EP2727039A1 - Vehicle unit and method for operating the vehicle unit - Google Patents

Vehicle unit and method for operating the vehicle unit

Info

Publication number
EP2727039A1
EP2727039A1 EP12729145.8A EP12729145A EP2727039A1 EP 2727039 A1 EP2727039 A1 EP 2727039A1 EP 12729145 A EP12729145 A EP 12729145A EP 2727039 A1 EP2727039 A1 EP 2727039A1
Authority
EP
European Patent Office
Prior art keywords
unit
operating system
main operating
vehicle
partition
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
EP12729145.8A
Other languages
German (de)
French (fr)
Inventor
Bernd Becker
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Automotive GmbH
Original Assignee
Continental Automotive GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive GmbH filed Critical Continental Automotive GmbH
Publication of EP2727039A1 publication Critical patent/EP2727039A1/en
Ceased legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R99/00Subject matter not provided for in other groups of this subclass
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode

Definitions

  • Vehicle unit and method for operating the vehicle unit are Vehicle unit and method for operating the vehicle unit
  • the invention relates to a vehicle unit for controlling vehicle functions, such as a central driving ⁇ imaging control unit, a multimedia-vehicle unit or the ⁇ same, and a method for operating this vehicle unit.
  • vehicle unit includes, as usual, to a micropro cessor ⁇ with an attached memory, is implemented on the microprocessor, a main operating system, which is also referred to as Main Operating System OS.
  • main operating system forms the interface of the hardware of the vehicle control unit to application programs (applications) implemented in the main system and / or optionally additionally implemented on the microprocessor, and user interactions via a user interface (user interface).
  • Such electronic vehicle units are increasingly used in vehicles, in which application programs are installed on the vehicle units, the components connected by Hardwarekompo-technikeinga ⁇ ben or to the vehicle unit, or both can be controlled.
  • Such open systems lead with some probability cause the Hauptbe ⁇ operating system and / or application programs on the vehicle ⁇ unit no longer function under certain conditions, for example due to errors in describing the connected in-vehicle unit memory.
  • Such problems can arise with too many rollback memory accesses to previous memory entries or programs' addition or deletion actions.
  • a Neuinstallati ⁇ on the main operating system and, where appropriate, the application programs is necessary.
  • the object of the present invention is to reduce the number of cases in which the repair Construction and sending the vehicle unit described above must be performed on a re ⁇ paraturservice.
  • the microprocessor is constructed in a microkernel architecture with separate partitions for a main operating system unit, a crypto unit and a supervision unit, wherein in the main operating system unit Hauptbe ⁇ operating system and, optionally, application programs incorporated ⁇ directed are, in the CRYPTO unit software certificates are ge ⁇ stores and a verification program is adapted to validation of certificates and software packages, and wherein in the supervision unit a monitoring program for monitoring the functions of the other partitions the microkernel architecture is provided.
  • the separate partitions with the programs set up on them operate independently of each other, the supervisory unit monitoring program monitoring the functions of the other partitions and preferably initiating a repair operation upon detection of an error, for example rewriting the failed partition in the microkernel architecture.
  • Flash serves to repair the system by returning it to the system's most recent stable state.
  • the microkernel architecture With separate partitions, it is therefore possible in the invention to use the Super Vision unit even if the main ⁇ operating system unit is faulty, so that by the Supervision unit repair of the entire system suc ⁇ gen, which had to be done conventionally by connecting a corresponding repair system at a repair service.
  • the monitoring program of the supervision unit can be realized, for example, as a kind of watchdog function, in particular for the main operating system unit.
  • the entire microkernel architecture is preferably implemented on exactly one microprocessor, on which all units of the various partitions are set up and on which all the functions assigned to the various units run by implementation of suitable programs.
  • the partition can be set up with the Haupt horrssys ⁇ tem unit to by an end user, examples example by a download and install new applications and / or firmware programs, be changeable.
  • Firmware programs can also include new Versio ⁇ nen of the main operating system in particular. It is possible according to both updates in ⁇ stalling and the partition completely re-writing ⁇ ben (Flashing), the main operating system is reinstalled in the vehicle unit. This represents a possible ⁇ ability to put the vehicle unit in a functional error again in a functional condition.
  • further partitions of the microkernel architecture in the microprocessor can be set up to be unchangeable by the end user. This may preferably concern all further partitions of the microkernel architecture, but in particular the crypto unit and the Supervision unit or the respective Partitio ⁇ nen with the crypto unit and the supervision unit.
  • the crypto unit can be set up to decrypt and / or check packages of software to be installed in the vehicle unit in the check program.
  • US 2009/0217136 Al already describes a memory device with a flash memory module and a controller contained in the memory device, which has its own microprocessor with an error correction module which is used in the storage or reading of data from the flash memory module performs a packetwise correction.
  • this 2009/0217136 proposes US AI an intrinsically ⁇ permanent microprocessor before, which is firmly associated with the memory unit, the memory unit may even be connected to a host computer system.
  • a realization of this function in the context of a microkernel architecture offers the advantage that a single microprocessor can be used, since the crypto unit according to the invention is also one of the microkernel architectures externally unchangeable partition is designed, which is here ⁇ secured against unwanted or deliberate manipulation and works particularly reliable in the context of the decryption and review of the main operating system and / or application software. In the context of this proposed architecture, it is not necessary to provide a separate processor and controller for this purpose.
  • the invention particularly important supervision unit is set up to initiate a recovery process for the partitions with the main operating system with the monitoring ⁇ program in case of failure in the main operating system.
  • the vehicle operating unit can thereby be operated particularly safely and reliably.
  • the basic version of a functioning main operating system with the essential application programs for example in the form of an image (image) can be stored in the flash memory connected to the vehicle ⁇ unit, which as a backup image of the partition of the main operating system by the supervision unit to ⁇ is written back.
  • the vehicle unit may be an interface for an ex- Have ternes storage medium, which is also controlled by the super vision unit.
  • This interface can be, for example, a USB interface, an interface for plugging in a Secure Digital Card (SD card), another data card or the like.
  • SD card Secure Digital Card
  • the super-vision unit or the implemented therein monitoring program on an emergency operating system which is adapted to drive necessary user interface such as a display, an input unit, and the like, as well as interfaces for an external storage medium and to execute the Reset factory ⁇ averaging method.
  • the micro-kernel architecture can (Kernel separation) may be formed with a separate partition for a policy unit as a so-called separation kernel, wherein the policy unit is as ⁇ to set up the communication between the individual partitions of the microkernel architecture be monitored and, if necessary, controlled.
  • the policy unit is as ⁇ to set up the communication between the individual partitions of the microkernel architecture be monitored and, if necessary, controlled.
  • the vehicle unit or the respective units of the various partitions of the microkernel architecture According to the invention set thereof for carrying out the following be written ⁇ method for operating the vehicle unit, or parts thereof.
  • the method is suitable Operator Op ⁇ ben a vehicle unit comprising a microprocessor on WEL ehern the prescribed microkernel architecture is fitted with the separate partitions for a main operating system unit, egg ⁇ ne crypto unit, and a Supvervisions unit.
  • the main operating system unit according to the invention, the main operating system and optionally application programs are set up. These can be changed by the user.
  • software certificates are stored and set up a verification program for checking certificates and complete software packages.
  • the invention provides in the microkernel architecture, and by the monitoring program of a supervision unit drive the main operating system and optionally EXISTING ⁇ dene application software during startup and / or the loading of the Main operating system or the vehicle ⁇ unit monitors and in case of deviations from a predetermined behavior, a recovery process for the main operating system is initiated.
  • the vehicle unit can be restarted in a failure and restored to an operational state, without a removal of the vehicle unit and rewriting the memory connected to the microprocessor for re-implementation of the main operating system software and the application programs are necessary.
  • a particularly advantageous embodiment of the method according to the invention is to detect deviations during startup and / or operation of the main operating ⁇ system a typical start time for a user interface (Human Machine Interface - HMI), which claimed by the Hauptbe ⁇ operating system computing time of the microprocessor and / or the storage claimed by the main operating system. For example, by comparing with predetermined limits for a normal operation monitored.
  • Such data can be easily monitored by the monitoring program in a kind of watchdog function, for example, by simulating a response of the user interface and till ⁇ queries and the operation of the microprocessor and the memory ⁇ place are monitored. This is possible under an inde ⁇ -ended process in the Super Vision unit easily without any errors in the partition of
  • Main operating system unit affect this function.
  • the recovery process is started may preferably be in the context of this recovery process, the Partiti ⁇ on the main operating system unit completely bringsschal ⁇ tet and discharged from the microkernel architecture.
  • the emergency operating system of the Su ⁇ pervisions unit then takes over the control of the user interface and / or an interface for the external storage medium to indicate the failure of the vehicle unit and a new implement the main operating system unit in the ent ⁇ speaking partition the micro-kernel To be able to carry out architecture.
  • the recovery process of the invention can be automated and / or Runaway ⁇ leading user-controlled. A particularly fast, automatic re ⁇ production of the defective partition can then be achieved if in the inventive method a writeback in the vehicle unit, for example, on the
  • Microprocessor connected memory stored backup images of the partition of the main operating system is done. After writing back such a backup image, the vehicle unit can be restarted, with the restart running the newly installed main operating system.
  • a serial number, a version identification ⁇ number or the like to be output to the user, to the user to select the appropriate main operating system, that is ei ⁇ ner appropriate firmware to allow a manufacturer's site in the Internet.
  • a serial number, a version identification ⁇ number or the like to be output to the user, to the user to select the appropriate main operating system, that is ei ⁇ ner appropriate firmware to allow a manufacturer's site in the Internet.
  • information can also be a suitable Internet link, particularly in the form of an html file that is output on the external Spei ⁇ chermedium that can be called ⁇ when connected to another computer system with an Internet connection directly up and download the appropriate main operating system.
  • the html file optionally with yes ⁇ vaScript shares, checks the size of the storage medium and stores an image file and / or an update file of the main operating system to be installed in a suitable directory.
  • an error reduction is achieved because a faulty installation of a wrong operating ⁇ system is avoided from the outset, without the installed in the vehicle unit crypto unit would have to grasp ⁇ accordingly.
  • a certifi cate ⁇ can be used here.
  • a check is carried out by the crypto unit.
  • serial number, hardware version, integrity, certificate or the like can be checked and, if necessary, a decryption can be carried out.
  • the presence checks an external storage medium to the image file and / or the update file and their in ⁇ stallation starts at presence immediately. Otherwise, the presence of the external memory is not checked. This also ensures that an update with the same software version does not occur several times, which can sometimes lead to an unstable system. After a successful reinstallation of the main operating system, also called flashing, then in the normal and usual way faster start mode is switched again.
  • main operating system also called flashing
  • the present invention also relates to a computer program product with program code means for setting up in a computer unit, which computer program product is characterized in that by the program code means when executing the computer program a microkernel architecture according to one of claims 1 to 6 and / or a method according to one of claims 7 to 12 is set up in the microprocessor of the vehicle unit.
  • FIG. 1 shows schematically the structure of a device according to the invention.
  • FIG. 2 shows a schematic sequence for operating a vehicle unit according to the present invention.
  • Fig. 1 the system partitioning of a memory connected to the microprocessor is shown on the the memory accesses the sequence of various programs in the partitions.
  • This partition is formed as a Separati ⁇ onskernel, which is a special variant of a microkernel architecture.
  • the various partitions 1, 2, 3, 4 implemented for the main operating system unit, the super-vision unit, the policy unit and the crypto unit in the same Mik ⁇ roratior with an attached memory, the different partitions run independently on the microprocessor and can also be executed in parallel.
  • the main operating system of the vehicle unit is installed, which can be changed by the end user, for example by downloading and installing new application programs or new Kleinbe ⁇ operating system software versions.
  • the partition 4 with the crypto unit is responsible for storing and validating certificates and checking the certificates of application software or complete software packages. All software certificates are installed inside Par ⁇ titionen 4 with the crypto unit without the other partitions 1, 2, 3 access to the partition 4 ben ha-. As a result, the security is increased according to the invention, because the crypto unit can not be changed by the user.
  • Partition 2 with the supervision unit for example, monitors the others with watchdog-like mechanisms
  • Partitions 1, 3, 4, and in particular the partition 1 with the main operating system unit which is responsible for the proper functioning of the vehicle unit.
  • This unit is so inventively responsible for detecting a non-function-onsstoryen main operating system and the introduction of a car ⁇ matic or user-interactive recovery process.
  • the partition 3 with the policy unit is a standard unit of a separation kernel and monitors rackingswei ⁇ se controls the communication between the different partitions 1, 2, 4. For example, checks whether a partition A send a message M to a partition B may.
  • the policy unit controls the access rights to physical volumes or flash partitions, and changes the budgets for processor power allocation to individual processes or storage space.
  • An essential concept of the present invention is now outsource responsible for the monitoring and restore the entire vehicle unit program code from the par ⁇ tition 1 with the main operating system unit in the partition 2 with the Supervision unit, said Par ⁇ tition 2 by the microkernel architecture is protected from interference or access from partition 1 while still running on the same microprocessor.
  • This function allows the monitoring function of a this usually provided external Mikrokon- is troller in the partition 2 of the Supervision Unit übertra ⁇ gen cooperating within the framework of their duties with the policy unit and the crypto unit.
  • the supervision unit, the crypto unit and the policy unit can replace the three different partitions 2 3 and 4 are also combined in a common partition, which according to the invention, however, differs from the partition 1 of the main operating system unit.
  • the partition 1 of the main operating system unit differs from the partition 1 of the main operating system unit.
  • a monitoring program runs in the super vision unit of the partition 2 in order to detect faults in the main operating system.
  • the Supervision Unit monitors the start of the main operation ⁇ system with regard to some detail functions. These detailed functions include important service functions and states of the main operating system.
  • HMI man-machine interface
  • angesteu ⁇ ert from the main operating system.
  • the function of the human-machine interface is checked by the supervision unit, for example by means of a fictitious input. If the man-machine interface after starting the vehicle unit after is not operational for a given time, this can be considered a failure of the main operating system.
  • the partition 1 of the main operating system can be regarded as faulty if an extraordinary loading ⁇ the processing power of the processor or an exceptional storage space requirement is determined. Excessive network traffic between the individual partitions of the separation kernel can also be seen as a characteristic of a faulty main operating system.
  • Main OS unit is completely powered off and unloaded from the microkernel architecture.
  • the a supervision unit then takes over under an emergency operating system, the remaining functions of the vehicle unit to which in particular also the response of the spot man-machine interface ⁇ belongs.
  • the supervision unit issues an error message to the end user via a screen of the human-machine interface.
  • An Internet link in particular an https link, with some details such as the serial number or a version identification number is output on the same screen on which the error message is displayed, so that the end user receives an up-to-date software package for the main operating system and / or the he requires application soft ⁇ ware can be downloaded from the Internet from a service side of the manufacturer of the vehicle unit.
  • the software download can be done by a conventional PC and on an external storage means, such as a USB memory stick done.
  • the supervision unit activates in the Emergency operating system the needed driver for external
  • the emergency operating system detects such an external storage means to egg ner interface, for example, when restarting the vehicle unit, the file system is searched for ei ⁇ nem software update package. Once such Pa ⁇ ket is detected, the hash value of the packet calculation ⁇ net, a signature is read and read the Locks ⁇ doubted software version and hardware compatibility of the package of the storage device and the partition 4 with the Crypto unit sent.
  • the crypto unit ⁇ checks the contents of the software package and gives the moni ⁇ toring unit feedback whether the software package for the present hardware is permitted. Furthermore, the Cryptoworks to-package can decrypt the software packets and provide for in ⁇ stallation.
  • the supervision unit performs a complete check on the blocks of the flash partitions used for the main operating system. Then it starts a reinstallation of the flash partition with the main operating system (flashing). After a successful installation in the partition 1, the main operating system unit, the vehicle starts generating unit at the next start with the new Radiosys ⁇ tem. In addition to error handling, they can also import targeted updates in this way, which can be triggered, for example, by a user input in the main operating system.
  • the super ⁇ visions unit chert a Launching an online link storage offered on a Schlos ⁇ Senen to the Vehicle Unit memory device in which already necessary information to Identifika ⁇ tion of the appropriate and required software are included. In this way, error entries are avoided.
  • a user-controllable method for operating the vehicle unit can be carried out, which allows the unit to be restored in the event of a software error without it having to be removed and sent to a special service point.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Mechanical Engineering (AREA)
  • Stored Programmes (AREA)
  • Debugging And Monitoring (AREA)

