DE102016200413A1 - MICROCOMPUTER - Google Patents
MICROCOMPUTER Download PDFInfo
- Publication number
- DE102016200413A1 DE102016200413A1 DE102016200413.1A DE102016200413A DE102016200413A1 DE 102016200413 A1 DE102016200413 A1 DE 102016200413A1 DE 102016200413 A DE102016200413 A DE 102016200413A DE 102016200413 A1 DE102016200413 A1 DE 102016200413A1
- Authority
- DE
- Germany
- Prior art keywords
- program
- asil
- memory
- microcomputer
- validity check
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
Abstract
Ein Speicher speichert mehrere Programme QM, ASIL_A und ASIL_C, die entsprechend Funktionssicherheitsebenen in einem Schutzzustand klassifiziert sind, der eine Schutzfunktion aktiviert, die eine Ausführung eines Programms verhindert. Ein Arithmetikprozessor überprüft eine Gültigkeit der Programme QM, ASIL_A und ASIL_C programmweise in der Reihenfolge ausgehend von dem Programm QM, dessen Funktionssicherheitsebene niedrig ist (S120, S150, S180). Wenn die Gültigkeitsüberprüfung bestimmt, dass das Programm normal ist, deaktiviert der Arithmetikprozessor die Schutzfunktion für das Programm (S130, S160 und S190) und führt dann das Programm aus (S140, S170, S00).A memory stores a plurality of programs QM, ASIL_A and ASIL_C classified according to functional security levels in a protection state that activates a protection function that prevents execution of a program. An arithmetic processor program-wise validates the programs QM, ASIL_A and ASIL_C in the order starting from the program QM whose functional security level is low (S120, S150, S180). If the validity check determines that the program is normal, the arithmetic processor deactivates the protection function for the program (S130, S160 and S190), and then executes the program (S140, S170, S00).
Description
TECHNISCHES GEBIETTECHNICAL AREA
Die vorliegende Erfindung betrifft einen Mikrocomputer, der eine Gültigkeit eines Programms überprüft und dann das Programm ausführt.The present invention relates to a microcomputer which checks a validity of a program and then executes the program.
STAND DER TECHNIKSTATE OF THE ART
Ein Mikrocomputer, der mehrere CPUs (Kerne) enthält, wurde vorgeschlagen, der bewirkt, dass die CPUs dasselbe Programm ausführen, und die Ausführungsergebnisse miteinander vergleicht, um eine Anomalie in den CPUs zu erfassen (siehe beispielsweise
Wenn das Flag normal ist, wird bestimmt, dass das Programm, das in demselben Speicherbereich gespeichert ist, normal ist, was eine Ausführung des Programms ermöglicht bzw. erlaubt. Wenn das Flag nicht normal ist, wird die Ausführung des Programms verhindert bzw. verboten.If the flag is normal, it is determined that the program stored in the same memory area is normal, allowing execution of the program. If the flag is not normal, execution of the program is prevented or prohibited.
Auf ähnliche Weise kann gemäß einem zweiten Beispiel, um einen Programmstart zu gewährleisten, ein gesamtes Programm, das in dem Speicher gespeichert ist, verwendet werden, um einen Wert zur Gültigkeitsüberprüfung zu berechnen. Eine Bestimmung, ob der Berechnungswert ein normaler Wert ist, ermöglicht die Überprüfung der Gültigkeit des Programms.Similarly, in accordance with a second example, to ensure program startup, an entire program stored in memory may be used to calculate a validation value. A determination of whether the calculation value is a normal value makes it possible to check the validity of the program.
ZUSAMMENFASSUNGSUMMARY
Bei dem ersten Beispiel kann jedoch sogar dann, wenn kein legitimes Programm in einen Speicher geschrieben wird, eine Anomalie wie beispielsweise eine Bitverstümmelung dazu führen, dass das Flag zur Gültigkeitsüberprüfung ausdrückt, dass das Programm nicht normal ist. Dieses verhindert, dass die Gültigkeitsprüfung normal ausgeführt wird, was die Ausführung des illegalen Programms ermöglicht.However, in the first example, even if no legitimate program is written to a memory, an anomaly such as bit corruption may cause the validity check flag to indicate that the program is abnormal. This prevents the validation from being performed normally, allowing the execution of the illegal program.
