DE102014209489A1 - Vorrichtung zum sicheren Einbinden einer Softwarekomponente in einem Kraftfahrzeug - Google Patents

Vorrichtung zum sicheren Einbinden einer Softwarekomponente in einem Kraftfahrzeug Download PDF

Info

Publication number
DE102014209489A1
DE102014209489A1 DE102014209489.5A DE102014209489A DE102014209489A1 DE 102014209489 A1 DE102014209489 A1 DE 102014209489A1 DE 102014209489 A DE102014209489 A DE 102014209489A DE 102014209489 A1 DE102014209489 A1 DE 102014209489A1
Authority
DE
Germany
Prior art keywords
coupling device
motor vehicle
software component
unit
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102014209489.5A
Other languages
English (en)
Inventor
Thomas Heinz
Christian Lasarczyk
Bernd Mueller
Rakshith Amarnath
Jochen Ulrich Haenger
Carsten Gebauer
Markus Schweizer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102014209489.5A priority Critical patent/DE102014209489A1/de
Priority to CN201510258391.1A priority patent/CN105083164B/zh
Priority to US14/717,828 priority patent/US9710290B2/en
Publication of DE102014209489A1 publication Critical patent/DE102014209489A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44505Configuring for program initiating, e.g. using registry, configuration files
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/302Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/61Installation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/72Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
    • H04M1/724User interfaces specially adapted for cordless or mobile telephones
    • H04M1/72403User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality
    • H04M1/72409User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality by interfacing with external accessories
    • H04M1/72412User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality by interfacing with external accessories using two-way short-range wireless interfaces
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/004Error avoidance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/865Monitoring of software

Abstract

Koppelungsvorrichtung (150) zum Koppeln einer Softwarekomponente (10), welche einen Stellwunsch (S1) zum Stellen eines Aktuators (300) an ein Steuerungssystem eines Kraftfahrzeugs übermittelt, mit dem Steuerungssystem, wobei die Koppelungsvorrichtung (150) eine Überwachungseinheit (230) umfasst, welche eingerichtet ist, für jeden Stellwunsch (S1) eine Beurteilung durchzuführen, ob seine Umsetzung das Kraftfahrzeug in einen gefährlichen Zustand überführen wird, wobei die Koppelungsvorrichtung ferner eingerichtet ist, abhängig von dieser Beurteilung einen dem Stellwunsch(S1) entsprechenden überwachten Stellwunsch (S2) an eine Umsetzungseinheit (250, 260, 280) zu übermitteln, wobei die Umsetzungseinheit (250, 260, 280) eingerichtet ist, den Aktuator (300) anzusteuern.

