DE102015219834A1 - Method for putting into operation a computing unit in a motor vehicle - Google Patents

Method for putting into operation a computing unit in a motor vehicle Download PDF

Info

Publication number
DE102015219834A1
DE102015219834A1 DE102015219834.0A DE102015219834A DE102015219834A1 DE 102015219834 A1 DE102015219834 A1 DE 102015219834A1 DE 102015219834 A DE102015219834 A DE 102015219834A DE 102015219834 A1 DE102015219834 A1 DE 102015219834A1
Authority
DE
Germany
Prior art keywords
security level
condition
intended
motor vehicle
arithmetic unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102015219834.0A
Other languages
German (de)
Inventor
Robert Kornhaas
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102015219834.0A priority Critical patent/DE102015219834A1/en
Publication of DE102015219834A1 publication Critical patent/DE102015219834A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum In-Betrieb-Nehmen einer Recheneinheit in einem Kraftfahrzeug, wobei überprüft wird, ob eine Bedingung (B) erfüllt ist, bei der ein Betrieb der Recheneinheit mit einer vorgesehenen Sicherheitsstufe erforderlich ist, und wobei die Recheneinheit, wenn die Bedingung (B) nicht erfüllt ist, mit einer niedrigeren als der vorgesehenen Sicherheitsstufe in Betrieb genommen wird.The invention relates to a method for commissioning a computing unit in a motor vehicle, wherein it is checked whether a condition (B) is met, in which an operation of the computing unit with an intended security level is required, and wherein the arithmetic unit, if the Condition (B) is not met, with a lower than the intended safety level is put into operation.

Description

Die vorliegende Erfindung betrifft ein Verfahren zum In-Betrieb-Nehmen einer Recheneinheit, insbesondere ein Steuergerät, in einem Kraftfahrzeug sowie eine Recheneinheit und ein Computerprogramm zu dessen Durchführung.The present invention relates to a method for putting a computing unit into operation, in particular a control unit, in a motor vehicle and to a computing unit and a computer program for carrying it out.

Stand der TechnikState of the art

Moderne Kraftfahrzeuge weisen in der Regel viele Steuergeräte auf, die sicherheitsrelevante Funktionen erfüllen müssen. Als Beispiel sei hierzu ein ESP-Steuergerät (Elektronisches Stabilitätsprogramm) genannt, das automatische sicherheitsrelevante Bremseingriffe während der Fahrt ermöglicht.Modern motor vehicles usually have many control units that must fulfill safety-related functions. An example of this is an ESP control unit (Electronic Stability Program), which allows automatic safety-relevant brake interventions while driving.

Je mehr und je aufwändiger solche sicherheitsrelevanten Funktionen sind, und auch je höher die jeweilige Sicherheitsstufe der betreffenden Funktion bzw. des betreffenden Steuergerätes ist, desto länger kann eine Inbetriebnahme eines solchen Steuergerätes dauern.The more and the more complex such security-relevant functions are, and also the higher the respective security level of the relevant function or of the relevant control device, the longer a commissioning of such a control device can take.

Offenbarung der ErfindungDisclosure of the invention

Erfindungsgemäß werden ein Verfahren zum In-Betrieb-Nehmen einer Recheneinheit sowie eine Recheneinheit und ein Computerprogramm zu dessen Durchführung mit den Merkmalen der unabhängigen Patentansprüche vorgeschlagen. Vorteilhafte Ausgestaltungen sind Gegenstand der Unteransprüche sowie der nachfolgenden Beschreibung.According to the invention, a method for putting a computer unit into operation and a computer unit and a computer program for carrying it out are proposed with the features of the independent patent claims. Advantageous embodiments are the subject of the dependent claims and the following description.

Vorteile der ErfindungAdvantages of the invention

Ein erfindungsgemäßes Verfahren dient zum In-Betrieb-Nehmen einer Recheneinheit, insbesondere eines Steuergerätes, in einem Kraftfahrzeug. Dabei wird überprüft, ob eine Bedingung erfüllt ist, bei der ein Betrieb der Recheneinheit mit einer vorgesehenen Sicherheitsstufe erforderlich ist. Dann wird die Recheneinheit, wenn die Bedingung nicht erfüllt ist, mit einer niedrigeren als der vorgesehenen Sicherheitsstufe in Betrieb genommen.A method according to the invention is used to commission a computing unit, in particular a control unit, in a motor vehicle. In this case, it is checked whether a condition is met in which an operation of the arithmetic unit is required with a security level provided. Then, if the condition is not fulfilled, the arithmetic unit is put into operation at a lower than the intended security level.