In dem zweiten Beispiel wird die Gültigkeit durch das ganze Programm bestimmt, was die Ausführung eines illegalen Programms verhindert. Dieses benötigt jedoch Zeit, um die Gültigkeit zu bestimmen, was beinhaltet, dass sich eine Verzögerungszeit anschließend an eine Aktivierung (Energie-Ein bzw. Einschalten der Energiezufuhr) eines Mikrocomputers bis zu der Ausführung des Programms (insbesondere einer Freigabe eines Energie-Ein-Rücksetzzustands folgend) erhöht.In the second example, the validity is determined by the whole program, which prevents the execution of an illegal program. However, this takes time to determine the validity, which implies that a delay time following activation (power on) of a microcomputer until execution of the program (in particular, release of power on reset state following).
Es ist eine Aufgabe der vorliegenden Erfindung, einen Mikrocomputer zu schaffen, der eine Gültigkeit eines Programms genau bestimmen kann und außerdem verhindern kann, dass die Gültigkeitsüberprüfung eine Zeitverzögerung bis zur Ausführung des Programms erhöht.It is an object of the present invention to provide a microcomputer which can accurately determine a validity of a program and also can prevent the validity check from increasing a time delay until execution of the program.
Gemäß einem Aspekt der vorliegenden Erfindung wird ein Mikrocomputer geschaffen, der einen Speicher und einen Arithmetikprozessor enthält. Der Speicher speichert ein Programm in einem Schutzzustand bzw. geschützten Zustand, der eine Schutzfunktion ermöglicht bzw. aktiviert, die eine Ausführung des Programms verhindert. Der Arithmetikprozessor führt eine Gültigkeitsüberprüfung für das Programm, das in dem Speicher gespeichert ist, hinsichtlich dessen durch, ob das Programm keine Anomalie aufweist, und sperrt bzw. deaktiviert die Schutzfunktion, wenn durch die Gültigkeitsüberprüfung bestimmt wird, dass das Programm keine Anomalie aufweist, und führt dann das Programm aus. Hier speichert der Speicher mehrere Programme, die entsprechend von Funktionssicherheitsebenen in dem Schutzzustand, der die Schutzfunktion aktiviert, klassifiziert sind. Der Arithmetikprozessor führt die Gültigkeitsüberprüfung der Programme programmweise nacheinander in einer Reihenfolge von einem Programm, dessen Funktionssicherheitsebene bzw. -niveau niedrig ist, durch und sperrt bzw. deaktiviert die Schutzfunktion für ein Programm, wenn durch die Gültigkeitsüberprüfung bestimmt wird, dass das Programm keine Anomalie aufweist, und führt dann das Programm aus.According to one aspect of the present invention, there is provided a microcomputer including a memory and an arithmetic processor. The memory stores a program in a protected state that enables a protection function that prevents execution of the program. The arithmetic processor carries out a validity check for the program stored in the memory as to whether the program has no abnormality, and locks the protection function when it is determined by the validity check that the program has no abnormality, and then runs the program. Here, the memory stores a plurality of programs classified according to functional security levels in the protection state that activates the protection function. The arithmetic processor executes program validation program by program in sequence in order of a program whose functional security level is low, and disables the protection function for a program when the validity check determines that the program has no abnormality , and then runs the program.
Dieser Aspekt kann die Verzögerungszeit von einer Aktivierung eines Mikrocomputers bis zu einer Ausführung eines Programms im Vergleich zu einem Fall verkürzen, in dem sämtliche Programme, die von einem Arithmetikprozessor auszuführen sind, insgesamt in einem Speicher gespeichert werden, und eine Gültigkeitsüberprüfung ausgeführt wird.This aspect can shorten the delay time from activation of a microcomputer to execution of a program as compared with a case where all programs to be executed by an arithmetic processor are stored in a memory as a whole, and a validity check is performed.
Der Aspekt führt die Gültigkeitsüberprüfung von Programmen in der Reihenfolge von einem Programm, dessen Funktionssicherheitsebene niedrig ist, aus. Ein Teil eines Programms kann eine Anomalie aufweisen, und diese Anomalie kann mittels der ersten Gültigkeitsüberprüfung nicht erfasst werden, was eine Ausführung des entsprechenden Programms ermöglicht. Sogar in einem derartigen Fall kann eine Unannehmlichkeit, die dementsprechend auftritt, minimiert werden.The aspect performs the validity checking of programs in the order of a program whose functional security level is low. A part of a program may have an anomaly, and this anomaly can not be detected by means of the first validity check, which enables execution of the corresponding program. Even in such a case, inconvenience that arises accordingly can be minimized.
