DE102022208004A1 - Verfahren für eine Kontrolle eines Zugriffs verschiedener Applikationen bei einem Fahrzeug - Google Patents

Verfahren für eine Kontrolle eines Zugriffs verschiedener Applikationen bei einem Fahrzeug Download PDF

Info

Publication number
DE102022208004A1
DE102022208004A1 DE102022208004.1A DE102022208004A DE102022208004A1 DE 102022208004 A1 DE102022208004 A1 DE 102022208004A1 DE 102022208004 A DE102022208004 A DE 102022208004A DE 102022208004 A1 DE102022208004 A1 DE 102022208004A1
Authority
DE
Germany
Prior art keywords
evaluation
access
application
vehicle
applications
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022208004.1A
Other languages
English (en)
Inventor
Marcel Mausser
Nicolas Sommer
Andreas Heyl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102022208004.1A priority Critical patent/DE102022208004A1/de
Priority to CN202310960041.4A priority patent/CN117492946A/zh
Publication of DE102022208004A1 publication Critical patent/DE102022208004A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/48Program initiating; Program switching, e.g. by interrupt
    • G06F9/4806Task transfer initiation or dispatching
    • G06F9/4843Task transfer initiation or dispatching by program, e.g. task dispatcher, supervisor, operating system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/08Interaction between the driver and the control system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3017Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is implementing multitasking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2209/00Indexing scheme relating to G06F9/00
    • G06F2209/48Indexing scheme relating to G06F9/48
    • G06F2209/484Precedence
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Automation & Control Theory (AREA)
  • Mathematical Physics (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Traffic Control Systems (AREA)

Abstract

Die Erfindung betrifft ein Verfahren (100) für eine Kontrolle eines Zugriffs verschiedener Applikationen (201,202) über eine Zugriffsschnittstelle (15) auf wenigstens eine sicherheitsrelevante Komponente (2) eines Fahrzeuges (1), wobei die nachfolgenden Schritte durchgeführt werden:
- Auswerten (102) des jeweiligen Zugriffs der Applikationen (201,202), wobei die verschiedenen Applikationen (201,202) eine erste Applikation (201) und wenigstens eine weitere Applikation (202) umfassen,
- Bewerten (103) der Applikationen (201,202) anhand des Auswertens (102), wodurch für die Applikationen (201,202) jeweils eine Qualitätseinstufung ermittelt wird,
- Priorisieren (104) des Zugriffs der verschiedenen Applikationen (201,202) auf die wenigstens eine sicherheitsrelevante Komponente (2) über die Zugriffsschnittstelle (15) in Abhängigkeit von den Qualitätseinstufungen.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren für eine Kontrolle eines Zugriffs verschiedener Applikationen über eine Zugriffsschnittstelle auf wenigstens eine sicherheitsrelevante Komponente eines Fahrzeuges. Ferner bezieht sich die Erfindung auf ein Computerprogramm sowie eine Vorrichtung zu diesem Zweck.
  • Stand der Technik
  • Es ist aus dem Stand der Technik bekannt, dass in einem Fahrzeug verschiedene Anwendungen ausgeführt werden, um auf sicherheitsrelevante Komponenten wie Bremsen und/oder Scheibenwischer und/oder Fensterheber und/oder dergleichen zuzugreifen. Allerdings müssen diese Anwendungen nach vorgegebenen Sicherheitsstandards entwickelt werden, um einen sicheren Betrieb des Fahrzeuges zu gewährleisten. Dies schränkt die Auswahl der Anwendungen, welche genutzt werden können, enorm ein.
  • Offenbarung der Erfindung
  • Gegenstand der Erfindung ist ein Verfahren mit den Merkmalen des Anspruchs 1, ein Computerprogramm mit den Merkmalen des Anspruchs 9 sowie eine Vorrichtung mit den Merkmalen des Anspruchs 10. Weitere Merkmale und Details der Erfindung ergeben sich aus den jeweiligen Unteransprüchen, der Beschreibung und den Zeichnungen. Dabei gelten Merkmale und Details, die im Zusammenhang mit dem erfindungsgemäßen Verfahren beschrieben sind, selbstverständlich auch im Zusammenhang mit dem erfindungsgemäßen Computerprogramm sowie der erfindungsgemäßen Vorrichtung, und jeweils umgekehrt, so dass bezüglich der Offenbarung zu den einzelnen Erfindungsaspekten stets wechselseitig Bezug genommen wird bzw. werden kann.
  • Das erfindungsgemäße Verfahren kann für eine Kontrolle eines Zugriffs verschiedener Applikationen über eine Zugriffsschnittstelle auf wenigstens eine und vorzugsweise dieselbe sicherheitsrelevante Komponente eines Fahrzeuges verwendet werden. Unter Kontrolle wird insbesondere eine Priorisierung der Applikationen verstanden, bei welcher vorzugsweise auch der Zugriff für Applikationen blockiert werden kann. Hierbei ist insbesondere vorgesehen, dass die nachfolgenden Schritte durchgeführt werden, vorzugsweise nacheinander in der angegebenen Reihenfolge und/oder automatisiert:
    • - Auswerten des jeweiligen Zugriffs der Applikationen, wobei die verschiedenen Applikationen eine erste Applikation und wenigstens eine weitere Applikation umfassen, wobei vorzugsweise das Auswerten bei einem laufenden Betrieb der Applikationen erfolgt,
    • - Bewerten der Applikationen anhand des Auswertens, wodurch für die Applikationen jeweils eine Qualitätseinstufung ermittelt wird, insbesondere in der Form einer Priorität,
    • - Priorisieren des Zugriffs der verschiedenen Applikationen auf die wenigstens eine sicherheitsrelevante Komponente über die Zugriffsschnittstelle in Abhängigkeit von den Qualitätseinstufungen.
  • Damit wird der Vorteil erzielt, dass auch bei einem zeitgleich durch mehrere Applikationen angeforderten Zugriff eine Überlastung der Komponente und/oder der Zugriffsschnittstelle und/oder einer Fahrzeugelektronik und/oder eines Kommunikationssystems vermiedenen werden kann. Es ist dabei möglich, dass das Auswerten und/oder Bewerten und/oder Priorisieren durch eine, insbesondere erfindungsgemäße, Vorrichtung zur Datenverarbeitung wie ein der Zugriffsschnittstelle vorgeschaltetes Modul durchgeführt wird. Die Vorrichtung kann auch als Vorfilter und/oder Vorpriorisierungsmodul bezeichnet und/oder als ein Hard- und/oder Softwaremodul der Fahrzeugelektronik ausgeführt sein. Durch die Priorisierung können ferner Ressourcen- und Netzwerklast reduziert und die Funktionsstabilität erhöht werden. Die Priorisierung kann ferner als eine Arbitrierung ausgeführt sein.
  • Das Kommunikationssystem ist z. B. ein Kommunikationsnetzwerk, über das Informationen der Applikation empfangen und/oder im Fahrzeug weitergeleitet werden. Die Informationen können bspw. Funktionsinformationen umfassen, durch welche eine Funktion der jeweiligen Applikationen bereitgestellt wird. Die Priorisierung kann dann bspw. dadurch durchgeführt werden, dass die Informationen priorisiert weitergeleitet werden und/oder die Weiterleitung unterbunden wird.
  • Es ist denkbar, dass eine Kommunikation zwischen den Applikationen und der Zugriffsschnittstelle über das Kommunikationssystem zumindest über eine Kommunikationsverbindung erfolgt, bspw. zumindest über eine der nachfolgenden Kommunikationsverbindungen:
    • - Eine Ethernet-Verbindung,
    • - Eine Bluetooth-Verbindung,
    • - Eine Wireless Local Area Network (WLAN) Verbindung,
    • - Eine Mobilfunkverbindung.
  • Die Kommunikationsverbindung kann eine kabelgebundene und/oder kabellose Verbindung umfassen.
  • Die Applikationen können jeweils z. B. als eine Application of Questionable Standard (kurz AQS) ausgeführt sein, also als eine Applikation mit fraglichem Standard. Darunter ist insbesondere zu verstehen, dass die Applikation nicht nach einem Sicherheitsintegritätslevel (z.B. Automotive Safety Integrity Level gemäß ISO 26262) entwickelt ist. Den Applikationen wird somit nur ein eingeschränkter Zugriff auf sicherheitsrelevante Komponenten wie Aktuatoren des Fahrzeuges ermöglicht. Um den eingeschränkten Zugriff zu ermöglichen, kann die Zugriffsschnittstelle (auch Absicherungsschnittstelle oder englisch Safeguarding Software, kurz SSW bezeichnet) vorgesehen sein. Dabei können ggf. auch mehrere AQS, bspw. auch auf unterschiedlichen Kommunikationswegen, über die Zugriffsschnittstelle auf eine sicherheitsrelevante Komponente zugreifen.
  • Zeitgleich können ggf. mehrere Applikationen aktiv sein und auf demselben Kommunikationskanal eines Netzwerkes und/oder auf dieselbe Komponente und/oder derselben Zugriffsschnittstelle einwirken. Um eine Überlastung der Komponente oder der Zugriffsschnittstelle oder des Netzwerkes zu verhindern, kann daher das Priorisieren vorgesehen sein. Das Priorisieren kann einer Vorfilterung, insbesondere Vor-Priorisierung, entsprechen. Das Priorisieren kann bspw. durch einen Vorfilter wie ein zusätzliches Software- und/oder Hardware-Modul durchgeführt werden. Dabei kann der Vorfilter der Zugriffsschnittstelle vorgeschaltet oder darin integriert sein. Die Vorschaltung bedeutet vorzugsweise, dass die empfangenen Informationen zunächst priorisiert werden, bevor sie zur Zugriffsschnittelle gelangen und darüber ggf. weitergeleitet werden.
  • Es kann weiter möglich sein, dass die Zugriffsschnittstelle den Zugriff der verschiedenen Applikationen auf einen gesicherten Funktionsbereich des Fahrzeuges bereitstellt, um den Applikationen darüber ein abgesichertes und/oder begrenztes Einwirken auf die sicherheitsrelevante Komponente bereitzustellen. Die Zugriffsschnittstelle kann somit als eine, vorzugsweise elektronische und/oder computerimplementierte, Schnittstelle zwischen einem gesicherten und damit sicheren und einem unsicheren Funktionsbereich ausgeführt sein. Der gesicherte Funktionsbereich kann dabei Funktionen umfassen, welche auf die wenigstens eine sicherheitsrelevante Komponente des Fahrzeuges wie bspw. einen Motor und/oder eine Bremse und/oder einen Scheibenwischer einwirken. Der Ausdruck „gesicherter Funktionsbereich“ bezeichnet daher insbesondere einen Bereich, in welchem die Funktionen nach einem Sicherheitsintegritätslevel (z.B. Automotive Safety Integrity Level gemäß ISO 26262) entwickelt wurden. Dabei können die Funktionen im gesicherten Funktionsbereich durch eine Fahrzeugelektronik wie wenigstens ein, ggf. zentrales, Steuergerät und/oder dergleichen ausgeführt werden. Auch ist es möglich, dass die Funktionen des gesicherten Funktionsbereichs zumindest teilweise durch wenigstens eine Datenverarbeitungsvorrichtung ausgeführt werden, welche zwar nicht im Fahrzeug vorgesehen ist, aber integral in ein System zur Bereitstellung einer essenziellen, obligatorischen Fahrfunktion eingebunden und/oder nach Sicherheitsstandards entwickelt ist. Dies kann bspw. ein Cloud-System zur Bereitstellung einer autonomen Fahrfunktion oder dergleichen sein. Dagegen kann der unsichere Funktionsbereich die verschiedenen Applikationen umfassen, welche zusätzliche, optionale Funktionen für das Fahrzeug bereitstellen, insbesondere ausgeführt durch wenigstens eine Datenverarbeitungsvorrichtung außerhalb des Fahrzeuges und/oder wenigstens eine mobile Datenverarbeitungsvorrichtung wie ein Smartphone und/oder wenigstens einen Computer des Fahrzeuges. Die optionalen Funktionen der Applikationen umfassen dabei bspw. Komfortfunktionen, welche zwar selbst nicht sicherheitsrelevant sind, aber den Zugriff auf sicherheitsrelevante Komponenten nutzen dürfen. Alternativ oder zusätzlich können die optionalen Funktionen der Applikationen auch sicherheitsrelevante Funktionen wie eine autonome Fahrfunktion umfassen. Es kann dabei für das Fahrzeug unbekannt sein, in welchem Ausmaße ein Sicherheitsstandard bei den Applikationen im unsicheren Funktionsbereich erfüllt ist. Bspw. werden Applikationen im unsicheren Funktionsbereich durch eine Hardware des Benutzers wie ein Smartphone oder dergleichen ausgeführt.
  • Ferner kann die Zugriffsschnittstelle eine Begrenzungsfunktion umfassen, welche den Zugriff der Applikationen auf die sicherheitsrelevante Komponente auf einen sicheren Bereich begrenzt. Dies kann bspw. eine Begrenzung des Zugriffs auf einen Scheibenwischer in der Weise umfassen, dass eine Häufigkeit einer Umschaltung des Scheibenwischerbetriebs begrenzt wird. Ferner kann dies eine Begrenzung des Zugriffs auf eine Bremse in der Weise umfassen, dass eine maximal verfügbare Bremskraft reduziert wird. Ebenfalls kann die Begrenzung eine Priorisierung umfassen, in der Weise, dass die essenziellen, obligatorischen Fahrfunktionen und/oder sicherheitsrelevanten Funktionen wie von Fahrerassistenzsystemen oder eine Notbremsfunktion Vorrang erhalten.
  • Im Rahmen der Erfindung kann das Priorisieren des Zugriffs einer Applikation auch als ein Priorisieren der Applikation selbst, d. h. ein Zuweisen einer niedrigeren oder höheren Priorität zu einer Applikation, bezeichnet werden. Insbesondere durch einen Vergleich der zugewiesenen Priorität der Applikation mit den zugewiesenen Prioritäten weiterer Applikationen kann sich beim Schritt des Priorisierens ergeben, welcher der Applikationen der Zugriff ermöglicht wird.
  • Die Schritte eines erfindungsgemäßen Verfahrens können vorzugsweise - zumindest teilweise - durch eine erfindungsgemäße Vorrichtung wie einen Vorfilter durchgeführt werden. Die Priorisierung kann dabei auf Basis einer selbst durch die Vorrichtung ermittelten Qualitätseinstufung erfolgen. Damit kann auch der Effekt eingefangen werden, dass nicht-gewartete Applikationen über die Zeit „schlechter werden“ - bspw. dadurch, dass neuere Applikationen besser auf aktuelle Anforderungen zugeschnitten sind.
  • Optional kann es vorgesehen sein, dass das Auswerten des jeweiligen Zugriffs den nachfolgenden Schritt umfasst:
    • - Überwachen der jeweiligen Applikation während einer Funktionsausführung der Applikation, um eine Leistung und/oder ein Fehlerverhalten und/oder eine Störung der Applikation zu ermitteln,
    wobei die ermittelten Leistungen und/oder die Fehlerverhalten und/oder die Störungen der verschiedenen Applikationen bei dem Bewerten einzeln bewertet und/oder miteinander verglichen werden, um die jeweilige Qualitätseinstufung anhand der Einzelbewertung und/oder des Vergleichs zu ermitteln.
  • Auf diese Weise kann fahrzeugseitig, insbesondere durch die erfindungsgemäße Vorrichtung, ggf. selbsttätig eine eigene Bewertung der Qualität und/oder Verlässlichkeit der Applikationen durchgeführt werden. Dies geschieht vorzugsweise durch eine Überwachung von Safety Performance Indicators, wie der Leistung und/oder dem Fehlerverhalten und/oder der Störungen. Das Fehlerverhalten kann z. B. ein Verhalten der Applikation im Fehlerfall sein (wie reagiert die Applikation im Fehlerfall, z. B. durch einen Absturz oder Neustart? Kann die Funktionsausführung hierbei aufrechterhalten werden?). Die Leistung kann bspw. eine Latenz betreffen, welche bei der Kommunikation zwischen dem Fahrzeug und der Applikation auftreten. Die Störung kann z. B. eine Häufigkeit von Abstürzen betreffen.
  • Gemäß einem weiteren Vorteil kann vorgesehen sein, dass das Auswerten des jeweiligen Zugriffs den nachfolgenden Schritt umfasst:
    • - Durchführen eines Challenge-Response-Verfahrens zur Diagnose der jeweiligen Applikation, insbesondere, um als ein Ergebnis der Diagnose eine Qualität und/oder eine Verlässlichkeit der Applikation zu ermitteln,
    wobei die Ergebnisse der Diagnose der verschiedenen Applikationen bei dem Bewerten einzeln bewertet und/oder miteinander verglichen werden, um die jeweilige Qualitätseinstufung anhand der Einzelbewertung und/oder des Vergleichs zu ermitteln.
  • In anderen Worten kann hierbei für eine Diagnose ein „Challenge-Response“ Mechanismus genutzt werden, um als das Ergebnis einen Zustand und/oder eine Reaktionszeit und/oder ein Reaktionsverhalten der jeweiligen Applikation zu prüfen. Bei dem Challenge-Response-Verfahren kann der Applikation bspw. eine bestimmte Anfrage und/oder Aufgabe gestellt werden. Anhand der Antwort der Applikation kann der Zustand erkannt werden, bspw., dass die Applikation inaktiv ist (ausbleibende Antwort), und/oder die Reaktionszeit ermittelt werden und/oder das Reaktionsverhalten (Ist die Antwort korrekt?) ermittelt werden.
  • Weiter ist im Rahmen der Erfindung denkbar, dass das Auswerten des jeweiligen Zugriffs den nachfolgenden Schritt umfasst:
    • - Überwachen des Fahrzeuges während des jeweiligen Zugriffs der Applikationen, um ein Fahrzeugverhalten, insbesondere ein Fehlverhalten und/oder eine Fahrzeugreaktion, des Fahrzeuges aufgrund des Zugriffs zu ermitteln,
    wobei die ermittelten Fahrzeugverhalten bei dem Bewerten einzeln bewertet und/oder miteinander verglichen werden, um die jeweilige Qualitätseinstufung anhand der Einzelbewertung und/oder des Vergleichs zu ermitteln. Auf diese Weise kann bspw. das Fehlermanagement auf Fahrzeugebene ausgewertet werden. Darunter fällt z. B. auch die Häufigkeit, mit welcher das Fahrzeug aufgrund des Zugriffs durch die Applikation einen Beinaheunfall hat (z. B. nahe an einem vorausfahrenden Fahrzeug zum Stehen kommt oder zu nahe einem Hindernis vorbeifährt). Auch können Warnungen des Fahrzeuges (z. B. Auffahrwarnungen) als Fahrzeugverhalten ausgewertet werden.
  • Nach einer weiteren Möglichkeit kann vorgesehen sein, dass das Auswerten des jeweiligen Zugriffs den nachfolgenden Schritt umfasst:
    • - Überwachen einer Ausgabe der jeweiligen Applikation während einer Funktionsausführung der Applikation, vorzugsweise um unplausible Ausgaben zu detektieren,
    wobei die Ausgaben bei dem Bewerten einzeln bewertet und/oder miteinander verglichen werden, um die jeweilige Qualitätseinstufung anhand der Einzelbewertung und/oder des Vergleichs zu ermitteln. Dies ermöglicht eine Auswertung des Fehlermanagements auf Funktionsebene. Als unplausible Ausgabe können z. B. ein häufiges Hin- und Herschalten von Hypothesen und/oder hohe Unsicherheitswerte und/oder sprunghafte Steuereingriffe auf die Komponente erfasst werden.
  • Ein weiterer Vorteil kann im Rahmen der Erfindung erzielt werden, wenn das Auswerten des jeweiligen Zugriffs den nachfolgenden Schritt umfasst:
    • - Überwachen einer Eingabe eines Fahrers des Fahrzeuges während einer Funktionsausführung der jeweiligen Applikation, um eine Rückmeldung und insbesondere einen korrigierenden Eingriff des Fahrers zu detektieren,
    wobei die Rückmeldungen einzeln bewertet und/oder miteinander verglichen werden, um die jeweilige Qualitätseinstufung anhand der Einzelbewertung und/oder des Vergleichs zu ermitteln. Bspw. kann eine Mensch-Maschine-Schnittstelle, über welche die Eingabe erfolgt, hierzu ausgewertet werden, um negative Rückmeldung vom Fahrer bzgl. der Funktion der Applikation zu detektieren. Dies können bspw. häufige korrigierende Eingriffe durch den Fahrer bei der Ausführung der Funktion sein (bspw. Lenkeingriffe während der Ausführung einer automatisierten Fahrfunktion durch die Applikation).
  • Ferner kann es im Rahmen der Erfindung vorgesehen sein, dass während des Auswertens des jeweiligen Zugriffs eine Ansteuerung auf die sicherheitsrelevante Komponente durch den Zugriff verhindert und/oder nur simuliert wird, und erst bei dem Priorisieren freigegeben wird. Damit ist es möglich, dass die Applikation zunächst nur in einem sogenannten Shadow-Modus genutzt wird, um den Zugriff analysieren zu können, ohne tatsächlich Durchgriff auf die Komponente wie eine Aktuatorik des Fahrzeuges zu ermöglichen.
  • Es ist möglich, dass durch das Priorisieren eine Reihenfolge definiert wird, mit der Zugriff der Applikationen gewährt wird. Auch ist es möglich, dass durch das Priorisieren eine Applikation gesperrt werden kann, und somit der Zugriff vollständig blockiert wird. Als Qualitätseinstufung kann hierbei auch eine „Whitelist“, „Greylist“ oder „Blacklist“ für die Applikationen erstellt werden, um bspw. bestimmte Applikationen vom Zugriff komplett auszuschließen. Ferner ist es möglich, dass die Qualitätseinstufung an andere Fahrzeuge und/oder an ein Backend einer Fahrzeugflotte gesendet wird, um diese ebenfalls bei anderen Fahrzeugen für das Priorisieren verwenden zu können.
  • Vorteilhafterweise kann bei der Erfindung vorgesehen sein, dass während des Auswertens des jeweiligen Zugriffs eine Ansteuerung auf die sicherheitsrelevante Komponente zugelassen wird.
  • Ebenfalls Gegenstand der Erfindung ist eine Vorrichtung zur Datenverarbeitung, insbesondere in der Form eines Computers und/oder eines Steuergeräts des Fahrzeuges. Die Vorrichtung kann dazu ausgeführt sein, ein erfindungsgemäßes Verfahren auszuführen.
  • Die erfindungsgemäße Vorrichtung kann vorteilhafterweise selbstständig eine Qualitätseinstufung der Applikationen durch das erfindungsgemäße Verfahren ermitteln. Diese Qualitätseinstufung kann anschließend zur Priorisierung der Applikationen, also insbesondere den von den Applikationen empfangenen Eingängen wie Funktionsinformationen, verwendet werden. Damit ist es möglich, dass auch von anderen Herstellern angebotene Applikationen verwendet werden können. Auf eine Berücksichtigung und Prüfung der Applikationen hinsichtlich der Verwendung mit dem Fahrzeug bereits bei der Entwicklung kann dann ggf. verzichtet werden.
  • Ebenfalls Gegenstand der Erfindung ist ein Computerprogramm, insbesondere Computerprogrammprodukt, umfassend Befehle, die bei der Ausführung des Computerprogrammes durch einen Computer diesen veranlassen, das erfindungsgemäße Verfahren auszuführen. Damit bringt das erfindungsgemäße Computerprogramm die gleichen Vorteile mit sich, wie sie ausführlich mit Bezug auf ein erfindungsgemäßes Verfahren beschrieben worden sind.
  • Als der Computer kann bspw. eine Datenverarbeitungsvorrichtung vorgesehen sein, welche das Computerprogramm ausführt. Der Computer kann wenigstens einen Prozessor zur Ausführung des Computerprogramms aufweisen. Auch kann ein nicht-flüchtiger Datenspeicher vorgesehen sein, in welchem das Computerprogramm hinterlegt und von welchem das Computerprogramm durch den Prozessor zur Ausführung ausgelesen werden kann.
  • Ebenfalls Gegenstand der Erfindung kann ein computerlesbares Speichermedium sein, welches das erfindungsgemäße Computerprogramm umfasst. Das Speichermedium ist bspw. als ein Datenspeicher wie eine Festplatte und/oder ein nicht-flüchtiger Speicher und/oder eine Speicherkarte ausgebildet. Das Speichermedium kann z. B. in den Computer integriert sein.
  • Darüber hinaus kann das erfindungsgemäße Verfahren auch als ein computerimplementiertes Verfahren ausgeführt sein.
  • Weitere Vorteile, Merkmale und Einzelheiten der Erfindung ergeben sich aus der nachfolgenden Beschreibung, in der unter Bezugnahme auf die Zeichnungen Ausführungsbeispiele der Erfindung im Einzelnen beschrieben sind. Dabei können die in den Ansprüchen und in der Beschreibung erwähnten Merkmale jeweils einzeln für sich oder in beliebiger Kombination erfindungswesentlich sein. Es zeigen:
    • 1 eine schematische Darstellung zur Visualisierung der erfindungsgemäßen Verfahrensschritte,
    • 2-3 weitere Einzelheiten des erfindungsgemäßen Verfahrens,
    • 4 eine schematische Darstellung eines Fahrzeuges,
    • 5 weitere Einzelheiten des erfindungsgemäßen Verfahrens,
    • 6 schematisch ein erfindungsgemäßes Computerprogramm sowie eine erfindungsgemäße Vorrichtung.
  • In den nachfolgenden Figuren werden für die gleichen technischen Merkmale auch von unterschiedlichen Ausführungsbeispielen die identischen Bezugszeichen verwendet.
  • In 1 sind die Verfahrensschritte eines erfindungsgemäßen Verfahrens 100 schematisch visualisiert. Das Verfahren 100 dient dabei einer Kontrolle eines Zugriffs verschiedener Applikationen 201,202 über eine Zugriffsschnittstelle 15 auf wenigstens eine sicherheitsrelevante Komponente 2 eines Fahrzeuges 1. Gemäß einem ersten Verfahrensschritt erfolgt hierzu ein Auswerten 102 des jeweiligen Zugriffs der Applikationen 201,202, wobei die verschiedenen Applikationen 201,202 eine erste Applikation 201 und wenigstens eine weitere Applikation 202 umfassen. Anschließend kann gemäß einem weiteren Verfahrensschritt ein Bewerten 103 der Applikationen 201,202 anhand des Auswertens 102 erfolgen, wodurch für die Applikationen 201,202 jeweils eine Qualitätseinstufung ermittelt wird. Diese Qualitätseinstufung kann z. B. in einem nicht-flüchtigen Speicher hinterlegt werden und/oder auch an weitere Fahrzeuge, welche die entsprechenden Applikationen 201,202 nutzen können, übertragen werden. Dies ermöglicht ein Priorisieren 104 des Zugriffs der verschiedenen Applikationen 201,202 auf die wenigstens eine sicherheitsrelevante Komponente 2 über die Zugriffsschnittstelle 15 in Abhängigkeit von den Qualitätseinstufungen.
  • In 2 ist zur weiteren Visualisierung des erfindungsgemäßen Verfahrens ein schematisches Funktionsdiagramm dargestellt. Eine erfindungsgemäße Vorrichtung 10 kann vorgesehen sein, um die in 1 dargestellten Verfahrensschritte auszuführen. Für das Auswerten des jeweiligen Zugriffs kann durch die Vorrichtung 10 eine Überwachung 111 der Applikationen 201,202 und/oder des Fahrzeuges 1 durchführt werden. Ein Ergebnis der Überwachung 111 kann anschließend genutzt werden, um die Qualitätseinstufungen zu ermitteln. Die Qualitätseinstufung kann dabei in der Form einer Auswahlliste 112 (wie einer Blacklist) vorgesehen sein, welche angibt, welche der Applikationen 201,202 freigegeben und welche blockiert werden. Im Gegensatz zu den freigegebenen Applikationen 201,202 kann der Zugriff der blockierten Applikationen 201,202 unterbunden werden. Hierzu werden bspw. Funktionsinformationen 220 der blockierten Applikation 201,202 von einer Weiterleitung 113 an ein Steuergerät und/oder an die Komponente 2 ausgeschlossen werden. Die Funktionsinformationen 220 können dabei Steuerbefehle für die Komponente 2 enthalten, um eine Funktion 114 der Applikationen 201,202 bereitzustellen.
  • Es kann vorgesehen sein, dass während des Auswertens des jeweiligen Zugriffs und insbesondere bei der Überwachung 111 eine Ansteuerung auf die sicherheitsrelevante Komponente 2 durch den Zugriff verhindert und/oder nur simuliert wird, und erst bei dem Priorisieren 104 freigegeben wird. Hierzu kann bei der Auswertung ein sogenannter Shadow-Modus 115 verwendet werden, um die Funktion 114 der Applikation 201,202 nicht tatsächlich durchzuführen, sondern lediglich zu analysieren.
  • Bei dem Überwachen 111 kann es ferner vorgesehen sein, dass eine Reaktion des Fahrzeuges 1 für die Bestimmung der Qualitätseinstufung berücksichtigt wird. Hierzu kann bspw. ein Fehlermanagement 116 des Fahrzeuges 1 und/oder Benutzereingaben über eine Mensch-Maschine-Schnittstelle 117 ausgewertet werden.
  • In 3 ist mit weiteren Einzelheiten gezeigt, dass die Applikationen 201,202 jeweils durch eine Verarbeitungsvorrichtung 30 wie einen Server und/oder ein Smartphone und/oder dergleichen ausgeführt werden, und somit außerhalb eines gesicherten Bereiches des Fahrzeuges 1 vorgesehen sein können. Eine Zugriffsschnittstelle 15 kann daher vorgesehen sein, um den Zugriff auf Verarbeitungseinheiten 20 wie Steuergeräte des Fahrzeuges 1 und/oder die wenigstens eine sicherheitsrelevante Komponente 2 zu ermöglichen. Ferner kann das in 1 visualisierte Priorisieren 104 ein Weiterleiten von Funktionsinformationen 220 der Applikationen 201,202 über die Zugriffsschnittstelle 15 an wenigstens eine in 3 dargestellte Verarbeitungseinheit 20 des Fahrzeuges 1 und/oder an die sicherheitsrelevante Komponente 2 umfassen. Die Priorisierung 104 kann hierbei festlegen, in welcher Reihenfolge und/oder ob überhaupt die Funktionsinformationen 220 weitergeleitet werden.
  • Gemäß 4 kann die wenigstens eine sicherheitsrelevante Komponente 2 zumindest eine der folgenden Komponenten des Fahrzeuges 1 umfassen: eine Bremse 3, einen Motor 4, einen Scheibenwischer 5, ein Lenksystem 6, einen Scheibenheber 7 oder wenigstens einen Scheinwerfer 8.
  • In 5 ist gezeigt, dass die Ausführung der Schritte eines erfindungsgemäßen Verfahrens 100 durch das Empfangen 301 einer Zugriffsanforderung einer Applikation 201,202 initiiert werden kann. Hierzu kann zunächst eine Freischaltung 302 des Zugriffs durch die Applikation 201,202 erfolgen. Dies kann auch eine (vorübergehende) initiale Priorisierung der Applikation 201,202 umfassen. Anschließend kann eine Überwachung 303 und Bewertung der Applikation 201,202 im laufenden Betrieb erfolgen. Daraufhin kann ein Abspeichern 304 (und ggf. Verteilen) der daraus ermittelten Qualitätseinstufung durchgeführt werden. Auf Basis der Qualitätseinstufung kann eine Deaktivierung und/oder Neupriorisierung 305 der Applikation 201,202 erfolgen.
  • Alternativ oder zusätzlich kann eine (vorübergehende) initiale Priorisierung der Applikation 201,202 sowie die Aktivierung 306 eines in 2 dargestellten Shadow-Modus 115 durchgeführt werden. Auch hier wird eine Überwachung 307 und Bewertung der Applikation 201,202 im laufenden Betrieb durchgeführt, allerdings lediglich im Shadow-Modus 115. Auch kann anschließend ein Abspeichern 308 (und ggf. Verteilen) der daraus ermittelten Qualitätseinstufung durchgeführt werden.
  • In 6 ist ein Computerprogramm 50 schematisch dargestellt, welches durch einen Computer 40, wie eine erfindungsgemäße Vorrichtung 10, ausgeführt werden kann.
  • Die voranstehende Erläuterung der Ausführungsformen beschreibt die vorliegende Erfindung ausschließlich im Rahmen von Beispielen. Selbstverständlich können einzelne Merkmale der Ausführungsformen, sofern technisch sinnvoll, frei miteinander kombiniert werden, ohne den Rahmen der vorliegenden Erfindung zu verlassen.

Claims (10)

  1. Verfahren (100) für eine Kontrolle eines Zugriffs verschiedener Applikationen (201,202) über eine Zugriffsschnittstelle (15) auf wenigstens eine sicherheitsrelevante Komponente (2) eines Fahrzeuges (1), wobei die nachfolgenden Schritte durchgeführt werden: - Auswerten (102) des jeweiligen Zugriffs der Applikationen (201,202), wobei die verschiedenen Applikationen (201,202) eine erste Applikation (201) und wenigstens eine weitere Applikation (202) umfassen, - Bewerten (103) der Applikationen (201,202) anhand des Auswertens (102), wodurch für die Applikationen (201,202) jeweils eine Qualitätseinstufung ermittelt wird, - Priorisieren (104) des Zugriffs der verschiedenen Applikationen (201,202) auf die wenigstens eine sicherheitsrelevante Komponente (2) über die Zugriffsschnittstelle (15) in Abhängigkeit von den Qualitätseinstufungen.
  2. Verfahren (100) nach Anspruch 1, dadurch gekennzeichnet, dass das Auswerten (102) des jeweiligen Zugriffs den nachfolgenden Schritt umfasst: - Überwachen der jeweiligen Applikation (201,202) während einer Funktionsausführung der Applikation (201,202), um eine Leistung und/oder ein Fehlerverhalten und/oder eine Störung der Applikation (201,202) zu ermitteln, wobei die ermittelten Leistungen und/oder die Fehlerverhalten und/oder die Störungen der verschiedenen Applikationen (201,202) bei dem Bewerten (103) einzeln bewertet und/oder miteinander verglichen werden, um die jeweilige Qualitätseinstufung anhand der Einzelbewertung und/oder des Vergleichs zu ermitteln.
  3. Verfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Auswerten (102) des jeweiligen Zugriffs den nachfolgenden Schritt umfasst: - Durchführen eines Challenge-Response-Verfahrens zur Diagnose der jeweiligen Applikation (201,202), insbesondere, um als ein Ergebnis der Diagnose eine Qualität und/oder eine Verlässlichkeit der Applikation (201,202) zu ermitteln, wobei die Ergebnisse der Diagnose der verschiedenen Applikationen (201,202) bei dem Bewerten (103) einzeln bewertet und/oder miteinander verglichen werden, um die jeweilige Qualitätseinstufung anhand der Einzelbewertung und/oder des Vergleichs zu ermitteln.
  4. Verfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Auswerten (102) des jeweiligen Zugriffs den nachfolgenden Schritt umfasst: - Überwachen des Fahrzeuges (1) während des jeweiligen Zugriffs der Applikationen (201,202), um ein Fahrzeugverhalten, insbesondere ein Fehlverhalten und/oder eine Fahrzeugreaktion, des Fahrzeuges (1) aufgrund des Zugriffs zu ermitteln, wobei die ermittelten Fahrzeugverhalten bei dem Bewerten (103) einzeln bewertet und/oder miteinander verglichen werden, um die jeweilige Qualitätseinstufung anhand der Einzelbewertung und/oder des Vergleichs zu ermitteln.
  5. Verfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Auswerten (102) des jeweiligen Zugriffs den nachfolgenden Schritt umfasst: - Überwachen einer Ausgabe der jeweiligen Applikation (201,202) während einer Funktionsausführung der Applikation (201,202), vorzugsweise um unplausible Ausgaben zu detektieren, wobei die Ausgaben bei dem Bewerten (103) einzeln bewertet und/oder miteinander verglichen werden, um die jeweilige Qualitätseinstufung anhand der Einzelbewertung und/oder des Vergleichs zu ermitteln.
  6. Verfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Auswerten (102) des jeweiligen Zugriffs den nachfolgenden Schritt umfasst: - Überwachen einer Eingabe eines Fahrers des Fahrzeuges (1) während einer Funktionsausführung der jeweiligen Applikation (201,202), um eine Rückmeldung und insbesondere einen korrigierenden Eingriff des Fahrers zu detektieren, wobei die Rückmeldungen einzeln bewertet und/oder miteinander verglichen werden, um die jeweilige Qualitätseinstufung anhand der Einzelbewertung und/oder des Vergleichs zu ermitteln.
  7. Verfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass während des Auswertens (102) des jeweiligen Zugriffs eine Ansteuerung auf die sicherheitsrelevante Komponente (2) durch den Zugriff verhindert und/oder nur simuliert wird, und erst bei dem Priorisieren (104) freigegeben wird.
  8. Verfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass während des Auswertens (102) des jeweiligen Zugriffs eine Ansteuerung auf die sicherheitsrelevante Komponente (2) zugelassen wird.
  9. Computerprogramm (50), umfassend Befehle, die bei der Ausführung des Computerprogramms (50) durch einen Computer diesen veranlassen, das Verfahren (100) nach einem der vorhergehenden Ansprüche auszuführen.
  10. Vorrichtung (10) zur Datenverarbeitung, die eingerichtet ist, das Verfahren (100) nach einem der Ansprüche 1 bis 8 auszuführen.
DE102022208004.1A 2022-08-02 2022-08-02 Verfahren für eine Kontrolle eines Zugriffs verschiedener Applikationen bei einem Fahrzeug Pending DE102022208004A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102022208004.1A DE102022208004A1 (de) 2022-08-02 2022-08-02 Verfahren für eine Kontrolle eines Zugriffs verschiedener Applikationen bei einem Fahrzeug
CN202310960041.4A CN117492946A (zh) 2022-08-02 2023-08-01 控制各种应用在车辆中的访问的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022208004.1A DE102022208004A1 (de) 2022-08-02 2022-08-02 Verfahren für eine Kontrolle eines Zugriffs verschiedener Applikationen bei einem Fahrzeug

Publications (1)

Publication Number Publication Date
DE102022208004A1 true DE102022208004A1 (de) 2024-02-08

Family

ID=89575330

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022208004.1A Pending DE102022208004A1 (de) 2022-08-02 2022-08-02 Verfahren für eine Kontrolle eines Zugriffs verschiedener Applikationen bei einem Fahrzeug

Country Status (2)

Country Link
CN (1) CN117492946A (de)
DE (1) DE102022208004A1 (de)

Also Published As

Publication number Publication date
CN117492946A (zh) 2024-02-02

Similar Documents

Publication Publication Date Title
DE102015217715B4 (de) System und Verfahren zum Sammeln von Fahrzeugdaten
DE102017113435A1 (de) Fahrzeug-Gateway-Netzwerkschutz
DE102011100106A1 (de) System zur Diagnose einer Komponente in einem Fahrzeug
DE102020110271B3 (de) Steuergerät für ein Fahrzeug und Verfahren zum Testen eines Programmelements einer Fahrzeugfunktion sowie Kraftfahrzeug mit einem Steuergerät
WO2017108407A1 (de) Verfahren zur modifikation safety- und/oder security-relevanter steuergeräte in einem kraftfahrzeug, und eine diesbezügliche vorrichtung
WO2019072840A1 (de) Vorrichtung zur absicherung von diagnosebefehlen an ein steuergerät und entsprechendes kraftfahrzeug
DE212019000335U1 (de) Datenübertragungsverfahren in Fahrzeugkommunikationsschnittstellenvorrichtung und Fahrzeugkommunikationsschnittstellenvorrichtung
DE102019214461A1 (de) Verfahren zum Fernsteuern eines Kraftfahrzeugs
DE102012016539A1 (de) Konfigurationstechnik für ein Steuergerät mit miteinander kommunizierenden Anwendungen
DE102007006614A1 (de) Anwendung einer verteilten Diagnosearchitektur in AUTOSAR
DE102015202326A1 (de) Verfahren zum Betreiben einer Datenverarbeitungseinheit eines Fahrerassistenzsystems und Datenverarbeitungseinheit
DE102018129015A1 (de) Systeme und verfahren zur fahrzeugdiagnosetesterkoordination
DE112020005622T5 (de) Informationsverarbeitungsvorrichtung, Informationsverarbeitungsverfahren und Programm
DE102022208004A1 (de) Verfahren für eine Kontrolle eines Zugriffs verschiedener Applikationen bei einem Fahrzeug
DE102016202527A1 (de) Recheneinheit für ein Kraftfahrzeug
EP1733284B1 (de) Ablaufsteuerung von funktionen auf miteinander wechselwirkenden geräten
DE102019214482A1 (de) Verfahren zum sicheren zumindest teilautomatisierten Führen eines Kraftfahrzeugs
DE102019201491A1 (de) Messdatenauswertung für fahrdynamische Systeme mit Absicherung der beabsichtigten Funktion
DE102013202961A1 (de) Verfahren zum Überwachen eines Stackspeichers in einem Betriebssystem eines Steuergeräts eines Kraftfahrzeuges
DE102022208003A1 (de) Verfahren für eine Kontrolle eines Zugriffs verschiedener Applikationen bei einem Fahrzeug
DE102020108987A1 (de) Verfahren, System, Computerprogramm und Speichermedium zum fehlertoleranten Betreiben eines Fahrzeugs
DE102018209835B3 (de) Verfahren zum Betreiben einer Steuervorrichtung eines Geräts sowie Konfigurationssystem für eine Steuervorrichtung eines Geräts
DE102021212594A1 (de) Verfahren zum Starten einer Speichereinheit einer Recheneinheit
DE102021104218A1 (de) System und Verfahren zur Überprüfung von Fahrzeugfunktionen
DE102022211526A1 (de) Verfahren zur Überwachung eines Fahrzeugsystems