Description

  • Stand der Technik
  • Bei Mobiltelefonen gehört es zum Stand der Technik, dass der Nutzer durch das Gerät und durch die darauf installierte Software den Zugriff auf zahlreiche weitere Softwarekomponenten bzw. Programme erhält. Für diese Programme ist der Name „App“ gebräuchlich. App sind i.d.R. einfach zu beziehen (z.B. über App-Stores) und zu installieren, und ermöglichen eine Vielzahl unterschiedlicher Anwendungen, die teilweise weit über die ursprünglichen Grundfunktionalitäten des Mobiltelefons hinausgehen. Diese einfache und umfangreiche Personalisierung des Geräts ist mittlerweile ein sehr wichtiges Kaufkriterium für Verbraucher.
  • Ähnliche Ansätze wie im Mobiltelefonbereich existieren bereits vereinzelt für Infotainment Systeme in Kraftfahrzeugen. Auch dort ist es dem Fahrer möglich, über entsprechende App-Stores Anwendungen zur Personalisierung seines Infotainment Systems zu beziehen und zu installieren.
  • Offenbarung der Erfindung
  • Um das Grundsystem, auf dem die App abläuft und auf das es zugreift (also ein System oder Teilsystem zur Steuerung des Kraftfahrzeugs), vor fehlerhaft programmierten Apps zu sichern, sind entsprechende Software- und/oder Hardware-Maßnahmen zum Schutz des Speichers und zum Sicherstellen des korrekten Laufzeitverhaltens denkbar. Memory Protection Units oder Memory Management Units oder ein entsprechendes Rechtemanagement auf µC-Ebene sind mögliche Mechanismen.
  • Diese Mechanismen können wirksame Maßnahmen sein, um den Einfluss fehlerhafter Apps auf das Grundsystem zu verhindern (im Englischen auch „freedom from interference“ genannt), und somit die Sicherheit des Grundsystems zu erhöhen. Hier und im Folgenden wird der Begriff der Sicherheit im Sinne des englischsprachigen Begriffs „safety“ (Schutz vor unvertretbaren Risiken für Leib und Leben) und nicht im Sinne des englischsprachigen Begriffs „security“ (Zugriffschutz, Schutz vor Eindringlingen, Schutz vor Datenverfälschungen, etc.) verwendet.
  • Ein weiterer möglicher Mechanismus, um die Sicherheit des Grundsystems zu erhöhen besteht darin, beim Einstellen der Apps in die erwähnten App-Stores und zumindest teilweise auch beim Zugriff auf App-Stores Beschränkungen vorzusehen. Diese Beschränkungen können auch das Ziel haben, Apps mit potentiell negativem Einfluss auf das Grundsystem erst gar nicht auf das Grundsystem gelangen zu lassen.
  • Bei der Entwicklung von Kraftfahrzeugen muss hinsichtlich der Sicherheit u.a. die Norm ISO 26262 beachtet werden, die abhängig u.a. von Folgenschwere und Eintretenswahrscheinlichkeit von Fehlfunktionen den Komponenten eine ASIL-Einstufung zuordnet. Aus dieser ASIL-Einstufung leitet sich dann ab, inwieweit besondere Gegenmaßnahmen zum Verhindern dieser Fehlfunktionen vorgesehen werden müssen. Wird eine App nachträglich auf einem Kraftfahrzeug installiert und kann Einfluss auf sicherheitskritische Aktuatoren nehmen, so ist auch für diese Apps ISO 26262 zu beachten, was die Entwicklung solcher Apps sehr aufwändig macht.
  • Den oben beschriebenen Umsetzungen der App Idee ist gemeinsam, dass sie nicht auf sicherheitsrelevanten Systemen im Sinne der ISO 26262 laufen und die Apps insbesondere keinen Einfluss auf sicherheitskritische Aktuatoren nehmen können.
  • Die Möglichkeit, dass Apps solchen Einfluss nehmen können, ist aber wünschenswert. Heutige Steuergeräte für sicherheitsrelevante Systeme in Kraftfahrzeugen werden am Bandende im Werk programmiert, d.h. der Funktionsumfang ist mit der Serienauslieferung an den Kunden festgelegt. Es gibt jedoch die Möglichkeit sich nachträglich gewisse Funktionen in einer Werkstatt „freischalten“ zu lassen. Dies wird dadurch erreicht, dass in der Werkstatt mit einem Diagnosetester Software-Schalter in einem Datenfeld des Steuergeräts eingeschaltet werden. Das heißt aber, dass die damit „freigeschaltete“ Funktion bei Auslieferung bereits im Steuergerät vorhanden war, aber z.B. über einen entsprechenden SW-Schalter inaktiv war. Zudem besteht in der Werkstatt auch die Möglichkeit den kompletten Softwarestand zu aktualisieren. Auch diese Möglichkeit ist dadurch gekennzeichnet, dass eine vorher bekannte, im Voraus validierbare und freigegebene Zusammenstellung von Software auf das Steuergerät geladen wird.
  • Die vorliegende Erfindung hat demgegenüber den Vorteil, dass der Einsatz von Apps bzw. allgemeiner von Softwarekomponenten auf Anwendungsfälle erweitert wird, in denen diese Softwarekomponenten auch Einfluss auf sicherheitsrelevante Aktuatoren nehmen können. Hierdurch wird ermöglicht, dass neue Funktionalität nach der Serienauslieferung sicher in ein Kraftfahrzeug nachgeladen werden kann.
  • Die Softwarekomponente kann einem Steuerungssystem, über das ein Aktuator angesteuert wird, einen Stellwunsch zum Stellen des Aktuators übermitteln. Der Aktuator wird dann diesen Stellwunsch einstellen bzw. zu stellen versuchen. Somit nimmt die Softwarekomponente Einfluss auf den Aktuator.
  • Gemäß eines ersten Aspekts der Erfindung ist vorgesehen, dass eine Koppelungsvorrichtung zum Koppeln der Softwarekomponente, welche den Stellwunsch zum Stellen des Aktuators an das Steuerungssystem des Kraftfahrzeugs übermittelt, mit dem Steuerungssystem vorgesehen ist. Die Koppelungsvorrichtung umfasst hierbei eine Überwachungseinheit, welche eingerichtet ist, für jeden Stellwunsch eine Beurteilung durchzuführen, ob seine Umsetzung das Kraftfahrzeug in einen gefährlichen Zustand überführen wird. Das Wort „gefährlich“ wird hierbei im Sinne einer verringerten Sicherheit im oben definierten Sinne verwendet.
  • Ferner ist die Koppelungsvorrichtung eingerichtet, abhängig von dieser Beurteilung einen überwachten Stellwunsch an eine Umsetzungseinheit zu übermitteln, wobei die Umsetzungseinheit eingerichtet ist, den Aktuator anzusteuern. Der überwachte Stellwunsch entspricht hierbei dem ursprünglichen Stellwunsch, ist aber insofern überwacht, als der ursprüngliche Stellwunsch u.U. nicht unverändert an die Umsetzungseinheit übermittelt wird, wenn durch seine Umsetzung das Kraftfahrzeug in einen gefährlichen Zustand überführt würde.
  • Das Grundsystem, das über diese Koppelungsvorrichtung Softwarekomponenten einbindet kann somit einen ungewollten Einfluss der Softwarekomponente verhindern. Die ASIL-Einstufung des Grundsystems propagiert daher nicht auf die Softwarekomponente weiter, da die Sicherheitsmechanismen der Koppelungsvorrichtung bereits im Grundsystem verankert sind. Die Softwarekomponente kann daher im Prinzip aus beliebigen Quellen stammen, d.h. zu ihrer Entwicklung steht ein breiter Entwicklerkreis zur Verfügung und ist nicht auf wenige spezialisierte Lieferanten beschränkt.
  • Gemäß einer Weiterbildung kann vorgesehen sein, dass die Kopplungsvorrichtung eingerichtet ist, den überwachten Stellwunsch unverändert an die Umsetzungseinheit zu übermitteln, wenn die Beurteilung ergibt, dass die Umsetzung des Stellwunsches das Kraftfahrzeug nicht in einen gefährlichen Zustand überführt, d.h. der überwachte Stellwunsch ist gleich dem ursprünglichen Stellwunsch.
  • Gemäß einer weiteren Weiterbildung kann vorgesehen sein, dass die Koppelungsvorrichtung eingerichtet ist, an Stelle des Stellwunsches einen Ersatzstellwunsch an die Umsetzungseinheit zu übermitteln, wenn die Beurteilung ergibt, dass die Umsetzung des Stellwunsches das Kraftfahrzeug in einen gefährlichen Zustand überführt.
  • Dieser Ersatzstellwunsch kann insbesondere derart gewählt sein, dass die Umsetzung des Ersatzstellwunsches das Kraftfahrzeug nicht in einen gefährlichen Zustand überführt.
  • Alternativ oder zusätzlich ergibt sich eine besonders einfache Generierung des Ersatzstellwunsches durch eine Begrenzung des Stellwunsches, d.h. ein numerischer Wert des Stellwunsches wird auf einen Wertebereich kleiner eines Maximalwerts und/oder größer eines Minimalwerts limitiert.
  • Alternativ oder zusätzlich kann eine weitere besonders einfache Umsetzung der Koppelungsvorrichtung vorsehen, dass kein Stellwunsch an die Umsetzungseinheit übermittelt wird, wenn die Beurteilung ergibt, dass die Umsetzung des Stellwunsches das Kraftfahrzeug in einen gefährlichen Zustand überführt.
  • Gemäß eines weiteren Aspekts kann vorgesehen sein, dass die Koppelungsvorrichtung eine Situationserkennungseinheit umfasst, welche eingerichtet, eine aktuelle und/oder zukünftige, insbesondere prädizierte, Fahrsituation des Kraftfahrzeugs zu ermitteln und bereitzustellen, wobei die Koppelungsvorrichtung eingerichtet ist, die Beurteilung abhängig von dieser bereitgestellten Fahrsituation durchzuführen. Hierdurch ist es möglich, den Einfluss der Softwarekomponente situationsabhängig zu limitieren oder zu verhindern. Beispielsweise ist es möglich, der Softwarekomponente bei freier Fahrt auf einer Autobahn mit geringem Umgebungsverkehr einen größeren Einfluss einzuräumen als kurz vor Beginn einer Baustelle mit dichtem Umgebungsverkehr.
  • Hierzu kann beispielsweise vorgesehen sein, dass die Überwachungseinheit eingerichtet ist, eine Vorhersage von die Dynamik des Kraftfahrzeugs beschreibenden Variablen durchzuführen, und die Beurteilung abhängig von Werten dieser Variablen durchzuführen. Beispielsweise ist es somit möglich, zukünftige Werte einer Gierrate oder eines Schwimmwinkels zu ermitteln, um für den Einfluss der Softwarekomponente besonders kritische Situationen zu identifizieren.
  • Gemäß eines weiteren Aspekts kann vorgesehen sein, dass die Koppelungsvorrichtung eine (z.B. standardisierte) Schnittstelle umfasst, über die die Softwarekomponente der Koppelungsvorrichtung den Stellwunsch übermittelt. Eine Anbindung der Softwarekomponente ist dann besonders einfach.
  • Gemäß eines weiteren Aspekts kann vorgesehen sein, dass die Koppelungsvorrichtung eine Managementeinheit wie beispielsweise einen App-Manager umfasst, die eingerichtet ist, vor einer Installation der Softwarekomponente zu überprüfen, ob eine korrekte Installation der Softwarekomponente möglich ist.
  • Gemäß einer vorteilhaften Weiterbildung kann vorgesehen sein, dass die Managementeinheit eingerichtet ist, der Softwarekomponente einen Speicherbereich in einem Arbeitsspeicher zuzuweisen, und die Softwarekomponente mit der Schnittstelle zu verbinden.
  • Gemäß eines weiteren Aspekts kann vorgesehen sein, dass sämtliche Einheiten der Koppelungsvorrichtung auf einem einzigen Steuergerät, beispielsweise einem Motorsteuergerät oder einem ESP-Steuergerät, ausgebildet sind. Eine solche Partitionierung der Koppelungsvorrichtung ist besonders einfach.
  • In einem weiteren Aspekt betrifft die Erfindung ein solches Steuergerät, das sämtliche Einheiten der erfindungsgemäßen Koppelungsvorrichtung umfasst.
  • In einem noch weiteren Aspekt betrifft die Erfindung ein Steuergerät zum Betreiben der Koppelungsvorrichtung, welches zumindest die Überwachungseinheit umfasst.
  • Nachfolgend werden Ausführungsformen der Erfindung unter Bezugnahme auf die beiliegende Zeichnung näher erläutert. In den Zeichnungen zeigen:
  • 1 den Aufbau der Kopplungsvorrichtung in einem Steuergerät;
  • 2 den Ablauf eines Überwachungsverfahrens, das in der Kopplungsvorrichtung ausgeführt wird.
  • Beschreibung der Ausführungsbeispiele
  • 1 zeigt die Kopplungsvorrichtung 150, welche in diesem Ausführungsbeispiel in ein Steuergerät 200 (beispielsweise in Motorsteuergerät) integriert ist. Als Beispiel für eine Softwarekomponente wird eine App 10 beispielsweise aus dem Internet 100 heruntergeladen. Ein optionaler App-Koordinator 220 überprüft, ob Installationsvoraussetzungen für die App 10 erfüllt sind, beispielsweise, ob genügend freier Speicher vorhanden ist. Ist dies der Fall, weist der App-Koordinator 220 der App 10 einen Speicherbereich in einem Speicher (nicht dargestellt) des Steuergeräts 200 zu und verbindet die App 10 mit einem Application Programming Interface (kurz „API“) 210. Die App 10 übermittelt über das API 210 im Betrieb einen Stellwunsch S1 an die Überwachungseinheit 230. Optional kann eine Situationserkennungseinheit 240 vorgesehen sein, welche der Überwachungseinheit 230 eine aktuelle Fahrsituation des Kraftfahrzeugs übermittelt. Die aktuelle Fahrsituation kann sowohl fahrdynamische Parameter des Kraftfahrzeugs (Fahrgeschwindigkeit, Gierrate etc.) umfassen, wie auch Umfeldparameter (Verkehrsdichte, Abstand zum vorausfahrenden Fahrzeug etc.) oder interne Parameter des Kraftfahrzeugs (Vorliegen eines Bremseingriffs, Kraftstoff-Einspritzmenge, etc.).
  • Die Überwachungseinheit 230 überprüft, ob eine Umsetzung des Stellwunsches S1 zu einer Beeinträchtigung der Sicherheit führen würde, und generiert auf Basis dieser Überprüfung abhängig vom Stellwunsch S1 den überwachten Stellwunsch S2, der an eine Software-Schicht 250, zur Umsetzung übergeben wird. Die Software-Schicht 250 kann beispielsweise eingerichtet sein, einen Stellwunsch S2 umzuwandeln, sodass er dem Aktuator 300 übergeben werden kann. Beispielsweise ist es denkbar, dass der überwachte Stellwunsch S2 einer Soll-Geschwindigkeit des Kraftfahrzeugs entspricht. Die Software-Schicht 250 kann dann entweder einem Tempomaten als Aktuator 300 diese Soll-Geschwindigkeit als Stellwunsch übertragen. Es ist aber auch möglich, dass die Software-Schicht 250 die Funktion des Tempomaten übernimmt, und abhängig von einer Ist-Geschwindigkeit des Kraftfahrzeugs beispielsweise eine Kraftstoff-Einspritzmenge erhöht oder reduziert.
  • Die Kopplungsvorrichtung 150 umfasst das API 210, die Überwachungseinheit 230 und optional den App-Koordinator 220 und/oder die Situationserkennungseinheit 240. Im Ausführungsbeispiel ist die Kopplungsvorrichtung vollständig auf dem einen Steuergerät 200 realisiert, dies ist aber nicht zwingend erforderlich. Eine Aufteilung der Komponenten auf mehrere Steuergeräte ist ebenfalls denkbar. Auch der Speicherplatz der App 10 muss nicht zwingend auf diesem einen Steuergerät 200 realisiert sein.
  • Die Softwareschicht 250 kommuniziert mit einer Hardwareschicht 260, welche von Sensoren (nicht dargestellt) über eine Sensorschnittstelle 270 Werte über aktuelle Messwerte der Sensoren empfängt, und über einen Aktuatorschnittstelle 280 den Aktuator 300 ansteuern kann. Die Hardwareschicht 260 übermittelt der Aktuatorschnittstelle 280 einen Stellwunschwert SW, der beispielsweise einem numerischen Wert des überwachten Stellwunsches S2 entspricht. Die Aktuatorschnittstelle 280 steuert den Aktuator 300 gemäß dieses Stellwunschwertes SW an.
  • 2 zeigt einen Ablauf eines Überwachungsverfahrens gemäß eines weiteren Aspekts der Erfindung. Dieses Überwachungsverfahren läuft beispielsweise in der Kopplungsvorrichtung 150, insbesondere in der Überwachungseinheit 230 ab.
  • Das Verfahren beginnt mit Schritt 1000. Die Überwachungseinheit 230 empfängt den Stellwunsch S1 von der App 10. Der Stellwunsch S1 ist ein numerischer Wert oder eine Anzahl numerischer Werte, der konkret Aktuator 300 zugeordnet sein kann, oder auch das Verhalten des Kraftfahrzeugs als Ganzes betreffen kann, beispielsweise einen gewünschten Beschleunigungswert.
  • Optional empfängt die Überwachungseinheit 230 von der Situationserkennung 240 in einem Schritt 1020 Werte über die aktuelle Fahrsituation, z.B. die aktuelle Geschwindigkeit, einen aktuellen Lenkwinkel oder auch einen aktuellen Reibwert der Fahrbahn, auf welcher das Kraftfahrzeug fährt, welcher beispielsweise aus einem Schwimmwinkel geschätzt oder aus einer feindigitalen Karte ermittelt werden kann, oder z.B. über einen (nicht dargestellten) Außentemperatursensor im Sinne einer Glatteiserkennung geschätzt werden kann.
  • Die Überwachungseinheit 230 ermittelt in Schritt 1030 nun, ob der Stellwunsch S1 zu einer gefährlichen Fahrsituation führen könnte, wenn er umgesetzt würde. Ist dies der Fall, folgt Schritt 1040, andernfalls Schritt 1050.
  • In Schritt 1040 wird als überwachter Stellwunsch S2 ein Ersatzstellwunsch ermittelt. Dieser Ersatzstellwunsch kann beispielsweise eine Limitierung des numerischen Werts des Stellwunsches S1 sein, im Beispiel eine Limitierung des Beschleunigungswerts. Es ist aber auch denkbar, dass der Ersatzstellwunsch ein leerer Stellwunsch S2 ist, sodass der Softwareschicht 250 kein Stellwunsch S2 übermittelt wird, d.h. das System agiert so, als hätte die App 10 keinen Stellwunsch S1 übermittelt. Anschließend folgt Schritt 1050.
  • Ist der Stellwunsch S1 hingegen als sicher eingestuft, folgt unmittelbar Schritt 1050, wobei als überwachter Stellwunsch S2 genau der Stellwunsch S1 übergeben wird.
  • In Schritt 1050 übermittelt die Überwachungseinheit 230 der Softwareschicht 250 den überwachten Stellwunsch S2. Der weitere Ablauf im Grundsystem erfolgt beispielsweise wie oben im Zusammenhang von 1 beschrieben.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • ISO 26262 [0006]
    • ISO 26262 [0006]
    • ISO 26262 [0007]

Claims (14)

  1. Koppelungsvorrichtung (150) zum Koppeln einer Softwarekomponente (10), welche einen Stellwunsch (S1) zum Stellen eines Aktuators (300) an ein Steuerungssystem eines Kraftfahrzeugs übermittelt, mit dem Steuerungssystem, wobei die Koppelungsvorrichtung (150) eine Überwachungseinheit (230) umfasst, welche eingerichtet ist, für jeden Stellwunsch (S1) eine Beurteilung durchzuführen, ob seine Umsetzung das Kraftfahrzeug in einen gefährlichen Zustand überführen wird, wobei die Koppelungsvorrichtung ferner eingerichtet ist, abhängig von dieser Beurteilung einen dem Stellwunsch (S1) entsprechenden überwachten Stellwunsch (S2) an eine Umsetzungseinheit (250, 260, 280) zu übermitteln, wobei die Umsetzungseinheit (250, 260, 280) eingerichtet ist, den Aktuator (300) anzusteuern.
  2. Koppelungsvorrichtung (150) nach Anspruch 1, welche eingerichtet ist, den überwachten Stellwunsch (S2) an die Umsetzungseinheit (250, 260, 280) zu übermitteln, wenn die Beurteilung ergibt, dass die Umsetzung des Stellwunsches (S1) das Kraftfahrzeug nicht in einen gefährlichen Zustand überführt.
  3. Koppelungsvorrichtung (150) nach Anspruch 1 oder 2, welche eingerichtet ist, an Stelle des Stellwunsches (S1) einen Ersatzstellwunsch (S2) an die Umsetzungseinheit (250, 260, 280) zu übermitteln, wenn die Beurteilung ergibt, dass die Umsetzung des Stellwunsches (S1) das Kraftfahrzeug in einen gefährlichen Zustand überführt.
  4. Koppelungsvorrichtung (150) nach Anspruch 3, wobei der Ersatzstellwunsch (S2) derart gewählt ist, dass die Umsetzung des Ersatzstellwunsches (S2) das Kraftfahrzeug nicht in einen gefährlichen Zustand überführt.
  5. Koppelungsvorrichtung (150) nach Anspruch 3 oder 4, wobei der Ersatzstellwunsch (S2) eine Begrenzung des Stellwunsches (S1) darstellt.
  6. Koppelungsvorrichtung (150) nach Anspruch 1 oder 2, welche eingerichtet ist, keinen Stellwunsch an die Umsetzungseinheit (250, 260, 280) zu übermitteln, wenn die Beurteilung ergibt, dass die Umsetzung des Stellwunsches (S1) das Kraftfahrzeug in einen gefährlichen Zustand überführt.
  7. Koppelungsvorrichtung (150) nach einem der vorherigen Ansprüche, wobei die Koppelungsvorrichtung (150) eine Situationserkennungseinheit (240) umfasst, welche eingerichtet, eine Fahrsituation des Kraftfahrzeugs zu ermitteln und bereitzustellen, wobei die Koppelungsvorrichtung (150) eingerichtet ist, die Beurteilung abhängig von der bereitgestellten Fahrsituation durchzuführen.
  8. Koppelungsvorrichtung (150) nach einem der vorherigen Ansprüche, wobei die Überwachungseinheit (230) eingerichtet ist, eine Vorhersage von die Dynamik des Kraftfahrzeugs beschreibenden Variablen durchzuführen, und die Beurteilung abhängig von Werten dieser Variablen durchzuführen.
  9. Koppelungsvorrichtung (150) nach einem der vorherigen Ansprüche, wobei die Koppelungsvorrichtung (150) eine Schnittstelle (210) umfasst, über die die Softwarekomponente (10) der Koppelungsvorrichtung (150) den Stellwunsch (S1) übermittelt.
  10. Koppelungsvorrichtung (150) nach einem der vorherigen Ansprüche, wobei die Koppelungsvorrichtung (150) eine Managementeinheit (220) umfasst, die eingerichtet ist, vor einer Installation der Softwarekomponente (10) zu überprüfen, ob eine korrekte Installation der Softwarekomponente (10) möglich ist.
  11. Koppelungsvorrichtung nach Anspruch 10, wobei die Managementeinheit (220) eingerichtet ist, der Softwarekomponente (10) einen Speicherbereich in einem Arbeitsspeicher zuzuweisen, und die Softwarekomponente (10) mit der Schnittstelle (210) zu verbinden.
  12. Koppelungsvorrichtung (150) nach einem der vorherigen Ansprüche, wobei sämtliche Einheiten der Koppelungsvorrichtung auf einem Steuergerät (200) ausgebildet sind.
  13. Steuergerät (200), welches sämtliche Einheiten der Koppelungsvorrichtung (150) nach einem der Ansprüche 1 bis 12 umfasst.
  14. Steuergerät (200) zum Betreiben der Koppelungsvorrichtung (150) nach einem der Ansprüche 1 bis 12, welches die Überwachungseinheit (230) umfasst.
DE102014209489.5A 2014-05-20 2014-05-20 Vorrichtung zum sicheren Einbinden einer Softwarekomponente in einem Kraftfahrzeug Pending DE102014209489A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102014209489.5A DE102014209489A1 (de) 2014-05-20 2014-05-20 Vorrichtung zum sicheren Einbinden einer Softwarekomponente in einem Kraftfahrzeug
CN201510258391.1A CN105083164B (zh) 2014-05-20 2015-05-20 用于在机动车中安全地结合软件部件的装置
US14/717,828 US9710290B2 (en) 2014-05-20 2015-05-20 Device for the reliable integration of a software component into a motor vehicle

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102014209489.5A DE102014209489A1 (de) 2014-05-20 2014-05-20 Vorrichtung zum sicheren Einbinden einer Softwarekomponente in einem Kraftfahrzeug

Publications (1)

Publication Number Publication Date
DE102014209489A1 true DE102014209489A1 (de) 2015-11-26

Family

ID=54431681

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102014209489.5A Pending DE102014209489A1 (de) 2014-05-20 2014-05-20 Vorrichtung zum sicheren Einbinden einer Softwarekomponente in einem Kraftfahrzeug

Country Status (3)

Country Link
US (1) US9710290B2 (de)
CN (1) CN105083164B (de)
DE (1) DE102014209489A1 (de)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016225848A1 (de) * 2016-12-21 2018-06-21 Robert Bosch Gmbh Verfahren zum Betreiben eines Kraftfahrzeugs
DE102018200820A1 (de) * 2018-01-18 2019-07-18 Volkswagen Aktiengesellschaft Steuerungssystem für ein Kraftfahrzeug, Verfahren zum Betreiben des Steuerungssystems sowie Kraftfahrzeug mit einem derartigen Steuerungssystem
DE102021211564A1 (de) 2021-10-13 2023-04-13 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Betreiben eines Fahrzeugs
DE102021212858A1 (de) 2021-11-09 2023-05-11 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Betreiben eines Verwaltungsprogramms
DE102021212861A1 (de) 2021-11-16 2023-05-17 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Betreiben eines Verwaltungsprogramms

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016020477A1 (en) * 2014-08-07 2016-02-11 Osr Enterprises Ag Device, system and method for automated installation and operating environment configuration of a computer system
EP3495218B1 (de) * 2017-12-07 2020-06-24 TTTech Auto AG Fehlertolerantes computersystem zum unterstützten und autonomen fahren
JP7311245B2 (ja) * 2018-03-07 2023-07-19 トヨタ自動車株式会社 マスタ装置、マスタ、制御方法、プログラム及び車両
EP3816741B1 (de) * 2019-10-31 2023-11-29 TTTech Auto AG Sicherheitsmonitor für erweiterte fahrerassistenzsysteme

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4854283A (en) * 1986-11-28 1989-08-08 Nippondenso Co., Ltd. Throttle valve control apparatus
WO2009152282A1 (en) * 2008-06-10 2009-12-17 Object Security Llc Model driven compliance, evaluation, accreditation and monitoring
US9058746B2 (en) * 2008-10-02 2015-06-16 Hitachi Automotive Systems, Ltd. Information processing device associated with vehicle traveling
CN103460158A (zh) * 2011-04-01 2013-12-18 松下电器产业株式会社 接口中继装置以及接口中继方法
US8543286B2 (en) * 2011-06-24 2013-09-24 GM Global Technology Operations LLC Vehicle hardware integrity analysis systems and methods
US9395702B2 (en) * 2011-07-20 2016-07-19 Freescale Semiconductor, Inc. Safety critical apparatus and method for controlling distraction of an operator of a safety critical apparatus
DE102011084254A1 (de) * 2011-10-11 2013-04-11 Zf Friedrichshafen Ag Kommunikationssystem für ein Kraftfahrzeug
DE102012202934A1 (de) * 2012-02-27 2013-08-29 Bayerische Motoren Werke Aktiengesellschaft Funkfernbedienung zur Steuerung von Fahrzeugfunktionen eines Kraftfahrzeugs
KR101886910B1 (ko) * 2012-03-14 2018-08-08 이-에이에이엠 드라이브라인 시스템스 에이비 멀티 레벨 차량 무결성 및 품질 제어 메커니즘
DE102012215343A1 (de) * 2012-08-29 2014-05-28 Continental Automotive Gmbh Verfahren zum Durchführen einer Sicherheitsfunktion eines Fahrzeugs und System zum Durchführen des Verfahrens
US20140173548A1 (en) * 2012-09-17 2014-06-19 Texas Instruments Incorporated Tool For Automation Of Functional Safety Metric Calculation And Prototyping Of Functional Safety Systems
CN105378587B (zh) * 2013-06-04 2019-12-17 Trw汽车美国有限责任公司 优化的电源架构
JP6029553B2 (ja) * 2013-08-22 2016-11-24 日立オートモティブシステムズ株式会社 車両制御装置
EP3056394B1 (de) * 2013-10-08 2022-11-30 ICTK Holdings Co., Ltd. Netzwerkvorrichtung für fahrzeugsicherheit und entwurfsverfahren dafür
EP2876016B1 (de) * 2013-11-20 2020-09-02 Nxp B.V. Funktionsüberwachung
CN103723096B (zh) * 2014-01-10 2015-10-21 上海大众汽车有限公司 带有无线通信功能的驾驶辅助系统
DE102014201682A1 (de) * 2014-01-30 2015-07-30 Robert Bosch Gmbh Verfahren zur Koexistenz von Software mit verschiedenen Sicherheitsstufen in einem Multicore-Prozessorsystem
US9442184B2 (en) * 2014-02-21 2016-09-13 Nxp B.V. Functional safety monitor pin

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ISO 26262

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016225848A1 (de) * 2016-12-21 2018-06-21 Robert Bosch Gmbh Verfahren zum Betreiben eines Kraftfahrzeugs
DE102016225848B4 (de) 2016-12-21 2022-07-28 Robert Bosch Gmbh Verfahren zum Betreiben eines Kraftfahrzeugs
DE102018200820A1 (de) * 2018-01-18 2019-07-18 Volkswagen Aktiengesellschaft Steuerungssystem für ein Kraftfahrzeug, Verfahren zum Betreiben des Steuerungssystems sowie Kraftfahrzeug mit einem derartigen Steuerungssystem
US11713049B2 (en) 2018-01-18 2023-08-01 Volkswagen Aktiengesellschaft Control system for a motor vehicle, method for operating the control system, and motor vehicle having such a control system
DE102021211564A1 (de) 2021-10-13 2023-04-13 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Betreiben eines Fahrzeugs
DE102021212858A1 (de) 2021-11-09 2023-05-11 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Betreiben eines Verwaltungsprogramms
DE102021212861A1 (de) 2021-11-16 2023-05-17 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Betreiben eines Verwaltungsprogramms

Also Published As

Publication number Publication date
CN105083164A (zh) 2015-11-25
US9710290B2 (en) 2017-07-18
CN105083164B (zh) 2019-08-23
US20150339133A1 (en) 2015-11-26

Similar Documents

Publication Publication Date Title
DE102014209489A1 (de) Vorrichtung zum sicheren Einbinden einer Softwarekomponente in einem Kraftfahrzeug
DE102017113435A1 (de) Fahrzeug-Gateway-Netzwerkschutz
DE102014100927A1 (de) Verfahren zur Überwachung eines Türkontaktschalter einer Fahrertür eines Kraftfahrzeugs
DE102013003040A1 (de) Kraftfahrzeug mit nachträglich per Anwendungsprogramm veränderbarem Fahrverhalten
DE102018214999A1 (de) Vorrichtung zur Absicherung von Diagnosebefehlen an ein Steuergerät und entsprechendes Kraftfahrzeug
DE112016002785T5 (de) Elektronische Steuereinheiten für Fahrzeuge
DE102017209468A1 (de) Verfahren zum Zurücksetzen einer Software eines Fahrzeugsteuergeräts eines Fahrzeugs in einen ursprünglichen Zustand
DE102013218504A1 (de) Verfahren und Vorrichtung zum Überwachen eines Antriebs eines Kraftfahrzeugs
WO2020020666A1 (de) Verfahren und vorrichtung zur kontrolle eines fahrverhaltens eines hochautomatisiert fahrenden fahrzeugs sowie infrastrukturanlage, fahrzeug oder überwachungsfahrzeug mit der vorrichtung
DE102015209229A1 (de) Verfahren zum Überwachen eines Kraftfahrzeugs
CN112537312A (zh) 用于远程控制机动车的方法、设备和存储介质
EP3741094A1 (de) Steuerungssystem für ein kraftfahrzeug, verfahren zum betreiben des steuerungssystems sowie kraftfahrzeug mit einem derartigen steuerungssystem
DE102015221814A1 (de) Verfahren zur Durchführung eines Diagnosevorgangs in einem Kraftfahrzeug
DE102012023648A1 (de) Verfahren und System zum Aktualisieren von einem Steuergerät eines Kraftwagens
DE102019214413A1 (de) Verfahren zum zumindest teilautomatisierten Führen eines Kraftfahrzeugs
DE102016209733A1 (de) Verfahren und Vorrichtung zur Längsdynamikregelung bei einem Kraftfahrzeug während eines autonomen Fahrvorgangs
DE102017220100A1 (de) Verfahren zur Erkennung eines Brandes, insbesondere in einem Fahrzeug
DE102016202527A1 (de) Recheneinheit für ein Kraftfahrzeug
DE102019001192B3 (de) Steuerungsvorrichtung und Verfahren zur Übernahme der Kontrolle
DE102017215625A1 (de) Bremsvorrichtung und Verfahren zum Betreiben einer Bremsvorrichtung
DE102015205946A1 (de) Verfahren zum Verhindern einer ungewollten Beschleunigung eines Kraftfahrzeugs
DE102019000646A1 (de) Windschutzscheibe für ein Fahrzeug
DE102015214505A1 (de) Verfahren und Vorrichtung zum Austausch von Daten mit der Steuerelektronik eines Kraftfahrzeugs
DE102019104267A1 (de) Speichersicherheit für die einhaltung von funktionaler sicherheit im automobilbereich mit unabhängigen nachgelagerten prozessen
DE112018005796T5 (de) System und Verfahren zum Steuern eines Kraftfahrzeugs zum autonomen Fahren

Legal Events

Date Code Title Description
R012 Request for examination validly filed