Das heißt, der Aspekt der vorliegenden Erfindung führt die Gültigkeitsüberprüfung von Programmen in einer Reihenfolge aus; diese Konfiguration kann eine Anomalie eines Programms erfassen, eine Ausführung des Programms stoppen und ein Unterprogramm zur Ausfallsicherung ausführen. That is, the aspect of the present invention performs the validity checking of programs in an order; this configuration can detect an abnormality of a program, stop execution of the program, and execute a failover subroutine.
Außerdem kann der Aspekt daher eine Verzögerungszeit von einer Aktivierung eines Mikrocomputers bis zu der Ausführung des Programms verkürzen, während eine Verschlechterung der Sicherheit aufgrund der Ausführung eines illegalen Programms verhindert wird.In addition, therefore, the aspect can shorten a delay time from activation of a microcomputer to the execution of the program while preventing the deterioration of the security due to the execution of an illegal program.
Der Mikrocomputer des Aspektes kann beispielsweise eine Steuerung zum sicheren Steuern verschiedener Steuerziele wie beispielsweise eine elektronische Steuereinheit, die in einem Fahrzeug montiert ist, verwenden. Dieser Fall kann eine Verzögerungszeit bis zu dem Start der Steuerung des Steuerziels ab der Freigabe (Release) eines Energie-Ein-Rücksetzzustands (Power-On-Reset) eines Mikrocomputers nach dem Start einer Energiezufuhr zu der Steuerung verkürzen.For example, the microcomputer of the aspect may use a controller for securely controlling various control objectives such as an electronic control unit mounted in a vehicle. This case can shorten a delay time until the start of control of the control target from the release of a power-on reset state of a microcomputer after the start of power supply to the controller.
KURZE BESCHREIBUNG DER ZEICHNUNGENBRIEF DESCRIPTION OF THE DRAWINGS
Die obigen und weitere Aufgaben, Merkmale sowie die Vorteile der vorliegenden Erfindung werden anhand der folgenden detaillierten Beschreibung mit Bezug auf die zugehörigen Zeichnungen deutlich. Es zeigen:The above and other objects, features and advantages of the present invention will become more apparent from the following detailed description made with reference to the accompanying drawings. Show it:
DETAILLIERTE BESCHREBUNGDETAILED DESCRIBE
Die ECU
Die ECU
Der Mikrocomputer
Die Eingangsschaltung
Der Mikrocomputer
Programme, die von der CPU
Die Funktionssicherheitsebene gibt die Anforderung hinsichtlich der Funktionalität und der Sicherheit an. Wenn ein Programm wichtiger ist und eine höhere Funktionalität und Sicherheit aufweisen muss, ist die Funktionssicherheitsebene, die dem Programm zugewiesen ist, höher. Die Ausführungsform stellt die Funktionssicherheitsebene in Übereinstimmung mit dem Funktionssicherheitsstandard ”
Der Funktionssicherheitsstandard ”
In der Ausführungsform wird unter den Programmen, die von dem Mikrocomputer
Programme, die irgendeine Beziehung zur Sicherheit der Steuerung aufweisen, werden als ASIL_A, ASIL_B, ... entsprechend einer benötigten Funktionssicherheitsebene klassifiziert und in dem Flash-Speicher
In
Jedem der klassifizierten Programme QM, ASIL_A und ASIL_C wird ein Erwartungswert M (M1, M2 und M3 in
Der Erwartungswert M wird in demselben Speicherbereich in dem Flash-Speicher
Um die Gültigkeit der jeweiligen Programme QM, ASIL_A und ASIL_C noch genauer zu bestimmen, berechnet die Ausführungsform einen Bestimmungswert auf der Grundlage eines Zielprogramms und eines Programms auf einer niedrigeren Ebene als das Zielprogramm.In order to more accurately determine the validity of the respective programs QM, ASIL_A and ASIL_C, the embodiment calculates a determination value based on a target program and a program at a lower level than the target program.
Wenn das entsprechende Programm sich nicht auf der untersten Ebene (in der Ausführungsform: QM) befindet, enthält der Erwartungswert M, der für jedes Programm eingestellt wird, demzufolge Daten des Programms auf der unteren Ebene.When the corresponding program is not at the lowest level (in the embodiment: QM), the expected value M set for each program accordingly includes data of the program at the lower level.
Der Erwartungswert M und der Bestimmungswert für die Gültigkeitsüberprüfung werden aus Zielprogrammdaten unter Verwendung eines bekannten Kryptographiealgorithmus wie beispielsweise AES (Advanced Encryption Standard) oder MISTY berechnet. Die Ausführung der jeweiligen Programme QM, ASIL_A und ASIL_C wird durch eine Speicherschutzfunktion begrenzt (geschützt), die in jedem der jeweiligen Speicherbereiche in dem Flash-Speicher
Die Speicherschutzfunktion kann eine allgemeine Speicherschutzfunktion zum Schützen eines Lesens/Schreibens von/in einem/einen Speicher, eine Schutzfunktion (Ausführungsschutz), die eine Ausführung eines Programms durch Schreiben einer nicht ausführbaren Markierung in einen Speicherbereich verhindert, oder einen Ausführungsschutz eines Programms, das ein Betriebssystem oder Sicherheitssoftware verwendet, verwenden.The memory protection function may include a general memory protection function for protecting a read / write to / from a memory, a protection function (execution protection) that prevents execution of a program by writing a non-executable tag in a memory area, or execution protection of a program that includes Operating system or security software used.
Nach dem Starten des Mikrocomputers
Wenn durch die Gültigkeitsüberprüfung bestimmt wird, dass ein Programm normal ist, gibt die CPU
Im Folgenden wird eine Prozedur einer Ausführung der jeweiligen Programme in dem Flash-Speicher
Die ECU
Wenn das Energie-Ein-Rücksetzen von der Energie-Ein-Rücksetzen-Schaltung
Gemäß
Der Bestimmungswertberechnungsprozess berechnet einen Bestimmungswert aus Programmdaten, die ein niederwertiges Programm enthalten, für jedes der Programme (Programm um Programm) unter Verwendung eines Kryptographiealgorithmus wie beispielsweise AES oder MISTY.The determination value calculation process calculates a determination value from program data containing a low-order program for each of the programs (program by program) using a cryptographic algorithm such as AES or MISTY.
In S120 wird bis zu dem Zeitpunkt gewartet, für den ein Bestimmungswert für das Programm QM, dessen Funktionssicherheitsebene die niedrigste ist, von dem Bestimmungswertberechnungsprozess, der in S110 gestartet wurde, berechnet ist und eine Gültigkeitsüberprüfung zum Bestimmen, ob das Programm QM normal ist oder nicht, auf der Grundlage des Bestimmungswertes ausgeführt ist.In S120, it waits until the time point for which a determination value for the program QM whose functional reliability level is the lowest is calculated by the determination value calculation process started in S110 and a validity check for determining whether or not the program QM is normal , is executed on the basis of the determination value.
In S120 wird der Bestimmungswert für das Programm QM, der in dem Bestimmungswertberechnungsprozess berechnet wurde, mit dem Erwartungswert M1, der in demselben Speicherbereich wie das Programm QM gespeichert ist, verifiziert (oder verglichen). Wenn die Werte übereinstimmen, wird bestimmt, dass das Programm QM normal ist.In S120, the determination value for the program QM calculated in the determination value calculation process is verified (or compared) with the expected value M1 stored in the same memory area as the program QM. If the values match, it is determined that the program QM is normal.
Wenn in S120 bestimmt wird, dass das Programm QM normal ist, mit anderen Worten, wenn es keine Anomalie (das heißt kein Problem mit der Gültigkeit) gibt, schreitet die Routine zu S130, bei dem die Speicherschutzfunktion für den Speicherbereich des Programms QM in dem Flash-Speicher
In S140 wird das Programm QM aus dem Speicherbereich in dem Flash-Speicher
Nach dem Start der Ausführung des Programms QM in S140 wird in S150 auf die Berechnung des Bestimmungswertes für das Programm ASIL_A in dem Bestimmungswertberechnungsprozess gewartet. Auf der Grundlage des Bestimmungswertes wird die Gültigkeitsüberprüfung des Programms ASIL_A ausgeführt.After starting the execution of the program QM in S140, the calculation of the determination value for the program ASIL_A in the determination value calculation process is awaited in S150. On the basis of the determination value, the validity check of the program ASIL_A is carried out.
