JP6189342B2 - 機能安全を改善し、電子閉ループ制御システムの可用性を増す方法、および電子閉ループ制御システム - Google Patents
機能安全を改善し、電子閉ループ制御システムの可用性を増す方法、および電子閉ループ制御システム Download PDFInfo
- Publication number
- JP6189342B2 JP6189342B2 JP2014560333A JP2014560333A JP6189342B2 JP 6189342 B2 JP6189342 B2 JP 6189342B2 JP 2014560333 A JP2014560333 A JP 2014560333A JP 2014560333 A JP2014560333 A JP 2014560333A JP 6189342 B2 JP6189342 B2 JP 6189342B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- software
- manager
- integrity
- level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
- Safety Devices In Control Systems (AREA)
Description
この発明は、機能安全(functional safety)を改善し、請求項1の前文にしたがって電子閉ループ制御システムの可用性を増す方法、および請求項14の前文にしたがう電子閉ループ制御システムに関する。
電子閉ループ制御システム、特には自動車エレクトロニクスにおける開発のための重要な安全の目的は、これらのシステムにおける誤動作の場合における結果から生じる。誤作動または故障の場合の重大な結果は、車両の車輪のロックであり、または、自動車両の不安定化の可能性ある結果を伴う後部車軸線上における、過度の、不必要なブレーキトルクであるかも知れない。例として、電動機が駆動装置として使用されるときは、自律的加速を有する機能は、特には、厳しいトルク増加のために不安定化に帰着する場合がある。このために、ISO 26262 は、回避されている過度の不必要な効果、または、小形の、または否定的な不必要な効果の安全目的に一般的な焦点を合せることを規定しており、それは、なぜほとんどのシステムが、それらの安全コンセプト用の柔軟な通路(flexible corridor)を保護する必要があるかということである。許容可能な、不必要なトルクは、この通路内に位置しており、この中で、車両は、すべての併用可能な運転する状況で、安全に制御されることができることが必要である。この通路の上に、例えば、以下に、車軸または車輪のロックがある一方で、危険な加速度効果がある。通路の形は、車軸間隔、重量、重心、および、速度、道路事情、横加速度、カーブ半径などのようなさらなるパラメータのような車両仕様書に、本質的に依存する。そのような通路は、なお一層、直線的に前方に安定した運転のために存在する。
上方および下方限界は、それぞれの機能および車両詳細の安全要求事項(例えばASIL)、および、またさらなるパラメータにしたがって規定される必要がある。車両の加速に影響を及ぼすドライバ支援機能による小形の、または過度の不必要なトルクの可能性ある誤ったトリガは、ASIL Dのような高い安全要求事項レベルにグループ化されるようにこの機能を要求することができる。このことは、この機能におけるエラーが、直ちに人への危険に帰着する場合があることを意味する。
IEC 61508によれば、システムを安全な状態に移す安全目標が追求され、とりわけ、それは、生じているエラーの場合に、スイッチにおいて0電流状態に帰着する。このことは、人に対する潜在的リスクを制限するように意図される。この理由で、複数の安全目的は、特に、ISO 26262にしたがって存在し、その安全状態は、人に対するいかなる危険をも提示しないが、必ずしも0電流、または0エネルギー状態に帰着しない状態である。
エンジン、トランスミッション、ステアリング、および他のシャシ制御システム用の基本的な安全コンセプトとして、DE 10 2006 056 668 A1は、サブ機能の可用性における影響を有するエラー、誤作動、または他の出来事の発生の場合には、複雑な安全の重大な全面的な車両閉ループ、および/または、開ループ制御システムのオペレーションを確実にするか、または維持するための方法について記述する。これについては、オペレーションのモードは、エラーの場合には確認されて生じたエラーによって影響されるオペレーションのモードを伴って、必要なシステムコンポーネントのために規定される。なお利用可能であるオペレーションのモードから、選択が、総合システムの最も広範囲な可能性ある可用性を考慮してその後になされ、さらにしたがって、システムの実行は、段階的に低下される。
特に、エレクトロモビリティにおけるエンジン管理システムについては、最高の安全要求事項レベル(例えば、ASIL D)までの実行を考慮することが必要である。上述したように、必要でない影響は、特に、安全の適切な車両制御システム用の多層ソフトウェアアーキテクチャの場合に、考慮される。本質的な安全機能は、したがって、ハードウェアおよびソフトウェア、およびそれの相互作用の適切な設計、および特には、ASILによって要求される安全機能の独立が、例えば、データ通信用に、データ暗号化によって達成される。受信側でキーを解読することがもはや可能でない場合には、知的ウォッチドッグ(ウィンドウウォッチドッグ)のような分離パスは、通信、または全システムを分離するために使用される。
(マルチコア)マイクロコントローラの現代の世代は、同期または非同期のロックステップモードで頻繁に作動する冗長なプロセッサによって、本来的に知られた、全ハードウェアのための安全メカニズムを有し、その結果、単一のエラー、多数のエラー、または一時的なエラーは、制御することができる。この記述の状況内のマイクロコントローラは、また、マイクロプロセッサ、マイクロコントローラシステム、およびマイクロプロセッサシステムを意味するように理解され、それらは、少なくとも1台のプロセッサを有しており、かつ周辺の機能による信号を捕らえ、さらに出力することができる。
これらのエラーが、少なくとも1つの安全メカニズムによって潜在的に危険な状況を引き起こすことを妨げられるので、冗長のプロセッサ間のタスクの実行における時間遅れは、エラーが、統合ハードウェア安全メカニズムのために安全時間(例えば、1ミリ秒未満)内に許容されることを可能にする。例として、安全メカニズムは、正しくないものとして識別されたデータを修正し、かつ、さらなる処理のために前記修正されたデータを使用するデータ補正であることができる。
その周辺装置を備えたマイクロコントローラによるように、ハードウェアによる通信は、エラー補正方法(ECC)、エラー検出方法(EDC)、およびまたは、末端間(end-to-end)データ暗号化(E2E)によって異なるタイプのエラーに対して保護することができる。EDCは、エラー補正を制御するために重要であり、その結果、許容誤差、または反応は、複数の、およびまたは一時的なエラーの発生について適している場合がある。アナログ-デジタルコンバータのような周辺のユニットからのデジタル出力値は、EDCによって保護され、例えば、アナログ入力変数の値は、未画定の範囲だけ分離された2本の独立した潜在的なバンドによって保護することができる。例として、4.5Vよりも大きい値が、ハイレベルに相当し、さらに、0.5V未満の値が、ローレベルに相当することができる。有効性レジスタは、その後、データ暗号化、またはデータ署名(data signature)としてアナログ-デジタル変換中に、デジタル出力値に結合される。
自動車両コントローラについては、とりわけ、ソフトウェアモジュールのポータビリティ、再利用性、および安全性を改善するために、かつ最終的にはまた開発コストを節約するために、ソフトウェアアーキテクチャの標準化、およびランタイム環境(RTE)の使用を増加することがある。自動車両コントローラのアプリケーションソフトウェアについては、標準化された環境は、したがって、マイクロコントローラの技術的な影響によってもはや直接影響を受けないことを条件とする。そこで実行されたソフトウェアにおけるマイクロコントローラの実際に可能であるエラーの影響のすべてを達成する目的のためのアーキテクチャの分析については、マイクロコントローラのすべてのプロパティをチェックすることが本質的に必要である。他のマイクロコントローラタイプへの変更の場合には、または、マイクロコントローラの製造者が、生産技術、または使用される材料を変更する場合には、このことは、考慮に入れる必要がある。標準化されたソフトウェアアーキテクチャを使用することの利点は、したがって、このアプリケーションソフトウェアに対する適用がないか、または、単に小さな適用だけが、ハードウェアに対する変更の場合になされることが必要であるということである。
先行技術によるさらなる安全原理は、標準化されたソフトウェアアーキテクチャAutoSar(登録商標)(AUTomotive Open System ARchitecture(登録商標)の例を使用して、以下に説明される。AutoSar(登録商標)のバージョン4は、基本ソフトウェアからランタイム環境(RTE)のレベルまでの通信チャンネル用のE2E安全を明記する。マイクロコントローラ抽象度(abstraction level)に基づくソフトウェアレベルでは、入力信号として周辺装置から提供される未加工の情報は暗号化され、そして、ソフトウェアレベルによる暗号化されたデータの伝達に続いて、解読が、RTEの領域で起こる。アプリケーションソフトウェアであって、さらなるレベルとしてRTEに対して高位であるものは、その後、さらなる処理のためのこれらのデータを使用することができる。したがって、AutoSar(登録商標)によるソフトウェアベースのE2Eデータ暗号化は、特に保護されていないハードウェアソフトウェアインタフェースによって起こる。しかしながら、安全の適切な影響が、機能モニタリング、周辺装置の通信チャンネル、効率低下(degradation)ソフトウェア、または、さらなる安全ソフトウェアのためのソフトウェアにおいて起こることは許されない。例えば基本ソフトウェアにおいて、制御機能および機能モニタリング、およびさらには、ハードウェアまたはシステム保護の、異なるソフトウェアレベルへの区分は、可能なエラー伝搬が縮小されることを可能にし、さらにしたがって、個別のコントローラの場合のように、エラーカスケードが、回避されるか、または中断されることを可能にする。