Zwar ist es möglich, solche Steuergeräte gleich mit ihrer Inbetriebnahme bis auf die vorgesehene, d.h. die für den regulären Betrieb erforderliche, nötige oder gewünschte Sicherheitsstufe zu bringen. Allerdings kann dies gerade im Hinblick auf die immer aufwändigeren Funktionen in modernen Kraftfahrzeugen lange dauern, was dann zu verlängerten Wartezeiten beim Starten des Kraftfahrzeugs, womit in der Regel auch die Steuergeräte in Betrieb genommen werden, führen kann.Although it is possible, such controllers with their commissioning to the intended, i. to bring the required or required level of security required for regular operation. However, this can take a long time, especially in view of the ever more complex functions in modern motor vehicles, which can then lead to extended waiting times when starting the motor vehicle, which usually also the control devices are put into operation.

Mit dem vorliegenden Verfahren ist es nun möglich, ein Steuergerät nur mit einer eingeschränkten Sicherheitsstufe in Betrieb zu nehmen, sofern dies bspw. für dieses Steuergerät möglich bzw. zulässig ist. Dies nimmt in der Regel deutlich weniger Zeit in Anspruch als eine Inbetriebnahme bis zur vorgesehen Sicherheitsstufe. Auf die vorgesehene Sicherheitsstufe kann dann auch später noch erhöht werden. Das Kraftfahrzeug steht somit schneller für einen Fahrer zur Verfügung.With the present method, it is now possible to operate a control unit only with a limited security level, if this is possible or permissible, for example, for this control unit. This usually takes much less time than commissioning up to the planned security level. On the intended security level can then be increased later. The motor vehicle is thus faster for a driver available.

Vorzugsweise wird der Betrieb der Recheneinheit, nachdem sie in Betrieb genommen worden ist, auf die vorgesehene Sicherheitsstufe erhöht. Insbesondere kann die die Erhöhung des Betriebs auf die vorgesehene Sicherheitsstufe bei einem Eintreten oder vor einem voraussichtlichen Eintreten der Bedingung erfolgen. Dies entspricht somit einer kaskadierten Inbetriebnahme des Steuergeräts. Insbesondere ist zwischen dem Starten des Kraftfahrzeugs und dem Eintreten der Bedingung in der Regel genügend Zeit, in der die Sicherheitsstufe des Steuergeräts erhöht werden kann, während jedoch bspw. Grundfunktionen des Steuergeräts bereits zur Verfügung stehen.Preferably, the operation of the computing unit after it has been put into operation is increased to the intended security level. In particular, the increase of the operation to the intended security level can take place upon occurrence or before an anticipated occurrence of the condition. This therefore corresponds to a cascaded startup of the control unit. In particular, enough time between the starting of the motor vehicle and the occurrence of the condition in which the security level of the control unit can be increased, while, for example, basic functions of the control unit are already available.

Vorteilhafterweise erfolgt die Erhöhung des Betriebs auf die vorgesehene Sicherheitsstufe, nachdem das Kraftfahrzeug gestartet worden ist, insbesondere unmittelbar oder so bald als möglich danach. Damit kann die vorgesehene Sicherheitsstufe des Steuergerätes schnellstmöglich erreicht werden und mögliche Einschränkungen werden so bald als möglich beseitigt.Advantageously, the operation is increased to the intended security level after the motor vehicle has been started, in particular immediately or as soon as possible thereafter. Thus, the intended security level of the controller can be achieved as soon as possible and possible restrictions are eliminated as soon as possible.

Es ist von Vorteil, wenn die Erhöhung des Betriebs auf die vorgesehene Sicherheitsstufe einen Abgleich zwischen zwei getrennten Prozessoreinheiten der Recheneinheit umfasst. Gerade Recheneinheiten bzw. Steuergeräte mit hoher Sicherheitsstufe weisen zwei Prozessoreinheiten auf. Die Prozessoreinheiten weisen dabei jeweils meist eine CPU, ein bis zwei Flashspeicher mit Boot-Code und Programm-Code sowie einen RAM-Speicher, in den der Programmcode und Variablen geladen werden, auf. Die Prozessoreinheiten sind dabei meist über eine Datenschnittschnelle verbunden. Indem bspw. auf beiden Prozessoreinheiten zumindest teilweise die gleichen Funktionen bereitgestellt werden oder ablaufen, kann durch Vergleich der beiden Prozessoreinheiten die Sicherheitsstufe gegenüber einer einzelnen Prozessoreinheit erhöht werden.It is advantageous if the increase of the operation to the intended security level comprises a comparison between two separate processor units of the arithmetic unit. Straight computing units or control units with high security level have two processor units. The processor units usually each have a CPU, one to two flash memories with boot code and program code and a RAM memory in which the program code and variables are loaded on. The processor units are usually connected via a data editing interface. By, for example, providing or executing at least partially the same functions on both processor units, the security level can be increased compared to a single processor unit by comparing the two processor units.

Vorzugsweise wird die Recheneinheit mit der niedrigeren Sicherheitsstufe in Betrieb genommen, wenn das Kraftfahrzeug gestartet wird. Damit kann gewährleistet werden, dass das betreffende Steuergerät mit dem Starten des Kraftfahrzeugs oder zumindest unmittelbar danach für den Fahrer bereits zur Verfügung steht, wenngleich auch mit einer niedrigeren Sicherheitsstufe. Für den Betrieb des Kraftfahrzeugs unmittelbar nach dem Starten ist dies jedoch ohnehin meist ausreichend.Preferably, the computing unit with the lower security level is put into operation when the motor vehicle is started. This can be ensured that the relevant control unit with the start of the motor vehicle or at least immediately thereafter for the driver is already available, albeit with a lower security level. For the operation of the motor vehicle immediately after starting, however, this is usually sufficient anyway.