In S150 wird wie in S120 der Bestimmungswert für das Programm ASIL_A mit dem Erwartungswert M2, der in demselben Speicherbereich wie das Programm ASIL_A gespeichert ist, verglichen. Wenn die Werte übereinstimmen, wird bestimmt, dass das Programm ASIL_A normal ist.In S150, as in S120, the determination value for the program ASIL_A is compared with the expected value M2 stored in the same memory area as the program ASIL_A. If the values match, it is determined that the program ASIL_A is normal.
Wenn in S150 bestimmt wird, dass das Programm ASIL_A normal ist, wird in S160 die Speicherschutzfunktion für den Speicherbereich des Programms ASIL_A in dem Flash-Speicher
In S170 wird das Programm ASIL_A aus dem Speicherbereich des Flash-Speichers
Nach dem Start der Ausführung des Programms ASIL_A in S170 wird in S180 auf die Berechnung des Bestimmungswertes für das Programm ASIL_C in dem Bestimmungswertberechnungsprozess gewartet. Auf der Grundlage des Bestimmungswertes wird die Gültigkeitsüberprüfung des Programms ASIL_C ausgeführt.After the execution of the program ASIL_A is started in S170, the calculation of the determination value for the program ASIL_C in the determination value calculation process is awaited in S180. On the basis of the determination value, the validity check of the program ASIL_C is carried out.
In S180 wird wie in S120 und S150 der Bestimmungswert für das Programm A-SIL_C mit dem Erwartungswert M3, der in demselben Speicherbereich wie das Programm ASIL_C gespeichert ist, verglichen. Wenn die Werte übereinstimmen, wird bestimmt, dass das Programm ASIL_C normal ist.In S180, as in S120 and S150, the determination value for the program A-SIL_C having the expectation M3 stored in the same memory area as the program ASIL_C is compared. If the values match, it is determined that the program ASIL_C is normal.
Wenn in S180 bestimmt wird, dass das Programm ASIL_C normal ist, wird in S190 die Speicherschutzfunktion für den Speicherbereich des Programms ASIL_C in dem Flash-Speicher
In S200 wird das Programm ASIL_C aus dem Speicherbereich des Flash-Speichers
Der Start der Ausführung des Programms ASIL_C gibt an, dass sämtliche Schutzfunktionen für sämtliche Programme in dem Flash-Speicher
Wenn im Gegensatz dazu bestimmt wird, dass das Programm QM, ASIL_A oder ASIL_C in der Gültigkeitsüberprüfung in S120, S150 oder S180 nicht normal ist, schreitet die Routine zu S210.On the contrary, if it is determined that the program QM, ASIL_A or ASIL_C is not normal in the validation in S120, S150 or S180, the routine proceeds to S210.
In S210 wird die Ausführung eines vorbestimmten Ausfallsicherungsprozesses gestartet, um das Steuerziel
Wie es oben beschrieben wurde, werden in dem Mikrocomputer
Wenn die CPU
Jedes Mal, wenn bestimmt wird, dass das jeweilige Programm QM, ASIL_A und ASIL_C normal ist (Zeitpunkte t1, t2, t3), deaktiviert die CPU
Der Mikrocomputer
Zu dem Zeitpunkt der Berechnung des Bestimmungswertes für die Gültigkeitsüberprüfung für die jeweiligen Programme QM, ASIL_A und ASIL_C verwendet die CPU
Die Gültigkeitsüberprüfung des Programms, dessen Funktionssicherheitsebene hoch ist, verwendet dadurch sämtliche Programme, deren Funktionssicherheitsebenen niedriger als diejenige des Programms sind; die Gültigkeitsüberprüfung des Programms kann somit genauer ausgeführt werden.The validity check of the program whose functional security level is high thereby uses all programs whose functional security levels are lower than those of the program; the validation of the program can thus be performed more accurately.
Die Berechnungszeit des Bestimmungswertes für ein Programm, dessen Funktionssicherheitsebene hoch ist, ist länger als diejenige des Bestimmungswertes für ein Programm, dessen Funktionssicherheitsebene niedriger als diejenige des Programms ist. Dieses kommt daher, dass die Datenmenge, die zur Berechnung des Bestimmungswertes verwendet wird, größer ist.The calculation time of the determination value for a program whose functional safety level is high is longer than that of the determination value for a program whose functional safety level is lower than that of the program. This is because the amount of data used to calculate the determination value is larger.
Der Bestimmungswert für die jeweiligen Programme QM, ASIL_A und ASIL_C wird durch den Bestimmungswertberechnungsprozess berechnet, der unmittelbar nach der Aktivierung des Mikrocomputers
Eine derartige Konfiguration kann verhindern, dass eine Rechenzeit des Bestimmungswertes nach dem Starten des Mikrocomputers
Auch wenn oben eine Ausführungsform der vorliegenden Erfindung beschrieben wurde, ist die vorliegende Erfindung nicht darauf beschränkt, sondern kann verschiedene Modi annehmen, ohne von dem Bereich der vorliegenden Erfindung abzuweichen.Although an embodiment of the present invention has been described above, the present invention is not limited thereto but may take various modes without departing from the scope of the present invention.
Die erläuterte Ausführungsform berechnet beispielsweise den Bestimmungswert für die Gültigkeitsüberprüfung eines Programms in dem Flash-Speicher
Alternativ kann der Bestimmungswert für die jeweiligen Programme, die in dem Flash-Speicher
Die erläuterte Ausführungsform nimmt an, dass ein Bestimmungswert für eine Gültigkeitsüberprüfung eines Programms in dem Flash-Speicher
Alternativ können die Bestimmungswerte für die Programme in dem Flash-Speicher
Dieser Fall kann die Zeit, die benötigt wird, um eine Gültigkeitsüberprüfung eines Programms, dessen Funktionssicherheitsebene hoch ist, nach dem Start des Mikrocomputers
Die erläuterte Ausführungsform beinhaltet den Mikrocomputer
Die vorliegende Erfindung kann ähnliche Wirkungen bei der Anwendung für einen Mikrocomputer erzielen, der Ausführungsprogramme entsprechend Funktionssicherheitsebenen wie in der Ausführungsform klassifizieren kann.The present invention can achieve similar effects in the application for a microcomputer, which can classify execution programs according to functional security levels as in the embodiment.
Während die vorliegende Erfindung mit Bezug auf ihre bevorzugten Ausführungsformen beschrieben wurde, ist es selbstverständlich, dass die Erfindung nicht auf die bevorzugten Ausführungsformen und Konstruktionen beschränkt ist. Die vorliegende Erfindung deckt verschiedene Modifikationen und äquivalente Anordnungen ab. Während verschiedene Kombinationen und Konfigurationen bevorzugt sind, sind weitere Kombinationen und Konfigurationen einschließlich mehr, weniger oder einem einzelnen Element ebenfalls innerhalb des Bereichs der vorliegenden Erfindung möglich.While the present invention has been described with respect to preferred embodiments thereof, it is to be understood that the invention is not limited to the preferred embodiments and constructions. The present invention covers various modifications and equivalent arrangements. While various combinations and configurations are preferred, other combinations and configurations including more, less or a single element are also possible within the scope of the present invention.
ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.
