DE102022130951A1 - Steuerungsanordnung umfassend ein Steuergerät mit Fehlersuchschnittstellen und Verfahren zum Betreiben eines Steuergeräts - Google Patents

Steuerungsanordnung umfassend ein Steuergerät mit Fehlersuchschnittstellen und Verfahren zum Betreiben eines Steuergeräts Download PDF

Info

Publication number
DE102022130951A1
DE102022130951A1 DE102022130951.7A DE102022130951A DE102022130951A1 DE 102022130951 A1 DE102022130951 A1 DE 102022130951A1 DE 102022130951 A DE102022130951 A DE 102022130951A DE 102022130951 A1 DE102022130951 A1 DE 102022130951A1
Authority
DE
Germany
Prior art keywords
processing circuit
interface
troubleshooting
debugging
circuit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022130951.7A
Other languages
English (en)
Inventor
Ahmed Mostafa
Ramy El-Amri
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Connaught Electronics Ltd
Original Assignee
Connaught Electronics Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Connaught Electronics Ltd filed Critical Connaught Electronics Ltd
Priority to DE102022130951.7A priority Critical patent/DE102022130951A1/de
Publication of DE102022130951A1 publication Critical patent/DE102022130951A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

Ein ECU (2) weist einen ersten Verarbeitungsschaltkreis (4) auf, der eine erste Fehlersuchschnittstelle (6) aufweist und dazu eingerichtet ist, die erste Fehlersuchschnittstelle (6) zu sperren. Wenigstens ein Fehlersuchschaltkreis (19, 21), ist dazu eingerichtet, Authentifizierungsinformationen an den ersten Verarbeitungsschaltkreis (4) über die erste Fehlersuchschnittstelle (6) zu übermitteln, und der erste Verarbeitungsschaltkreis (4) ist dazu eingerichtet, die erste Fehlersuchschnittstelle (6) abhängig von den Authentifizierungsinformationen zu entsperren. Das ECU (2) weist einen zweiten Verarbeitungsschaltkreis (5) auf, der eine zweite Fehlersuchschnittstelle (7) aufweist und dazu eingerichtet ist, die zweite Fehlersuchschnittstelle (7) zu sperren. Der erste Verarbeitungsschaltkreis (4) ist dazu eingerichtet, eine Entsperranweisung an den zweiten Verarbeitungsschaltkreis (5) über eine Zwischenkreisverbindung (18) zu übermitteln, wenn die erste Fehlersuchschnittstelle (6) entsperrt ist. Der zweite Verarbeitungsschaltkreis (5) ist dazu eingerichtet, die zweite Fehlersuchschnittstelle (7) abhängig von der Entsperranweisung zu entsperren.

Description

  • Die vorliegende Erfindung ist auf eine Steuerungsanordnung umfassend ein Steuergerät, ECU (englisch: electronic control unit) für ein Fahrzeug gerichtet. Das ECU weist einen ersten Verarbeitungsschaltkreis auf, der eine erste Fehlersuchschnittstelle aufweist und dazu eingerichtet ist, die erste Fehlersuchschnittstelle zu sperren. Die Steuerungsanordnung weist wenigstens einen Fehlersuchschaltkreis auf, der dazu eingerichtet ist, Authentifizierungsinformationen über die erste Fehlersuchschnittstelle an den ersten Verarbeitungsschaltkreis zu übermitteln und der erste Verarbeitungsschaltkreis ist dazu eingerichtet, die erste Fehlersuchschnittstelle abhängig von den Authentifizierungsinformationen zu entsperren. Das ECU weist einen zweiten Verarbeitungsschaltkreis auf, der eine zweite Fehlersuchschnittstelle aufweist. Die Erfindung ist weiter gerichtet auf ein entsprechendes Verfahren zum Betreiben eines Steuergeräts eines Fahrzeugs.
  • Steuergeräte, ECUs, werden für verschiedene Funktionen in Fahrzeugen, insbesondere Kraftfahrzeugen, wie etwa Steuern von Sensorgeräten, Aktuatoren, Elektromotoren oder Verbrennungsmotoren et cetera, oder Lesen und Verarbeiten von Sensordaten verwendet. Zu unterschiedlichen Zwecken kann ein einziges ECU mehr als einen Verarbeitungsschaltkreis, zum Beispiel zwei oder mehr integrierte Schaltkreise, wie etwa Einchipsysteme, SoCs (englisch: system-on-a-chip) aufweisen. In einem ECU mit zumindest zwei Verarbeitungsschaltkreisen kann zum Beispiel ein Verarbeitungsschaltkreis speziell für Echtzeit-Operationen ausgelegt sein und kann zum Beispiel für schnelle, sichere und/oder robuste Operationen und Kommunikation mit anderen Komponenten des Fahrzeugs optimiert sein. Ein weiterer Verarbeitungsschaltkreis desselben ECU kann zum Beispiel speziell für die Verarbeitung hoher Arbeitslasten ausgelegt sein und kann mit einer oder mehreren Graphikverarbeitungseinheiten, GPUs (englisch: graphic processing unit), Digitalsignalprozessoren, DSPs (englisch: digital signal processor), feldprogrammierbaren Gatearrays, FPGAs (englisch: field programmable gate arrays) et cetera ausgestattet sein und/oder kann als ein Mehrkern-Prozessorgerät ausgeführt sein. Es sind jedoch auch andere Herangehensweisen bei der Verteilung von Aufgaben und Funktionalitäten an zwei oder mehr Verarbeitungsschaltkreise des ECU möglich.
  • Es ist bekannt, Fehlersuchschaltkreise zu verwenden, die extern zu ECUs bereitgestellt werden können und Speichergeräte in den Verarbeitungsschaltkreisen, wie etwa Festwertspeicher, ROMs (englisch: read-only memories), Speicher mit wahlfreiem Zugriff, RAMs (englisch: random access memories), Register, Flash-Speicher oder andere Arten von Speichergeräten der Verarbeitungsschaltkreise, zum Beispiel der SoCs, lesen und/oder schreiben können. Auf diese Weise kann ein Entwickler auf diese Speicherplätze der Verarbeitungsschaltkreise über die Fehlersuchschaltkreise von einem externen Computer aus, der mit dem Fehlersuchschaltkreis verbunden ist, zugreifen. Die Fehlersuchschaltkreise sind mit einzelnen Verarbeitungsschaltkreisen über jeweilige Fehlersuchschnittstellen verbunden, die zum Beispiel gemäß dem Industriestandard IEEE1149.1, der gemeinhin als JTAG (englisch: joint test action group) bezeichnet wird, standardisiert sein kann.
  • Aus Sicherheitsgründen und zur Vermeidung von Fehlgebrauch, können derartige Fehlersuchschnittstellen gesperrt werden, sobald das ECU für einen Normalbetrieb eingesetzt wird. Es kann jedoch notwendig sein, später auf die Speicherplätze der Verarbeitungsschaltkreise über die Fehlersuchschnittstelle zuzugreifen und daher die Fehlersuchschnittstellen wieder zu entsperren. Es ist bekannt, die jeweilige Sperrinformation in einem nichtflüchtigen Speicherplatz des jeweiligen Verarbeitungsschaltkreises zu sperren und die Entsperrung der jeweiligen Fehlersuchschnittstelle nur dann zuzulassen, wenn ein Passwort korrekt eingegeben wird.
  • Bei anderen Typen von Verarbeitungsschaltkreisen ist jedoch eine derartige nichtflüchtige Konfiguration zur Ausführung eines Passwortschutzes nicht verfügbar. Die entsprechende Fehlersuchschnittstelle kann daher durchgehend entsperrt bleiben. Folglich wird die Sicherheit der in den Speicherplätzen dieses Verarbeitungsschaltkreises gespeicherten Daten reduziert, da über die Fehlersuchschaltkreise und die entsprechende entsperrte Fehlersuchschnittstelle darauf zugegriffen werden kann.
  • Das Dokument US 2017/0090909 A1 beschreibt ein Verfahren zum sicheren Schreiben von Patch Code in einen Speicher eines SoC. Eine JTAG-Schnittstelle kann dazu verwendet werden, die Funktionalität des SoC zu prüfen. Die JTAG-Schnittstelle kann durch Eingabe eines Schnittstellenpassworts durch den SoC-Herstellers entsperrt werden. In einem durch ein Passwort gesperrten Zustand, können Werte, die in Komponenten des SoC und/oder einer anderen Funktionalität des SoC gespeichert sind, nicht über die JTAG-Schnittstelle modifiziert werden.
  • Eine Aufgabe der vorliegenden Erfindung ist es, die Datensicherheit eines ECU mit einem ersten und einem zweiten Verarbeitungsschaltkreis, die über wenigstens einen Fehlersuchschaltkreis zugänglich sind, wie oben spezifiziert zu erhöhen.
  • Diese Aufgabe wird durch den jeweiligen Gegenstand der unabhängigen Ansprüche erreicht. Weitere Ausführungen und bevorzugte Ausführungsformen sind Gegenstand der abhängigen Ansprüche.
  • Die Erfindung beruht auf dem Gedanken, den ersten Verarbeitungsschaltkreis, dessen erste Fehlersuchschnittstelle abhängig von Authentifizierungsinformationen entsperrt werden kann, als ein vertrauenswürdiges Gerät zu betrachten, welches eine Entsperranweisung über eine Zwischenkreisverbindung an den zweiten Verarbeitungsschaltkreis übermittelt, wenn die erste Fehlersuchschnittstelle des ersten Verarbeitungsschaltkreises abhängig von den Authentifizierungsinformationen entsperrt ist. Der zweite Verarbeitungsschaltkreis kann dann die zweite Fehlersuchschnittstelle des zweiten Verarbeitungsschaltkreises abhängig von der von dem ersten Verarbeitungsschaltkreis empfangenen Entsperranweisung entsperren. Auf diese Weise ist es nicht erforderlich, einen Passwortschutz speziell für die zweite Fehlersuchschnittstelle zu implementieren, und die Sicherheit kann dennoch erhöht werden.
  • Gemäß einem Aspekt der Erfindung wird eine Steuerungsanordnung umfassend ein Steuergerät, ECU, für ein Fahrzeug, insbesondere ein Kraftfahrzeug bereitgestellt. Das ECU weist einen ersten Verarbeitungsschaltkreis auf, der eine erste Fehlersuchschnittstelle aufweist und der erste Verarbeitungsschaltkreis ist dazu eingerichtet, die erste Fehlersuchschnittstelle zu sperren. Die Steuerungsanordnung weist wenigstens einen Fehlersuchschaltkreis auf, der dazu eingerichtet ist, Authentifizierungsinformationen über die erste Fehlersuchschnittstelle an den ersten Verarbeitungsschaltkreis zu übermitteln. Der erste Verarbeitungsschaltkreis ist dazu eingerichtet, die erste Fehlersuchschnittstelle abhängig von den Authentifizierungsinformationen zu entsperren. Das ECU weist einen zweiten Verarbeitungsschaltkreis auf, der eine zweite Fehlersuchschnittstelle aufweist. Der zweite Verarbeitungsschaltkreis ist mit dem ersten Verarbeitungsschaltkreis über eine Zwischenkreisverbindung verbunden. Der zweite Verarbeitungsschaltkreis ist dazu eingerichtet, die zweite Fehlersuchschnittstelle zu sperren. Der erste Verarbeitungsschaltkreis ist dazu eingerichtet, eine Entsperranweisung über die Zwischenkreisverbindung an den zweiten Verarbeitungsschaltkreis zu übermitteln, wenn die erste Fehlersuchschnittstelle entsperrt ist. Der zweite Verarbeitungsschaltkreis ist dazu eingerichtet, die zweite Fehlersuchschnittstelle abhängig von der Entsperranweisung zu entsperren.
  • Jede der Fehlersuchschnittstellen kann sich somit entweder in einem gesperrten Zustand oder in einem entsperrten Zustand befinden. Unter Sperren der jeweiligen Fehlersuchschnittstelle kann ein Ändern des Zustands der jeweiligen Fehlersuchschnittstelle von dem entsperrten Zustand in den gesperrten Zustand oder ein Belassen der jeweiligen Fehlersuchschnittstelle in dem gesperrten Zustand verstanden werden. Analog dazu kann unter Entsperren der jeweiligen Fehlersuchschnittstelle ein Ändern des Zustands der jeweiligen Fehlersuchschnittstelle von dem gesperrten Zustand in den entsperrten Zustand oder ein Beibehalten des entsperrten Zustands der jeweiligen Fehlersuchschnittstelle verstanden werden.
  • Befindet sich eine Fehlersuchschnittstelle in dem gesperrten Zustand, so können die auf dem jeweiligen Verarbeitungsschaltkreis gespeicherten Daten über die gesperrte Fehlersuchschnittstelle, insbesondere mittels des wenigstens einen Fehlersuchschaltkreises, nicht gelesen oder modifiziert werden. Ist andererseits die Fehlersuchschnittstelle in dem entsperrten Zustand, kann zumindest ein Teil der auf dem jeweiligen Verarbeitungsschaltkreis gespeicherten Daten über die entsperrte Fehlersuchschnittstelle, insbesondere mittels des wenigstens einen Fehlersuchschaltkreises, gelesen und/oder modifiziert werden.
  • Um den ersten Verarbeitungsschaltkreis dazu zu veranlassen, die erste Fehlersuchschnittstelle zu sperren, kann der wenigstens eine Fehlersuchschaltkreis zum Beispiel eine entsprechende Sperranweisung an den ersten Verarbeitungsschaltkreis übermitteln und der erste Verarbeitungsschaltkreis sperrt die erste Fehlerschnittstelle abhängig von der Sperranweisung.
  • Unter Authentifizierungsinformationen kann zum Beispiel ein Passwort oder eine Passphrase oder ähnliches verstanden werden und sie können an den wenigstens einen Fehlersuchschaltkreis von einem Nutzer bereitgestellt werden, der beabsichtigt, auf Daten, die auf dem ersten und/oder dem zweiten Verarbeitungsschaltkreis gespeichert sind, zuzugreifen und/oder diese zu modifizieren. Zu diesem Zweck kann der Nutzer ein externes Rechengerät, wie etwa einen Notebook-Computer, an den wenigstens einen Fehlersuchschaltkreis über eine externe Kommunikationsschnittstelle der Steuerungsanordnung anschließen. Der erste Verarbeitungsschaltkreis kann dann die empfangenen Authentifizierungsinformationen, insbesondere basierend auf weiteren Authentifizierungsinformationen, die in nichtflüchtiger Weise auf dem ersten Verarbeitungsschaltkreis gespeichert sind, validieren. Verschiedene Typen von Authentifizierungsverfahren oder -protokollen, die allgemein bekannt sind, können verwendet werden, zum Beispiel verschlüsselte Authentifizierungsverfahren. Zum Beispiel können Authentifizierungsinformationen oder entschlüsselte Authentifizierungsinformationen direkt mit den weiteren Authentifizierungsinformationen verglichen werden und die erste Fehlersuchschnittstelle kann zum Beispiel genau dann entsperrt werden, wenn die Authentifizierungsinformationen mit den weiteren Authentifizierungsinformationen übereinstimmen. Es ist allerdings auch möglich, zum Beispiel Hashing-Verfahren oder ähnliches anstatt eines direkten Vergleichs zu verwenden.
  • Mit anderen Worten wird die Sicherheit der Daten, die von dem ersten Verarbeitungsschaltkreis gespeichert werden, mittels Authentifizierung oder insbesondere den Passwort- oder Passphraseschutz gewährleistet. Andererseits wird ein derartiger Passwort- oder Passphraseschutz nicht notwendigerweise für den zweiten Verarbeitungsschaltkreis bereitgestellt, wird insbesondere nicht für den zweiten Verarbeitungsschaltkreis bereitgestellt. Indem der erste Verarbeitungsschaltkreis als ein vertrauenswürdiges Gerät betrachtet wird, was aufgrund des Passwort- oder Passphraseschutzes gerechtfertigt ist, kann die zweite Fehlersuchschnittstelle gesperrt und auf sichere Weise entsperrt werden. Auf diese Weise wird die Datensicherheit für Daten, die auf dem zweiten Verarbeitungsschaltkreis gespeichert sind, verbessert, ohne dass Passwort- oder Passphraseschutz oder ähnliches explizit für den zweiten Verarbeitungsschaltkreis erforderlich ist.
  • Die erste und/oder die zweite Fehlersuchschnittstelle können derart verstanden werden, dass sie Software- und/oder Hardwarekomponenten aufweisen. Mit anderen Worten können die erste und die zweite Fehlersuchschnittstelle jeweilige Software- und/oder Hardwareschnittstellen sein. Zum Beispiel können die erste und/oder die zweite Fehlersuchschnittstelle als jeweilige serielle Kommunikationsschnittstellen, insbesondere als JTAG-Schnittstellen oder mit anderen Worten als Schnittstellen gemäß dem Industriestandard IEEE 1149.1 ausgelegt sein.
  • Der erste und der zweite Verarbeitungsschaltkreis können getrennt voneinander ausgeführt sein und können zum Beispiel auf unterschiedlichen Mikrochips oder zum Beispiel als getrennte integrierte Schaltungen implementiert sein. Insbesondere ist der erste Verarbeitungsschaltkreis als ein erstes Einchipsystem, SoC, implementiert und der zweite Verarbeitungsschaltkreis ist als ein zweites SoC implementiert, das von dem ersten SoC verschieden ist.
  • Die Zwischenkreisverbindung kann als eine ECU-interne Verbindung zwischen jeweiligen zusätzlichen Schnittstellen des ersten und des zweiten Verarbeitungskreises verstanden werden. Auf die Zwischenkreisschaltung kann nicht von einer externen Einheit zugegriffen werden, insbesondere sind die genannten zusätzlichen Schnittstellen nicht über den wenigstens einen Fehlersuchschaltkreis zugänglich. Folglich ist es nicht erforderlich, die Zwischenkreisverbindung zu sperren oder mittels eines Passworts oder ähnlichem zu schützen.
  • Der erste Verarbeitungsschaltkreis kann einen ersten Steuerschaltkreis aufweisen und der zweite Verarbeitungsschaltkreis kann einen zweiten Steuerschaltkreis aufweisen. Die Steuerschaltkreise werden im Folgenden als Controller bezeichnet und können zum Beispiel JTAG-Controller in jeweiligen Ausführungsformen sein. Die Controller können bei manchen Ausführungen Teil der jeweiligen Fehlersuchschnittstelle sein. Folglich kann der erste Controller dazu eingerichtet sein, die erste Fehlersuchschnittstelle zu sperren, um die Authentifizierungsinformationen von dem wenigstens einen Fehlersuchschaltkreis zu empfangen und die erste Fehlersuchschnittstelle abhängig von den Authentifizierungsinformationen zu entsperren. Analog dazu kann der zweite Controller die Entsperranweisung über die Zwischenkreisverbindung empfangen und die zweite Fehlersuchschnittstelle abhängig von der Entsperranweisung entsperren.
  • Die Entsperranweisung kann zum Beispiel einem Signal entsprechen, welches den Zustand der ersten Fehlersuchschnittstelle anzeigt oder mit anderen Worten anzeigt, ob die erste Fehlersuchschnittstelle gesperrt oder entsperrt ist. Die Entsperranweisung kann auch einem Befehl zur Entsperrung der zweiten Fehlersuchschnittstelle entsprechen.
  • Gemäß einigen Ausführungen ist der zweite Verarbeitungsschaltkreis, insbesondere der zweite Controller dazu eingerichtet, die zweite Fehlersuchschnittstelle während eines Hochfahrens des zweiten Verarbeitungsschaltkreises zu sperren.
  • Das Hochfahren, welches auch als Starten bezeichnet werden kann, kann zum Beispiel einem Hard-Reset folgen oder Teil eines Hard-Resets des zweiten Verarbeitungsschaltkreises sein. Wird der zweite Verarbeitungsschaltkreis zum Beispiel abgeschaltet und wieder angeschaltet, folgt das Hochfahren.
  • Insbesondere ist der zweite Verarbeitungsschaltkreis, zum Beispiel der zweite Controller, dazu eingerichtet, die zweite Fehlersuchschnittstelle während jedes Hochfahrens des zweiten Verarbeitungsschaltkreises, zum Beispiel zu Beginn des Hochfahrens, zu sperren. Insbesondere kann das Sperren der zweiten Fehlersuchschnittstelle eine allererste Aktivität sein, die während jedes Hochfahrens des zweiten Verarbeitungsschaltkreises ausgeführt wird.
  • Folglich ist es nicht erforderlich, dass der gesperrte Zustand des zweiten Verarbeitungsschaltkreises in nichtflüchtiger Weise ausgeführt wird, sondern jeweilige Sperrinformationen können auch in flüchtiger Weise gespeichert werden, da der gesperrte Zustand bei jedem Hochfahren aktualisiert wird. Auf diese Weise wird sichergestellt, dass, wann immer der zweite Verarbeitungsschaltkreis aktiv ist, also das Hochfahren abgeschlossen ist, der Standard-Zustand der zweiten Fehlersuchschnittstelle der gesperrte Zustand ist. Die Entsperranweisung wird dann von dem ersten Verarbeitungsschaltkreis über die Zwischenkreisverbindung an den zweiten Verarbeitungsschaltkreis, insbesondere den zweiten Controller, übermittelt, nachdem das Hochfahren abgeschlossen ist, falls die erste Fehlersuchschnittstelle entsperrt ist.
  • Gemäß einigen Ausführungen weist der erste Verarbeitungsschaltkreis einen nichtflüchtigen Speicherplatz, insbesondere ein nichtflüchtiges Register, auf. Der erste Verarbeitungsschaltkreis ist dazu eingerichtet, die erste Fehlersuchschnittstelle durch Speichern einer vordefinierten ersten Sperrinformation in den nichtflüchtigen Speicherplatz zu sperren.
  • Mit anderen Worten kann unter Speichern der ersten Sperrinformation zum Beispiel Speichern eines jeweiligen Werts in den nichtflüchtigen Speicherplatz verstanden werden, die definiert, dass die erste Fehlersuchschnittstelle in dem gesperrten Zustand ist. Wenn der erste Verarbeitungsschaltkreis, insbesondere der erste Controller, den nichtflüchtigen Speicherplatz liest und feststellt, dass die Sperrinformation gespeichert worden ist, kann er Anfragen zum Schreiben und/oder Lesen von Daten, die auf dem ersten Verarbeitungsschaltkreis gespeichert sind, über die erste Fehlersuchschnittstelle verweigern.
  • Es ist anzumerken, dass der nichtflüchtige Speicherplatz kein einmalig programmierbarer Speicherplatz ist, so dass die erste Fehlersuchschnittstelle wieder entsperrt werden kann. Der nichtflüchtige Speicherplatz wird jedoch nicht zurückgesetzt oder mit anderen Worten sein gespeicherter Inhalt bleibt unverändert, wenn der erste Verarbeitungsschaltkreis abgeschaltet wird.
  • Da die erste Sperrinformation in dem nichtflüchtigen Speicherplatz gespeichert wird, ist es nicht erforderlich, die erste Fehlersuchschnittstelle während jedes Hochfahrens des ersten Verarbeitungsschaltkreises zum Beispiel zu sperren.
  • Gemäß einigen Ausführungen ist der erste Verarbeitungsschaltkreis dazu eingerichtet, die erste Fehlersuchschnittstelle durch Speichern einer vordefinierten ersten Entsperrinformation in den nichtflüchtigen Speicherplatz, insbesondere durch Ersetzen der ersten Sperrinformation durch die erste Entsperrinformation, zu entsperren.
  • Wenn folglich der erste Verarbeitungsschaltkreis beziehungsweise der erste Controller den nichtflüchtigen Speicherplatz liest und feststellt, dass er die erste Entsperrinformation entsprechend einem Wert speichert, der definiert, dass die erste Fehlersuchschnittstelle sich in dem entsperrten Zustand befindet, so kann der erste Verarbeitungsschaltkreis, insbesondere der erste Controller, alle oder bestimmte Anfragen zum Schreiben und/oder Lesen des ersten Verarbeitungsschaltkreises über die erste Fehlersuchschnittstelle entsprechend gewähren.
  • Gemäß einigen Ausführungen weist der zweite Verarbeitungsschaltkreis einen flüchtigen Speicherplatz, insbesondere ein flüchtiges Register, auf und der zweite Verarbeitungsschaltkreis ist dazu eingerichtet, die zweite Fehlersuchschnittstelle durch Speichern einer vordefinierten zweiten Sperrinformation in den flüchtigen Speicherplatz zu sperren.
  • Gemäß einigen Ausführungen ist der zweite Verarbeitungsschaltkreis dazu eingerichtet, die zweite Fehlersuchschnittstelle durch Speichern einer vordefinierten zweiten Entsperrinformation in den flüchtigen Speicherplatz, insbesondere durch Ersetzen der zweiten Sperrinformation durch die zweite Entsperrinformation, zu entsperren.
  • Die Erläuterungen bezüglich der ersten Sperrinformation und der ersten Entsperrinformation lassen sich analog auf die zweite Sperrinformation und die zweite Entsperrinformation übertragen. Der flüchtige Speicherplatz wird insbesondere im Fall eines Hard-Resets oder im Fall eines Herunterfahrens des zweiten Verarbeitungsschaltkreises zurückgesetzt. Falls folglich die zweite Sperrinformation in den flüchtigen Speicherplatz gespeichert worden ist, geht die zweite Sperrinformation verloren, falls der zweite Verarbeitungsschaltkreis zum Beispiel heruntergefahren wird. Der zweite Verarbeitungsschaltkreis ist folglich dazu eingerichtet, die zweite Fehlersuchschnittstelle, insbesondere während jedes Hochfahrens des zweiten Verarbeitungsschaltkreises, zu sperren.
  • Gemäß einigen Ausführungen ist der wenigstens eine Fehlersuchschaltkreis dazu eingerichtet, eine Anfrage zum Lesen und/oder Schreiben eines Speichergeräts des ersten Verarbeitungsschaltkreises über die erste Fehlersuchschnittstelle an den ersten Verarbeitungsschaltkreis, insbesondere den ersten Controller, zu übermitteln. Der erste Verarbeitungsschaltkreis, insbesondere der erste Controller, ist dazu eingerichtet, die Anfrage nur dann zu gewähren, wenn die erste Fehlersuchschnittstelle entsperrt ist, zum Beispiel genau dann, wenn die erste Fehlersuchschnittstelle entsperrt ist. Der erste Verarbeitungsschaltkreis ist dazu eingerichtet, die Anfrage abzuweisen, wenn die erste Fehlersuchschnittstelle gesperrt ist, zum Beispiel die Anfrage genau dann abzuweisen, wenn die erste Fehlerschnittstelle gesperrt ist.
  • Das Speichergerät kann einen oder mehrere Nur-Lesespeicher, ROMs, Speicher mit wahlfreiem Zugriff, RAMs, Register, Flash-Speicher und so weiter aufweisen. Insbesondere ist das Speichergerät unterschiedlich zu dem nichtflüchtigen Speicherplatz des ersten Verarbeitungsschaltkreises.
  • Falls die Anfrage zum Lesen und/oder Schreiben des Speichergeräts gewährt wird, kann der wenigstens eine Fehlersuchschaltkreis Inhalte des Speichergeräts über die erste Fehlersuchschnittstelle entsprechend lesen und/oder modifizieren, wohingegen es Inhalte des Speichergeräts nicht lesen und/oder modifizieren kann, falls die Anfrage abgewiesen wird.
  • Gemäß einigen Ausführungen ist der wenigstens eine Fehlersuchschaltkreis dazu eingerichtet, eine weitere Anfrage zum Lesen und/oder Schreiben eines Speichergeräts des zweiten Verarbeitungsschaltkreises, insbesondere des zweiten Controllers, über die zweite Fehlersuchschnittstelle zu übertragen. Der zweite Verarbeitungsschaltkreis, insbesondere der zweite Controller, ist dazu eingerichtet, die weitere Anfrage nur dann, zum Beispiel genau dann, zu gewähren, wenn die zweite Fehlersuchschnittstelle entsperrt ist. Die zweite Verarbeitungsschnittstelle ist dazu eingerichtet, die weitere Anfrage abzuweisen, wenn die zweite Fehlersuchschnittstelle gesperrt ist, zum Beispiel genau dann, wenn die zweite Fehlersuchschnittstelle gesperrt ist.
  • Dementsprechend kann für den Zugriff des Speichergeräts des zweiten Verarbeitungsschaltkreises dasselbe Sicherheitsniveau erreicht werden wie es für den Zugriff des Speichergeräts des ersten Verarbeitungsschaltkreises gegeben ist. Es muss jedoch nur der Zugriff auf das Speichergerät des ersten Verarbeitungsschaltkreises explizit durch ein Passwort oder eine Passphrase wie beschrieben geschützt werden.
  • Gemäß einigen Ausführungen ist der zweite Verarbeitungsschaltkreis dazu eingerichtet, sich selbst herunterzufahren und die zweite Fehlersuchschnittstelle zu entsperren, wenn er sich selbst herunterfährt.
  • Insbesondere kann die zweite Sperrinformation beim Herunterfahren des zweiten Verarbeitungsschaltkreises aus dem flüchtigen Speicherplatz gelöscht werden.
  • Gemäß einigen Ausführungen sind die erste Fehlersuchschnittstelle und die zweite Fehlersuchschnittstelle als jeweilige Schnittstellen gemäß einem vordefinierten seriellen Kommunikationsprotokoll, zum Beispiel gemäß dem Industriestandard IEEE 1149.1, auch als JTAG bezeichnet, ausgeführt.
  • Gemäß einem weiteren Aspekt der Erfindung wird ein Verfahren zum Betreiben eines ECU eines Fahrzeugs, insbesondere eines erfindungsgemäßen ECU, bereitgestellt. Das ECU weist einen ersten Verarbeitungsschaltkreis auf, welcher eine erste Fehlersuchschnittstelle aufweist, und die erste Fehlersuchschnittstelle wird gesperrt, insbesondere durch den ersten Verarbeitungsschaltkreis. Authentifizierungsinformationen werden, insbesondere von wenigstens einem Fehlersuchschaltkreis, über die erste Fehlersuchschnittstelle an den ersten Verarbeitungsschaltkreis übermittelt und die erste Fehlersuchschnittstelle wird abhängig von den Authentifizierungsinformationen, insbesondere von dem ersten Verarbeitungsschaltkreis, entsperrt. Das ECU weist einen zweiten Verarbeitungsschaltkreis auf, der eine zweite Fehlersuchschnittstelle aufweist. Die zweite Fehlersuchschnittstelle wird, insbesondere durch den zweiten Verarbeitungsschaltkreis, gesperrt. Eine Entsperranweisung wird von dem ersten Verarbeitungskreislauf an den zweiten Verarbeitungsschaltkreis übermittelt, insbesondere über eine Zwischenkreisverbindung, die den zweiten Verarbeitungsschaltkreis mit dem ersten Verarbeitungsschaltkreis verbindet, wenn die erste Fehlersuchschnittstelle entsperrt ist. Die zweite Fehlersuchschnittstelle wird abhängig von der Entsperranweisung, insbesondere von dem zweiten Verarbeitungskreislauf, entsperrt.
  • Gemäß einigen Ausführungen des Verfahrens wird die zweite Fehlersuchschnittstelle während eines Hochfahrens des zweiten Verarbeitungsschaltkreises gesperrt und/oder die zweite Fehlersuchschnittstelle wird entsperrt, wenn der zweite Verarbeitungsschaltkreis heruntergefahren wird.
  • Gemäß einigen Ausführungen wird eine Anfrage zum Lesen und/oder Schreiben eines Speichergeräts des ersten Verarbeitungsschaltkreises über die erste Fehlersuchschnittstelle an den ersten Verarbeitungsschaltkreis, insbesondere von dem wenigstens einen Fehlersuchschaltkreis, übermittelt. Die Anfrage wird nur dann gewährt, wenn die erste Fehlersuchschnittstelle entsperrt ist. Die Anfrage wird abgewiesen, wenn die erste Fehlersuchschnittstelle gesperrt ist.
  • Gemäß einigen Ausführungen wird eine weitere Anfrage zum Lesen und/oder Schreiben eines Speichergeräts des zweiten Verarbeitungsschaltkreises an den zweiten Verarbeitungsschaltkreis über die zweite Fehlersuchschnittstelle übermittelt. Die weitere Anfrage wird nur dann gewährt, wenn die zweite Fehlersuchschnittstelle entsperrt ist. Die weitere Anfrage wird abgewiesen, wenn die zweite Fehlersuchschnittstelle gesperrt ist.
  • Weitere Ausführungen des erfindungsgemäßen Verfahrens ergeben sich unmittelbar aus den verschiedenen Ausführungsformen der erfindungsgemäßen Steuerungsanordnung und umgekehrt. Insbesondere lassen sich einzelne Merkmale und entsprechende Erläuterungen sowie Vorteile betreffend die verschiedenen Ausführungen der erfindungsgemäßen Steuerungsanordnung analog auf die entsprechenden Ausführungen des erfindungsgemäßen Verfahrens übertragen. Insbesondere ist die erfindungsgemäße Steuerungsanordnung dazu ausgestaltet oder programmiert, das erfindungsgemäße Verfahren auszuführen. Insbesondere führt die erfindungsgemäße Steuerungsanordnung das erfindungsgemäße Verfahren aus.
  • Unter einem Verarbeitungsschaltkreis kann insbesondere ein Datenverarbeitungsgerät verstanden werden, welches insbesondere Daten zur Durchführung von Rechenoperationen verarbeiten kann. Das kann auch Operationen zum Durchführen indizierter Zugriffe auf eine Datenstruktur umfassen, zum Beispiel eine Look-Up-Tabelle, LUT.
  • Insbesondere kann der Verarbeitungsschaltkreis einen Mikrocontroller, einen integrierten Schaltkreis und/oder ein SoC enthalten. Der Verarbeitungsschaltkreis kann auch einen oder mehrere Prozessoren enthalten, zum Beispiel einen oder mehrere Mikroprozessoren, einen oder mehrere zentrale Prozessoreinheiten, CPU (englisch: „central processing unit“), eine oder mehrere Grafikprozessoreinheiten, GPU (englisch: „graphics processing unit“) und/oder einen oder mehrere Signalprozessoren, insbesondere einen oder mehrere Digitalsignalprozessoren, DSP, enthalten.
  • Weitere Merkmale der Erfindung ergeben sich aus den Ansprüchen, den Figuren und der Figurenbeschreibung. Die vorstehend in der Beschreibung genannten Merkmale und Merkmalskombinationen sowie die nachfolgend in der Figurenbeschreibung genannten und/oder in den Figuren alleine gezeigten Merkmale und Merkmalskombinationen können von der Erfindung nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen umfasst sein. Insbesondere können auch Ausführungsformen und Merkmalskombinationen von der Erfindung umfasst sein, die nicht alle der Merkmale eines ursprünglich formulierten Anspruchs aufweisen. Darüber hinaus können Ausführungsformen und Merkmalskombinationen von der Erfindung umfasst sein, die über die in den Rückbezügen der Ansprüche dargelegten Merkmalskombinationen hinausgehen oder davon abweichen.
  • Im Folgenden wird die Erfindung im Einzelnen mit Bezug auf spezifische beispielhafte Ausführungen und jeweilige schematische Zeichnungen erläutert. In den Zeichnungen können identische und funktionsgleiche Elemente mit denselben Bezugszeichen bezeichnet sein. Die Beschreibung identischer oder funktionsgleicher Elemente wird mit Bezug auf andere Figuren nicht notwendigerweise wiederholt.
  • Dabei zeigen:
    • 1 schematisch ein Fahrzeug mit einer beispielhaften Ausführung einer erfindungsgemäßen Steuerungsanordnung;
    • 2 schematisch ein Blockdiagramm einer weiteren beispielhaften Ausführung einer erfindungsgemäßen Steuerungsanordnung; und
    • 3 ein Flussdiagramm einer beispielhaften Ausführung eines erfindungsgemäßen Verfahrens.
  • 1 zeigt ein Fahrzeug 1 zum Bespiel ein Kraftfahrzeug mit einer beispielhaften Ausführung einer erfindungsgemäßen Steuerungsanordnung. Ein ECU 2 der Steuerungsanordnung kann dazu eingerichtet sein, ein Gerät 3 des Fahrzeugs 1, wie etwa eine Kamera oder eine andere Sensorvorrichtung et cetera, zu steuern und/oder mit diesem zu kommunizieren.
  • 2 zeigt schematisch ein Blockdiagramm einer weiteren beispielhaften Ausführung einer erfindungsgemäßen Steuerungsanordnung, welche zum Beispiel in dem Fahrzeug 1 von 1 verwendet werden kann.
  • Das ECU 2 weist einen ersten Verarbeitungsschaltkreis 4, zum Beispiel ein erstes SoC, und einen zweiten Verarbeitungsschaltkreis 5, zum Beispiel ein zweites SoC, auf. Die Steuerungsanordnung weist wenigstens einen Fehlersuchschaltkreis 19, 21 auf. Die Steuerungsanordnung kann einen ersten Fehlersuchschaltkreis 19 für den ersten Verarbeitungsschaltkreis 4 und einen zweiten Fehlersuchschaltkreis 21 für den zweiten Verarbeitungsschaltkreis 5 aufweisen. In alternativen Ausführungsformen können die Fehlersuchschaltkreise 19, 21 in einem einzigen Fehlersuchschaltkreis kombiniert sein. Der erste Verarbeitungsschaltkreis 4 weist eine erste Fehlersuchschnittstelle 6, zum Beispiel eine erste JTAG-Schnittstelle, auf und der zweite Verarbeitungsschaltkreis 5 weist eine zweite Fehlersuchschnittstelle 7, zum Beispiel eine zweite JTAG-Schnittstelle, auf.
  • Der erste Verarbeitungsschaltkreis 4 weist zum Beispiel eine erste Verarbeitungseinheit 12, zum Beispiel eine CPU, eine GPU, einen DSP et cetera, auf und der zweite Verarbeitungsschaltkreis 5 kann eine zweite Verarbeitungseinheit 13 aufweisen, die zum Beispiel auch eine CPU, GPU, ein DSP et cetera sein kann. Der erste Verarbeitungsschaltkreis 4 kann weiter ein erstes Speichergerät 14, zum Beispiel einen ersten Flash-Speicher, aufweisen und der zweite Verarbeitungsschaltkreis 5 kann zum Beispiel ein zweites Speichergerät 15, zum Beispiel einen zweiten Flash-Speicher aufweisen.
  • Ein Nutzer kann ein externes Rechengerät (nicht gezeigt) über eine externe Kommunikationsschnittstelle 20 an den ersten Fehlersuchschaltkreis 19 anschließen und/oder über eine weitere externe Kommunikationsschnittstelle 22 an den zweiten Fehlersuchschaltkreis 21. Eine erste Verbindung 16 verbindet den ersten Fehlersuchschaltkreis 19 über die erste Fehlersuchschnittstelle 6 mit dem ersten Verarbeitungsschaltkreis 4, zum Beispiel mit einem ersten Controller 8 des ersten Verarbeitungsschaltkreises 4, und eine zweite Verbindung 17 verbindet den zweiten Fehlersuchschaltkreis 21 über die zweite Fehlersuchschnittstelle 7 mit dem zweiten Verarbeitungsschaltkreis 5, zum Beispiel einem zweiten Controller 9 des zweiten Verarbeitungsschaltkreises 5. Falls die Fehlersuchschnittstellen 6, 7 JTAG-Schnittstellen sind, sind die Controller 8, 9 als JTAG-Controller ausgeführt.
  • Der erste Verarbeitungsschaltkreis 4, insbesondere der erste Controller 8, kann einen Zustand der ersten Fehlersuchschnittstelle 6 entweder als einen gesperrten Zustand oder einen entsperrten Zustand einstellen. Analog dazu kann der zweite Verarbeitungsschaltkreis 5, insbesondere der zweite Controller 9, den Zustand der zweiten Fehlersuchschnittstelle 7 entweder als einen gesperrten oder einen entsperrten Zustand einstellen. Zu diesem Zweck kann der erste Verarbeitungsschaltkreis 4, zum Beispiel der erste Controller 8, eine vordefinierte erste Sperrinformation in einen Speicherplatz 10 des ersten Verarbeitungsschaltkreises 4 schreiben, um die erste Fehlersuchschnittstelle 6 zu sperren, oder alternativ eine vordefinierte erste Entsperrinformation in den Speicherplatz 10 schreiben, um die erste Fehlersuchschnittstelle 6 zu entsperren. Analog dazu kann der zweite Verarbeitungsschaltkreis 5, insbesondere der zweite Controller 9, eine vordefinierte zweite Sperrinformation in einen Speicherplatz 11 des zweiten Verarbeitungsschaltkreises 5 schreiben, um die zweite Fehlersuchschnittstelle 7 zu sperren oder alternativ eine zweite vordefinierte Entsperrinformation in den Speicherplatz 11 des zweiten Verarbeitungsschaltkreises 5 schreiben, um die zweite Fehlersuchschnittstelle 7 zu entsperren.
  • Falls ein Nutzer Daten aus dem ersten Speichergerät 14 des ersten Verarbeitungsschaltkreises 4 lesen oder in diesen schreiben möchte, kann der Nutzer den ersten Fehlersuchschaltkreis 19 über die externe Kommunikationsschnittstelle 20 auslösen, um eine entsprechende Anfrage an den ersten Controller 8 über die erste Fehlersuchschnittstelle 6 zu übermitteln. Der erste Controller 8 gewährt die Anfrage nur dann, wenn die erste Fehlersuchschnittstelle 6 sich in dem entsperrten Zustand befindet und weist die Anfrage andernfalls ab. Analog dazu kann der Nutzer den zweiten Fehlersuchschaltkreis 21 auslösen, um eine weitere Anfrage zum Lesen oder Schreiben des zweiten Speichergeräts 15 des zweiten Verarbeitungsschaltkreises 5 über die zweite Fehlersuchschnittstelle 7 an den zweiten Controller 9 zu übertragen. Der zweite Controller 9 gewährt die weitere Anfrage nur dann, wenn die zweite Fehlersuchschnittstelle sich in dem entsperrten Zustand befindet und weist die weitere Anfrage andernfalls ab.
  • Der Speicherplatz 10 des ersten Verarbeitungsschaltkreises 4 ist insbesondere ein nichtflüchtiger Speicherplatz, insbesondere ein nichtflüchtiges Register. Andererseits ist der zweite Speicherplatz 11 des zweiten Verarbeitungsschaltkreises 5 zum Beispiel ein flüchtiger Speicherplatz, zum Beispiel ein flüchtiges Register.
  • Mit anderen Worten, wenn der erste und der zweite Verarbeitungsschaltkreis 4, 5 beide heruntergefahren werden, werden die in dem ersten Speicherplatz 10 gespeicherten Informationen beibehalten, während die in dem zweiten Speicherplatz 11 gespeicherten Informationen verloren gehen. Folglich kann der zweite Verarbeitungsschaltkreis 5, insbesondere der zweite Controller 9, dazu eingerichtet sein, die zweite Fehlersuchschnittstelle 7 zu sperren, indem bei jedem Hochfahren des zweiten Verarbeitungsschaltkreises 5 die entsprechende zweite Sperrinformation in den zweiten Speicherplatz 11 geschrieben wird.
  • 3 zeigt ein Flussdiagramm einer beispielhaften Ausführung eines erfindungsgemäßen Verfahrens. In einem gegebenen Anwendungsfall können sich sowohl die erste als auch die zweite Fehlersuchschnittstelle 6, 7 in dem gesperrten Zustand befinden. Möchte der Nutzer diese entsperren, so kann er ein Passwort oder andere Authentifikationsinformationen über die externe Kommunikationsschnittstelle 20 an den ersten Fehlersuchschaltkreis 19 und über die erste Fehlersuchschnittstelle 6 an den ersten Controller 8 in Schritt S1 bereitstellen. Der erste Controller 8 kann die Authentifizierungsinformationen validieren und, falls die Validierung fehlschlägt, die erste Fehlersuchschnittstelle 6 in dem gesperrten Zustand belassen. Andernfalls, falls die Validierung erfolgreich ist, kann der erste Controller 8 die erste Fehlersuchschnittstelle 6 entsperren. In diesem Fall kann der erste Controller 8 auch eine Entsperranweisung über eine Zwischenkreisverbindung 18 an den zweiten Verarbeitungsschaltkreis 5, insbesondere den zweiten Controller 9, übermitteln. Der zweite Verarbeitungsschaltkreis 5, insbesondere der zweite Controller 9, bestimmt in Schritt S2 basierend auf der Entsperranweisung, ob sich die erste Fehlersuchschnittstelle 6 in dem entsperrten Zustand befindet oder nicht. Befindet sich die erste Fehlersuchschnittstelle 6 in dem entsperrten Zustand, entsperrt der zweite Verarbeitungsschaltkreis 5, insbesondere der zweite Controller 9, die zweite Fehlersuchschnittstelle 7 in Schritt S4 und belässt sie andernfalls in Schritt S3 in dem gesperrten Zustand.
  • Wie insbesondere anhand der Figuren beschrieben, verbessert die Erfindung die Sicherheit von ECUs mit einem ersten und einem zweiten Verarbeitungsschaltkreis, wobei ein Schutz durch ein Passwort nur für eine Fehlersuchschnittstelle des ersten Verarbeitungsschaltkreises ausgeführt ist, nicht aber für eine entsprechende Fehlersuchschnittstelle des zweiten Verarbeitungsschaltkreises. Zu diesem Zweck wird der erste Verarbeitungsschaltkreis als ein vertrauenswürdiger Knoten, der das Cybersicherheitsmerkmal bildet in dem Cyber-Sicherheits-Merkmal betrachtet, um die Fehlersuchschnittstelle basierend auf einem Passwort zu sperren. Der zweite Verarbeitungsschaltkreis kann sich selbst sperren und sich selbst nur dann wieder entsperren, falls der erste Verarbeitungsschaltkreis auch entsperrt ist. Auf diese Weise ist der zweite Verarbeitungsschaltkreis genau wie der erste Verarbeitungsschaltkreis gesichert und kann zur Fehlersuche, falls nötig, in der gleichen Weise entsperrt werden.
  • Es wird darauf hingewiesen, dass die Anwendbarkeit der Erfindung nicht auf ein Szenario beschränkt ist, in dem kein Passwortschutz für die Fehlersuchschnittstelle des zweiten Verarbeitungsschaltkreises möglich ist. Selbst wenn ein solcher Passwortschutz für die jeweiligen Fehlersuchschnittstellen des ersten und des zweiten Verarbeitungsschaltkreises möglich ist, kann das Konzept der Erfindung, den ersten Verarbeitungsschaltkreis als vertrauenswürdiges Gerät zum Entsperren der Fehlersuchschnittstelle des zweiten Verarbeitungsschaltkreises zu verwenden, von Vorteil sein. Insbesondere ist in solchen Fällen nur ein einziges Passwort anstelle von zwei erforderlich.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 20170090909 A1 [0006]

Claims (15)

  1. Steuerungsanordnung umfassend ein Steuergerät, ECU, (2) für ein Fahrzeug (1), wobei - das ECU (2) einen ersten Verarbeitungsschaltkreis (4) aufweist, der eine erste Fehlersuchschnittstelle (6) aufweist und dazu eingerichtet ist, die erste Fehlersuchschnittstelle (6) zu sperren; - die Steuerungsanordnung wenigstens einen Fehlersuchschaltkreis (19, 21) aufweist, der dazu eingerichtet ist, Authentifizierungsinformationen an den ersten Verarbeitungsschaltkreis (4) über die erste Fehlersuchschnittstelle (6) zu übermitteln, und der erste Verarbeitungsschaltkreis (4) dazu eingerichtet ist, die erste Fehlersuchschnittstelle (6) abhängig von den Authentifizierungsinformationen zu entsperren; - das ECU (2) einen zweiten Verarbeitungsschaltkreis (5) aufweist, der eine zweite Fehlersuchschnittstelle (7) aufweist; dadurch gekennzeichnet, dass - der zweite Verarbeitungsschaltkreis (5) mit dem ersten Verarbeitungsschaltkreis (4) über eine Zwischenkreisverbindung (18) verbunden ist und dazu eingerichtet ist, die zweite Fehlersuchschnittstelle (7) zu sperren; - der erste Verarbeitungsschaltkreis (4) dazu eingerichtet ist, eine Entsperranweisung an den zweiten Verarbeitungsschaltkreis (5) über die Zwischenkreisverbindung (18) zu übermitteln, wenn die erste Fehlersuchschnittstelle (6) entsperrt ist; und - der zweite Verarbeitungsschaltkreis (5) dazu eingerichtet ist, die zweite Fehlersuchschnittstelle (7) abhängig von der Entsperranweisung zu entsperren.
  2. Steuerungsanordnung nach Anspruch 1, dadurch gekennzeichnet, dass der zweite Verarbeitungsschaltkreis (5) dazu eingerichtet ist, die zweite Fehlersuchschnittstelle (7) während eines Hochfahrens zu sperren.
  3. Steuerungsanordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der erste Verarbeitungsschaltkreis (4) - einen nichtflüchtigen Speicherplatz (10) aufweist und dazu eingerichtet ist, die erste Fehlersuchschnittstelle (6) durch Speichern einer vordefinierten ersten Sperrinformation in den nichtflüchtigen Speicherplatz (10) zu sperren; und/oder - dazu eingerichtet ist, die erste Fehlersuchschnittstelle (6) durch Speichern einer vordefinierten ersten Entsperrinformation in den nichtflüchtigen Speicherplatz (10) zu entsperren.
  4. Steuerungsanordnung nach Anspruch 3, dadurch gekennzeichnet, dass der nichtflüchtige Speicherplatz (10) ein nichtflüchtiges Register des ersten Verarbeitungsschaltkreises (4) ist.
  5. Steuerungsanordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der zweite Verarbeitungsschaltkreis (5) - einen flüchtigen Speicherplatz (11) aufweist und dazu eingerichtet ist, die zweite Fehlersuchschnittstelle (7) durch Speichern einer vordefinierten zweiten Sperrinformation in den flüchtigen Speicherplatz (11) zu sperren; und/oder - dazu eingerichtet ist, die zweite Fehlersuchschnittstelle (7) durch Speichern einer vordefinierten zweiten Entsperrinformation in den flüchtigen Speicherplatz (11) zu entsperren.
  6. Steuerungsanordnung nach Anspruch 5, dadurch gekennzeichnet, dass der flüchtige Speicherplatz (11) ein flüchtiges Register des zweiten Verarbeitungsschaltkreises (5) ist.
  7. Steuerungsanordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass - der wenigstens eine Fehlersuchschaltkreis (19, 21) dazu eingerichtet ist, eine Anfrage zum Lesen und/oder Schreiben eines Speichergeräts des ersten Verarbeitungsschaltkreises (4) über die erste Fehlersuchschnittstelle (6) an den ersten Verarbeitungsschaltkreis (4) zu übermitteln; - der erste Verarbeitungsschaltkreis (4) dazu eingerichtet ist, die Anfrage nur dann zu gewähren, wenn die erste Fehlerschnittstelle (6) entsperrt ist; und - der erste Verarbeitungsschaltkreis (4) dazu eingerichtet ist, die Anfrage abzuweisen, wenn die erste Fehlersuchschnittstelle (6) gesperrt ist.
  8. Steuerungsanordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass - der wenigstens Fehlersuchschaltkreis (19, 21) dazu eingerichtet ist, eine weitere Anfrage zum Lesen und/oder Schreiben eines Speichergeräts des zweiten Verarbeitungsschaltkreises (5) über die zweite Fehlersuchschnittstelle (7) an den zweiten Verarbeitungsschaltkreis (5) zu übermitteln; - der zweite Verarbeitungsschaltkreis (5) dazu eingerichtet ist, die weitere Anfrage nur dann zu gewähren, wenn die zweite Fehlersuchschnittstelle (7) entsperrt ist; und - der zweite Verarbeitungsschaltkreis (5) dazu eingerichtet ist, die weitere Anfrage abzuweisen, wenn die zweite Fehlersuchschnittstelle (7) gesperrt ist.
  9. Steuerungsanordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der zweite Verarbeitungsschaltkreis (5) dazu eingerichtet ist, herunterzufahren und die zweite Fehlersuchschnittstelle (7) beim Herunterfahren zu entsperren.
  10. Steuerungsanordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste Fehlersuchschnittstelle (6) und die zweite Fehlersuchschnittstelle (7) als Schnittstellen gemäß einem Serienkommunikationsprotokoll implementiert sind.
  11. Steuerungsanordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der erste Verarbeitungsschaltkreis (4) und der zweite Verarbeitungsschaltkreis (5) als jeweilige Einchipsysteme, SoC, implementiert sind.
  12. Verfahren zum Betreiben eines Steuergeräts, ECU, (2) eines Fahrzeugs (1), wobei - das ECU (2) einen ersten Verarbeitungsschaltkreis (4) aufweist, der eine erste Fehlersuchschnittstelle (6) aufweist und die erste Fehlersuchschnittstelle (6) gesperrt wird; - Authentifizierungsinformationen über die erste Fehlerschnittstelle (6) an den ersten Verarbeitungsschaltkreis (4) übermittelt werden und die erste Fehlersuchschnittstelle (6) abhängig von den Authentifizierungsinformationen entsperrt wird; - das ECU (2) einen zweiten Verarbeitungsschaltkreis (5) aufweist, der eine zweite Fehlersuchschnittstelle (7) aufweist; dadurch gekennzeichnet, dass - die zweite Fehlersuchschnittstelle (7) gesperrt wird; - eine Entsperranweisung von dem ersten Verarbeitungsschaltkreis (4) an den zweiten Verarbeitungsschaltkreis (5) übermittelt wird, wenn die erste Fehlersuchschnittstelle (6) entsperrt ist; und - die zweite Fehlersuchschnittstelle (7) abhängig von der Entsperranweisung entsperrt wird.
  13. Verfahren nach Anspruch 12, dadurch gekennzeichnet, dass - die zweite Fehlersuchschnittstelle (7) während eines Hochfahrens des zweiten Verarbeitungsschaltkreises (5) gesperrt wird; und/oder - die zweite Fehlersuchschnittstelle (7) entsperrt wird, wenn der zweite Verarbeitungsschaltkreis (5) heruntergefahren wird.
  14. Verfahren nach einem der Ansprüche 12 oder 13, dadurch gekennzeichnet, dass - eine Anfrage zum Lesen und/oder Schreiben eines Speichergeräts des ersten Verarbeitungsschaltkreises (4) über die erste Fehlersuchschnittstelle (6) an den ersten Verarbeitungsschaltkreis (4) übermittelt wird; - die Anfrage nur dann gewährt wird, wenn die erste Fehlersuchschnittstelle (6) entsperrt ist; und - die Anfrage abgewiesen wird, wenn die erste Fehlersuchschnittstelle (6) gesperrt ist.
  15. Verfahren nach einem der Ansprüche 12 bis 14, dadurch gekennzeichnet, dass - eine weitere Anfrage zum Lesen und/oder Schreiben eines Speichergeräts des zweiten Verarbeitungsschaltkreises (5) über die zweite Fehlersuchschnittstelle (7) an den zweiten Verarbeitungsschaltkreis (5) übermittelt wird; - die weitere Anfrage nur dann gewährt wird, wenn die zweite Fehlersuchschnittstelle (7) entsperrt ist; und - die weitere Anfrage abgewiesen wird, wenn die zweite Fehlersuchschnittstelle (7) gesperrt ist.
DE102022130951.7A 2022-11-23 2022-11-23 Steuerungsanordnung umfassend ein Steuergerät mit Fehlersuchschnittstellen und Verfahren zum Betreiben eines Steuergeräts Pending DE102022130951A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102022130951.7A DE102022130951A1 (de) 2022-11-23 2022-11-23 Steuerungsanordnung umfassend ein Steuergerät mit Fehlersuchschnittstellen und Verfahren zum Betreiben eines Steuergeräts

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022130951.7A DE102022130951A1 (de) 2022-11-23 2022-11-23 Steuerungsanordnung umfassend ein Steuergerät mit Fehlersuchschnittstellen und Verfahren zum Betreiben eines Steuergeräts

Publications (1)

Publication Number Publication Date
DE102022130951A1 true DE102022130951A1 (de) 2024-05-23

Family

ID=90923109

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022130951.7A Pending DE102022130951A1 (de) 2022-11-23 2022-11-23 Steuerungsanordnung umfassend ein Steuergerät mit Fehlersuchschnittstellen und Verfahren zum Betreiben eines Steuergeräts

Country Status (1)

Country Link
DE (1) DE102022130951A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150106558A1 (en) 2010-03-30 2015-04-16 Renesas Electronics Corporation Semiconductor device and data processing method
US20170090909A1 (en) 2015-09-25 2017-03-30 Qualcomm Incorporated Secure patch updates for programmable memories
US11280829B1 (en) 2019-12-19 2022-03-22 Xlnx, Inc. System-on-chip having secure debug mode

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150106558A1 (en) 2010-03-30 2015-04-16 Renesas Electronics Corporation Semiconductor device and data processing method
US20170090909A1 (en) 2015-09-25 2017-03-30 Qualcomm Incorporated Secure patch updates for programmable memories
US11280829B1 (en) 2019-12-19 2022-03-22 Xlnx, Inc. System-on-chip having secure debug mode

Similar Documents

Publication Publication Date Title
EP3437012B1 (de) Verfahren, prozessor und gerät zur integritätsprüfung von nutzerdaten
DE102016123744A1 (de) Ein-Chip-System mit Zugriffssteuereinheit und mobile Vorrichtung mit Ein-Chip-System
DE112016001972T5 (de) Sicherer Zugriff in einem Mikrokontrollersystem
DE112016002785T5 (de) Elektronische Steuereinheiten für Fahrzeuge
DE112018006401T5 (de) Transparent zugeordnete flash-memory-sicherheit
EP1262856B1 (de) Programmgesteuerte Einheit
DE102016210788B4 (de) Komponente zur Verarbeitung eines schützenswerten Datums und Verfahren zur Umsetzung einer Sicherheitsfunktion zum Schutz eines schützenswerten Datums in einer solchen Komponente
DE102018127330A1 (de) System-on-Chip und Verfahren zum Betreiben eines System-on-Chip
EP3811261A1 (de) Kryptografiemodul und betriebsverfahren hierfür
DE112019005417T5 (de) Sichern von Datenprotokollen in Arbeitsspeichervorrichtungen
DE102022130951A1 (de) Steuerungsanordnung umfassend ein Steuergerät mit Fehlersuchschnittstellen und Verfahren zum Betreiben eines Steuergeräts
EP3819804A1 (de) Integritätsüberprüfung eines registerinhalts
DE102021104937B4 (de) Verifikation von programmierbaren logikbausteinen
DE102006043167B4 (de) Mikrocontroller und Verfahren zum Starten eines Anwendungsprogramms auf einem Mikrocontroller
EP3767515B1 (de) Verfahren zur dynamischen und partiellen rekonfiguration eines elektronischen bauteils
WO2022042950A1 (de) VORRICHTUNG ZUR ERFASSUNG UND VERARBEITUNG EINER MESSGRÖßE EINES SENSORS IN EINEM KRAFTFAHRZEUG
WO2008128710A1 (de) Steuervorrichtung für fahrzeuge
WO2017102655A1 (de) Mikrocontrollersystem und verfahren zur kontrolle von speicherzugriffen in einem mikrocontrollersystem
DE102018214158A1 (de) Steuervorrichtung zur Freischaltung von Funktionen, Kraftfahrzeug mit einer Steuervorrichtung und ein Verfahren zum Betreiben einer Steuervorrichtung
DE102022128183B3 (de) Verfahren zum Starten einer Datenverarbeitungseinrichtung, Datenverarbeitungseinrichtung und Kraftfahrzeug
EP3391279B1 (de) Mikrocontrollersystem und verfahren zur kontrolle von speicherzugriffen in einem mikrocontrollersystem
WO2024056443A1 (de) Verfahren zum überprüfen von daten in einer recheneinheit
DE102023120427A1 (de) Verringerung der anzahl der für die sicherung von fahrzeugnetzen verwendeten schlüssel
DE102012001756A1 (de) Vorrichtung mit einer Verarbeitungseinheit und einem Informationsspeicher
DE102017208872A1 (de) Elektronische Steuereinheit

Legal Events

Date Code Title Description
R163 Identified publications notified