CN104272316B - 用于改进电子调节***的功能安全性并提高可用性的方法以及电子调节*** - Google Patents
用于改进电子调节***的功能安全性并提高可用性的方法以及电子调节*** Download PDFInfo
- Publication number
- CN104272316B CN104272316B CN201380013045.6A CN201380013045A CN104272316B CN 104272316 B CN104272316 B CN 104272316B CN 201380013045 A CN201380013045 A CN 201380013045A CN 104272316 B CN104272316 B CN 104272316B
- Authority
- CN
- China
- Prior art keywords
- data
- software
- completeness
- manager
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 230000001105 regulatory effect Effects 0.000 title claims abstract description 34
- 230000006870 function Effects 0.000 claims abstract description 55
- 238000004891 communication Methods 0.000 claims abstract description 27
- 230000009711 regulatory function Effects 0.000 claims abstract description 15
- 238000013459 approach Methods 0.000 claims abstract description 7
- 230000015556 catabolic process Effects 0.000 claims description 32
- 238000006731 degradation reaction Methods 0.000 claims description 31
- 230000008569 process Effects 0.000 claims description 16
- 238000000926 separation method Methods 0.000 claims description 5
- 230000001360 synchronised effect Effects 0.000 claims description 4
- 230000001771 impaired effect Effects 0.000 claims description 3
- 238000007689 inspection Methods 0.000 claims description 3
- 238000012360 testing method Methods 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 description 15
- 238000012544 monitoring process Methods 0.000 description 13
- 230000000694 effects Effects 0.000 description 5
- 230000001052 transient effect Effects 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 238000006243 chemical reaction Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000002093 peripheral effect Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000001133 acceleration Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 3
- 238000012937 correction Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000002349 favourable effect Effects 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000033228 biological regulation Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000002123 temporal effect Effects 0.000 description 2
- 208000027418 Wounds and injury Diseases 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000000593 degrading effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 230000005484 gravity Effects 0.000 description 1
- 208000014674 injury Diseases 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012432 intermediate storage Methods 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000036961 partial effect Effects 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000006641 stabilisation Effects 0.000 description 1
- 238000011105 stabilization Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
本发明涉及一种用于改进电子调节***、尤其是机动车调节***的功能安全性并提高可用性的方法,包括硬件组件(1)和软件组件(3、4、5),其中,硬件组件(1)通过至少一个基础软件组件(20)和/或运行时环境(2)抽象得到且其中执行的安全方案描述了两个或更多的软件层级,其中,第一软件层级(4)包括应用软件的调节功能,第二软件层级(5)设计作为功能监控(5),尤其用于预防调节功能的故障,所述方法的特征还在于,借助于至少一个第一软件组件(3)把由至少一个硬件组件(1)提供的数据加密(9a、9b、9c)和/或数据签名用于硬件组件(1)的至少一个通信信道(7)的数据保护。本发明还涉及一种用于执行所述方法的电子调节***。
Description
技术领域
本发明涉及一种用于改进电子调节***的功能安全性并提高可用性的方法,以及一种用于该方法的电子调节***。
背景技术
由电子调节***功能故障时的后果得到研发尤其在汽车电子装置中的电子调节***时重要的安全目标。在功能故障或失灵时严重的后果可能是车辆的车轮被卡住或后桥处过高的不期望的制动力矩,这可能导致机动车的失稳。例如,包括自动加速的功能尤其对在使用电动机作为驱动设备时强烈的转矩增加来说会导致失稳。ISO 26262为此普遍关注的安全目标是,避免过大的不期望的效应或者过小或负的不期望的效应,因此大多数***必须保证用于其安全方案的灵活的走廊(Korridor)。可容忍的、不期望的转矩位于该走廊中,其中在所有允许的行驶情况中必须能可靠地控制车辆。例如,危险的加速度效应位于该走廊之上,而在车桥处或车轮处的卡住之下。走廊的设计基本上取决于车辆规格,例如像轴距、重量、重心以及其它参数,如速度、道路特性、横向加速度、弯道半径等。甚至对稳定的直线行驶来说存在这种走廊。
必须对应于相应功能的安全要求(例如ASIL)和车辆特征以及其它参数确定上极限和下极限。对影响车辆的加速度的驾驶员辅助功能来说,由于该功能可能错误地导致过小或过大的不期望的转矩可以要求编入高的安全要求等级,例如ASIL D。这表示该功能的错误会直接导致人员受到威胁。
根据IEC 61508还追求一种安全目标,即使得***转移至安全状态,这通常导致,在出现错误时转换至无电流状态。从而要限制对人员的潜在威胁。因此根据ISO 26262尤其存在多个安全目标,其中安全状态是一种表现为对人员没有威胁的状态,然而不必转移到无电流或无能量状态。
作为用于发动机-、变速器-、转向、和其它行驶机构调节***的基础的安全方案,在DE 102006056668A1中描述了一种用于在出现错误、功能故障或其它影响部分功能的可用性的事件时保证或维持复杂的、对安全极重要的整个车辆调节-和/或控制***的功能的方法。为此,为必要的***组件定义了运行模式,其中在故障情况下确定出现的故障相关的运行模式。接着鉴于整个***的尽可能广的可用性由所述运行模式选出仍可用的运行模式并进而逐级地降低***的效率。
尤其对于电动车辆的发动机管理***来说,必须考虑执行直至最高安全要求等级(例如ASIL D)。尤其在用于对安全极重要的机动车调节***的多层级软件架构中,考虑上文所述的不期望的效应。因此,通过硬件和软件的相应的构想以及其相互作用实现重要的安全功能以及尤其通过数据加密实现由ASIL要求的安全功能(例如在数据通信时)的独立性。如果密码在接收者处不能再次被解密,则通过断开路径,例如智能看门狗(窗口监视器)断开通信或整个***。
现代的(多核)微控制器具有用于整个硬件的、本身已知的安全机构,其中冗余处理器通常在同步或不同步的锁定步骤运行中工作,从而能够控制单重-、多重-或短时错误。在该说明书的意义上,微控制器也理解为微处理器、微控制器***以及微处理器***,其具有至少一个处理器且能通过***设备功能获取以及发出信号。
由于冗余处理器之间任务执行的时间上的延迟,基于内置的硬件安全机构可以在安全时间内(例如小于1ms)容忍错误,因为通过至少一个安全机构阻止该错误导致潜在危险的情况。例如,安全机构可以是数据修正,该数据修正对识别为错误的数据进行改正并把该经改正的数据用于后续处理。
硬件、例如微控制器与其***设备的通信可以通过错误修正方法(ECC)、错误检测方法(EDC)和/或终端对终端数据加密(E2E)来预防不同的错误类型。EDC对错误修正的监控来说是重要的,从而在出现多个和/或暂时的错误时能调整公差或反应。***设备单元(例如模数转换器)的数字初始值例如可以借助于EDC保证,其中模拟输入参量的值通过两个独立的和被未定义的区域分开的电势带保证。例如,大于4.5V的值可以对应于高电平以及小于0.5V的值可以对应于低电平。有效性寄存器随后在模数转换期间作为数据加密或数据签名耦联至数字输出值。
对机动车控制设备来说,进行软件架构的增大的标准化或者使用运行时环境(RTE),以便另外改进软件模块的便携性、可再使用性以及安全性并最终还节省研发成本。因此,为机动车控制设备的应用软件提供一标准化环境,其不再直接被微控制器的技术因素影响。为了在确定所有实际上可能的微控制器的错误因素的意义上基于在该微控制器上执行的软件进行架构分析,基本上必须检查微控制器的每个特性。在更换至另一种微控制器类型的情况下或者当微控制器的制造者改变了生产技术或所用的材料时,必须考虑这一点。因此使用标准化软件架构的优点在于,在硬件改变时不需要或仅需要进行小幅度的应用软件的调整。
下面以标准化软件架构(AUTomotive Open System汽车开发架构***)为例阐述根据现有技术的另一个安全原理。以版本4详细说明了用于从基础软件至运行时环境(RTE)的层级的通信信道的E2E安全性。在基于微控制器抽象层级建立的软件层级中,由***设备作为输入信号存在的原始信息被加密且在通过软件层级转移加密数据后在RTE的区域内进行解密。作为另一个高于RTE的层级的应用软件可以使用这些数据用于后续处理。即通过进行基于软件的E2E数据加密,其中尤其没有对硬件-软件端口进行保护。然而不允许以对安全极重要的方式影响到用于功能监控的软件、***设备的通信信道、降级软件或其他安全软件。通过例如在基础软件中,在不同的软件层级中分开调节功能和功能监控以及硬件-或***安全,可以减小可能的错误传播并进而避免或中断错误级联,例如在分开的控制设备中。
由硬件作用于应用软件的原则性的错误例如可以是由于不同原因歪曲的或错误产生的数据。此外,数据可能由于硬件错误而不能及时地供软件过程使用。
发明内容
因此本发明的目的在于,改进尤其是机动车中对安全极重要的电子***的功能安全性并提高可用性。
该目的通过如下所述根据本发明的方法以及如下所述根据本发明的***来实现。
本发明描述了一种用于改进电子调节***、尤其是机动车调节***的功能安全性并提高可用性的方法,包括硬件组件和软件组件,其中硬件组件通过至少一个基础软件组件和/或至少一个运行时环境抽象得到,其中,执行的安全方案包括两个或更多的软件层级,其中第一软件层级包括应用软件的调节功能,第二软件层级设计作为功能监控尤其用于预防调节功能的故障,其中本发明的特征还在于,借助于至少一个第一软件组件把由至少一个硬件组件提供的数据加密和/或数据签名用于硬件组件的至少一个通信信道的数据保护/数据安全。因此,有利地额外地保证了软件至硬件的端口,由此通过根据本发明的方法实现了软件组件彼此之间的独立性以及软件组件和硬件组件之间的独立性。从而避免了或者可以发现错误影响。
根据特别优选的实施方案,第一软件组件是完备性管理器,其中通过通信信道通信的、加密的和/或签名的数据被提供给完备性管理器和/或运行时环境和/或基础软件组件,完备性管理器对通信信道的通信的数据的完备性进行检查,其中,完备性管理器尤其使用数据加密和/或数据签名以用于检查数据的完备性。因此,应用软件也可以有利地用于对安全性最重要的功能。功能监控不必掌握由于硬件造成的外部影响,而只需预防***错误,该***错误可能由于规格-和执行错误产生。因此避免了由于外部影响造成的数据歪曲。
在基本上存在加密的和/或签名的数据的完备性时,完备性管理器特别优选提供了应用软件的未加密的和/或未签名的信息数据。优选相对于确定的数据传输路段确定相应的安全要求等级的完备性的存在。因此有利地,对降级来说在定义的位置处提供了对独立性的伤害。
对应于一优选的实施方案,当不存在加密的和/或签名的数据的完备性时,完备性管理器产生一错误编码,所述错误编码尤其能通过应用软件处理,其中,不提供或仅与错误编码一起提供应用软件的未加密的和/或未签名的信息数据和/或为未加密的信息数据分配不可信的值。
优选地,完备性管理器从属于应用软件,和/或运行时环境从属于完备性管理器,和/或完备性管理器在运行时环境中执行,其中,运行时环境为完备性管理器提供了加密的和/或签名的数据。
优选地,设置有降级管理器,其设计为至少一个第三软件层级和/或设计为第一软件层级和/或第二软件层级的至少一个软件过程,其中,降级管理器包括第一软件层级的调节功能的至少一个降级阶段和/或第二软件层级的功能监控。
优选地,通过至少一个具有高优先级、尤其是最高优先级的软件过程执行降级管理器的断开功能。因此,有利地实现了决定性地达到相应的安全状态。
对应于一优选的实施方案,基于数据的完备性和/或基于产生的错误编码通过降级管理器执行机动车调节***的和/或调节功能的和/或功能监控的一次或多次选择性断开和/或效率/性能的降级。因此,可以有利地避免了在错误情况下***的严格的断开以及实现选择性地断开功能。因此可以保留基于错误的最大可能的***可用性,以便例如实现紧急运行程序,借助于该紧急运行程序例如可以离开危险区域或者到达维修厂。因此得到了安全方案和尤其是ISO 26262的有利的统一,因为可以确保达到针对相应的错误情况的有效的、安全的状态。
应用软件的完备性管理器优选地在暂时的错误时提供不可信的信息数据和/或在永久的错误时提供产生的错误编码。因此,有利地可以给予可用的数据加密和/或数据签名选择性地断开和/或使机动车调节***的功率降级,同时不必设置其它的诊断措施。因此,例如可以省去用于智能传感器的传感器数据的单独的可靠性机构。
功能监控和/或降级管理器和/或完备性管理器优选可以存取数据的数据加密和/或数据签名。优点是,例如功能监控被通知了与***设备通信的数据的可靠性。
根据另一个优选的实施方案,功能监控和/或降级管理器使用数据加密和/或数据签名,以用于数据的额外的可信性测试。
优选地,为软件组件、软件功能和/或软件过程之间的通信信道通过进行接收的软件组件检查数据加密和/或数据签名。这尤其对多处理器来说是有利的,因为软件组件之间的数据通信由于数据中间存储或微控制器中的处理而总是会被歪曲。
优选地,在连续的运行中,尤其在安全时间内设置执行所述方法的微控制器的程序运行的重启和/或同步,其中在超过安全时间的情况下,通过断开部件、尤其是通过看门狗开始安全状态。
完备性管理器优选地为——尤其是独立的和/或无反作用的——软件组件确保了数据技术的和/或时间的分离,其中数据技术的和/或时间的分离优选用于,尤其在独立性受损时选择性地和/或按优先级断开不同安全要求等级的软件组件。因此有利地,为应用软件实现了抽象的软件架构,该软件架构基本上不受错误的、不可确定的硬件因素影响。
本发明还涉及一种用于执行所述方法的电子调节***、尤其是机动车调节***。对根据本发明的***来说,软件架构分析有利地局限在可能的***错误上,该***错误减小至应用软件的可能的***错误。由此避免了尤其在软件组件研发中产生的错误。
附图说明
根据附图由下面对实施例的描述得到其它优选的实施方案。
附图示出:
图1示出用于说明根据本发明的方法的工作方式的原理图;
图2示出一原理图,其中存在软件层级的备选的布置;以及
图3示出用于阐述本发明的其它实施例的原理图。
具体实施方式
图1示出用于改进电子机动车调节***的功能安全性并提高可用性的本发明的基本工作方式。因此,机动车调节***也可理解为任意机动车组件的控制装置。为了更好地理解以机动车调节***为例的本发明,仅绘出和/或说明了其重要的组件。
为了抽象随后描述的执行软件组件的微处理器的硬件,通过该微处理器执行运行时环境2和基础软件20。在此,软件组件尤其理解为软件过程、软件功能和/或软件层级。中心元件是完备性管理器3,其监控了数据通信的安全技术上的完备性并可以通过必要的条件供使用,以便借助于降级管理器6使机动车调节***转移至选择性的安全的状态中。
安全方案基本上设计了应用软件4、5、6的三个层级,其中第一层级4包括例如机动车制动调节的调节功能(基本功能),第二层级5执行调节功能4的功能监控,以及第三层级6设计为***的不同的降级阶段和降级场景的降级管理器。对功能监控5来说,为了预防***错误,借助于多种软件算法以本身已知的方式执行调节功能4。每个软件层级可以优选作为基础软件的或运行***的和/或应用软件的独立过程执行。功能监控5和降级管理器6尤其可以划分为不同的过程6a、6b,同时具有不同的安全要求等级,例如ASIL B和ASIL D。
软件组件的其它监控,例如独立性监控以及时间监控以本身已知的方式通过流程监控10借助于下游连接的断开机构15,例如过程调度器执行。其例如监控划分的受损、存储器监控、执行进入条件的过程以及其时间和逻辑正确的执行。图1中示出了流程监控10通过条件框12a和12b结合在功能监控5和降级管理器6中。
在错误情况下,功能监控5和/或降级管理器6可以使机动车调节***或单独的调节-和/或应用功能转移或降级至安全状态中,因此,可以进行功率降级或减小功能范围。机动车调节***的可用性和错误公差通过这些措施得到显著改进。例如,有效地限制了面临过热的发动机的功率输入。
降级的所有断开机构能选择性地实现,从而微控制器的基本功能基本上不必被断开。因此,断开机构15、例如看门狗本身不必一定用于具有高安全要求等级、像ASIL D的安全功能。仅当其用于断开用于执行的微控制器的硬件时,才必须使用断开机构15。因此,尽可能避免了微控制器的基于安全性的重启并显著改进了***可用性。为了实现这一点,可以基于用于执行的微控制器的输出识别码处理软件组件的相应的加密的指示并因而开始安全状态。为了在硬件方面相应地冗余,可以使用本身已知的桥接电路或激活线路,以便开始安全状态。因为微处理器的软件组件不能同时而是顺序地进行处理,所以不仅考虑数据技术的,而且也考虑时间上的分离,这同样借助于外部的断开机构15监控并确保。
例如,用于执行的微处理器可以在安全时间内重新启动,这尤其在使用单核微处理器时是有利的,因为不存在冗余。微处理器的输出在重启期间处于静止状态且在安全时间内进行重启以及与程序流程的同步。通过这种做法在重启期间不引起机动车调节***的安全临界状态,因为整个***设备保持功能有效且不必中断辅助功能、例如通信。如果不能在安全时间内重新启动,则外部的断开机构10使机动车调节***转移至安全状态。如果断开路径通过降级管理器6的处理(Task任务)以最高优先级被使用,则得到了用于***的可靠反应的时间决定论,这表示,***在出现错误的情况下在时间上基本上表现正确或符合预期。
取代(例如所述的以为例的)软件架构的软件层级之间的纯粹的软件数据加密,使用机动车的现有硬件1的数据加密和/或数据签名,例如传感器、执行器、端口、模数转换器和/或机动车控制设备本身的组件。因此额外地确保软件组件至硬件1的端口。
硬件1与机动车控制设备或微控制器通信。通信的、加密的数据8a、9a…8c、9c包括信息数据8a…8c以及硬件1的所属的数据加密9a…9c和/或数据签名。通过通信信道7为完备性管理器3提供了加密数据8a、9a…8c、9c。由于该终端对终端数据加密使通信信道7安全。因此可以识别单重-、多重-以及暂时的错误。在此不存在局限在根据的E2E数据加密,因此,可选地例如可以使用Cray编码的或额外的检查模式和未加密的信息作为记忆在数据模板中的数据签名。现代的模数转换器例如通过自身的安全机构监控,其中这种产生的数据也结合在ECC和EDC中。该安全机构因此也可以用于加密。***设备与微控制器的通信以本身已知的方式例如通过***设备总线,像SPI或者模拟通信或数字通信进行。
完备性管理器3读取进入的数据8a、9a…8c、9c并分析其完备性,其中这根据数据8a、9a…8c、9c的可信性、正确性、无损性和/或现实性确定且也可以区分不同的完备性程度。如果基本上存在数据完备性,则应用软件4、5、6至少得到对信息数据8a…8c的存取用于后续处理。可选地,完备性管理器3完全释放加密的数据8a、9a…8c、9c,其中所述数据被相应的进行接收的软件组件解密。
由此实现为了达到安全而相对于多重错误限制错误传播,即功能监控5和/或降级管理器6用于为了更高的安全要求等级(例如ASIL D)使具有较低的安全要求等级(例如ASIL B)的数据8a、9a…8c、9c的完备性可信。由此,除了完备性检查外,通过完备性管理器3还实现了第二独立的安全机构。这在图1中通过条件框11a和11b示出,其中作为基础,可以考虑通信信道7的不同的数据框和/或不同的通信信道的数据8a、9a…8c、9c以及信息数据8a…8c的任意组合和/或不同数据8a、9a…8c、9c的数据加密9a…c。
如果机动车调节***中存在错误,则通过完备性管理器3把基于错误诊断相应地产生的错误编码传递至应用软件4、5、6,然而尤其是功能监控5和/或降级管理器6。如果根据通过功能监控5的可信性检查识别出错误,则通过功能监控5把相应的信息,例如通过错误编码传递至降级管理器6。基于由完备性管理器3提供的、关于数据完备性和可能的错误、可信性检查以及流程监控10的结合的信息可以进行详细的错误分析。由此实现了显著更复杂的降级构想的精确的措施,其中可以容忍错误或者进行***的功率的降级。微控制器的安全时间同样对于降级管理器6是重要的。错误分析的详细程度在此可以使之取决于至相应的安全要求等级的分组。对例如在执行器处的控制指令来说,必须在应用软件3、4、5内提供内部的诊断信息,从而能开始对安全极重要的行为。当根据诊断信息推断出至出口的时间符合且正确的数据传输时,则例如仅为对安全极重要的功能开启微控制器的出口。
除了出现的错误本身外,还可以为相应的降级构想决定,是否涉及暂时的或永久的错误和/或涉及的软件组件被分在哪个安全要求等级。此外,在此还可以考虑,是否存在的错误可以通过有意的外部影响,例如通过机动车调节***的安全漏洞或者通过其它方式产生。
例如,在暂时的错误的情况下,完备性管理器3可以至少使信息数据8a…8c改变为不可信的值,阻止通过应用软件4、5、6的存取或者进一步提供存取。例如,如果出现了数据加密9a…9c的错误且通过完备性管理器3对此进行了确定,则信息数据8a…8c可以通过应用软件原则上或暂时地继续使用,因此完备性管理器3为应用软件4、5、6提供信息数据8a…8c并传递错误编码至降级管理器6。如果在定义的时间之后还存在该错误,则可以通过降级管理器6触发相应的反应。
在下文对其它附图的描述中,基本上仅讨论与上述实施方案的区别,以便避免重复,其中为了方便,相同的元件具有相同的附图标记且分别仅用于说明对本发明来说重要的细节。
在没有局限的情况下,图1的实施例基本上针对使用或基于统一的软件架构图2在此示出与图1的实施例相比软件层级的备选的布置。完备性管理器3、功能监控5以及降级管理器6相应地按等级地在运行时环境2下实现。运行时环境在此可以额外地包括流程或过程监控10的功能。调节功能13a、13b的或者软件层级的其它***功能或辅助功能的相应的过程根据其安全要求,例如ASIL B和ASIL D设计。
根据在图3中示出的实施例,降级管理器6也可以设计为通过调节功能层级4的独立的软件过程或独立的软件功能。例如,降级措施根据可信性通过完备性管理器6通过条件框14执行。此外,通过监控过程13b以较低的安全要求等级,例如ASIL B进行对机动车调节功能的或软件过程13c的监控。此外,具有高的安全要求等级(例如ASIL D)的过程13a设计用于监控调节功能13c和调节功能的监控过程13b。
Claims (14)
1.一种用于改进电子机动车调节***的功能安全性并提高可用性的方法,所述电子机动车调节***包括硬件组件(1)和软件组件(2、3、4、5、6、10、20),其中,硬件组件(1)通过至少一个基础软件组件(20)和/或至少一个运行时环境(2)抽象得到,其中,执行的安全方案包括两个或更多的层级的应用软件,其中,第一软件层级(4)包括机动车的调节功能,第二软件层级(5)设计作为功能监控且用于预防调节功能的故障,
其特征在于,
硬件组件(1)执行数据加密和/或数据签名以产生借助通信信道(7)从所述硬件组件(1)传输至第一软件组件的加密的和/或签名的数据(8a、9a…8c、9c);
所述第一软件组件通过分析从所述硬件组件(1)传输的加密的和/或签名的数据(8a、9a…8c、9c)的完备性来管理所述加密的和/或签名的数据,其中
i)在存在加密的和/或签名的数据(8a、9a…8c、9c)的完备性时,所述第一软件组件将未加密的和/或未签名的信息数据提供给所述应用软件,
ii)在存在加密的和/或签名的数据(8a、9a…8c、9c)的完备性时,所述第一软件组件将加密的和/或签名的信息数据提供给所述应用软件,
iii)当不存在加密的和/或签名的数据(8a、9a…8c、9c)的完备性时,所述第一软件组件产生一错误编码以由所述应用软件进行处理,其中,未加密的和/或未签名的信息数据不提供或仅与错误编码一起提供给所述应用软件,和/或为未加密的信息数据分配不可信的值。
2.根据权利要求1所述的方法,
其特征在于,
第一软件组件是完备性管理器(3),其中,通过通信信道(7)通信的、加密的和/或签名的数据(8a、9a…8c、9c)被提供给完备性管理器(3)和/或运行时环境(2)和/或基础软件组件(20),完备性管理器(3)对通信信道(7)的通信的数据(8a、9a…8c、9c)的完备性进行检查,其中,完备性管理器(3)使用数据加密和/或数据签名以用于检查数据(8a、9a…8c、9c)的完备性。
3.根据权利要求1或2所述的方法,
其特征在于,
完备性管理器(3)从属于应用软件,和/或运行时环境(2)从属于完备性管理器,和/或完备性管理器在运行时环境(2)中执行,其中,运行时环境(2)为完备性管理器(3)提供了加密的和/或签名的数据(8a、9a…8c、9c)。
4.根据权利要求1或2所述的方法,
其特征在于,
设置有降级管理器(6),其设计为至少一个第三软件层级和/或设计为第一软件层级(4)和/或第二软件层级(5)的至少一个软件过程,其中,降级管理器(6)包括第一软件层级(4)的调节功能的至少一个降级阶段和/或第二软件层级(5)的功能监控。
5.根据权利要求4所述的方法,
其特征在于,
功能监控和/或降级管理器(6)使用数据加密和/或数据签名,以用于数据(8a、9a…8c、9c)的额外的可信性测试。
6.根据权利要求4所述的方法,
其特征在于,
通过至少一个具有高优先级的软件过程执行降级管理器(6)的断开功能。
7.根据权利要求5所述的方法,
其特征在于,
基于数据(8a、9a…8c、9c)的完备性和/或基于产生的错误编码和/或基于数据的额外的可信性测试,通过降级管理器(6)执行电子机动车调节***的和/或调节功能的和/或功能监控的一次或多次选择性断开和/或效率的降级。
8.根据权利要求4所述的方法,
其特征在于,
功能监控和/或降级管理器(6)和/或完备性管理器(3)能够存取数据(8a、9a…8c、9c)的数据加密和/或数据签名。
9.根据权利要求1或2所述的方法,
其特征在于,
在连续的运行中在安全时间内设置执行所述方法的微控制器的程序运行的重启和/或同步,其中,在超过安全时间的情况下,通过断开部件开始安全状态。
10.根据权利要求2所述的方法,
其特征在于,
完备性管理器(3)为软件组件确保了数据技术的和/或时间的分离。
11.根据权利要求10所述的方法,
其特征在于,
数据技术的和/或时间的分离用于在独立性受损时选择性地和/或按优先级断开不同安全要求等级的软件组件。
12.根据权利要求6所述的方法,
其特征在于,
通过至少一个具有最高优先级的软件过程执行降级管理器(6)的断开功能。
13.根据权利要求9所述的方法,
其特征在于,
所述断开部件为看门狗。
14.一种电子机动车调节***,
其特征在于,
所述电子机动车调节***执行根据权利要求1至13中任一项所述的方法。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102012203503 | 2012-03-06 | ||
| DE102012203503.6 | 2012-03-06 | ||
| DE102012024818A DE102012024818A1 (de) | 2012-03-06 | 2012-12-19 | Verfahren zur Verbesserung der funktionalen Sicherheit und Steigerung der Verfügbarkeit eines elektronischen Regelungssystems sowie ein elektronisches Regelungssystem |
| DE102012024818.0 | 2012-12-19 | ||
| PCT/EP2013/054380 WO2013131900A1 (de) | 2012-03-06 | 2013-03-05 | Verfahren zur verbesserung der funktionalen sicherheit und steigerung der verfügbarkeit eines elektronischen regelungssystems sowie ein elektronisches regelungssystem |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104272316A CN104272316A (zh) | 2015-01-07 |
| CN104272316B true CN104272316B (zh) | 2017-08-04 |
Family
ID=49029447
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380013045.6A Active CN104272316B (zh) | 2012-03-06 | 2013-03-05 | 用于改进电子调节***的功能安全性并提高可用性的方法以及电子调节*** |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US9576137B2 (zh) |
| EP (1) | EP2823430B1 (zh) |
| JP (1) | JP6189342B2 (zh) |
| KR (1) | KR20140132390A (zh) |
| CN (1) | CN104272316B (zh) |
| DE (1) | DE102012024818A1 (zh) |
| WO (1) | WO2013131900A1 (zh) |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102012024818A1 (de) | 2012-03-06 | 2013-09-12 | Conti Temic Microelectronic Gmbh | Verfahren zur Verbesserung der funktionalen Sicherheit und Steigerung der Verfügbarkeit eines elektronischen Regelungssystems sowie ein elektronisches Regelungssystem |
| DE102014200089A1 (de) * | 2014-01-08 | 2015-07-09 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren, Vorrichtung, Computerprogramm und Computerprogrammprodukt zum Programmieren von mehreren Steuergeräten |
| JP6330643B2 (ja) | 2014-12-15 | 2018-05-30 | 株式会社デンソー | 電子制御装置 |
| US11201876B2 (en) | 2015-12-24 | 2021-12-14 | British Telecommunications Public Limited Company | Malicious software identification |
| EP3394785B1 (en) | 2015-12-24 | 2019-10-30 | British Telecommunications public limited company | Detecting malicious software |
| WO2017109129A1 (en) * | 2015-12-24 | 2017-06-29 | British Telecommunications Public Limited Company | Software security |
| DE102016003359B4 (de) * | 2016-03-18 | 2023-07-20 | Mercedes-Benz Group AG | Anzeigevorrichtung |
| US11423144B2 (en) | 2016-08-16 | 2022-08-23 | British Telecommunications Public Limited Company | Mitigating security attacks in virtualized computing environments |
| EP3500969A1 (en) | 2016-08-16 | 2019-06-26 | British Telecommunications Public Limited Company | Reconfigured virtual machine to mitigate attack |
| DE102016217762A1 (de) * | 2016-09-16 | 2018-04-12 | Continental Automotive Gmbh | Überwachung von sicherheitsrelevanten Funktionen durch eine nicht sichere Recheneinheit |
| US10417077B2 (en) | 2016-09-29 | 2019-09-17 | 2236008 Ontario Inc. | Software handling of hardware errors |
| WO2019042536A1 (en) * | 2017-08-30 | 2019-03-07 | Thyssenkrupp Presta Ag | MULTICANAL ECU ARCHITECTURE FOR EPS |
| DE102017123615B4 (de) * | 2017-10-11 | 2022-11-24 | Bachmann Gmbh | Konfigurierbares Sicherheitsmodul zur Erfassung digitaler oder analoger Eingangs- oder Ausgangssignale |
| DE102017218643A1 (de) | 2017-10-19 | 2019-04-25 | Volkswagen Aktiengesellschaft | Funktionsmodul, Steuereinheit für ein Betriebsassistenzsystem und Arbeitsvorrichtung |
| JP7091816B2 (ja) * | 2018-05-08 | 2022-06-28 | トヨタ自動車株式会社 | 駆動力制御装置 |
| US11129024B2 (en) * | 2018-08-21 | 2021-09-21 | Continental Teves Ag & Co. Ohg | Vehicle-to-X communication device and method for realizing a safety integrity level in vehicle-to-X communication |
| DE102019209355A1 (de) * | 2019-06-27 | 2020-12-31 | Audi Ag | Steuergerät für ein Kraftfahrzeug und Kraftfahrzeug |
| EP3792765A1 (en) * | 2019-09-10 | 2021-03-17 | Vitesco Technologies GmbH | Method for handling transient safety relevant errors in the vehicle and electronic control system of the vehicle |
| EP4045373A4 (en) * | 2019-10-16 | 2023-11-15 | LHP, Inc. | VEHICLE SECURITY MONITORING SYSTEM |
| DE102019216030A1 (de) * | 2019-10-17 | 2021-04-22 | Continental Automotive Gmbh | Verfahren und Vorrichtung zur Ausgabe von Repräsentationen für den sicheren Betrieb eines Fahrzeugs relevanter Zustände durch ein Ausgabemodul |
| EP3816741B1 (en) * | 2019-10-31 | 2023-11-29 | TTTech Auto AG | Safety monitor for advanced driver assistance systems |
| KR20210058566A (ko) | 2019-11-14 | 2021-05-24 | 삼성전자주식회사 | 전자 시스템, 그것의 결함 검출 방법, 시스템 온 칩 및 버스 시스템 |
| RU2750626C2 (ru) * | 2019-11-27 | 2021-06-30 | Акционерное общество "Лаборатория Касперского" | Система и способ управления доступом в электронных блоках управления транспортными средствами |
| EP3828748B1 (en) * | 2019-11-27 | 2024-06-26 | AO Kaspersky Lab | System and method for access control in electronic control units of vehicles |
| EP3893113B1 (de) | 2020-04-07 | 2023-06-21 | Elektrobit Automotive GmbH | Überwachung einer komponente eines steuerungssystems für ein fortbewegungsmittel |
| CA3136322A1 (en) * | 2020-12-02 | 2022-06-02 | The Boeing Company | Debug trace streams for core synchronization |
| EP4033360B1 (de) * | 2021-01-26 | 2023-03-01 | TTTech Auto AG | Verfahren zur steuerung und zum automatischen wiederanlauf einer technischen vorrichtung |
| DE102021201837A1 (de) * | 2021-02-26 | 2022-09-01 | Siemens Mobility GmbH | Verfahren zur Konfiguration einer Steuerungssoftware bei einem Schienenfahrzeug |
| CN115158341B (zh) * | 2022-06-30 | 2024-06-14 | 重庆长安汽车股份有限公司 | 基于功能安全设计的车辆故障上传方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101048771A (zh) * | 2004-11-11 | 2007-10-03 | 国际商业机器公司 | 借助于网络重建的处理单元的并发刷新 |
| DE102009011430A1 (de) * | 2009-02-25 | 2010-08-26 | Iav Gmbh Ingenieurgesellschaft Auto Und Verkehr | Vorrichtung zur Steuerung und Regelung eines Antriebssystems |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6775824B1 (en) * | 2000-01-12 | 2004-08-10 | Empirix Inc. | Method and system for software object testing |
| DE10141737C1 (de) * | 2001-08-25 | 2003-04-03 | Daimler Chrysler Ag | Verfahren zur sicheren Datenübertragung innerhalb eines Verkehrsmittels |
| DE10140721A1 (de) * | 2001-08-27 | 2003-03-20 | Bayerische Motoren Werke Ag | Verfahren zur Bereitstellung von Software zur Verwendung durch ein Steuergerät eines Fahrzeugs |
| EP1639464A2 (de) | 2003-06-24 | 2006-03-29 | Robert Bosch Gmbh | Verfahren zur überprüfung der sicherheit und zuverlässigkeit softwarebasierter elektronischer systeme |
| DE10332452B4 (de) | 2003-07-17 | 2018-04-12 | Continental Teves Ag & Co. Ohg | Steuerungs- und Regelungsgerät in einem Kraftfahrzeug sowie Verfahren zum Betreiben desselben |
| JP2005203882A (ja) | 2004-01-13 | 2005-07-28 | Denso Corp | 通信システム及び鍵送信方法 |
| US8010969B2 (en) * | 2005-06-13 | 2011-08-30 | Intel Corporation | Mechanism for monitoring instruction set based thread execution on a plurality of instruction sequencers |
| US7562284B2 (en) * | 2005-08-26 | 2009-07-14 | International Business Machines Corporation | Apparatus, system, and method for mandatory end to end integrity checking in a storage system |
| US20070097959A1 (en) * | 2005-09-02 | 2007-05-03 | Taylor Stephen F | Adaptive information network |
| US8868930B2 (en) * | 2006-05-31 | 2014-10-21 | International Business Machines Corporation | Systems and methods for transformation of logical data objects for storage |
| DE102006056668A1 (de) | 2006-11-30 | 2008-06-05 | Continental Teves Ag & Co. Ohg | Verfahren zum Sicherstellen oder Aufrechterhalten der Funktion eines komplexen sicherheitskritischen Gesamtsystems |
| EP1959606B1 (de) * | 2007-02-13 | 2012-08-15 | Secunet Security Networks Aktiengesellschaft | Sicherheitseinheit |
| WO2009055368A2 (en) * | 2007-10-21 | 2009-04-30 | Citrix Systems, Inc. | Systems and methods to adaptively load balance user sessions to reduce energy consumption |
| DE102008018001A1 (de) * | 2008-04-09 | 2009-10-22 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zur Übertragung von Nachrichten in Echtzeit |
| EP2194257A1 (en) * | 2008-12-05 | 2010-06-09 | Delphi Technologies Holding S.à.r.l. | A method of controlling a vehicle engine system |
| US8327153B2 (en) | 2009-12-04 | 2012-12-04 | Electronics And Telecommunications Research Institute | Method and system for verifying software platform of vehicle |
| DE102010032136A1 (de) * | 2010-07-24 | 2012-01-26 | Man Truck & Bus Ag | Austauschverfahren für ein Steuergerät in einem Bordnetz eines Fahrzeuges |
| DE102010039845A1 (de) | 2010-08-26 | 2012-03-01 | Robert Bosch Gmbh | Verfahren zum Übertragen von Sensordaten |
| BR112013011038A2 (pt) * | 2010-11-03 | 2016-08-23 | Virginia Tech Intell Prop | método e sistema para realizar uma avaliação em tempo real da integridade de execução de uma rotina em uma plataforma de processamento de computador e método para a detecção de desvios a partir da execução autorizada de softwares em um processador digital |
| DE102012024818A1 (de) | 2012-03-06 | 2013-09-12 | Conti Temic Microelectronic Gmbh | Verfahren zur Verbesserung der funktionalen Sicherheit und Steigerung der Verfügbarkeit eines elektronischen Regelungssystems sowie ein elektronisches Regelungssystem |
| US20140365180A1 (en) * | 2013-06-05 | 2014-12-11 | Carnegie Mellon University | Optimal selection of building components using sequential design via statistical based surrogate models |
-
2012
- 2012-12-19 DE DE102012024818A patent/DE102012024818A1/de active Pending
-
2013
- 2013-03-05 JP JP2014560333A patent/JP6189342B2/ja active Active
- 2013-03-05 US US14/381,671 patent/US9576137B2/en active Active
- 2013-03-05 EP EP13709366.2A patent/EP2823430B1/de active Active
- 2013-03-05 KR KR1020147027683A patent/KR20140132390A/ko not_active Application Discontinuation
- 2013-03-05 WO PCT/EP2013/054380 patent/WO2013131900A1/de active Application Filing
- 2013-03-05 CN CN201380013045.6A patent/CN104272316B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101048771A (zh) * | 2004-11-11 | 2007-10-03 | 国际商业机器公司 | 借助于网络重建的处理单元的并发刷新 |
| DE102009011430A1 (de) * | 2009-02-25 | 2010-08-26 | Iav Gmbh Ingenieurgesellschaft Auto Und Verkehr | Vorrichtung zur Steuerung und Regelung eines Antriebssystems |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2823430A1 (de) | 2015-01-14 |
| US9576137B2 (en) | 2017-02-21 |
| JP6189342B2 (ja) | 2017-08-30 |
| US20150033357A1 (en) | 2015-01-29 |
| WO2013131900A1 (de) | 2013-09-12 |
| KR20140132390A (ko) | 2014-11-17 |
| JP2015511905A (ja) | 2015-04-23 |
| EP2823430B1 (de) | 2018-11-07 |
| DE102012024818A1 (de) | 2013-09-12 |
| CN104272316A (zh) | 2015-01-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104272316B (zh) | 用于改进电子调节***的功能安全性并提高可用性的方法以及电子调节*** | |
| Palanca et al. | A stealth, selective, link-layer denial-of-service attack against automotive networks | |
| EP3393865B1 (de) | Überwachung und modifikation von kraftfahrzeugfunktionen in einem kraftfahrzeug | |
| US9434391B2 (en) | Braking system | |
| US20140012435A1 (en) | Vehicle controller | |
| US20080215913A1 (en) | Information Processing System and Information Processing Method | |
| CN107038391B (zh) | 用于通过嵌入式***保护数据完整性的方法和设备 | |
| US20190302753A1 (en) | Communications interruption system, communications interruption method, and recording medium | |
| CN109845219B (zh) | 用于一车辆的验证装置 | |
| WO2019074000A1 (ja) | 車両用制御装置 | |
| US10053079B2 (en) | Redundant signal processing of a safety-relevant application | |
| US9659415B2 (en) | Apparatus for warning of occurrence of error of device | |
| US20080235473A1 (en) | Protection unit for a programmable data-processing system | |
| CN108146250B (zh) | 一种基于多核cpu的汽车扭矩安全控制方法 | |
| CN113474230A (zh) | 安全***和用于运行安全***的方法 | |
| CN103338991B (zh) | 用于监测控制单元的安全监测***的功能的方法和*** | |
| CN107111931B (zh) | 用于数据预处理装置的检查设备 | |
| CN113226858A (zh) | 信息处理装置 | |
| US20230052852A1 (en) | Method for Authentic Data Transmission Between Control Devices of a Vehicle, Arrangement with Control Devices, Computer Program, and Vehicle | |
| JP5694806B2 (ja) | 制御装置及び列車制御装置、並びに列車制御システム | |
| JP6627598B2 (ja) | 車載電源装置 | |
| JP5833111B2 (ja) | 通信ネットワークの電子デバイスが使用するフレームを、そのフレームに含まれるパラメータを使用する機能のタイプに応じてチェックする装置および方法 | |
| US20160011932A1 (en) | Method for Monitoring Software in a Road Vehicle | |
| JP7177272B2 (ja) | セキュリティ処理装置 | |
| JP2021076949A (ja) | 車両用制御装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240326 Address after: Hannover Patentee after: Continental Automotive Technology Co.,Ltd. Country or region after: Germany Address before: Frankfurt, Germany Patentee before: CONTINENTAL TEVES AG & Co. OHG Country or region before: Germany Patentee before: CONTI TEMIC MICROELECTRONIC GmbH |