Abstract

The invention describes a vehicle unit and a method for controlling vehicle functions with a microprocessor and connected memory, on which a main operating system which forms the hardware interface for application programs and user interactions is implemented. Provision is made for the microprocessor to be constructed in a microkernel architecture with separate partitions for a main operating system unit (1), a cryptographic unit (4) and a supervision unit (2), wherein the main operating system is set up in the main operating system unit (1), wherein software certificates are stored in the cryptographic unit (4) and a verification program for verifying certificates and software packages is set up therein, and wherein a monitoring program for monitoring the operation of the other partitions of the microkernel architecture is provided in the supervision unit (2).

Description

Beschreibung description
Fahrzeugeinheit und Verfahren zum Betreiben der Fahrzeugeinheit Vehicle unit and method for operating the vehicle unit
Die Erfindung betrifft eine Fahrzeugeinheit zur Steuerung von Fahrzeugfunktionen, beispielsweise eine zentrale Fahr¬ zeugsteuereinheit, eine Multimedia-Fahrzeugeinheit oder der¬ gleichen, sowie ein Verfahren zum Betreiben dieser Fahrzeug- einheit. Die Fahrzeugeinheit weist wie üblich einen Mikropro¬ zessor mit einem angeschlossenen Speicher auf, wobei auf dem Mikroprozessor ein Hauptbetriebssystem, welches nachfolgend auch als Main Operating System OS bezeichnet wird, implementiert ist. Das Hauptbetriebssystem bildet erfindungsgemäß die Schnittstelle der Hardware der Fahrzeugsteuereinheit zu in dem Hauptsystem implementierten und/oder gegebenenfalls auch auf den Mikroprozessor zusätzlich implementierten Anwendungsprogrammen (Applikationen) und Benutzerinteraktionen über eine Benutzerschnittstelle (User Interface) . The invention relates to a vehicle unit for controlling vehicle functions, such as a central driving ¬ imaging control unit, a multimedia-vehicle unit or the ¬ same, and a method for operating this vehicle unit. The vehicle unit includes, as usual, to a micropro cessor ¬ with an attached memory, is implemented on the microprocessor, a main operating system, which is also referred to as Main Operating System OS. According to the invention, the main operating system forms the interface of the hardware of the vehicle control unit to application programs (applications) implemented in the main system and / or optionally additionally implemented on the microprocessor, and user interactions via a user interface (user interface).
Derartige elektronische Fahrzeugeinheiten kommen zunehmend in Fahrzeugen zum Einsatz, wobei auf den Fahrzeugeinheiten Anwendungsprogramme installiert sind, die durch Benutzereinga¬ ben oder an die Fahrzeugeinheit angeschlossene Hardwarekompo- nenten oder beides gesteuert werden. Solche offenen Systeme führen mit einiger Wahrscheinlichkeit dazu, dass das Hauptbe¬ triebssystem und/oder Anwendungsprogramme auf der Fahrzeug¬ einheit unter bestimmten Bedingungen nicht mehr funktionieren, beispielsweise aufgrund von Fehlern beim Beschreiben des in der Fahrzeugeinheit angeschlossenen Speichers. Derartige Probleme können bei zu vielen Rollback-Speicherzugriffen auf frühere Speichereinträge oder Hinzufüge- oder Löschaktionen von Programmen entstehen. Häufig ist dann eine Neuinstallati¬ on des Hauptbetriebssystems sowie gegebenenfalls der Anwen- dungsprogramme notwendig. Diese Neuinstallation ist für Erst¬ ausrüster, Zwischenhändler und Endkunden sehr aufwendig, weil die Fahrzeugeinheit aus dem Fahrzeug ausgebaut und an einen Reparaturservice versandt werden muss, der dann in einem auch als "Flashing" bezeichneten Prozess den Speicher neu beschreiben muss, um das Hauptbetriebssystem und gegebenenfalls die Anwendungsprogramme auf dem Mikroprozessor neu zu imple- mentieren. Such electronic vehicle units are increasingly used in vehicles, in which application programs are installed on the vehicle units, the components connected by Hardwarekompo- Benutzereinga ¬ ben or to the vehicle unit, or both can be controlled. Such open systems lead with some probability cause the Hauptbe ¬ operating system and / or application programs on the vehicle ¬ unit no longer function under certain conditions, for example due to errors in describing the connected in-vehicle unit memory. Such problems can arise with too many rollback memory accesses to previous memory entries or programs' addition or deletion actions. Frequently, a Neuinstallati ¬ on the main operating system and, where appropriate, the application programs is necessary. This reinstallation is very expensive for Erst ¬ equipment, middlemen and end customers, because the vehicle unit removed from the vehicle and to a Repair service must be sent, which then has to rewrite the memory in a process known as "flashing" to re-implement the main operating system and possibly the application programs on the microprocessor.
Weil dies sehr arbeits- und kostenintensiv ist, liegt die Aufgabe der vorliegenden Erfindung darin, die Anzahl der Fälle zu reduzieren, in denen die zuvor beschriebene Reparatur durch Ausbau und Übersendung der Fahrzeugeinheit an einen Re¬ paraturservice ausgeführt werden müssen. Because this is very labor intensive and costly, the object of the present invention is to reduce the number of cases in which the repair Construction and sending the vehicle unit described above must be performed on a re ¬ paraturservice.
Diese Aufgabe wird durch eine Fahrzeugeinheit mit den Merkma¬ len des Anspruchs 1 und ein Verfahren zu deren Betreiben ge- maß den Merkmalen des Anspruchs 7 gelöst. Bei einer Fahrzeug¬ einheit der eingangs beschriebenen Art ist dazu vorgesehen, dass der Mikroprozessor in einer Mikrokernel-Architektur mit separaten Partitionen für eine Hauptbetriebssystem-Einheit, eine Crypto-Einheit und eine Supervisions-Einheit aufgebaut ist, wobei in der Hauptbetriebssystem-Einheit das Hauptbe¬ triebssystem sowie gegebenenfalls Anwendungsprogramme einge¬ richtet sind, in der Crypto-Einheit Software-Zertifikate ge¬ speichert sind und ein Überprüfungsprogramm zur Überprüfung von Zertifikaten und Softwarepaketen eingerichtet ist, und wobei in der Supervisions-Einheit ein Überwachungsprogramm zur Überwachung der Funktionen der anderen Partitionen der Mikrokernel-Architektur vorgesehen ist. This object is achieved by a vehicle unit with the Merkma ¬ len of claim 1 and a method for their operation GE measure the features of claim 7 solved. In a vehicle ¬ unit of the type described above, it is provided that the microprocessor is constructed in a microkernel architecture with separate partitions for a main operating system unit, a crypto unit and a supervision unit, wherein in the main operating system unit Hauptbe ¬ operating system and, optionally, application programs incorporated ¬ directed are, in the CRYPTO unit software certificates are ge ¬ stores and a verification program is adapted to validation of certificates and software packages, and wherein in the supervision unit a monitoring program for monitoring the functions of the other partitions the microkernel architecture is provided.
Erfindungsgemäß arbeiten die separaten Partitionen mit den darauf eingerichteten Programmen unabhängig voneinander, wobei das Überwachungsprogramm der Supervisions-Einheit die Funktionen der anderen Partitionen überwacht und vorzugsweise bei Feststellen eines Fehlers einen Reparaturvorgang einleitet, beispielsweise durch Neubeschreiben der fehlerhaften Partition in der Mikrokernel-Architektur. Ein derartigerAccording to the invention, the separate partitions with the programs set up on them operate independently of each other, the supervisory unit monitoring program monitoring the functions of the other partitions and preferably initiating a repair operation upon detection of an error, for example rewriting the failed partition in the microkernel architecture. Such a
Flash-Vorgang dient dem Reparieren des Systems durch Zurückbringen auf den letztbekannten stabilen Zustands des Systems. Durch das Vorsehen der Mikrokernel-Architektur mit den separaten Partitionen ist es daher erfindungsgemäß möglich, die Supervisions-Einheit auch dann zu verwenden, wenn die Haupt¬ betriebssystem-Einheit fehlerhaft ist, so dass durch die Su- pervisions-Einheit eine Reparatur des gesamten Systems erfol¬ gen kann, die herkömmlich durch Anschließen eines entsprechenden Reparatursystems bei einem Reparaturservice erfolgen musste. Das Überwachungsprogramm der Supervisions-Einheit kann dabei beispielsweise als eine Art Watchdog-Funktion ins- besondere für die Hauptbetriebssystem-Einheit realisiert sein. Erfindungsgemäß ist die gesamte Mikrokernel-Architektur vorzugsweise auf genau einem Mikroprozessor implementiert, auf dem also alle Einheiten der verschiedenen Partitionen eingerichtet sind und auf dem alle den verschiedenen Einhei- ten zugewiesenen Funktionen durch Implementierung geeigneter Programme ablaufen. Flash serves to repair the system by returning it to the system's most recent stable state. By providing the microkernel architecture with separate partitions, it is therefore possible in the invention to use the Super Vision unit even if the main ¬ operating system unit is faulty, so that by the Supervision unit repair of the entire system suc ¬ gen, which had to be done conventionally by connecting a corresponding repair system at a repair service. The monitoring program of the supervision unit can be realized, for example, as a kind of watchdog function, in particular for the main operating system unit. According to the invention, the entire microkernel architecture is preferably implemented on exactly one microprocessor, on which all units of the various partitions are set up and on which all the functions assigned to the various units run by implementation of suitable programs.
Erfindungsgemäß kann die Partition mit der Hauptbetriebssys¬ tem-Einheit dazu eingerichtet sein, von einem Endnutzer, bei- spielsweise durch einen Download und Installation neuer Anwendungsprogramme und/oder Firmwareprogramme, veränderbar sein. Firmwareprogramme können insbesondere auch neue Versio¬ nen des Hauptbetriebssystems umfassen. Dabei ist es erfindungsgemäß möglich, sowohl Updates zu in¬ stallieren als auch die Partition vollständig neu zu schrei¬ ben (Flashing) , wobei das Hauptbetriebssystem in der Fahrzeugeinheit neu installiert wird. Dies stellt eine Möglich¬ keit dar, die Fahrzeugeinheit bei einem Softwarefehler wieder in einen funktionsfähigen Zustand zu versetzen. According to the invention, the partition can be set up with the Hauptbetriebssys ¬ tem unit to by an end user, examples example by a download and install new applications and / or firmware programs, be changeable. Firmware programs can also include new Versio ¬ nen of the main operating system in particular. It is possible according to both updates in ¬ stalling and the partition completely re-writing ¬ ben (Flashing), the main operating system is reinstalled in the vehicle unit. This represents a possible ¬ ability to put the vehicle unit in a functional error again in a functional condition.
Gemäß einer besonders vorteilhaften Weiterbildung der vorliegenden Erfindung können weitere Partitionen der Mikrokernel- Architektur in dem Mikroprozessor dazu eingerichtet sein, durch den Endnutzer nicht änderbar zu sein. Dies kann vorzugsweise alle weiteren Partitionen der Mikrokernel-Architektur betreffen, insbesondere aber die Crypto-Einheit und die Supervisions-Einheit beziehungsweise die jeweiligen Partitio¬ nen mit der Crypto-Einheit und der Supervisions-Einheit. According to a particularly advantageous development of the present invention, further partitions of the microkernel architecture in the microprocessor can be set up to be unchangeable by the end user. This may preferably concern all further partitions of the microkernel architecture, but in particular the crypto unit and the Supervision unit or the respective Partitio ¬ nen with the crypto unit and the supervision unit.
Hierdurch lässt sich insgesamt eine hohe Systemsicherheit bei gleichzeitiger Einflussnahme durch den Benutzer auf die This can be a total high system security while influencing the user on the
Hauptbetriebssystem-Einheit erreichen, da die für eine mögli¬ che Wiederherstellung des Hauptbetriebssystems verantwortli¬ chen Partitionen und Einheiten der Mikrokernel-Architektur nicht durch Benutzereingriffe verändert werden können und da¬ her eine Wiederherstellung der Fahrzeugeinheit auf einen vor- gegebenen, definierten Stand ermöglichen. Reach main operating system unit, as a Moegli ¬ che restoration of the main operating system person responsible ¬ chen partitions and units of the microkernel architecture can not be changed by user interaction and there ¬ allow her recover the vehicle unit to a pre-given, defined state.
In Weiterentwicklung des erfindungsgemäßen Gedankens kann die Crypto-Einheit dazu eingerichtet sein, in der Fahrzeugeinheit zu installierende Software mit in dem Überprüfungsprogramm paketweise zu entschlüsseln und/oder zu überprüfen. Hierdurch wird das Problem gelöst, dass der in den Fahrzeugeinheiten an den Mikroprozessor angeschlossene Speicher, insbesondere ein Flash-Speicher, nur eine vergleichsweise geringe Speicherplatzkapazität aufweist, die häufig für das Zwischenspeichern vollständiger Applikationen nicht ausreichend ist. Dies gilt beispielsweise auch für ein vollständiges Image (Abbild) der Partition mit dem Hauptbetriebssystem. In a refinement of the inventive concept, the crypto unit can be set up to decrypt and / or check packages of software to be installed in the vehicle unit in the check program. This solves the problem that the memory connected to the microprocessor in the vehicle units, in particular a flash memory, has only a comparatively small memory capacity, which is often insufficient for buffering complete applications. This also applies, for example, to a complete image (image) of the partition with the main operating system.
In diesem Zusammenhang ist aus der US 2009/0217136 AI bereits ein Speichergerät mit einem Flash-Speichermodul und einem in dem Speichergerät enthaltenen Controller beschrieben, welcher einen eigenen Mikroprozessor mit einem Fehlerkorrekturmodul aufweist, das bei dem Speichern oder Lesen von Daten aus dem Flash-Speichermodul eine paketweise Korrektur durchführt. Hierfür schlägt die US 2009/0217136 AI jedoch einen eigen¬ ständigen Mikroprozessor vor, der der Speichereinheit fest zugeordnet ist, wobei die Speichereinheit selbst an ein Host- Computersystem angeschlossen werden kann. Eine Realisierung dieser Funktion im Rahmen einer Mikrokernel-Architektur bie- tet dagegen den Vorteil, dass ein einziger Mikroprozessor verwendet werden kann, weil auch die erfindungsgemäße Crypto- Einheit im Rahmen der Mikrokernel-Architektur als eine von außen nicht veränderbare Partition ausgestaltet ist, die da¬ her gegen ungewollte oder bewusste Manipulationen gesichert ist und im Rahmen der Entschlüsselung und Überprüfung der Hauptbetriebssystem- und/oder Anwendungssoftware besonders zuverlässig arbeitet. Im Rahmen dieser vorgeschlagenen Architektur ist es nicht notwendig, hierfür einen separaten Prozessor und Controller vorzusehen. In this context, US 2009/0217136 Al already describes a memory device with a flash memory module and a controller contained in the memory device, which has its own microprocessor with an error correction module which is used in the storage or reading of data from the flash memory module performs a packetwise correction. However, for this 2009/0217136 proposes US AI an intrinsically ¬ permanent microprocessor before, which is firmly associated with the memory unit, the memory unit may even be connected to a host computer system. On the other hand, a realization of this function in the context of a microkernel architecture offers the advantage that a single microprocessor can be used, since the crypto unit according to the invention is also one of the microkernel architectures externally unchangeable partition is designed, which is here ¬ secured against unwanted or deliberate manipulation and works particularly reliable in the context of the decryption and review of the main operating system and / or application software. In the context of this proposed architecture, it is not necessary to provide a separate processor and controller for this purpose.
Vorteilhafterweise ist die erfindungsgemäß besonders wichtige Supervisions-Einheit dazu eingerichtet, mit dem Überwachungs¬ programm im Falle eines Fehlers in dem Hauptbetriebssystem ein Wiederherstellungsverfahren für die Partitionen mit dem Hauptbetriebssystem einzuleiten. Indem dies automatisch bei dem Feststellen eines Fehlers in dem Hauptbetriebssystem der Fahrzeugeinheit erfolgt, kann die Fahrzeugbetriebseinheit hierdurch besonders sicher und zuverlässig betrieben werden. Advantageously, the invention particularly important supervision unit is set up to initiate a recovery process for the partitions with the main operating system with the monitoring ¬ program in case of failure in the main operating system. By doing so automatically upon detecting a fault in the main operating system of the vehicle unit, the vehicle operating unit can thereby be operated particularly safely and reliably.
Gemäß einer einfachen Variante kann in dem an die Fahrzeug¬ einheit angeschlossenen Flash-Speicher die Grundversion eines funktionierenden Hauptbetriebssystems mit den wesentlichen Anwendungsprogrammen beispielsweise in Form eines Abbildes (Image) abgelegt sein, welches als Backup-Image der Partition des Hauptbetriebssystems durch die Supervisionseinheit zu¬ rückgeschrieben wird. According to a simple variant, the basic version of a functioning main operating system with the essential application programs, for example in the form of an image (image) can be stored in the flash memory connected to the vehicle ¬ unit, which as a backup image of the partition of the main operating system by the supervision unit to ¬ is written back.
Alternativ oder ergänzend kann im Rahmen des Wiederherstel¬ lungsverfahrens ein vorzugsweise Benutzer-interaktiver Download einer aktuellen Hauptbetriebssystem-Version stattfinden, welche anschließend in der Partition der Hauptbetriebssystem- Einheit durch die Supervisions-Einheit installiert wird. Da¬ bei kann vor oder während der Installation durch die Crypto- Einheit die Integrität der installierten Software überprüft werden . Um eine einfache Übertragung einer aktuellen Hauptbetriebs¬ systemversion oder aktueller Anwendungsprogramme zu ermögli¬ chen, kann die Fahrzeugeinheit eine Schnittstelle für ein ex- ternes Speichermedium aufweisen, welche auch durch die Super- visions-Einheit ansteuerbar ist. Diese Schnittstelle kann beispielsweise eine USB-Schnittstelle, eine Schnittstelle zum Einstecken einer Secure-Digital-Card (SD-Karte) , einer ande- ren Datenkarte oder dergleichen sein. Dabei muss die Schnitt¬ stelle nicht unmittelbar an der Fahrzeugeinheit vorgesehen sein, sondern kann erfindungsgemäß auch in eine in dem Fahrzeug ohnehin vorhandene Benutzerschnittstelle integriert sein . Alternatively or in addition, as part of the Reset factory ¬ development method, a preferably user-interactive download of a current main operating system version can take place, which is then installed in the partition of Hauptbetriebssystem- unit by the Supervision Unit. Since ¬ when, during the installation by the crypto unit, the integrity of installed software to be tested before or. To ermögli ¬ chen easy transfer to a recent major operation ¬ system version or current applications, the vehicle unit may be an interface for an ex- Have ternes storage medium, which is also controlled by the super vision unit. This interface can be, for example, a USB interface, an interface for plugging in a Secure Digital Card (SD card), another data card or the like. The cut must ask ¬ not be provided directly to the vehicle unit, but can be inventively integrated into an already existing in the vehicle user interface.
Vorzugsweise weist die Supervisions-Einheit beziehungsweise das darin implementierte Überwachungsprogramm ein Not- Betriebssystem auf, welches dazu eingerichtet ist, benötigte Benutzerschnittstellen wie beispielsweise ein Display, eine Eingabeeinheit und dergleichen, sowie Schnittstellen für ein externes Speichermedium anzusteuern und das Wiederherstel¬ lungsverfahren auszuführen. Preferably, the super-vision unit or the implemented therein monitoring program on an emergency operating system, which is adapted to drive necessary user interface such as a display, an input unit, and the like, as well as interfaces for an external storage medium and to execute the Reset factory ¬ averaging method.
Gemäß einer besonders bevorzugten Ausführungsform kann die Mikrokernel-Architektur als sogenannter Separationskernel (Separation Kernel) mit einer separaten Partition für eine Policy-Einheit ausgebildet sein, wobei die Policy-Einheit da¬ zu eingerichtet ist, die Kommunikation zwischen den einzelnen Partitionen der Mikrokernel-Architektur zu überwachen und ge- gebenenfalls zu steuern. So hindert zum Beispiel die Policy- Einheit das Hauptbetriebssystem an einem Zugriff auf die anderen Partitionen und kontrolliert Kommunikationsabläufe zwi¬ schen den einzelnen Partitionen. Hierdurch wird eine besonders hohe Betriebssicherheit und Manipulationssicherheit der Fahrzeugeinheit erreicht, weil durch die ebenfalls durch den Benutzer nicht veränderbare Policy-Einheit unvorhergesehene Aktionen innerhalb des an den Mikroprozessor angeschlossenen Speichers oder innerhalb des Mikroprozessors selbst nicht er¬ folgen können. According to a particularly preferred embodiment, the micro-kernel architecture can (Kernel separation) may be formed with a separate partition for a policy unit as a so-called separation kernel, wherein the policy unit is as ¬ to set up the communication between the individual partitions of the microkernel architecture be monitored and, if necessary, controlled. Thus preventing, for example, the policy- unit, the main operating system from accessing the other partitions and controlled communication processes Zvi ¬ rule the individual partitions. As a result, a particularly high reliability and tamper resistance of the vehicle unit is achieved because unforeseen actions within the connected to the microprocessor memory or within the microprocessor itself he can not follow ¬ by also not changeable by the user policy unit.
Die Fahrzeugeinheit beziehungsweise die jeweiligen Einheiten der verschiedenen Partitionen der Mikrokernel-Architektur sind erfindungsgemäß zur Durchführung des nachfolgend be¬ schriebenen Verfahrens zum Betreiben der Fahrzeugeinheit oder Teilen davon eingerichtet. Dieses Verfahren dient dem Betrei¬ ben einer Fahrzeugeinheit mit einem Mikroprozessor, auf wel- ehern die vorbeschriebene Mikrokernel-Architektur mit den separaten Partitionen für eine Hauptbetriebssystem-Einheit, ei¬ ne Crypto-Einheit und eine Supvervisions-Einheit aufgesetzt ist. In der Hauptbetriebssystem-Einheit sind erfindungsgemäß das Hauptbetriebssystem sowie gegebenenfalls Anwendungspro- gramme eingerichtet. Diese können durch den Nutzer verändert werden. In der Crypto-Einheit sind erfindungsgemäß Software- Zertifikate gespeichert und ein Überprüfungsprogramm zur Überprüfung von Zertifikaten und vollständiger Softwarepakete eingerichtet. In der Supervisions-Einheit ist erfindungsgemäß ein Überwachungsprogramm zur Überwachung der Funktionen der anderen Partitionen in der Mikrokernel-Architektur vorgesehen, wobei durch das Überwachungsprogramm der Supervisions- Einheit das Hauptbetriebssystem sowie gegebenenfalls vorhan¬ dene Anwendungssoftware während des Starts und/oder des Be- triebs des Hauptbetriebssystems beziehungsweise der Fahrzeug¬ einheit überwacht und bei Abweichungen von einem vorgegebenen Verhalten ein Wiederherstellungsverfahren für das Hauptbetriebssystem eingeleitet wird. Dadurch lässt sich die Fahrzeugeinheit in vielen Fällen bei einem Ausfall neu starten und in einen betriebsfähigen Zustand zurückversetzen, ohne dass ein Ausbau der Fahrzeugeinheit und ein Neubeschreiben des an den Mikroprozessor angeschlossenen Speichers zur Neuimplementierung der Hauptbetriebssystem-Software sowie der Anwendungsprogramme notwendig werden. The vehicle unit or the respective units of the various partitions of the microkernel architecture According to the invention set thereof for carrying out the following be written ¬ method for operating the vehicle unit, or parts thereof. The method is suitable Operator Op ¬ ben a vehicle unit comprising a microprocessor on WEL ehern the prescribed microkernel architecture is fitted with the separate partitions for a main operating system unit, egg ¬ ne crypto unit, and a Supvervisions unit. In the main operating system unit according to the invention, the main operating system and optionally application programs are set up. These can be changed by the user. In the crypto unit according to the invention software certificates are stored and set up a verification program for checking certificates and complete software packages. In the super-vision unit a monitoring program for monitoring the functions of the other partitions, the invention provides in the microkernel architecture, and by the monitoring program of a supervision unit drive the main operating system and optionally EXISTING ¬ dene application software during startup and / or the loading of the Main operating system or the vehicle ¬ unit monitors and in case of deviations from a predetermined behavior, a recovery process for the main operating system is initiated. As a result, in many cases, the vehicle unit can be restarted in a failure and restored to an operational state, without a removal of the vehicle unit and rewriting the memory connected to the microprocessor for re-implementation of the main operating system software and the application programs are necessary.
In einer besonders vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens wird zur Feststellung von Abweichungen während des Starts und/oder Betriebs des Hauptbetriebs¬ systems eine typische Startzeit für eine Benutzerschnittstel- le (Human Machine Interface - HMI), die durch das Hauptbe¬ triebssystem beanspruchte Rechenzeit des Mikroprozessors und/oder der durch das Hauptbetriebssystem beanspruchte Spei- cherplatzbedarf beispielsweise durch Vergleich mit vorgegebenen Grenzwerten für einen Normalbetrieb überwacht. Derartige Daten lassen sich durch das Überwachungsprogramm in einer Art Watchdog-Funktion einfach überwachen, indem beispielsweise ein Ansprechen der Benutzerschnittstelle simuliert und abge¬ fragt sowie der Betrieb des Mikroprozessors und des Speicher¬ platzes überwacht werden. Dies ist im Rahmen eines eigenstän¬ digen Prozesses in der Supervisions-Einheit ohne Weiteres möglich, ohne dass mögliche Fehler in der Partition der In a particularly advantageous embodiment of the method according to the invention is to detect deviations during startup and / or operation of the main operating ¬ system a typical start time for a user interface (Human Machine Interface - HMI), which claimed by the Hauptbe ¬ operating system computing time of the microprocessor and / or the storage claimed by the main operating system. For example, by comparing with predetermined limits for a normal operation monitored. Such data can be easily monitored by the monitoring program in a kind of watchdog function, for example, by simulating a response of the user interface and abge ¬ queries and the operation of the microprocessor and the memory ¬ place are monitored. This is possible under an inde ¬-ended process in the Super Vision unit easily without any errors in the partition of
Hauptbetriebssystem-Einheit diese Funktion beeinträchtigen. Main operating system unit affect this function.
Sofern bei dem Feststellen eines nicht ordnungsgemäßen Betriebs der Partition mit der Hauptbetriebssystem-Einheit das Wiederherstellungsverfahren gestartet wird, kann im Rahmen dieses Wiederherstellungsverfahrens vorzugsweise die Partiti¬ on mit der Hauptbetriebssystem-Einheit vollständig abgeschal¬ tet und aus der Mikrokernel-Architektur entladen werden. Erfindungsgemäß übernimmt dann das Not-Betriebssystem der Su¬ pervisions-Einheit die Ansteuerung der Benutzerschnittstelle und/oder einer Schnittstelle für das externe Speichermedium, um den Ausfall der Fahrzeugeinheit anzuzeigen und ein neues Implementieren der Hauptbetriebssystem-Einheit in der ent¬ sprechenden Partition der Mikrokernel-Architektur vornehmen zu können. Das erfindungsgemäße Wiederherstellungsverfahren kann dann automatisiert und/oder benutzergesteuert durchge¬ führt werden. Eine besonders schnelle, automatische Wieder¬ herstellung der defekten Partition lässt sich dann erreichen, wenn bei dem erfindungsgemäßen Verfahren ein Rückschreiben eines in der Fahrzeugeinheit, beispielsweise dem an dem Except where the detection of an incorrect operation of the partition with the main operating system unit, the recovery process is started may preferably be in the context of this recovery process, the Partiti ¬ on the main operating system unit completely abgeschal ¬ tet and discharged from the microkernel architecture. According to the emergency operating system of the Su ¬ pervisions unit then takes over the control of the user interface and / or an interface for the external storage medium to indicate the failure of the vehicle unit and a new implement the main operating system unit in the ent ¬ speaking partition the micro-kernel To be able to carry out architecture. The recovery process of the invention can be automated and / or Runaway ¬ leading user-controlled. A particularly fast, automatic re ¬ production of the defective partition can then be achieved if in the inventive method a writeback in the vehicle unit, for example, on the
Mikroprozessor angeschlossenen Speicher, gespeichertes Backup-Images der Partition des Hauptbetriebssystems erfolgt. Nach dem Rückschreiben eines solchen Backup-Images kann die Fahrzeugeinheit neu gestartet werden, wobei bei dem Neustart das neuinstallierte Hauptbetriebssystem ausgeführt wird. Microprocessor connected memory, stored backup images of the partition of the main operating system is done. After writing back such a backup image, the vehicle unit can be restarted, with the restart running the newly installed main operating system.
Alternativ kann bei dem Wiederherstellungsverfahren das Ausführen eines Benutzer-interaktiven Downloads einer aktuellen Hauptbetriebssystem-Version erfolgen, wobei die aktuelle Hauptbetriebssystem-Version insbesondere über ein externes Speichermedium eingelesen und in der Partition für das Hauptbetriebssystem installiert wird. Erfindungsgemäß kann dem Be- nutzer dazu eine Seriennummer, eine Versionsidentifikations¬ nummer oder dergleichen ausgegeben werden, um dem Benutzer die Auswahl des passenden Hauptbetriebssystems, das heißt ei¬ ner geeigneten Firmware, von einer Herstellerseite in dem Internet zu ermöglichen. In Abwandlung dieser zusätzlich gege- benen Informationen kann auch ein geeigneter Internet-Link, insbesondere in Form einer html-Datei, auf dem externen Spei¬ chermedium ausgegeben werden, der nach Anschluss an ein anderes Computersystem mit Internet-Anschluss unmittelbar aufge¬ rufen werden kann und zum Download des geeigneten Hauptbe- triebssystems führt. Die html-Datei, gegebenenfalls mit Ja¬ vaScript-Anteilen, überprüft die Größe des Speichermediums und speichert eine Image-Datei und/oder eine Update-Datei des zu installierenden Hauptbetriebssystems in ein geeignetes Verzeichnis. Hierdurch wird eine Fehlerreduktion erreicht, weil eine fehlerhafte Installation eines falschen Betriebs¬ systems von vornherein vermieden wird, ohne dass die in der Fahrzeugeinheit installierte Crypto-Einheit entsprechend ein¬ greifen müsste. Gegebenenfalls kann hierbei auch ein Zertifi¬ kat eingesetzt werden. Alternatively, in the recovery process, performing a user-interactive download of a current one Main operating system version, wherein the current main operating system version is read in particular via an external storage medium and installed in the partition for the main operating system. According to the invention, a serial number, a version identification ¬ number or the like to be output to the user, to the user to select the appropriate main operating system, that is ei ¬ ner appropriate firmware to allow a manufacturer's site in the Internet. In a modification of this addition gives information that can also be a suitable Internet link, particularly in the form of an html file that is output on the external Spei ¬ chermedium that can be called ¬ when connected to another computer system with an Internet connection directly up and download the appropriate main operating system. The html file, optionally with yes ¬ vaScript shares, checks the size of the storage medium and stores an image file and / or an update file of the main operating system to be installed in a suitable directory. As a result, an error reduction is achieved because a faulty installation of a wrong operating ¬ system is avoided from the outset, without the installed in the vehicle unit crypto unit would have to grasp ¬ accordingly. Optionally, a certifi cate ¬ can be used here.
Trotzdem ist es besonders vorteilhaft, wenn vor oder während der Installation des Hauptbetriebssystems und/oder einer für das Hauptbetriebssystem geeigneten Anwendung in Form eines Anwendungsprogramms eine Überprüfung durch die Crypto-Einheit erfolgt. Dabei können Seriennummer, Hardwareversion, Integrität, Zertifikat oder dergleichen überprüft und gegebenenfalls auch eine Entschlüsselung vorgenommen werden. Nevertheless, it is particularly advantageous if, before or during the installation of the main operating system and / or an application suitable for the main operating system in the form of an application program, a check is carried out by the crypto unit. In this case, serial number, hardware version, integrity, certificate or the like can be checked and, if necessary, a decryption can be carried out.
Erfindungsgemäß kann nach dem Schreiben eines Internet-Links, beispielsweise in Form der html-Datei, in einen automatischen Start-Up-Modus geschaltet werden, der beim Starten bezie¬ hungsweise Hochfahren der Fahrzeugeinheit das Vorhandensein eines externen Speichermediums mit der Image-Datei und/oder der Update-Datei überprüft und bei Vorhandensein deren In¬ stallation sofort startet. Andernfalls wird das Vorhandensein des externen Speichers nicht geprüft. Hierdurch wird auch si- chergestellt , dass nicht mehrmals ein Update mit derselben Softwareversion erfolgt, was unter Umständen zu einem instabilen System führen kann. Nach einer erfolgreichen Neuinstallation des Hauptbetriebssystems, auch Flashen genannt, wird dann wieder in den normalen und üblicher Weise auch schnelle- ren Startmodus geschaltet. According to the invention after writing a internet links, for example in the form of html file, are set in an automatic start-up mode, at the start of the rela ¬ example hung-up of the vehicle unit, the presence checks an external storage medium to the image file and / or the update file and their in ¬ stallation starts at presence immediately. Otherwise, the presence of the external memory is not checked. This also ensures that an update with the same software version does not occur several times, which can sometimes lead to an unstable system. After a successful reinstallation of the main operating system, also called flashing, then in the normal and usual way faster start mode is switched again.
Schließlich betrifft die vorliegende Erfindung auch ein Computerprogrammprodukt mit Programmcodemitteln zur Einrichtung in einer Recheneinheit, welches Computerprogrammprodukt da- durch gekennzeichnet ist, dass durch die Programmcodemittel bei Ausführen des Computerprogramms eine Mikrokernel-Archi- tektur gemäß einem der Ansprüche 1 bis 6 und/oder ein Verfahren gemäß einem der Ansprüche 7 bis 12 in dem Mikroprozessor der Fahrzeugeinheit eingerichtet wird. Finally, the present invention also relates to a computer program product with program code means for setting up in a computer unit, which computer program product is characterized in that by the program code means when executing the computer program a microkernel architecture according to one of claims 1 to 6 and / or a method according to one of claims 7 to 12 is set up in the microprocessor of the vehicle unit.
Weitere Vorteile, Merkmale und Anwendungsmöglichkeiten der vorliegenden Erfindung ergeben sich auch aus der nachfolgenden Beschreibung eines Ausführungsbeispiels und der Zeich¬ nung. Dabei bilden alle beschriebenen und/oder bildlich dar- gestellten Merkmale für sich oder in beliebiger Kombination den Gegenstand der vorliegenden Erfindung, auch unabhängig von ihrer Zusammenfassung in den Ansprüchen oder deren Rück- bezügen. Es zeigen: Fig. 1: schematisch den Aufbau einer erfindungsgemäßen Further advantages, features and applications of the present invention will become apparent from the following description of an embodiment and the drawing ¬ tion. All of the described and / or illustrated features alone or in any combination form the subject matter of the present invention, also independently of their combination in the claims or their back references. FIG. 1 shows schematically the structure of a device according to the invention. FIG
Mikrokernel-Architektur und  Microkernel architecture and
Fig. 2: einen schematischen Ablauf zum Betrieb einer Fahrzeug-Einheit gemäß der vorliegenden Erfindung. 2 shows a schematic sequence for operating a vehicle unit according to the present invention.
In Fig. 1 ist dazu die Systempartitionierung eines an den Mikroprozessor angeschlossenen Speichers dargestellt, auf den der Speicher zum Ablauf der verschiedenen Programme in den Partitionen zugreift. Diese Partition ist als ein Separati¬ onskernel ausgebildet, der eine spezielle Variante einer Mikrokernel-Architektur darstellt. Bei der Mikrokernel- Architektur sind die verschiedenen Partitionen 1, 2, 3, 4 für die Hauptbetriebssystem-Einheit, die Supervisions-Einheit , die Policy-Einheit und die Crypto-Einheit auf demselben Mik¬ roprozessor mit angeschlossenem Speicher implementiert, wobei die verschiedenen Partitionen unabhängig voneinander auf dem Mikroprozessor ablaufen und auch parallel ausgeführt werden können . In Fig. 1, the system partitioning of a memory connected to the microprocessor is shown on the the memory accesses the sequence of various programs in the partitions. This partition is formed as a Separati ¬ onskernel, which is a special variant of a microkernel architecture. In the micro-kernel architecture, the various partitions 1, 2, 3, 4 implemented for the main operating system unit, the super-vision unit, the policy unit and the crypto unit in the same Mik ¬ roprozessor with an attached memory, the different partitions run independently on the microprocessor and can also be executed in parallel.
In der Partition 1 der Hauptbetriebssystem-Einheit ist das Hauptbetriebssystem der Fahrzeugeinheit installiert, welches durch den Endnutzer beispielsweise durch den Download und Installation neuer Anwendungsprogramme oder neuer Hauptbe¬ triebssystem-Softwareversionen verändert werden kann. In the partition 1 of the main operating system unit, the main operating system of the vehicle unit is installed, which can be changed by the end user, for example by downloading and installing new application programs or new Hauptbe ¬ operating system software versions.
Die Partition 4 mit der Crypto-Einheit ist für das Speichern und Validieren von Zertifikaten und das Überprüfen der Zertifikate von Anwendungssoftware oder kompletten Softwarepaketen zuständig. Alle Softwarezertifikate sind im Inneren der Par¬ titionen 4 mit der Crypto-Einheit installiert, ohne dass die anderen Partitionen 1, 2, 3 Zugriff auf die Partition 4 ha- ben. Hierdurch wird erfindungsgemäß die Sicherheit erhöht, weil die Crypto-Einheit durch den Benutzer nicht verändert werden kann. The partition 4 with the crypto unit is responsible for storing and validating certificates and checking the certificates of application software or complete software packages. All software certificates are installed inside Par ¬ titionen 4 with the crypto unit without the other partitions 1, 2, 3 access to the partition 4 ben ha-. As a result, the security is increased according to the invention, because the crypto unit can not be changed by the user.
Die Partition 2 mit der Supervisions-Einheit überwacht bei- spielsweise mit Wachtdog-ähnlichen Mechanismen die anderenPartition 2 with the supervision unit, for example, monitors the others with watchdog-like mechanisms
Partitionen 1, 3, 4, und insbesondere die Partition 1 mit der Hauptbetriebssystem-Einheit, welche für die ordnungsgemäße Funktion der Fahrzeugeinheit zuständig ist. Diese Einheit ist erfindungsgemäß also für das Detektieren eines nicht funkti- onsfähigen Hauptbetriebssystems und das Einleiten eines auto¬ matischen oder Benutzer-interaktiven Wiederherstellungsprozesses zuständig. Die Partition 3 mit der Policy-Einheit ist eine Standard- Einheit eines Separationskernels und überwacht beziehungswei¬ se steuert die Kommunikation zwischen den verschiedenen Partitionen 1, 2, 4. So wird beispielsweise überprüft, ob eine Partition A eine Mitteilung M an eine Partition B senden darf. Ferner steuert die Policy-Einheit die Zugriffsrechte auf physikalische Speicherbereiche oder Flash-Partitionen und ändert die Budgets für die Zuweisung an Prozessorleistung zu einzelnen Prozessen oder von Speicherplatz. Partitions 1, 3, 4, and in particular the partition 1 with the main operating system unit, which is responsible for the proper functioning of the vehicle unit. This unit is so inventively responsible for detecting a non-function-onsfähigen main operating system and the introduction of a car ¬ matic or user-interactive recovery process. The partition 3 with the policy unit is a standard unit of a separation kernel and monitors beziehungswei ¬ se controls the communication between the different partitions 1, 2, 4. For example, checks whether a partition A send a message M to a partition B may. In addition, the policy unit controls the access rights to physical volumes or flash partitions, and changes the budgets for processor power allocation to individual processes or storage space.
Ein wesentliches Konzept der vorliegenden Erfindung liegt nun darin, den für die Überwachung und Wiederherstellung der gesamten Fahrzeugeinheit zuständigen Programmcode aus der Par¬ tition 1 mit der Hauptbetriebssystem-Einheit in die Partition 2 mit der Supervisions-Einheit auszulagern, wobei diese Par¬ tition 2 durch die Mikrokernel-Architektur vor einer Beeinflussung oder einem Zugriff aus der Partition 1 geschützt ist, während sie dennoch auf demselben Mikroprozessor abläuft . An essential concept of the present invention is now outsource responsible for the monitoring and restore the entire vehicle unit program code from the par ¬ tition 1 with the main operating system unit in the partition 2 with the Supervision unit, said Par ¬ tition 2 by the microkernel architecture is protected from interference or access from partition 1 while still running on the same microprocessor.
Mit dieser Funktion wird auch die Überwachungsfunktion von einem hierfür üblicherweise vorgesehenen externen Mikrokon- troller in die Partition 2 der Supervisions-Einheit übertra¬ gen, die im Rahmen ihrer Aufgaben mit der Policy-Einheit und der Crypto-Einheit zusammenwirkt. This function allows the monitoring function of a this usually provided external Mikrokon- is troller in the partition 2 of the Supervision Unit übertra ¬ gen cooperating within the framework of their duties with the policy unit and the crypto unit.
Alle diese Einheiten in den Partitionen 2, 3 und 4 können nicht durch Softwareupdates oder Benutzereingriffe verändert werden, so dass diese ab dem Moment der Herstellung der Fahr- zeugeinheit unveränderlich feststehen. Hierdurch lässt sich eine Wiederherstellung der Partitionen 1 mit dem Hauptbetriebssystem in vorhersehbarer Weise kontrollieren. Das Zusammenwirken der Supervisions-Einheit, der Crypto-Einheit und der Policy-Einheit im Rahmen des Separationskernels in der Mikrokernel-Architektur stellen damit sicher, dass nur die Flash-Partitionen überschrieben werden, die der Hauptbetriebssystem-Einheit in der Partition 1 zugerechnet werden, die durch herunterladbare Anwendungsprogramme oder neue Firm¬ wareversionen verändert werden können. Gleichzeitig verhindert die Policy-Einheit in der Partition 3 einen Zugriff der Hauptbetriebssystem-Einheit auf die anderen Partitionen 2, 3 und 4. Erfindungsgemäß können die Supervisions-Einheit , die Crypto-Einheit und die Policy-Einheit anstelle der drei ver¬ schiedenen Partitionen 2, 3 und 4 auch in einer gemeinsamen Partition zusammengefasst werden, die erfindungsgemäß jedoch von der Partition 1 der Hauptbetriebssystem-Einheit verschie- den ist. Hierdurch lässt sich gegebenenfalls Speicher sparen und die Laufzeitperformance durch einen optimaleren Schedu- ling-Aufwand des Mikrokernes verbessern. All of these units in partitions 2, 3, and 4 can not be altered by software updates or user intervention, so they are fixed immutable from the moment the vehicle unit is manufactured. This makes it possible to predict the recovery of partitions 1 with the main operating system in a predictable manner. The cooperation of the supervision unit, the crypto unit and the policy unit within the separation kernel in the microkernel architecture thus ensure that only the flash partitions attributed to the main operating system unit in the partition 1 are overwritten, which can be changed by downloadable application programs or new Firm ¬ ware versions. At the same time, the policy unit in the partition 3 prevents access of the main operating system unit to the other partitions 2, 3 and 4. According to the invention, the supervision unit, the crypto unit and the policy unit can replace the three different partitions 2 3 and 4 are also combined in a common partition, which according to the invention, however, differs from the partition 1 of the main operating system unit. As a result, it is possible to save memory and improve runtime performance through a more optimal scheduling effort of the microkernel.
Innerhalb dieser Mikrokernel-Architektur, wie sie in Fig. 1 dargestellt ist, lässt sich der nachfolgend beschriebene Ab¬ lauf zum Feststellen von Fehlern in der Hauptbetriebssystem- Einheit und zum Wiederherstellen der Hauptbetriebssystem- Einheit zuverlässig implementieren. Das erfindungsgemäße Verfahren wird nachfolgend anhand des schematischen Verfahrensablaufs gemäß Fig. 2 beschrieben. Within these microkernel architecture, as shown in Fig. 1, can be implemented reliably the unit described below, from ¬ run for detecting errors in the Hauptbetriebssystem- unit and for restoring the Hauptbetriebssystem-. The method according to the invention will be described below with reference to the schematic method sequence according to FIG. 2.
Während des Startens der Fahrzeugeinheit läuft in der Super¬ visions-Einheit der Partition 2 ein Überwachungsprogramm ab, um Fehler des Hauptbetriebssystems festzustellen. Dazu über¬ wacht die Supervisions-Einheit das Starten des Hauptbetriebs¬ systems im Hinblick auf einige Detailfunktionen. Diese Detailfunktionen beinhalten wichtige Servicefunktionen und Zustände des Hauptbetriebssystems. During start-up of the vehicle unit, a monitoring program runs in the super vision unit of the partition 2 in order to detect faults in the main operating system. To over ¬ the Supervision Unit monitors the start of the main operation ¬ system with regard to some detail functions. These detailed functions include important service functions and states of the main operating system.
Diese wichtigen Zustände und Funktionen betreffen zum einen eine Basis-Benutzerinteraktion über eine Mensch-Maschine- Schnittstelle HMI, die über das Hauptbetriebssystem angesteu¬ ert wird. Dazu wird die Funktion der Mensch-Maschine-Schnitt- stelle durch die Supervisions-Einheit beispielsweise mittels einer fingierten Eingabe überprüft. Sofern die Mensch- Maschine-Schnittstelle beim Starten der Fahrzeugeinheit nach einer vorgegebenen Zeit nicht einsatzbereit ist, kann dies als Fehler des Hauptbetriebssystems gewertet werden. These important states and functions relate firstly a basic user interaction via a man-machine interface HMI, which is angesteu ¬ ert from the main operating system. For this purpose, the function of the human-machine interface is checked by the supervision unit, for example by means of a fictitious input. If the man-machine interface after starting the vehicle unit after is not operational for a given time, this can be considered a failure of the main operating system.
Zusätzlich kann die Partition 1 des Hauptbetriebssystems als fehlerhaft angesehen werden, wenn eine außergewöhnliche Be¬ lastung der Rechenleistung des Prozessors oder ein außergewöhnlicher Speicherplatzbedarf festgestellt wird. Auch ein übermäßiger Netzwerkverkehr zwischen den einzelnen Partitionen des Separationskernels kann als Merkmal für ein fehler- haftes Hauptbetriebssystems gewertet werden. In addition, the partition 1 of the main operating system can be regarded as faulty if an extraordinary loading ¬ the processing power of the processor or an exceptional storage space requirement is determined. Excessive network traffic between the individual partitions of the separation kernel can also be seen as a characteristic of a faulty main operating system.
Im Falle eines festgestellten Fehlers des Hauptbetriebssys¬ tems wird eine Wiederherstellung eingeleitet. Im Rahmen die¬ ser Wiederherstellung startet die Überwachungseinheit einen Wiederherstellungsmodus, in welchem die Partition 1 mit derIn the case of a detected error of Hauptbetriebssys ¬ tems a recovery is initiated. In the context of the ¬ ser recovery, the monitoring unit to start a recovery mode in which the partition 1 with the
Hauptbetriebssystem-Einheit vollständig ausgeschaltet und aus der Mikrokernel-Architektur entladen wird. Die Supervisions- Einheit übernimmt dann im Rahmen eines Not-Betriebssystems die verbliebenen Funktionen der Fahrzeugeinheit, zu der ins- besondere auch das Ansprechen der Mensch-Maschine-Schnitt¬ stelle gehört. Main OS unit is completely powered off and unloaded from the microkernel architecture. The a supervision unit then takes over under an emergency operating system, the remaining functions of the vehicle unit to which in particular also the response of the spot man-machine interface ¬ belongs.
So gibt die Supervisions-Einheit über einen Bildschirm der Mensch-Maschine-Schnittstelle eine Fehlermeldung an den End- nutzer aus. Auf demselben Bildschirm, auf dem die Fehlermitteilung angezeigt wird, wird ein Internetlink, insbesondere ein https-Link, mit einigen Einzelheiten wie der Seriennummer oder einer Versionsidentifikationsnummer ausgegeben, so dass der Endbenutzer ein aktuelles Software-Paket für das Hauptbe- triebssystem und/oder die von ihm benötigte Anwendungssoft¬ ware aus dem Internet von einer Serviceseite des Herstellers der Fahrzeugeinheit herunterladen kann. Thus, the supervision unit issues an error message to the end user via a screen of the human-machine interface. An Internet link, in particular an https link, with some details such as the serial number or a version identification number is output on the same screen on which the error message is displayed, so that the end user receives an up-to-date software package for the main operating system and / or the he requires application soft ¬ ware can be downloaded from the Internet from a service side of the manufacturer of the vehicle unit.
Der Softwaredownload kann von einem herkömmlichen PC erfolgen und auf einem externen Speichermittel, beispielsweise einem USB-Speicherstick, erfolgen. Um diesen Softwaredownload einlesen zu können, aktiviert die Supervisions-Einheit in dem Not-Betriebssystem die benötigten Treiber für externe The software download can be done by a conventional PC and on an external storage means, such as a USB memory stick done. To read this software download, the supervision unit activates in the Emergency operating system the needed driver for external
Schnittstellen zur Anbindung externer Speichermittel. Wenn das Not-Betriebssystem beispielsweise bei einem Neustart der Fahrzeugeinheit ein derartiges externes Speichermittel an ei- ner Schnittstelle feststellt, wird deren Dateisystem nach ei¬ nem Software-Update-Paket durchsucht. Sobald ein solches Pa¬ ket festgestellt wird, wird der Hash-Wert des Paketes berech¬ net, eine entsprechende Signatur gelesen und die verschlüs¬ selte Software-Version und die Hardware-Kompatibilität des Pakets von dem Speichergerät ausgelesen und an die Partition 4 mit der Crypto-Einheit übersandt. Die Crypto-Einheit über¬ prüft die Inhalte des Software-Pakets und gibt der Überwa¬ chungs-Einheit eine Rückmeldung, ob das Software-Paket für die vorliegende Hardware zulässig ist. Ferner kann das Cryp- to-Paket die Software paketweise entschlüsseln und zur In¬ stallation bereitstellen. Interfaces for connecting external storage media. If the emergency operating system detects such an external storage means to egg ner interface, for example, when restarting the vehicle unit, the file system is searched for ei ¬ nem software update package. Once such Pa ¬ ket is detected, the hash value of the packet calculation ¬ net, a signature is read and read the Locks ¬ doubted software version and hardware compatibility of the package of the storage device and the partition 4 with the Crypto unit sent. The crypto unit ¬ checks the contents of the software package and gives the moni ¬ toring unit feedback whether the software package for the present hardware is permitted. Furthermore, the Cryptoworks to-package can decrypt the software packets and provide for in ¬ stallation.
Wenn das Software-Paket für die Hardware gültig ist, führt die Supervisions-Einheit eine vollständige Überprüfung der Blöcke der Flash-Partitionen durch, die für das Hauptbetriebssystem verwendet werden. Danach startet es eine Neuinstallation der Flash-Partition mit dem Hauptbetriebssystem (Flashing) . Nach einer erfolgreichen Installation in der Partition 1 der Hauptbetriebssystem-Einheit startet die Fahr- zeugeinheit bei dem nächsten Start mit dem neuen Betriebssys¬ tem. Neben einer Fehlerbehandlung lassen sie auf diese Weise auch gezielte Updates einspielen, die beispielsweise durch eine Benutzereingabe in dem Hauptbetriebssystem ausgelöst werden können. If the software package is valid for the hardware, the supervision unit performs a complete check on the blocks of the flash partitions used for the main operating system. Then it starts a reinstallation of the flash partition with the main operating system (flashing). After a successful installation in the partition 1, the main operating system unit, the vehicle starts generating unit at the next start with the new Betriebssys ¬ tem. In addition to error handling, they can also import targeted updates in this way, which can be triggered, for example, by a user input in the main operating system.
Statt nur die Link-Adresse für den Download der Software an¬ zugeben, ist es erfindungsgemäß auch möglich, dass die Super¬ visions-Einheit auf einem an die Fahrzeugeinheit angeschlos¬ senen Speichergerät einen im Internet aufrufbaren Link spei- chert, in dem bereits die notwendigen Angaben zur Identifika¬ tion der passenden und benötigten Software enthalten sind. Auf diese Weise werden Fehlereingaben vermieden. Damit kann durch die erfindungsgemäße Mikrokernel-Architektur ein durch den Benutzer steuerbares Verfahren zum Betreiben der Fahrzeugeinheit ausgeführt werden, das im Falle eines Software-Fehlers ein Wiederherstellen der Einheit erlaubt, ohne dass diese ausgebaut und an eine spezielle Servicestelle gesendet werden muss. Upheld only the link address to download the software to ¬, it is according to the invention also possible that the super ¬ visions unit chert a Launching an online link storage offered on a Schlos ¬ Senen to the Vehicle Unit memory device in which already necessary information to Identifika ¬ tion of the appropriate and required software are included. In this way, error entries are avoided. Thus, by the microkernel architecture according to the invention, a user-controllable method for operating the vehicle unit can be carried out, which allows the unit to be restored in the event of a software error without it having to be removed and sent to a special service point.

Claims

Patentansprüche claims
1. Fahrzeugeinheit zur Steuerung von Fahrzeugfunktionen mit einem Mikroprozessor und angeschlossenem Speicher, auf welchen ein Hauptbetriebssystem implementiert ist, welches die Schnittstelle der Hardware zu Anwendungspro¬ grammen und Benutzerinteraktionen bildet, d a d u r c h g e k e n n z e i c h n e t , dass der Mikroprozessor in einer Mikrokernel-Architektur mit separaten Partitionen für eine Hauptbetriebssystem-Einheit (1), eine Crypto- Einheit (4) und eine Supervisions-Einheit (2) aufgebaut ist, wobei in der Hauptbetriebssystem-Einheit (1) das Hauptbetriebssystem eingerichtet ist, wobei in der Cryp- to-Einheit (4) Software-Zertifikate gespeichert sind und ein Überprüfungsprogramm zur Überprüfung von Zertifikaten und Softwarepakten eingerichtet ist und wobei in der Supervisions-Einheit (2) ein Überwachungsprogramm zur Überwachung der Funktion der anderen Partitionen der Mikrokernel-Architektur vorgesehen ist. 1. Vehicle unit for controlling vehicle functions with a microprocessor and a connected memory on which a main operating system is implemented, which forms the interface of the hardware to Anwendungspro ¬ programs and user interaction, characterized in that the microprocessor in a microkernel architecture with separate partitions for a main operating system Unit (1), a crypto unit (4) and a supervision unit (2), wherein in the main operating system unit (1) the main operating system is set up, wherein in the crypto unit (4) software Certificates are stored and a verification program for verifying certificates and software packages is set up and wherein in the supervision unit (2) a monitoring program for monitoring the function of the other partitions of the microkernel architecture is provided.
2. Fahrzeugeinheit nach Anspruch 1, d a d u r c h g e k e n n z e i c h n e t , dass die Partition mit der Hauptbetriebssystem-Einheit (1) dazu eingerichtet ist, durch einen Endnutzer veränderbar zu sein. 2. The vehicle unit according to claim 1, wherein a partition with the main operating system unit is configured to be changeable by an end user.
3. Fahrzeugeinheit nach Anspruch 1 oder 2, d a d u r c h g e k e n n z e i c h n e t , dass andere Partitionen als die Partition mit der Hauptbetriebssystem-Einheit (1) der Mikrokernel-Architektur in dem Mikroprozessor dazu eingerichtet sind, durch den Endnutzer nicht änderbar zu sein . 3. Vehicle unit according to claim 1 or 2, characterized in that partitions other than the partition with the main operating system unit (1) of the microkernel architecture in the microprocessor are arranged not to be changeable by the end user.
4. Fahrzeugeinheit nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , dass die Crypto-Einheit (4) dazu eingerichtet ist, in der Fahr¬ zeugeinheit zu installierende Software mit dem Überprü- fungsprogramm paketweise zu entschlüsseln und/oder zu überprüfen . 4. Vehicle unit according to one of the preceding claims, characterized in that the crypto unit (4) is adapted to be installed in the Fahr ¬ test unit software with the review to decrypt and / or check packages in packets.
Fahrzeugeinheit nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , dass die Su- pervisions-Einheit (2) dazu eingerichtet ist, mit dem Überwachungsprogramm im Falle eines Fehlers in dem Vehicle unit according to one of the preceding claims, characterized in that the supervisor unit (2) is set up with the monitoring program in case of an error in the
Hauptbetriebssystem ein Wiederherstellungsverfahren für die Partition mit dem Hauptbetriebssystem einzuleiten. Main operating system to initiate a recovery process for the partition with the main operating system.
Fahrzeugeinheit nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , dass die Mikrokernel-Architektur als Separationskernel mit einer separaten Partition für eine Policy-Einheit (3) ausge¬ bildet ist, wobei die Policy-Einheit (3) dazu eingerich¬ tet ist, die Kommunikation zwischen den einzelnen Partitionen der Mikrokernel-Architektur zu überwachen. Vehicle unit according to one of the preceding claims, characterized in that the micro-kernel architecture out ¬ forms as separation kernel with a separate partition for a policy unit (3) communication, wherein the policy unit (3) to be inserted rich ¬ tet, between to monitor the individual partitions of the microkernel architecture.
Verfahren zum Betreiben der Fahrzeugeinheit mit einem Mikroprozessor, insbesondere nach einem der vorhergehenden Ansprüche, auf welchem eine Mikrokernel-Architektur mit separaten Partitionen für eine Hauptbetriebssystem- Einheit (1), eine Crypto-Einheit (4) und eine Supervisi- ons-Einheit (2) aufgesetzt ist, wobei in der Hauptbe¬ triebssystem-Einheit (1) das Hauptbetriebssystem einge¬ richtet ist, wobei in der Crypto-Einheit (4) Software- Zertifikate gespeichert sind und ein Überprüfungspro¬ gramm zur Überprüfung von Zertifikaten und vollständige! Softwarepakte eingerichtet ist und wobei in der Supervi- sions-Einheit (2) ein Überwachungsprogramm zur Überwachung der Funktion der anderen Partitionen der Mikrokernel-Architektur vorgesehen ist, d a d u r c h g e k e n n z e i c h n e t , dass durch das Überwachungspro¬ gramm der Supervisions-Einheit (2) das Hauptbetriebssys¬ tem während des Starts und/oder Betriebs überwacht und bei Abweichungen von einem vorgegebenen Verhalten ein Wiederherstellungsverfahren für das Hauptbetriebssystem einleitet . Method for operating the vehicle unit with a microprocessor, in particular according to one of the preceding claims, on which a microkernel architecture with separate partitions for a main operating system unit (1), a crypto unit (4) and a supervisors unit (2 is placed), wherein in the Hauptbe ¬ operating system unit (1), the main operating system is ¬ directed, where (in the crypto unit 4) software certificates are stored and a Überprüfungspro ¬ program for verification of certificates and complete! Software packages is arranged and wherein, in the super-vision unit (2) a monitoring program for monitoring the function of the other partitions of the microkernel architecture is provided, characterized in that by Überwachungspro ¬ program of the Super Vision unit (2) the Hauptbetriebssys ¬ tem monitored during startup and / or operation and in case of deviations from a given behavior Restore procedure for the main operating system.
Verfahren nach Anspruch 7, d a d u r c h g e k e n n z e i c h n e t , dass zur Feststellung von Abweichungen während des Starts und/oder Betriebs des Hauptbetriebs¬ systems eine typische Startzeit für eine Benutzer¬ schnittstelle, die durch das Hauptbetriebssystem beanspruchte Rechenzeit des Mikroprozessors und/oder der durch das Hauptbetriebssystem beanspruchte Speicherplatzbedarf überwacht wird. A method according to claim 7, characterized in that for the detection of deviations during startup and / or operation of the main operating ¬ system a typical start time for a user ¬ interface monitors the claimed by the main operating system computing time of the microprocessor and / or claimed by the main operating system memory space requirement becomes.
Verfahren nach Anspruch 7 oder 8, d a d u r c h g e k e n n z e i c h n e t , dass bei dem Wiederherstel¬ lungsverfahren die Partition mit der Hauptbetriebssystem-Einheit abgeschaltet und aus der Mikrokernel- Architektur entladen wird. The method of claim 7 or 8, characterized in that shut off in the Reset factory ¬ averaging method with the partition of the main operating system unit and discharged from the micro-kernel architecture.
Verfahren nach einem der Ansprüche 7 bis 9, d a d u r c h g e k e n n z e i c h n e t , dass bei dem Wie¬ derherstellungsverfahren ein Rückschreiben eines in der Fahrzeugeinheit gespeicherten Backup-Images der Partiti on des Hauptbetriebssystems erfolgt. Method according to one of claims 7 to 9, characterized in that in the How ¬ derstellungsverfahren a write-back of a stored in the vehicle unit backup image of Partiti on the main operating system takes place.
Verfahren nach einem der Ansprüche 7 bis 9, d a d u r c h g e k e n n z e i c h n e t , dass bei dem Wie¬ derherstellungsverfahren das Ausführen eines Benutzerinteraktiven Downloads einer aktuellen Hauptbetriebssys tem-Version erfolgt, wobei die aktuelle Hauptbetriebs¬ system-Version insbesondere über ein externes Speichermedium eingelesen und in der Partition für das Hauptbetriebssystem installiert wird. Method according to one of claims 7 to 9, characterized in that in the Wie ¬ derherstellungsverfahren performing a user-interactive download of a current Hauptbetriebssys tem version, wherein the current main operating ¬ system version in particular read via an external storage medium and in the partition for the Main operating system is installed.
Verfahren nach einem der Ansprüche 7 bis 10, d a d u r c h g e k e n n z e i c h n e t , dass vor oder während der Installation des Hauptbetriebssystems eine Überprüfung durch die Crypto-Einheit (4) erfolgt. Computerprogrammprodukt mit Programmcodemitteln zur Ein¬ richtung in einer Recheneinheit, d a d u r c h g e k e n n z e i c h n e t , dass durch die Programmcodemit¬ tel bei Ausführen des Computerprogramms eine Mikroker- nel-Architektur gemäß einem der Ansprüche 1 bis 6 und/oder ein Verfahren gemäß einem der Ansprüche 7 bis 12 in dem Mikroprozessor der Fahrzeugeinheit eingerichtet wird. Method according to one of claims 7 to 10, characterized in that before or during the installation of the main operating system, a check by the crypto-unit (4). Computer program product with program code means for un ¬ direction in a computing unit, characterized in that by the Programmcodemit ¬ tel when executing the computer program mikroker- nel architecture according to one of claims 1 to 6 and / or a method according to one of claims 7 to 12 in the Microprocessor of the vehicle unit is established.
EP12729145.8A 2011-06-30 2012-06-25 Vehicle unit and method for operating the vehicle unit Ceased EP2727039A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102011106078A DE102011106078A1 (en) 2011-06-30 2011-06-30 Vehicle unit and method for operating the vehicle unit
PCT/EP2012/062203 WO2013000854A1 (en) 2011-06-30 2012-06-25 Vehicle unit and method for operating the vehicle unit

Publications (1)

Publication Number Publication Date
EP2727039A1 true EP2727039A1 (en) 2014-05-07

Family

ID=46331337

Family Applications (1)

Application Number Title Priority Date Filing Date
EP12729145.8A Ceased EP2727039A1 (en) 2011-06-30 2012-06-25 Vehicle unit and method for operating the vehicle unit

Country Status (5)

Country Link
US (1) US9205809B2 (en)
EP (1) EP2727039A1 (en)
CN (1) CN103688268B (en)
DE (1) DE102011106078A1 (en)
WO (1) WO2013000854A1 (en)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103836182A (en) * 2014-03-28 2014-06-04 大陆汽车投资(上海)有限公司 Control system and method for belt-type CVT with hydraulic torque converter
FR3025035B1 (en) * 2014-08-22 2016-09-09 Jtekt Europe Sas VEHICLE CALCULATOR, SUCH AS AN ASSISTED STEERING CALCULATOR, WITH AN INTEGRATED EVENT RECORDER
AU2015343211A1 (en) 2014-11-04 2017-04-27 Capacitor Sciences Incorporated Energy storage devices and methods of production thereof
DE102014224892A1 (en) * 2014-12-04 2016-06-09 Bayerische Motoren Werke Aktiengesellschaft Providing a first flow control instead of a second flow control in the event of an error
US9694765B2 (en) * 2015-04-20 2017-07-04 Hitachi, Ltd. Control system for an automotive vehicle
DE102015214054A1 (en) 2015-07-24 2017-01-26 Siemens Aktiengesellschaft Method for operating an automation component
JP2018120422A (en) * 2017-01-25 2018-08-02 ルネサスエレクトロニクス株式会社 On-vehicle communication system, domain master, and firmware updating method
US10798128B2 (en) * 2017-07-24 2020-10-06 Blackberry Limited Distributed authentication for service gating
US11029985B2 (en) 2018-01-19 2021-06-08 Ge Aviation Systems Llc Processor virtualization in unmanned vehicles
US10942509B2 (en) 2018-01-19 2021-03-09 Ge Aviation Systems Llc Heterogeneous processing in unmanned vehicles
CN108279603A (en) * 2018-01-30 2018-07-13 风度(常州)汽车研发院有限公司 A kind of running control system, method and storage medium
DE102018213902A1 (en) * 2018-08-17 2020-02-20 Continental Automotive Gmbh Secure network interface against attacks
EP3742295A1 (en) * 2019-05-23 2020-11-25 NXP USA, Inc. Automatic firmware rollback
CN111273883A (en) * 2020-01-20 2020-06-12 北京远特科技股份有限公司 Same-screen display method and device for multiple operating systems and terminal equipment
CN114625426B (en) * 2020-12-09 2023-09-29 博泰车联网科技(上海)股份有限公司 Hard isolation implementation system
DE102022003789A1 (en) 2022-10-14 2024-04-25 Mercedes-Benz Group AG Method for changing the memory content of a main memory of a microcontroller without a separate memory management unit, application thereof, microcontroller and vehicle

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007040094A1 (en) * 2007-08-24 2009-02-26 Continental Automotive Gmbh Configuration modification e.g. software-update, executing method for e.g. car, involves verifying configuration modification message by utilizing credentials, and canceling configuration modification when associated credential is canceled

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7840763B2 (en) * 2004-03-12 2010-11-23 Sca Technica, Inc. Methods and systems for achieving high assurance computing using low assurance operating systems and processes
CN100394392C (en) * 2005-12-09 2008-06-11 英业达股份有限公司 Computer programe reduction-mode automatic starting control method and system
US7877357B1 (en) * 2007-10-12 2011-01-25 Netapp, Inc. Providing a simulated dynamic image of a file system
DE102007062114A1 (en) 2007-12-21 2009-07-23 Opensynergy Gmbh Motor vehicle control device
TWI381387B (en) 2008-02-21 2013-01-01 Phison Electronics Corp Storage apparatus, controller and data accessing method thereof
CN101251813A (en) * 2008-03-31 2008-08-27 宇龙计算机通信科技(深圳)有限公司 Device and method for mobile telephone system recovery
DE112009001617T5 (en) * 2008-08-05 2012-01-12 Mitsubishi Electric Corp. board system
CN102426797B (en) * 2011-11-16 2013-08-14 东南大学 Vehicle-mounted information interaction method and system of passenger vehicles

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007040094A1 (en) * 2007-08-24 2009-02-26 Continental Automotive Gmbh Configuration modification e.g. software-update, executing method for e.g. car, involves verifying configuration modification message by utilizing credentials, and canceling configuration modification when associated credential is canceled

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
NILSSON D K ET AL: "A Framework for Self-Verification of Firmware Updates over the Air in Vehicle ECUs", 2008 IEEE GLOBECOM WORKSHOPS; 30 NOV.-4 DEC. 2008; NEW ORLEANS, LA, USA, IEEE, PISCATAWAY, NJ, USA, 30 November 2008 (2008-11-30), pages 1 - 5, XP031405600, ISBN: 978-1-4244-3061-1 *
See also references of WO2013000854A1 *

Also Published As

Publication number Publication date
US9205809B2 (en) 2015-12-08
CN103688268A (en) 2014-03-26
WO2013000854A1 (en) 2013-01-03
US20140142781A1 (en) 2014-05-22
CN103688268B (en) 2017-10-10
DE102011106078A1 (en) 2013-01-03

Similar Documents

Publication Publication Date Title
EP2727039A1 (en) Vehicle unit and method for operating the vehicle unit
EP1903436B1 (en) Computer system and method for updating program code
DE10213165B3 (en) Method and device for taking over data
DE102011075776A1 (en) Method and system for updating a shared memory
DE102011005209B4 (en) Program instruction-controlled instruction flow control
DE102012109617A1 (en) A method for replacing a public key of a bootloader
DE102015112040A1 (en) Method and system for firmware update of a process control device
DE102012109614A1 (en) Troubleshooting stack corruption in embedded software systems
EP2527976B1 (en) Simultaneous software update
WO2005004160A2 (en) Method for updating software of an electronic control device by flash programming via a serial interface and corresponding automatic state machine
DE102017209468A1 (en) A method for resetting software of a vehicle control device of a vehicle to an original state
EP2394232B1 (en) Device and method for preventing unauthorized use and/or manipulation of software
WO2004114131A1 (en) Method for booting up a software in the boot sector of a programmable read-only memory
EP3752911B1 (en) Method for installing a program code packet onto a device, device, and motor vehicle
EP3074862B1 (en) Method for a secure boot-up process of an electronic system
DE102012217312B4 (en) Method and system for updating code in processing systems
EP2596429B1 (en) Method for executing a utility program, computer system and computer program product
DE102009047974B4 (en) Procedure for programming a control unit
DE202015102285U1 (en) Computer system and storage device for providing at least one data carrier
WO2009103728A1 (en) Method and device for storing information data
DE102021212994B3 (en) Method for detecting anomalies indicating tampering during a secure boot process of a software-controlled device
EP2037360A2 (en) Control device for a mass storage and method for providing data for a start procedure of a computer
DE102020207861A1 (en) Method for carrying out a secured start sequence of a control unit
DE102022201901A1 (en) MITIGATION OF MANIPULATION OF SOFTWARE OF A VEHICLE
WO2021123024A1 (en) Apparatus having an interface, and method for operating an apparatus having an interface

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20140130

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAX Request for extension of the european patent (deleted)
17Q First examination report despatched

Effective date: 20180515

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: CONTINENTAL AUTOMOTIVE GMBH

REG Reference to a national code

Ref country code: DE

Ref legal event code: R003

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED

18R Application refused

Effective date: 20201002