例えば、ハードウェアからのアプリケーションソフトウェアに影響する基本的なエラーは、種々様々の原因によって悪化するか、または不正確に生成されるデータであることがある。さらに、ハードウェアにおけるエラーの結果として、よい時間にソフトウェアプロセスに利用可能にされるべきでないことは、データにとって可能である。
したがって、この発明の目的は、安全の適切な電子システム、特には自動車両の機能安全における改良、および可用性における増加を得ることである。
この目的は、請求項1による創造性ある方法、および請求項14による創造性あるシステムによって達成される。
この発明は、電子閉ループ制御システム、特には自動車両制御システムの機能安全を改善し、かつ、可用性を増すための方法について記述し、ハードウェアコンポーネントおよびソフトウェアコンポーネントを有し、そのハードウェアコンポーネントは、少なくとも1つの基本ソフトウェアコンポーネント、およびまたは、少なくとも1つのランタイム環境によって抽象され、さらには、実施された安全コンセプトは、2つ、またはそれ以上のソフトウェアレベルについて記述し、第1のソフトウェアレベルは、1個のアプリケーションソフトウェアの制御機能を有し、さらに第2のソフトウェアレベルは、特に制御機能におけるエラーに対する保護の目的のための機能モニタの形であり、この発明は、さらに、少なくとも1つのハードウェアコンポーネントによって提供されるデータ暗号化、およびまたはデータ署名が、少なくとも1つの第1のソフトウェアコンポーネントを備えたハードウェアコンポーネントの少なくとも1つの通信チャンネル用のデータ保護のために使用されるということにおいて識別される。都合よく、ソフトウェアからハードウェアまでのインターフェースは、このようにさらに保護され、それは、創造性ある方法が、ソフトウェアコンポーネントそれ自体間の、および、さらにはソフトウェアコンポーネントとハードウェアコンポーネントとの間の独立を達成することを意味する。したがって、誤った影響を及ぼすことは、回避されるか、または検知することができる。
特に好ましい実施例によれば、第1のソフトウェアコンポーネントは、保全性(integrity)マネージャであり、暗号化された、およびまたは、署名された、通信チャンネルによって通信されたデータは、保全性マネージャ、およびまたは、ランタイム環境、およびまたは、基本ソフトウェアコンポーネントのために提供され、さらに、保全性マネージャは、通信チャンネルからの通信されたデータの保全性をチェックし、特には、データの保全性をチェックするためのデータ暗号化、およびまたは、データ署名を使用する。したがって、アプリケーションソフトウェアは、また、非常に安全の適切な機能のために、都合よく実行することができる。機能モニタは、ハードウェアによる外部影響を制御する必要性をもたないが、むしろ、単に、仕様および実行エラーの結果として発生することができる系統的エラーに対して保護することが必要である。外部影響によるデータ破壊が、それによって回避される。
保全性マネージャは、暗号化された、およびまたは、署名された、データの保全性が、実質的に実在する場合に、特に、好ましくは、解読された、およびまたは、無署名のアプリケーションソフトウェア用のインフォメーションデータを提供する。好ましくは、それぞれの安全要求事項レベル用の保全性の存在は、特別のデータ伝送リンクに関連して、決定される。したがって、都合よく、画定された位置での独立性の侵犯(infringement)は、効率低下のために提供される。
好ましい実施例にしたがって、暗号化された、およびまたは、署名された、データの保全性が存在しない場合には、保全性マネージャは、エラーコードであって、アプリケーションソフトウェアによって、特には処理することができるものを生成し、解読された、およびまたは、無署名のインフォメーションデータは、アプリケーションソフトウェアのために提供されないか、または、ちょうどエラーコードと一緒に提供され、およびまたは、解読されたインフォメーションデータは、現実にはあり得ない(implausible)値を割り当てられる。
好ましくは、保全性マネージャは、アプリケーションソフトウェアに従属し、およびまたは、ランタイム環境に高位であり、およびまたは、ランタイム環境において実行され、ランタイム環境は、暗号化された、およびまたは、署名されたデータを保全性マネージャ用に提供する。
好ましくは、効率低下マネージャは、少なくとも1つの第3のソフトウェアレベルの形をして、およびまたは、第1の、およびまたは、第2のソフトウェアレベルの少なくとも1つのソフトウェアプロセスの形をしていることを条件とし、効率低下マネージャは、第1のソフトウェアレベルの制御機能用の少なくとも1つの効率低下レベル、およびまたは、第2のソフトウェアレベル用の機能モニタを有する。
好ましくは、効率低下マネージャの分離機能は、高い、特には最大の優先度をもって、少なくとも1つのソフトウェアプロセスによって実行される。このことは、都合よくそれぞれの安全状態の決定論的な達成を実現する。
好ましい実施例にしたがって、データの保全性、およびまたは、生成されたエラーコードは、1つまたはそれ以上の選択的な分離、およびまたは、自動車両制御システム、およびまたは、制御機能、およびまたは、機能モニタリングの性能のための効率低下を実行するために、効率低下マネージャ用の基礎として得られる。都合よく、このことは、回避されるべきエラーおよび実現されるべき機能の選択的な分離の場合には、システムの厳密な分離を可能にする。したがって、エラーに基づいて、最大の可能性あるシステム可用性は、例えば、危険区域を去るか、またはサービスガレージに到着するために使用することができる、例えば、緊急事態運転プログラムを実現するために維持することができる。適切なエラー状況にとって有効である安全状態が到達されることを確実にすることが可能であるので、生じる結果は、特にISO26262との安全コンセプトの有利な一致である。
好ましくは、保全性マネージャは、一時的なエラーの場合の本当らしくないインフォメーションデータ、およびまたは、パーマネントエラーの場合の生成されたエラーコードを、アプリケーションソフトウェアに提供する。したがって、さらなる診断手段を提供する必要なしに、利用可能なデータ暗号化、およびまたは、データ署名に基づいて提供されることが、自動車両制御システムの性能の選択的な分離、およびまたは、効率低下にとって都合よく可能である。例として、したがって、インテリジェントセンサからのセンサデータのための個別の故障安全メカニズムを省くことは可能である。
機能モニタ、およびまたは、効率低下マネージャ、およびまたは、保全性マネージャは、好ましくは、データのデータ暗号化、およびまたは、データ署名にアクセスすることができる。その利点は、例えば、周辺装置に伝達されたデータの妥当性(plausibilization)に関して、機能モニタに通知されるということである。
さらなる好ましい実施例によれば、機能モニタ、およびまたは、効率低下マネージャは、データの補足的な妥当性のために、データ暗号化、およびまたは、データ署名を使用する。
好ましくは、ソフトウェアコンポーネント、ソフトウェア機能、およびまたは、ソフトウェアプロセスの間の通信チャンネルについて、データ暗号化、およびまたは、データ署名は、受信ソフトウェアコンポーネントによってチェックされる。このことは、ソフトウェアコンポーネント間のデータ通信が、マイクロコントローラにおけるデータバッファ記憶または処理によって常に悪化する場合があるので、マルチプロセッサの場合には、特に有利である。
好ましくは、その方法を実行するマイクロコントローラのプログラムフローのための再始動、およびまたは、同期化が、オペレーションの間に、特には、安全時間内に提供され、安全時間を超過する場合には、安全状態は、遮断手段によって、特には、ウォッチドッグによって、開始される。
保全性マネージャは、好ましくは、特には、独立した、およびまたは、動揺がないソフトウェアコンポーネントのための、データ指向である、およびまたは、一時的である分離を確実にし、このデータ指向である、およびまたは、一時的である分離は、好ましくは、特には独立性が侵害される場合に、異なる安全要求事項レベルを備えたソフトウェアコンポーネントを、選択的に、およびまたは、重点的な方法で分離するために使用される。都合よく、したがって、抽象したソフトウェアアーキテクチャは、アプリケーションソフトウェアのために提供され、そのソフトウェアアーキテクチャは、本質的に、エラーの、確かめられないハードウェアの影響がない。
この発明は、さらに、上に記述されたような方法を実行するための、電子閉ループ制御システム、特には自動車両制御システムに関する。ソフトウェアアーキテクチャ分析は、都合よく、創造性あるシステムのために1個のアプリケーションソフトウェアにおける可能性ある系統的なエラーに減少する可能性ある系統的なエラーに制限される。このことは、特にソフトウェアコンポーネントの開発において発生するエラーを防止する。
さらなる好ましい実施例は、図に関連して代表的な実施例の、以下の記述において見出すことができる:
図1は、機能安全を改善し、さらに電子自動車両制御システムの可用性を増すためのこの発明のオペレーションの基本的な方法を示す。したがって、自動車両制御システムは、また、任意の自動車両用コンポーネントの開ループコントローラを意味すると理解されるように意図される。自動車両制御システムの例を使用して、この発明を理解することに対する支援として、それの最も基本的なコンポーネントだけが、描写され、およびまたは、記述される。
以下に記述されたソフトウェアコンポーネントを実行するマイクロコントローラのハードウェアを抽象(abstracting)する目的で、ランタイム環境2および基本ソフトウェア20は、前記マイクロコントローラによって実行される。このような状況において、ソフトウェアコンポーネントは、特に、ソフトウェアプロセス、ソフトウェア機能、およびまたはソフトウェアレベルを意味するように理解される。中央の要素は、保全性マネージャ3であり、データ通信の安全指向の保全性をモニタし、また効率低下マネージャ6によって選択的な安全状態へ自動車両制御システムを移すために必要条件を提供することができる。
安全コンセプトは、本質的に、アプリケーションソフトウェア4、5、6の3レベルを設け、第1のレベル4は、制御機能(基本機能) 、例えば自動車両ブレーキ制御を有し、第2のレベル5は、制御機能4のための機能モニタリングを実行し、さらに第3のレベル6は、異なる効率低下レベルのための、かつ効率低下マネージャの形をし、かつシステムに対する効率低下シナリオの形式をしている。機能モニタ5について、制御機能4は、系統的エラーに対する保護の目的のための種々のソフトウェアアルゴリズムによって、それ自身知られたやり方で実行される。それぞれのソフトウェアレベルは、好ましくは、基本ソフトウェア、またはオペレーティングシステム、およびまたは、アプリケーションソフトウェアの独立したプロセスとして実行することができる。特に、機能モニタ5および効率低下マネージャ6は、様々なプロセス6a、6bに分割することができ、また、様々な安全要求レベルによって、例えば、ASIL Bおよび ASIL Dに分割することもできる。
ソフトウェアコンポーネントのさらなるモニタリング、例えば、独立性のモニタリング、および、さらには時間モニタリングは、プロセススケジューラのような下流の分離メカニズム15を備えたフローモニタ10によってそれ自身知られたやり方で実行される。例として、このことは、パーティションにおける侵害、メモリモニタリング、実行されるべきプロセス用のエントリー条件、およびそれの一時的に、かつ論理的に正確な実行をモニタする。図1は、機能モニタ5、および条件ブロック12aおよび12bによる効率低下マネージャ6内へのフローモニタ10の取込みを例証する。
エラーの場合に、機能モニタ5、およびまたは、効率低下マネージャ6は、自動車両制御システムを移送するか、または効率低下し、または、安全な状態への制御、およびまたは、アプリケーション機能を分離することができ、それは、性能低下が実行され、かつ機能の範囲が縮小されることを可能にする。自動車両制御システムの可用性とエラーの許容誤差は、これらの手段によって本質的に改善される。例として、過熱する恐れのあるエンジンへの電力(power)の供給は、即効的に制限することができる。
効率低下の分離メカニズムはすべて、選択的に達成することができ、それはマイクロコントローラの基本機能を本質的に分離する必要がないことを意味する。したがって、分離メカニズム15、例えばウォッチドッグは、ASIL Dのような高い安全要求レベルを備えた安全機能のためにさえ、絶対的に必要ではない。それが実行するマイクロコントローラのハードウェアを分離するために使用される場合にのみ、分離メカニズム15の使用が、必要になる。したがって、マイクロコントローラの安全依存の再開は、大部分は回避され、かつ、システム可用性は、本質的に改善される。実現のために、実行するマイクロコントローラの出力ピンに、および、したがって開始される安全な状態のために接続されることは、ソフトウェアコンポーネントの適切な、暗号化された指示のために可能である。ハードウェア側の対応する冗長、本質的に知られたブリッジ回路、または活性化ラインは、安全な状態を開始するために使用することを可能にする。マイクロコントローラのソフトウェアコンポーネントが、同時にではなく、むしろ順序だてて実行されるので、データ指向の分離だけでなく、一時的な分離をも考慮に入れることが必要であり、このことは、同様に、外部分離メカニズム15によってモニタされ、かつ、確実になる。
実施例にしたがって、実行するマイクロコントローラは、冗長性がないので、このことが特に単一コアのマイクロコントローラの使用の場合には、有利であり、安全時間内に再開することができる。マイクロコントローラの出力は、再始動の間に定常状態に入れられ、さらに、安全時間内に、再始動とそのプログラムフローとの同期が、起こる。周辺装置が、すべて使用可能のままで、かつ、通信のような補助的機能さえも中断する必要はないので、このアプローチは、再始動中に自動車両制御システムのための安全重大状態を引き起こさない。再始動が安全時間内に可能でない場合には、外部分離メカニズム10は、安全な状態に自動車両制御システムを移す。分離パスが、最優先で効率低下マネージャ6によりプロセス(タスク)によって動作される場合、一時的な決定論(determinism)は、システムの安全な反応のために達成され、それは、そのシステムが、生じているエラーの場合には本質的に正確に、または予想通りに時間にわたって作用するということを意味する。
ソフトウェアアーキテクチャのソフトウェアレベル間の純粋なソフトウェアデータ暗号化の代りに、AutoSar(登録商標)の例を使用して、既に記述されてきたように、データ暗号化、およびまたは、データ署名は、センサ、アクチュエータ、インターフェース、アナログデジタル変換器によるように、自動車両の現存のハードウェア1によって使用され、およびまたは、自動車両コントローラそれ自身のコンポーネントによって使用される。したがって、ハードウェア1に対するソフトウェアコンポーネントのインターフェースは、さらに保護される。
ハードウェア1は、自動車両コントローラ、または、マイクロコントローラと通信する。通信された、暗号化されたデータ8a、9a・・・8c、9cは、インフォメーションデータ8a・・・8c、および、さらに、ハードウェア1の関連するデータ暗号化9a・・・9c、およびまたは、データ署名を有する。
通信チャンネル7は、暗号化されたデータ8a、9a・・・8a、9cを、保全性マネージャ3用に提供するために使用される。通信チャンネル7は、この末端間データ暗号化に基づいて保護される。したがって、単一の、多数の、および一時的なエラーは、識別することができる。AutoSar(登録商標)に基づいてE2Eデータ暗号化に制限はなく、その理由のために、例えば、データフォーマットにおいて目印を付したデータ署名として使用されることは、代りにクレイコード化された(Cray-code)、または追加のチェックパターン、および、解読された情報にとって可能である。例として、現代のアナログデジタル変換器は、ECCとEDC内に組み入れられているこの方法で生成されたデータによって、専用の安全メカニズムによりモニタされる。したがって、これらの安全メカニズムは、また、暗号化用に使用することができる。マイクロコントローラを備えた周辺装置による通信は、例えば、SPI、またはアナログ、またはデジタル通信のように、周辺のバスによってそれ自身知られた方法で行われる。
保全性マネージャ3は、入って来るデータ8a、9a、・・・8c、9cを読み、かつ、それの保全性を分析し、後者は、妥当性、正確性、健全性、およびまたは、データ8a、9a、・・・8c、9cの最新性から決定され、かつ、保全性の異なる程度が、また、識別されることができる。データ保全性が本質的に存在する場合、アプリケーションソフトウェア4、5、6は、さらなる処理のために少なくともインフォメーションデータ8a、8b、8cへのアクセスを備えている。代りに、保全性マネージャ3は、暗号化されたデータ8a、9a、・・・8c、9cを完全にリリースし、前記データは、それぞれの受信するソフトウェアコンポーネントによって解読される。
複数のエラーにもかかわらず、安全を得るためにエラー伝達の制限は、ASIL Dのようなより高い安全要求レベルを備えた分離機能のための、ASIL Bのような比較的に低い安全要求レベルを備えたデータ8a、9a、・・・8c、9cの保全性の妥当化のための機能モニタ5、およびまたは、効率低下マネージャ6を使用することによって達成される。このことは、保全性マネージャ3による保全性チェックだけでなく、第2の独立した安全メカニズムをも実現する。図1は、条件ブロック11aと11bとによってこれを例証し、使用された基礎は、通信チャンネル7からの様々なデータブロック、およびまたは、様々な通信チャンネルからのデータ8a、9a、・・・8c、9c、であることができ、かつまた、インフォメーションデータ8a・・・8c、およびまたは、様々なデータ8a、9a、・・・8c、9cのデータ暗号化9a・・・cの任意の組合せであることができる。
自動車両制御システムにおけるエラーがある場合、保全性マネージャ3は、アプリケーションソフトウェア4、5、6に対して、しかしながら、特には機能モニタ5、およびまたは、効率低下マネージャ6に対して、エラー診断に基づいて適切であるように生成されたエラーコードを伝達する。エラーが、機能モニタ5による妥当性チェックから認識される場合、その関連情報は、例えば、エラーコードを使用して、機能モニタ5によって効率低下マネージャ6に転送される。データ保全性および任意のエラー、妥当性チェック、およびフローモニタ10の組み込みに関する保全性マネージャ3によって提供される情報に基づいて、詳細なエラー分析を実行することが可能である。このことは、エラーが許容されることができ、かつシステムの性能における効率低下が実行されることができながら、はるかに、より複雑な効率低下コンセプトからの正確な手段を可能とする。マイクロコントローラの安全時間は、効率低下マネージャ6による反応に対して同様に重要な意義を有する。この場合、エラー分析における詳細の程度は、それぞれの安全要求レベルへのグルーピングに依存するようにされることができる。アクチュエータのための制御コマンドについては、例えば、アプリケーションソフトウェア3、4、5内の内部診断情報を提供することが必要であり、その結果、安全の適切なアクションを開始することができる。例に基づいて、出力への適時の送信および修正データ送信が診断情報から推論される場合のみ、マイクロコントローラの出力が、安全の適切な機能のために可能になる。
生じたエラーの他にも、本来、それは、一時的な、または恒久的なエラーが含まれているかどうか、およびまたは、影響を受けたソフトウェアコンポーネントが何の安全要求事項レベルに分類されるかの、対応する効率低下コンセプトについて、とりわけ重大であるかもしれない。それを確認することができる限りでは、現在のエラーが、例えば、自動車両制御システムにおいて、または、他の方法において、機密保護の漏洩によって意識的な外部の影響を及ぼすことの結果として、生じたかどうかを考慮することができる。
例として、保全性マネージャ3は、一時的なエラーの場合には、少なくともインフォメーションデータ8a・・・8cを、現実にはあり得ない値に変更するか、アプリケーションソフトウェア4、5、6によるアクセスを不能にするか、または、前記アクセスを提供し続けることができる。データ暗号化9a・・・9cにおけるエラーが発生しており、保全性マネージャ3によって確立された場合、例えば、インフォメーションデータ8a・・・8cは、原則として、または、一時的に、アプリケーションソフトウェアによって使用され続けることができ、その理由のために、保全性マネージャ3がアプリケーションソフトウェア3のためにインフォメーションデータ8a・・・8cを提供し、かつ、エラーコードを効率低下マネージャ6に転送する。そのようなエラーが、定義された時間の後に引き続き存在する場合、適切な反応が、効率低下マネージャ6によって開始することができる。
さらなる図に関係する以下の記述において、反復を回避するために、本質的に、上に記述した実施例における相違のみが議論され、同一である要素は同一の参照符号を備え、単純化目的のために、各場合における発明にとって必要である詳細のみが説明される。
それに制限されることなしに、図1における代表的な実施例は、その使用、または、標準ソフトウェアアーキテクチャAutoSar(登録商標)の設計に本質的に指向した。図2は、図1における代表的な実施例と比較してソフトウェアレベルに対する代りの配置を示す。保全性マネージャ3、機能モニタリングレベル5、および効率低下マネージャ6は、したがって、ランタイム環境2以下に階層的に実現される。この場合、後者は、さらにフローの機能、またはプロセスモニタ10を有することができる。制御機能13a、13b、または、さらなるシステム、またはソフトウェアレベルの補助的機能の、それぞれのプロセスは、それらの安全要求事項、例えば、ASIL BおよびASIL Dにしたがって設計される。
図3において示される代表的な実施例にしたがって、効率低下マネージャ6は、また、制御機能レベル4によって独立したソフトウェアプロセス、または独立したソフトウェア機能として、具体化することができる。例に基づいて、効率低下手段は、妥当性に続く条件ブロック14を経由して保全性マネージャ6によって実行される。さらに、自動車両制御機能、またはソフトウェアプロセス13cは、比較的に低い安全要求事項レベル、例えば、ASIL Bを備えたモニタリングプロセス13bによってモニタされる。さらに、高い安全要求レベル、例えば、ASIL Dを有するプロセス13aは、制御機能13cを、さらには、制御機能のモニタリングプロセス13bをモニタするために設けられる。
以下に、本願出願の当初の特許請求の範囲に記載された発明を付記する。
〔1〕
ハードウェアコンポーネント(1)およびソフトウェアコンポーネント(2、3、4、5、6、10、20)を有し、ハードウェアコンポーネント(1)は、少なくとも1つの基本ソフトウェアコンポーネント(20)、およびまたは、少なくとも1つのランタイム環境 (2)によって抽象され、さらに、実行された安全コンセプトは、2つ、またはそれ以上のソフトウェアレベルを記述し、第1のソフトウェアレベル(4)は、1個のアプリケーションソフトウェアの制御機能を有し、かつ、第2のソフトウェアレベル(5)は、特には制御機能におけるエラーに対して保護する目的で機能モニタの形をしてなり、少なくとも1つのハードウェアコンポーネント(1)によって提供されるデータ暗号化(9a、9b、9c)、およびまたは、データ署名は、少なくとも1つのソフトウェアコンポーネント(3)を備えたハードウェアコンポーネント(1)の少なくとも1つの通信チャンネル(7)のためのデータ保護用に使用されることを特徴とする、機能安全を改善し、かつ、電子閉ループ制御システム、特には自動車両制御システムの可用性を増すための方法。
〔2〕
第1のソフトウェアコンポーネント(3)は、保全性マネージャ(3)であり、暗号化され、およびまたは、通信チャンネル(7)によって通信された署名データ(8a、9a、・・・8c、9c)は、保全性マネージャ(3)、およびまたは、ランタイム環境(2)、およびまたは、基本ソフトウェアコンポーネント(20)のために備えられ、かつ、保全性マネージャ(3)は、通信チャンネル(7)からの通信されたデータ(8a、9a・・・8c、9c)の保全性をチェックし、保全性マネージャ(3)は、特には、データ暗号化(9a、9b、9c)、およびまたは、データ(8a、9a、・・・8c、9c)の保全性をチェックするためのデータ署名を使用することを特徴とする〔1〕記載の方法。
〔3〕
保全性マネージャ(3)は、暗号化され、およびまたは、署名されたデータ(8a、9a、・・・8c、9c)が本質的に現存する場合には、解読された、およびまたは、アプリケーションソフト(4、5、6)のための無署名のインフォメーションデータ(8a・・・c)を備えることを特徴とする〔2〕記載の方法。
〔4〕
保全性マネージャ(3)は、暗号化され、およびまたは、署名されたデータ(8a、9a、・・・8c、9c)の保全性が現存しない場合には、エラーコードを生成し、このエラーコードは、特には、アプリケーションソフトウェアによって処理することができ、解読された、およびまたは、無署名のインフォメーションデータ(8a・・・8c)は、アプリケーションソフトウェア(4、5、6)のために備えられず、または、エラーコードとちょうど一緒に備えられ、およびまたは、解読されたインフォメーションデータ(8a・・・8c)は、信じられない値を割り当てられることを特徴とする〔2〕または〔3〕記載の方法。
〔5〕
保全性マネージャー(3)は、アプリケーションソフト(4、5、6)に従属し、およびまたは、ランタイム環境(2)に独立し、およびまたは、ランタイム環境(2)の中で実行され、ランタイム環境(2)は、保全性マネージャ(3)のために暗号化され、およびまたは、署名されたデータ(8a、9a、・・・8c、9c)を提供することを特徴とする〔2〕〜〔4〕のいずれか1項記載の方法。
〔6〕
効率低下マネジャー(6)は、少なくとも1つの第3のソフトウェアレベルの形をしており、およびまたは、少なくとも、第1、およびまたは、第2のソフトウェアレベル(4)(5)の、少なくとも1つのソフトウェアプロセスの形をしているように規定され、効率低下マネジャ(6)は、第1のソフトウェアレベル(4)の制御機能のための少なくとも1つの効率低下レベル、およびまたは、第2のソフトウェアレベル(5)のための機能モニタを有することを特徴とする〔1〕〜〔5〕のいずれか1項記載の方法。
〔7〕
機能モニタ(5)、およびまたは、効率低下マネージャ(6)は、データ(8a、9a・・・8c、9c)の補足的な妥当化のために、データ暗号化(9a、9b、9c)、およびまたは、データ署名を使用することを特徴とする〔6〕記載の方法。
〔8〕
効率低下マネジャー(6)の分離機能は、高い、特には最大の優先度を備えた少なくとも1つのソフトウェアプロセスによって実行されることを特徴とする〔6〕または〔7〕記載の方法。
〔9〕
データ(8a、9a、・・・8c、9c)の保全性、およびまたは、生成されたエラーコード、およびまたは、データの補足的な妥当化は、1つまたはそれ以上の選択的な分離、およびまたは、自動車両制御システム、およびまたは、制御機能(4)、およびまたは、機能モニタ(5) の性能のための効率低下を実行するために、効率低下マネジャ(6)用の根拠として得られることを特徴とする〔6〕〜〔8〕記載のいずれか1項記載の方法。
〔10〕
機能モニタ(5)、およびまたは、効率低下マネージャ(6)、およびまたは、保全性マネージャ(3)は、データ暗号化(9a、9b、9c)、およびまたは、データ(8a、9a、・・・8c、9c)のデータ署名にアクセスすることができることを特徴とする〔6〕〜〔9〕の少なくとも1項記載の方法。
〔11〕
再始動、およびまたは、方法を実行するマイクロコントローラのプログラムフローのための同期は、オペレーションの間、特には、安全時間内に提供され、安全状態は、安全時間を超過する場合、遮断手段、特にはウォッチドッグによって開始されることを特徴とする〔1〕〜〔10〕のいずれか1項記載の方法。
〔12〕
保全性マネージャ(3)は、データ指向である、およびまたは、ソフトウェアコンポーネントのための一時的な分離を確実にすることを特徴とする〔2〕〜〔11〕のいずれか1項記載の方法。
〔13〕
データ指向である、およびまたは、一時的な分離は、選択的に異なる安全要求レベルを備えたソフトウェアコンポーネントを分離するために、およびまたは、特に独立が侵される場合に、重点的なやり方で使用されることを特徴とする〔12〕記載の方法。
〔14〕
それは〔1〕〜〔13〕のいずれか1項記載の方法を実行することを特徴とする電子閉ループ制御システム、特には、自動車両制御システム。
以下に、本願出願の当初の特許請求の範囲に記載された発明を付記する。
〔1〕
ハードウェアコンポーネント(1)およびソフトウェアコンポーネント(2、3、4、5、6、10、20)を有し、ハードウェアコンポーネント(1)は、少なくとも1つの基本ソフトウェアコンポーネント(20)、およびまたは、少なくとも1つのランタイム環境 (2)によって抽象され、さらに、実行された安全コンセプトは、2つ、またはそれ以上のソフトウェアレベルを記述し、第1のソフトウェアレベル(4)は、1個のアプリケーションソフトウェアの制御機能を有し、かつ、第2のソフトウェアレベル(5)は、特には制御機能におけるエラーに対して保護する目的で機能モニタの形をしてなり、少なくとも1つのハードウェアコンポーネント(1)によって提供されるデータ暗号化(9a、9b、9c)、およびまたは、データ署名は、少なくとも1つのソフトウェアコンポーネント(3)を備えたハードウェアコンポーネント(1)の少なくとも1つの通信チャンネル(7)のためのデータ保護用に使用されることを特徴とする、機能安全を改善し、かつ、電子閉ループ制御システム、特には自動車両制御システムの可用性を増すための方法。
〔2〕
第1のソフトウェアコンポーネント(3)は、保全性マネージャ(3)であり、暗号化され、およびまたは、通信チャンネル(7)によって通信された署名データ(8a、9a、・・・8c、9c)は、保全性マネージャ(3)、およびまたは、ランタイム環境(2)、およびまたは、基本ソフトウェアコンポーネント(20)のために備えられ、かつ、保全性マネージャ(3)は、通信チャンネル(7)からの通信されたデータ(8a、9a・・・8c、9c)の保全性をチェックし、保全性マネージャ(3)は、特には、データ暗号化(9a、9b、9c)、およびまたは、データ(8a、9a、・・・8c、9c)の保全性をチェックするためのデータ署名を使用することを特徴とする〔1〕記載の方法。
〔3〕
保全性マネージャ(3)は、暗号化され、およびまたは、署名されたデータ(8a、9a、・・・8c、9c)が本質的に現存する場合には、解読された、およびまたは、アプリケーションソフト(4、5、6)のための無署名のインフォメーションデータ(8a・・・c)を備えることを特徴とする〔2〕記載の方法。
〔4〕
保全性マネージャ(3)は、暗号化され、およびまたは、署名されたデータ(8a、9a、・・・8c、9c)の保全性が現存しない場合には、エラーコードを生成し、このエラーコードは、特には、アプリケーションソフトウェアによって処理することができ、解読された、およびまたは、無署名のインフォメーションデータ(8a・・・8c)は、アプリケーションソフトウェア(4、5、6)のために備えられず、または、エラーコードとちょうど一緒に備えられ、およびまたは、解読されたインフォメーションデータ(8a・・・8c)は、信じられない値を割り当てられることを特徴とする〔2〕または〔3〕記載の方法。
〔5〕
保全性マネージャー(3)は、アプリケーションソフト(4、5、6)に従属し、およびまたは、ランタイム環境(2)に独立し、およびまたは、ランタイム環境(2)の中で実行され、ランタイム環境(2)は、保全性マネージャ(3)のために暗号化され、およびまたは、署名されたデータ(8a、9a、・・・8c、9c)を提供することを特徴とする〔2〕〜〔4〕のいずれか1項記載の方法。
〔6〕
効率低下マネジャー(6)は、少なくとも1つの第3のソフトウェアレベルの形をしており、およびまたは、少なくとも、第1、およびまたは、第2のソフトウェアレベル(4)(5)の、少なくとも1つのソフトウェアプロセスの形をしているように規定され、効率低下マネジャ(6)は、第1のソフトウェアレベル(4)の制御機能のための少なくとも1つの効率低下レベル、およびまたは、第2のソフトウェアレベル(5)のための機能モニタを有することを特徴とする〔1〕〜〔5〕のいずれか1項記載の方法。
〔7〕
機能モニタ(5)、およびまたは、効率低下マネージャ(6)は、データ(8a、9a・・・8c、9c)の補足的な妥当化のために、データ暗号化(9a、9b、9c)、およびまたは、データ署名を使用することを特徴とする〔6〕記載の方法。
〔8〕
効率低下マネジャー(6)の分離機能は、高い、特には最大の優先度を備えた少なくとも1つのソフトウェアプロセスによって実行されることを特徴とする〔6〕または〔7〕記載の方法。
〔9〕
データ(8a、9a、・・・8c、9c)の保全性、およびまたは、生成されたエラーコード、およびまたは、データの補足的な妥当化は、1つまたはそれ以上の選択的な分離、およびまたは、自動車両制御システム、およびまたは、制御機能(4)、およびまたは、機能モニタ(5) の性能のための効率低下を実行するために、効率低下マネジャ(6)用の根拠として得られることを特徴とする〔6〕〜〔8〕記載のいずれか1項記載の方法。
〔10〕
機能モニタ(5)、およびまたは、効率低下マネージャ(6)、およびまたは、保全性マネージャ(3)は、データ暗号化(9a、9b、9c)、およびまたは、データ(8a、9a、・・・8c、9c)のデータ署名にアクセスすることができることを特徴とする〔6〕〜〔9〕の少なくとも1項記載の方法。
〔11〕
再始動、およびまたは、方法を実行するマイクロコントローラのプログラムフローのための同期は、オペレーションの間、特には、安全時間内に提供され、安全状態は、安全時間を超過する場合、遮断手段、特にはウォッチドッグによって開始されることを特徴とする〔1〕〜〔10〕のいずれか1項記載の方法。
〔12〕
保全性マネージャ(3)は、データ指向である、およびまたは、ソフトウェアコンポーネントのための一時的な分離を確実にすることを特徴とする〔2〕〜〔11〕のいずれか1項記載の方法。
〔13〕
データ指向である、およびまたは、一時的な分離は、選択的に異なる安全要求レベルを備えたソフトウェアコンポーネントを分離するために、およびまたは、特に独立が侵される場合に、重点的なやり方で使用されることを特徴とする〔12〕記載の方法。
〔14〕
それは〔1〕〜〔13〕のいずれか1項記載の方法を実行することを特徴とする電子閉ループ制御システム、特には、自動車両制御システム。
Claims (14)
- 自動車両制御システムにおける電子閉ループ制御システムの機能安全を改善し、かつ、可用性を増すための方法であって、
プロセッサによって、少なくとも1つの基本ソフトウェアコンポーネントを実行することと、
前記プロセッサによって、少なくとも1つのランタイム環境を実行することと、および、
前記プロセッサによって、次の1)、2)を含む少なくとも2つのレベルのアプリケーションソフトウェアを実行することと、
1)前記車両を制御するための制御機能を実行する第1のソフトウェアレベル、
2)前記制御機能をモニタし、前記制御機能におけるエラーを検出するための機能モニタを実行する第2のソフトウェアレベル、
前記プロセッサによって、前記車両にある少なくとも一つのハードウエアコンポーネントから、少なくとも一つの通信チャンネルを介して、前記プロセッサに通信されるデータを管理する第1のソフトウェアコンポーネントを実行することと、を備え、ここにおいて、
前記第1のソフトウェアコンポーネントは、前記アプリケーションソフトウェアに従属し、および、前記第1のソフトウェアコンポーネントは、前記ランタイム環境に対して高位あるいは前記ランタイム環境の中で実行され、および、
前記少なくとも一つのハードウエアコンポーネントは、前記少なくとも一つのハードウエアコンポーネントから前記少なくとも一つの通信チャンネルを介して、前記プロセッサにより実行される前記第1のソフトウェアコンポーネントに通信される前記データのためのデータ暗号化、および、データ署名を提供し、前記第1のソフトウェアコンポーネントは、前記データの保全性をチェックするために、前記データ暗号化およびデータ署名を使用する、方法。 - 前記第1のソフトウェアコンポーネントは、保全性マネージャであり、前記通信チャンネルによって通信された前記暗号化され、および、署名されたデータは、前記保全性マネージャ、前記ランタイム環境、または、前記基本ソフトウェアコンポーネントのうちの少なくとも1つのために提供され、かつ、前記保全性マネージャは、前記通信チャンネルからの前記通信されたデータの保全性をチェックすることを特徴とする請求項1記載の方法。
- 前記保全性マネージャは、前記暗号化され、および、署名されたデータが現存する場合には、前記アプリケーションソフトウェアのための解読された、および、無署名のインフォメーションデータを提供することを特徴とする請求項2記載の方法。
- 前記保全性マネージャは、前記暗号化され、および、署名されたデータの保全性が現存しない場合には、エラーコードを生成し、このエラーコードは、前記アプリケーションソフトウェアによって処理することができ、ここにおいて、前記解読された、および、無署名のインフォメーションデータは、前記アプリケーションソフトウェアのために提供されず、または、エラーコードと一緒に提供され、または、前記解読されたインフォメーションデータは、現実にはあり得ない値を割り当てられることを特徴とする請求項2または3記載の方法。
- 前記ランタイム環境は、前記保全性マネージャのために前記暗号化され、および、署名されたデータを提供することを特徴とする請求項2〜4のいずれか1項記載の方法。
- 効率低下マネージャは、少なくとも第3のソフトウェアレベルによって実行され、または、少なくとも、前記第1、または、前記第2のソフトウェアレベルの、少なくとも1つのソフトウェアプロセスによって実行され、ここにいて、前記効率低下マネージャは、前記第1のソフトウェアレベルの制御機能のための少なくとも1つの効率低下レベル、または、前記第2のソフトウェアレベルのための機能モニタを有することを特徴とする請求項1〜5のいずれか1項記載の方法。
- 前記機能モニタ、およびまたは、前記効率低下マネージャは、前記データの妥当化のために、前記データ暗号化、および、データ署名を使用することを特徴とする請求項6記載の方法。
- 前記効率低下マネージャの分離機能は、最大の優先度を備えた少なくとも1つのソフトウェアプロセスによって実行されることを特徴とする請求項6または7記載の方法。
- 前記データの保全性、前記生成されたエラーコード、または、前記データの妥当化のうちの少なくとも1つは、1つまたはそれ以上の選択的な分離、または、自動車両制御システム、前記制御機能または前記機能モニタの性能のための効率低下を実行するために、前記効率低下マネージャ用の根拠として得られることを特徴とする請求項6〜8記載のいずれか1項記載の方法。
- 前記機能モニタ、前記効率低下マネージャ、または、前記保全性マネージャのうちの少なくとも1つは、前記データのデータ暗号化、および、データ署名にアクセスすることができることを特徴とする請求項6〜9の少なくとも1項記載の方法。
- 前記方法を実行するマイクロコントローラのプログラムフローのための再始動および同期は、安全時間内に提供され、ここにおいて、安全状態は、前記安全時間を超過する場合、ウォッチドッグによって開始されることを特徴とする請求項1〜10のいずれか1項記載の方法。
- 前記保全性マネージャは、ソフトウェアコンポーネントのためのデータ指向および一時的な分離を確実にすることを特徴とする請求項2〜11のいずれか1項記載の方法。
- 独立が侵される場合、異なる安全要求レベルを備えたソフトウェアコンポーネントを選択的に、または、優先的な方法で分離するために、前記データ指向および一時的な分離が使用されることを特徴とする請求項12記載の方法。
- 請求項1〜13のいずれか1項記載の方法を実行することを特徴とする、自動車両制御システムにおける電子閉ループ制御システム。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102012203503 | 2012-03-06 | ||
| DE102012203503.6 | 2012-03-06 | ||
| DE102012024818.0 | 2012-12-19 | ||
| DE102012024818A DE102012024818A1 (de) | 2012-03-06 | 2012-12-19 | Verfahren zur Verbesserung der funktionalen Sicherheit und Steigerung der Verfügbarkeit eines elektronischen Regelungssystems sowie ein elektronisches Regelungssystem |
| PCT/EP2013/054380 WO2013131900A1 (de) | 2012-03-06 | 2013-03-05 | Verfahren zur verbesserung der funktionalen sicherheit und steigerung der verfügbarkeit eines elektronischen regelungssystems sowie ein elektronisches regelungssystem |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015511905A JP2015511905A (ja) | 2015-04-23 |
| JP6189342B2 true JP6189342B2 (ja) | 2017-08-30 |
Family
ID=49029447
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014560333A Active JP6189342B2 (ja) | 2012-03-06 | 2013-03-05 | 機能安全を改善し、電子閉ループ制御システムの可用性を増す方法、および電子閉ループ制御システム |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US9576137B2 (ja) |
| EP (1) | EP2823430B1 (ja) |
| JP (1) | JP6189342B2 (ja) |
| KR (1) | KR20140132390A (ja) |
| CN (1) | CN104272316B (ja) |
| DE (1) | DE102012024818A1 (ja) |
| WO (1) | WO2013131900A1 (ja) |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102012024818A1 (de) | 2012-03-06 | 2013-09-12 | Conti Temic Microelectronic Gmbh | Verfahren zur Verbesserung der funktionalen Sicherheit und Steigerung der Verfügbarkeit eines elektronischen Regelungssystems sowie ein elektronisches Regelungssystem |
| DE102014200089A1 (de) * | 2014-01-08 | 2015-07-09 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren, Vorrichtung, Computerprogramm und Computerprogrammprodukt zum Programmieren von mehreren Steuergeräten |
| JP6330643B2 (ja) | 2014-12-15 | 2018-05-30 | 株式会社デンソー | 電子制御装置 |
| WO2017109129A1 (en) * | 2015-12-24 | 2017-06-29 | British Telecommunications Public Limited Company | Software security |
| EP3394784B1 (en) | 2015-12-24 | 2020-10-07 | British Telecommunications public limited company | Malicious software identification |
| WO2017109128A1 (en) | 2015-12-24 | 2017-06-29 | British Telecommunications Public Limited Company | Detecting malicious software |
| DE102016003359B4 (de) * | 2016-03-18 | 2023-07-20 | Mercedes-Benz Group AG | Anzeigevorrichtung |
| GB2554980B (en) | 2016-08-16 | 2019-02-13 | British Telecomm | Mitigating security attacks in virtualised computing environments |
| EP3500969A1 (en) | 2016-08-16 | 2019-06-26 | British Telecommunications Public Limited Company | Reconfigured virtual machine to mitigate attack |
| DE102016217762A1 (de) * | 2016-09-16 | 2018-04-12 | Continental Automotive Gmbh | Überwachung von sicherheitsrelevanten Funktionen durch eine nicht sichere Recheneinheit |
| US10417077B2 (en) * | 2016-09-29 | 2019-09-17 | 2236008 Ontario Inc. | Software handling of hardware errors |
| CN111051182A (zh) * | 2017-08-30 | 2020-04-21 | 蒂森克虏伯普利斯坦股份公司 | 用于eps的多通道ecu架构 |
| DE102017123615B4 (de) | 2017-10-11 | 2022-11-24 | Bachmann Gmbh | Konfigurierbares Sicherheitsmodul zur Erfassung digitaler oder analoger Eingangs- oder Ausgangssignale |
| DE102017218643A1 (de) | 2017-10-19 | 2019-04-25 | Volkswagen Aktiengesellschaft | Funktionsmodul, Steuereinheit für ein Betriebsassistenzsystem und Arbeitsvorrichtung |
| JP7091816B2 (ja) * | 2018-05-08 | 2022-06-28 | トヨタ自動車株式会社 | 駆動力制御装置 |
| US11129024B2 (en) * | 2018-08-21 | 2021-09-21 | Continental Teves Ag & Co. Ohg | Vehicle-to-X communication device and method for realizing a safety integrity level in vehicle-to-X communication |
| DE102019209355A1 (de) * | 2019-06-27 | 2020-12-31 | Audi Ag | Steuergerät für ein Kraftfahrzeug und Kraftfahrzeug |
| EP3792765A1 (en) * | 2019-09-10 | 2021-03-17 | Vitesco Technologies GmbH | Method for handling transient safety relevant errors in the vehicle and electronic control system of the vehicle |
| EP4045373A4 (en) * | 2019-10-16 | 2023-11-15 | LHP, Inc. | VEHICLE SECURITY MONITORING SYSTEM |
| DE102019216030A1 (de) | 2019-10-17 | 2021-04-22 | Continental Automotive Gmbh | Verfahren und Vorrichtung zur Ausgabe von Repräsentationen für den sicheren Betrieb eines Fahrzeugs relevanter Zustände durch ein Ausgabemodul |
| EP3816741B1 (en) * | 2019-10-31 | 2023-11-29 | TTTech Auto AG | Safety monitor for advanced driver assistance systems |
| KR20210058566A (ko) | 2019-11-14 | 2021-05-24 | 삼성전자주식회사 | 전자 시스템, 그것의 결함 검출 방법, 시스템 온 칩 및 버스 시스템 |
| EP3828748B1 (en) * | 2019-11-27 | 2024-06-26 | AO Kaspersky Lab | System and method for access control in electronic control units of vehicles |
| RU2750626C2 (ru) * | 2019-11-27 | 2021-06-30 | Акционерное общество "Лаборатория Касперского" | Система и способ управления доступом в электронных блоках управления транспортными средствами |
| EP3893113B1 (de) | 2020-04-07 | 2023-06-21 | Elektrobit Automotive GmbH | Überwachung einer komponente eines steuerungssystems für ein fortbewegungsmittel |
| CA3136322A1 (en) * | 2020-12-02 | 2022-06-02 | The Boeing Company | Debug trace streams for core synchronization |
| EP4033360B1 (de) * | 2021-01-26 | 2023-03-01 | TTTech Auto AG | Verfahren zur steuerung und zum automatischen wiederanlauf einer technischen vorrichtung |
| DE102021201837A1 (de) * | 2021-02-26 | 2022-09-01 | Siemens Mobility GmbH | Verfahren zur Konfiguration einer Steuerungssoftware bei einem Schienenfahrzeug |
| CN115158341B (zh) * | 2022-06-30 | 2024-06-14 | 重庆长安汽车股份有限公司 | 基于功能安全设计的车辆故障上传方法及装置 |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6775824B1 (en) * | 2000-01-12 | 2004-08-10 | Empirix Inc. | Method and system for software object testing |
| DE10141737C1 (de) * | 2001-08-25 | 2003-04-03 | Daimler Chrysler Ag | Verfahren zur sicheren Datenübertragung innerhalb eines Verkehrsmittels |
| DE10140721A1 (de) * | 2001-08-27 | 2003-03-20 | Bayerische Motoren Werke Ag | Verfahren zur Bereitstellung von Software zur Verwendung durch ein Steuergerät eines Fahrzeugs |
| WO2005003972A2 (de) | 2003-06-24 | 2005-01-13 | Robert Bosch Gmbh | Verfahren zu überprüfung der sicherheit und zuverlässigkeit softwarebasierter elektronischer systeme |
| DE10332452B4 (de) | 2003-07-17 | 2018-04-12 | Continental Teves Ag & Co. Ohg | Steuerungs- und Regelungsgerät in einem Kraftfahrzeug sowie Verfahren zum Betreiben desselben |
| JP2005203882A (ja) | 2004-01-13 | 2005-07-28 | Denso Corp | 通信システム及び鍵送信方法 |
| JP4709847B2 (ja) * | 2004-11-11 | 2011-06-29 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ネットワーク再構成による処理ユニットの並列フラッシング |
| US8010969B2 (en) * | 2005-06-13 | 2011-08-30 | Intel Corporation | Mechanism for monitoring instruction set based thread execution on a plurality of instruction sequencers |
| US7562284B2 (en) * | 2005-08-26 | 2009-07-14 | International Business Machines Corporation | Apparatus, system, and method for mandatory end to end integrity checking in a storage system |
| US20070097959A1 (en) * | 2005-09-02 | 2007-05-03 | Taylor Stephen F | Adaptive information network |
| US8769311B2 (en) * | 2006-05-31 | 2014-07-01 | International Business Machines Corporation | Systems and methods for transformation of logical data objects for storage |
| DE102006056668A1 (de) | 2006-11-30 | 2008-06-05 | Continental Teves Ag & Co. Ohg | Verfahren zum Sicherstellen oder Aufrechterhalten der Funktion eines komplexen sicherheitskritischen Gesamtsystems |
| ES2391786T3 (es) * | 2007-02-13 | 2012-11-29 | Secunet Security Networks Aktiengesellschaft | Unidad de seguridad |
| CA2699309A1 (en) * | 2007-10-21 | 2009-04-30 | Citrix Systems, Inc. | Systems and methods to adaptively load balance user sessions to reduce energy consumption |
| DE102008018001A1 (de) | 2008-04-09 | 2009-10-22 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zur Übertragung von Nachrichten in Echtzeit |
| EP2194257A1 (en) * | 2008-12-05 | 2010-06-09 | Delphi Technologies Holding S.à.r.l. | A method of controlling a vehicle engine system |
| DE102009011430A1 (de) | 2009-02-25 | 2010-08-26 | Iav Gmbh Ingenieurgesellschaft Auto Und Verkehr | Vorrichtung zur Steuerung und Regelung eines Antriebssystems |
| US8327153B2 (en) * | 2009-12-04 | 2012-12-04 | Electronics And Telecommunications Research Institute | Method and system for verifying software platform of vehicle |
| DE102010032136A1 (de) * | 2010-07-24 | 2012-01-26 | Man Truck & Bus Ag | Austauschverfahren für ein Steuergerät in einem Bordnetz eines Fahrzeuges |
| DE102010039845A1 (de) | 2010-08-26 | 2012-03-01 | Robert Bosch Gmbh | Verfahren zum Übertragen von Sensordaten |
| CN103370716B (zh) * | 2010-11-03 | 2016-10-19 | 维吉尼亚技术知识产权公司 | 使用电力指纹监控基于计算机系统的完整性的方法和系统 |
| DE102012024818A1 (de) | 2012-03-06 | 2013-09-12 | Conti Temic Microelectronic Gmbh | Verfahren zur Verbesserung der funktionalen Sicherheit und Steigerung der Verfügbarkeit eines elektronischen Regelungssystems sowie ein elektronisches Regelungssystem |
| US20140365180A1 (en) * | 2013-06-05 | 2014-12-11 | Carnegie Mellon University | Optimal selection of building components using sequential design via statistical based surrogate models |
-
2012
- 2012-12-19 DE DE102012024818A patent/DE102012024818A1/de active Pending
-
2013
- 2013-03-05 JP JP2014560333A patent/JP6189342B2/ja active Active
- 2013-03-05 WO PCT/EP2013/054380 patent/WO2013131900A1/de active Application Filing
- 2013-03-05 CN CN201380013045.6A patent/CN104272316B/zh active Active
- 2013-03-05 EP EP13709366.2A patent/EP2823430B1/de active Active
- 2013-03-05 US US14/381,671 patent/US9576137B2/en active Active
- 2013-03-05 KR KR1020147027683A patent/KR20140132390A/ko not_active Application Discontinuation
Also Published As
| Publication number | Publication date |
|---|---|
| EP2823430A1 (de) | 2015-01-14 |
| CN104272316A (zh) | 2015-01-07 |
| WO2013131900A1 (de) | 2013-09-12 |
| DE102012024818A1 (de) | 2013-09-12 |
| CN104272316B (zh) | 2017-08-04 |
| US9576137B2 (en) | 2017-02-21 |
| EP2823430B1 (de) | 2018-11-07 |
| JP2015511905A (ja) | 2015-04-23 |
| US20150033357A1 (en) | 2015-01-29 |
| KR20140132390A (ko) | 2014-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6189342B2 (ja) | 機能安全を改善し、電子閉ループ制御システムの可用性を増す方法、および電子閉ループ制御システム | |
| US6918064B2 (en) | Method and device for monitoring control units | |
| CN103262045B (zh) | 具有容错架构的微处理器系统 | |
| US9428159B2 (en) | Fail-safe parking brake for motor vehicles | |
| US10824765B2 (en) | Electronic control units for vehicles | |
| JP2005100029A (ja) | 車載電子制御装置 | |
| JP5746791B2 (ja) | フェール・サイレント機能を備えた回路構成 | |
| Wu et al. | Safety guard: Runtime enforcement for safety-critical cyber-physical systems | |
| JP2009541636A (ja) | 内燃機関のエンジン制御部の機能を監視するための方法および装置 | |
| CN109677418B (zh) | 功能模块、用于运行辅助系统的控制单元和工作装置 | |
| WO2022133997A1 (zh) | 控制方法、监控方法、电子控制单元、控制器和控制系统 | |
| US9778642B2 (en) | Protection unit for a programmable data-processing system | |
| JP2004518578A (ja) | 分配された安全上重要なシステムのコンポーネントの駆動方法 | |
| US20220009353A1 (en) | Security system and method for operating a security system | |
| CN108146250B (zh) | 一种基于多核cpu的汽车扭矩安全控制方法 | |
| Brewerton et al. | Demonstration of automotive steering column lock using multicore autosar® operating system | |
| US20220300612A1 (en) | Security processing device | |
| JP2008206390A (ja) | スイッチング装置及びそれに対応する負荷の活動化方法 | |
| US20230052852A1 (en) | Method for Authentic Data Transmission Between Control Devices of a Vehicle, Arrangement with Control Devices, Computer Program, and Vehicle | |
| US20120210085A1 (en) | Method for executing security-relevant and non-security-relevant software components on a hardware platform | |
| JP6681304B2 (ja) | 自動車用制御装置及び自動車用内燃機関制御装置 | |
| US20190291663A1 (en) | Motor vehicle interface | |
| JP5833111B2 (ja) | 通信ネットワークの電子デバイスが使用するフレームを、そのフレームに含まれるパラメータを使用する機能のタイプに応じてチェックする装置および方法 | |
| Ermagan et al. | Towards model-based failure-management for automotive software | |
| Großmann et al. | Efficient application of multi-core processors as substitute of the E-Gas (Etc) monitoring concept |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150901 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151118 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160405 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160629 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161122 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170220 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170704 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170802 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6189342 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |