-
Die Erfindung betrifft ein Verfahren, ein Gerät, und ein Fahrzeug umfassend das Gerät zum Validieren von Steuerbefehlen einer Haupteinheit.
-
Eine Haupteinheit, oft auch als Head-Unit bezeichnet, eines Infotainmentsystems eines Fahrzeugs ist häufig ein geschlossenes System, dessen Funktionsumfang meist durch den Hersteller eines Fahrzeugs vorgegeben wird. Eine Erweiterung des Funktionsumfangs kann nur von dem Hersteller des Fahrzeugs vorgenommen werden. Es ist beispielsweise bekannt, dass die Haupteinheit es ermöglicht, Fahrzeuginformationen und/oder Informationen von externen Internet-basierten Diensten wie soziale Netzwerke, Kartendienste und/oder verkehrsbezogene Dienste anzuzeigen.
-
Es ist eine Aufgabe der Erfindung, eine verbesserte Haupteinheit eines Fahrzeugs bereitzustellen. Insbesondere ist es eine Aufgabe der Erfindung, den Funktionsumfang der Haupteinheit eines Infotainmentsystems zu erweitern und/oder die funktionale Sicherheit zu erhöhen.
-
Gelöst wird diese Aufgabe durch ein Verfahren sowie durch ein Gerät mit den Merkmalen gemäß den jeweiligen unabhängigen Patentansprüchen. Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand der abhängigen Patentansprüche, der Beschreibung und/oder der Figuren.
-
Ein erfindungsgemäßes Verfahren dient zum Validieren von Steuerbefehlen einer Haupteinheit eines Fahrzeugs. Das Verfahren umfasst das Empfangen eines Steuerbefehls. Beispielsweise kann der Steuerbefehl von einer Validierungskomponente durch die Haupteinheit empfangen werden. Der Steuerbefehl kann beispielsweise eine Fahrzeugfunktion steuern. Das Verfahren umfasst ferner das Empfangen eines oder mehrerer Eingabebefehle eines Eingabehandlers. Die empfangenen Eingabebefehle werden in einem Cache gespeichert. Vorzugsweise werden die empfangenen Eingabebefehle in dem Cache einer Validierungskomponente gespeichert. Das Verfahren umfasst ferner das Bestimmen eines Eingabebefehls, der mit dem empfangenen Steuerbefehl verknüpft ist. Das Verfahren umfasst weiterhin das Validieren des empfangenen Steuerbefehls mittels wenigstens einem der gespeicherten Eingabebefehle, wobei überprüft wird, ob der bestimmte Eingabebefehl mit wenigstens einem der gespeicherten Eingabefehle übereinstimmt. Falls der empfangene Steuerbefehl erfolgreich validiert wurde, wird der empfangene Steuerbefehl weitergeleitet.
-
Durch das Validieren eines Steuerbefehls mittels einem oder mehrerer Eingabebefehle ist eine sehr einfache Überprüfung möglich, ob ein Steuerbefehl auf eine tatsächliche Benutzereingabe zurückzuführen ist und/oder ob der Steuerbefehle ohne dazugehörige Benutzereingabe erzeugt wurde. Dadurch wird sichergestellt, dass Steuerbefehle nur auf expliziten Wunsch des Benutzers weitergeleitet und/oder ausgeführt werden. Somit können Steuerbefehle auch von nicht-vertrauenswürdigen Komponenten der Haupteinheit in das Bordnetzwerk weitergeleitet werden. Die Funktionalität der Haupteinheit eines Infotainmentsystems kann somit effizient erweitert und/oder die funktionale Sicherheit garantiert werden.
-
Gemäß einer vorteilhaften Ausgestaltung kann das Verfahren weiterhin ein Senden einer Anfrage an den Eingabehandler umfassen, um einen oder mehrere Eingabebefehle von dem Eingabehandler zu empfangen. Somit können mehr Steuerbefehle erfolgreich validiert werden und/oder Fehler bei der Validierung vermieden werden.
-
Gemäß einer weiteren vorteilhaften Ausgestaltung kann das Bestimmen des Eingabebefehls das Bestimmen einer Regel für den empfangenen Steuerbefehl aus einer Menge vordefinierter Regeln für Steuerbefehle umfassen, wobei jede Regel den Eingabebefehl für einen Steuerbefehl definiert. Durch die Verwendung von Regeln kann eine einfache Aktualisierung der Validierungskomponente an neue oder geänderte Eingabebefehle und/oder Steuerbefehle vorgenommen werden.
-
Gemäß einer weiteren vorteilhaften Ausgestaltung kann das Validieren des empfangenen Steuerbefehls das Ausführen der bestimmten Regel auf die gespeicherten Eingabebefehle umfassen und/oder kann das Überprüfen, ob der bestimmte Eingabebefehl mit wenigstens einem der gespeicherten Eingabefehle übereinstimmt, ein Vergleichen der Definition der Eingabefehls der Regel für den empfangenen Steuerbefehl mit den gespeicherten Eingabebefehlen umfassen. Durch Anwendung von Regeln auf die gespeicherten Befehle kann eine flexible und effiziente Verarbeitung der Eingabebefehle erreicht werden.
-
Gemäß einer weiteren vorteilhaften Ausgestaltung kann der empfangene Steuerbefehl der Haupteinheit an ein Bordnetzwerk des Fahrzeugs weitergeleitet werden. Hiermit wird es ermöglicht, dass Steuerbefehle an das Bordnetzwerk validiert werden.
-
Gemäß einer weiteren vorteilhaften Ausgestaltung kann der empfangene Steuerbefehl von einem nicht-vertrauenswürdiges Gastsystem an ein vertrauenswürdiges Gastsystem weitergeleitet werden. Hiermit wird es ermöglicht, dass Steuerbefehle zwischen Gastsystemen der Haupteinheit validiert werden.
-
Gemäß einer weiteren vorteilhaften Ausgestaltung kann das Validieren des empfangenen Steuerbefehls mittels wenigstens einem der gespeicherten Eingabebefehle ferner umfassen:
- – vergleichen, ob die Art der Benutzerinteraktion des bestimmten Eingabefehls mit wenigstens einem der gespeicherten Eingabefehle übereinstimmt;
- – überprüfen, ob die gespeicherten Eingabefehle innerhalb einer vorgegeben Zeitspanne vor Empfang des Steuerbefehls empfangen wurden; und/oder
- – bestimmen, ob die Position der Benutzerinteraktion des bestimmten Eingabefehls mit wenigstens einem der gespeicherten Eingabefehle übereinstimmt.
Hiermit kann die Validierung des Steuerbefehls flexibel an die Art der Eingabebefehle angepasst werden. Die Flexibilität der Validierung kann somit erhöht werden.
-
Gemäß einer weiteren vorteilhaften Ausgestaltung kann das Verfahren ferner umfassen, dass, falls der empfangene Steuerbefehl nicht erfolgreich validiert wurde, der empfangene Steuerbefehl verworfen wird. Durch das Verwerfen des Steuerbefehls kann einfach verhindert werden, dass der Steuerbefehl nicht in das Bordnetzwerk weitergeleitet wird.
-
Die Erfindung betrifft außerdem ein Gerät zum Validieren von Steuerbefehlen einer Haupteinheit eines Fahrzeugs, wobei das Gerät dazu ausgebildet ist, das erfindungsgemäße Verfahren auszuführen.
-
Die Erfindung betrifft außerdem ein Fahrzeug umfassend ein Gerät zum Validieren von Steuerbefehlen einer Haupteinheit, wobei das Gerät dazu ausgebildet ist, das erfindungsgemäße Verfahren auszuführen.
-
Weitere Merkmale der Erfindung ergeben sich aus den Ansprüchen, den Figuren und/ der Figurenbeschreibung. Alle vorstehend in der Beschreibung genannten Merkmale und Merkmalskombinationen sowie die nachfolgend in der Figurenbeschreibung genannten und/oder in den Figuren alleine gezeigten Merkmale und Merkmalkombinationen sind nicht nur in der jeweils angegebene Kombination, sondern auch in anderen Kombinationen oder aber in Alleinstellung verwendbar.
-
Die Erfindung beruht auf den nachfolgend dargelegten Überlegungen:
Zukünftig werden verschiedene mobile und/oder eingebettete Betriebssysteme in einem Infotainmentsystem eines Fahrzeugs eingesetzt werden. Dies kann teilweise durch zusätzlich Hardware, z.B. durch weitere Prozessoren, oder durch Software, z.B. durch Virtualisierung der bestehenden Hardware, realisiert werden.
-
Ferner kann die fortschreitende Verschmelzung von externen Internet-basierten Diensten, Entertainmentfunktionen und/oder Fahrzeugfunktionen in der Haupteinheit dazu führen, dass die Haupteinheit für den Betrieb des Fahrzeug sicherheitsrelevante Komponenten und für den Betrieb des Fahrzeug nicht-sicherheitsrelevante Komponenten steuern kann. Beispielsweise kann es möglich sein, dass die Haupteinheit mit einem Steuerbefehl die Stabilitätskontrolle des Fahrzeugs oder den Motor an/-ausschalten kann. Dies kann besonders kritisch sein, falls in der Haupteinheit ungeprüfte bzw. nicht abgesicherte Komponenten ausgeführt werden, die Steuerbefehle in das Bordnetzwerk des Fahrzeugs senden können.
-
Um eine gemeinsame und einheitliche Bedienung von externen Internet-basierten Diensten, Entertainmentfunktionen und Fahrzeugfunktionen zu gewährleisten, können Steuerbefehle, insbesondere kritische Steuerbefehle für Fahrzeugfunktionen von einem unkritischen Bereich in einen kritischen Bereich weitergeleitet bzw. kommuniziert werden. In dem unkritischen Bereich kann ein Steuerbefehl erzeugt werden. Eine Ausführung des Steuerbefehls kann jedoch nur in dem kritischen Bereich stattfinden. Deshalb muss verhindert werden, dass nur Steuerbefehle von einem unkritischen Bereich in einen kritischen Bereich weitergeleitet werden, die auch von dem Benutzer gewollt sind. Steuerbefehle, die durch eine Manipulation und/oder durch eine Funktionsstörung erzeugt wurden, dürfen nicht in den kritischen Bereich weitergeleitet werden. Der kritische Bereich kann beispielsweise das Bordnetzwerk eines Fahrzeugs und/oder die im Bordnetzwerk des Fahrzeugs miteinander vernetzten Steuergeräte umfassen. Ferner kann der kritische Bereich Softwarekomponenten umfassen, die von dem Hersteller des Fahrzeugs und/oder vertrauenswürdigen Dritten geprüft worden sind.
-
Um die gewollte Weiterleitung sicherzustellen und/oder die nicht-gewollte Weiterleitung zu verhindern, kann eine Validierungskomponente zwischen dem kritischen Bereich und dem unkritischen Bereich des Infotainmentsystems hinzugefügt werden. Die Entscheidung über die Weiterleitung eines Steuerbefehls kann dynamisch aufgrund einer Historie von Benutzerinterkationen mit einem Bedienelement erfolgen. Als Benutzerinteraktion kann beispielsweise ein Drücken oder Drehen eines Knopfes, oder eine Position einer Eingabe eines Touchscreens zu einem bestimmten Zeitpunkt oder innerhalb einer bestimmten Zeitspanne sein.
-
Im Folgenden wird anhand der beigefügten Zeichnungen ein bevorzugtes Ausführungsbeispiel der Erfindung beschrieben. Daraus ergeben sich weitere Details, bevorzugte Ausgestaltungen und Weiterbildungen der Erfindung. Im Einzelnen zeigen schematisch
-
1 eine Hardwareimplementierung eines Systems zum Validieren von Steuerbefehlen einer Haupteinheit;
-
2 eine Softwareimplementierung eines Systems zum Validieren von Steuerbefehlen einer Haupteinheit; und
-
3 ein Sequenzdiagramm eines Systems zum Validieren von Steuerbefehlen einer Haupteinheit.
-
1 zeigt eine Hardwareimplementierung 100 eines Systems zum Validieren von Steuerbefehlen einer Haupteinheit bzw. Head-Unit. Ein Benutzer kann die Funktionen der Haupteinheit über einen Touchscreen 102 und/oder eine zentrale Bedieneinheit 104. Insbesondere kann der Benutzer die Fahrzeugfunktionen und/oder die Entertainmentfunktionen der Haupteinheit des Infotainmentsystems über den Touchscreen 102 und/oder die zentrale Bedieneinheit 104 bedienen. Der Touchscreen 102, insbesondere der Controller des Touchscreens 102, ist mit einem Eingabehandler 106 verbunden. Die zentrale Bedieneinheit 104, insbesondere der Controller der zentralen Bedieneinheit 104, kann mit dem Eingabehandler 106 verbunden sein. Alternativ oder zusätzlich können weitere Bedieneinheiten wie eine Bedieneinheit mit einer Gestensteuerung und/oder eine Bedieneinheit zur Spracheingabe mit dem Eingabehandler 106 verbunden sein. Der Touchscreen 102 und/oder die zentrale Bedieneinheit 104 können Teil einer Haupteinheit sein und/oder außerhalb der Haupteinheit angeordnet sein.
-
Wird eine Benutzerinteraktion mit dem Touchscreen 102 und/oder mit der zentralen Bedieneinheit 104 durchgeführt, übermitteln der Controller der jeweiligen Bedieneinheit einen Eingabebefehl an den Eingabehandler 106. Vorzugsweise werden alle Eingabebefehle an den Eingabehandler 106 übermittelt. Bedient beispielsweise ein Benutzer den Touchscreen 102, so wird ein Eingabefehl von dem Controller des Touchscreens 102 an den Eingabehandler 106 geschickt. Der Eingabebefehl kann beispielsweise die Position der Berührung des Touchscreen 102 umfassen. Analog zu einer Benutzerinteraktion mit dem Touchscreen 102 kann die zentrale Bedieneinheit 104 Eingabebefehle, die beispielsweise durch Drücken oder Drehen eines Knopfs, Schalters oder Reglers erzeugt wurden, an den Eingabehandler 106 übermitteln.
-
Der Eingabehandler 106 kann selbst die dazugehörige Funktion bestimmen oder den Eingabebefehl an eine weitere Komponente der Haupteinheit weiterleiten, die die dazugehörige Funktion des Eingabebefehls ermittelt. Die weitere Komponente kann beispielsweise eine Softwarekomponente, z.B. eine Betriebssystem, ein Gerätetreiber, und/oder eine Anwendungssoftware sein, und/oder eine Hardwarekomponente der Haupteinheit sein. Ist beispielsweise die Position der Berührung des Touchscreens mit einer Funktion zum Abschalten der Stabilitätsteuerung des Fahrzeugs verknüpft, kann der Eingabehandler 106 als Ausgabe einen Steuerbefehl zum Abschalten der Stabilitätssteuerung erzeugen bzw. von der weiteren Komponente erhalten. Vorzugweise kann jeder Steuerbefehl von dem Eingabehandler 106 an eine Validierungskomponente 108 übermittelt werden. Alternativ kann eine weitere Komponente der Haupteinheit jeden Steuerbefehl an die Validierungskomponente 108 übermitteln. Die Validierungskomponente 108 kann in einem Kabel zwischen der Haupteinheit und dem Bordnetzwerk 110 angeordnet sein. Ist die Validierungskomponente 108 in einem Kabel zwischen der Haupteinheit und dem Bordnetzwerk 110 eingebaut, muss die Haupteinheit nicht geändert werde, um die Validierung der Steuerbefehle zu realisieren. Alternativ kann die Validierungskomponente 108 ein Teil der Haupteinheit sein.
-
Weiterhin kann der Eingabehandler 106 einen Eingabebefehl oder mehrere Eingabebefehle des Touchscreen 102 und/oder des zentralen Bedienelements 104 an die Validierungskomponente 108 weiterleiten. Vorzugsweise werden alle Eingabebefehle an die Validierungskomponente 108 weitergeleitet. Die Validierungskomponente kann einen Cache für die Eingabebefehle umfassen. Der Cache kann die Eingabebefehle für eine vorgegebene Zeitspanne und/oder eine vordefinierte Anzahl von Eingabebefehlen zwischenspeichern.
-
Zusätzlich oder alternativ kann ein Eingabebefehl von einer Bedieneinheit, z.B. dem Touchscreen 102 und/oder der zentralen Bedieneinheit 104, direkt an die Validierungskomponente 108 übermittelt werden. Eine direkt Übermittlung von einem Eingabebefehl an die Validierungskomponente 108 kann ein Mitlesen des Eingabebefehls zwischen einem Bedienelement bzw. dem Controller des Bedienelements und dem Eingabehandler 106 umfassen. Vorzugsweise werden alle Eingabebefehle einer Bedieneinheit an die Validierungskomponente 108 direkt übermittelt. Somit kann die Validierungskomponente 108 Eingabebefehle von einem Bedienelement ohne weitere Verarbeitung durch zwischengeschaltete Verarbeitungseinheiteneinheiten erhalten. Durch die direkte Übermittelung kann verhindert werden, dass ein Eingabebefehl durch eine zwischengeschaltete Verarbeitungskomponente manipuliert wird.
-
Die Validierungskomponente 108 kann ferner einen Steuerbefehl empfangen. Der Steuerbefehl kann von dem Eingabehandler 106, einer Komponente der Haupteinheit, und/oder der Haupteinheit empfangen werden. Der empfangene Steuerbefehl kann von der Validierungskomponente 108 validiert werden. Die Validierungskomponente 108 validiert den Steuerbefehl mithilfe wenigstens eines Eingabebefehls des Eingabehandlers 106. Alternativ kann die Validierungskomponente den Steuerbefehl mithilfe mehrerer Eingabebefehle validieren. Der Eingabebefehl kann dabei in dem Cache der Validierungskomponente 108 gespeichert sein. Die Validierungskomponente 108 prüft zur Validierung des Steuerbefehls, ob ein Eingabebefehl durch den Touchscreen 102 und/oder durch die zentrale Bedieneinheit 104 ausgeführt wurde, der zu dem empfangenen Steuerbefehl führen kann.
-
Im Detail bestimmt die Validierungskomponente 108 einen Eingabebefehl, der mit dem empfangenen Steuerbefehl verknüpft ist. Dazu kann die Validierungskomponente 108 eine Menge von Regeln verwenden, die für jeden Steuerbefehl den dazugehörigen Eingabebefehl definiert. Durch Anwenden der Regel auf die von dem Eingabehandler empfangenen und gespeicherten Eingabebefehle kann festgestellt werden, ob ein Eingabebefehl zu dem empfangenen Steuerbefehl passt. In anderen Worten, es wird geprüft, ob der mit dem empfangenen Steuerbefehl verknüpfte Eingabebefehl mit dem empfangenen Eingabebefehl übereinstimmt. Für die Überprüfung der Übereinstimmung können unterschiedliche Kriterien verwendet werden. Beispielsweise kann die Validierungskomponente folgende Bedingungen überprüfen:
- – vergleichen, ob die Art der Benutzerinteraktion des bestimmten Eingabefehls mit wenigstens einem der gespeicherten Eingabefehle übereinstimmt,
- – überprüfen, ob die gespeicherten Eingabefehle innerhalb einer vorgegeben Zeitspanne vor einem Empfang des Steuerbefehls empfangen wurden; und/oder
- – bestimmen, ob die Position der Benutzerinteraktion des bestimmten Eingabefehls mit wenigstens einem der gespeicherten Eingabefehle übereinstimmt.
-
Jede dieser Bedingungen kann individuell für jeden Steuerbefehl definiert werden. So kann beispielsweise bei einer Eingabe durch den Touchscreen 102, die Position der Eingabe des Touchscreens mit der definierten Eingabe des Touchscreen 102 für einen bestimmten Steuerbefehl verglichen werden. Die definierte Eingabe kann hierbei auch ein definierter Eingabebereich sein, innerhalb dessen die Eingabe des Benutzers durch den Touchscreen sein sollte.
-
Ist die Validierung durch die Validierungskomponente 108 erfolgreich, kann der Steuerbefehl in das Bordnetzwerk 110 weitergeleitet werden. In anderen Worten, der Steuerbefehl wird in den kritischen Bereich weitergeleitet, wo er von dem entsprechenden Steuergerät verarbeitet werden kann. Ist die Validierung durch die Validierungskomponente 108 nicht erfolgreich, verwirft die Validierungskomponente 108 den Steuerbefehl. In anderen Worten, kann die Validierungskomponente keinen passenden Eingabebefehl zu dem Steuerbefehl bestimmen, ist der Steuerbefehl nicht valide, d.h. der Steuerbefehl basiert nicht auf einer Benutzereingabe, und wird von der Validierungskomponente verworfen. Eine Weiterleitung des Steuerbefehls in den kritischen Bereich findet nicht statt.
-
Vorteilhafterweise ermöglicht die Validierung eines Steuerbefehls, Funktionen in die Haupteinheit zu integrieren, die bisher nur von Komponenten innerhalb des Bordnetzwerks 110 möglich waren. Dadurch kann den Funktionsumfang der Haupteinheit und/oder eines Infotainmentsystems erhöht werden, ohne die funktionale Sicherheit des Bordnetzwerks des Fahrzeugs zu gefährden. Ferner kann die Flexibilität der Haupteinheit bei der Funktionsgestaltung erweitert werden. Eine Trennung zwischen den kritischen Bereich des Bordnetzwerks 110 und dem unkritischen Bereich der Entertainmentfunktionen kann durch die Validierungskomponente 108 effizient realisiert werden. Damit wird die Integration von Funktionen des kritischen Bereichs in ein Infotainmentsystem effizient verbessert ohne die Sicherheit des Bordnetzwerks 110 zu gefährden. In anderen Worten, die Symbiose von Funktionen aus dem kritischen Bereich und dem unkritischen Bereich kann erweitert bzw. verbessert werden. Dem Benutzer wird ferner die Möglichkeit gegeben mehr Funktionen über die Haupteinheit steuern zu können. Dies kann zu einer Reduzierung von Bedienelementen führen, die bisher zusätzlich benötigt wurden, um Funktionen des kritischen Bereichs, z.B. Funktionen des Bordnetzwerks 110, zu steuern.
-
2 zeigt eine Softwareimplementierung eines Systems 200 zum Validieren von Steuerbefehlen einer Haupteinheit eines Fahrzeugs. Ein Touchscreen 202 und/oder eine zentrale Bedieneinheit 204 können Eingabebefehle an einen Eingabehandler 206 übermitteln. Der Eingabehandler 206 kann als eine Komponente eines Hypervisor 210, auch Virtual Machine Manager VMM genannt, implementiert werden. Ferner kann eine Validierungskomponente 208 als eine Komponente des Hypervisor 210 implementiert werden.
-
Im Allgemeinen erlaubt ein Hypervisor einen Betrieb eines oder mehrerer Gastsysteme, oft auch als virtuelle Maschinen VM bezeichnet, auf einem Hostsystem. Im Beispiel von 2 werden zwei Gastsysteme, ein Gastsystem 212 und ein Gastsystem 214, auf dem Hostsystem betrieben. Das Hostsystem kann dabei die Hardware der Haupteinheit eines Infotainmentsystems sein. Die Hardware der Haupteinheit kann beispielsweise den Touchscreen 202 und/oder die zentrale Bedieneinheit 204 umfassen. Die Gastsysteme können verschiedenen Funktionen der Haupteinheit implementieren, z.B. Entertainmentfunktionen und/oder Fahrzeugfunktionen.
-
Das Gastsystem 212 kann ein Betriebssystem und eine oder mehrere Anwendungen umfassen. Das Gastsystem 212 kann ein Gastsystem sein, das nicht-vertrauenswürdige Komponenten umfasst. Beispielsweise kann das Gastsystem 212 eine Anwendung ausführen, die nicht von Hersteller des Fahrzeugs überprüft und/oder zertifiziert wurde, und/oder eine Anwendung ausführen, die von einem Angreifer manipuliert wurde. Eine solche nicht-vertrauenswürdige Anwendung in einer unkritischen Umgebung kann einen Steuerbefehl an das Gastsystem 214 über den Hypervisor 210 übermitteln.
-
Im Gegensatz zu dem Gastsystem 212 kann das Gastsystem 214 vertrauenswürdige Komponenten umfassen. Beispielsweise kann das Gastsystem 214 ein vom Hersteller überprüftes Betriebssystem und vertrauenswürdige Softwarekomponenten und/oder Anwendungen umfassen. Ferner kann das Gastsystem 214 den Steuerbefehl ausführen oder den Steuerbefehl an das Bordnetzwerk weiterleiten, damit der Steuerbefehl von einem Steuergerät des Bordnetzwerks ausgeführt wird.
-
Die Validierungskomponente 208 kann Steuerbefehle des Gastsystems 212 empfangen. Vorzugsweise kann die Validierungskomponente alle Steuerbefehle des Gastsystems 212 empfangen. Ferner kann die Validierungskomponente 208 Eingabebefehle des Touchscreens 202 und/oder der zentralen Bedieneinheit 204 mittels des Eingabehandlers 206 empfangen. Vorzugsweise kann die Validierungskomponente 208 alle Eingabebefehle der Eingabehandlers 206 empfangen. Jeden Steuerbefehl, der von dem Gastsystem 212 durch die Validierungskomponente 208 empfangen wurde, kann die Validierungskomponente 206 mittels der von dem Eingabehandler 206 empfangenen Eingabebefehlen validieren. Die Validierung eines Steuerbefehls erfolgt analog zu dem Prozess wie in Zusammenhang mit 1 beschrieben. Ist die Validierung des Steuerbefehls erfolgreich, kann der Steuerbefehl an das Gastsystem 214 weitergeleitet werden. Zusätzlich oder alternativ kann der Steuerbefehl an das Bordnetzwerk weitergeleitet werden. Ist die Validierung des Steuerbefehls nicht erfolgreich, kann der Steuerbefehl durch die Validierungskomponente 208 verworfen werden.
-
Ferner kann die Validierungskomponente überprüfen, ob das Gastsystem 212 zum Zeitpunkt eines Eingabebefehls aktiv war, z.B. ob das Gastsystem 212 eine Eingabemaske angezeigt hat. War das Gastsystem 212 zum Zeitpunkt des Eingabebefehls aktiv, kann der Steuerbefehl an das Gastsystem 214 und/oder an das Bordnetzwerk weitergeleitet werden.
-
Vorteilhafterweise ermöglicht eine Softwareimplementierung der Validierung von Steuerungsbefehlen eine bessere Integration von Entertainmentfunktionen und Fahrzeugfunktionen in einer Haupteinheit eines Infotainmentsystems. Drittanbietern kann es ermöglicht werden, Fahrzeugfunktionen zu steuern, solange der Benutzer explizit einen Bedienbefehl gegeben hat. Dadurch kann die Flexibilität bei der Umsetzung von Funktionen in der Haupteinheit erhöht werden, ohne Einschränkungen bei der funktionellen Sicherheit vornehmen zu müssen.
-
3 zeigt ein Sequenzdiagramm 300 eines Systems zum Validieren von Steuerbefehlen einer Haupteinheit, z.B. ein System nach 1 und/oder 2. Ein Benutzer 302 bedient 312 eine Bedieneinheit 304, z.B. einen Touchscreen 102, 202 oder eine zentrale Bedieneinheit 104, 204 einer Haupteinheit. Die Bedieneinheit 304 kann einen Eingabebefehl, der durch die Bedienung des Benutzers 302 erzeugt wurde, an eine Validierungskomponente 308 übermitteln 314. Die Bedieneinheit 304 kann ferner den Eingabebefehl an eine Verarbeitungseinheit 306 übermitteln 316. Die Verarbeitungseinheit 306 kann beispielsweise eine Haupteinheit und/oder ein Eingabehandler 106, 206 und/oder ein Gastsystem 212 sein. Die Bedieneinheit 304 kann den Eingabebefehl gleichzeitig oder sequenziell an die Validierungskomponente 308 und/oder die Verarbeitungseinheit 306 übermitteln. Die Verarbeitungseinheit 306 kann den Eingabebefehl verarbeiten und einen Steuerbefehl erzeugen. Die Verarbeitungseinheit 306 kann den Steuerbefehl an die Validierungskomponente 308 übermitteln 318. Die Validierungskomponente 308 kann die in Verbindung mit 1 und/oder 2 beschriebenen Verarbeitungsschritte und/oder Prozesse ausführen. Vorzugsweise kann die Validierungskomponente 308 einen Steuerbefehl mithilfe eines oder mehrerer Eingabebefehle validieren. Kann der Steuerbefehl validiert werden, übermittelt 320 die Validierungskomponente 308 den Steuerbefehl an ein Bordnetzwerk 310 und/oder ein vertrauenswürdiges Gastsystem (nicht dargestellt).
-
Bezugszeichenliste
-
- 100
- Hardwareimplementierung eines Systems zum Validieren von Steuerbefehlen einer Haupteinheit eines Fahrzeugs
- 102
- Touchscreen
- 104
- zentrale Bedieneinheit
- 106
- Eingabehandler bzw. Input-Handler
- 108
- Validierungskomponente
- 110
- Bordnetzwerk
- 200
- Softwareimplementierung eines Systems zum Validieren von Steuerbefehlen einer Haupteinheit eines Fahrzeugs
- 202
- Touchscreen
- 204
- zentrale Bedieneinheit
- 206
- Eingabehandler bzw. Input-Handler
- 208
- Validierungskomponente
- 210
- Hypervisor
- 212
- Gastsystem
- 214
- Gastsystem
- 300
- Sequenzdiagramm
- 302
- Benutzer
- 304
- Bedieneinheit
- 306
- Verarbeitungseinheit
- 308
- Validierungskomponente
- 310
- Bordnetzwerk
- 312
- Bedienen einer Bedieneinheit
- 314
- Übermitteln eines Eingabebefehls
- 316
- Übermitteln eines Eingabebefehls
- 318
- Übermitteln eines Steuerbefehls
- 320
- Weiterleiten eines Steuerbefehls