WO2022023096A1 - Steuergerät für ein kraftfahrzeug, kraftfahrzeug und verfahren zum betrieb eines steuergeräts - Google Patents

Steuergerät für ein kraftfahrzeug, kraftfahrzeug und verfahren zum betrieb eines steuergeräts Download PDF

Info

Publication number
WO2022023096A1
WO2022023096A1 PCT/EP2021/070085 EP2021070085W WO2022023096A1 WO 2022023096 A1 WO2022023096 A1 WO 2022023096A1 EP 2021070085 W EP2021070085 W EP 2021070085W WO 2022023096 A1 WO2022023096 A1 WO 2022023096A1
Authority
WO
WIPO (PCT)
Prior art keywords
function
subsystem
control unit
vehicle
unit
Prior art date
Application number
PCT/EP2021/070085
Other languages
English (en)
French (fr)
Inventor
Reinhard Schieber
Hans Georg Gruber
Original Assignee
Audi Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Audi Ag filed Critical Audi Ag
Priority to US18/040,116 priority Critical patent/US20230286521A1/en
Priority to CN202180059047.3A priority patent/CN116133924A/zh
Priority to EP21746447.8A priority patent/EP4189550A1/de
Publication of WO2022023096A1 publication Critical patent/WO2022023096A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/76Architectures of general purpose stored program computers
    • G06F15/78Architectures of general purpose stored program computers comprising a single central processing unit
    • G06F15/7807System on chip, i.e. computer system on a single chip; System in package, i.e. computer system on one or more chips in a single package
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/08Interaction between the driver and the control system
    • B60W50/14Means for informing the driver, warning the driver or prompting a driver intervention
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/76Architectures of general purpose stored program computers
    • G06F15/78Architectures of general purpose stored program computers comprising a single central processing unit
    • G06F15/7839Architectures of general purpose stored program computers comprising a single central processing unit with memory
    • G06F15/7842Architectures of general purpose stored program computers comprising a single central processing unit with memory on one IC chip (single chip microcontrollers)
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/008Registering or indicating the working of vehicles communicating information to a remotely located station
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0808Diagnosing performance data
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0841Registering performance data
    • G07C5/085Registering performance data using electronic data carriers
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0005Processor details or data handling, e.g. memory registers or chip architecture
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/021Means for detecting failure or malfunction
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/08Interaction between the driver and the control system
    • B60W50/14Means for informing the driver, warning the driver or prompting a driver intervention
    • B60W2050/143Alarm means

Definitions

  • the invention relates to a control device for a motor vehicle, having a one-chip system with at least one computing unit for providing at least one vehicle function for a vehicle system, at least one memory unit and at least one interface unit.
  • the invention relates to a motor vehicle and a method for operating a control unit for a motor vehicle.
  • Vehicle functions of vehicle systems in modern motor vehicles for example driver assistance functions of driver assistance systems or the like, are usually implemented in control units of the motor vehicle.
  • control units In the context of increasing high integration to reduce the required installation space, to simplify production and to improve performance, it is increasingly being proposed to implement control units as or comprehensively a single-chip system (“System on a Chip” - SoC).
  • On-chip systems are programmable, so that appropriate software that implements the vehicle function can be implemented for the on-chip systems.
  • Vehicle functions often differ significantly from vehicle system to vehicle system or from motor vehicle to motor vehicle, with vehicle functions implemented in software being referred to as “operative software” relating to driving, regulating, controlling, displays and the like.
  • one-chip systems usually include one or more computing units (in particular one or more CPUs or computing cores), which can also be referred to as logic units, one or more memory units, one or more interface units and one or more data lines.
  • computing units in particular one or more CPUs or computing cores
  • Another problem is that software solutions for services, ie service functions and/or system functions, cannot be used without repercussions (runtimes, memory accesses, response times, ...) on other software parts. As a result, the behavior of the ECU is influenced by the use of these services. This is not desired in particular in the case of reactive, real-time capable control units or vehicle systems. the Ensuring or verifying that this special software does not have any repercussions on safety-critical software parts requires a recurring, high level of development and protection effort.
  • DE 102017219242 A1 relates to a one-chip system that has an attack detection unit implemented as hardware, which is connected via a hardware signal connection at least to the input and/or output control unit as a component of the one-chip system.
  • Input signals received by the input/output control unit are evaluated by the attack detection unit with regard to a rule violation of an attack detection set of rules that is to be logged and/or to be answered with at least one measure.
  • the hardware signal connection is designed as a signal line that is specially designed for the signals to be transmitted and can only be used in one direction.
  • DE 102017221 889 A1 relates to a data processing device which has an attack detection unit implemented in particular as hardware.
  • the attack detection unit is connected via a signal connection to a filter and/or to a security unit of an authentication arrangement implemented as a trusted execution environment and evaluates the input signals received via the at least one signal connection with regard to a rule violation of an attack detection rule set that is to be logged and/or to be answered with at least one measure out.
  • the filtering means is at least partially in the form of hardware and uses admission conditions in order to forward only specific user data.
  • the invention is therefore based on the object of specifying an improved embodiment of a control device, particularly with regard to the implementation and execution of services that are to be used by various vehicle functions.
  • the invention provides that the one-chip system has at least one subsystem, which is logically separate from the parts of the one-chip system that implement at least one vehicle function, to provide at least one vehicle-related subsystem that provides a service Having an additional function, the sub-system comprising at least: a computing section, an additional function-specific interface section, in particular forming a proxy, and an additional function-specific communication bus which is connected at least to the computing section and the interface section.
  • the single-chip system has at least one processing unit, in particular a plurality of processing units, which, together with at least one memory unit and at least one interface unit and data lines provided for this purpose, in particular at least one communication bus, perform at least one vehicle function of the vehicle system , which is to be provided by the control unit, can be implemented, the vehicle function in particular being provided at least essentially as software on the one-chip system.
  • the at least one computing unit can be at least one CPU and/or at least one computing core.
  • motor vehicle-specific services therefore the at least one additional function, logically from the at least one vehicle function, which can particularly relate to driving and/or regulating and/or controlling and/or displaying, are proposed within the one-chip system , So in particular the semi-conductor chips to separate and provide as Flardware integrated into the one-chip system.
  • At least one specific service interface which can also be referred to as a service interface or feature interface
  • at least one exclusive communication bus which can also be referred to as a feature bus
  • the exclusive communication buses being preferred all pro grammable logic units of the one-chip system realizing Semiconductor chips, and consequently the at least one computing unit, are connected to the corresponding interface section independently of other data lines/busses. That means the at least one computing unit is connected to the communication bus.
  • a communication path is already provided in this way, namely through the interface section and the communication bus, both of which are exclusive and specific to the additional function, which is independent of all communication paths used for at least one vehicle function and therefore does not impair them / which questions real-time capability.
  • the communication bus has its own data line in the single-chip system, with the interface section also including a fixed, exclusive number of inputs and/or outputs reserved for the additional function, which is of course included in exemplary embodiments can nevertheless be part of the at least one interface unit (input-output unit).
  • the interface section can be formed by its own interface unit, but also by a reserved, fixed portion of at least one interface unit also used for the at least one vehicle function that is to be used exclusively by the additional function.
  • the additional function which can be a service function and/or a system function with particular advantage, thus providing a specific service/service, is vehicle-related. This means that it meets at least one requirement that is specific to motor vehicles and/or motor vehicles of a specific motor vehicle class.
  • a service as is generally known, can be understood as a self-sufficient means that bundles related functionalities and makes them available via a defined interface.
  • the present service functionality integrated into the hardware of the single-chip system, and therefore the at least one additional function can be used for different vehicle functions of motor vehicles of at least one specific motor vehicle class, for example all motor vehicles of a manufacturer, because the subsystem clear interface definitions are available, which ultimately standardizes the at least one additional function and thus the corresponding service.
  • Control devices specifically single-chip systems that are provided to motor vehicles of the motor vehicle class, know how the at least one additional function is to be called up and in what format and where, namely at the interface section, it provides its information/signals or external information or receives signals. In this way, it is no longer necessary to develop new vehicle-related services taking into account the special requirements for each single-chip system or control unit, and interoperability problems, especially between different control units, are significantly reduced.
  • Access to the exclusive, additional function-specific communication bus / interface section on the part of the rest of the system-on-chip, with in other words, the subsystem, can be organized by special instructions (op codes) and/or reserved I/O and/or memory areas.
  • the arithmetic section is at least partially realized by at least one of the at least one arithmetic unit of the one-chip system, in particular by hardcoding at least one additional function-specific machine instruction with at least one assigned op code in the arithmetic unit.
  • the computing section it is also conceivable for the computing section to be implemented at least partially by a separate computing unit assigned only to the additional function, which communicates with the at least one computing unit of the single-chip system assigned to the at least one vehicle function via communicates with the subsystem communication bus.
  • a combination of these approaches is also conceivable.
  • the computing capacity can preferably also be expanded, in particular an allocation of computing capacities to the at least one additional function-specific machine instruction in order to execute the at least as far as possible not to impair a vehicle function.
  • the added additional function-specific machine commands and in particular their assigned op codes can also be standardized, in particular follow a standard specification, so that they are the same for all control units of different motor vehicles, in particular motor vehicles of the motor vehicle class.
  • feature interface the exclusive, additional function-specific interface section
  • feature bus the exclusive communication bus specific to set functions
  • feature bus specific hard-coded machine instructions of the at least one arithmetic unit with the assigned op-codes at least one additional function, and therefore at least one service, hard-coded, i.e. integrated into the flardware.
  • at least one memory portion of the at least one memory unit it is possible within the scope of the present invention for at least one memory portion of the at least one memory unit to be permanently and/or variably assigned to the subsystem by a memory access unit.
  • a plurality of services can be integrated in terms of hardware within a single-chip system and can be used accordingly, in particular by at least one vehicle function or externally, with a standard specification being able to be met for each of these services on the one hand, and on the other hand a robust implementation of the multiple additional functions is given, which at least does not significantly impair the performance of the at least one vehicle function.
  • At least two of the subsystems are also designed to communicate with one another, for example because services and therefore additional functions use one another. Provision can therefore be made for at least one subsystem to be connected to the communication bus of at least one further subsystem, in particular a subsystem relating to protection against manipulation and/or a security function.
  • At least one of the at least one additional function can be a diagnostic function.
  • the subsystem assigned to the diagnostic function in particular the interface section, can be designed for communication with at least one maintenance device and/or the subsystem assigned to the diagnostic function can be designed to hold diagnostic-relevant operating data and/or event data of the control unit that can be queried using the interface section be embodied in the at least one memory unit and/or in a memory device external to the one-chip system.
  • a subsystem for a diagnostic function as an additional function can with particular advantage provide a manufacturer-specific proxy or, more generally, a proxy for motor vehicles of a specific motor vehicle class that precisely the motor vehicle class, in particular the manufacturer, is tailored, for example with regard to tools for maintenance, in particular special maintenance devices.
  • the at least one computing unit of the one-chip system can preferably communicate directly with the subsystem of the diagnostic function, be it via the op codes and/or already mentioned via the subsystem communication bus. Due to the fact that all external requirements, for example those from an external maintenance device such as a tester, are abstracted by the subsystem, the at least one computing unit does not have to know or observe them either.
  • the subsystem assigned to the diagnostic function is particularly advantageously given access to the volatile and/or persistent memory of the at least one memory unit, so that the at least one computing unit does not have to take care of its administration, for example including allocation, persistence and the like.
  • the subsystem assigned to the diagnostic function can cyclically store all diagnostic-relevant operating data, for example including measured value blocks, environmental data and the like, in a memory portion used by the diagnostic function and can therefore be called up in the event of a diagnosis, in particular via the interface section, are available.
  • the subsystem assigned to the diagnostic function can also provide secure, meaning authenticated, access to the diagnostic function, which represents a diagnostic service, in exemplary embodiments, for which purpose the subsystem assigned to the diagnostic function is particularly preferred for communication with a one Security function associated subsystem is formed, in particular via a direct interface or by accessing the communication bus of the security service.
  • the implementation of the subsystem assigned to the diagnostic function in flardware on the semiconductor chip of the one-chip system can also allow diagnostic events, i.e. in particular event data, from peripheral units and computing units (i.e. a total of IP blocks ) of the on-chip system, in particular comprising the at least one interface unit, GPUs, CPUs and the like, can be entered directly into the subsystem that implements the diagnostic function, for example in the form of event data.
  • Flierzu the at least one peripheral unit/processing unit is expediently connected to the communication bus of the subsystem assigned to the diagnostic function. It should be noted here that such event data should of course also be generated by the at least one computing unit of the single-chip system, in addition to peripheral units.
  • the subsystem assigned to the diagnostic function can also itself be designed to evaluate diagnosis-relevant operating data with regard to the generation of further diagnosis-relevant operating data and/or the control signals, so that certain measured values and/or functional variables can be checked cyclically, for example. If there is a deviation from a target behavior here, for example due to the fulfillment of a deviation criterion, a diagnostic event described, for example, by an error code as event data, can arise and be generated and stored. For example, functionalities such as activating a warning lamp or the like can be linked to this error code.
  • the subsystem assigned to the diagnostic function stores the error code or, in general, the event data until they can be read out via an external access device, for example the maintenance device, so that a reset can take place.
  • the diagnostic function as an additional function relating to motor vehicle diagnosis that the processes required for this service are made available in the hardware of the single-chip system in such a way that the design of complex software for handling motor vehicle diagnosis is no longer necessary can, operating data and/or event data relevant to diagnosis can be stored and/or evaluated in a simple manner, vehicle-specific requirements for the diagnosis function can be met and a standardized, always identically functioning procedure with regard to motor vehicle diagnosis is given.
  • an external memory device that can also be used by other types of additional functions, i.e. other services, can be part of the control unit and is useful, for example, if larger quantities of diagnostic-relevant operating data and/or event data are to be stored or are to be kept available, which can then be retrieved accordingly at a later point in time.
  • At least one of the at least one additional function is a data export function, in particular a logging function and/or shadowing function and/or a validation function.
  • a data export function in particular a logging function and/or shadowing function and/or a validation function.
  • Various services in motor vehicles require operating data from the control unit and/or event data from the control unit to be exported or made available outside of the control unit, and this should be done without impairing the at least one vehicle function, especially if the exported information is for assessment purposes which should serve at least one vehicle function.
  • data export functions include, in particular, pure logging functions, validation functions and so-called shadowing functions, and are therefore used for security purposes, for example, and can therefore also be referred to as security functions.
  • the subsystem assigned to the data export function is preferably used for temporarily storing control unit operating data to be exported in the at least one memory unit and/or in a memory device external to the on-chip system and/or for controlling the data transport from to be transmitted to a target device
  • Operating data and / or for communication with the target device is.
  • operating data from near-series motor vehicles may be necessary to enable vehicle functions from certain areas, for example the areas of safety, driver assistance, steering, brakes and drive.
  • motor vehicles are equipped with special measurement technology devices, such as a data logger, which are connected to interfaces in the vehicle electronics, specifically also in the control units.
  • a data logger which are connected to interfaces in the vehicle electronics, specifically also in the control units. The acquisition of this operating data must not have any influence on the running, at least one vehicle function. Because this would change the behavior of the at least one vehicle function and the validation would be invalid.
  • a subsystem that is assigned to such a validation function, or its interface section, can also be referred to as a "validation service interface". This can represent a proxy that is precisely tailored for the measurement technology device used, which is the target device already mentioned.
  • the at least one computing unit of the one-chip system can, for example, communicate directly with the subsystem via the communication bus of this subsystem.
  • the subsystem assigned to the validation function abstracts all inquiries from the measurement technology device, ie in particular from the target device, and buffers the data packets of the operating data.
  • a broadband interface for storing the required operating data is available to the at least one computing unit.
  • the subsystem that implements the validation function can have access to the volatile and persistent memory of the at least one memory unit and/or an external memory device, so that the at least one computing unit does not have to worry about its management (allocation, buffering, persistence and the like). have to take care of.
  • all necessary operating data for example including measurement data, are stored cyclically and are available to the measurement technology when required, ie in particular on request.
  • flow control for the data access can also be carried out by the external measurement technology device, ie in particular the target device.
  • this can particularly preferably provide secure, authenticated access to the validation function and the operating data, for which purpose it particularly preferably has a connection to a subsystem that implements a security function, in particular to its communication bus . For example, authentication of a requesting target device can be implemented.
  • Shadowing means decoupling certain operating data, again ideally without influencing the at least one vehicle function, which can also be referred to as seamless removal, with this operating data preferably being forwarded to a target device external to the motor vehicle, where it is particularly preferably sent together with others to this Way obtained operating data can be evaluated, in particular for the purpose of further developing the at least one vehicle function.
  • Such an evaluation can be understood as a big data evaluation, so that a kind of "big loop" is created, in particular through continuous improvement of the at least one vehicle function due to the shadowing, which can represent a continuous circle of feedback and improvement measures.
  • a data export function can of course also be a combination of different subfunctions, for example a subsystem providing a data export function can provide the logging, validation and shadow wing services overall. Of course it is in other trainings it is also conceivable to at least partially provide different subsystems for the different types of data export functions.
  • an advantageous development of the present invention provides that at least one of the at least one additional function is a security function, with the subsys tem assigned to the security function for controlling encryption - and/or decryption means for output data and/or input data of the single-chip system and/or for carrying out at least one authentication process for a communication partner of the control unit.
  • authentication is particularly advantageous and can be implemented via a subsystem.
  • Scaling to the desired data rates can be achieved by vectorization.
  • a “secure key memory” can already be present here, which provides the encryption and/or decryption means and/or at least one processing unit with at least one key for carrying out the encryption and decryption processes.
  • Such keys can also be used or created within the framework of authentication.
  • a hardware-coded encryption and/or decryption system requires special driver software in conventional single-chip systems, which then must be developed appropriately and requires power and bandwidth within the single-chip system or causes susceptibility to failure in the conventional components.
  • a subsystem that provides the corresponding service and is assigned to the security function can be configured using the additional, exclusive communication bus to control encryption and/or decryption means and/or key management and, preferably, additionally or alternatively to authenticate with regard to various Communication partners provide without the at least one vehicle function is impaired.
  • a closely coupled solution is provided, for example via corresponding op codes.
  • the operations of controlling the encryption and/or decryption means and/or the key management and/or the authentication therefore do not compete with the execution of the at least one vehicle function, so that there are no incalculable running times to be generated.
  • authentication it can be provided, for example, that authentication of a specific communication partner is queried via at least one corresponding op code and/or the communication bus of the subsystem assigned to the security function, which is then brought about accordingly via the interface section can be.
  • At least one key used by the security function is hard-coded in a tamper-proof memory unit of the one-chip system.
  • Corresponding configurations in this respect are already largely known from the prior art, so that this does not have to be explained in more detail here.
  • At least one of the at least one additional function can be an enabling function for flaredware and/or software function extensions, which is particularly integrated into the security function and/or cooperates with it.
  • the subsystem assigned to the release function provides at least one release information describing release information released for use and/or software of the one-chip system to the at least one vehicle function and/or for, in particular by authentication and / or Encryption secured th, communication with a vehicle-external, Release GmbHinformati ons providing backend device is formed via its interface section.
  • Release switching information related to a flardware and/or software component changes the release information when evaluated by the subsystem assigned to the release function in such a way that the entry of the release information assigned to the flardware and/or software component described by the release switching information corresponds to the Release switching information is changed.
  • certain functionalities represented by Flardware and / or Activate and/or deactivate software components permanently or temporarily. This is particularly relevant for business models in which a user of a motor vehicle can activate certain functionalities, at least temporarily, for a fee.
  • the activation (or possibly also deactivation) of this functionality can be called up by a backend device, for example by means of a subscription to the Internet, by an app and/or directly during production.
  • a backend device for example by means of a subscription to the Internet, by an app and/or directly during production.
  • components that can be activated or deactivated by means of the release information can be present both in the flardware, ie the semiconductor chip of the one-chip system itself, and in the software.
  • the subsystem assigned to the release function can also be understood, for example, as an "enabler service interface".
  • the subsystem assigned to the release function can carry out the entire release functionality together with a subsystem assigned to a security function, in particular with regard to authentication and key management.
  • the security function can also implement the routines for communication with the backend device.
  • the at least one logic unit can use special op codes to use the communication bus of the subsystem that implements the release function in order to communicate with the “enabler service interface”, in particular to query the release information, so that easy way to determine which hardware components and software components are released. Due to the mapping in the hardware of the one-chip system, the release capability also extends to chip resources, for example additional processing units such as CPUs and/or GPUs.
  • the release information can be provided via a register. This means, for example, that certain registers in the single-chip system can be written to after authentication has taken place, in particular because of a release switch information received, in order to release additional functionalities, in particular at least one hardware component and/or at least one software component.
  • Such an embodiment with a release function as an additional function, and therefore a release service is not only useful with regard to business models, but also with regard to scalability of the control unit according to the invention with regard to an extended range of use across different model series, in particular the motor vehicle class.
  • the present invention also relates to a motor vehicle comprising at least one control unit according to the invention. All statements relating to the control unit according to the invention can be transferred analogously to the motor vehicle according to the invention.
  • the invention also relates to a method for operating a control unit according to the invention, the additional function providing the at least one service, in particular as a service and/or system function, being executed exclusively by means of the subsystem assigned to it.
  • the statements relating to the control unit according to the invention naturally continue to apply accordingly.
  • FIG. 1 shows a schematic diagram of a motor vehicle according to the invention
  • Fig. 2 shows the functional structure of a one-chip system in a control unit according to the invention
  • FIG. 3 shows a functional outline sketch of a one-chip system in a specific exemplary embodiment
  • FIG. 4 shows a representation illustrating the logical separation of subsystems and vehicle functions.
  • the motor vehicle 1 shows a schematic diagram of a motor vehicle 1 according to the invention.
  • the motor vehicle 1 has a number of vehicle systems, for example comprehensive driver assistance systems, of which two vehicle systems 2 are indicated by way of example, each of which has at least one control unit 3 .
  • the control units 3 are designed according to the invention and comprise at least one single-chip system 4 and optionally a memory device 5 that can be used by a service and is external to the single-chip system 4.
  • the control units 3 can communicate with one another, for example, via a bus system 6 of the motor vehicle 1 and be connected to other components/vehicle systems 2, in the present case a diagnostic interface 7 and a communication device 8, which also allows communication on the Internet via a cellular network.
  • the one-chip systems 4 of the control units 3 are presently identical in terms of their flard ware, even if they carry out different vehicle functions of the respective vehicle systems 2 using software.
  • each of the one-chip systems 4 has a plurality of subsystems implemented as flardware, by means of which additional functions for the provision of different services are executed logically separately from the respective vehicle functions.
  • Each subsystem has a computing section, which can be implemented as a dedicated computing unit or part of another computing unit of the single-chip system 4, a dedicated data line, Communication bus used exclusively by the additional function and a present interface section also used exclusively by the additional function, which nonetheless can form a proportion of at least one interface unit of the single-chip system 4.
  • the respective services are therefore implemented by the self-sufficient subsystem implemented as hardware and have a clearly defined interface to the outside, which in this case is for the single-chip system 4 or specifically the at least one vehicle function of each control unit 3 as an expanded op code Instruction set of machine instructions is implemented on the part of the interface section by a corresponding, clear, standard-forming or fulfilling interface definition.
  • the single-chip system 4 in this exemplary embodiment has four arithmetic units 9, which can be connected, for example, via a basic communication bus or a basic data line (not shown for the sake of clarity) and connected to an interface unit not shown in detail here be able.
  • four subsystems 10a, 10b, 10c and 10d are also provided in the present case, each of these subsystems 10a, 10b, 10c and 10d having a communication bus 11a, 11b, 11c,
  • the processing sections which are not shown here for the sake of clarity, can be implemented at least partially by the processing units 9 and/or the interface sections 12a, 12b, 12c and 12d. All arithmetic units 9 are connected to each of the communication buses 11a, 11b, 11c and 11d, the interface sections 12a, 12b, 12c and 12d with the respective associated communication buses 11a, 11b, 11c and 11d are connected.
  • the subsystem 10a is assigned to a security service and is therefore used to carry out a security function.
  • the subsystem 10b is assigned to a diagnostic function, the subsystem 10c to a data export function, specifically a logging function, a validation function and a shadowing function, and the subsystem 10d to a release function.
  • a diagnostic function the subsystem 10c to a data export function, specifically a logging function, a validation function and a shadowing function
  • the subsystem 10d to a release function.
  • communication between the subsystems 10b, 10c and 10d and the subsystem 10a is established in the present case in that the respective interface section 12b, 12c and 12d is connected to the Communication bus 11a is also connected, see arrows 13.
  • Communication partners accessing externally or communicating with the subsystems 10a, 10b, 10c and 10d, for example target devices for exported operating data, maintenance devices, a backend device, a server device and the like, are in Fig. 2 with the reference number 14 in communication with the corresponding interface sections 12a ,
  • FIG. 3 A more specific structure is shown in FIG. 3, but only for the subsystem 10a assigned to the security function for the sake of simplicity. Accordingly, an interface unit 15 and, in the present case, two memory units 16a, 16b are formed as part of the semiconductor chip of the one-chip system 4 in addition to the four arithmetic units 9 already mentioned.
  • Another data line 18 implements the communication bus 11a of the subsystem 10a and also contains a connection to the memory unit 16b.
  • a further computing unit 19 can be provided as part of the computing section of the subsystem 10a.
  • a memory management unit can also be present as a component that is not shown.
  • the interface section 12a is formed by a portion of the interface unit 15. Also integrated in the interface unit 15 are decryption and encryption means 20, which are used for secure communication with communication partners. At least one corresponding key 21 can be hard-coded in the memory unit 16b.
  • the subsystem 10a assigned to the security function is now designed as part of the security service to enable communication partners 14 to be authenticated via the interface section 12a if this was requested by at least one of the at least one vehicle function via a corresponding op code.
  • Various authentication methods can be specifically used or made available by the subsystem 10a, with keys such as the hard-coded key 21 also being able to be used in particular.
  • the security function is also used to control the encryption and decryption means 20 and for key management. For example, suitable keys for suitable communication partners 14 can be selected and/or key negotiations can be carried out.
  • FIG. 4 once again briefly explains the basic principle of the present invention in the form of a schematic representation of the principle.
  • the subsystem 10b assigned to the diagnostic function which consequently provides a diagnostic service, can, for example, cyclically transmit diagnostic-relevant operating data and/or, in particular event-controlled, event data in the Storage unit 16a or the storage device 5 intermediate storage or provision.
  • the subsystem 10b is also designed in particular for the associated memory management.
  • the subsystem 10b allows communication with maintenance tools and other diagnosis-related communication partners 14, in particular maintenance devices, by means of the corresponding interface section 12b, which can also take place securely using the subsystem 10a (security service).
  • diagnosis-relevant events that are recognized by the IP blocks of the on-chip system, for example the arithmetic units 9, can be directly held available and/or communicated, since they simply have to be given to the corresponding communication bus 11b .
  • the subsystem 10c can be used in particular to tap operating data for validation and shadowing, and can therefore implement a validation function and a shadowing function as services.
  • a target device can serve as communication partner 14 for the operating data to be exported, to which a secure connection can be established thanks to subsystem 10a the exporting operating data can be used.
  • the target device is often a server device on the Internet, where a big data evaluation can be carried out in order to be able to improve the at least one vehicle function, for example in the sense of a “big loop”. Other logging requirements can also be served or fulfilled.
  • the memory unit 16a and/or the external memory device 5 can in turn be used for buffering or intermediate storage.
  • the subsystem 10d can control the release of hardware components and/or software components (also referred to as hardware modules and/or software modules), for which purpose a special register in one of the memory units 16a, 16b can be used to provide corresponding release information.
  • the interface section 12d can communicate with a backend device as a communication partner 14, to obtain release switching information when, for example, new hardware and/or software components are released by purchase or the like.
  • the service provided by the release function can also be used, for example, to set or scale the control device 3 to the corresponding vehicle model during production.

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Mechanical Engineering (AREA)
  • Theoretical Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • General Engineering & Computer Science (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computing Systems (AREA)
  • Small-Scale Networks (AREA)
  • Control Of Electric Motors In General (AREA)

Abstract

Steuergerät (3) für ein Kraftfahrzeug (1), aufweisend ein Ein-Chip-System (4) mit wenigstens einer Recheneinheit (9) zur Bereitstellung wenigstens einer Fahrzeugfunktion für ein Fahrzeugsystem (2), wenigstens einer Speichereinheit (16a, 16b) und wenigstens einer Schnittstelleneinheit (15), wobei das Ein-Chip-System (4) wenigstens ein logisch von den die wenigstens eine Fahrzeugfunktion umsetzenden Anteilen des Ein-Chip-Systems (4) getrenntes Subsystem (10a, 10b, 10c, 10d) zur Bereitstellung wenigstens einer kraftfahrzeugbezogenen, einen Dienst bereitstellenden Zusatzfunktion aufweist, wobei das Subsystem (10a, 10b, 10c, 10d) wenigstens umfasst: - einen Rechenabschnitt (22a, 22b, 22c, 22d), - einen zusatzfunktionsspezifischen, insbesondere einen Proxy bildenden Schnittstellenabschnitt (12a, 12b, 12c, 12d), und - einen zusatzfunktionsspezifischen Kommunikationsbus (11a, 11b, 11c, 11d), der wenigstens mit dem Rechenabschnitt (22a, 22b, 22c, 22d) und dem Schnittstellenabschnitt (12a, 12b, 12c, 12d) verbunden ist.

Description

Steuergerät für ein Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts
BESCHREIBUNG:
Die Erfindung betrifft ein Steuergerät für ein Kraftfahrzeug, aufweisend ein Ein- Chip-System mit wenigstens einer Recheneinheit zur Bereitstellung wenigs tens einer Fahrzeugfunktion für ein Fahrzeugsystem, wenigstens einer Spei chereinheit und wenigstens einer Schnittstelleneinheit. Daneben betrifft die Er findung ein Kraftfahrzeug und ein Verfahren zum Betrieb eines Steuergeräts für ein Kraftfahrzeug.
Fahrzeugfunktionen von Fahrzeugsystemen in modernen Kraftfahrzeugen, beispielsweise Fahrerassistenzfunktionen von Fahrerassistenzsystemen oder dergleichen, werden üblicherweise in Steuergeräten des Kraftfahrzeugs um gesetzt. Im Rahmen der zunehmenden Hochintegration zur Reduzierung be nötigten Bauraums, zur Vereinfachung der Herstellung sowie zur Verbesse rung der Performance wird immer häufiger vorgeschlagen, Steuergeräte als oder umfassend ein Ein-Chip-System („System on a Chip“ - SoC) umzuset zen. Ein-Chip-Systeme sind programmierbar, so dass entsprechende, die Fahrzeugfunktion umsetzende Software für die Ein-Chip-Systeme umgesetzt werden können. Dabei unterscheiden sich Fahrzeugfunktionen von Fahrzeug system zu Fahrzeugsystem bzw. von Kraftfahrzeug zu Kraftfahrzeug häufig deutlich, wobei in Software umgesetzte Fahrzeugfunktionen als „operative Software“, betreffend Fahren, Regeln, Steuern, Anzeigen und dergleichen, be zeichnet werden können. Werden marktübliche Halbleiterchips bzw. Ein-Chip- Systeme verwendet, müssen diese ohnehin softwaremäßig konfiguriert wer den, um die Fahrzeugfunktion umsetzen zu können. Dabei umfassen Ein- Chip-Systeme üblicherweise ein oder mehrere Recheneinheiten (insbesondere ein oder mehrere CPUs bzw. Rechenkerne), die auch als Lo gikeinheiten bezeichnet werden können, ein oder mehrere Speichereinheiten, ein oder mehrere Schnittstelleneinheiten und ein oder mehrere Datenleitun gen.
Problematisch im Hinblick auf Kraftfahrzeuge ist, dass Dienste, die spezifische Anforderungen für Kraftfahrzeuge erfüllen müssen, wodurch sie sich stark von ähnlichen Diensten aus anderen Industriebereichen unterscheiden, in allen o- der zumindest den meisten Steuergeräten und somit Ein-Chip-Systemen ebenso benötigt werden. Derartige Dienste, die fahrzeugfunktionsübergrei- fend genutzt werden, umfassen Diagnosefunktionen, Logging-Funktionen, Si cherheitsfunktionen (Security-Funktionen), Funktionsmanager und derglei chen. Dabei werden automobilspezifische Dienste im Gegensatz zu der ope rativen Software, die die wenigstens eine Fahrzeugfunktion bereitstellt, in allen Steuergeräten idealerweise in unveränderter Weise benötigt. Jedoch unter stützen marktübliche Halbleiterchips diese kraftfahrzeugspezifischen Dienste nur teilweise oder gar nicht, weshalb diese Dienste, welche im Folgenden als durch Zusatzfunktionen bereitgestellt angesehen werden sollen, vollständig in Software abgebildet werden müssen.
Derartige Softwarelösungen sind jedoch fehleranfällig und müssen für jedes Projekt neu entwickelt bzw. konfiguriert werden. Viele funktional eigentlich identische Lösungen werden von unterschiedlichen Dienstleistern unabhängig und unterschiedlich implementiert, was hohen Aufwand in den Projekten ge neriert und die Interoperabilität der Steuergeräte bzw. Fahrzeugsysteme feh leranfällig macht. Dies zeigt sich beispielsweise bei Diensten wie Diagnose und/oder Update.
Ein weiteres Problem ist, dass Softwarelösungen für Dienste, mithin Service funktionen und/oder Systemfunktionen, nicht ohne Rückwirkungen (Laufzei ten, Speicherzugriffe, Reaktionszeiten, ...) auf andere Softwareteile eingesetzt werden können. Dadurch wird das Steuergerätverhalten durch die Nutzung dieser Dienste beeinflusst. Dies ist insbesondere bei reaktiven, echtzeitfähi gen Steuergeräten bzw. Fahrzeugsystemen nicht gewünscht. Die Gewährleistung bzw. Verifikation der Rückwirkungsfreiheit dieser speziellen Software auf sicherheitskritische Softwareteile erfordert einen wiederkehren den, hohen Entwicklungs- und Absicherungsaufwand.
DE 102017219242 A1 betrifft ein Ein-Chip-System, das eine als Hardware realisierte Angriffsdetektionseinheit aufweist, welche über eine Hardware-Sig nalverbindung wenigstens mit der Ein- und/oder Ausgabe-Steuereinheit als Komponente des Ein-Chip-Systems verbunden ist. Von der Ein-/Ausgabe- Steuereinheit empfangene Eingangssignale werden mittels der Angriffsdetek tionseinheit bezüglich einer zu protokollierenden und/oder mit wenigstens ei ner Maßnahme zu beantwortenden Regelverletzung eines Angriffsdetektions regelsatzes ausgewertet. Die Hardware-Signalverbindung ist dabei als eine speziell für die zu übertragenden Signale ausgelegte, nur in eine Richtung nutzbare Signalleitung ausgebildet.
DE 102017221 889 A1 betrifft eine Datenverarbeitungseinrichtung, die eine insbesondere als Hardware realisierte Angriffsdetektionseinheit aufweist. Die Angriffsdetektionseinheit ist über eine Signalverbindung mit einem Filtermittel und/oder einer als Trusted Execution Environment realisierten Sicherheitsein heit einer Authentifizierungsanordnung verbunden und wertet über die wenigs tens eine Signalverbindung erhaltenen Eingangssignale bezüglich einer zu protokollierenden und/oder mit wenigstens einer Maßnahme zu beantworten den Regelverletzung eines Angriffsdetektionsregelsatzes aus. Das Filtermittel ist wenigstens teilweise als Hardware ausgebildet und nutzt Zulassungsbedin gungen, um nur bestimmte Nutzdaten weiterzuleiten.
Der Erfindung liegt daher die Aufgabe zugrunde, eine insbesondere im Hin blick auf die Umsetzung und Durchführung von Diensten, die von verschiede nen Fahrzeugfunktionen genutzt werden sollen, verbesserte Ausgestaltung ei nes Steuergeräts anzugeben.
Diese Aufgabe wird gelöst durch ein Steuergerät, ein Kraftfahrzeug und ein Verfahren zum Betrieb eines Steuergeräts gemäß den unabhängigen Ansprü chen. Vorteilhafte Ausgestaltungen ergeben sich aus den Unteransprüchen. In einem Steuergerät der eingangs genannten Art ist erfindungsgemäß vorge sehen, dass das Ein-Chip-System wenigstens ein logisch von den die wenigs tens eine Fahrzeugfunktion umsetzenden Anteilen des Ein-Chip-Systems ge trenntes Subsystem zur Bereitstellung wenigstens einer kraftfahrzeugbezoge nen, einen Dienst bereitstellenden Zusatzfunktion aufweist, wobei das Sub system wenigstens umfasst: einen Rechenabschnitt, einen zusatzfunktionsspezifischen, insbesondere einen Proxy bildenden Schnittstellenabschnitt, und einen zusatzfunktionsspezifischen Kommunikationsbus, der wenigstens mit dem Rechenabschnitt und dem Schnittstellenabschnitt verbunden ist.
Wie grundsätzlich bekannt, weist das Ein-Chip-System mithin wenigstens eine Recheneinheit, insbesondere mehrere Recheneinheiten auf, die gemeinsam mit wenigstens einer Speichereinheit und wenigstens einer Schnittstellenein heit sowie hierfür vorgesehenen Datenleitungen, insbesondere wenigstens ei nem Kommunikationsbus, die wenigstens eine Fahrzeugfunktion des Fahr zeugsystems, die durch das Steuergerät bereitgestellt werden soll, umsetzen können, wobei die Fahrzeugfunktion insbesondere zumindest im Wesentli chen als Software auf dem Ein-Chip-System bereitgestellt wird. Bei der we nigstens einen Recheneinheit kann es sich um wenigstens eine CPU und/oder wenigstens einen Rechenkern handeln. Erfindungsgemäß wird nun vorge schlagen, kraftfahrzeugspezifische Dienste, mithin die wenigstens eine Zu satzfunktion, logisch von der wenigstens einen Fahrzeugfunktion, welche ins besondere Fahren und/oder Regeln und/oder Steuern und/oder Anzeigen be treffen kann, innerhalb des Ein-Chip-Systems, insbesondere also des Halb leiterchips, zu trennen und als in das Ein-Chip-System integrierte Flardware bereitzustellen. Dazu wird in Form des Schnittstellenabschnitts wenigstens eine spezifische Dienstschnittstelle, die auch als Service-Schnittstelle bzw. Feature-Schnittstelle bezeichnet werden kann, und wenigstens ein exklusiver Kommunikationsbus, der auch als Feature-Bus bezeichnet werden kann, be reitgestellt, wobei die exklusiven Kommunikationsbusse bevorzugt alle pro grammierbaren Logikeinheiten des das Ein-Chip-System realisierenden Halbleiterchips, mithin die wenigstens eine Recheneinheit, mit dem entspre chenden Schnittstellenabschnitt unabhängig von anderen Datenleitun gen/Bussen verbindet. Das bedeutet, die wenigstens eine Recheneinheit ist an den Kommunikationsbus angeschlossen. Mit anderen Worten wird auf diese Weise, nämlich durch den Schnittstellenabschnitt und den Kommunika tionsbus, die beide exklusiv und spezifisch für die Zusatzfunktion sind, bereits ein Kommunikationsweg bereitgestellt, der unabhängig von allen für die we nigstens eine Fahrzeugfunktion genutzten Kommunikationswegen ist und diese somit nicht beeinträchtigt/die Echtzeitfähigkeit in Frage stellt. Mit ande ren Worten bedeutet dies, dass der Kommunikationsbus eine eigene Daten leitung in dem Ein-Chip-System umfasst, wobei zudem der Schnittstellenab schnitt eine feste, exklusive, für die Zusatzfunktion reservierte Anzahl von Ein und/oder Ausgängen umfasst, die in Ausführungsbeispielen selbstverständlich dennoch Teil der wenigstens einen Schnittstelleneinheit (Eingabe-Ausgabe einheit) sein können. Mit anderen Worten kann der Schnittstellenabschnitt durch eine eigene Schnittstelleneinheit gebildet sein, aber auch durch einen reservierten, festgelegten, exklusiv durch die Zusatzfunktion zu nutzenden An teil wenigstens der wenigstens einen auch für die wenigstens eine Fahrzeug funktion genutzten Schnittstelleneinheit.
Die Zusatzfunktion, die mit besonderem Vorteil eine Servicefunktion und/oder eine Systemfunktion sein kann, mithin einen bestimmten Service/Dienst be reitstellt, ist fahrzeugbezogen. Das bedeutet, sie erfüllt wenigstens eine für Kraftfahrzeuge und/oder Kraftfahrzeuge einer bestimmten Kraftfahrzeug klasse spezifische Anforderung. Allgemein kann ein Dienst, wie grundsätzlich bekannt, als eine autarkes Mittel, das zusammenhängende Funktionalitäten bündelt und über eine definierte Schnittstelle bereitstellt, verstanden werden. Beispielsweise kann die vorliegend mithin in die Hardware des Ein-Chip-Sys- tems integrierte Dienstfunktionalität, mithin die wenigstens eine Zusatzfunk tion, für unterschiedliche Fahrzeugfunktionen von Kraftfahrzeugen wenigstens einer bestimmten Kraftfahrzeugklasse, beispielsweise alle Kraftfahrzeuge ei nes Herstellers, genutzt werden, da durch das Subsystem klare Schnittstellen definitionen vorliegen, was die wenigstens eine Zusatzfunktion und somit den entsprechenden Dienst letztlich standardisiert. Mit anderen Worten ist für alle Steuergeräte, konkret Ein-Chip-Systeme, die Kraftfahrzeugen der Kraftfahr zeugklasse bereitgestellt werden, bekannt, wie die wenigstens eine Zusatz funktion aufzurufen ist und in welchem Format und wo, nämlich am Schnitt stellenabschnitt, sie ihre Information/Signale bereitstellt bzw. externe Informa tionen bzw. Signale entgegennimmt. Auf diese Weise ist es nicht länger not wendig, kraftfahrzeugbezogene Dienste unter Berücksichtigung der speziellen Anforderungen für jedes Ein-Chip-System bzw. Steuergerät neu zu entwickeln und Interoperabilitätsprobleme, insbesondere zwischen unterschiedlichen Steuergeräten, werden deutlich reduziert.
Doch durch die logische Trennung und Integration von kraftfahrzeugspezifi schen Diensten in Form wenigstens einer Zusatzfunktion in die Logik des Halbleiterchips des Ein-Chip-Systems ergeben sich auch weitere Vorteile. So wird die Laufzeit von Software zur Steuerung von Fahrzeugfunktionen nicht durch gleichzeitig laufende Dienste beeinflusst. Standardisierte Interfaces für Dienste, beispielsweise Diagnose und/oder Validierung, werden nicht jedes Mal neu entwickelt. Durch die Bereitstellung des zusatzfunktionsspezifischen Kommunikationsbusses und des zusatzfunktionsspezifischen Schnittstellen abschnitts kann die Bandbreite zur Abwicklung von Security-Funktionen zur Verfügung gestellt werden. Die Komplexität bei der Entwicklung von Software für Steuergeräte in Kraftfahrzeugen sinkt, während die Robustheit steigt. Soft wareentwickler können sich auf für den Nutzer des Kraftfahrzeugs sichtbare Fahrzeugfunktionen konzentrieren, anstatt notwendige, aber für den Nutzer des Kraftfahrzeugs unsichtbare Dienste zu implementieren und abzusichern.
Durch die Beherrschung der Komplexität wird es möglich, innovative Lösun gen, beispielsweise die Freischaltung von Hardware und/oder Software, um zusetzen und zu etablieren. Zusammenfassend wird also durch die Integration von standardisierten, logisch getrennten Diensten (Services) in Form von Sub systemen in der Hardware von Ein-Chip-Systemen der Aufwand in der Soft wareentwicklung und Absicherung deutlich reduziert, während sich gleichzei tig die Verfügbarkeit und die Robustheit der Steuergeräte erhöht.
Der Zugriff auf den exklusiven, zusatzfunktionsspezifischen Kommunikations bus/Schnittstellenabschnitt seitens des restlichen Ein-Chip-Systems, mit anderen Worten das Subsystem, kann durch spezielle Befehle (Op-Codes) und/oder reservierte I/O- und/oder Speicherbereiche organisiert werden.
Konkret kann vorgesehen sein, dass der Rechenabschnitt wenigstens teil weise durch wenigstens eine der wenigstens einen Recheneinheit des Ein- Chip-Systems realisiert ist, insbesondere durch Hardcodierung wenigstens ei nes zusatzfunktionsspezifischen Maschinenbefehls mit wenigstens einem zu geordneten Op-Code in der Recheneinheit. In alternativer, weniger bevorzug ter Ausgestaltung ist es auch denkbar, dass der Rechenabschnitt wenigstens teilweise durch eine eigene, nur der Zusatzfunktion zugeordnete Rechenein heit realisiert ist, die mit der wenigstens einen, der wenigstens einen Fahr zeugfunktion zugeordneten Recheneinheit des Ein-Chip-Systems über den Kommunikationsbus des Subsystems kommuniziert. Selbstverständlich ist auch eine Kombination dieser Ansätze denkbar.
Wenn, wie im Rahmen der vorliegenden Erfindung bevorzugt, der Befehlssatz von Maschinenbefehlen der wenigstens einen Recheneinheit erweitert wird, kann bevorzugt auch eine Erweiterung der Rechenkapazität vorgenommen werden, insbesondere eine Zuordnung von Rechenkapazitäten zu dem we nigstens einen zusatzfunktionsspezifischen Maschinenbefehl, um die Ausfüh rung der wenigstens einen Fahrzeugfunktion möglichst nicht zu beeinträchti gen. Die hinzugefügten zusatzfunktionsspezifischen Maschinenbefehle und insbesondere ihre zugeordneten Op-Codes können ebenso standardisiert sein, insbesondere also einer Standardvorgabe folgen, so dass sie für alle Steuergeräte verschiedener Kraftfahrzeuge, insbesondere Kraftfahrzeuge der Kraftfahrzeugklasse, gleich sind. Zusammenfassend ist es in diesem Zusam menhang besonders vorteilhaft, mittels des exklusiven, zusatzfunktionsspezi fischen Schnittstellenabschnitts („Feature-Schnittstelle“), des exklusiven, zu satzfunktionsspezifischen Kommunikationsbusses („Feature-Bus“) und spezi fischen hardcodierten Maschinenbefehlen der wenigstens einen Rechenein heit mit den zugeordneten Op-Codes wenigstens eine Zusatzfunktion, mithin wenigstens einen Dienst, hardcodiert, also in die Flardware integriert, bereit zustellen. Was Dienste angeht, die Speicher auf dem Ein-Chip-System nutzen, ist es im Rahmen der vorliegenden Erfindung zum einen möglich, dass dem Subsystem wenigstens ein Speicheranteil der wenigstens einen Speichereinheit fest und/oder variabel durch eine Speicherzugriffseinheit zugeordnet ist. Denkbar ist es also, eine feste Zuordnung von Speicheranteilen der wenigstens einen Speichereinheit, die entsprechend dimensioniert sein kann, zu der wenigstens einen Zusatzfunktion, also dem Subsystem, vorzunehmen. Bevorzugt ist es jedoch, nachdem moderne Ein-Chip-Systeme üblicherweise eine Speicherzu griffssteuereinheit aufweisen, eine variable Zuweisung im Rahmen des allge meinen Speichermanagements des Ein-Chip-Systems zu erlauben. Beson ders vorteilhaft kann Memory Mapped I/O zur Kommunikation mit der wenigs tens einen Speichereinheit des Ein-Chip-Systems verwendet werden.
In besonders zweckmäßiger Weiterbildung der vorliegenden Erfindung kann vorgesehen sein, dass mehrere, logisch getrennte Subsysteme für unter schiedliche Zusatzfunktionen vorgesehen sind. Auf diese Weise können eine Mehrzahl von Diensten hardwaretechnisch integriert innerhalb eines Ein-Chip- Systems vorgesehen werden und entsprechend insbesondere von der we nigstens einen Fahrzeugfunktion bzw. von extern genutzt werden, wobei zum einen eine Standardvorgabe für jeden dieser Dienste erfüllt sein kann, zum anderen eine robuste Implementierung der mehreren Zusatzfunktionen gege ben ist, die die Performance der wenigstens einen Fahrzeugfunktion zumin dest nicht wesentlich beeinträchtigt.
Nichtsdestotrotz kann es bei mehreren Diensten besonders vorteilhaft sein, wenn wenigstens zwei der Subsysteme auch zur Kommunikation untereinan der ausgebildet sind, beispielsweise weil Dienste und mithin Zusatzfunktionen sich gegenseitig nutzen. Mithin kann vorgesehen sein, dass wenigstens ein Subsystem mit dem Kommunikationsbus wenigstens eines weiteren Subsys tems, insbesondere eines auf die Manipulationssicherheit und/oder eine Security-Funktion bezogenen Subsystems, verbunden ist. Dabei ist es von be sonderem Vorteil, wenn mehrere, insbesondere alle, einer weiteren Zusatz funktion zugeordneten Subsysteme mit dem Kommunikationsbus einer einer Securityfunktion zugeordneten Subsystems verbunden sind, so dass Sicherheitsaspekte, beispielsweise die Authentifizierung von Kommunikati onspartnern, Ver- und Entschlüsselung und dergleichen zentral über einen Dienst bereitgestellt werden, der auch von anderen Diensten, die als Hardware in das Ein-Chip-System integriert sind, genutzt werden können, worauf im Fol genden anhand von Beispielen noch näher eingegangen werden wird. Insbe sondere wird auf diese Weise eine Mehrfachimplementierung von Sicherheits mechanismen vermieden.
In vorteilhaften Ausgestaltungen der vorliegenden Erfindung kann wenigstens eine der wenigstens einen Zusatzfunktion eine Diagnosefunktion sein. Dabei kann das der Diagnosefunktion zugeordnete Subsystem, insbesondere der Schnittstellenabschnitt, zur Kommunikation mit wenigstens einem Wartungs gerät ausgebildet sein und/oder das der Diagnosefunktion zugeordnete Sub system kann zum Vorhalten von mittels des Schnittstellenabschnitts abfragba- ren, diagnoserelevanten Betriebsdaten und/oder Ereignisdaten des Steuerge räts in der wenigstens einen Speichereinheit und/oder einer zu dem Ein-Chip- System externen Speichereinrichtung ausgebildet sein. Gerade für Diagnose funktionen in Kraftfahrzeugen existieren viele, teilweise auch herstellerspezifi sche Vorgaben, beispielsweise was Wartungsgeräte und/oder vorzuhaltende diagnoserelevante Betriebsdaten angeht. Zur Ein-/Ausgabe von Fahrzeugdi agnoseinformationen kann beispielsweise ein bestimmter Hersteller eigene Werkzeuge, insbesondere auch Wartungsgeräte, in der Produktion und in Werkstätten verwenden, die auf standardisierte Protokolle aufsetzen. Auf grund herstellerbezogener Unterschiede ist eine Kompatibilität über alle Fahr zeughersteller nicht gegeben und auch nicht immer gewünscht. Ein Subsys tem für eine Diagnosefunktion als Zusatzfunktion, dessen Schnittstellenab schnitt als „Diagnose-Service-Schnittsteile“ verstanden werden kann, kann mit besonderem Vorteil einen herstellerspezifischen Proxy, bzw. allgemeiner for muliert ein Proxy für Kraftfahrzeuge einer bestimmten Kraftfahrzeugklasse be reitstellen, der genau auf die Kraftfahrzeugklasse, insbesondere den Herstel ler, zugeschnitten ist, beispielsweise was Werkzeuge für die Wartung, insbe sondere Wartungsgeräte, angeht. Die wenigstens eine Recheneinheit des Ein- Chip-Systems kann bevorzugt direkt mit dem Subsystem der Diagnosefunk tion kommunizieren, sei es über die bereits erwähnten Op-Codes und/oder über den Kommunikationsbus des Subsystems. Dadurch, dass alle externen Anforderungen, beispielsweise die von einem externen Wartungsgerät wie ei nem Tester, durch das Subsystem abstrahiert werden, muss die wenigstens eine Recheneinheit diese auch nicht kennen oder beachten.
Mit besonderem Vorteil erhält das der Diagnosefunktion zugeordnete Subsys tem Zugriff auf flüchtigen und/oder persistenten Speicher der wenigstens ei nen Speichereinheit, so dass sich die wenigstens eine Recheneinheit nicht um dessen Verwaltung, beispielsweise umfassend Allokation, Persistierung und dergleichen, kümmern muss. Insbesondere bedeutet dies, dass in einer Aus führungsform durch das der Diagnosefunktion zugeordnete Subsystem zyk lisch alle diagnoserelevanten Betriebsdaten, beispielsweise umfassend Mess wertblöcke, Umgebungsdaten und dergleichen, in einem von der Diagnose funktion genutzten Speicheranteil abgelegt werden können und somit im Di agnosefall, insbesondere abrufbar über den Schnittstellenabschnitt, zur Ver fügung stehen. Mit besonderem Vorteil kann das der Diagnose-Funktion zu geordnete Subsystem in Ausführungsbeispielen auch einen sicheren, das be deutet authentifizierten, Zugriff auf die Diagnosefunktion, welche einen Diag nosedienst darstellt, bereitstellen, wozu das der Diagnosefunktion zugeord nete Subsystem besonders bevorzugt zur Kommunikation mit einem einer Securityfunktion zugeordneten Subsystem ausgebildet ist, insbesondere über eine direkte Schnittstelle bzw. durch Zugriff auf den Kommunikationsbus des Securitydienstes.
In einem konkreten Ausführungsbeispiel kann es die Implementierung des der Diagnose-Funktion zugeordneten Subsystems in Flardware auf dem Halb leiterchip des Ein-Chip-Systems auch erlauben, dass Diagnoseereignisse, ins besondere also Ereignisdaten, die von Peripherieeinheiten und Recheneinhei ten (also insgesamt IP-Blöcken) des Ein-Chip-Systems, insbesondere umfas send die wenigstens eine Schnittstelleneinheit, GPUs, CPUs und dergleichen, erkannt werden, unmittelbar in das die Diagnose-Funktion realisierende Sub system eingetragen werden können, beispielsweise in Form von Ereignisda ten. Damit muss keine Software mehr erstellt werden, die die für das Ein-Chip- System spezifischen Fehlercodes in die Fahrzeugdiagnose transferiert. Flierzu ist zweckmäßigerweise die wenigstens eine Peripherieeinheit/Recheneinheit an den Kommunikationsbus des der Diagnose-Funktion zugeordneten Sub systems angeschlossen. Dabei sei angemerkt, dass derartige Ereignisdaten selbstverständlich auch, neben Peripherieeinheiten, von der wenigstens einen Recheneinheit des Ein-Chip-Systems erzeugt werden sollen.
Das der Diagnosefunktion zugeordnete Subsystem kann im Übrigen auch selbst ausgebildet sein, eine Auswertung diagnoserelevanter Betriebsdaten im Hinblick auf die Erzeugung weiterer diagnoserelevanter Betriebsdaten und/o der Steuersignale auszuwerten, so dass beispielsweise bestimmte Messwerte und/oder funktionale Größen zyklisch überprüft werden können. Sollte sich hier eine Abweichung von einem Sollverhalten ergeben, beispielsweise durch Erfüllung eines Abweichungskriteriums, kann ein beispielsweise durch einen Fehlercode als Ereignisdaten beschriebenes Diagnoseereignis entstehen, mit hin erzeugt und gespeichert werden. An diesen Fehlercode können beispiels weise Funktionalitäten wie das Ansteuern einer Warnlampe oder dergleichen gekoppelt sein. Durch das der Diagnose-Funktion zugeordnete Subsystem wird der Fehlercode bzw. allgemein die Ereignisdaten solange gespeichert, bis sie über eine externe Zugriffseinrichtung, beispielsweise das Wartungsge rät, ausgelesen werden, so dass eine Rücksetzung erfolgen kann.
Zusammenfassend kann bezüglich der die Kraftfahrzeugdiagnose betreffen den Diagnose-Funktion als Zusatzfunktion also gesagt werden, dass die für diesen Dienst notwendigen Prozesse so in der Hardware des Ein-Chip-Sys- tems verfügbar gemacht werden, dass der Entwurf komplexer Software zur Handhabung der Kraftfahrzeugdiagnose entfallen kann, auf einfache Art und Weise diagnoserelevante Betriebsdaten und/oder Ereignisdaten abgelegt und/oder ausgewertet werden können, kraftfahrzeugspezifische Anforderun gen an die Diagnose-Funktion erfüllt werden und ein standardisierter, immer gleich funktionierender Ablauf hinsichtlich der Kraftfahrzeugdiagnose gegeben ist.
Wie bereits erwähnt, erweist es sich gerade im Kontext mit einer Kraftfahr zeugdiagnosefunktion als besonders vorteilhaft, wenn eine Verbindung zu einem einer Securityfunktion, insbesondere einer Authentifizierungsfunktion, zugeordneten Subsystem, insbesondere dessen Kommunikationsbus, be steht, da es dann beispielsweise ermöglicht wird, für ein Wartungsgerät, bei spielsweise einen Tester, in dem entsprechenden Security-Dienst anzufragen, ob das Wartungsgerät korrekt authentifiziert ist, ohne dass dieser Authentifi- zierungsvorgang in der Kraftfahrzeugdiagnose selbst umgesetzt werden muss.
Es sei an dieser Stelle dann noch angemerkt, dass eine auch durch andere Arten von Zusatzfunktionen, mithin andere Dienste, nutzbare externe Spei chereinrichtung Teil des Steuergeräts sein kann und beispielsweise dann sinn voll ist, wenn größere Mengen an diagnoserelevanten Betriebsdaten und/oder Ereignisdaten zu speichern bzw. vorzuhalten sind, die dann entsprechend zu einem späteren Zeitpunkt abgerufen werden.
In weiterer besonders vorteilhafter Ausbildung der vorliegenden Erfindung kann vorgesehen sein, dass wenigstens eine der wenigstens einen Zusatz funktion eine Datenexport-Funktion, insbesondere eine Logging-Funktion und/oder Shadowing-Funktion und/oder eine Validierungs-Funktion, ist. Ver schiedene Dienste in Kraftfahrzeugen erfordern es, Betriebsdaten des Steuer geräts und/oder Ereignisdaten des Steuergeräts zu exportieren bzw. außer halb des Steuergeräts verfügbarzu machen, wobei dies ohne eine Beeinträch tigung der wenigstens einen Fahrzeugfunktion erfolgen soll, insbesondere, wenn die exportierten Informationen zur Beurteilung der wenigstens einen Fahrzeugfunktion dienen sollen. Derartige Datenexport-Funktionen umfassen insbesondere reine Logging-Funktionen, Validierungs-Funktionen und soge nannte Shadowing-Funktionen, dienen also beispielsweise der Absicherung und können daher auch als Absicherungsfunktionen bezeichnet werden. All gemein kann gesagt werden, dass das der Datenexport-Funktion zugeordnete Subsystem vorzugsweise zur Zwischenspeicherung zu exportierender Be triebsdaten des Steuergeräts in der wenigstens einen Speichereinheit und/o der einer zu dem Ein-Chip-System externen Speichereinrichtung und/oder zur Steuerung des Datentransports von an eine Zieleinrichtung zu übertragenden Betriebsdaten und/oder zur Kommunikation mit der Zieleinrichtung ausgebil det ist.
In einem konkreten Beispiel können zur Freigabe von Fahrzeugfunktionen aus bestimmten Bereichen, beispielsweise den Bereichen Sicherheit, Fahrerassis tenz, Lenkung, Bremse und Antrieb, Betriebsdaten aus seriennahen Kraftfahr zeugen notwendig sein. Zur Erfassung dieser Betriebsdaten werden Kraftfahr zeuge mit speziellen Messtechnikeinrichtungen, beispielsweise einem Daten logger, ausgestattet, die an Schnittstellen der Fahrzeugelektronik, konkret also auch der Steuergeräte, angeschlossen sind. Die Erfassung dieser Betriebsda ten darf keinen Einfluss auf die laufende, wenigstens eine Fahrzeugfunktion haben. Denn hierdurch würde das Verhalten der wenigstens einen Fahrzeug funktion verändert und die Validierung wäre ungültig.
Ein Subsystem, das einer solchen Validierungs-Funktion zugeordnet ist, bzw. dessen Schnittstellenabschnitt, kann also auch als „Validation-Service- Schnittstelle“ bezeichnet werden. Diese kann einen Proxy darstellen, der ge nau für die verwendete Messtechnikeinrichtung, die die bereits erwähnte Zie leinrichtung ist, zugeschnitten ist. Über den Kommunikationsbus dieses Sub systems kann beispielsweise die wenigstens eine Recheneinheit des Ein- Chip-Systems direkt mit dem Subsystem kommunizieren. Auf der anderen Seite abstrahiert das der Validierungs-Funktion zugeordnete Subsystem alle Anfragen der Messtechnikeinrichtung, insbesondere also der Zieleinrichtung, und führt die Pufferung der Datenpakete der Betriebsdaten durch. Der wenigs tens einen Recheneinheit steht ein breitbandiges Interface zur Ablage der an geforderten Betriebsdaten zur Verfügung. Insbesondere kann das die Validie rungsfunktion realisierende Subsystem also Zugriff auf flüchtigen und persis tenten Speicher der wenigstens einen Speichereinheit und/oder einer exter nen Speichereinrichtung erhalten, so dass die wenigstens eine Recheneinheit sich nicht um dessen Verwaltung (Allokation, Pufferung, Persistierung und der gleichen) kümmern muss. Insbesondere kann in einem Ausführungsbeispiel vorgesehen sein, dass zyklisch alle notwendigen Betriebsdaten, beispiels weise umfassend Messdaten, abgespeichert werden und bei Bedarf, insbe sondere also auf Anfrage, der Messtechnik zur Verfügung stehen. Die Flusssteuerung für den Datenzugriff kann hierbei auch durch die externe Messtechnikeinrichtung, insbesondere also die Zieleinrichtung, erfolgen.
Auch für das der Validierungsfunktion zugeordnete Subsystem gilt, dass die ses besonders bevorzugt einen sicheren, authentifizierten Zugriff auf die Vali dierungsfunktion und die Betriebsdaten bereitstellen kann, wozu es besonders bevorzugt eine Verbindung zu einem eine Security-Funktion realisierenden Subsystem, insbesondere zu dessen Kommunikationsbus, aufweist. So kann beispielsweise eine Authentifizierung einer anfragenden Zieleinrichtung reali siert werden.
Die hier beispielhaft für die Validierungsfunktion beschriebenen Ausgestaltun gen lassen sich selbstverständlich auch auf andere Arten von Datenexport funktionen übertragen. Eine an Wichtigkeit gewinnende, weitere, häufig kraft fahrzeugspezifischen Anforderungen unterworfene Art von Datenexportfunkti onen als Dienst ist eine Shadowing-Funktion. Shadowing bedeutet das Aus koppeln bestimmter Betriebsdaten, wiederum idealerweise ohne Beeinflus sung der wenigstens einen Fahrzeugfunktion, was auch als nahtlose Ent nahme bezeichnet werden kann, wobei diese Betriebsdaten bevorzugt an eine kraftfahrzeugexterne Zieleinrichtung weitergeleitet werden sollen, wo diese besonders bevorzugt gemeinsam mit weiteren, auf diese Art und Weise erhal tenen Betriebsdaten ausgewertet werden können, insbesondere zum Zweck der Weiterentwicklung der wenigstens einen Fahrzeugfunktion. Eine derartige Auswertung kann als eine Big-Data-Auswertung verstanden werden, so dass insbesondere durch kontinuierliche Verbesserung der wenigstens einen Fahr zeugfunktion aufgrund des Shadowing eine Art „Big Loop“ entsteht, der einen kontinuierlichen Kreis von Feedback und Verbesserungsmaßnahmen darstel len kann.
Es sei an dieser Stelle noch darauf hingewiesen, dass eine Datenexportfunk tion selbstverständlich auch eine Zusammenfassung unterschiedlicher Teil funktionen sein kann, beispielsweise ein eine Datenexportfunktion bereitstel lendes Subsystem insgesamt die Dienste Logging, Validierung und Shado wing bereitstellen kann. Selbstverständlich ist es in anderen Ausbildungen auch denkbar, verschiedene Subsysteme für die unterschiedlichen Arten von Datenexportfunktionen zumindest teilweise bereitzustellen.
Wie dies bereits, insbesondere durch Wechselwirkung mit anderen Subsyste men, angedeutet wurde, sieht eine vorteilhafte Weiterbildung der vorliegenden Erfindung vor, dass wenigstens eine der wenigstens einen Zusatzfunktion eine Security-Funktion ist, wobei das der Security-Funktion zugeordnete Subsys tem zur Steuerung von Verschlüsselungs- und/oder Entschlüsselungsmitteln für Ausgangsdaten und/oder Eingangsdaten des Ein-Chip-Systems und/oder zur Durchführung wenigstens eines Authentifizierungsprozesses für einen Kommunikationspartner des Steuergeräts ausgebildet ist. Dabei steht als Dienst die Authentifizierung als besonders vorteilhaft über ein Subsystem um setzbar im Vordergrund.
Der Manipulationsschutz, allgemein gesagt die „Automotive Security“, stellt besondere Anforderungen für Security-Funktionen in Steuergeräten von Kraft fahrzeugen. Dies sind neben der Absicherung von interner und externer Kom munikation, insbesondere durch Authentifizierung, auch die Verteilung und Verwaltung von digitalen Schlüsseln. Dabei wurden bereits Systeme im Stand der Technik vorgeschlagen, bei denen Entschlüsselungs- und/oder Verschlüs selungsmittel sowie zugeordnete Speichereinheiten mit Schlüsseln und/oder rein überwachende Angriffsdetektionseinheiten ebenso in Flardware in dem Ein-Chip-System umgesetzt wurden, ohne dass hierbei jedoch Dienste dies bezüglich bereitgestellt werden, insbesondere Dienste, die die Authentifizie rung von Kommunikationspartnern betreffen. Mit anderen Worten ist es bereits bekannt, dass bei der Abarbeitung insbesondere verteilter Fahrzeugfunktio nen auf einem oder mehreren Ein-Chip-Systemen die wiederkehrende Auf gabe anfällt, Betriebsdaten und/oder sonstige Informationen zu verschlüsseln bzw. zu entschlüsseln, wobei der Anteil verschlüsselter Kommunikationsdaten infolge von gesetzlichen Bestimmungen, beispielsweise hinsichtlich des Da tenschutzes und neuen Angriffsverfahren zunimmt. Damit durch die Ver schlüsselung/Entschlüsselung kein zu großer Anteil der verfügbaren Rechen leistung gebunden wird, wurde mithin bereits vorgeschlagen, Verschlüsse lungs- und/oder Entschlüsselungsmittel, insbesondere spezielle Beschleunigereinheiten, in Hardware in der wenigstens einen Schnittstellen einheit zu implementieren, insbesondere parallel zu einem Pfad unverschlüs selter Kommunikation. Durch eine solche reine Implementierung in Hardware, die auch im Rahmen der vorliegenden Erfindung vorgesehen sein kann, kann der entsprechende Durchsatz an Kommunikationsdaten ermöglicht werden und gleichzeitig die wenigstens eine Recheneinheit entlastet werden. Durch Vektorisierung kann eine Skalierung auf die gewünschten Datenraten erreicht werden. Ferner kann hier auch bereits ein „sicherer Schlüsselspeicher“ vor handen sein, der den Verschlüsselungs- und/oder Entschlüsselungsmitteln und/oder wenigstens einen Recheneinheit wenigstens einen Schlüssel zur Ausführung der Ver- und Entschlüsselungsvorgänge bereitstellt. Derartige Schlüssel können auch im Rahmen der Authentifizierung verwendet bzw. kre iert werden.
Insbesondere dann, wenn, beispielsweise je nach Kommunikationspartner, unterschiedliche Schlüssel und/oder unterschiedliche Verschlüsselungs und/oder Entschlüsselungstechniken verwendet werden sollen, benötigt eine solche hardwarecodierte Verschlüsselungs- und/oder Entschlüsselungsan ordnung jedoch bei herkömmlichen Ein-Chip-Systemen spezielle Treibersoft ware, die dann geeignet entwickelt werden muss und Leistung sowie Band breite innerhalb des Ein-Chip-Systems benötigt bzw. Fehleranfälligkeit bei den herkömmlichen Komponenten verursacht. Entsprechend kann erfindungsge mäß ein den entsprechenden Dienst bereitstellendes, der Securityfunktion zu geordnetes Subsystem ausgebildet sein, unter Verwendung des zusätzlichen, exklusiven Kommunikationsbusses die Steuerung von Ver- und/oder Ent schlüsselungsmitteln und/oder die Schlüsselverwaltung sowie bevorzugt zu sätzlich oder alternativ die Authentifizierung bezüglich verschiedener Kommu nikationspartner bereitzustellen, ohne dass die wenigstens eine Fahrzeug funktion beeinträchtigt wird. Mithin wird mit dem der Securityfunktion zugeord neten Subsystem eine eng angekoppelte Lösung, beispielsweise über ent sprechende Op-Codes, bereitgestellt. Die Operationen der Steuerung der Ver- und/oder Entschlüsselungsmittel und/oder der Schlüsselverwaltung und/oder der Authentifizierung konkurrieren somit nicht mit der Ausführung der wenigs tens einen Fahrzeugfunktion, so dass keine unkalkulierbaren Laufzeiten generiert werden. In einer konkreten Ausgestaltung kann dabei bezüglich ei ner Authentifizierung beispielsweise vorgesehen sein, dass über wenigstens einen entsprechenden Op-Code und/oder den Kommunikationsbus des der Security-Funktion zugeordneten Subsystems eine Authentifizierung eines be stimmten Kommunikationspartners abgefragt wird, die dann entsprechend über den Schnittstellenabschnitt herbeigeführt werden kann.
Dabei kann auch im Rahmen der vorliegenden Erfindung zweckmäßig vorge sehen sein, dass wenigstens ein von der Security-Funktion genutzter Schlüs sel in einer manipulationssicheren Speichereinheit des Ein-Chip-Systems hardcodiert ist. Entsprechende Ausgestaltungen diesbezüglich sind aus dem Stand der Technik bereits weitgehend bekannt, so dass dies hier nicht näher dargelegt werden muss.
In besonders vorteilhafter Weiterbildung der vorliegenden Erfindung kann we nigstens eine der wenigstens einen Zusatzfunktion eine Freigabefunktion für Flardware- und/oder Softwarefunktionserweiterungen sein, die insbesondere in die Security-Funktion integriert ist und/oder mit dieser kooperiert. In konkre ter Ausgestaltung kann vorgesehen sein, dass das der Freigabefunktion zu geordnete Subsystem zur Bereitstellung wenigstens einer zur Nutzung freige gebene Flardware und/oder Software des Ein-Chip-Systems beschreibenden Freigabeinformation an die wenigstens eine Fahrzeugfunktion und/oder zur, insbesondere durch Authentifizierung und/oder Verschlüsselung abgesicher ten, Kommunikation mit einer kraftfahrzeugexternen, Freigabeschaltinformati onen bereitstellenden Backend-Einrichtung über ihren Schnittstellenabschnitt ausgebildet ist. Eine auf einer Flardware- und/oder Softwarekomponente be zogene Freigabeschaltinformation verändert bei Auswertung durch das der Freigabefunktion zugeordnete Subsystem die Freigabeinformation derart, dass der Eintrag der Freigabeinformation, der der durch die Freigabeschaltin formation beschriebenen Flardware- und/oder Softwarekomponente zugeord net ist, entsprechend der Freigabeschaltinformation verändert wird. Auf diese Weise ist es mithin möglich, anhand eines speziellen, standardisierten und grundsätzlich vorhandenen Dienstes, realisiert durch die Freigabefunktion, be stimmte, Funktionalitäten, repräsentiert durch Flardware- und/oder Softwarekomponenten, dauerhaft oder temporär zu aktivieren und/oder zu de aktivieren. Dies ist insbesondere für Geschäftsmodelle relevant, in denen ein Nutzer eines Kraftfahrzeugs bestimmte Funktionalitäten gegen Bezahlung zu mindest temporär freischalten kann. Die Aktivierung (oder gegebenenfalls auch Deaktivierung) dieser Funktionalität kann von einer Backend-Einrich- tung, beispielsweise mittels Abonnement vom Internet, durch eine App und/o der unmittelbar während der Produktion abgerufen werden. Durch diese dyna mische Schaltmöglichkeit kann ein Nutzer innerhalb kürzester Zeit sein Profil auf das Kraftfahrzeug abstimmen und somit eine höhere Personalisierung bei gleichzeitiger Sicherheit zu erreichen.
Dazu können sowohl in der Flardware, also dem Halbleiterchip des Ein-Chip- Systems selbst, als auch in der Software Komponenten (Module) vorhanden sein, die mittels der Freigabeinformation aktivierbar oder deaktivierbar sind.
Zur dynamischen Aktivierung von Komponenten in Flardware/Software sind bislang komplexe Implementierungen notwendig, die Authentifizierungen, Austausch von digitalen Schlüsseln und/oder Kommunikation mit einer Ba- ckend-Einrichtung (Cloud, Bezahlsystem oder dergleichen), umfassen. Ge mäß der vorliegenden Erfindung kann dies nun in einmaliger, standardisierter und die wenigstens eine Fahrzeugfunktion zumindest im Wesentlichen nicht beeinflussender Weise mittels des der Freigabefunktion zugeordneten Sub systems realisiert werden. Das Subsystem kann beispielsweise auch als „Enabler-Service-Schnittstelle“ aufgefasst werden. Besonders bevorzugt kann das der Freigabefunktion zugeordnete Subsystem die insgesamte Freigabe funktionalität gemeinsam mit einem einer Security-Funktion zugeordneten Subsystem, insbesondere was die Authentifizierung und die Schlüsselverwal tung angeht, durchführen. Insbesondere können seitens der Security-Funktion auch die Routinen zur Kommunikation mit der Backend-Einrichtung implemen tiert werden.
In konkreter Ausgestaltung kann die wenigstens eine Logikeinheit über spezi elle Op-Codes den Kommunikationsbus des die Freigabefunktion realisieren den Subsystems nutzen, um mit der „Enabler-Service-Schnittstelle“ zu kom munizieren, insbesondere die Freigabeinformation abzufragen, so dass auf einfache Weise festgestellt werden kann, welche Hardwarekomponenten und Softwarekomponenten freigegeben sind. Durch die Abbildung in der Hardware des Ein-Chip-Systems erstreckt sich die Freigabefähigkeit auch auf Chipres sourcen, beispielsweise zusätzliche Recheneinheiten wie CPUs und/oder GPUs. In einer besonders vorteilhaften Ausführungsform kann die Freigabein formation über ein Register bereitgestellt werden. Das bedeutet, beispiels weise kann bei erfolgter Authentifizierung, insbesondere aufgrund einer erhal tenen Freigabeschaltinformation, ein Beschreiben bestimmter Register in dem Ein-Chip-System erfolgen, um zusätzliche Funktionalitäten, insbesondere we nigstens eine Hardwarekomponente und/oder wenigstens eine Softwarekom ponente, freizugeben.
Dabei ist eine derartige Ausgestaltung mit einer Freigabefunktion als Zusatz funktion, mithin einem Freigabedienst, nicht nur im Hinblick auf Geschäftsmo delle zweckmäßig, sondern auch im Hinblick auf eine Skalierbarkeit des erfin dungsgemäßen Steuergeräts im Hinblick auf einen erweiterten Einsatzbereich über verschiedene Baureihen, insbesondere der Kraftfahrzeugklasse.
Neben dem Steuergerät betrifft die vorliegende Erfindung auch ein Kraftfahr zeug, umfassend wenigstens ein erfindungsgemäßes Steuergerät. Sämtliche Ausführungen bezüglich des erfindungsgemäßen Steuergeräts lassen sich analog auf das erfindungsgemäße Kraftfahrzeug übertragen.
Schließlich betrifft die Erfindung auch ein Verfahren zum Betrieb eines erfin dungsgemäßen Steuergeräts, wobei die den wenigstens einen Dienst bereit stellende Zusatzfunktion, insbesondere als eine Service- und/oder System funktion, ausschließlich mittels des ihr zugeordneten Subsystems ausgeführt wird. Auch bezüglich des erfindungsgemäßen Verfahrens gelten die Ausfüh rungen zum erfindungsgemäßen Steuergerät selbstverständlich entsprechend fort.
Weitere Vorteile und Einzelheiten der vorliegenden Erfindung ergeben sich aus den im Folgenden beschriebenen Ausführungsbeispielen sowie anhand der Zeichnungen. Dabei zeigen: Fig. 1 eine Prinzipskizze eines erfindungsgemäßen Kraftfahrzeugs,
Fig. 2 die funktionale Struktur eines Ein-Chip-Systems in einem erfin dungsgemäßen Steuergerät,
Fig. 3 eine funktionale Prinzipskizze eines Ein-Chip-Systems in einem konkreten Ausführungsbeispiel, und
Fig. 4 eine die logische Trennung von Subsystemen und Fahrzeugfunk tion illustrierende Darstellung.
Fig. 1 zeigt eine Prinzipskizze eines erfindungsgemäßen Kraftfahrzeugs 1. Das Kraftfahrzeug 1 weist mehrere Fahrzeugsysteme, beispielsweise umfas send Fahrerassistenzsysteme, auf, von denen zwei Fahrzeugsysteme 2 bei spielhaft angedeutet sind, die jeweils wenigstens ein Steuergerät 3 aufweisen. Die Steuergeräte 3 sind erfindungsgemäß ausgebildet und umfassen wenigs tens ein Ein-Chip-System 4 sowie optional eine durch einen Dienst nutzbare, zu dem Ein-Chip-System 4 externe Speichereinrichtung 5. Die Steuergeräte 3 können beispielsweise über ein Bussystem 6 des Kraftfahrzeugs 1 untereinan der sowie mit weiteren Komponenten/Fahrzeugsystemen 2 verbunden sein, wobei vorliegend eine Diagnoseschnittstelle 7 sowie eine Kommunikationsein richtung 8 gezeigt sind, die über ein Mobilfunknetz auch eine Kommunikation in das Internet erlaubt.
Die Ein-Chip-Systeme 4 der Steuergeräte 3 sind vorliegend von ihrer Flard- ware her identisch ausgebildet, auch wenn sie mittels Software unterschiedli che Fahrzeugfunktionen der jeweiligen Fahrzeugsysteme 2 durchführen. Je des der Ein-Chip-Systeme 4 weist vorliegend mehrere, als Flardware umge setzte Subsysteme auf, durch die logisch getrennt von den jeweiligen Fahr zeugfunktionen Zusatzfunktionen zur Bereitstellung unterschiedlicher Dienste ausgeführt werden. Jedes Subsystem weist einen Rechenabschnitt, der als eigene Recheneinheit oder Teil einer sonstigen Recheneinheit des Ein-Chip- Systems 4 realisiert sein kann, einen als eigene Datenleitung realisierten, exklusiv durch die Zusatzfunktion genutzten Kommunikationsbus und einen vorliegend ebenso exklusiv durch die Zusatzfunktion genutzten Schnittstellen abschnitt, der nichts desto trotz einen Anteil wenigstens einer Schnittstellen einheit des Ein-Chip-Systems 4 bilden kann, auf. Die jeweiligen Dienste wer den mithin durch das als Hardware realisierte, autarke Subsystem umgesetzt und weisen eine klar definierte Schnittstelle nach außen auf, die vorliegend zum Ein-Chip-System 4 bzw. konkret der wenigstens einen Fahrzeugfunktion jedes Steuergeräts 3 als Op-Codes eines erweiterten Befehlssatzes von Ma schinenbefehlen umgesetzt ist, seitens des Schnittstellenabschnitts durch eine entsprechende, klare, einen Standard bildende bzw. erfüllende Schnitt stellendefinition.
Mit anderen Worten ist eine logische Trennung der kraftfahrzeugspezifischen Dienste von den Fahrzeugfunktionen innerhalb des Halbleiterchips des Ein- Chip-Systems gegeben, wobei alle fahrzeugspezifischen Anforderungen, ins besondere an die Dienste, entsprechend erfüllt sind. Dabei werden spezifische Interfaceabschnitte und exklusive Kommunikationsbusse sowie im vorliegen den Ausführungsbeispiel auch Erweiterungen des Befehlssatzes an Maschi nenbefehlen eingeführt.
Diese grundlegende Struktur zeigt Fig. 2 nun genauer. Dementsprechend weist das Ein-Chip-System 4 in diesem Ausführungsbeispiel vier Rechenein heiten 9 auf, die beispielsweise über einen grundlegenden Kommunikations bus bzw. eine grundlegende Datenleitung (der Übersichtlichkeit halber nicht gezeigt) verbunden sein können und an eine hier nicht näher dargestellte Schnittstelleneinheit angeschlossen sein können. Zudem sind vorliegend aber auch vier Subsysteme 10a, 10b, 10c und 10d vorgesehen, wobei jedes dieser Subsysteme 10a, 10b, 10c und 10d einen Kommunikationsbus 11a, 11b, 11c,
11 d sowie einen Schnittstellenabschnitt 12a, 12b, 12c und 12d aufweist. Die Rechenabschnitte, die hier der Übersichtlichkeit halber nicht dargestellt sind, können wenigstens teilweise durch die Recheneinheiten 9 und/oder die Schnittstellenabschnitte 12a, 12b, 12c und 12d umgesetzt sein. Alle Rechen einheiten 9 sind mit jedem der Kommunikationsbusse 11a, 11b, 11c und 11 d verbunden, wobei die Schnittstellenabschnitte 12a, 12b, 12c und 12d mit den jeweiligen, zugehörigen Kommunikationsbussen 11a, 11b, 11c und 11 d ver bunden sind. Das Subsystem 10a ist dabei einem Securitydienst zugeordnet, dient mithin der Durchführung einer Security-Funktion. Das Subsystem 10b ist einer Diagnosefunktion zugeordnet, das Subsystem 10c einer Datenexport funktion, hier konkret einer Logging-Funktion, einer Validierungs-Funktion und einer Shadowing-Funktion, das Subsystem 10d einer Freigabefunktion. Nach dem jeder weitere Dienst außer der Securityfunktion die Securityfunktion, wie noch genauer erläutert werden wird, mit nutzen soll, ist eine Kommunikation der Subsysteme 10b, 10c und 10d zum Subsystem 10a vorliegend dadurch hergestellt, dass der jeweilige Schnittstellenabschnitt 12b, 12c und 12d mit dem Kommunikationsbus 11a zusätzlich verbunden ist, vgl. Pfeile 13.
Von extern zugreifende bzw. mit den Subsystemen 10a, 10b, 10c und 10d kommunizierende Kommunikationspartner, beispielsweise Zieleinrichtungen für exportierte Betriebsdaten, Wartungsgeräte, eine Backendeinrichtung, eine Servereinrichtung und dergleichen, sind in Fig. 2 mit dem Bezugszeichen 14 in Kommunikation mit den entsprechenden Schnittstellenabschnitten 12a,
12b, 12c und 12d (Doppelpfeile) angedeutet.
Eine konkretere Struktur ist in Fig. 3, allerdings zur einfacheren Darstellung lediglich für das der Security-Funktion zugeordnete Subsystem 10a, gezeigt. Demnach sind als Teil des Halbleiterchips des Ein-Chip-Systems 4 neben den vier bereits erwähnten Recheneinheiten 9 eine Schnittstelleneinheit 15 und vorliegend zwei Speichereinheiten 16a, 16b ausgebildet. Eine Flauptdatenlei- tung 17, die die Speichereinheit 16a, die Recheneinheit 9 und die Schnittstel leneinheit 15 verbindet, stellt einen Flauptkommunikationsbus dar, der von der wenigstens einen Fahrzeugfunktion genutzt wird. Eine weitere Datenleitung 18 realisiert den Kommunikationsbus 11a des Subsystems 10a und enthält zusätzlich eine Verbindung zu der Speichereinheit 16b. Optional kann eine weitere Recheneinheit 19 als Teil des Rechenabschnitts des Subsystems 10a vorgesehen sein. Als nicht gezeigte Komponente kann ferner auch eine Spei chermanagementeinheit vorhanden sein. Im vorliegenden Ausführungsbeispiel wird der Schnittstellenabschnitt 12a von einem Anteil der Schnittstelleneinheit 15 gebildet. In die Schnittstelleneinheit 15 integriert sind ferner Entschlüsselungs- und Verschlüsselungsmittel 20, die der sicheren Kommunikation mit Kommunikationspartnern dienen. Wenigs tens ein entsprechender Schlüssel 21 kann hardcodiert in der Speichereinheit 16b vorliegen.
Das der Securityfunktion zugeordnete Subsystem 10a ist nun zum einen im Rahmen des Security-Dienstes dazu ausgebildet, eine Authentifizierung von Kommunikationspartnern 14 über den Schnittstellenabschnitt 12a zu ermögli chen, wenn diese über einen entsprechenden Op-Code von wenigstens einer der wenigstens einen Fahrzeugfunktion angefordert wurde. Dabei können ver schiedene Authentifizierungsverfahren konkret eingesetzt bzw. von dem Sub system 10a bereitgestellt werden, wobei insbesondere auch Schlüssel wie der hardcodierte Schlüssel 21 verwendet werden können. Die Sicherheitsfunktion wird jedoch zum anderen auch zur Steuerung der Verschlüsselungs- und Ent schlüsselungsmittel 20 sowie zur Schlüsselverwaltung eingesetzt. So können beispielsweise passende Schlüssel für passende Kommunikationspartner 14 ausgewählt werden und/oder Schlüsselaushandlungen durchgeführt werden.
Fig. 4 erläutert in Form einer schematischen Prinzipdarstellung nochmals kurz das Grundprinzip der vorliegenden Erfindung. Dort sind die die verschiedenen Dienste realisierenden Subsysteme 10a, 10b, 10c, 10d mit ihren entsprechen den Rechenabschnitten 22a, 22b, 22c, 22d, Schnittstellenabschnitten 12a,
12b, 12c und 12d sowie Kommunikationsbussen 11a, 11b, 11c, 11 d als logisch von der wenigstens einen Fahrzeugführungsfunktion 23 und untereinander ge trennte Mittel gezeigt, die mithin autark ihre entsprechenden Dienste bereit stellen und durch Zugriff auf den „Securitybus“, also den Kommunikationsbus 11a, allesamt den Securitydienst des Subsystems 10a nutzen können, vgl.
Pfeile 13.
Das der Diagnosefunktion zugeordnete Subsystem 10b, welches mithin einen Diagnosedienst bereitstellt, kann beispielsweise zyklisch diagnoserelevante Betriebsdaten und/oder, insbesondere ereignisgesteuert, Ereignisdaten in der Speichereinheit 16a bzw. der Speichereinrichtung 5 Zwischenspeichern bzw. Vorhalten. Dabei ist das Subsystem 10b insbesondere auch für die zugehörige Speicherverwaltung ausgebildet. Ferner erlaubt das Subsystem 10b mittels des entsprechenden Schnittstellenabschnitts 12b Kommunikation mit War tungswerkzeugen und sonstigen diagnosebezogenen Kommunikationspart nern 14, insbesondere Wartungsgeräten, welche unter Nutzung des Subsys tems 10a (Securitydienst) auch abgesichert erfolgen kann. Insbesondere kön nen diagnoserelevante Ereignisse, die von den IP-Blöcken des Ein-Chip-Sys- tems, beispielsweise den Recheneinheiten 9, erkannt werden, direkt entspre chend vorgehalten und/oder kommuniziert werden, da diese einfach auf den entsprechenden Kommunikationsbus 11b gegeben werden müssen.
Das Subsystem 10c kann insbesondere dem Abgriff von Betriebsdaten für eine Validierung und ein Shadowing dienen, mithin eine Validierungsfunktion und eine Shadowingfunktion als Dienste umsetzen. Dabei kann beispielsweise eine Zieleinrichtung als Kommunikationspartner 14 für die zu exportierenden Betriebsdaten, zu denen dank des Subsystems 10a eine sichere Verbindung aufgebaut werden kann, dienen, Ein Beispiel für eine Zieleinrichtung ist auch eine im Kraftfahrzeug 1 befindliche Messtechnikeinrichtung für die Validierung, die als Ziel für die exportierenden Betriebsdaten verwendet werden kann.
Beim Shadowing ist die Zieleinrichtung häufig eine Servereinrichtung des In ternets, wo eine Big-Data-Auswertung erfolgen kann, um die wenigstens eine Fahrzeugfunktion verbessern zu können, beispielsweise im Sinne eines „Big Loop“. Auch sonstige Logging-Anforderungen können bedient bzw. erfüllt wer den. Für die Pufferung bzw. Zwischenspeicherung können wiederum die Spei chereinheit 16a und/oder die externe Speichereinrichtung 5 verwendet wer den.
Das Subsystem 10d schließlich kann die Freigabe von Hardwarekomponenten und/oder Softwarekomponenten (auch als Hardwaremodule und/oder Softwa- remodule bezeichenbar) steuern, wozu ein spezielles Register einer der Spei chereinheiten 16a, 16b genutzt werden kann, um eine entsprechende Frei gabeinformation bereitzustellen. Der Schnittstellenabschnitt 12d kann dabei mit einer Backendeinrichtung als Kommunikationspartner 14 kommunizieren, um Freigabeschaltinformationen zu erhalten, wenn beispielsweise durch Kauf oder dergleichen neue Hardware- und/oder Softwarekomponenten freige schaltet werden. Auch kann der durch die Freigabefunktion bereitgestellte Dienst genutzt werden, um beispielsweise bereits während der Produktion die Steuereinrichtung 3 auf das entsprechende Fahrzeugmodell einzustellen bzw. zu skalieren.

Claims

PATENTANSPRÜCHE:
1. Steuergerät (3) für ein Kraftfahrzeug (1), aufweisend ein Ein-Chip-Sys- tem (4) mit wenigstens einer Recheneinheit (9) zur Bereitstellung wenigs tens einer Fahrzeugfunktion für ein Fahrzeugsystem (2), wenigstens ei ner Speichereinheit (16a, 16b) und wenigstens einer Schnittstellenein heit (15), dadurch gekennzeichnet, dass das Ein-Chip-System (4) wenigstens ein logisch von den die we nigstens eine Fahrzeugfunktion umsetzenden Anteilen des Ein-Chip- Systems (4) getrenntes Subsystem (10a, 10b, 10c, 10d) zur Bereitstel lung wenigstens einer kraftfahrzeugbezogenen, einen Dienst bereitstel lenden Zusatzfunktion aufweist, wobei das Subsystem (10a, 10b, 10c, 10d) wenigstens umfasst:
- einen Rechenabschnitt (22a, 22b, 22c, 22d),
- einen zusatzfunktionsspezifischen, insbesondere einen Proxy bilden den Schnittstellenabschnitt (12a, 12b, 12c, 12d), und
- einen zusatzfunktionsspezifischen Kommunikationsbus (11a, 11b, 11c, 11 d), der wenigstens mit dem Rechenabschnitt (22a, 22b, 22c, 22d) und dem Schnittstellenabschnitt (12a, 12b, 12c, 12d) verbunden ist.
2. Steuergerät (3) nach Anspruch 1 , dadurch gekennzeichnet, dass der Rechenabschnitt (22a, 22b, 22c, 22d) wenigstens teilweise durch wenigstens eine der wenigstens einen Recheneinheit (9) des Ein- Chip-Systems (4) realisiert ist, insbesondere durch Hardcodierung we nigstens eines zusatzfunktionsspezifischen Maschinenbefehls mit we nigstens einem zugeordneten Op-Code in der Recheneinheit (9), und/o der wenigstens teilweise durch eine eigene, nur der Zusatzfunktion zu geordnete Recheneinheit (19) realisiert ist.
3. Steuergerät (3) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass der Kommunikationsbus (11a, 11b, 11c, 11 d) eine eigene Datenlei tung (18) in dem Ein-Chip-System (4) umfasst und/oder mit wenigstens einer der wenigstens einen Recheneinheit (9) verbunden ist.
4. Steuergerät (3) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass dem Subsystem (10a, 10b, 10c, 10d) wenigstens ein Speicheranteil der wenigstens einen Speichereinheit (16a, 16b) fest und/oder variabel durch einer Speicherzugriffssteuereinheit zugeordnet ist.
5. Steuergerät (3) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass mehrere, logisch getrennte Subsysteme (10a, 10b, 10c, 10d) für unterschiedliche Zusatzfunktionen vorgesehen sind.
6. Steuergerät (3) nach Anspruch 5, dadurch gekennzeichnet, dass wenigstens ein Subsystem (10a, 10b, 10c, 10d) mit dem Kommu nikationsbus (11a, 11b, 11c, 11 d) wenigstens eines weiteren Subsys tems (10a, 10b, 10c, 10d), insbesondere eines auf die Manipulationssi cherheit und/oder eine Securityfunktion bezogenen Subsystems (10a,
10b, 10c, 10d), verbunden ist.
7. Steuergerät (3) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass wenigstens eine der wenigstens einen Zusatzfunktion eine Diagno sefunktion ist.
8. Steuergerät (3) nach Anspruch 7, dadurch gekennzeichnet, dass das der Diagnosefunktion zugeordnete Subsystem (10a, 10b, 10c,
10d), insbesondere der Schnittstellenabschnitt (12a, 12b, 12c, 12d), zur Kommunikation mit wenigstens einem Wartungsgerät ausgebildet ist.
9. Steuergerät (3) nach Anspruch 7 oder 8, dadurch gekennzeichnet, dass das der Diagnosefunktion zugeordnete Subsystem (10a, 10b, 10c,
10d) zum Vorhalten von mittels des Schnittstellenabschnitts (12a, 12b,
12c, 12d) abfragbaren, diagnoserelevanten Betriebsdaten und/oder Er eignisdaten des Steuergeräts (3) in der wenigstens einen Speicherein heit (16a, 16b) und/oder einer zu dem Ein-Chip-System (4) externen Speichereinrichtung (5) ausgebildet ist.
10. Steuergerät (3) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass wenigstens eine der wenigstens einen Zusatzfunktion eine Daten exportfunktion, insbesondere eine Loggingfunktion und/oder eine Sha- dowingfunktion und/oder eine Validierungsfunktion, ist, wobei das der Datenexportfunktion zugeordnete Subsystem (10a, 10b, 10c, 10d) zur Zwischenspeicherung zu exportierender Betriebsdaten des Steuergeräts (3) in der wenigstens einen Speichereinheit (16a, 16b) und/oder einerzu dem Ein-Chip-System (4) externen Speichereinrichtung (5) und/oder zur Steuerung des Datentransports von an eine Zieleinrichtung zu übertra gender Betriebsdaten und/oder zur Kommunikation mit der Zieleinrich tung ausgebildet ist.
11. Steuergerät (3) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass wenigstens eine der wenigstens einen Zusatzfunktion eine Securi tyfunktion ist, wobei das Subsystem (10a, 10b, 10c, 10d) zur Steuerung von Verschlüsselungs- und/oder Entschlüsselungsmitteln (20) für Aus gangsdaten und/oder Eingangsdaten des Ein-Chip-Systems (4) und/o der zur Durchführung wenigstens eines Authentifizierungsprozesses für einen Kommunikationspartner (14) des Steuergeräts (3) ausgebildet ist.
12. Steuergerät (3) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass wenigstens eine der wenigstens einen Zusatzfunktion eine Frei gabefunktion für Hardware- und/oder Softwarefunktionserweiterungen ist, die insbesondere in die Securityfunktion integriert ist und/oder mit dieser kooperiert.
13. Steuergerät (3) nach Anspruch 12, dadurch gekennzeichnet, dass das der Freigabefunktion zugeordnete Subsystem (10a, 10b, 10c,
10d) zur Bereitstellung wenigstens einer zur Nutzung freigegebene Hardware und/oder Software des Ein-Chip-Systems (4) beschreibenden Freigabeinformation an die wenigstens eine Fahrzeugfunktion und/oder zur, insbesondere durch Authentifizierung und/oder Verschlüsselung ab gesicherten, Kommunikation mit einer kraftfahrzeugexternen, Freigabe schaltinformationen bereitstellenden Backendeinrichtung über ihren Schnittstellenabschnitt (12a, 12b, 12c, 12d) ausgebildet ist.
14. Kraftfahrzeug (1), umfassend wenigstens ein Steuergerät (3) nach ei nem der vorangehenden Ansprüche.
15. Verfahren zum Betrieb eines Steuergeräts (3) nach einem der Ansprü che 1 bis 13, dadurch gekennzeichnet, dass die wenigstens eine den Dienst bereitstellende Zusatzfunktion, ins besondere als eine Service- und/oder Systemfunktion, ausschließlich mittels des ihr zugeordneten Subsystems (10a, 10b, 10c, 10d) ausge führt wird.
PCT/EP2021/070085 2020-07-31 2021-07-19 Steuergerät für ein kraftfahrzeug, kraftfahrzeug und verfahren zum betrieb eines steuergeräts WO2022023096A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US18/040,116 US20230286521A1 (en) 2020-07-31 2021-07-19 Control Unit For A Motor Vehicle, Motor Vehicle, And Method For Operating A Control Unit
CN202180059047.3A CN116133924A (zh) 2020-07-31 2021-07-19 用于机动车的控制器、机动车以及用于运行控制器的方法
EP21746447.8A EP4189550A1 (de) 2020-07-31 2021-07-19 Steuergerät für ein kraftfahrzeug, kraftfahrzeug und verfahren zum betrieb eines steuergeräts

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102020120277.6A DE102020120277A1 (de) 2020-07-31 2020-07-31 Steuergerät für ein Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts
DE102020120277.6 2020-07-31

Publications (1)

Publication Number Publication Date
WO2022023096A1 true WO2022023096A1 (de) 2022-02-03

Family

ID=77071546

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2021/070085 WO2022023096A1 (de) 2020-07-31 2021-07-19 Steuergerät für ein kraftfahrzeug, kraftfahrzeug und verfahren zum betrieb eines steuergeräts

Country Status (5)

Country Link
US (1) US20230286521A1 (de)
EP (1) EP4189550A1 (de)
CN (1) CN116133924A (de)
DE (1) DE102020120277A1 (de)
WO (1) WO2022023096A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170039084A1 (en) * 2015-08-06 2017-02-09 Ionroad Technologies Ltd. Enhanced advanced driver assistance system (adas) system on chip
DE102017219242A1 (de) 2017-10-26 2019-05-02 Audi Ag Ein-Chip-System, Verfahren zum Betrieb eines Ein-Chip-Systems und Kraftfahrzeug
DE102017221889A1 (de) 2017-12-05 2019-06-06 Audi Ag Datenverarbeitungseinrichtung, Gesamtvorrichtung und Verfahren zum Betrieb einer Datenverarbeitungseinrichtung oder Gesamtvorrichtung

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170039084A1 (en) * 2015-08-06 2017-02-09 Ionroad Technologies Ltd. Enhanced advanced driver assistance system (adas) system on chip
DE102017219242A1 (de) 2017-10-26 2019-05-02 Audi Ag Ein-Chip-System, Verfahren zum Betrieb eines Ein-Chip-Systems und Kraftfahrzeug
DE102017221889A1 (de) 2017-12-05 2019-06-06 Audi Ag Datenverarbeitungseinrichtung, Gesamtvorrichtung und Verfahren zum Betrieb einer Datenverarbeitungseinrichtung oder Gesamtvorrichtung

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
URBINA MOISES ET AL: "Multi-core architecture for AUTOSAR based on virtual Electronic Control Units", 2015 IEEE 20TH CONFERENCE ON EMERGING TECHNOLOGIES & FACTORY AUTOMATION (ETFA), IEEE, 8 September 2015 (2015-09-08), pages 1 - 5, XP032797532, DOI: 10.1109/ETFA.2015.7301608 *
VAAS STEFFEN ET AL: "The best of both: High-performance anc deterministic real-time executive by application-specific multi-core SoCs", 2017 CONFERENCE ON DESIGN AND ARCHITECTURES FOR SIGNAL AND IMAGE PROCESSING (DASIP), IEEE, 27 September 2017 (2017-09-27), pages 1 - 6, XP033271886, DOI: 10.1109/DASIP.2017.8122107 *

Also Published As

Publication number Publication date
DE102020120277A1 (de) 2022-02-03
EP4189550A1 (de) 2023-06-07
US20230286521A1 (en) 2023-09-14
CN116133924A (zh) 2023-05-16

Similar Documents

Publication Publication Date Title
DE102013003040B4 (de) Kraftfahrzeug mit nachträglich per Anwendungsprogramm veränderbarem Fahrverhalten sowie Verfahren hierzu
DE102017221889B4 (de) Datenverarbeitungseinrichtung, Gesamtvorrichtung und Verfahren zum Betrieb einer Datenverarbeitungseinrichtung oder Gesamtvorrichtung
DE10026918A1 (de) Virtueller Netzwerkadapter
WO2003003200A1 (de) Verfahren zum übertragen von software-modulen
EP3669285A1 (de) Verfahren und steuersystem zum steuern und/oder überwachen von geräten
DE60202655T2 (de) System zum Fernladen und zur Fernwartung einer elektronischen Karte
WO2003016856A2 (de) Kommunikationsverfahren und kommunikationsmodul
EP3655876B1 (de) Ein-chip-system, verfahren zum betrieb eines ein-chip-systems und kraftfahrzeug
WO2018054680A1 (de) Verfahren zum betreiben mehrerer geräte unterschiedlichen typs an einem netzwerk eines schienenfahrzeugs
WO2008095518A1 (de) Anwendung einer verteilten diagnosearchitektur in autosar
DE102017205832A1 (de) Verfahren zum Parametrieren eines Feldgeräts sowie parametrierbares Feldgerät
WO2019096713A1 (de) Verfahren und vorrichtung zum datenorientierten informationsaustausch mit einem fahrzeugnetzwerk
DE102010039021B4 (de) Verfahren zur Rekonfiguration von Softwareparametern in einem Mikrocontroller sowie Mikrocontroller und Steuergerät
WO2022023096A1 (de) Steuergerät für ein kraftfahrzeug, kraftfahrzeug und verfahren zum betrieb eines steuergeräts
DE112019007853T5 (de) Steuereinrichtung
DE102019201515A1 (de) Fahrzeugkommunikationsnetzwerk und -verfahren
EP4096198A1 (de) Verfahren zur diagnose eines bordnetzes eines fahrzeugs
EP2682865B1 (de) Verfahren zur Kommunikation mit einem Steuerprogramm eines Steuergeräts sowie Applikationsmodule dazu
EP3966723A1 (de) Verfahren und anordnung zur bereitstellung von daten einer industriellen automatisierungsanordnung zu einer externen anordnung
DE10332113A1 (de) Steuergerät und Netzwerk für eine Mehrzahl von Vorrichtungen
DE102004008869A1 (de) Steuergerät und Computerprogramm zum Steuern eines Antriebsaggregates eines Fahrzeugs
DE102019133334A1 (de) System und Verfahren zur Erhöhung der Sicherheit in einem E/E-System
WO2023180039A1 (de) Interaktion physischer entitäten
DE112018007548B4 (de) Datenkommunikationssteuerungseinrichtung, Datenkommunikationssteuerprogramm und Datensteuerungssystem
DE102021125749A1 (de) Vorrichtung, Verfahren und Computerprogramm für eine Überwachung einer Sicherheit von Rechen-Funktionsblöcken in einem Fahrzeug

Legal Events

Date Code Title Description
DPE2 Request for preliminary examination filed before expiration of 19th month from priority date (pct application filed from 20040101)
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21746447

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2021746447

Country of ref document: EP

ENP Entry into the national phase

Ref document number: 2021746447

Country of ref document: EP

Effective date: 20230228