Zitierte PatentliteraturCited patent literature
- JP 2013-084219 A [0002] JP 2013-084219 A [0002]
Zitierte Nicht-PatentliteraturCited non-patent literature
- ISO26262 [0026] ISO26262 [0026]
- IEC61508 [0026] IEC61508 [0026]
- ISO26262 [0027] ISO26262 [0027]
Claims (4)
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015009548A JP6471510B2 (en) | 2015-01-21 | 2015-01-21 | Microcomputer |
JP2015-9548 | 2015-01-21 |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102016200413A1 true DE102016200413A1 (en) | 2016-07-21 |
Family
ID=56293207
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102016200413.1A Pending DE102016200413A1 (en) | 2015-01-21 | 2016-01-15 | MICROCOMPUTER |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6471510B2 (en) |
DE (1) | DE102016200413A1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102021125672A1 (en) | 2021-10-04 | 2023-04-06 | Bayerische Motoren Werke Aktiengesellschaft | Processor system for a vehicle and method for monitoring a process state after a remote software update |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3500940A4 (en) * | 2016-08-22 | 2020-03-18 | Peloton Technology, Inc. | Automated connected vehicle control system architecture |
JP2019160107A (en) * | 2018-03-16 | 2019-09-19 | 日立オートモティブシステムズ株式会社 | Transmission controller |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013084219A (en) | 2011-10-12 | 2013-05-09 | Toyota Motor Corp | Information processing device and abnormality determination method |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH06242957A (en) * | 1993-02-16 | 1994-09-02 | Fujitsu Ltd | Program execution controller |
JPH06348501A (en) * | 1993-06-14 | 1994-12-22 | Tokyo Electric Co Ltd | Program downloading method |
US7802110B2 (en) * | 2004-08-25 | 2010-09-21 | Microsoft Corporation | System and method for secure execution of program code |
JP2010079579A (en) * | 2008-09-25 | 2010-04-08 | Toshiba Corp | Resume method and information processing apparatus |
JP2013143095A (en) * | 2012-01-12 | 2013-07-22 | Toyota Motor Corp | Electronic control device, and memory check method |
JP2013218427A (en) * | 2012-04-05 | 2013-10-24 | Of Networks:Kk | Information processing apparatus and method |
-
2015
- 2015-01-21 JP JP2015009548A patent/JP6471510B2/en active Active
-
2016
- 2016-01-15 DE DE102016200413.1A patent/DE102016200413A1/en active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013084219A (en) | 2011-10-12 | 2013-05-09 | Toyota Motor Corp | Information processing device and abnormality determination method |
Non-Patent Citations (1)
Title |
---|
IEC61508 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102021125672A1 (en) | 2021-10-04 | 2023-04-06 | Bayerische Motoren Werke Aktiengesellschaft | Processor system for a vehicle and method for monitoring a process state after a remote software update |
Also Published As
Publication number | Publication date |
---|---|
JP6471510B2 (en) | 2019-02-20 |
JP2016134082A (en) | 2016-07-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE112018002176T5 (en) | Abnormality determination device, abnormality determination method and abnormality determination program | |
DE112018006702T5 (en) | DETERMINING THE RELIABILITY OF VEHICLE CONTROL COMMANDS USING A MATCHING MECHANISM | |
DE102013225445A1 (en) | Method and system for bypassing authenticity checks for protected control modules | |
DE102014222860A1 (en) | Electronic vehicle control unit | |
DE102016200413A1 (en) | MICROCOMPUTER | |
DE102017213510A1 (en) | Method and apparatus for generating a machine learning system, and virtual sensor device | |
WO2008090027A1 (en) | Single-chip computer and tachograph | |
DE102016210788A1 (en) | Component for processing a worthy of protection date and method for implementing a security function to protect a worthy of protection date in such a component | |
DE102019004612A1 (en) | Method for operating a vehicle with a control device | |
DE102016200130A1 (en) | Electronic control device | |
DE102017214057A1 (en) | Method for checking the integrity of system components of a system and arrangement for carrying out the method | |
DE102009012887B4 (en) | Method for checking incorrect installation of vehicle sensors | |
DE102008008969B4 (en) | Electrical system of a motor vehicle with an authentication device | |
DE102016224206A1 (en) | VEHICLE CONTROL DEVICE | |
EP3822775A1 (en) | Method for securely starting device software, especially an operating system, of an electronic device | |
DE102018215011A1 (en) | Method for installing a program code package in a device, device and motor vehicle | |
DE102021209691B3 (en) | Method for monitoring a component of an effect chain | |
DE102018207504A1 (en) | Control device and control method | |
DE102019208129B4 (en) | Electronic control unit | |
DE102017219195A1 (en) | METHOD FOR ENSURING THE OPERATION OF A COMPUTER | |
DE102018219700B4 (en) | Control device | |
WO2009077271A1 (en) | Method for identifying reciprocal influencing of software components | |
DE102016222691A1 (en) | Microcontroller system and method for controlling memory accesses in a microcontroller system | |
DE102017208872A1 (en) | Electronic control unit | |
DE102021129670A1 (en) | Method, vehicle component and computer program for granting authorization for a vehicle component of a vehicle to execute a computer program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed |