DE102020120277A1 - Steuergerät für ein Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts - Google Patents

Steuergerät für ein Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts Download PDF

Info

Publication number
DE102020120277A1
DE102020120277A1 DE102020120277.6A DE102020120277A DE102020120277A1 DE 102020120277 A1 DE102020120277 A1 DE 102020120277A1 DE 102020120277 A DE102020120277 A DE 102020120277A DE 102020120277 A1 DE102020120277 A1 DE 102020120277A1
Authority
DE
Germany
Prior art keywords
function
subsystem
control unit
vehicle
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020120277.6A
Other languages
English (en)
Inventor
Reinhard Schieber
Hans Georg Gruber
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Audi AG
Original Assignee
Audi AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Audi AG filed Critical Audi AG
Priority to DE102020120277.6A priority Critical patent/DE102020120277A1/de
Priority to PCT/EP2021/070085 priority patent/WO2022023096A1/de
Priority to EP21746447.8A priority patent/EP4189550A1/de
Priority to US18/040,116 priority patent/US20230286521A1/en
Priority to CN202180059047.3A priority patent/CN116133924A/zh
Publication of DE102020120277A1 publication Critical patent/DE102020120277A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/76Architectures of general purpose stored program computers
    • G06F15/78Architectures of general purpose stored program computers comprising a single central processing unit
    • G06F15/7807System on chip, i.e. computer system on a single chip; System in package, i.e. computer system on one or more chips in a single package
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/08Interaction between the driver and the control system
    • B60W50/14Means for informing the driver, warning the driver or prompting a driver intervention
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/76Architectures of general purpose stored program computers
    • G06F15/78Architectures of general purpose stored program computers comprising a single central processing unit
    • G06F15/7839Architectures of general purpose stored program computers comprising a single central processing unit with memory
    • G06F15/7842Architectures of general purpose stored program computers comprising a single central processing unit with memory on one IC chip (single chip microcontrollers)
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/008Registering or indicating the working of vehicles communicating information to a remotely located station
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0808Diagnosing performance data
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0841Registering performance data
    • G07C5/085Registering performance data using electronic data carriers
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0005Processor details or data handling, e.g. memory registers or chip architecture
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/021Means for detecting failure or malfunction
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/08Interaction between the driver and the control system
    • B60W50/14Means for informing the driver, warning the driver or prompting a driver intervention
    • B60W2050/143Alarm means

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Mechanical Engineering (AREA)
  • Theoretical Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Small-Scale Networks (AREA)
  • Control Of Electric Motors In General (AREA)

Abstract

Steuergerät (3) für ein Kraftfahrzeug (1), aufweisend ein Ein-Chip-System (4) mit wenigstens einer Recheneinheit (9) zur Bereitstellung wenigstens einer Fahrzeugfunktion für ein Fahrzeugsystem (2), wenigstens einer Speichereinheit (16a, 16b) und wenigstens einer Schnittstelleneinheit (15), wobei das Ein-Chip-System (4) wenigstens ein logisch von den die wenigstens eine Fahrzeugfunktion umsetzenden Anteilen des Ein-Chip-Systems (4) getrenntes Subsystem (10a, 10b, 10c, 10d) zur Bereitstellung wenigstens einer kraftfahrzeugbezogenen, einen Dienst bereitstellenden Zusatzfunktion aufweist, wobei das Subsystem (10a, 10b, 10c, 10d) wenigstens umfasst:- einen Rechenabschnitt (22a, 22b, 22c, 22d),- einen zusatzfunktionsspezifischen, insbesondere einen Proxy bildenden Schnittstellenabschnitt (12a, 12b, 12c, 12d), und- einen zusatzfunktionsspezifischen Kommunikationsbus (11a, 11b, 11c, 11d), der wenigstens mit dem Rechenabschnitt (22a, 22b, 22c, 22d) und dem Schnittstellenabschnitt (12a, 12b, 12c, 12d) verbunden ist.

Description

  • Die Erfindung betrifft ein Steuergerät für ein Kraftfahrzeug, aufweisend ein Ein-Chip-System mit wenigstens einer Recheneinheit zur Bereitstellung wenigstens einer Fahrzeugfunktion für ein Fahrzeugsystem, wenigstens einer Speichereinheit und wenigstens einer Schnittstelleneinheit. Daneben betrifft die Erfindung ein Kraftfahrzeug und ein Verfahren zum Betrieb eines Steuergeräts für ein Kraftfahrzeug.
  • Fahrzeugfunktionen von Fahrzeugsystemen in modernen Kraftfahrzeugen, beispielsweise Fahrerassistenzfunktionen von Fahrerassistenzsystemen oder dergleichen, werden üblicherweise in Steuergeräten des Kraftfahrzeugs umgesetzt. Im Rahmen der zunehmenden Hochintegration zur Reduzierung benötigten Bauraums, zur Vereinfachung der Herstellung sowie zur Verbesserung der Performance wird immer häufiger vorgeschlagen, Steuergeräte als oder umfassend ein Ein-Chip-System („System on a Chip“ - SoC) umzusetzen. Ein-Chip-Systeme sind programmierbar, so dass entsprechende, die Fahrzeugfunktion umsetzende Software für die Ein-Chip-Systeme umgesetzt werden können. Dabei unterscheiden sich Fahrzeugfunktionen von Fahrzeugsystem zu Fahrzeugsystem bzw. von Kraftfahrzeug zu Kraftfahrzeug häufig deutlich, wobei in Software umgesetzte Fahrzeugfunktionen als „operative Software“, betreffend Fahren, Regeln, Steuern, Anzeigen und dergleichen, bezeichnet werden können. Werden marktübliche Halbleiterchips bzw. Ein-Chip-Systeme verwendet, müssen diese ohnehin softwaremäßig konfiguriert werden, um die Fahrzeugfunktion umsetzen zu können. Dabei umfassen Ein-Chip-Systeme üblicherweise ein oder mehrere Recheneinheiten (insbesondere ein oder mehrere CPUs bzw. Rechenkerne), die auch als Logikeinheiten bezeichnet werden können, ein oder mehrere Speichereinheiten, ein oder mehrere Schnittstelleneinheiten und ein oder mehrere Datenleitungen.
  • Problematisch im Hinblick auf Kraftfahrzeuge ist, dass Dienste, die spezifische Anforderungen für Kraftfahrzeuge erfüllen müssen, wodurch sie sich stark von ähnlichen Diensten aus anderen Industriebereichen unterscheiden, in allen oder zumindest den meisten Steuergeräten und somit Ein-Chip-Systemen ebenso benötigt werden. Derartige Dienste, die fahrzeugfunktionsübergreifend genutzt werden, umfassen Diagnosefunktionen, Logging-Funktionen, Sicherheitsfunktionen (Security-Funktionen), Funktionsmanager und dergleichen. Dabei werden automobilspezifische Dienste im Gegensatz zu der operativen Software, die die wenigstens eine Fahrzeugfunktion bereitstellt, in allen Steuergeräten idealerweise in unveränderter Weise benötigt. Jedoch unterstützen marktübliche Halbleiterchips diese kraftfahrzeugspezifischen Dienste nur teilweise oder gar nicht, weshalb diese Dienste, welche im Folgenden als durch Zusatzfunktionen bereitgestellt angesehen werden sollen, vollständig in Software abgebildet werden müssen.
  • Derartige Softwarelösungen sind jedoch fehleranfällig und müssen für jedes Projekt neu entwickelt bzw. konfiguriert werden. Viele funktional eigentlich identische Lösungen werden von unterschiedlichen Dienstleistern unabhängig und unterschiedlich implementiert, was hohen Aufwand in den Projekten generiert und die Interoperabilität der Steuergeräte bzw. Fahrzeugsysteme fehleranfällig macht. Dies zeigt sich beispielsweise bei Diensten wie Diagnose und/oder Update.
  • Ein weiteres Problem ist, dass Softwarelösungen für Dienste, mithin Servicefunktionen und/oder Systemfunktionen, nicht ohne Rückwirkungen (Laufzeiten, Speicherzugriffe, Reaktionszeiten, ...) auf andere Softwareteile eingesetzt werden können. Dadurch wird das Steuergerätverhalten durch die Nutzung dieser Dienste beeinflusst. Dies ist insbesondere bei reaktiven, echtzeitfähigen Steuergeräten bzw. Fahrzeugsystemen nicht gewünscht. Die Gewährleistung bzw. Verifikation der Rückwirkungsfreiheit dieser speziellen Software auf sicherheitskritische Softwareteile erfordert einen wiederkehrenden, hohen Entwicklungs- und Absicherungsaufwand.
  • DE 10 2017 219 242 A1 betrifft ein Ein-Chip-System, das eine als Hardware realisierte Angriffsdetektionseinheit aufweist, welche über eine Hardware-Signalverbindung wenigstens mit der Ein- und/oder Ausgabe-Steuereinheit als Komponente des Ein-Chip-Systems verbunden ist. Von der Ein-/Ausgabe-Steuereinheit empfangene Eingangssignale werden mittels der Angriffsdetektionseinheit bezüglich einer zu protokollierenden und/oder mit wenigstens einer Maßnahme zu beantwortenden Regelverletzung eines Angriffsdetektionsregelsatzes ausgewertet. Die Hardware-Signalverbindung ist dabei als eine speziell für die zu übertragenden Signale ausgelegte, nur in eine Richtung nutzbare Signalleitung ausgebildet.
  • DE 10 2017 221 889 A1 betrifft eine Datenverarbeitungseinrichtung, die eine insbesondere als Hardware realisierte Angriffsdetektionseinheit aufweist. Die Angriffsdetektionseinheit ist über eine Signalverbindung mit einem Filtermittel und/oder einer als Trusted Execution Environment realisierten Sicherheitseinheit einer Authentifizierungsanordnung verbunden und wertet über die wenigstens eine Signalverbindung erhaltenen Eingangssignale bezüglich einer zu protokollierenden und/oder mit wenigstens einer Maßnahme zu beantwortenden Regelverletzung eines Angriffsdetektionsregelsatzes aus. Das Filtermittel ist wenigstens teilweise als Hardware ausgebildet und nutzt Zulassungsbedingungen, um nur bestimmte Nutzdaten weiterzuleiten.
  • Der Erfindung liegt daher die Aufgabe zugrunde, eine insbesondere im Hinblick auf die Umsetzung und Durchführung von Diensten, die von verschiedenen Fahrzeugfunktionen genutzt werden sollen, verbesserte Ausgestaltung eines Steuergeräts anzugeben.
  • Diese Aufgabe wird gelöst durch ein Steuergerät, ein Kraftfahrzeug und ein Verfahren zum Betrieb eines Steuergeräts gemäß den unabhängigen Ansprüchen. Vorteilhafte Ausgestaltungen ergeben sich aus den Unteransprüchen.
  • In einem Steuergerät der eingangs genannten Art ist erfindungsgemäß vorgesehen, dass das Ein-Chip-System wenigstens ein logisch von den die wenigstens eine Fahrzeugfunktion umsetzenden Anteilen des Ein-Chip-Systems getrenntes Subsystem zur Bereitstellung wenigstens einer kraftfahrzeugbezogenen, einen Dienst bereitstellenden Zusatzfunktion aufweist, wobei das Subsystem wenigstens umfasst:
    • - einen Rechenabschnitt,
    • - einen zusatzfunktionsspezifischen, insbesondere einen Proxy bildenden Schnittstellenabschnitt, und
    • - einen zusatzfunktionsspezifischen Kommunikationsbus, der wenigstens mit dem Rechenabschnitt und dem Schnittstellenabschnitt verbunden ist.
  • Wie grundsätzlich bekannt, weist das Ein-Chip-System mithin wenigstens eine Recheneinheit, insbesondere mehrere Recheneinheiten auf, die gemeinsam mit wenigstens einer Speichereinheit und wenigstens einer Schnittstelleneinheit sowie hierfür vorgesehenen Datenleitungen, insbesondere wenigstens einem Kommunikationsbus, die wenigstens eine Fahrzeugfunktion des Fahrzeugsystems, die durch das Steuergerät bereitgestellt werden soll, umsetzen können, wobei die Fahrzeugfunktion insbesondere zumindest im Wesentlichen als Software auf dem Ein-Chip-System bereitgestellt wird. Bei der wenigstens einen Recheneinheit kann es sich um wenigstens eine CPU und/oder wenigstens einen Rechenkern handeln. Erfindungsgemäß wird nun vorgeschlagen, kraftfahrzeugspezifische Dienste, mithin die wenigstens eine Zusatzfunktion, logisch von der wenigstens einen Fahrzeugfunktion, welche insbesondere Fahren und/oder Regeln und/oder Steuern und/oder Anzeigen betreffen kann, innerhalb des Ein-Chip-Systems, insbesondere also des Halbleiterchips, zu trennen und als in das Ein-Chip-System integrierte Hardware bereitzustellen. Dazu wird in Form des Schnittstellenabschnitts wenigstens eine spezifische Dienstschnittstelle, die auch als Service-Schnittstelle bzw. Feature-Schnittstelle bezeichnet werden kann, und wenigstens ein exklusiver Kommunikationsbus, der auch als Feature-Bus bezeichnet werden kann, bereitgestellt, wobei die exklusiven Kommunikationsbusse bevorzugt alle programmierbaren Logikeinheiten des das Ein-Chip-System realisierenden Halbleiterchips, mithin die wenigstens eine Recheneinheit, mit dem entsprechenden Schnittstellenabschnitt unabhängig von anderen Datenleitungen/Bussen verbindet. Das bedeutet, die wenigstens eine Recheneinheit ist an den Kommunikationsbus angeschlossen. Mit anderen Worten wird auf diese Weise, nämlich durch den Schnittstellenabschnitt und den Kommunikationsbus, die beide exklusiv und spezifisch für die Zusatzfunktion sind, bereits ein Kommunikationsweg bereitgestellt, der unabhängig von allen für die wenigstens eine Fahrzeugfunktion genutzten Kommunikationswegen ist und diese somit nicht beeinträchtigt/die Echtzeitfähigkeit in Frage stellt. Mit anderen Worten bedeutet dies, dass der Kommunikationsbus eine eigene Datenleitung in dem Ein-Chip-System umfasst, wobei zudem der Schnittstellenabschnitt eine feste, exklusive, für die Zusatzfunktion reservierte Anzahl von Ein- und/oder Ausgängen umfasst, die in Ausführungsbeispielen selbstverständlich dennoch Teil der wenigstens einen Schnittstelleneinheit (Eingabe-/Ausgabeeinheit) sein können. Mit anderen Worten kann der Schnittstellenabschnitt durch eine eigene Schnittstelleneinheit gebildet sein, aber auch durch einen reservierten, festgelegten, exklusiv durch die Zusatzfunktion zu nutzenden Anteil wenigstens der wenigstens einen auch für die wenigstens eine Fahrzeugfunktion genutzten Schnittstelleneinheit.
  • Die Zusatzfunktion, die mit besonderem Vorteil eine Servicefunktion und/oder eine Systemfunktion sein kann, mithin einen bestimmten Service/Dienst bereitstellt, ist fahrzeugbezogen. Das bedeutet, sie erfüllt wenigstens eine für Kraftfahrzeuge und/oder Kraftfahrzeuge einer bestimmten Kraftfahrzeugklasse spezifische Anforderung. Allgemein kann ein Dienst, wie grundsätzlich bekannt, als eine autarkes Mittel, das zusammenhängende Funktionalitäten bündelt und über eine definierte Schnittstelle bereitstellt, verstanden werden. Beispielsweise kann die vorliegend mithin in die Hardware des Ein-Chip-Systems integrierte Dienstfunktionalität, mithin die wenigstens eine Zusatzfunktion, für unterschiedliche Fahrzeugfunktionen von Kraftfahrzeugen wenigstens einer bestimmten Kraftfahrzeugklasse, beispielsweise alle Kraftfahrzeuge eines Herstellers, genutzt werden, da durch das Subsystem klare Schnittstellendefinitionen vorliegen, was die wenigstens eine Zusatzfunktion und somit den entsprechenden Dienst letztlich standardisiert. Mit anderen Worten ist für alle Steuergeräte, konkret Ein-Chip-Systeme, die Kraftfahrzeugen der Kraftfahrzeugklasse bereitgestellt werden, bekannt, wie die wenigstens eine Zusatzfunktion aufzurufen ist und in welchem Format und wo, nämlich am Schnittstellenabschnitt, sie ihre Information/Signale bereitstellt bzw. externe Informationen bzw. Signale entgegennimmt. Auf diese Weise ist es nicht länger notwendig, kraftfahrzeugbezogene Dienste unter Berücksichtigung der speziellen Anforderungen für jedes Ein-Chip-System bzw. Steuergerät neu zu entwickeln und Interoperabilitätsprobleme, insbesondere zwischen unterschiedlichen Steuergeräten, werden deutlich reduziert.
  • Doch durch die logische Trennung und Integration von kraftfahrzeugspezifischen Diensten in Form wenigstens einer Zusatzfunktion in die Logik des Halbleiterchips des Ein-Chip-Systems ergeben sich auch weitere Vorteile. So wird die Laufzeit von Software zur Steuerung von Fahrzeugfunktionen nicht durch gleichzeitig laufende Dienste beeinflusst. Standardisierte Interfaces für Dienste, beispielsweise Diagnose und/oder Validierung, werden nicht jedes Mal neu entwickelt. Durch die Bereitstellung des zusatzfunktionsspezifischen Kommunikationsbusses und des zusatzfunktionsspezifischen Schnittstellenabschnitts kann die Bandbreite zur Abwicklung von Security-Funktionen zur Verfügung gestellt werden. Die Komplexität bei der Entwicklung von Software für Steuergeräte in Kraftfahrzeugen sinkt, während die Robustheit steigt. Softwareentwickler können sich auf für den Nutzer des Kraftfahrzeugs sichtbare Fahrzeugfunktionen konzentrieren, anstatt notwendige, aber für den Nutzer des Kraftfahrzeugs unsichtbare Dienste zu implementieren und abzusichern. Durch die Beherrschung der Komplexität wird es möglich, innovative Lösungen, beispielsweise die Freischaltung von Hardware und/oder Software, umzusetzen und zu etablieren. Zusammenfassend wird also durch die Integration von standardisierten, logisch getrennten Diensten (Services) in Form von Subsystemen in der Hardware von Ein-Chip-Systemen der Aufwand in der Softwareentwicklung und Absicherung deutlich reduziert, während sich gleichzeitig die Verfügbarkeit und die Robustheit der Steuergeräte erhöht.
  • Der Zugriff auf den exklusiven, zusatzfunktionsspezifischen Kommunikationsbus/Schnittstellenabschnitt seitens des restlichen Ein-Chip-Systems, mit anderen Worten das Subsystem, kann durch spezielle Befehle (Op-Codes) und/oder reservierte I/O- und/oder Speicherbereiche organisiert werden.
  • Konkret kann vorgesehen sein, dass der Rechenabschnitt wenigstens teilweise durch wenigstens eine der wenigstens einen Recheneinheit des Ein-Chip-Systems realisiert ist, insbesondere durch Hardcodierung wenigstens eines zusatzfunktionsspezifischen Maschinenbefehls mit wenigstens einem zugeordneten Op-Code in der Recheneinheit. In alternativer, weniger bevorzugter Ausgestaltung ist es auch denkbar, dass der Rechenabschnitt wenigstens teilweise durch eine eigene, nur der Zusatzfunktion zugeordnete Recheneinheit realisiert ist, die mit der wenigstens einen, der wenigstens einen Fahrzeugfunktion zugeordneten Recheneinheit des Ein-Chip-Systems über den Kommunikationsbus des Subsystems kommuniziert. Selbstverständlich ist auch eine Kombination dieser Ansätze denkbar.
  • Wenn, wie im Rahmen der vorliegenden Erfindung bevorzugt, der Befehlssatz von Maschinenbefehlen der wenigstens einen Recheneinheit erweitert wird, kann bevorzugt auch eine Erweiterung der Rechenkapazität vorgenommen werden, insbesondere eine Zuordnung von Rechenkapazitäten zu dem wenigstens einen zusatzfunktionsspezifischen Maschinenbefehl, um die Ausführung der wenigstens einen Fahrzeugfunktion möglichst nicht zu beeinträchtigen. Die hinzugefügten zusatzfunktionsspezifischen Maschinenbefehle und insbesondere ihre zugeordneten Op-Codes können ebenso standardisiert sein, insbesondere also einer Standardvorgabe folgen, so dass sie für alle Steuergeräte verschiedener Kraftfahrzeuge, insbesondere Kraftfahrzeuge der Kraftfahrzeugklasse, gleich sind. Zusammenfassend ist es in diesem Zusammenhang besonders vorteilhaft, mittels des exklusiven, zusatzfunktionsspezifischen Schnittstellenabschnitts („Feature-Schnittstelle“), des exklusiven, zusatzfunktionsspezifischen Kommunikationsbusses („Feature-Bus“) und spezifischen hardcodierten Maschinenbefehlen der wenigstens einen Recheneinheit mit den zugeordneten Op-Codes wenigstens eine Zusatzfunktion, mithin wenigstens einen Dienst, hardcodiert, also in die Hardware integriert, bereitzustellen.
  • Was Dienste angeht, die Speicher auf dem Ein-Chip-System nutzen, ist es im Rahmen der vorliegenden Erfindung zum einen möglich, dass dem Subsystem wenigstens ein Speicheranteil der wenigstens einen Speichereinheit fest und/oder variabel durch eine Speicherzugriffseinheit zugeordnet ist. Denkbar ist es also, eine feste Zuordnung von Speicheranteilen der wenigstens einen Speichereinheit, die entsprechend dimensioniert sein kann, zu der wenigstens einen Zusatzfunktion, also dem Subsystem, vorzunehmen. Bevorzugt ist es jedoch, nachdem moderne Ein-Chip-Systeme üblicherweise eine Speicherzugriffssteuereinheit aufweisen, eine variable Zuweisung im Rahmen des allgemeinen Speichermanagements des Ein-Chip-Systems zu erlauben. Besonders vorteilhaft kann Memory Mapped I/O zur Kommunikation mit der wenigstens einen Speichereinheit des Ein-Chip-Systems verwendet werden.
  • In besonders zweckmäßiger Weiterbildung der vorliegenden Erfindung kann vorgesehen sein, dass mehrere, logisch getrennte Subsysteme für unterschiedliche Zusatzfunktionen vorgesehen sind. Auf diese Weise können eine Mehrzahl von Diensten hardwaretechnisch integriert innerhalb eines Ein-Chip-Systems vorgesehen werden und entsprechend insbesondere von der wenigstens einen Fahrzeugfunktion bzw. von extern genutzt werden, wobei zum einen eine Standardvorgabe für jeden dieser Dienste erfüllt sein kann, zum anderen eine robuste Implementierung der mehreren Zusatzfunktionen gegeben ist, die die Performance der wenigstens einen Fahrzeugfunktion zumindest nicht wesentlich beeinträchtigt.
  • Nichtsdestotrotz kann es bei mehreren Diensten besonders vorteilhaft sein, wenn wenigstens zwei der Subsysteme auch zur Kommunikation untereinander ausgebildet sind, beispielsweise weil Dienste und mithin Zusatzfunktionen sich gegenseitig nutzen. Mithin kann vorgesehen sein, dass wenigstens ein Subsystem mit dem Kommunikationsbus wenigstens eines weiteren Subsystems, insbesondere eines auf die Manipulationssicherheit und/oder eine Security-Funktion bezogenen Subsystems, verbunden ist. Dabei ist es von besonderem Vorteil, wenn mehrere, insbesondere alle, einer weiteren Zusatzfunktion zugeordneten Subsysteme mit dem Kommunikationsbus einer einer Securityfunktion zugeordneten Subsystems verbunden sind, so dass Sicherheitsaspekte, beispielsweise die Authentifizierung von Kommunikationspartnern, Ver- und Entschlüsselung und dergleichen zentral über einen Dienst bereitgestellt werden, der auch von anderen Diensten, die als Hardware in das Ein-Chip-System integriert sind, genutzt werden können, worauf im Folgenden anhand von Beispielen noch näher eingegangen werden wird. Insbesondere wird auf diese Weise eine Mehrfachimplementierung von Sicherheitsmechanismen vermieden.
  • In vorteilhaften Ausgestaltungen der vorliegenden Erfindung kann wenigstens eine der wenigstens einen Zusatzfunktion eine Diagnosefunktion sein. Dabei kann das der Diagnosefunktion zugeordnete Subsystem, insbesondere der Schnittstellenabschnitt, zur Kommunikation mit wenigstens einem Wartungsgerät ausgebildet sein und/oder das der Diagnosefunktion zugeordnete Subsystem kann zum Vorhalten von mittels des Schnittstellenabschnitts abfragbaren, diagnoserelevanten Betriebsdaten und/oder Ereignisdaten des Steuergeräts in der wenigstens einen Speichereinheit und/oder einer zu dem Ein-Chip-System externen Speichereinrichtung ausgebildet sein. Gerade für Diagnosefunktionen in Kraftfahrzeugen existieren viele, teilweise auch herstellerspezifische Vorgaben, beispielsweise was Wartungsgeräte und/oder vorzuhaltende diagnoserelevante Betriebsdaten angeht. Zur Ein-/Ausgabe von Fahrzeugdiagnoseinformationen kann beispielsweise ein bestimmter Hersteller eigene Werkzeuge, insbesondere auch Wartungsgeräte, in der Produktion und in Werkstätten verwenden, die auf standardisierte Protokolle aufsetzen. Aufgrund herstellerbezogener Unterschiede ist eine Kompatibilität über alle Fahrzeughersteller nicht gegeben und auch nicht immer gewünscht. Ein Subsystem für eine Diagnosefunktion als Zusatzfunktion, dessen Schnittstellenabschnitt als „Diagnose-Service-Schnittstelle“ verstanden werden kann, kann mit besonderem Vorteil einen herstellerspezifischen Proxy, bzw. allgemeiner formuliert ein Proxy für Kraftfahrzeuge einer bestimmten Kraftfahrzeugklasse bereitstellen, der genau auf die Kraftfahrzeugklasse, insbesondere den Hersteller, zugeschnitten ist, beispielsweise was Werkzeuge für die Wartung, insbesondere Wartungsgeräte, angeht. Die wenigstens eine Recheneinheit des Ein-Chip-Systems kann bevorzugt direkt mit dem Subsystem der Diagnosefunktion kommunizieren, sei es über die bereits erwähnten Op-Codes und/oder über den Kommunikationsbus des Subsystems. Dadurch, dass alle externen Anforderungen, beispielsweise die von einem externen Wartungsgerät wie einem Tester, durch das Subsystem abstrahiert werden, muss die wenigstens eine Recheneinheit diese auch nicht kennen oder beachten.
  • Mit besonderem Vorteil erhält das der Diagnosefunktion zugeordnete Subsystem Zugriff auf flüchtigen und/oder persistenten Speicher der wenigstens einen Speichereinheit, so dass sich die wenigstens eine Recheneinheit nicht um dessen Verwaltung, beispielsweise umfassend Allokation, Persistierung und dergleichen, kümmern muss. Insbesondere bedeutet dies, dass in einer Ausführungsform durch das der Diagnosefunktion zugeordnete Subsystem zyklisch alle diagnoserelevanten Betriebsdaten, beispielsweise umfassend Messwertblöcke, Umgebungsdaten und dergleichen, in einem von der Diagnosefunktion genutzten Speicheranteil abgelegt werden können und somit im Diagnosefall, insbesondere abrufbar über den Schnittstellenabschnitt, zur Verfügung stehen. Mit besonderem Vorteil kann das der Diagnose-Funktion zugeordnete Subsystem in Ausführungsbeispielen auch einen sicheren, das bedeutet authentifizierten, Zugriff auf die Diagnosefunktion, welche einen Diagnosedienst darstellt, bereitstellen, wozu das der Diagnosefunktion zugeordnete Subsystem besonders bevorzugt zur Kommunikation mit einem einer Securityfunktion zugeordneten Subsystem ausgebildet ist, insbesondere über eine direkte Schnittstelle bzw. durch Zugriff auf den Kommunikationsbus des Securitydienstes.
  • In einem konkreten Ausführungsbeispiel kann es die Implementierung des der Diagnose-Funktion zugeordneten Subsystems in Hardware auf dem Halbleiterchip des Ein-Chip-Systems auch erlauben, dass Diagnoseereignisse, insbesondere also Ereignisdaten, die von Peripherieeinheiten und Recheneinheiten (also insgesamt IP-Blöcken) des Ein-Chip-Systems, insbesondere umfassend die wenigstens eine Schnittstelleneinheit, GPUs, CPUs und dergleichen, erkannt werden, unmittelbar in das die Diagnose-Funktion realisierende Subsystem eingetragen werden können, beispielsweise in Form von Ereignisdaten. Damit muss keine Software mehr erstellt werden, die die für das Ein-Chip-System spezifischen Fehlercodes in die Fahrzeugdiagnose transferiert. Hierzu ist zweckmäßigerweise die wenigstens eine Peripherieeinheit/Recheneinheit an den Kommunikationsbus des der Diagnose-Funktion zugeordneten Subsystems angeschlossen. Dabei sei angemerkt, dass derartige Ereignisdaten selbstverständlich auch, neben Peripherieeinheiten, von der wenigstens einen Recheneinheit des Ein-Chip-Systems erzeugt werden sollen.
  • Das der Diagnosefunktion zugeordnete Subsystem kann im Übrigen auch selbst ausgebildet sein, eine Auswertung diagnoserelevanter Betriebsdaten im Hinblick auf die Erzeugung weiterer diagnoserelevanter Betriebsdaten und/oder Steuersignale auszuwerten, so dass beispielsweise bestimmte Messwerte und/oder funktionale Größen zyklisch überprüft werden können. Sollte sich hier eine Abweichung von einem Sollverhalten ergeben, beispielsweise durch Erfüllung eines Abweichungskriteriums, kann ein beispielsweise durch einen Fehlercode als Ereignisdaten beschriebenes Diagnoseereignis entstehen, mithin erzeugt und gespeichert werden. An diesen Fehlercode können beispielsweise Funktionalitäten wie das Ansteuern einer Warnlampe oder dergleichen gekoppelt sein. Durch das der Diagnose-Funktion zugeordnete Subsystem wird der Fehlercode bzw. allgemein die Ereignisdaten solange gespeichert, bis sie über eine externe Zugriffseinrichtung, beispielsweise das Wartungsgerät, ausgelesen werden, so dass eine Rücksetzung erfolgen kann.
  • Zusammenfassend kann bezüglich der die Kraftfahrzeugdiagnose betreffenden Diagnose-Funktion als Zusatzfunktion also gesagt werden, dass die für diesen Dienst notwendigen Prozesse so in der Hardware des Ein-Chip-Systems verfügbar gemacht werden, dass der Entwurf komplexer Software zur Handhabung der Kraftfahrzeugdiagnose entfallen kann, auf einfache Art und Weise diagnoserelevante Betriebsdaten und/oder Ereignisdaten abgelegt und/oder ausgewertet werden können, kraftfahrzeugspezifische Anforderungen an die Diagnose-Funktion erfüllt werden und ein standardisierter, immer gleich funktionierender Ablauf hinsichtlich der Kraftfahrzeugdiagnose gegeben ist.
  • Wie bereits erwähnt, erweist es sich gerade im Kontext mit einer Kraftfahrzeugdiagnosefunktion als besonders vorteilhaft, wenn eine Verbindung zu einem einer Securityfunktion, insbesondere einer Authentifizierungsfunktion, zugeordneten Subsystem, insbesondere dessen Kommunikationsbus, besteht, da es dann beispielsweise ermöglicht wird, für ein Wartungsgerät, beispielsweise einen Tester, in dem entsprechenden Security-Dienst anzufragen, ob das Wartungsgerät korrekt authentifiziert ist, ohne dass dieser Authentifizierungsvorgang in der Kraftfahrzeugdiagnose selbst umgesetzt werden muss.
  • Es sei an dieser Stelle dann noch angemerkt, dass eine auch durch andere Arten von Zusatzfunktionen, mithin andere Dienste, nutzbare externe Speichereinrichtung Teil des Steuergeräts sein kann und beispielsweise dann sinnvoll ist, wenn größere Mengen an diagnoserelevanten Betriebsdaten und/oder Ereignisdaten zu speichern bzw. vorzuhalten sind, die dann entsprechend zu einem späteren Zeitpunkt abgerufen werden.
  • In weiterer besonders vorteilhafter Ausbildung der vorliegenden Erfindung kann vorgesehen sein, dass wenigstens eine der wenigstens einen Zusatzfunktion eine Datenexport-Funktion, insbesondere eine Logging-Funktion und/oder Shadowing-Funktion und/oder eine Validierungs-Funktion, ist. Verschiedene Dienste in Kraftfahrzeugen erfordern es, Betriebsdaten des Steuergeräts und/oder Ereignisdaten des Steuergeräts zu exportieren bzw. außerhalb des Steuergeräts verfügbar zu machen, wobei dies ohne eine Beeinträchtigung der wenigstens einen Fahrzeugfunktion erfolgen soll, insbesondere, wenn die exportierten Informationen zur Beurteilung der wenigstens einen Fahrzeugfunktion dienen sollen. Derartige Datenexport-Funktionen umfassen insbesondere reine Logging-Funktionen, Validierungs-Funktionen und sogenannte Shadowing-Funktionen, dienen also beispielsweise der Absicherung und können daher auch als Absicherungsfunktionen bezeichnet werden. Allgemein kann gesagt werden, dass das der Datenexport-Funktion zugeordnete Subsystem vorzugsweise zur Zwischenspeicherung zu exportierender Betriebsdaten des Steuergeräts in der wenigstens einen Speichereinheit und/oder einer zu dem Ein-Chip-System externen Speichereinrichtung und/oder zur Steuerung des Datentransports von an eine Zieleinrichtung zu übertragenden Betriebsdaten und/oder zur Kommunikation mit der Zieleinrichtung ausgebildet ist.
  • In einem konkreten Beispiel können zur Freigabe von Fahrzeugfunktionen aus bestimmten Bereichen, beispielsweise den Bereichen Sicherheit, Fahrerassistenz, Lenkung, Bremse und Antrieb, Betriebsdaten aus seriennahen Kraftfahrzeugen notwendig sein. Zur Erfassung dieser Betriebsdaten werden Kraftfahrzeuge mit speziellen Messtechnikeinrichtungen, beispielsweise einem Datenlogger, ausgestattet, die an Schnittstellen der Fahrzeugelektronik, konkret also auch der Steuergeräte, angeschlossen sind. Die Erfassung dieser Betriebsdaten darf keinen Einfluss auf die laufende, wenigstens eine Fahrzeugfunktion haben. Denn hierdurch würde das Verhalten der wenigstens einen Fahrzeugfunktion verändert und die Validierung wäre ungültig.
  • Ein Subsystem, das einer solchen Validierungs-Funktion zugeordnet ist, bzw. dessen Schnittstellenabschnitt, kann also auch als „Validation-Service-Schnittstelle“ bezeichnet werden. Diese kann einen Proxy darstellen, der genau für die verwendete Messtechnikeinrichtung, die die bereits erwähnte Zieleinrichtung ist, zugeschnitten ist. Über den Kommunikationsbus dieses Subsystems kann beispielsweise die wenigstens eine Recheneinheit des Ein-Chip-Systems direkt mit dem Subsystem kommunizieren. Auf der anderen Seite abstrahiert das der Validierungs-Funktion zugeordnete Subsystem alle Anfragen der Messtechnikeinrichtung, insbesondere also der Zieleinrichtung, und führt die Pufferung der Datenpakete der Betriebsdaten durch. Der wenigstens einen Recheneinheit steht ein breitbandiges Interface zur Ablage der angeforderten Betriebsdaten zur Verfügung. Insbesondere kann das die Validierungsfunktion realisierende Subsystem also Zugriff auf flüchtigen und persistenten Speicher der wenigstens einen Speichereinheit und/oder einer externen Speichereinrichtung erhalten, so dass die wenigstens eine Recheneinheit sich nicht um dessen Verwaltung (Allokation, Pufferung, Persistierung und dergleichen) kümmern muss. Insbesondere kann in einem Ausführungsbeispiel vorgesehen sein, dass zyklisch alle notwendigen Betriebsdaten, beispielsweise umfassend Messdaten, abgespeichert werden und bei Bedarf, insbesondere also auf Anfrage, der Messtechnik zur Verfügung stehen. Die Flusssteuerung für den Datenzugriff kann hierbei auch durch die externe Messtechnikeinrichtung, insbesondere also die Zieleinrichtung, erfolgen.
  • Auch für das der Validierungsfunktion zugeordnete Subsystem gilt, dass dieses besonders bevorzugt einen sicheren, authentifizierten Zugriff auf die Validierungsfunktion und die Betriebsdaten bereitstellen kann, wozu es besonders bevorzugt eine Verbindung zu einem eine Security-Funktion realisierenden Subsystem, insbesondere zu dessen Kommunikationsbus, aufweist. So kann beispielsweise eine Authentifizierung einer anfragenden Zieleinrichtung realisiert werden.
  • Die hier beispielhaft für die Validierungsfunktion beschriebenen Ausgestaltungen lassen sich selbstverständlich auch auf andere Arten von Datenexportfunktionen übertragen. Eine an Wichtigkeit gewinnende, weitere, häufig kraftfahrzeugspezifischen Anforderungen unterworfene Art von Datenexportfunktionen als Dienst ist eine Shadowing-Funktion. Shadowing bedeutet das Auskoppeln bestimmter Betriebsdaten, wiederum idealerweise ohne Beeinflussung der wenigstens einen Fahrzeugfunktion, was auch als nahtlose Entnahme bezeichnet werden kann, wobei diese Betriebsdaten bevorzugt an eine kraftfahrzeugexterne Zieleinrichtung weitergeleitet werden sollen, wo diese besonders bevorzugt gemeinsam mit weiteren, auf diese Art und Weise erhaltenen Betriebsdaten ausgewertet werden können, insbesondere zum Zweck der Weiterentwicklung der wenigstens einen Fahrzeugfunktion. Eine derartige Auswertung kann als eine Big-Data-Auswertung verstanden werden, so dass insbesondere durch kontinuierliche Verbesserung der wenigstens einen Fahrzeugfunktion aufgrund des Shadowing eine Art „Big Loop“ entsteht, der einen kontinuierlichen Kreis von Feedback und Verbesserungsmaßnahmen darstellen kann.
  • Es sei an dieser Stelle noch darauf hingewiesen, dass eine Datenexportfunktion selbstverständlich auch eine Zusammenfassung unterschiedlicher Teilfunktionen sein kann, beispielsweise ein eine Datenexportfunktion bereitstellendes Subsystem insgesamt die Dienste Logging, Validierung und Shadowing bereitstellen kann. Selbstverständlich ist es in anderen Ausbildungen auch denkbar, verschiedene Subsysteme für die unterschiedlichen Arten von Datenexportfunktionen zumindest teilweise bereitzustellen.
  • Wie dies bereits, insbesondere durch Wechselwirkung mit anderen Subsystemen, angedeutet wurde, sieht eine vorteilhafte Weiterbildung der vorliegenden Erfindung vor, dass wenigstens eine der wenigstens einen Zusatzfunktion eine Security-Funktion ist, wobei das der Security-Funktion zugeordnete Subsystem zur Steuerung von Verschlüsselungs- und/oder Entschlüsselungsmitteln für Ausgangsdaten und/oder Eingangsdaten des Ein-Chip-Systems und/oder zur Durchführung wenigstens eines Authentifizierungsprozesses für einen Kommunikationspartner des Steuergeräts ausgebildet ist. Dabei steht als Dienst die Authentifizierung als besonders vorteilhaft über ein Subsystem umsetzbar im Vordergrund.
  • Der Manipulationsschutz, allgemein gesagt die „Automotive Security“, stellt besondere Anforderungen für Security-Funktionen in Steuergeräten von Kraftfahrzeugen. Dies sind neben der Absicherung von interner und externer Kommunikation, insbesondere durch Authentifizierung, auch die Verteilung und Verwaltung von digitalen Schlüsseln. Dabei wurden bereits Systeme im Stand der Technik vorgeschlagen, bei denen Entschlüsselungs- und/oder Verschlüsselungsmittel sowie zugeordnete Speichereinheiten mit Schlüsseln und/oder rein überwachende Angriffsdetektionseinheiten ebenso in Hardware in dem Ein-Chip-System umgesetzt wurden, ohne dass hierbei jedoch Dienste diesbezüglich bereitgestellt werden, insbesondere Dienste, die die Authentifizierung von Kommunikationspartnern betreffen. Mit anderen Worten ist es bereits bekannt, dass bei der Abarbeitung insbesondere verteilter Fahrzeugfunktionen auf einem oder mehreren Ein-Chip-Systemen die wiederkehrende Aufgabe anfällt, Betriebsdaten und/oder sonstige Informationen zu verschlüsseln bzw. zu entschlüsseln, wobei der Anteil verschlüsselter Kommunikationsdaten infolge von gesetzlichen Bestimmungen, beispielsweise hinsichtlich des Datenschutzes und neuen Angriffsverfahren zunimmt. Damit durch die Verschlüsselung/Entschlüsselung kein zu großer Anteil der verfügbaren Rechenleistung gebunden wird, wurde mithin bereits vorgeschlagen, Verschlüsselungs- und/oder Entschlüsselungsmittel, insbesondere spezielle Beschleunigereinheiten, in Hardware in der wenigstens einen Schnittstelleneinheit zu implementieren, insbesondere parallel zu einem Pfad unverschlüsselter Kommunikation. Durch eine solche reine Implementierung in Hardware, die auch im Rahmen der vorliegenden Erfindung vorgesehen sein kann, kann der entsprechende Durchsatz an Kommunikationsdaten ermöglicht werden und gleichzeitig die wenigstens eine Recheneinheit entlastet werden. Durch Vektorisierung kann eine Skalierung auf die gewünschten Datenraten erreicht werden. Ferner kann hier auch bereits ein „sicherer Schlüsselspeicher“ vorhanden sein, der den Verschlüsselungs- und/oder Entschlüsselungsmitteln und/oder wenigstens einen Recheneinheit wenigstens einen Schlüssel zur Ausführung der Ver- und Entschlüsselungsvorgänge bereitstellt. Derartige Schlüssel können auch im Rahmen der Authentifizierung verwendet bzw. kreiert werden.
  • Insbesondere dann, wenn, beispielsweise je nach Kommunikationspartner, unterschiedliche Schlüssel und/oder unterschiedliche Verschlüsselungs- und/oder Entschlüsselungstechniken verwendet werden sollen, benötigt eine solche hardwarecodierte Verschlüsselungs- und/oder Entschlüsselungsanordnung jedoch bei herkömmlichen Ein-Chip-Systemen spezielle Treibersoftware, die dann geeignet entwickelt werden muss und Leistung sowie Bandbreite innerhalb des Ein-Chip-Systems benötigt bzw. Fehleranfälligkeit bei den herkömmlichen Komponenten verursacht. Entsprechend kann erfindungsgemäß ein den entsprechenden Dienst bereitstellendes, der Securityfunktion zugeordnetes Subsystem ausgebildet sein, unter Verwendung des zusätzlichen, exklusiven Kommunikationsbusses die Steuerung von Ver- und/oder Entschlüsselungsmitteln und/oder die Schlüsselverwaltung sowie bevorzugt zusätzlich oder alternativ die Authentifizierung bezüglich verschiedener Kommunikationspartner bereitzustellen, ohne dass die wenigstens eine Fahrzeugfunktion beeinträchtigt wird. Mithin wird mit dem der Securityfunktion zugeordneten Subsystem eine eng angekoppelte Lösung, beispielsweise über entsprechende Op-Codes, bereitgestellt. Die Operationen der Steuerung der Ver- und/oder Entschlüsselungsmittel und/oder der Schlüsselverwaltung und/oder der Authentifizierung konkurrieren somit nicht mit der Ausführung der wenigstens einen Fahrzeugfunktion, so dass keine unkalkulierbaren Laufzeiten generiert werden. In einer konkreten Ausgestaltung kann dabei bezüglich einer Authentifizierung beispielsweise vorgesehen sein, dass über wenigstens einen entsprechenden Op-Code und/oder den Kommunikationsbus des der Security-Funktion zugeordneten Subsystems eine Authentifizierung eines bestimmten Kommunikationspartners abgefragt wird, die dann entsprechend über den Schnittstellenabschnitt herbeigeführt werden kann.
  • Dabei kann auch im Rahmen der vorliegenden Erfindung zweckmäßig vorgesehen sein, dass wenigstens ein von der Security-Funktion genutzter Schlüssel in einer manipulationssicheren Speichereinheit des Ein-Chip-Systems hardcodiert ist. Entsprechende Ausgestaltungen diesbezüglich sind aus dem Stand der Technik bereits weitgehend bekannt, so dass dies hier nicht näher dargelegt werden muss.
  • In besonders vorteilhafter Weiterbildung der vorliegenden Erfindung kann wenigstens eine der wenigstens einen Zusatzfunktion eine Freigabefunktion für Hardware- und/oder Softwarefunktionserweiterungen sein, die insbesondere in die Security-Funktion integriert ist und/oder mit dieser kooperiert. In konkreter Ausgestaltung kann vorgesehen sein, dass das der Freigabefunktion zugeordnete Subsystem zur Bereitstellung wenigstens einer zur Nutzung freigegebene Hardware und/oder Software des Ein-Chip-Systems beschreibenden Freigabeinformation an die wenigstens eine Fahrzeugfunktion und/oder zur, insbesondere durch Authentifizierung und/oder Verschlüsselung abgesicherten, Kommunikation mit einer kraftfahrzeugexternen, Freigabeschaltinformationen bereitstellenden Backend-Einrichtung über ihren Schnittstellenabschnitt ausgebildet ist. Eine auf einer Hardware- und/oder Softwarekomponente bezogene Freigabeschaltinformation verändert bei Auswertung durch das der Freigabefunktion zugeordnete Subsystem die Freigabeinformation derart, dass der Eintrag der Freigabeinformation, der der durch die Freigabeschaltinformation beschriebenen Hardware- und/oder Softwarekomponente zugeordnet ist, entsprechend der Freigabeschaltinformation verändert wird. Auf diese Weise ist es mithin möglich, anhand eines speziellen, standardisierten und grundsätzlich vorhandenen Dienstes, realisiert durch die Freigabefunktion, bestimmte, Funktionalitäten, repräsentiert durch Hardware- und/oder Softwarekomponenten, dauerhaft oder temporär zu aktivieren und/oder zu deaktivieren. Dies ist insbesondere für Geschäftsmodelle relevant, in denen ein Nutzer eines Kraftfahrzeugs bestimmte Funktionalitäten gegen Bezahlung zumindest temporär freischalten kann. Die Aktivierung (oder gegebenenfalls auch Deaktivierung) dieser Funktionalität kann von einer Backend-Einrichtung, beispielsweise mittels Abonnement vom Internet, durch eine App und/oder unmittelbar während der Produktion abgerufen werden. Durch diese dynamische Schaltmöglichkeit kann ein Nutzer innerhalb kürzester Zeit sein Profil auf das Kraftfahrzeug abstimmen und somit eine höhere Personalisierung bei gleichzeitiger Sicherheit zu erreichen.
  • Dazu können sowohl in der Hardware, also dem Halbleiterchip des Ein-Chip-Systems selbst, als auch in der Software Komponenten (Module) vorhanden sein, die mittels der Freigabeinformation aktivierbar oder deaktivierbar sind. Zur dynamischen Aktivierung von Komponenten in Hardware/Software sind bislang komplexe Implementierungen notwendig, die Authentifizierungen, Austausch von digitalen Schlüsseln und/oder Kommunikation mit einer Backend-Einrichtung (Cloud, Bezahlsystem oder dergleichen), umfassen. Gemäß der vorliegenden Erfindung kann dies nun in einmaliger, standardisierter und die wenigstens eine Fahrzeugfunktion zumindest im Wesentlichen nicht beeinflussender Weise mittels des der Freigabefunktion zugeordneten Subsystems realisiert werden. Das Subsystem kann beispielsweise auch als „Enabler-Service-Schnittstelle“ aufgefasst werden. Besonders bevorzugt kann das der Freigabefunktion zugeordnete Subsystem die insgesamte Freigabefunktionalität gemeinsam mit einem einer Security-Funktion zugeordneten Subsystem, insbesondere was die Authentifizierung und die Schlüsselverwaltung angeht, durchführen. Insbesondere können seitens der Security-Funktion auch die Routinen zur Kommunikation mit der Backend-Einrichtung implementiert werden.
  • In konkreter Ausgestaltung kann die wenigstens eine Logikeinheit über spezielle Op-Codes den Kommunikationsbus des die Freigabefunktion realisierenden Subsystems nutzen, um mit der „Enabler-Service-Schnittstelle“ zu kommunizieren, insbesondere die Freigabeinformation abzufragen, so dass auf einfache Weise festgestellt werden kann, welche Hardwarekomponenten und Softwarekomponenten freigegeben sind. Durch die Abbildung in der Hardware des Ein-Chip-Systems erstreckt sich die Freigabefähigkeit auch auf Chipressourcen, beispielsweise zusätzliche Recheneinheiten wie CPUs und/oder GPUs. In einer besonders vorteilhaften Ausführungsform kann die Freigabeinformation über ein Register bereitgestellt werden. Das bedeutet, beispielsweise kann bei erfolgter Authentifizierung, insbesondere aufgrund einer erhaltenen Freigabeschaltinformation, ein Beschreiben bestimmter Register in dem Ein-Chip-System erfolgen, um zusätzliche Funktionalitäten, insbesondere wenigstens eine Hardwarekomponente und/oder wenigstens eine Softwarekomponente, freizugeben.
  • Dabei ist eine derartige Ausgestaltung mit einer Freigabefunktion als Zusatzfunktion, mithin einem Freigabedienst, nicht nur im Hinblick auf Geschäftsmodelle zweckmäßig, sondern auch im Hinblick auf eine Skalierbarkeit des erfindungsgemäßen Steuergeräts im Hinblick auf einen erweiterten Einsatzbereich über verschiedene Baureihen, insbesondere der Kraftfahrzeugklasse.
  • Neben dem Steuergerät betrifft die vorliegende Erfindung auch ein Kraftfahrzeug, umfassend wenigstens ein erfindungsgemäßes Steuergerät. Sämtliche Ausführungen bezüglich des erfindungsgemäßen Steuergeräts lassen sich analog auf das erfindungsgemäße Kraftfahrzeug übertragen.
  • Schließlich betrifft die Erfindung auch ein Verfahren zum Betrieb eines erfindungsgemäßen Steuergeräts, wobei die den wenigstens einen Dienst bereitstellende Zusatzfunktion, insbesondere als eine Service- und/oder Systemfunktion, ausschließlich mittels des ihr zugeordneten Subsystems ausgeführt wird. Auch bezüglich des erfindungsgemäßen Verfahrens gelten die Ausführungen zum erfindungsgemäßen Steuergerät selbstverständlich entsprechend fort.
  • Weitere Vorteile und Einzelheiten der vorliegenden Erfindung ergeben sich aus den im Folgenden beschriebenen Ausführungsbeispielen sowie anhand der Zeichnungen. Dabei zeigen:
    • 1 eine Prinzipskizze eines erfindungsgemäßen Kraftfahrzeugs,
    • 2 die funktionale Struktur eines Ein-Chip-Systems in einem erfindungsgemäßen Steuergerät,
    • 3 eine funktionale Prinzipskizze eines Ein-Chip-Systems in einem konkreten Ausführungsbeispiel, und
    • 4 eine die logische Trennung von Subsystemen und Fahrzeugfunktion illustrierende Darstellung.
  • 1 zeigt eine Prinzipskizze eines erfindungsgemäßen Kraftfahrzeugs 1. Das Kraftfahrzeug 1 weist mehrere Fahrzeugsysteme, beispielsweise umfassend Fahrerassistenzsysteme, auf, von denen zwei Fahrzeugsysteme 2 beispielhaft angedeutet sind, die jeweils wenigstens ein Steuergerät 3 aufweisen. Die Steuergeräte 3 sind erfindungsgemäß ausgebildet und umfassen wenigstens ein Ein-Chip-System 4 sowie optional eine durch einen Dienst nutzbare, zu dem Ein-Chip-System 4 externe Speichereinrichtung 5. Die Steuergeräte 3 können beispielsweise über ein Bussystem 6 des Kraftfahrzeugs 1 untereinander sowie mit weiteren Komponenten/Fahrzeugsystemen 2 verbunden sein, wobei vorliegend eine Diagnoseschnittstelle 7 sowie eine Kommunikationseinrichtung 8 gezeigt sind, die über ein Mobilfunknetz auch eine Kommunikation in das Internet erlaubt.
  • Die Ein-Chip-Systeme 4 der Steuergeräte 3 sind vorliegend von ihrer Hardware her identisch ausgebildet, auch wenn sie mittels Software unterschiedliche Fahrzeugfunktionen der jeweiligen Fahrzeugsysteme 2 durchführen. Jedes der Ein-Chip-Systeme 4 weist vorliegend mehrere, als Hardware umgesetzte Subsysteme auf, durch die logisch getrennt von den jeweiligen Fahrzeugfunktionen Zusatzfunktionen zur Bereitstellung unterschiedlicher Dienste ausgeführt werden. Jedes Subsystem weist einen Rechenabschnitt, der als eigene Recheneinheit oder Teil einer sonstigen Recheneinheit des Ein-Chip-Systems 4 realisiert sein kann, einen als eigene Datenleitung realisierten, exklusiv durch die Zusatzfunktion genutzten Kommunikationsbus und einen vorliegend ebenso exklusiv durch die Zusatzfunktion genutzten Schnittstellenabschnitt, der nichts desto trotz einen Anteil wenigstens einer Schnittstelleneinheit des Ein-Chip-Systems 4 bilden kann, auf. Die jeweiligen Dienste werden mithin durch das als Hardware realisierte, autarke Subsystem umgesetzt und weisen eine klar definierte Schnittstelle nach außen auf, die vorliegend zum Ein-Chip-System 4 bzw. konkret der wenigstens einen Fahrzeugfunktion jedes Steuergeräts 3 als Op-Codes eines erweiterten Befehlssatzes von Maschinenbefehlen umgesetzt ist, seitens des Schnittstellenabschnitts durch eine entsprechende, klare, einen Standard bildende bzw. erfüllende Schnittstellendefinition.
  • Mit anderen Worten ist eine logische Trennung der kraftfahrzeugspezifischen Dienste von den Fahrzeugfunktionen innerhalb des Halbleiterchips des Ein-Chip-Systems gegeben, wobei alle fahrzeugspezifischen Anforderungen, insbesondere an die Dienste, entsprechend erfüllt sind. Dabei werden spezifische Interfaceabschnitte und exklusive Kommunikationsbusse sowie im vorliegenden Ausführungsbeispiel auch Erweiterungen des Befehlssatzes an Maschinenbefehlen eingeführt.
  • Diese grundlegende Struktur zeigt 2 nun genauer. Dementsprechend weist das Ein-Chip-System 4 in diesem Ausführungsbeispiel vier Recheneinheiten 9 auf, die beispielsweise über einen grundlegenden Kommunikationsbus bzw. eine grundlegende Datenleitung (der Übersichtlichkeit halber nicht gezeigt) verbunden sein können und an eine hier nicht näher dargestellte Schnittstelleneinheit angeschlossen sein können. Zudem sind vorliegend aber auch vier Subsysteme 10a, 10b, 10c und 10d vorgesehen, wobei jedes dieser Subsysteme 10a, 10b, 10c und 10d einen Kommunikationsbus 11a, 11b, 11c, 11d sowie einen Schnittstellenabschnitt 12a, 12b, 12c und 12d aufweist. Die Rechenabschnitte, die hier der Übersichtlichkeit halber nicht dargestellt sind, können wenigstens teilweise durch die Recheneinheiten 9 und/oder die Schnittstellenabschnitte 12a, 12b, 12c und 12d umgesetzt sein. Alle Recheneinheiten 9 sind mit jedem der Kommunikationsbusse 11a, 11b, 11c und 11 d verbunden, wobei die Schnittstellenabschnitte 12a, 12b, 12c und 12d mit den jeweiligen, zugehörigen Kommunikationsbussen 11a, 11b, 11c und 11d verbunden sind. Das Subsystem 10a ist dabei einem Securitydienst zugeordnet, dient mithin der Durchführung einer Security-Funktion. Das Subsystem 10b ist einer Diagnosefunktion zugeordnet, das Subsystem 10c einer Datenexportfunktion, hier konkret einer Logging-Funktion, einer Validierungs-Funktion und einer Shadowing-Funktion, das Subsystem 10d einer Freigabefunktion. Nachdem jeder weitere Dienst außer der Securityfunktion die Securityfunktion, wie noch genauer erläutert werden wird, mit nutzen soll, ist eine Kommunikation der Subsysteme 10b, 10c und 10d zum Subsystem 10a vorliegend dadurch hergestellt, dass der jeweilige Schnittstellenabschnitt 12b, 12c und 12d mit dem Kommunikationsbus 11a zusätzlich verbunden ist, vgl. Pfeile 13.
  • Von extern zugreifende bzw. mit den Subsystemen 10a, 10b, 10c und 10d kommunizierende Kommunikationspartner, beispielsweise Zieleinrichtungen für exportierte Betriebsdaten, Wartungsgeräte, eine Backendeinrichtung, eine Servereinrichtung und dergleichen, sind in 2 mit dem Bezugszeichen 14 in Kommunikation mit den entsprechenden Schnittstellenabschnitten 12a, 12b, 12c und 12d (Doppelpfeile) angedeutet.
  • Eine konkretere Struktur ist in 3, allerdings zur einfacheren Darstellung lediglich für das der Security-Funktion zugeordnete Subsystem 10a, gezeigt. Demnach sind als Teil des Halbleiterchips des Ein-Chip-Systems 4 neben den vier bereits erwähnten Recheneinheiten 9 eine Schnittstelleneinheit 15 und vorliegend zwei Speichereinheiten 16a, 16b ausgebildet. Eine Hauptdatenleitung 17, die die Speichereinheit 16a, die Recheneinheit 9 und die Schnittstelleneinheit 15 verbindet, stellt einen Hauptkommunikationsbus dar, der von der wenigstens einen Fahrzeugfunktion genutzt wird. Eine weitere Datenleitung 18 realisiert den Kommunikationsbus 11a des Subsystems 10a und enthält zusätzlich eine Verbindung zu der Speichereinheit 16b. Optional kann eine weitere Recheneinheit 19 als Teil des Rechenabschnitts des Subsystems 10a vorgesehen sein. Als nicht gezeigte Komponente kann ferner auch eine Speichermanagementeinheit vorhanden sein.
  • Im vorliegenden Ausführungsbeispiel wird der Schnittstellenabschnitt 12a von einem Anteil der Schnittstelleneinheit 15 gebildet. In die Schnittstelleneinheit 15 integriert sind ferner Entschlüsselungs- und Verschlüsselungsmittel 20, die der sicheren Kommunikation mit Kommunikationspartnern dienen. Wenigstens ein entsprechender Schlüssel 21 kann hardcodiert in der Speichereinheit 16b vorliegen.
  • Das der Securityfunktion zugeordnete Subsystem 10a ist nun zum einen im Rahmen des Security-Dienstes dazu ausgebildet, eine Authentifizierung von Kommunikationspartnern 14 über den Schnittstellenabschnitt 12a zu ermöglichen, wenn diese über einen entsprechenden Op-Code von wenigstens einer der wenigstens einen Fahrzeugfunktion angefordert wurde. Dabei können verschiedene Authentifizierungsverfahren konkret eingesetzt bzw. von dem Subsystem 10a bereitgestellt werden, wobei insbesondere auch Schlüssel wie der hardcodierte Schlüssel 21 verwendet werden können. Die Sicherheitsfunktion wird jedoch zum anderen auch zur Steuerung der Verschlüsselungs- und Entschlüsselungsmittel 20 sowie zur Schlüsselverwaltung eingesetzt. So können beispielsweise passende Schlüssel für passende Kommunikationspartner 14 ausgewählt werden und/oder Schlüsselaushandlungen durchgeführt werden.
  • 4 erläutert in Form einer schematischen Prinzipdarstellung nochmals kurz das Grundprinzip der vorliegenden Erfindung. Dort sind die die verschiedenen Dienste realisierenden Subsysteme 10a, 10b, 10c, 10d mit ihren entsprechenden Rechenabschnitten 22a, 22b, 22c, 22d, Schnittstellenabschnitten 12a, 12b, 12c und 12d sowie Kommunikationsbussen 11a, 11b, 11c, 11d als logisch von der wenigstens einen Fahrzeugführungsfunktion 23 und untereinander getrennte Mittel gezeigt, die mithin autark ihre entsprechenden Dienste bereitstellen und durch Zugriff auf den „Securitybus“, also den Kommunikationsbus 11a, allesamt den Securitydienst des Subsystems 10a nutzen können, vgl. Pfeile 13.
  • Das der Diagnosefunktion zugeordnete Subsystem 10b, welches mithin einen Diagnosedienst bereitstellt, kann beispielsweise zyklisch diagnoserelevante Betriebsdaten und/oder, insbesondere ereignisgesteuert, Ereignisdaten in der Speichereinheit 16a bzw. der Speichereinrichtung 5 zwischenspeichern bzw. vorhalten. Dabei ist das Subsystem 10b insbesondere auch für die zugehörige Speicherverwaltung ausgebildet. Ferner erlaubt das Subsystem 10b mittels des entsprechenden Schnittstellenabschnitts 12b Kommunikation mit Wartungswerkzeugen und sonstigen diagnosebezogenen Kommunikationspartnern 14, insbesondere Wartungsgeräten, welche unter Nutzung des Subsystems 10a (Securitydienst) auch abgesichert erfolgen kann. Insbesondere können diagnoserelevante Ereignisse, die von den IP-Blöcken des Ein-Chip-Systems, beispielsweise den Recheneinheiten 9, erkannt werden, direkt entsprechend vorgehalten und/oder kommuniziert werden, da diese einfach auf den entsprechenden Kommunikationsbus 11b gegeben werden müssen.
  • Das Subsystem 10c kann insbesondere dem Abgriff von Betriebsdaten für eine Validierung und ein Shadowing dienen, mithin eine Validierungsfunktion und eine Shadowingfunktion als Dienste umsetzen. Dabei kann beispielsweise eine Zieleinrichtung als Kommunikationspartner 14 für die zu exportierenden Betriebsdaten, zu denen dank des Subsystems 10a eine sichere Verbindung aufgebaut werden kann, dienen, Ein Beispiel für eine Zieleinrichtung ist auch eine im Kraftfahrzeug 1 befindliche Messtechnikeinrichtung für die Validierung, die als Ziel für die exportierenden Betriebsdaten verwendet werden kann. Beim Shadowing ist die Zieleinrichtung häufig eine Servereinrichtung des Internets, wo eine Big-Data-Auswertung erfolgen kann, um die wenigstens eine Fahrzeugfunktion verbessern zu können, beispielsweise im Sinne eines „Big Loop“. Auch sonstige Logging-Anforderungen können bedient bzw. erfüllt werden. Für die Pufferung bzw. Zwischenspeicherung können wiederum die Speichereinheit 16a und/oder die externe Speichereinrichtung 5 verwendet werden.
  • Das Subsystem 10d schließlich kann die Freigabe von Hardwarekomponenten und/oder Softwarekomponenten (auch als Hardwaremodule und/oder Softwaremodule bezeichenbar) steuern, wozu ein spezielles Register einer der Speichereinheiten 16a, 16b genutzt werden kann, um eine entsprechende Freigabeinformation bereitzustellen. Der Schnittstellenabschnitt 12d kann dabei mit einer Backendeinrichtung als Kommunikationspartner 14 kommunizieren, um Freigabeschaltinformationen zu erhalten, wenn beispielsweise durch Kauf oder dergleichen neue Hardware- und/oder Softwarekomponenten freigeschaltet werden. Auch kann der durch die Freigabefunktion bereitgestellte Dienst genutzt werden, um beispielsweise bereits während der Produktion die Steuereinrichtung 3 auf das entsprechende Fahrzeugmodell einzustellen bzw. zu skalieren.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102017219242 A1 [0006]
    • DE 102017221889 A1 [0007]

Claims (15)

  1. Steuergerät (3) für ein Kraftfahrzeug (1), aufweisend ein Ein-Chip-System (4) mit wenigstens einer Recheneinheit (9) zur Bereitstellung wenigstens einer Fahrzeugfunktion für ein Fahrzeugsystem (2), wenigstens einer Speichereinheit (16a, 16b) und wenigstens einer Schnittstelleneinheit (15), dadurch gekennzeichnet, dass das Ein-Chip-System (4) wenigstens ein logisch von den die wenigstens eine Fahrzeugfunktion umsetzenden Anteilen des Ein-Chip-Systems (4) getrenntes Subsystem (10a, 10b, 10c, 10d) zur Bereitstellung wenigstens einer kraftfahrzeugbezogenen, einen Dienst bereitstellenden Zusatzfunktion aufweist, wobei das Subsystem (10a, 10b, 10c, 10d) wenigstens umfasst: - einen Rechenabschnitt (22a, 22b, 22c, 22d), - einen zusatzfunktionsspezifischen, insbesondere einen Proxy bildenden Schnittstellenabschnitt (12a, 12b, 12c, 12d), und - einen zusatzfunktionsspezifischen Kommunikationsbus (11a, 11b, 11c, 11d), der wenigstens mit dem Rechenabschnitt (22a, 22b, 22c, 22d) und dem Schnittstellenabschnitt (12a, 12b, 12c, 12d) verbunden ist.
  2. Steuergerät (3) nach Anspruch 1, dadurch gekennzeichnet, dass der Rechenabschnitt (22a, 22b, 22c, 22d) wenigstens teilweise durch wenigstens eine der wenigstens einen Recheneinheit (9) des Ein-Chip-Systems (4) realisiert ist, insbesondere durch Hardcodierung wenigstens eines zusatzfunktionsspezifischen Maschinenbefehls mit wenigstens einem zugeordneten Op-Code in der Recheneinheit (9), und/oder wenigstens teilweise durch eine eigene, nur der Zusatzfunktion zugeordnete Recheneinheit (19) realisiert ist.
  3. Steuergerät (3) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass der Kommunikationsbus (11a, 11b, 11c, 11d) eine eigene Datenleitung (18) in dem Ein-Chip-System (4) umfasst und/oder mit wenigstens einer der wenigstens einen Recheneinheit (9) verbunden ist.
  4. Steuergerät (3) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass dem Subsystem (10a, 10b, 10c, 10d) wenigstens ein Speicheranteil der wenigstens einen Speichereinheit (16a, 16b) fest und/oder variabel durch einer Speicherzugriffssteuereinheit zugeordnet ist.
  5. Steuergerät (3) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass mehrere, logisch getrennte Subsysteme (10a, 10b, 10c, 10d) für unterschiedliche Zusatzfunktionen vorgesehen sind.
  6. Steuergerät (3) nach Anspruch 5, dadurch gekennzeichnet, dass wenigstens ein Subsystem (10a, 10b, 10c, 10d) mit dem Kommunikationsbus (11a, 11b, 11c, 11d) wenigstens eines weiteren Subsystems (10a, 10b, 10c, 10d), insbesondere eines auf die Manipulationssicherheit und/oder eine Securityfunktion bezogenen Subsystems (10a, 10b, 10c, 10d), verbunden ist.
  7. Steuergerät (3) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass wenigstens eine der wenigstens einen Zusatzfunktion eine Diagnosefunktion ist.
  8. Steuergerät (3) nach Anspruch 7, dadurch gekennzeichnet, dass das der Diagnosefunktion zugeordnete Subsystem (10a, 10b, 10c, 10d), insbesondere der Schnittstellenabschnitt (12a, 12b, 12c, 12d), zur Kommunikation mit wenigstens einem Wartungsgerät ausgebildet ist.
  9. Steuergerät (3) nach Anspruch 7 oder 8, dadurch gekennzeichnet, dass das der Diagnosefunktion zugeordnete Subsystem (10a, 10b, 10c, 10d) zum Vorhalten von mittels des Schnittstellenabschnitts (12a, 12b, 12c, 12d) abfragbaren, diagnoserelevanten Betriebsdaten und/oder Ereignisdaten des Steuergeräts (3) in der wenigstens einen Speichereinheit (16a, 16b) und/oder einer zu dem Ein-Chip-System (4) externen Speichereinrichtung (5) ausgebildet ist.
  10. Steuergerät (3) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass wenigstens eine der wenigstens einen Zusatzfunktion eine Datenexportfunktion, insbesondere eine Loggingfunktion und/oder eine Shadowingfunktion und/oder eine Validierungsfunktion, ist, wobei das der Datenexportfunktion zugeordnete Subsystem (10a, 10b, 10c, 10d) zur Zwischenspeicherung zu exportierender Betriebsdaten des Steuergeräts (3) in der wenigstens einen Speichereinheit (16a, 16b) und/oder einer zu dem Ein-Chip-System (4) externen Speichereinrichtung (5) und/oder zur Steuerung des Datentransports von an eine Zieleinrichtung zu übertragender Betriebsdaten und/oder zur Kommunikation mit der Zieleinrichtung ausgebildet ist.
  11. Steuergerät (3) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass wenigstens eine der wenigstens einen Zusatzfunktion eine Securityfunktion ist, wobei das Subsystem (10a, 10b, 10c, 10d) zur Steuerung von Verschlüsselungs- und/oder Entschlüsselungsmitteln (20) für Ausgangsdaten und/oder Eingangsdaten des Ein-Chip-Systems (4) und/oder zur Durchführung wenigstens eines Authentifizierungsprozesses für einen Kommunikationspartner (14) des Steuergeräts (3) ausgebildet ist.
  12. Steuergerät (3) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass wenigstens eine der wenigstens einen Zusatzfunktion eine Freigabefunktion für Hardware- und/oder Softwarefunktionserweiterungen ist, die insbesondere in die Securityfunktion integriert ist und/oder mit dieser kooperiert.
  13. Steuergerät (3) nach Anspruch 12, dadurch gekennzeichnet, dass das der Freigabefunktion zugeordnete Subsystem (10a, 10b, 10c, 10d) zur Bereitstellung wenigstens einer zur Nutzung freigegebene Hardware und/oder Software des Ein-Chip-Systems (4) beschreibenden Freigabeinformation an die wenigstens eine Fahrzeugfunktion und/oder zur, insbesondere durch Authentifizierung und/oder Verschlüsselung abgesicherten, Kommunikation mit einer kraftfahrzeugexternen, Freigabeschaltinformationen bereitstellenden Backendeinrichtung über ihren Schnittstellenabschnitt (12a, 12b, 12c, 12d) ausgebildet ist.
  14. Kraftfahrzeug (1), umfassend wenigstens ein Steuergerät (3) nach einem der vorangehenden Ansprüche.
  15. Verfahren zum Betrieb eines Steuergeräts (3) nach einem der Ansprüche 1 bis 13, dadurch gekennzeichnet, dass die wenigstens eine den Dienst bereitstellende Zusatzfunktion, insbesondere als eine Service- und/oder Systemfunktion, ausschließlich mittels des ihr zugeordneten Subsystems (10a, 10b, 10c, 10d) ausgeführt wird.
DE102020120277.6A 2020-07-31 2020-07-31 Steuergerät für ein Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts Pending DE102020120277A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE102020120277.6A DE102020120277A1 (de) 2020-07-31 2020-07-31 Steuergerät für ein Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts
PCT/EP2021/070085 WO2022023096A1 (de) 2020-07-31 2021-07-19 Steuergerät für ein kraftfahrzeug, kraftfahrzeug und verfahren zum betrieb eines steuergeräts
EP21746447.8A EP4189550A1 (de) 2020-07-31 2021-07-19 Steuergerät für ein kraftfahrzeug, kraftfahrzeug und verfahren zum betrieb eines steuergeräts
US18/040,116 US20230286521A1 (en) 2020-07-31 2021-07-19 Control Unit For A Motor Vehicle, Motor Vehicle, And Method For Operating A Control Unit
CN202180059047.3A CN116133924A (zh) 2020-07-31 2021-07-19 用于机动车的控制器、机动车以及用于运行控制器的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020120277.6A DE102020120277A1 (de) 2020-07-31 2020-07-31 Steuergerät für ein Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts

Publications (1)

Publication Number Publication Date
DE102020120277A1 true DE102020120277A1 (de) 2022-02-03

Family

ID=77071546

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020120277.6A Pending DE102020120277A1 (de) 2020-07-31 2020-07-31 Steuergerät für ein Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts

Country Status (5)

Country Link
US (1) US20230286521A1 (de)
EP (1) EP4189550A1 (de)
CN (1) CN116133924A (de)
DE (1) DE102020120277A1 (de)
WO (1) WO2022023096A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017219242A1 (de) 2017-10-26 2019-05-02 Audi Ag Ein-Chip-System, Verfahren zum Betrieb eines Ein-Chip-Systems und Kraftfahrzeug
DE102017221889A1 (de) 2017-12-05 2019-06-06 Audi Ag Datenverarbeitungseinrichtung, Gesamtvorrichtung und Verfahren zum Betrieb einer Datenverarbeitungseinrichtung oder Gesamtvorrichtung

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10169066B2 (en) * 2015-08-06 2019-01-01 Ionroad Technologies Ltd. System and method for enhancing advanced driver assistance system (ADAS) as a system on a chip (SOC)

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017219242A1 (de) 2017-10-26 2019-05-02 Audi Ag Ein-Chip-System, Verfahren zum Betrieb eines Ein-Chip-Systems und Kraftfahrzeug
DE102017221889A1 (de) 2017-12-05 2019-06-06 Audi Ag Datenverarbeitungseinrichtung, Gesamtvorrichtung und Verfahren zum Betrieb einer Datenverarbeitungseinrichtung oder Gesamtvorrichtung

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Wikipedia Proxy Server

Also Published As

Publication number Publication date
CN116133924A (zh) 2023-05-16
WO2022023096A1 (de) 2022-02-03
US20230286521A1 (en) 2023-09-14
EP4189550A1 (de) 2023-06-07

Similar Documents

Publication Publication Date Title
DE10026918B4 (de) Virtueller Netzwerkadapter
DE102013003040B4 (de) Kraftfahrzeug mit nachträglich per Anwendungsprogramm veränderbarem Fahrverhalten sowie Verfahren hierzu
WO2012149951A1 (de) System zur diagnose einer komponente in einem fahrzeug
DE10219832B4 (de) Verfahren zum Kodieren von Steuergeräten in Verkehrsmitteln
WO2020094346A1 (de) Datenvermittlungsvorrichtung und datenvermittlungsverfahren für ein fahrzeug, vorrichtung und verfahren für eine fahrzeugkomponente eines fahrzeugs und computerprogramm
DE102019214461A1 (de) Verfahren zum Fernsteuern eines Kraftfahrzeugs
WO2014056794A1 (de) Verfahren zur steuerung eines getrennten ablaufs von verknüpften programmblöcken und steuergerät
DE102012016539A1 (de) Konfigurationstechnik für ein Steuergerät mit miteinander kommunizierenden Anwendungen
EP3655876B1 (de) Ein-chip-system, verfahren zum betrieb eines ein-chip-systems und kraftfahrzeug
EP1417469A2 (de) Kommunikationsverfahren und kommunikationsmodul
WO2010028994A1 (de) Verfahren zur bereitstellung einer steuerungsinformation für eine verteilte operation in einem automatisierungssystem, computerprogramm und automatisierungssystem
DE102016218429A1 (de) Verfahren zum Betreiben mehrerer Geräte unterschiedlichen Typs an einem Netzwerk eines Schienenfahrzeugs
DE102010003532A1 (de) Timermodul und Verfahren zur Überprüfung eines Ausgangssignals
WO2019096713A1 (de) Verfahren und vorrichtung zum datenorientierten informationsaustausch mit einem fahrzeugnetzwerk
DE102020120277A1 (de) Steuergerät für ein Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts
DE102016219014A1 (de) Verfahren zum gesicherten Zugriff auf Daten eines Fahrzeugs
EP4096198A1 (de) Verfahren zur diagnose eines bordnetzes eines fahrzeugs
WO2021047970A1 (de) Software-komponenten für eine software-architektur
DE102019206135A1 (de) Vorrichtung, Verfahren und Computerprogramm zum Anbinden eines Zubehörgeräts in einem Fahrzeug und Vorrichtung, Verfahren und Computerprogramm für einen Server
DE102018123563A1 (de) Verfahren zur Zwischenkernkommunikation in einem Mehrkernprozessor
DE102019133334A1 (de) System und Verfahren zur Erhöhung der Sicherheit in einem E/E-System
DE102004008869A1 (de) Steuergerät und Computerprogramm zum Steuern eines Antriebsaggregates eines Fahrzeugs
EP4144003B1 (de) Verfahren zum erzeugen einer softwarekomponente für eine elektronische recheneinrichtung eines kraftfahrzeugs, computerprogrammprodukt, computerlesbares speichermedium sowie kraftfahrzeugexternes aktualisierungssystem
WO2023180039A1 (de) Interaktion physischer entitäten
DE102021125749A1 (de) Vorrichtung, Verfahren und Computerprogramm für eine Überwachung einer Sicherheit von Rechen-Funktionsblöcken in einem Fahrzeug

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0009440000

Ipc: G06F0015160000

R016 Response to examination communication
R082 Change of representative

Representative=s name: LINDNER BLAUMEIER, PATENT- UND RECHTSANWAELTE,, DE