DE102014209489A1 - Vorrichtung zum sicheren Einbinden einer Softwarekomponente in einem Kraftfahrzeug - Google Patents
Vorrichtung zum sicheren Einbinden einer Softwarekomponente in einem Kraftfahrzeug Download PDFInfo
- Publication number
- DE102014209489A1 DE102014209489A1 DE102014209489.5A DE102014209489A DE102014209489A1 DE 102014209489 A1 DE102014209489 A1 DE 102014209489A1 DE 102014209489 A DE102014209489 A DE 102014209489A DE 102014209489 A1 DE102014209489 A1 DE 102014209489A1
- Authority
- DE
- Germany
- Prior art keywords
- coupling device
- motor vehicle
- software component
- unit
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44505—Configuring for program initiating, e.g. using registry, configuration files
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/302—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/61—Installation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M1/00—Substation equipment, e.g. for use by subscribers
- H04M1/72—Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
- H04M1/724—User interfaces specially adapted for cordless or mobile telephones
- H04M1/72403—User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality
- H04M1/72409—User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality by interfacing with external accessories
- H04M1/72412—User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality by interfacing with external accessories using two-way short-range wireless interfaces
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/004—Error avoidance
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/865—Monitoring of software
Abstract
Koppelungsvorrichtung (150) zum Koppeln einer Softwarekomponente (10), welche einen Stellwunsch (S1) zum Stellen eines Aktuators (300) an ein Steuerungssystem eines Kraftfahrzeugs übermittelt, mit dem Steuerungssystem, wobei die Koppelungsvorrichtung (150) eine Überwachungseinheit (230) umfasst, welche eingerichtet ist, für jeden Stellwunsch (S1) eine Beurteilung durchzuführen, ob seine Umsetzung das Kraftfahrzeug in einen gefährlichen Zustand überführen wird, wobei die Koppelungsvorrichtung ferner eingerichtet ist, abhängig von dieser Beurteilung einen dem Stellwunsch(S1) entsprechenden überwachten Stellwunsch (S2) an eine Umsetzungseinheit (250, 260, 280) zu übermitteln, wobei die Umsetzungseinheit (250, 260, 280) eingerichtet ist, den Aktuator (300) anzusteuern.
Description
- Stand der Technik
- Bei Mobiltelefonen gehört es zum Stand der Technik, dass der Nutzer durch das Gerät und durch die darauf installierte Software den Zugriff auf zahlreiche weitere Softwarekomponenten bzw. Programme erhält. Für diese Programme ist der Name „App“ gebräuchlich. App sind i.d.R. einfach zu beziehen (z.B. über App-Stores) und zu installieren, und ermöglichen eine Vielzahl unterschiedlicher Anwendungen, die teilweise weit über die ursprünglichen Grundfunktionalitäten des Mobiltelefons hinausgehen. Diese einfache und umfangreiche Personalisierung des Geräts ist mittlerweile ein sehr wichtiges Kaufkriterium für Verbraucher.
- Ähnliche Ansätze wie im Mobiltelefonbereich existieren bereits vereinzelt für Infotainment Systeme in Kraftfahrzeugen. Auch dort ist es dem Fahrer möglich, über entsprechende App-Stores Anwendungen zur Personalisierung seines Infotainment Systems zu beziehen und zu installieren.
- Offenbarung der Erfindung
- Um das Grundsystem, auf dem die App abläuft und auf das es zugreift (also ein System oder Teilsystem zur Steuerung des Kraftfahrzeugs), vor fehlerhaft programmierten Apps zu sichern, sind entsprechende Software- und/oder Hardware-Maßnahmen zum Schutz des Speichers und zum Sicherstellen des korrekten Laufzeitverhaltens denkbar. Memory Protection Units oder Memory Management Units oder ein entsprechendes Rechtemanagement auf µC-Ebene sind mögliche Mechanismen.
- Diese Mechanismen können wirksame Maßnahmen sein, um den Einfluss fehlerhafter Apps auf das Grundsystem zu verhindern (im Englischen auch „freedom from interference“ genannt), und somit die Sicherheit des Grundsystems zu erhöhen. Hier und im Folgenden wird der Begriff der Sicherheit im Sinne des englischsprachigen Begriffs „safety“ (Schutz vor unvertretbaren Risiken für Leib und Leben) und nicht im Sinne des englischsprachigen Begriffs „security“ (Zugriffschutz, Schutz vor Eindringlingen, Schutz vor Datenverfälschungen, etc.) verwendet.
- Ein weiterer möglicher Mechanismus, um die Sicherheit des Grundsystems zu erhöhen besteht darin, beim Einstellen der Apps in die erwähnten App-Stores und zumindest teilweise auch beim Zugriff auf App-Stores Beschränkungen vorzusehen. Diese Beschränkungen können auch das Ziel haben, Apps mit potentiell negativem Einfluss auf das Grundsystem erst gar nicht auf das Grundsystem gelangen zu lassen.
