erfolgreichen Installation in der Partition 1 der Hauptbetriebssystem-Einheit startet die Fahrzeugeinheit bei dem nächsten Start mit dem neuen Betriebssystem. Neben einer Fehlerbehandlung lassen sie auf diese Weise auch gezielte Updates einspielen, die beispielsweise durch eine Benutzereingabe in dem Hauptbetriebssystem ausgelöst werden können.
  • Statt nur die Link-Adresse für den Download der Software anzugeben, ist es erfindungsgemäß auch möglich, dass die Supervisions-Einheit auf einem an die Fahrzeugeinheit angeschlossenen Speichergerät einen im Internet aufrufbaren Link speichert, in dem bereits die notwendigen Angaben zur Identifikation der passenden und benötigten Software enthalten sind. Auf diese Weise werden Fehlereingaben vermieden.
  • Damit kann durch die erfindungsgemäße Mikrokernel-Architektur ein durch den Benutzer steuerbares Verfahren zum Betreiben der Fahrzeugeinheit ausgeführt werden, das im Falle eines Saftware-Fehlers ein Wiederherstellen der Einheit erlaubt, ohne dass diese ausgebaut und an eine spezielle Servicestelle gesendet werden muss.
  • Bezugszeichenliste
    • 1
    Partition, Hauptbetriebssystem-Einheit
    2
    Partition, Supervisions-Einheit
    3
    Partition, Policy-Einheit
    4
    Partition, Crypto-Einheit
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 2009/0217136 A1 [0011, 0011]

Claims (13)

  1. Fahrzeugeinheit zur Steuerung von Fahrzeugfunktionen mit einem Mikroprozessor und angeschlossenem Speicher, auf welchen ein Hauptbetriebssystem implementiert ist, welches die Schnittstelle der Hardware zu Anwendungsprogrammen und Benutzerinteraktionen bildet, dadurch gekennzeichnet, dass der Mikroprozessor in einer Mikrokernel-Architektur mit separaten Partitionen für eine Hauptbetriebssystem-Einheit (1), eine Crypto-Einheit (4) und eine Supervisions-Einheit (2) aufgebaut ist, wobei in der Hauptbetriebssystem-Einheit (1) das Hauptbetriebssystem eingerichtet ist, wobei in der Crypto-Einheit (4) Software-Zertifikate gespeichert sind und ein Überprüfungsprogramm zur Überprüfung von Zertifikaten und Softwarepakten eingerichtet ist und wobei in der Supervisions-Einheit (2) ein Überwachungsprogramm zur Überwachung der Funktion der anderen Partitionen der Mikrokernel-Architektur vorgesehen ist.
  2. Fahrzeugeinheit nach Anspruch 1, dadurch gekennzeichnet, dass die Partition mit der Hauptbetriebssystem-Einheit (1) dazu eingerichtet ist, durch einen Endnutzer veränderbar zu sein.
  3. Fahrzeugeinheit nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass andere Partitionen als die Partition mit der Hauptbetriebssystem-Einheit (1) der Mikrokernel-Architektur in dem Mikroprozessor dazu eingerichtet sind, durch den Endnutzer nicht änderbar zu sein.
  4. Fahrzeugeinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Crypto-Einheit (4) dazu eingerichtet ist, in der Fahrzeugeinheit zu installierende Software mit dem Überprüfungsprogramm paketweise zu entschlüsseln und/oder zu überprüfen.
  5. Fahrzeugeinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Supervisions-Einheit (2) dazu eingerichtet ist, mit dem Überwachungsprogramm im Falle eines Fehlers in dem Hauptbetriebssystem ein Wiederherstellungsverfahren für die Partition mit dem Hauptbetriebssystem einzuleiten.
  6. Fahrzeugeinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Mikrokernel-Architektur als Separationskernel mit einer separaten Partition für eine Policy-Einheit (3) ausgebildet ist, wobei die Policy-Einheit (3) dazu eingerichtet ist, die Kommunikation zwischen den einzelnen Partitionen der Mikrokernel-Architektur zu überwachen.
  7. Verfahren zum Betreiben der Fahrzeugeinheit mit einem Mikroprozessor, insbesondere nach einem der vorhergehenden Ansprüche, auf welchem eine Mikrokernel-Architektur mit separaten Partitionen für eine Hauptbetriebssystem-Einheit (1), eine Crypto-Einheit (4) und eine Supervisians-Einheit (2) aufgesetzt ist, wobei in der Hauptbetriebssystem-Einheit (1) das Hauptbetriebssystem eingerichtet ist, wobei in der Crypto-Einheit (4) Software-Zertifikate gespeichert sind und ein Überprüfungsprogramm zur Überprüfung von Zertifikaten und vollständiger Softwarepakte eingerichtet ist und wobei in der Supervisions-Einheit (2) ein Überwachungsprogramm zur Überwachung der Funktion der anderen Partitionen der Mikrokernel-Architektur vorgesehen ist, dadurch gekennzeichnet, dass durch das Überwachungsprogramm der Supervisions-Einheit (2) das Hauptbetriebssystem während des Starts und/oder Betriebs überwacht und bei Abweichungen von einem vorgegebenen Verhalten ein Wiederherstellungsverfahren für das Hauptbetriebssystem einleitet.
  8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass zur Feststellung von Abweichungen während des Starts und/oder Betriebs des Hauptbetriebssystems eine typische Startzeit für eine Benutzerschnittstelle, die durch das Hauptbetriebssystem beanspruchte Rechenzeit des Mikroprozessors und/oder der durch das Hauptbetriebssystem beanspruchte Speicherplatzbedarf überwacht wird.
  9. Verfahren nach Anspruch 7 oder 8, dadurch gekennzeichnet, dass bei dem Wiederherstellungsverfahren die Partition mit der Hauptbetriebssystem-Einheit abgeschaltet und aus der Mikrokernel-Architektur entladen wird.
  10. Verfahren nach einem der Ansprüche 7 bis 9, dadurch gekennzeichnet, dass bei dem Wiederherstellungsverfahren ein Rückschreiben eines in der Fahrzeugeinheit gespeicherten Backup-Images der Partition des Hauptbetriebssystems erfolgt.
  11. Verfahren nach einem der Ansprüche 7 bis 9, dadurch gekennzeichnet, dass bei dem Wiederherstellungsverfahren das Ausführen eines Benutzerinteraktiven Downloads einer aktuellen Hauptbetriebssystem-Version erfolgt, wobei die aktuelle Hauptbetriebssystem-Version insbesondere über ein externes Speichermedium eingelesen und in der Partition für das Hauptbetriebssystem installiert wird.
  12. Verfahren nach einem der Ansprüche 7 bis 10, dadurch gekennzeichnet, dass vor oder während der Installation des Hauptbetriebssystems eine Überprüfung durch die Crypto-Einheit (4) erfolgt.
  13. Computerprogrammprodukt mit Programmcodemitteln zur Einrichtung in einer Recheneinheit, dadurch gekennzeichnet, dass durch die Programmcodemittel bei Ausführen des Computerprogramms eine Mikrokernel-Architektur gemäß einem der Ansprüche 1 bis 6 und/oder ein Verfahren gemäß einem der Ansprüche 7 bis 12 in dem Mikroprozessor der Fahrzeugeinheit eingerichtet wird.
DE102011106078A 2011-06-30 2011-06-30 Fahrzeugeinheit und Verfahren zum Betreiben der Fahrzeugeinheit Ceased DE102011106078A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE102011106078A DE102011106078A1 (de) 2011-06-30 2011-06-30 Fahrzeugeinheit und Verfahren zum Betreiben der Fahrzeugeinheit
CN201280032791.5A CN103688268B (zh) 2011-06-30 2012-06-25 车辆单元和用来操作车辆单元的方法
EP12729145.8A EP2727039A1 (de) 2011-06-30 2012-06-25 Fahrzeugeinheit und verfahren zum betreiben der fahrzeugeinheit
US14/129,018 US9205809B2 (en) 2011-06-30 2012-06-25 Vehicle unit and method for operating the vehicle unit
PCT/EP2012/062203 WO2013000854A1 (de) 2011-06-30 2012-06-25 Fahrzeugeinheit und verfahren zum betreiben der fahrzeugeinheit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102011106078A DE102011106078A1 (de) 2011-06-30 2011-06-30 Fahrzeugeinheit und Verfahren zum Betreiben der Fahrzeugeinheit

Publications (1)

Publication Number Publication Date
DE102011106078A1 true DE102011106078A1 (de) 2013-01-03

Family

ID=46331337

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102011106078A Ceased DE102011106078A1 (de) 2011-06-30 2011-06-30 Fahrzeugeinheit und Verfahren zum Betreiben der Fahrzeugeinheit

Country Status (5)

Country Link
US (1) US9205809B2 (de)
EP (1) EP2727039A1 (de)
CN (1) CN103688268B (de)
DE (1) DE102011106078A1 (de)
WO (1) WO2013000854A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014224892A1 (de) * 2014-12-04 2016-06-09 Bayerische Motoren Werke Aktiengesellschaft Bereitstellen einer ersten Ablaufsteuerung anstelle einer zweiten Ablaufsteuerung im Fehlerfall
WO2017016699A1 (de) * 2015-07-24 2017-02-02 Siemens Aktiengesellschaft Verfahren zum betreiben einer automatisierungskomponente
WO2024078825A1 (de) 2022-10-14 2024-04-18 Mercedes-Benz Group AG Ändern des speicherinhalts eines hauptspeichers eines mikrocontrollers ohne separate speicherverwaltungseinheit

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103836182A (zh) * 2014-03-28 2014-06-04 大陆汽车投资(上海)有限公司 配备液力变矩器的带式cvt的控制系统和方法
FR3025035B1 (fr) * 2014-08-22 2016-09-09 Jtekt Europe Sas Calculateur pour vehicule, tel qu’un calculateur de direction assistee, pourvu d’un enregistreur d’evenements integre
JP6668341B2 (ja) 2014-11-04 2020-03-18 キャパシタ サイエンシス インコーポレイテッド エネルギー蓄積デバイスおよびその製造方法
US9694765B2 (en) * 2015-04-20 2017-07-04 Hitachi, Ltd. Control system for an automotive vehicle
JP2018120422A (ja) * 2017-01-25 2018-08-02 ルネサスエレクトロニクス株式会社 車載通信システム、ドメインマスタ、及びファームウェア更新方法
US10798128B2 (en) * 2017-07-24 2020-10-06 Blackberry Limited Distributed authentication for service gating
US10942509B2 (en) 2018-01-19 2021-03-09 Ge Aviation Systems Llc Heterogeneous processing in unmanned vehicles
US11029985B2 (en) 2018-01-19 2021-06-08 Ge Aviation Systems Llc Processor virtualization in unmanned vehicles
CN108279603A (zh) * 2018-01-30 2018-07-13 风度(常州)汽车研发院有限公司 一种行车控制系统、方法及存储介质
DE102018213902A1 (de) 2018-08-17 2020-02-20 Continental Automotive Gmbh Gegen Angriffe gesicherte Netzwerkschnittstelle
EP3742295A1 (de) * 2019-05-23 2020-11-25 NXP USA, Inc. Automatische firmware-rückkehr
CN111273883A (zh) * 2020-01-20 2020-06-12 北京远特科技股份有限公司 多操作系统的同屏显示方法、装置和终端设备
CN114625426B (zh) * 2020-12-09 2023-09-29 博泰车联网科技(上海)股份有限公司 一种硬隔离实现系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007040094A1 (de) * 2007-08-24 2009-02-26 Continental Automotive Gmbh Verfahren und System zur reversiblen Durchführung von Konfigurationsänderungen
US20090217136A1 (en) 2008-02-21 2009-08-27 Phison Electronics Corp. Storage apparatus, controller and data accessing method thereof

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7840763B2 (en) * 2004-03-12 2010-11-23 Sca Technica, Inc. Methods and systems for achieving high assurance computing using low assurance operating systems and processes
CN100394392C (zh) * 2005-12-09 2008-06-11 英业达股份有限公司 计算机程序还原模式自动启动控制方法及系统
US7877357B1 (en) * 2007-10-12 2011-01-25 Netapp, Inc. Providing a simulated dynamic image of a file system
DE102007062114A1 (de) 2007-12-21 2009-07-23 Opensynergy Gmbh Kraftfahrzeug-Steuervorrichtung
CN101251813A (zh) * 2008-03-31 2008-08-27 宇龙计算机通信科技(深圳)有限公司 手机系统恢复装置及其方法
WO2010016172A1 (ja) * 2008-08-05 2010-02-11 三菱電機株式会社 車載システム
CN102426797B (zh) * 2011-11-16 2013-08-14 东南大学 客运车辆车载信息交互系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007040094A1 (de) * 2007-08-24 2009-02-26 Continental Automotive Gmbh Verfahren und System zur reversiblen Durchführung von Konfigurationsänderungen
US20090217136A1 (en) 2008-02-21 2009-08-27 Phison Electronics Corp. Storage apparatus, controller and data accessing method thereof

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
NILSSON, D. K.; SUN, L.; NAKAJIMA, T.: A Framework for Self-Verification of Firmware Updates over the Air in Vehicle ECUs. In: Proc. 2008 IEEE Globecom Workshops. New York: IEEE, 2008. S. 1-5. - ISBN 978-1-4244-3062-8 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014224892A1 (de) * 2014-12-04 2016-06-09 Bayerische Motoren Werke Aktiengesellschaft Bereitstellen einer ersten Ablaufsteuerung anstelle einer zweiten Ablaufsteuerung im Fehlerfall
WO2017016699A1 (de) * 2015-07-24 2017-02-02 Siemens Aktiengesellschaft Verfahren zum betreiben einer automatisierungskomponente
EP3286613B1 (de) 2015-07-24 2019-11-27 Siemens Aktiengesellschaft Verfahren und vorrichtung zum betreiben einer automatisierungskomponente
US10761502B2 (en) 2015-07-24 2020-09-01 Siemens Aktiengesellschaft Method for operating an automation component
WO2024078825A1 (de) 2022-10-14 2024-04-18 Mercedes-Benz Group AG Ändern des speicherinhalts eines hauptspeichers eines mikrocontrollers ohne separate speicherverwaltungseinheit
DE102022003789A1 (de) 2022-10-14 2024-04-25 Mercedes-Benz Group AG Verfahren zum Ändern des Speicherinhalts eines Hauptspeichers eines Mikrocontrollers ohne separate Speicherverwaltungseinheit, Anwendung dessen, Mikrocontroller und Fahrzeug

Also Published As

Publication number Publication date
CN103688268B (zh) 2017-10-10
US9205809B2 (en) 2015-12-08
EP2727039A1 (de) 2014-05-07
CN103688268A (zh) 2014-03-26
WO2013000854A1 (de) 2013-01-03
US20140142781A1 (en) 2014-05-22

Similar Documents

Publication Publication Date Title
DE102011106078A1 (de) Fahrzeugeinheit und Verfahren zum Betreiben der Fahrzeugeinheit
DE102012109614B4 (de) Verfahren zum Wiederherstellen von Stapelüberlauf- oder Stapelunterlauffehlern in einer Softwareanwendung
EP1903436B1 (de) Computersystem und Verfahren zum Aktualisieren von Programmcode
DE112009000612T5 (de) Multi-Betriebssystem-Booteinrichtung (OS), Multi-OS-Boot-Programm, Aufzeichnungsmedium und Multi-OS-Bootverfahren
DE202015101633U1 (de) Computersystem und Speichervorrichtung
DE102012109617A1 (de) Verfahren zum Ersetzen eines öffentlichen Schlüssels eines Bootloaders
DE102011005209A1 (de) Programmanweisungsgesteuerte Instruktionsflusskontrolle
DE202010017644U1 (de) Hybridspeichervorrichtung
DE112014000340T5 (de) Vorablesezugriff auf Daten für einen Chip mit einem übergeordneten Kern und einem Scout-Kern
DE102013213314A1 (de) Hinterlegen mindestens eines berechenbaren Integritätsmesswertes in einem Speicherbereich eines Speichers
EP2394232B1 (de) Vorrichtung und verfahren zum verhindern von unautorisierter verwendung und/oder manipulation von software
DE112012006736T5 (de) Empfangen eines Update-Moduls durch Zugreifen auf eine Netzwerkstelle
DE102005046696B4 (de) Verfahren zum Erzeugen von geschütztem Programmcode und Verfahren zum Ausführen von Programmcode eines geschützten Computerprogramms sowie Computerprogrammprodukt
DE102018215011A1 (de) Verfahren zum Installieren eines Programmcodepakets in ein Gerät sowie Gerät und Kraftfahrzeug
DE202015102285U1 (de) Computersystem und Speichervorrichtung zum Bereitstellen wenigstens eines Datenträgers
EP2596429B1 (de) Verfahren zum ausführen eines dienstprogramms, computersystem und computerprogrammprodukt
DE102019215807A1 (de) Verfahren zum Aktualisieren einer Firmware auf einem eingebetteten System
DE102021212994B3 (de) Verfahren zur Erkennung von auf eine Manipulation hindeutenden Anomalien während eines sicheren Startvorgangs einer softwaregesteuerten Vorrichtung
DE102013109088A1 (de) Verfahren zum Schützen der Integrität von gecachten GPT-Plattendaten in einer externen Betriebssystem-Umgebung
DE112015002881B4 (de) Speichervorrichtung, Flash-Speicher-Steuervorrichtung und Programm
EP2037360A2 (de) Steuergerät für einen Massenspeicher und Verfahren zum Bereitstellen von Daten für einen Startvorgang eines Computers
DE102008042311B4 (de) Verfahren und Speichereinheit zum Booten eines Servers
EP3876123B1 (de) Anordnung und betriebsverfahren für einen sicheren hochfahrablauf einer elektronischen einrichtung
WO2009103728A1 (de) Verfahren und vorrichtung zum speichern von informationsdaten
DE102016103451A1 (de) Verfahren für ein Computersystem und Computersystem

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final