Vorteilhafterweise umfasst die Bedingung einen Ablauf einer Zeitdauer, ein Überschreiten einer Geschwindigkeitsschwelle und/oder ein Vorliegen eines Betriebszustandes des Kraftfahrzeugs. So kann eine Zeitdauer bspw. vorgesehen sein, um andere Steuergeräte, die mit dem betreffenden Steuergerät in Verbindung stehen, in Betrieb zu nehmen, wobei die vorgesehene Sicherheitsstufe für das betreffende Steuergerät erst dann nötig ist, wenn die anderen Steuergeräte auch bereit bzw. in der nötigen Sicherheitsstufe bereit sind. Weiterhin kann bspw. erst bei Überschreiten einer Geschwindigkeitsschwelle, bspw. 15 km/h, eine vorgesehene, hohe Sicherheitsstufe nötig sein. Bspw. kann für ein elektronisches Stabilitätsprogramm (ESP) erst ab 15 km/h ASIL-D nötig sein, während vorher ASIL-B ausreichend ist, da bei geringer Geschwindigkeit das ESP bspw. ohnehin nicht nötig ist bzw. kaum Einfluss auf das Fahrverhalten haben kann. Auch bei verschiedenen Betriebszuständen des Kraftfahrzeugs können verschiedene Sicherheitsstufen eines Steuergeräts nötig sein. So kann bspw. bei in Betrieb genommener Brennkraftmaschine eine höhere Sicherheitsstufe nötig sein als bei noch nicht in Betrieb genommener Brennkraftmaschine. Es versteht sich, dass die Bedingung auch mehrere der genannten bzw. beliebige Kombination davon oder auch andere Kriterien umfassen kann, so dass bspw. die Bedingung nur erfüllt ist, wenn alle diese Kriterien erfüllt sind oder dass die Bedingung nur als nicht erfüllt gilt, wenn keines der Kriterien erfüllt ist. Advantageously, the condition includes a lapse of a time duration, an exceeding of a speed threshold and / or a presence of an operating state of the motor vehicle. Thus, a period of time, for example, be provided to take other control devices that are in communication with the relevant control unit in operation, the proposed security level for the relevant control unit is only necessary if the other control units also ready or in the necessary security level are ready. Furthermore, for example, only when a speed threshold, for example 15 km / h, is exceeded, can an intended, high level of security be necessary. For example. can be necessary for an electronic stability program (ESP) only from 15 km / h ASIL-D, while before ASIL-B is sufficient, since at low speed, the ESP, for example, anyway not necessary or can have little impact on driving behavior. Even with different operating states of the motor vehicle, different security levels of a control unit may be necessary. For example, when the internal combustion engine is put into operation, a higher safety level may be necessary than when the internal combustion engine has not yet been put into operation. It is understood that the condition may also include a plurality of said or any combination thereof or other criteria, so that, for example, the condition is only met if all of these criteria are met or if the condition is only deemed not satisfied if none of the criteria is met.

Zweckmäßigerweise umfassen die niedrigere und die vorgesehene Sicherheitsstufe jeweils eine der Sicherheitsstufen ASIL-A, ASIL-B, ASIL-C und ASIL-D, wobei die niedrigere Sicherheitsstufe wenigstens eine Stufe niedriger als die vorgesehene Sicherheitsstufe ist. Bei diesen Sicherheitsstufen handelt es sich um die im Automotive-Bereich üblichen Sicherheitsstufen. Die jeweiligen Anforderungen können bspw. einschlägigen Normen entnommen werden.Suitably, the lower and the intended security level respectively comprise one of the security levels ASIL-A, ASIL-B, ASIL-C and ASIL-D, wherein the lower security level is at least one level lower than the intended security level. These security levels are the usual security levels in the automotive industry. The respective requirements can, for example, be taken from the relevant standards.

Vorzugsweise wird vor der Überprüfung, ob die Bedingung erfüllt ist, überprüft, ob die Bedingung existiert. Dies kann bspw. dann zweckmäßig sein, wenn ein Steuergerät zwar prinzipiell kaskadenweise in Betrieb genommen werden kann, jedoch bspw. nicht jedes Fahrzeug, in dem das Steuergerät verwendet werden kann, die betreffende Bedingung ermöglicht. In einem solchen Fall kann also bspw. zunächst überprüft werden, ob im weiteren Verlauf immer wieder auf eine Erfüllung der Bedingung hin überprüft werden soll oder ob das Steuergerät sofort mit der vorgesehenen Sicherheitsstufe in Betrieb genommen werden soll. Wenn eine solche Bedingung jedoch bspw. ohnehin immer vorliegen kann, bspw. eine Geschwindigkeitsschwelle für ein ESP-Steuergerät, so kann die Überprüfung nach der Erfüllung der Bedingung sofort erfolgen.Preferably, before checking whether the condition is met, it is checked whether the condition exists. This may, for example, be useful if a control unit can in principle be put into operation cascade-wise, but for example not every vehicle in which the control unit can be used makes the relevant condition possible. In such a case, for example, it is thus possible, for example, first of all to check whether, in the course of time, a fulfillment of the condition should be checked again or whether the control unit should be put into operation immediately with the intended security level. If, however, such a condition can always be present anyway, for example a speed threshold for an ESP control unit, then the check can be carried out immediately after the condition has been fulfilled.

Eine erfindungsgemäße Recheneinheit, z.B. ein Steuergerät eines Kraftfahrzeugs, ist, insbesondere programmtechnisch, dazu eingerichtet, ein erfindungsgemäßes Verfahren durchzuführen.An arithmetic unit according to the invention, e.g. a control device of a motor vehicle is, in particular programmatically, configured to perform a method according to the invention.

Auch die Implementierung des Verfahrens in Form eines Computerprogramms ist vorteilhaft, da dies besonders geringe Kosten verursacht, insbesondere wenn ein ausführendes Steuergerät noch für weitere Aufgaben genutzt wird und daher ohnehin vorhanden ist. Geeignete Datenträger zur Bereitstellung des Computerprogramms sind insbesondere magnetische, optische und elektrische Speicher, wie z.B. Festplatten, Flash-Speicher, EEPROMs, DVDs u.a.m. Auch ein Download eines Programms über Computernetze (Internet, Intranet usw.) ist möglich.Also, the implementation of the method in the form of a computer program is advantageous because this causes very low costs, especially if an executive controller is still used for other tasks and therefore already exists. Suitable data carriers for providing the computer program are in particular magnetic, optical and electrical memories, such as e.g. Hard drives, flash memory, EEPROMs, DVDs, etc. It is also possible to download a program via computer networks (Internet, intranet, etc.).

Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.Further advantages and embodiments of the invention will become apparent from the description and the accompanying drawings.

Die Erfindung ist anhand eines Ausführungsbeispiels in der Zeichnung schematisch dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnung beschrieben.The invention is illustrated schematically with reference to an embodiment in the drawing and will be described below with reference to the drawing.

Kurze Beschreibung der ZeichnungenBrief description of the drawings

1 zeigt schematisch ein Steuergerät, mit dem ein erfindungsgemäßes Verfahren durchführbar ist. 1 schematically shows a control unit with which a method according to the invention can be carried out.

2 zeigt schematisch in einem Blockdiagramm einen Ablauf eines erfindungsgemäßen Verfahrens in einer bevorzugten Ausführungsform. 2 schematically shows in a block diagram a sequence of a method according to the invention in a preferred embodiment.

3 zeigt in einem Diagramm ein Eintreten einer Bedingung, wie es in einem erfindungsgemäßen Verfahren in einer bevorzugten Ausführungsform auftreten kann. 3 shows in a diagram an occurrence of a condition, as may occur in a method according to the invention in a preferred embodiment.

Ausführungsform(en) der ErfindungEmbodiment (s) of the invention

In 1 ist schematisch und beispielhaft eine als Steuergerät 100 ausgebildete Recheneinheit gezeigt, mit der ein erfindungsgemäßes Verfahren durchführbar ist. Das Steuergerät 100 weist dabei zwei getrennte Prozessoreinheiten 110 und 120 auf, um beim Betrieb eine hohe Sicherheitsstufe, bspw. ASIL-D, gewährleisten zu können.In 1 is schematic and exemplified as a control unit 100 trained arithmetic unit shown, with an inventive method is feasible. The control unit 100 has two separate processor units 110 and 120 in order to be able to guarantee a high level of security during operation, for example ASIL-D.

Die Prozessoreinheit 110 wiederum weist eine CPU 111, einen Flashspeicher 112 und einen RAM-Speicher 113 auf. Ebenso weist die Prozessoreinheit 120 eine CPU 121, einen Flashspeicher 122 und einen RAM-Speicher 113 auf. Wie bereist erwähnt, ist es auch denkbar, dass jede Prozessoreinheit bspw. zwei anstatt einem Flashspeicher aufweist.The processor unit 110 again has a CPU 111 , a flash memory 112 and a RAM memory 113 on. Likewise, the processor unit 120 a CPU 121 , a flash memory 122 and a RAM memory 113 on. As already mentioned, it is also conceivable that each processor unit has, for example, two instead of one flash memory.

Auf den Flashspeichern 112 bzw. 122 sind dabei jeweils für das Steuergerät typischer Boot-Code und Programm-Code vorgesehen. Bei der Inbetriebnahme des Steuergerätes werden der Programm-Code sowie ggf. für den Betrieb nötige Variablen in die RAM-Speicher 113 bzw. 123 geladen. Beide Prozessoreinheiten 110 und 120 führend dabei die gleichen oder zumindest teilweise vergleichbare Funktionen aus. On the flash memories 112 respectively. 122 are each provided for the control unit typical boot code and program code. When commissioning the control unit, the program code as well as possibly necessary variables for operation in the RAM memory 113 respectively. 123 loaded. Both processor units 110 and 120 the same or at least partially comparable functions.

Weiterhin ist im Steuergerät 100 eine Datenschnittstelle 130 zum Datenaustausch zwischen den beiden Prozessoreinheiten 110 und 120 vorgesehen. Es versteht sich, dass genaue Inhalt der Speicher und der damit ausführbare Funktionsumfang vom jeweiligen Steuergerät abhängt und mehr oder weniger umfangreich sein kann.Furthermore, in the control unit 100 a data interface 130 for data exchange between the two processor units 110 and 120 intended. It is understood that the exact contents of the memory and the functional scope executable therewith depend on the respective control device and can be more or less extensive.

Der Vollständigkeit halber sei angemerkt, dass das Steuergerät 100 entsprechend seiner vorgesehen Verwendung in ein Kraftfahrzeug und dessen Bordnetz eingebunden und angeschlossen ist, insbesondere an Daten- und Stromversorgungsleitungen.For completeness, it should be noted that the control unit 100 is integrated and connected according to its intended use in a motor vehicle and its electrical system, in particular on data and power supply lines.

Wird das Steuergerät 100 nun mit Anlegen einer Versorgungsspannung in Betrieb genommen und dabei bis zur vorgesehen Sicherheitsstufe, also bspw. ASIL-D, hochgefahren, so wird zunächst in jeder Prozessoreinheit der Bootcode geladen und anschließend wird der Programmcode vom Flashspeicher in den RAM-Speicher geladen. Anschließend erfolgen in der Regel Initialisierungs- und Überprüfungsroutinen der jeweiligen CPU und dann eine Eigendiagnose.Will the controller 100 Now put into operation with the application of a supply voltage and thereby up to the intended security level, so for example. ASIL-D, started up, the boot code is first loaded in each processor unit and then the program code is loaded from the flash memory in the RAM. Subsequently, initialization and verification routines of the respective CPU are usually performed and then a self-diagnosis.

Anschließend erfolgt ein Abgleich oder Vergleich der beiden Prozessoreinheiten 110 und 120 über die Datenschnittstelle 130. Hierzu sind ein Datenaustausch zwischen den beiden Prozessoreinheiten und eine damit einhergehende kurze Nichtverfügbarkeit des Steuergeräts nötig. Anschließend, d.h. erst durch den Vergleich der beiden Prozessoreinheiten ist das Steuergerät mit der vorgesehen, hohen Sicherheitsstufe, also bspw. ASIL-D, verfügbar.Subsequently, an adjustment or comparison of the two processor units takes place 110 and 120 via the data interface 130 , For this purpose, a data exchange between the two processor units and a concomitant short unavailability of the control unit is necessary. Subsequently, ie only by comparing the two processor units, the control unit with the provided, high security level, so for example. ASIL-D, available.

In 2 ist nun schematisch in einem Blockdiagramm ein Ablauf eines erfindungsgemäßen Verfahrens in einer bevorzugten Ausführungsform dargestellt. Das Verfahren wird dabei bspw. von einem Steuergerät wie in 1 gezeigt mit Anlegen einer Versorgungsspannung, also der Inbetriebnahme bzw. des sog. Aufstartens, durchgeführt.In 2 is now shown schematically in a block diagram a flow of a method according to the invention in a preferred embodiment. The method is eg. From a control unit as in 1 shown with application of a supply voltage, so the startup or the so-called. Startup performed.

Zunächst kann in einem optionalen Schritt 200 überprüft werden, ob eine Bedingung existiert, bei der ein Betrieb der Recheneinheit mit einer vorgesehenen Sicherheitsstufe erforderlich ist und somit ob im Umkehrschluss eine Inbetriebnahme mit geringerer Sicherheitsstufe in Frage kommt.First, in an optional step 200 be checked whether a condition exists in which an operation of the arithmetic unit is required with an intended level of security and thus whether, conversely, a commissioning with a lower security level in question.

Existiert eine solche Bedingung nicht, d.h. ist keine Inbetriebnahme mit geringerer Sicherheitsstufe möglich, so kann sofort zu Schritt 215 übergegangen werden, in dem das Steuergerät, wie oben erläutert, bis zur vorgesehen Sicherheitsstufe in Betrieb genommen wird.If such a condition does not exist, ie no commissioning with a lower security level is possible, then you can immediately go to step 215 be transferred, in which the control unit, as explained above, is put into operation until the scheduled security level.

Wenn festgestellt wurde, dass eine solche Bedingung existiert, wird in einem Schritt 210 überprüft ob die Bedingung erfüllt ist, d.h. bspw. ob die aktuelle Geschwindigkeit über 15 km/h ist. Für eine detailliertere Erläuterung hierzu sei auf 3 verwiesen.If it has been determined that such a condition exists, will in one step 210 checks whether the condition is fulfilled, ie, for example, if the current speed is over 15 km / h. For a more detailed explanation, please see 3 directed.

Wenn die Bedingung erfüllt ist, so wird sofort zu Schritt 215 übergegangen, in dem das Steuergerät, wie oben erläutert, bis zur vorgesehen Sicherheitsstufe in Betrieb genommen wird.If the condition is met, then immediately becomes step 215 passed over, in which the control unit, as explained above, is taken to the intended security level in operation.

Wenn die Bedingung nicht erfüllt ist, was bei der beispielhaft genannten Bedingung beim Aufstarten des Steuergeräts in der Regel der Fall sein wird, so kann in einem Schritt 220 das Steuergerät bis zu einer niedrigeren als der vorgesehen Sicherheitsstufe, also bspw. ASIL-B, in Betrieb genommen.If the condition is not met, which will usually be the case when the control device is started up in the example stated, then in one step 220 the control unit up to a lower than the intended security level, so for example. ASIL-B, put into operation.

Hierzu wird in jeder Prozessoreinheit des Steuergeräts der Boot-Code geladen und anschließend wird der Programm-Code vom Flashspeicher in den RAM-Speicher geladen. Anschließend erfolgen in der Regel Initialisierungs- und Überprüfungsroutinen der jeweiligen CPU und dann eine Eigendiagnose. Damit hat das Steuergerät bspw. eine Sicherheitsstufe ASIL-B erreicht.For this purpose, the boot code is loaded in each processor unit of the control unit, and then the program code is loaded from the flash memory into the RAM. Subsequently, initialization and verification routines of the respective CPU are usually performed and then a self-diagnosis. Thus, the control device has, for example, achieved a security level ASIL-B.

Ein Grundbetrieb oder ggf. auch ein normaler Betrieb (dann entsprechend ohne der geforderten Sicherheit hinsichtlich Fehler oder Ausfall) ist damit bereits möglich. Die Inbetriebnahme bis zu der niedrigeren Sicherheitsstufe dauert dabei in der Regel nur eine geringe Zeit, so dass das Kraftfahrzeug für den Fahrer schnell zur Verfügung steht.A basic operation or possibly also a normal operation (then correspondingly without the required safety in terms of error or failure) is thus already possible. The commissioning up to the lower security level usually takes only a small amount of time, so that the motor vehicle is quickly available to the driver.

Weiter wird in einem optionalen Schritt 230 weiterhin (einmalig oder auch kontinuierlich) überprüft, ob die Bedingung erfüllt ist. Je nach Art der Bedingung kann auch überprüft werden, ob bspw. die Bedingung voraussichtlich bald erfüllt sein wird. Letzteres ist bspw. bei einer Geschwindigkeitsschwelle als Bedingung sehr einfach möglich. Next will be in an optional step 230 furthermore (once or continuously) checks whether the condition is fulfilled. Depending on the nature of the condition can also be checked whether, for example, the condition is expected to be met soon. The latter is very easy, for example, at a speed threshold as a condition.

Wird erkannt, dass die Bedingung erfüllt ist bzw. dass die Bedingung voraussichtlich bald erfüllt sein wird, so wird in einem Schritt 240 der Betrieb des Steuergeräts bis zur vorgesehenen Sicherheitsstufe erhöht. Vorzugsweise ist jedoch die Erhöhung auf die vorgesehene Sicherheitsstufe abgeschlossen, bevor die Bedingung erfüllt ist.If it is recognized that the condition is met or that the condition is expected to be met soon, it will be in one step 240 the operation of the control unit increases up to the intended security level. Preferably, however, the increase to the intended security level is completed before the condition is met.

Hierzu erfolgt ein Abgleich oder Vergleich der beiden Prozessoreinheiten und über die Datenschnittstelle. Anschließend, d.h. erst durch den Vergleich der beiden Prozessoreinheiten ist das Steuergerät mit der vorgesehen, hohen Sicherheitsstufe, also bspw. ASIL-D, verfügbar.For this purpose, a comparison or comparison of the two processor units and via the data interface. Subsequently, i. Only through the comparison of the two processor units, the controller with the provided, high level of security, so for example. ASIL-D, available.

Der Schritt 230 kann auch ausgelassen werden und die Erhöhung der Sicherheitsstufe des Steuergeräts kann auch unmittelbar nach der Inbetriebnahme mit der niedrigeren Sicherheitsstufe, während das Kraftfahrzeug also bereits verfügbar ist, erfolgen. Dies ist insbesondere für sicherheitskritische Steuergeräte vorzuziehen.The step 230 can also be omitted and the increase in the security level of the controller can also immediately after commissioning with the lower security level, while the motor vehicle is already available, take place. This is preferable in particular for safety-critical control devices.

In 3 in einem Diagramm ein Eintreten einer Bedingung, wie es in einem erfindungsgemäßen Verfahrens in einer bevorzugten Ausführungsform auftreten kann, beispielhaft und schematisch dargestellt. Eine Geschwindigkeit v ist hierbei über der Zeit t aufgetragen. Mit B ist ein Verlauf eines Wertes gezeigt, der angibt, ob die Bedingung erfüllt ist (B = 1) oder nicht (B = 0).In 3 in a diagram, an occurrence of a condition, as may occur in a method according to the invention in a preferred embodiment, shown by way of example and schematically. A velocity v is plotted over time t. B shows a progression of a value indicating whether the condition is met (B = 1) or not (B = 0).

Die Bedingung ist hier beispielhaft als das Überschreiten einer Geschwindigkeitsschwelle v0 durch das Kraftfahrzeug gewählt. Mit v ist dabei der Verlauf der Geschwindigkeit des Kraftfahrzeugs dargestellt. Erst nach einer gewissen Zeit, bspw. nachdem ein Fahrer das Kraftfahrzeug in Bewegung gesetzt hat, überschreitet das Kraftfahrzeug die Geschwindigkeitsschwelle v0, die bspw. 15 km/h beträgt. Mit Überschreiten dieser Geschwindigkeitsschwelle ist somit auch die Bedingung B erfüllt, d.h. B = 1. Vorzugsweise ist die Erhöhung auf die vorgesehene Sicherheitsstufe abgeschlossen, bevor die Bedingung erfüllt ist.The condition is chosen here by way of example as exceeding a speed threshold v 0 by the motor vehicle. With v, the course of the speed of the motor vehicle is shown. Only after a certain time, for example after a driver has set the motor vehicle in motion, the motor vehicle exceeds the speed threshold v 0 , which is, for example, 15 km / h. If this speed threshold is exceeded, the condition B is therefore also fulfilled, ie B = 1. Preferably, the increase to the intended safety level is completed before the condition is fulfilled.

Claims (12)

Verfahren zum In-Betrieb-Nehmen einer Recheneinheit (100) in einem Kraftfahrzeug, wobei überprüft wird, ob eine Bedingung (B) erfüllt ist, bei der ein Betrieb der Recheneinheit (100) mit einer vorgesehenen Sicherheitsstufe erforderlich ist, und wobei die Recheneinheit (100), wenn die Bedingung (B) nicht erfüllt ist, mit einer niedrigeren als der vorgesehenen Sicherheitsstufe in Betrieb genommen wird.Method for putting an arithmetic unit into operation ( 100 ) in a motor vehicle, wherein it is checked whether a condition (B) is met, in which an operation of the arithmetic unit ( 100 ) is required with a designated security level, and wherein the arithmetic unit ( 100 ) if condition (B) is not met, it will be put into service at a lower than the intended safety level. Verfahren nach Anspruch 1, wobei der Betrieb der Recheneinheit (100), nachdem sie in Betrieb genommen worden ist, auf die vorgesehene Sicherheitsstufe erhöht wird.Method according to claim 1, wherein the operation of the arithmetic unit ( 100 ), after it has been put into operation, is increased to the intended safety level. Verfahren nach Anspruch 2, wobei die Erhöhung des Betriebs auf die vorgesehene Sicherheitsstufe bei einem Eintreten oder vor einem voraussichtlichen Eintreten der Bedingung (B) erfolgt.A method according to claim 2, wherein the increase of the operation to the intended security level occurs upon occurrence or before an anticipated occurrence of the condition (B). Verfahren nach Anspruch 2 oder 3, wobei die Erhöhung des Betriebs auf die vorgesehene Sicherheitsstufe erfolgt, nachdem das Kraftfahrzeug gestartet worden ist.The method of claim 2 or 3, wherein the increase of the operation to the intended security level after the motor vehicle has been started. Verfahren nach einem der Ansprüche 2 bis 4, wobei die Erhöhung des Betriebs auf die vorgesehene Sicherheitsstufe einen Abgleich zwischen zwei getrennten Prozessoreinheiten (110, 120) der Recheneinheit (100) umfasst.Method according to one of claims 2 to 4, wherein the increase of the operation to the intended security level an alignment between two separate processor units ( 110 . 120 ) of the arithmetic unit ( 100 ). Verfahren nach einem der vorstehenden Ansprüche, wobei die Recheneinheit (100) mit der niedrigeren Sicherheitsstufe in Betrieb genommen wird, wenn das Kraftfahrzeug gestartet wird. Method according to one of the preceding claims, wherein the arithmetic unit ( 100 ) is put into operation at the lower security level when the vehicle is started. Verfahren nach einem der vorstehenden Ansprüche, wobei die Bedingung (B) einen Ablauf einer Zeitdauer, ein Überschreiten einer Geschwindigkeitsschwelle (v0) und/oder ein Vorliegen eines Betriebszustandes des Kraftfahrzeugs umfasst.Method according to one of the preceding claims, wherein the condition (B) comprises a lapse of a time duration, an exceeding of a speed threshold (v 0 ) and / or a presence of an operating state of the motor vehicle. Verfahren nach einem der vorstehenden Ansprüche, wobei die niedrigere und die vorgesehene Sicherheitsstufe jeweils eine der Sicherheitsstufen ASIL-A, ASIL-B, ASIL-C und ASIL-D umfassen, wobei die niedrigere Sicherheitsstufe wenigstens eine Stufe niedriger als die vorgesehene Sicherheitsstufe ist.Method according to one of the preceding claims, wherein the lower and the proposed security level each comprise one of the security levels ASIL-A, ASIL-B, ASIL-C and ASIL-D, wherein the lower security level is at least one level lower than the intended security level. Verfahren einem der vorstehenden Ansprüche, wobei vor der Überprüfung, ob die Bedingung (B) erfüllt ist, überprüft wird, ob die Bedingung (B) existiert.Method according to one of the preceding claims, wherein before checking whether the condition (B) is fulfilled, it is checked whether the condition (B) exists. Recheneinheit (100), die dazu eingerichtet ist, ein Verfahren nach einem der vorstehenden Ansprüche durchzuführen.Arithmetic unit ( 100 ), which is adapted to perform a method according to any one of the preceding claims. Computerprogramm, das eine Recheneinheit (100) dazu veranlasst, ein Verfahren nach einem der Ansprüche 1 bis 9 durchzuführen, wenn es auf der Recheneinheit (100) ausgeführt wird. Computer program comprising a computing unit ( 100 ) to perform a method according to any one of claims 1 to 9, when it on the computing unit ( 100 ) is performed. Maschinenlesbares Speichermedium mit einem darauf gespeicherten Computerprogramm nach Anspruch 11.Machine-readable storage medium with a computer program stored thereon according to claim 11.
DE102015219834.0A 2015-10-13 2015-10-13 Method for putting into operation a computing unit in a motor vehicle Pending DE102015219834A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102015219834.0A DE102015219834A1 (en) 2015-10-13 2015-10-13 Method for putting into operation a computing unit in a motor vehicle

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102015219834.0A DE102015219834A1 (en) 2015-10-13 2015-10-13 Method for putting into operation a computing unit in a motor vehicle

Publications (1)

Publication Number Publication Date
DE102015219834A1 true DE102015219834A1 (en) 2017-04-13

Family

ID=58405868

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015219834.0A Pending DE102015219834A1 (en) 2015-10-13 2015-10-13 Method for putting into operation a computing unit in a motor vehicle

Country Status (1)

Country Link
DE (1) DE102015219834A1 (en)

Similar Documents

Publication Publication Date Title
EP3330816A1 (en) Method for updating software in cloud gateways, computer program with an implementation of the method and processing unit for executing the method
DE102009000045A1 (en) Method and device for operating a control device
EP3667568A1 (en) Configuration of a control system for an at least partially autonomous motor vehicle
WO2015193141A1 (en) Method for monitoring a vehicle controller
DE102017117297A1 (en) Control system for a motor vehicle, motor vehicle, method for controlling a motor vehicle, computer program product and computer-readable medium
DE112018000220T5 (en) Electronic control device and abnormality / normal state determination method of an electronic control device
DE10142511B4 (en) Error handling of software modules
DE102015223611A1 (en) Method and control unit for acceleration monitoring and adaptation
DE102015114251A1 (en) Method and device for operating a drive system for a motor vehicle
DE102013021231A1 (en) Method for operating an assistance system of a vehicle and vehicle control unit
DE102019004612A1 (en) Method for operating a vehicle with a control device
EP2962162B1 (en) Method for setting up and/or implementing a programming process of a control device of a transport means
DE102012022460A1 (en) Method for operating vehicle with electrical main power supply and internal combustion engine, involves detecting critical condition of vehicle electrical system and switching off internal combustion engine of moving vehicle
DE102012209144A1 (en) Method for transferring electrical drive system to safe state, involves switching off arrangement access to power supply over switching off path, where switching off path is formed such that path is tested in regular time spacings
DE102015213831A1 (en) Method for decommissioning an electrically controlled component of a vehicle in the event of a fault of a component unit controlling the component
DE102015219834A1 (en) Method for putting into operation a computing unit in a motor vehicle
DE102017109175A1 (en) Control device, driver assistance system, motor vehicle and method for controlling a driver assistance function
WO2017080942A1 (en) Method for operating a control device of a motor vehicle
DE102017102937A1 (en) Method and device for driving two serially arranged relays
EP2018604B1 (en) Procedure for operating a control unit
DE102020215648A1 (en) Method for controlling a power supply system for a mild hybrid electric vehicle
DE102016219315B4 (en) Method and device for avoiding unwanted acceleration of a motor vehicle
DE102015212702A1 (en) Method for testing a state of a control unit of a clutch actuator
DE102014202032A1 (en) Method for monitoring drives
WO2019020322A1 (en) Method for operating a control unit, and device having an associated control unit

Legal Events

Date Code Title Description
R012 Request for examination validly filed