- Bei der Entwicklung von Kraftfahrzeugen muss hinsichtlich der Sicherheit u.a. die Norm ISO 26262 beachtet werden, die abhängig u.a. von Folgenschwere und Eintretenswahrscheinlichkeit von Fehlfunktionen den Komponenten eine ASIL-Einstufung zuordnet. Aus dieser ASIL-Einstufung leitet sich dann ab, inwieweit besondere Gegenmaßnahmen zum Verhindern dieser Fehlfunktionen vorgesehen werden müssen. Wird eine App nachträglich auf einem Kraftfahrzeug installiert und kann Einfluss auf sicherheitskritische Aktuatoren nehmen, so ist auch für diese Apps ISO 26262 zu beachten, was die Entwicklung solcher Apps sehr aufwändig macht.
- Den oben beschriebenen Umsetzungen der App Idee ist gemeinsam, dass sie nicht auf sicherheitsrelevanten Systemen im Sinne der ISO 26262 laufen und die Apps insbesondere keinen Einfluss auf sicherheitskritische Aktuatoren nehmen können.
- Die Möglichkeit, dass Apps solchen Einfluss nehmen können, ist aber wünschenswert. Heutige Steuergeräte für sicherheitsrelevante Systeme in Kraftfahrzeugen werden am Bandende im Werk programmiert, d.h. der Funktionsumfang ist mit der Serienauslieferung an den Kunden festgelegt. Es gibt jedoch die Möglichkeit sich nachträglich gewisse Funktionen in einer Werkstatt „freischalten“ zu lassen. Dies wird dadurch erreicht, dass in der Werkstatt mit einem Diagnosetester Software-Schalter in einem Datenfeld des Steuergeräts eingeschaltet werden. Das heißt aber, dass die damit „freigeschaltete“ Funktion bei Auslieferung bereits im Steuergerät vorhanden war, aber z.B. über einen entsprechenden SW-Schalter inaktiv war. Zudem besteht in der Werkstatt auch die Möglichkeit den kompletten Softwarestand zu aktualisieren. Auch diese Möglichkeit ist dadurch gekennzeichnet, dass eine vorher bekannte, im Voraus validierbare und freigegebene Zusammenstellung von Software auf das Steuergerät geladen wird.
- Die vorliegende Erfindung hat demgegenüber den Vorteil, dass der Einsatz von Apps bzw. allgemeiner von Softwarekomponenten auf Anwendungsfälle erweitert wird, in denen diese Softwarekomponenten auch Einfluss auf sicherheitsrelevante Aktuatoren nehmen können. Hierdurch wird ermöglicht, dass neue Funktionalität nach der Serienauslieferung sicher in ein Kraftfahrzeug nachgeladen werden kann.
- Die Softwarekomponente kann einem Steuerungssystem, über das ein Aktuator angesteuert wird, einen Stellwunsch zum Stellen des Aktuators übermitteln. Der Aktuator wird dann diesen Stellwunsch einstellen bzw. zu stellen versuchen. Somit nimmt die Softwarekomponente Einfluss auf den Aktuator.
- Gemäß eines ersten Aspekts der Erfindung ist vorgesehen, dass eine Koppelungsvorrichtung zum Koppeln der Softwarekomponente, welche den Stellwunsch zum Stellen des Aktuators an das Steuerungssystem des Kraftfahrzeugs übermittelt, mit dem Steuerungssystem vorgesehen ist. Die Koppelungsvorrichtung umfasst hierbei eine Überwachungseinheit, welche eingerichtet ist, für jeden Stellwunsch eine Beurteilung durchzuführen, ob seine Umsetzung das Kraftfahrzeug in einen gefährlichen Zustand überführen wird. Das Wort „gefährlich“ wird hierbei im Sinne einer verringerten Sicherheit im oben definierten Sinne verwendet.
- Ferner ist die Koppelungsvorrichtung eingerichtet, abhängig von dieser Beurteilung einen überwachten Stellwunsch an eine Umsetzungseinheit zu übermitteln, wobei die Umsetzungseinheit eingerichtet ist, den Aktuator anzusteuern. Der überwachte Stellwunsch entspricht hierbei dem ursprünglichen Stellwunsch, ist aber insofern überwacht, als der ursprüngliche Stellwunsch u.U. nicht unverändert an die Umsetzungseinheit übermittelt wird, wenn durch seine Umsetzung das Kraftfahrzeug in einen gefährlichen Zustand überführt würde.
- Das Grundsystem, das über diese Koppelungsvorrichtung Softwarekomponenten einbindet kann somit einen ungewollten Einfluss der Softwarekomponente verhindern. Die ASIL-Einstufung des Grundsystems propagiert daher nicht auf die Softwarekomponente weiter, da die Sicherheitsmechanismen der Koppelungsvorrichtung bereits im Grundsystem verankert sind. Die Softwarekomponente kann daher im Prinzip aus beliebigen Quellen stammen, d.h. zu ihrer Entwicklung steht ein breiter Entwicklerkreis zur Verfügung und ist nicht auf wenige spezialisierte Lieferanten beschränkt.
- Gemäß einer Weiterbildung kann vorgesehen sein, dass die Kopplungsvorrichtung eingerichtet ist, den überwachten Stellwunsch unverändert an die Umsetzungseinheit zu übermitteln, wenn die Beurteilung ergibt, dass die Umsetzung des Stellwunsches das Kraftfahrzeug nicht in einen gefährlichen Zustand überführt, d.h. der überwachte Stellwunsch ist gleich dem ursprünglichen Stellwunsch.
- Gemäß einer weiteren Weiterbildung kann vorgesehen sein, dass die Koppelungsvorrichtung eingerichtet ist, an Stelle des Stellwunsches einen Ersatzstellwunsch an die Umsetzungseinheit zu übermitteln, wenn die Beurteilung ergibt, dass die Umsetzung des Stellwunsches das Kraftfahrzeug in einen gefährlichen Zustand überführt.
- Dieser Ersatzstellwunsch kann insbesondere derart gewählt sein, dass die Umsetzung des Ersatzstellwunsches das Kraftfahrzeug nicht in einen gefährlichen Zustand überführt.
- Alternativ oder zusätzlich ergibt sich eine besonders einfache Generierung des Ersatzstellwunsches durch eine Begrenzung des Stellwunsches, d.h. ein numerischer Wert des Stellwunsches wird auf einen Wertebereich kleiner eines Maximalwerts und/oder größer eines Minimalwerts limitiert.
- Alternativ oder zusätzlich kann eine weitere besonders einfache Umsetzung der Koppelungsvorrichtung vorsehen, dass kein Stellwunsch an die Umsetzungseinheit übermittelt wird, wenn die Beurteilung ergibt, dass die Umsetzung des Stellwunsches das Kraftfahrzeug in einen gefährlichen Zustand überführt.
- Gemäß eines weiteren Aspekts kann vorgesehen sein, dass die Koppelungsvorrichtung eine Situationserkennungseinheit umfasst, welche eingerichtet, eine aktuelle und/oder zukünftige, insbesondere prädizierte, Fahrsituation des Kraftfahrzeugs zu ermitteln und bereitzustellen, wobei die Koppelungsvorrichtung eingerichtet ist, die Beurteilung abhängig von dieser bereitgestellten Fahrsituation durchzuführen. Hierdurch ist es möglich, den Einfluss der Softwarekomponente situationsabhängig zu limitieren oder zu verhindern. Beispielsweise ist es möglich, der Softwarekomponente bei freier Fahrt auf einer Autobahn mit geringem Umgebungsverkehr einen größeren Einfluss einzuräumen als kurz vor Beginn einer Baustelle mit dichtem Umgebungsverkehr.
- Hierzu kann beispielsweise vorgesehen sein, dass die Überwachungseinheit eingerichtet ist, eine Vorhersage von die Dynamik des Kraftfahrzeugs beschreibenden Variablen durchzuführen, und die Beurteilung abhängig von Werten dieser Variablen durchzuführen. Beispielsweise ist es somit möglich, zukünftige Werte einer Gierrate oder eines Schwimmwinkels zu ermitteln, um für den Einfluss der Softwarekomponente besonders kritische Situationen zu identifizieren.
- Gemäß eines weiteren Aspekts kann vorgesehen sein, dass die Koppelungsvorrichtung eine (z.B. standardisierte) Schnittstelle umfasst, über die die Softwarekomponente der Koppelungsvorrichtung den Stellwunsch übermittelt. Eine Anbindung der Softwarekomponente ist dann besonders einfach.
- Gemäß eines weiteren Aspekts kann vorgesehen sein, dass die Koppelungsvorrichtung eine Managementeinheit wie beispielsweise einen App-Manager umfasst, die eingerichtet ist, vor einer Installation der Softwarekomponente zu überprüfen, ob eine korrekte Installation der Softwarekomponente möglich ist.
- Gemäß einer vorteilhaften Weiterbildung kann vorgesehen sein, dass die Managementeinheit eingerichtet ist, der Softwarekomponente einen Speicherbereich in einem Arbeitsspeicher zuzuweisen, und die Softwarekomponente mit der Schnittstelle zu verbinden.
- Gemäß eines weiteren Aspekts kann vorgesehen sein, dass sämtliche Einheiten der Koppelungsvorrichtung auf einem einzigen Steuergerät, beispielsweise einem Motorsteuergerät oder einem ESP-Steuergerät, ausgebildet sind. Eine solche Partitionierung der Koppelungsvorrichtung ist besonders einfach.
- In einem weiteren Aspekt betrifft die Erfindung ein solches Steuergerät, das sämtliche Einheiten der erfindungsgemäßen Koppelungsvorrichtung umfasst.
- In einem noch weiteren Aspekt betrifft die Erfindung ein Steuergerät zum Betreiben der Koppelungsvorrichtung, welches zumindest die Überwachungseinheit umfasst.
- Nachfolgend werden Ausführungsformen der Erfindung unter Bezugnahme auf die beiliegende Zeichnung näher erläutert. In den Zeichnungen zeigen:
-
1 den Aufbau der Kopplungsvorrichtung in einem Steuergerät; -
2 den Ablauf eines Überwachungsverfahrens, das in der Kopplungsvorrichtung ausgeführt wird. - Beschreibung der Ausführungsbeispiele
-
1 zeigt die Kopplungsvorrichtung150 , welche in diesem Ausführungsbeispiel in ein Steuergerät200 (beispielsweise in Motorsteuergerät) integriert ist. Als Beispiel für eine Softwarekomponente wird eine App10 beispielsweise aus dem Internet100 heruntergeladen. Ein optionaler App-Koordinator220 überprüft, ob Installationsvoraussetzungen für die App10 erfüllt sind, beispielsweise, ob genügend freier Speicher vorhanden ist. Ist dies der Fall, weist der App-Koordinator220 der App10 einen Speicherbereich in einem Speicher (nicht dargestellt) des Steuergeräts200 zu und verbindet die App10 mit einem Application Programming Interface (kurz „API“)210 . Die App10 übermittelt über das API210 im Betrieb einen Stellwunsch S1 an die Überwachungseinheit230 . Optional kann eine Situationserkennungseinheit240 vorgesehen sein, welche der Überwachungseinheit230 eine aktuelle Fahrsituation des Kraftfahrzeugs übermittelt. Die aktuelle Fahrsituation kann sowohl fahrdynamische Parameter des Kraftfahrzeugs (Fahrgeschwindigkeit, Gierrate etc.) umfassen, wie auch Umfeldparameter (Verkehrsdichte, Abstand zum vorausfahrenden Fahrzeug etc.) oder interne Parameter des Kraftfahrzeugs (Vorliegen eines Bremseingriffs, Kraftstoff-Einspritzmenge, etc.). - Die Überwachungseinheit
230 überprüft, ob eine Umsetzung des Stellwunsches S1 zu einer Beeinträchtigung der Sicherheit führen würde, und generiert auf Basis dieser Überprüfung abhängig vom Stellwunsch S1 den überwachten Stellwunsch S2, der an eine Software-Schicht250 , zur Umsetzung übergeben wird. Die Software-Schicht250 kann beispielsweise eingerichtet sein, einen Stellwunsch S2 umzuwandeln, sodass er dem Aktuator300 übergeben werden kann. Beispielsweise ist es denkbar, dass der überwachte Stellwunsch S2 einer Soll-Geschwindigkeit des Kraftfahrzeugs entspricht. Die Software-Schicht250 kann dann entweder einem Tempomaten als Aktuator300 diese Soll-Geschwindigkeit als Stellwunsch übertragen. Es ist aber auch möglich, dass die Software-Schicht250 die Funktion des Tempomaten übernimmt, und abhängig von einer Ist-Geschwindigkeit des Kraftfahrzeugs beispielsweise eine Kraftstoff-Einspritzmenge erhöht oder reduziert. - Die Kopplungsvorrichtung
150 umfasst das API210 , die Überwachungseinheit230 und optional den App-Koordinator220 und/oder die Situationserkennungseinheit240 . Im Ausführungsbeispiel ist die Kopplungsvorrichtung vollständig auf dem einen Steuergerät200 realisiert, dies ist aber nicht zwingend erforderlich. Eine Aufteilung der Komponenten auf mehrere Steuergeräte ist ebenfalls denkbar. Auch der Speicherplatz der App10 muss nicht zwingend auf diesem einen Steuergerät200 realisiert sein. - Die Softwareschicht
250 kommuniziert mit einer Hardwareschicht260 , welche von Sensoren (nicht dargestellt) über eine Sensorschnittstelle270 Werte über aktuelle Messwerte der Sensoren empfängt, und über einen Aktuatorschnittstelle280 den Aktuator300 ansteuern kann. Die Hardwareschicht260 übermittelt der Aktuatorschnittstelle280 einen Stellwunschwert SW, der beispielsweise einem numerischen Wert des überwachten Stellwunsches S2 entspricht. Die Aktuatorschnittstelle280 steuert den Aktuator300 gemäß dieses Stellwunschwertes SW an. -
2 zeigt einen Ablauf eines Überwachungsverfahrens gemäß eines weiteren Aspekts der Erfindung. Dieses Überwachungsverfahren läuft beispielsweise in der Kopplungsvorrichtung150 , insbesondere in der Überwachungseinheit230 ab. - Das Verfahren beginnt mit Schritt
1000 . Die Überwachungseinheit230 empfängt den Stellwunsch S1 von der App10 . Der Stellwunsch S1 ist ein numerischer Wert oder eine Anzahl numerischer Werte, der konkret Aktuator300 zugeordnet sein kann, oder auch das Verhalten des Kraftfahrzeugs als Ganzes betreffen kann, beispielsweise einen gewünschten Beschleunigungswert. - Optional empfängt die Überwachungseinheit
230 von der Situationserkennung240 in einem Schritt1020 Werte über die aktuelle Fahrsituation, z.B. die aktuelle Geschwindigkeit, einen aktuellen Lenkwinkel oder auch einen aktuellen Reibwert der Fahrbahn, auf welcher das Kraftfahrzeug fährt, welcher beispielsweise aus einem Schwimmwinkel geschätzt oder aus einer feindigitalen Karte ermittelt werden kann, oder z.B. über einen (nicht dargestellten) Außentemperatursensor im Sinne einer Glatteiserkennung geschätzt werden kann. - Die Überwachungseinheit
230 ermittelt in Schritt1030 nun, ob der Stellwunsch S1 zu einer gefährlichen Fahrsituation führen könnte, wenn er umgesetzt würde. Ist dies der Fall, folgt Schritt1040 , andernfalls Schritt1050 . - In Schritt
1040 wird als überwachter Stellwunsch S2 ein Ersatzstellwunsch ermittelt. Dieser Ersatzstellwunsch kann beispielsweise eine Limitierung des numerischen Werts des Stellwunsches S1 sein, im Beispiel eine Limitierung des Beschleunigungswerts. Es ist aber auch denkbar, dass der Ersatzstellwunsch ein leerer Stellwunsch S2 ist, sodass der Softwareschicht250 kein Stellwunsch S2 übermittelt wird, d.h. das System agiert so, als hätte die App10 keinen Stellwunsch S1 übermittelt. Anschließend folgt Schritt1050 . - Ist der Stellwunsch S1 hingegen als sicher eingestuft, folgt unmittelbar Schritt
1050 , wobei als überwachter Stellwunsch S2 genau der Stellwunsch S1 übergeben wird. - In Schritt
1050 übermittelt die Überwachungseinheit230 der Softwareschicht250 den überwachten Stellwunsch S2. Der weitere Ablauf im Grundsystem erfolgt beispielsweise wie oben im Zusammenhang von1 beschrieben. - ZITATE ENTHALTEN IN DER BESCHREIBUNG
- Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
- Zitierte Nicht-Patentliteratur
-
- ISO 26262 [0006]
- ISO 26262 [0006]
- ISO 26262 [0007]
Claims (14)
- Koppelungsvorrichtung (
150 ) zum Koppeln einer Softwarekomponente (10 ), welche einen Stellwunsch (S1) zum Stellen eines Aktuators (300 ) an ein Steuerungssystem eines Kraftfahrzeugs übermittelt, mit dem Steuerungssystem, wobei die Koppelungsvorrichtung (150 ) eine Überwachungseinheit (230 ) umfasst, welche eingerichtet ist, für jeden Stellwunsch (S1) eine Beurteilung durchzuführen, ob seine Umsetzung das Kraftfahrzeug in einen gefährlichen Zustand überführen wird, wobei die Koppelungsvorrichtung ferner eingerichtet ist, abhängig von dieser Beurteilung einen dem Stellwunsch (S1) entsprechenden überwachten Stellwunsch (S2) an eine Umsetzungseinheit (250 ,260 ,280 ) zu übermitteln, wobei die Umsetzungseinheit (250 ,260 ,280 ) eingerichtet ist, den Aktuator (300 ) anzusteuern. - Koppelungsvorrichtung (
150 ) nach Anspruch 1, welche eingerichtet ist, den überwachten Stellwunsch (S2) an die Umsetzungseinheit (250 ,260 ,280 ) zu übermitteln, wenn die Beurteilung ergibt, dass die Umsetzung des Stellwunsches (S1) das Kraftfahrzeug nicht in einen gefährlichen Zustand überführt. - Koppelungsvorrichtung (
150 ) nach Anspruch 1 oder 2, welche eingerichtet ist, an Stelle des Stellwunsches (S1) einen Ersatzstellwunsch (S2) an die Umsetzungseinheit (250 ,260 ,280 ) zu übermitteln, wenn die Beurteilung ergibt, dass die Umsetzung des Stellwunsches (S1) das Kraftfahrzeug in einen gefährlichen Zustand überführt. - Koppelungsvorrichtung (
150 ) nach Anspruch 3, wobei der Ersatzstellwunsch (S2) derart gewählt ist, dass die Umsetzung des Ersatzstellwunsches (S2) das Kraftfahrzeug nicht in einen gefährlichen Zustand überführt. - Koppelungsvorrichtung (
150 ) nach Anspruch 3 oder 4, wobei der Ersatzstellwunsch (S2) eine Begrenzung des Stellwunsches (S1) darstellt. - Koppelungsvorrichtung (
150 ) nach Anspruch 1 oder 2, welche eingerichtet ist, keinen Stellwunsch an die Umsetzungseinheit (250 ,260 ,280 ) zu übermitteln, wenn die Beurteilung ergibt, dass die Umsetzung des Stellwunsches (S1) das Kraftfahrzeug in einen gefährlichen Zustand überführt. - Koppelungsvorrichtung (
150 ) nach einem der vorherigen Ansprüche, wobei die Koppelungsvorrichtung (150 ) eine Situationserkennungseinheit (240 ) umfasst, welche eingerichtet, eine Fahrsituation des Kraftfahrzeugs zu ermitteln und bereitzustellen, wobei die Koppelungsvorrichtung (150 ) eingerichtet ist, die Beurteilung abhängig von der bereitgestellten Fahrsituation durchzuführen. - Koppelungsvorrichtung (
150 ) nach einem der vorherigen Ansprüche, wobei die Überwachungseinheit (230 ) eingerichtet ist, eine Vorhersage von die Dynamik des Kraftfahrzeugs beschreibenden Variablen durchzuführen, und die Beurteilung abhängig von Werten dieser Variablen durchzuführen. - Koppelungsvorrichtung (
150 ) nach einem der vorherigen Ansprüche, wobei die Koppelungsvorrichtung (150 ) eine Schnittstelle (210 ) umfasst, über die die Softwarekomponente (10 ) der Koppelungsvorrichtung (150 ) den Stellwunsch (S1) übermittelt. - Koppelungsvorrichtung (
150 ) nach einem der vorherigen Ansprüche, wobei die Koppelungsvorrichtung (150 ) eine Managementeinheit (220 ) umfasst, die eingerichtet ist, vor einer Installation der Softwarekomponente (10 ) zu überprüfen, ob eine korrekte Installation der Softwarekomponente (10 ) möglich ist. - Koppelungsvorrichtung nach Anspruch 10, wobei die Managementeinheit (
220 ) eingerichtet ist, der Softwarekomponente (10 ) einen Speicherbereich in einem Arbeitsspeicher zuzuweisen, und die Softwarekomponente (10 ) mit der Schnittstelle (210 ) zu verbinden. - Koppelungsvorrichtung (
150 ) nach einem der vorherigen Ansprüche, wobei sämtliche Einheiten der Koppelungsvorrichtung auf einem Steuergerät (200 ) ausgebildet sind. - Steuergerät (
200 ), welches sämtliche Einheiten der Koppelungsvorrichtung (150 ) nach einem der Ansprüche 1 bis 12 umfasst. - Steuergerät (
200 ) zum Betreiben der Koppelungsvorrichtung (150 ) nach einem der Ansprüche 1 bis 12, welches die Überwachungseinheit (230 ) umfasst.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102014209489.5A DE102014209489A1 (de) | 2014-05-20 | 2014-05-20 | Vorrichtung zum sicheren Einbinden einer Softwarekomponente in einem Kraftfahrzeug |
CN201510258391.1A CN105083164B (zh) | 2014-05-20 | 2015-05-20 | 用于在机动车中安全地结合软件部件的装置 |
US14/717,828 US9710290B2 (en) | 2014-05-20 | 2015-05-20 | Device for the reliable integration of a software component into a motor vehicle |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102014209489.5A DE102014209489A1 (de) | 2014-05-20 | 2014-05-20 | Vorrichtung zum sicheren Einbinden einer Softwarekomponente in einem Kraftfahrzeug |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102014209489A1 true DE102014209489A1 (de) | 2015-11-26 |
Family
ID=54431681
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102014209489.5A Pending DE102014209489A1 (de) | 2014-05-20 | 2014-05-20 | Vorrichtung zum sicheren Einbinden einer Softwarekomponente in einem Kraftfahrzeug |
Country Status (3)
Country | Link |
---|---|
US (1) | US9710290B2 (de) |
CN (1) | CN105083164B (de) |
DE (1) | DE102014209489A1 (de) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102016225848A1 (de) * | 2016-12-21 | 2018-06-21 | Robert Bosch Gmbh | Verfahren zum Betreiben eines Kraftfahrzeugs |
DE102018200820A1 (de) * | 2018-01-18 | 2019-07-18 | Volkswagen Aktiengesellschaft | Steuerungssystem für ein Kraftfahrzeug, Verfahren zum Betreiben des Steuerungssystems sowie Kraftfahrzeug mit einem derartigen Steuerungssystem |
DE102021211564A1 (de) | 2021-10-13 | 2023-04-13 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren zum Betreiben eines Fahrzeugs |
DE102021212858A1 (de) | 2021-11-09 | 2023-05-11 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren zum Betreiben eines Verwaltungsprogramms |
DE102021212861A1 (de) | 2021-11-16 | 2023-05-17 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren zum Betreiben eines Verwaltungsprogramms |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016020477A1 (en) * | 2014-08-07 | 2016-02-11 | Osr Enterprises Ag | Device, system and method for automated installation and operating environment configuration of a computer system |
EP3495218B1 (de) * | 2017-12-07 | 2020-06-24 | TTTech Auto AG | Fehlertolerantes computersystem zum unterstützten und autonomen fahren |
JP7311245B2 (ja) * | 2018-03-07 | 2023-07-19 | トヨタ自動車株式会社 | マスタ装置、マスタ、制御方法、プログラム及び車両 |
EP3816741B1 (de) * | 2019-10-31 | 2023-11-29 | TTTech Auto AG | Sicherheitsmonitor für erweiterte fahrerassistenzsysteme |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4854283A (en) * | 1986-11-28 | 1989-08-08 | Nippondenso Co., Ltd. | Throttle valve control apparatus |
WO2009152282A1 (en) * | 2008-06-10 | 2009-12-17 | Object Security Llc | Model driven compliance, evaluation, accreditation and monitoring |
US9058746B2 (en) * | 2008-10-02 | 2015-06-16 | Hitachi Automotive Systems, Ltd. | Information processing device associated with vehicle traveling |
CN103460158A (zh) * | 2011-04-01 | 2013-12-18 | 松下电器产业株式会社 | 接口中继装置以及接口中继方法 |
US8543286B2 (en) * | 2011-06-24 | 2013-09-24 | GM Global Technology Operations LLC | Vehicle hardware integrity analysis systems and methods |
US9395702B2 (en) * | 2011-07-20 | 2016-07-19 | Freescale Semiconductor, Inc. | Safety critical apparatus and method for controlling distraction of an operator of a safety critical apparatus |
DE102011084254A1 (de) * | 2011-10-11 | 2013-04-11 | Zf Friedrichshafen Ag | Kommunikationssystem für ein Kraftfahrzeug |
DE102012202934A1 (de) * | 2012-02-27 | 2013-08-29 | Bayerische Motoren Werke Aktiengesellschaft | Funkfernbedienung zur Steuerung von Fahrzeugfunktionen eines Kraftfahrzeugs |
KR101886910B1 (ko) * | 2012-03-14 | 2018-08-08 | 이-에이에이엠 드라이브라인 시스템스 에이비 | 멀티 레벨 차량 무결성 및 품질 제어 메커니즘 |
DE102012215343A1 (de) * | 2012-08-29 | 2014-05-28 | Continental Automotive Gmbh | Verfahren zum Durchführen einer Sicherheitsfunktion eines Fahrzeugs und System zum Durchführen des Verfahrens |
US20140173548A1 (en) * | 2012-09-17 | 2014-06-19 | Texas Instruments Incorporated | Tool For Automation Of Functional Safety Metric Calculation And Prototyping Of Functional Safety Systems |
CN105378587B (zh) * | 2013-06-04 | 2019-12-17 | Trw汽车美国有限责任公司 | 优化的电源架构 |
JP6029553B2 (ja) * | 2013-08-22 | 2016-11-24 | 日立オートモティブシステムズ株式会社 | 車両制御装置 |
EP3056394B1 (de) * | 2013-10-08 | 2022-11-30 | ICTK Holdings Co., Ltd. | Netzwerkvorrichtung für fahrzeugsicherheit und entwurfsverfahren dafür |
EP2876016B1 (de) * | 2013-11-20 | 2020-09-02 | Nxp B.V. | Funktionsüberwachung |
CN103723096B (zh) * | 2014-01-10 | 2015-10-21 | 上海大众汽车有限公司 | 带有无线通信功能的驾驶辅助系统 |
DE102014201682A1 (de) * | 2014-01-30 | 2015-07-30 | Robert Bosch Gmbh | Verfahren zur Koexistenz von Software mit verschiedenen Sicherheitsstufen in einem Multicore-Prozessorsystem |
US9442184B2 (en) * | 2014-02-21 | 2016-09-13 | Nxp B.V. | Functional safety monitor pin |
-
2014
- 2014-05-20 DE DE102014209489.5A patent/DE102014209489A1/de active Pending
-
2015
- 2015-05-20 CN CN201510258391.1A patent/CN105083164B/zh active Active
- 2015-05-20 US US14/717,828 patent/US9710290B2/en active Active
Non-Patent Citations (1)
Title |
---|
ISO 26262 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102016225848A1 (de) * | 2016-12-21 | 2018-06-21 | Robert Bosch Gmbh | Verfahren zum Betreiben eines Kraftfahrzeugs |
DE102016225848B4 (de) | 2016-12-21 | 2022-07-28 | Robert Bosch Gmbh | Verfahren zum Betreiben eines Kraftfahrzeugs |
DE102018200820A1 (de) * | 2018-01-18 | 2019-07-18 | Volkswagen Aktiengesellschaft | Steuerungssystem für ein Kraftfahrzeug, Verfahren zum Betreiben des Steuerungssystems sowie Kraftfahrzeug mit einem derartigen Steuerungssystem |
US11713049B2 (en) | 2018-01-18 | 2023-08-01 | Volkswagen Aktiengesellschaft | Control system for a motor vehicle, method for operating the control system, and motor vehicle having such a control system |
DE102021211564A1 (de) | 2021-10-13 | 2023-04-13 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren zum Betreiben eines Fahrzeugs |
DE102021212858A1 (de) | 2021-11-09 | 2023-05-11 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren zum Betreiben eines Verwaltungsprogramms |
DE102021212861A1 (de) | 2021-11-16 | 2023-05-17 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren zum Betreiben eines Verwaltungsprogramms |
Also Published As
Publication number | Publication date |
---|---|
CN105083164A (zh) | 2015-11-25 |
US9710290B2 (en) | 2017-07-18 |
CN105083164B (zh) | 2019-08-23 |
US20150339133A1 (en) | 2015-11-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102014209489A1 (de) | Vorrichtung zum sicheren Einbinden einer Softwarekomponente in einem Kraftfahrzeug | |
DE102017113435A1 (de) | Fahrzeug-Gateway-Netzwerkschutz | |
DE102014100927A1 (de) | Verfahren zur Überwachung eines Türkontaktschalter einer Fahrertür eines Kraftfahrzeugs | |
DE102013003040A1 (de) | Kraftfahrzeug mit nachträglich per Anwendungsprogramm veränderbarem Fahrverhalten | |
DE102018214999A1 (de) | Vorrichtung zur Absicherung von Diagnosebefehlen an ein Steuergerät und entsprechendes Kraftfahrzeug | |
DE112016002785T5 (de) | Elektronische Steuereinheiten für Fahrzeuge | |
DE102017209468A1 (de) | Verfahren zum Zurücksetzen einer Software eines Fahrzeugsteuergeräts eines Fahrzeugs in einen ursprünglichen Zustand | |
DE102013218504A1 (de) | Verfahren und Vorrichtung zum Überwachen eines Antriebs eines Kraftfahrzeugs | |
WO2020020666A1 (de) | Verfahren und vorrichtung zur kontrolle eines fahrverhaltens eines hochautomatisiert fahrenden fahrzeugs sowie infrastrukturanlage, fahrzeug oder überwachungsfahrzeug mit der vorrichtung | |
DE102015209229A1 (de) | Verfahren zum Überwachen eines Kraftfahrzeugs | |
CN112537312A (zh) | 用于远程控制机动车的方法、设备和存储介质 | |
EP3741094A1 (de) | Steuerungssystem für ein kraftfahrzeug, verfahren zum betreiben des steuerungssystems sowie kraftfahrzeug mit einem derartigen steuerungssystem | |
DE102015221814A1 (de) | Verfahren zur Durchführung eines Diagnosevorgangs in einem Kraftfahrzeug | |
DE102012023648A1 (de) | Verfahren und System zum Aktualisieren von einem Steuergerät eines Kraftwagens | |
DE102019214413A1 (de) | Verfahren zum zumindest teilautomatisierten Führen eines Kraftfahrzeugs | |
DE102016209733A1 (de) | Verfahren und Vorrichtung zur Längsdynamikregelung bei einem Kraftfahrzeug während eines autonomen Fahrvorgangs | |
DE102017220100A1 (de) | Verfahren zur Erkennung eines Brandes, insbesondere in einem Fahrzeug | |
DE102016202527A1 (de) | Recheneinheit für ein Kraftfahrzeug | |
DE102019001192B3 (de) | Steuerungsvorrichtung und Verfahren zur Übernahme der Kontrolle | |
DE102017215625A1 (de) | Bremsvorrichtung und Verfahren zum Betreiben einer Bremsvorrichtung | |
DE102015205946A1 (de) | Verfahren zum Verhindern einer ungewollten Beschleunigung eines Kraftfahrzeugs | |
DE102019000646A1 (de) | Windschutzscheibe für ein Fahrzeug | |
DE102015214505A1 (de) | Verfahren und Vorrichtung zum Austausch von Daten mit der Steuerelektronik eines Kraftfahrzeugs | |
DE102019104267A1 (de) | Speichersicherheit für die einhaltung von funktionaler sicherheit im automobilbereich mit unabhängigen nachgelagerten prozessen | |
DE112018005796T5 (de) | System und Verfahren zum Steuern eines Kraftfahrzeugs zum autonomen Fahren |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed |