-
Technisches Gebiet
-
Ausführungsbeispiele betreffen eine Steuervorrichtung umfassend eine Hauptsteuereinrichtung und zumindest eine Nebensteuereinrichtung. Weitere Ausführungsbeispiele betreffen ein Telematiksteuergerät sowie ein Verfahren zum Betreiben einer Steuervorrichtung.
-
Hintergrund
-
Moderne Kraftfahrzeuge sind oftmals mit einer Vielzahl von Vernetzungstechnologien ausgestattet. Diese ermöglichen z.B. die Konnektivität des Fahrzeugs mit der Außenwelt über Mobilfunk bzw. V2X (engl.: vehicle-to-X; dtsch.: Fahrzeug-zu-X-Kommunikation), beispielsweise mit dem Nutzer über Bluetooth oder Wi-Fi sowie beispielsweise die Positionierung des Fahrzeugs über GNSS. Das Telematiksteuergerät (engl. TCU: telematic control unit) stellt hierbei das zentrale Connectivity-Gateway dar und realisiert z.B. Funktionen wie Remote Services, Real Time Traffic Information, etc. Zudem wird die E-Call Funktionalität über die TCU realisiert, eine Funktionalität, die in manchen Rechtsgebieten zulassungsrelevant ist.
-
Da jegliche Änderung am Telematiksteuergerät zu einem zusätzlichen Aufwand bei der Zertifizierung führen kann, wird dies nach erfolgreicher Zertifizierung der Komponente soweit möglich oft vermieden. Dies hat jedoch zur Folge, dass die Entwicklung der Komponente sehr früh definiert und umgesetzt werden muss, wobei spätere Änderungen zu hohen Zusatzaufwänden führen können.
-
Es sind verschiedene Kategorien von Funktionen (z.B. Software) auf elektronischen Steuergeräten bekannt, die z.B. in zwei Haupt-Kategorien eingeteilt werden können. Dabei betrifft eine erste Kategorie Sicherheits- und Zertifizierungsrelevante Anteile (z.B. kritische Anteile des Steuergeräts; z.B. zum Ausführen sicherheitskritischer Funktionen; z.B. eCall oder V2X Funktionen) und eine andere Kategorie betrifft sonstige Applikationen (z.B. agile Anteile; z.B. Remote-Services oder Entertainment-Apps; zum Beispiel zum Ausführen von Funktionen ohne wesentlichen Einfluss auf die Funktionssicherheit des Fahrzeugs).
-
Meist wird versucht, die kritischen Anteile frühzeitig festzulegen, zu erproben und zu zertifizieren. Gleichzeitig ist es aber auch ein häufiges Ziel, die agilen Anteile kontinuierlich und auch zu einem späten Zeitpunkt noch zu ändern und weiter zu entwickeln (z.B. um Kompatibilität zu sich schneller entwickelnder CE (consumer electronic)-Technologie zu ermöglichen). Beide Ziele stehen allerdings im Konflikt miteinander. So ist eine Aktualisierung oder Änderung der agilen Anteile zu einem späteren Zeitpunkt nicht mehr ohne erneute Erprobung und Zertifizierung der kritischen Anteile möglich.
-
Um dieses Problem zu lösen, kann eine Separierung beider Anteile angewendet werden, z.B. in verschiedenen Steuergeräten. Aktuell werden in einem Steuergerät Sicherheits- und Zertifizierungsrelevante Anteile (z.B. kritische Anteile) von sonstigen Applikationen (z.B. agilen Anteile) getrennt entweder durch Softwarelösungen oder Hardware-Lösungen realisiert.
-
Bei Trennung auf Software-Ebene kommen z.B. Virtualisierungslösungen wie Einsatz von Virtuellen Maschinen und Hyperviser zum Einsatz. Diese können kostengünstig sein, aber da beide Software Anteile (z.B. kritische Anteile und agile Anteile) auf einer gemeinsamen Hardware und Chip laufen können, kann ein solches Konzept nur bedingt das Risiko einer Re- oder Deltazertifizierung mindern.
-
Auf Hardware-Ebene gibt es verschiedene Möglichkeiten einer Lösung. So können die kritischen Anteile auf einem getrennten Applikationsprozessor laufen. Die Kosten und der Aufwand sowie die benötigte Bauteilgröße hierfür sind jedoch höher und auch eine Re- oder Deltazertifizierung kann auf diese so nicht zuverlässig vermieden werden, denn eine Software Änderung auf einem externen Applikationsprozessor könnte potentiell weiterhin die kritische Software auf einem Hauptprozessor in ihrer Funktion stören.
-
Auch eine Trennung auf PCB (printed circuit board)-Ebene im selben Steuergerät oder in verschiedenen Steuergeräten ist zwar möglich, würde aber noch höhere Kosten verursachen. Eine Trennung auf ECU-Ebene ist ebenfalls möglich. Hierzu können beispielsweise Applikationen auf andere Steuergeräte partitioniert werden oder einfach ein neues Steuergerät zusätzlich entwickelt werden. Als Beispiel könnten Remote Services auf einem ersten Steuergerät (z.B. Gateway-Steuergerät) realisiert werden und die Entertainment-Anteile auf einem zweiten Steuergerät (z.B. Head-unit). Es ist aber nicht immer sinnvoll die Applikationen von einem Steuergerät auf andere zu verlagern und steht grundsätzlich im Gegensatz zu einer Hochintegration (Minimierung der Anzahl von Steuergeräten).
-
Zusammenfassung
-
Es ist daher eine Aufgabe der vorliegenden Offenbarung, verbesserte Konzepte für Steuergeräte, insbesondere Telematiksteuergeräte für Fahrzeuge bereitzustellen.
-
Diese Aufgabe wird gelöst gemäß den Gegenständen der unabhängigen Patentansprüche. Weitere vorteilhafte Ausführungsformen werden in den abhängigen Patentansprüchen, der folgenden Beschreibung sowie in Verbindung mit den Figuren beschrieben.
-
Entsprechend wird eine Steuervorrichtung umfassend eine Hauptsteuereinrichtung und zumindest eine erste Nebensteuereinrichtung vorgeschlagen. Die Steuervorrichtung weist ferner eine Schaltvorrichtung zum Deaktivieren der zumindest einen Nebensteuereinrichtung auf. Dabei ist die Hauptsteuereinrichtung ausgebildet, bei Auftreten eines vorbestimmten Ereignisses die zumindest eine Nebensteuereinrichtung mittels der Schaltvorrichtung zu deaktivieren.
-
Die Hauptsteuereinrichtung kann zum Beispiel zum Ausführen von Prozessen für kritische Anwendungen (z.B. zulassungspflichtige Anwendungen) ausgebildet sein. Die Nebensteuereinrichtung kann dagegen zum Beispiel zum Ausführen von agilen Anwendungen (z.B. solchen Anwendungen, die keiner Zulassung einer behördlichen Stelle bedürfen) ausgebildet sein. Dennoch kann durch eine Kommunikation zwischen Hauptsteuereinrichtung und Nebensteuereinrichtung in manchen Situationen ein Einfluss der Nebensteuereinrichtung auf die Hauptsteuereinrichtung bestehen.
-
Um einen solchen möglichen Einfluss in kritischen Situationen zu vermeiden (etwa wenn ein vorbestimmtes Ereignis auftritt, das das zuverlässige Ausführen einer kritischen Funktion erfordert) kann die Nebensteuereinrichtung bei Bedarf deaktiviert werden. Das vorbestimmte Ereignis kann z.B. umfassen, dass die eCall-Funktion der Steuervorrichtung ausgeführt werden soll. Durch das Deaktivieren kann z.B. vermieden werden, dass ein Informationsaustausch zwischen Hauptsteuereinrichtung und Nebensteuereinrichtung stattfindet. Im deaktivierten Zustand der Nebensteuereinrichtung kann es möglich sein, dass die Steuervorrichtung funktioniert wie ein System, das allein die Hauptsteuereinrichtung aufweist, jedoch nicht die deaktivierte Nebensteuereinrichtung. Mit anderen Worten kann die Schaltvorrichtung verwendet werden, zwischen zwei funktionalen Systemen in der Steuervorrichtung umzuschalten (z.B. erstes funktionales System mit Nebensteuereinrichtung und zweites funktionales System ohne Nebensteuereinrichtung). Somit kann es möglich sein, die Steuervorrichtung allein mit der Hauptsteuereinrichtung zu zertifizieren und noch im Nachhinein Änderungen an der Nebensteuereinrichtung vorzunehmen, da diese im Fall kritischer Ereignisse deaktiviert werden kann und dann z.B. keinen Einfluss auf den zertifizierten Systemanteil mit der Hauptsteuereinrichtung hat.
-
Beispielsweise kann vorgesehen sein, dass die Schaltvorrichtung zum elektrischen Trennen einer Verbindung zwischen der Hauptsteuereinrichtung und der zumindest einen Nebensteuereinrichtung ausgebildet ist. Die Hauptsteuereinrichtung ist dabei ausgebildet, zum Deaktivieren der Nebensteuereinrichtung die Verbindung zur Nebensteuereinrichtung durch entsprechendes Ansteuern der Steuervorrichtung elektrisch zu trennen. Ein Vorteil beim Trennen (z.B. physikalisches Trennen) der Verbindung zum Deaktivieren der Nebensteuereinrichtung kann ein besonders zuverlässiges Deaktivieren der Nebensteuereinrichtung sein. Beispielsweise kann nach dem Trennen der Verbindung (z.B. durch einen Schalter, z.B. Halbleiterschalter) keine weitere Verbindung zwischen Hauptsteuereinrichtung und Nebensteuereinrichtung bestehen, sodass bei deaktivierter Nebensteuereinrichtung ein Signalfluss von Nebensteuereinrichtung zu Hauptsteuereinrichtung nicht möglich ist Die Schaltvorrichtung kann gemäß einem Ausführungsbeispiel in der Hauptsteuereinrichtung integriert ausgebildet sein. Dadurch kann ein noch zuverlässigeres Trennen der elektrischen Verbindung (z.B. einfachere Ansteuerung der Schaltvorrichtung mittels der Hauptsteuereinrichtung) möglich sein.
-
Beispielsweise kann vorgesehen sein, dass die Hauptsteuereinrichtung ausgebildet ist, zum Deaktivieren der Nebensteuereinrichtung einen auf der zumindest einen Nebensteuereinrichtung laufenden Prozesses anzuhalten. Ein derartiges Deaktivieren kann den Vorteil haben, dass es sehr einfach ausgeführt werden kann (z.B. Pausieren des auf der Nebensteuereinrichtung laufenden Prozesses). Ferner kann z.B. auch auf ein Element zum physikalischen Trennen verzichtet werden, wodurch die Steuervorrichtung kostengünstiger ausgeführt werden kann.
-
Gemäß einem Ausführungsbeispiel kann vorgesehen sein, dass die Steuervorrichtung eine zweite Nebensteuereinrichtung aufweist. Dabei ist die Hauptsteuereinrichtung ausgebildet, in Abhängigkeit von der Art des vorbestimmten Ereignisses nur die erste Nebensteuereinrichtung oder zusätzlich auch die zweite Nebensteuereinrichtung zu deaktivieren. Beispielsweise können je nach Art des auftretenden vorbestimmten Ereignisses jeweils nur bestimmte Nebensteuereinrichtungen aus einer Mehrzahl an Nebensteuereinrichtung deaktiviert werden. Dadurch kann z.B. die Flexibilität der Steuervorrichtung erhöht werden. Beispielsweise kann es bei Eintreten eines ersten Ereignisses für ein zuverlässiges Ausführen einer korrespondierenden kritischen Funktion auf der Hauptsteuereinrichtung genügen, nur eine erste Nebensteuereinrichtung zu deaktivieren, während dagegen bei Eintreten eines zweiten Ereignisses für ein zuverlässiges Ausführen einer korrespondierenden kritischen Funktion auf der Hauptsteuereinrichtung beide (oder eine Mehrzahl von) Nebensteuereinrichtungen zu deaktivieren. Somit kann ermöglicht werden, bei Auftreten des vorbestimmten Ereignisses nicht alle agilen Funktionen der Steuervorrichtung deaktivieren zu müssen, beispielsweise wenn dies aus sicherheitsrelevanten Aspekten nicht notwendig ist.
-
Beispielsweise kann vorgesehen sein, dass die Hauptsteuereinrichtung eine erste Hauptsteuereinrichtung ist und die Steuervorrichtung zumindest eine weitere Hauptsteuereinrichtung umfasst, die eine niedrigere Prioritätsstufe aufweist als die erste Hauptsteuereinrichtung. Dabei ist die erste Hauptsteuereinrichtung ausgebildet, die weitere Hauptsteuereinrichtung zu deaktivieren. Die erste Hauptsteuereinrichtung kann die zweite Hauptsteuereinrichtung z.B. bei Eintreten des vorbestimmten Ereignisses deaktivieren, z.B. in gleicher Weise wie die Nebensteuereinrichtung. Auf diese Weise kann eine Hierarchie von z.B. kritischen Funktionen der Hauptsteuereinrichtungen gebildet werden, wobei ein zuverlässiges Funktionieren von kritischen Funktionen mit höherer Priorität mit größerer Sicherheit ermöglicht werden kann.
-
Beispielsweise kann vorgesehen sein, dass die erste Hauptsteuereinrichtung und die weitere Hauptsteuereinrichtung ausgebildet sind, die zumindest eine Nebensteuereinrichtung bei je unterschiedlichen Ereignissen zu deaktivieren und/oder je unterschiedliche Nebensteuereinrichtungen einer Mehrzahl an Nebensteuereinrichtung zu deaktivieren. Beispielsweise kann für ein zuverlässiges Ausführen kritischer Funktionen der verschiedenen Hauptsteuereinrichtungen je ein Deaktivieren verschiedener Nebensteuereinrichtung (oder einer verschiedenen Auswahl aus einer Mehrzahl an Nebensteuereinrichtungen) erforderlich sein. Mit anderen Worten kann vorteilhafterweise vorgesehen sein, dass jede Hauptsteuereinrichtung genau die ausgewählten Nebensteuereinrichtungen deaktivieren kann, die ein zuverlässiges Ausführen einer kritischen Funktion der jeweiligen Hauptsteuereinrichtung stören könnten.
-
Beispielsweise kann vorgesehen sein, dass die Hauptsteuereinrichtung und die zumindest eine Nebensteuereinrichtung auf einem gemeinsamen Halbleiterchip ausgebildet sind. Beispielsweise kann eine Mehrzahl an Hauptsteuereinrichtungen und/oder Nebensteuereinrichtungen auf dem gemeinsamen Halbleiterchip ausgebildet sein. Das vorgeschlagene System (z.B. Steuervorrichtung), das ein Deaktivieren der Nebensteuereinrichtungen und/oder niedriger priorisierten Hauptsteuereinrichtung ermöglicht, kann dabei eine größere Flexibilität des Systems (z.B. Ändern der Funktionen der Nebensteuereinrichtung) bei gleichzeitiger Erhöhung der Integrationsdichte des Systems ermöglichen.
-
Beispielsweise kann vorgesehen sein, dass die Hauptsteuereinrichtung durch einen Hauptprozessor und die Nebensteuereinrichtung durch einen Nebenprozessor des gemeinsamen Halbleiterchips ausgebildet ist. Beispielsweise kann somit möglich sein, dass der Hauptprozessor einen oder mehrere Nebenprozessoren bei Bedarf (z.B. Eintreten des vorbestimmten Ereignisses) deaktivieren kann, um einen Einfluss des Nebenprozessors auf den Hauptprozessor zu unterbinden. Somit kann ein zertifizierungsrelevanter Teil der Steuervorrichtung nur auf den Hauptprozessor gerichtet sein.
-
Beispielsweise kann wie bereits erwähnt vorgesehen sein, dass das vorbestimmte Ereignis zumindest eines von einer auszuführenden Notruffunktion (z.B. eCall (emergeny call)-Funktion) oder einer auszuführenden Fahrzeug-zu-X-Kommunikation umfasst. Derartige kritische Funktionen eines Fahrzeugs können eine besonders zuverlässige Funktionalität erfordern. Beispielsweise kann der nach Deaktivieren der Nebensteuereinrichtung aktiv verbleibende Teil der Steuervorrichtung entsprechend zertifiziert werden, sodass eine zuverlässige Funktionalität gemäß den geltenden Regulierungen nachgewiesen werden kann.
-
Ein Aspekt der Offenbarung betrifft ein Telematiksteuergerät für ein Fahrzeug. Das Telematiksteuergerät ist ausgebildet, Funkverbindungen vom Fahrzeug für kritische Fahrzeugfunktionen zu steuern. Das Telematiksteuergerät weist eine im Vorhergehenden oder Nachfolgenden beschriebene Steuervorrichtung auf. Ein derartiges Telematik-Steuergerät kann den Vorteil bieten, dass kritische Funktionen des Telematiksteuergeräts zu einem ersten Zeitpunkt definiert umgesetzt und festgelegt werden können, während agile Funktionen des Telematiksteuergeräts unabhängig von den kritischen Funktionen auch noch nach dem ersten Zeitpunkt geändert oder hinzugefügt werden können, ohne die kritischen Funktionen zu beeinflussen.
-
Ein Aspekt der Offenbarung betrifft ein Verfahren zum Betreiben einer Steuervorrichtung mit zumindest einer Hauptsteuereinrichtung und einer Nebensteuereinrichtung. Das Verfahren umfasst ein Ansteuern der Nebensteuereinrichtung mittels der Hauptsteuereinrichtung zum Ausführen eines Nebenprozesses auf der Nebensteuereinrichtung, wobei der Nebenprozess eine Auswirkung auf eine Performance der Hauptsteuereinrichtung haben kann. Das Verfahren umfasst ferner ein Empfangen einer Aufforderung zum Ausführen eines Hauptprozesses auf der Hauptsteuereinrichtung, wobei der Hauptprozess eine höhere Priorität oder Sicherheitsstufe aufweist als der Nebenprozess. Das Verfahren umfasst ferner ein Deaktivieren der Nebensteuereinrichtung nach Empfangen der Aufforderung zum Ausführen des Hauptprozesses, um eine Auswirkung der Nebensteuereinrichtung auf die Hauptsteuereinrichtung während der Ausführung des Hauptprozesses zu vermeiden.
-
Weitere Einzelheiten und Aspekte des Verfahrens sind in Verbindung mit den vor- oder nachstehend beschriebenen Ausführungsbeispielen (z.B. Steuervorrichtung) erwähnt. Das beschriebene Ausführungsbeispiel kann ein oder mehrere optionale zusätzliche Merkmale aufweisen, die einem oder mehreren Aspekten entsprechen, die in Verbindung mit dem vorgeschlagenen Konzept oder mit einem oder mehreren vorstehend oder nachstehend beschriebenen Ausführungsbeispielen erwähnt sind.
-
Figurenliste
-
Ausführungsbeispiele werden nachfolgend bezugnehmend auf die beiliegenden Figuren näher erläutert. Es zeigen:
- 1 ein schematisches Beispiel einer Steuervorrichtung mit einer Hauptsteuereinrichtung und einer Nebensteuereinrichtung,
- 2 ein schematisches Beispiel einer Steuervorrichtung in einem Telematiksteuergerät; und
- 3 ein Flussdiagramm eines Verfahrens zum Betreiben einer Steuervorrichtung.
-
Beschreibung
-
Verschiedene Ausführungsbeispiele werden nun ausführlicher unter Bezugnahme auf die beiliegenden Zeichnungen beschrieben, in denen einige Ausführungsbeispiele dargestellt sind. In den Figuren können die Dickenabmessungen von Linien, Schichten und/oder Regionen um der Deutlichkeit Willen übertrieben dargestellt sein. Bei der nachfolgenden Beschreibung der beigefügten Figuren, die lediglich einige exemplarische Ausführungsbeispiele zeigen, können gleiche Bezugszeichen gleiche oder vergleichbare Komponenten bezeichnen.
-
Ein Element, das als mit einem anderen Element „verbunden“ oder „verkoppelt“ bezeichnet wird, mit dem anderen Element direkt verbunden oder verkoppelt sein kann oder dass dazwischenliegende Elemente vorhanden sein können. Solange nichts anderes definiert ist, haben sämtliche hierin verwendeten Begriffe (einschließlich von technischen und wissenschaftlichen Begriffen) die gleiche Bedeutung, die ihnen ein Durchschnittsfachmann auf dem Gebiet, zu dem die Ausführungsbeispiele gehören, beimisst.
-
Wenn an zertifizierten Steuergeräten Änderungen vorgenommen werden sollen, ist meist eine komplette Rezertifizierung des Steuergeräts notwendig. Es existieren verschiedene Möglichkeiten der Trennung von Funktionen, die es teils ermöglichen können, nicht alle Funktionen und Teile des Steuergeräts erneut zertifizieren zu müssen. Da dabei Softwarelösungen teils nicht in ihrer Wirksamkeit verbessert werden können und eine Trennung auf PCB- und ECU-Ebene hohe Kosten verursachen kann, ist eine Trennung auf Chip-Basis eine präferierte Lösung. Hierbei kann es jedoch erforderlich sein, das Risiko einer Querwirkung von weniger kritischen Funktionen (z.B. agilen Softwareanteilen) auf kritischere Funktionen (z.B. auf die kritischen Anteile) zu minimieren. Hierfür werden im Folgenden Konzepte vorgeschlagen.
-
1 zeigt ein schematisches Beispiel einer Steuervorrichtung 10 mit einer Hauptsteuereinrichtung 11 und einer Nebensteuereinrichtung 12. Eine Schaltvorrichtung 13 ist zum Deaktivieren der Nebensteuereinrichtung 12 ausgebildet. Die Hauptsteuereinrichtung 11 ist ausgebildet ist, bei Auftreten eines vorbestimmten Ereignisses die zumindest eine Nebensteuereinrichtung 12 mittels der Schaltvorrichtung 13 zu deaktivieren.
-
Durch die Möglichkeit, Teile der Steuervorrichtung 10 bei Bedarf (z.B. Auftreten bestimmter Ereignisse, die das Ausführen sicherheitsrelevanter oder kritischer Funktionen erfordern) zu deaktivieren, ist es möglich, dass diese Teile dann keinen Einfluss mehr auf die Steuervorrichtung 10 haben können. Zum Beispiel kann die Nebensteuereinrichtung 12 bei Bedarf abgeschaltet werden, sodass ein restlicher, aktiver Teil der Steuervorrichtung 10 ungestört von Funktionen auf der Nebensteuereinrichtung 12 Funktionen ausführen kann.
-
Die Möglichkeit der Trennung kann bewirken, dass nur der Teil der Steuervorrichtung 10, der nicht deaktiviert wird (z.B. nicht ausgebildet ist, deaktiviert zu werden), besonders zuverlässig funktionieren muss (z.B. einer Zertifizierung unterliegt). Da dieser Teil als eigenständiges System agieren kann, können dagegen auf der deaktivierbaren Nebensteuereinrichtung 12 bei Bedarf Änderungen vorgenommen werden, z.B. ohne dass eine Rezertifizierung des gesamten Systems, d.h. der gesamten Steuervorrichtung 10 notwendig wäre (z.B. können auf der Nebensteuereinrichtung 12 Funktionen vorgesehen sein, die für ein Fahrzeug mit der Steuervorrichtung 10 nicht sicherheitsrelevant sind).
-
2 zeigt ein schematisches Beispiel einer Steuervorrichtung 10 in einem Telematiksteuergerät 20 für ein Fahrzeug. In der Steuervorrichtung 10 sind neben der ersten Hauptsteuereinrichtung 11 und der ersten Nebensteuereinrichtung 12 auch eine weitere Hauptsteuereinrichtung 21 und eine weitere Nebensteuereinrichtung 22 dargestellt. Die erste Hauptsteuereinrichtung kann mittels der Schaltvorrichtung 13 eines oder mehrere der ersten Nebensteuereinrichtung 12, der weiteren Nebensteuereinrichtung 22 oder der weiteren Hauptsteuereinrichtung 21 deaktivieren. Ebenso ist es möglich, dass die weitere Hauptsteuereinrichtung 21 bei Bedarf entsprechend die erste und/oder weitere Nebensteuereinrichtung 12, 22 deaktivieren kann.
-
Das vorgeschlagene Konzept ermöglicht bei einer Trennung von agilen und kritischen Anteilen z.B. auf Chip-Ebene, das Risiko einer Querwirkung von agilen Anteilen auf die kritischen Anteile zu reduzieren, um dadurch die Sicherheit zu erhöhen und auch die Gefahren und Risiken zu reduzieren. Damit kann auch das Risiko einer Delta und Rezertifizierung weiter reduziert werden. Das vorgeschlagene Konzept umfasst z.B. eine Funktion im Hauptprozessor (z.B. Hauptsteuereinrichtung), die alle weiteren Nebenprozessoren (z.B. Nebensteuereinrichtungen) mit nicht kritischen Funktionen anhalten, trennen und/oder im Bedarfsfall auch ausschalten kann. Hiermit stellt der Hauptprozessor sämtliche kritische Funktionalitäten sicher und schließt z.B. eine Auswirkung von Funktionen, die auf Nebenprozessoren laufen aus. Somit werden auch sämtliche Änderungen auf diesen Neben-Prozessoren (oder allgemein ausgedrückt, die nicht kritischen Anteile des Systems) für die kritischen Funktionen unwirksam und nicht relevant.
-
So können zu einer Laufzeit (z.B. Normalbetrieb) des Systems alle Prozessoren und Applikationen vorerst parallel und ohne Einschränkungen laufen (z.B. wenn kein vorbestimmtes Ereignis eingetreten ist). Tritt ein sicherheitsrelevantes Ereignis (z.B. vorbestimmtes Ereignis; z.B. eCall oder V2X-Event) ein, werden nicht relevante Anteile entweder angehalten, die Verbindungen getrennt oder elektrisch ausgeschaltet.
-
Im Folgenden wird ein Beispiel zum Betreiben der Steuervorrichtung beschrieben. Im Normalbetrieb kann auf dem Hauptprozessor eine kritische Anwendung aktiv sein und auf Nebenprozessoren 1 bis n je eine agile Anwendung aktiv sein.
-
Wird ein sicherheitsrelevantes Ereignis empfangen, kann die kritische Anwendung auf dem Hauptprozessor weiter ausgeführt werden. Dagegen können z.B. auf einem Teil der Nebenprozessoren die agilen Anwendungen angehalten werden und/oder einer oder mehrere andere Nebenprozessoren ganz ausgeschaltet werden.
-
Nach der Ausführung der kritischen Anwendung können z.B. alle Anteile erneut aktiviert werden (z.B. Betrieb der Steuervorrichtung 10 wieder im Normalbetrieb).
-
Das Konzept ermöglicht dabei auch eine Generalisierung mit mehreren Hauptprozessoren (z.B. erste Hauptsteuereinrichtung 11 und weitere Hauptsteuereinrichtung 21). Dabei kann z.B. ein erster Hauptprozessor zum Ausführen einer ersten kritischen Anwendung und zum Deaktivieren einer ersten Auswahl einer Mehrzahl an Nebenprozessoren ausgebildet sein. Ein zweiter Hauptprozessor kann entsprechend zum Ausführen einer zweiten kritischen Anwendung und zum Deaktivieren einer zweiten Auswahl der Mehrzahl an Nebenprozessoren ausgebildet sein. Dadurch kann das vorgeschlagene Konzept einfach an bestehende Anforderungen angepasst werden (z.B. auch für andere Steuergeräte als das Telematiksteuergerät).
-
Weitere Einzelheiten und Aspekte sind in Verbindung mit den vor- oder nachstehend beschriebenen Ausführungsbeispielen erwähnt. Das in 2 gezeigte Ausführungsbeispiel kann ein oder mehrere optionale zusätzliche Merkmale aufweisen, die einem oder mehreren Aspekten entsprechen, die in Verbindung mit dem vorgeschlagenen Konzept oder mit einem oder mehreren vorstehend (z.B. 1) oder nachstehend (z.B. 3) beschriebenen Ausführungsbeispielen erwähnt sind.
-
3 zeigt ein Flussdiagramm eines Verfahrens 30 zum Betreiben einer Steuervorrichtung, wie z.B. in 1 und 2 dargestellt. Das Verfahren 30 umfasst ein Ansteuern 31 einer Nebensteuereinrichtung mittels einer Hauptsteuereinrichtung, um einen Nebenprozess auf der Nebensteuereinrichtung auszuführen, wobei der Nebenprozess eine Auswirkung auf eine Performance der Hauptsteuereinrichtung haben kann. Das Verfahren 30 umfasst ferner ein Empfangen 32 einer Aufforderung zum Ausführen eines Hauptprozesses auf der Hauptsteuereinrichtung, wobei der Hauptprozess eine höhere Priorität oder Sicherheitsstufe aufweist als der Nebenprozess. Ferner ist verfahrensgemäß ein Deaktivieren 33 der Nebensteuereinrichtung nach Empfangen der Aufforderung zum Ausführen des Hauptprozesses vorgesehen, um eine Auswirkung der Nebensteuereinrichtung auf die Hauptsteuereinrichtung während der Ausführung des Hauptprozesses zu vermeiden.
-
Gemäß dem vorgeschlagenen Verfahren kann es ermöglicht werden, Teile der Steuervorrichtung zu deaktivieren, wenn z.B. ein wichtiger Prozess oder eine wichtige Funktion eine volle Rechenleistung der Hauptsteuereinrichtung erfordert. Während im Normalfall die Hauptsteuereinrichtung z.B. mehrere Nebenprozesse steuern kann (und entsprechend in Reaktion Signale von der Nebensteuereinrichtung zur Hauptsteuereinrichtung gesendet werden können), kann es im Fall der Ausführung einer systemkritischen Funktion notwendig sein, dass keine Interaktion mit den Nebenprozessen stattfindet. Daher kann verfahrensgemäß das Ausführen solcher Nebenprozesse (z.B. Entertainment-Funktion; z.B. Funktion für den Nutzer, die nicht in direktem Zusammenhang mit der Fahrfunktion des Fahrzeugs steht) unterbunden werden, wenn die Steuervorrichtung zum Ausführen eines Hauptprozesses (z.B. sicherheitskritischer Prozess) genutzt werden soll.
-
Weitere Einzelheiten und Aspekte sind in Verbindung mit den vor- oder nachstehend beschriebenen Ausführungsbeispielen erwähnt. Das in 3 gezeigte Ausführungsbeispiel kann ein oder mehrere optionale zusätzliche Merkmale aufweisen, die einem oder mehreren Aspekten entsprechen, die in Verbindung mit dem vorgeschlagenen Konzept oder mit einem oder mehreren vorstehend (z.B. 1-2) oder nachstehend beschriebenen Ausführungsbeispielen erwähnt sind.
-
Ein Aspekt betrifft eine modulare Architektur, z.B. für sicherheitsrelevante Anteile in Hochintegrierten Steuergeräten und Funktionen. Es kann möglich sein, bei Bedarf bestimmte Teile des Steuergeräts abzuschalten oder zu deaktivieren. Durch die vorgeschlagenen Konzepte besteht eine verbesserte Möglichkeit, dass agile Anteile eines Systems (z.B. eines Steuergeräts) z.B. bis zu einer späten Phase der Entwicklung und z.B. auch darüber hinaus noch verändert oder angepasst werden können, ohne eine Auswirkung auf die kritischen Funktionen des Systems zu bewirken. Somit kann beispielsweise vermieden werden, dass bei einer Änderung eines Teils des Systems oder Steuergeräts immer das gesamte System oder Steuergerät wieder zertifiziert werden muss.