WO2015055498A1 - Verfahren zum betreiben eines steuergerätes eines kraftfahrzeuges und steuergerät für ein kraftfahrzeug - Google Patents

Verfahren zum betreiben eines steuergerätes eines kraftfahrzeuges und steuergerät für ein kraftfahrzeug Download PDF

Info

Publication number
WO2015055498A1
WO2015055498A1 PCT/EP2014/071644 EP2014071644W WO2015055498A1 WO 2015055498 A1 WO2015055498 A1 WO 2015055498A1 EP 2014071644 W EP2014071644 W EP 2014071644W WO 2015055498 A1 WO2015055498 A1 WO 2015055498A1
Authority
WO
WIPO (PCT)
Prior art keywords
memory
program
safety
memory area
program part
Prior art date
Application number
PCT/EP2014/071644
Other languages
English (en)
French (fr)
Inventor
Andre Göbel
Uwe Fröhler
Cornelia Göbel
Michael Hetzenecker
Original Assignee
Continental Automotive Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive Gmbh filed Critical Continental Automotive Gmbh
Publication of WO2015055498A1 publication Critical patent/WO2015055498A1/de

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric

Definitions

  • the invention relates to a method for operating a control unit of a motor vehicle and a control device for a motor vehicle, in particular a control unit of a motor driving ⁇ tool which is used to control safety-related systems of the motor vehicle.
  • Control units of ordinary motor vehicles serve to control and / or regulate various processes in different areas.
  • control devices in devices for driving state recognition is known in which different variables, such as the steering angle ⁇ speed, but also optical signals or image signals are recorded and evaluated to detect a critical driving condition.
  • ISO 26262 An ISO standard provided for this purpose is ISO 26262, which is a process framework and process model together with required activities and work products as well as applicable methods Are defined.
  • the implementation of the standard is intended to ensure the functional safety of an electronic system in motor vehicles.
  • Control unit controlled functional components according to their safety standard, that is classified QM or ASIL A to D.
  • Safety classification during the course does not influence each other.
  • One approach here is to use explicit switching commands a higher-level process control or execute the individual program components as individual processes of the lowest Sys ⁇ system level.
  • multiple processor cores are used, each core of one assigned particular security class, leaving only Un ⁇ terprogramme a specific security classification on a particular core to run and does not turn out to the other cores, these approaches to be inefficient because they require additional computational effort or expensive pro ⁇ zessor fashionuren.
  • Object of the present invention is to provide a method for operating a control unit of a motor vehicle, by means of which program parts of different security classification ⁇ a safety-related function in an efficient manner can be carried out separately.
  • this object is achieved by a method for operating a control device of a motor vehicle, which has a memory for storing program parts of a safety-relevant function.
  • the memory is in at least five memory areas, which each correspond to a different security standard, for storing program parts of the security-relevant function according to their necessary
  • the method has the following steps: Firstly, program parts of the safety-relevant function which are suitable for inheritance are stored in an additional memory area of the memory which is different from the at least five memory areas. Furthermore, a first program part of a security-relevant function is executed, the first program part being present in a first memory area of the memory and a security corresponding to a security standard of the first memory area having. Now, if a safety-relevant function on the inheritance of suitable program part is called during execution of the first Pro ⁇ program part, which corresponding to the security level of the first storage area rights to the form suitable for transmission program part are inherited and suitable for inheritance part of the program is then executed.
  • program parts are in this case parts of the program containing code for user data, in particular ⁇ sondere code which passes the program part of user data, understand, that is program parts that work with inherited rights to user data in accordance with the safety standards they calling program part and not have their own data.
  • Such a method has the advantage that it specifies a method for operating a control device of a motor vehicle by means of which program parts of different safety classification of a safety-relevant function can be carried out in an efficient manner separately.
  • Inherited permissions that is to say access rights
  • Inherited permissions are known in data processing and are transferred from an overarching object to an object. This facilitates the management of permissions and ensures the uniform assignment of permissions to all objects within a container, that is, memory areas of the memory.
  • inheritance methods are used in computer science and digital technology, so that they can be implemented and implemented easily and without great effort.
  • Next method of the invention requires neither ⁇ slegilichen computational effort still consuming processor architectures especially by inheritance of the rights of the calling program part can be ensured that no rights of other security standards while running appropriate to Inheritors program parts are violated.
  • the program parts whose separate sequence is controlled, are linked by the fact that in the context of a program part, another of the program parts is called.
  • a program part is called as a subroutine, for example as a function or as a procedure, which is for example part of the calling program part or else an interruption.
  • a program part is called as a function
  • rights can be passed on from a calling program part to the called program part, so that it can be ensured in a simple manner and efficiently that rights corresponding to other security standards are not influenced by the sequence of the program part suitable for inheritance and vice versa
  • a calling program part can also call several program parts so that one or more program parts suitable for inheritance can exist.
  • Several calling program parts can be made that call one or more Pro ⁇ gram parts, which may be different.
  • a program part which is suitable for inheritance and which is called by a first program part can likewise call one or more further program parts suitable for inheritance.
  • the order of an inheritance of rights between called, Calling, first and suitable for inheritance program parts can be done depending on the situation and according to a hierarchy between the program parts for the situation of a call. For the situation of another call, the hierarchy can be different, so that the order of inheritance of the right can change accordingly depending on the situation of the call.
  • the corresponding to the security level of the first storage area rights in this case comprise rights for read / write access to the first storage area as well as permissions for a read access to various of the first storage area of the storage regions at least five memory areas ⁇ .
  • rights for read / write access to the first storage area as well as permissions for a read access to various of the first storage area of the storage regions at least five memory areas ⁇ .
  • the additional storage area which is different from the at least five storage areas, can be designed such that it complies with the highest security standard of the security standards of the at least five storage areas, thereby ensuring that it meets the highest security goals, ie the highest security standard it is possible to call from each of the at least five memory areas a program part which is suitable for inheritance and which is present in the additional memory area.
  • the security standards of the memory areas of the memory are designed according to the standard ISO 26262 and classified according to ASIL A to D or QM.
  • the safety standards of the individual memory areas can thus be selected according to the standard ISO 26262, which is an ISO standard for safety-relevant electrical / electro ⁇ African systems in motor vehicles.
  • the danger emanating from a program part can be classified with a safety requirement level of QM (quality managed) or ASIL (automotive safety integrity level) Abis D.
  • QM quality managed
  • ASIL automotive safety integrity level
  • the method may further comprise the following steps: The first memory area is blocked if a second program part, which is present in a second memory area of the at least five memory area, is called during the execution of the first program section and the second
  • the second memory area can be disabled again after completion of the execution of the second program part and the first memory area can be released again.
  • this back-blocking can be effected, for example, by a back-command of the second program part or by the end of the commands which represent the second part of the program. to be triggered.
  • the first program part and the related memory area can now be accessed again and executed further.
  • Another embodiment of the invention also provides a control device for a motor vehicle, which has a processor for executing program parts of a safety-relevant function, a memory which is subdivided into at least five memory areas according to different safety standards, for storing program parts of the safety-relevant function has its necessary safety standard and a memory protection ⁇ direction.
  • the memory has an additional memory area, which is different from the at least five memory areas, for storing program parts of the safety-relevant function which are suitable for inheritance, and has the memory protection device of an inheritance unit which is designed to meet a safety standard of a first memory area of at least to inherit corresponding rights to a part of the program suitable for inheritance if, during the processor, a first program part of the safety-relevant function which is present in the first memory area is executed, the program part suitable for inheritance is called.
  • Such a control device has the advantage that with this a control device of a motor vehicle is specified, in which program parts different safety classification of a safety-related function can be performed separately in an efficient manner.
  • Subprograms suitable for inheritance include program parts which contain code for user data, in particular code which transmits user data to the program part, ie program parts which work with inherited rights to user data according to the security standard of a program part calling them and have no own data.
  • Inherited permissions that is to say access rights, are known in data processing and are transferred from an overarching object to an object. This facilitates the management of permissions and ensures the uniform assignment of permissions to all objects within a container, that is, memory areas of the memory. Furthermore, such inheritance methods are used in computer science and digital technology, so that they can be implemented and implemented here in a simple manner and without great expense in the memory protection device.
  • control unit requires neither additional computational effort nor complex processor architectures, especially since the memory protection device is designed to ensure, by inheriting the rights of the calling program part, that no rights of other security standards are violated during the execution of program parts suitable for inheritance.
  • the program parts whose separate sequence is controlled are linked by the fact that in the context of a program part, another of the program parts is called.
  • another program section is called as a subroutine. For example, as a function or as a procedure, which is part of the calling program part or an interruption, for example.
  • rights can be passed on from one calling program part to the called program part, so that it is possible in a simple manner and efficiently to ensure that rights corresponding to other security standards are not due to the course of the program part suitable for inheritance to be influenced.
  • the inheritance unit can be realized both by corresponding hardware components as well as by software.
  • a calling program part can also have several
  • a program part which is suitable for inheritance and which is called by a first program part can likewise call one or more further program parts suitable for inheritance.
  • the sequence of an inheritance of the rights between called, calling, first and suitable for inheritance program parts can be done depending on the situation and according to a hierarchy between the program parts for the situation of a call. For the situation of another call, the hierarchy can be different, so that the order of inheritance of the right can change accordingly depending on the situation of the call.
  • the corresponding safety standard of the first Spei ⁇ cher Maschinench Rights for LE SE / write access to the first memory area and rights for a read access to memory areas other than the first memory area of the at least five memory areas ⁇ include.
  • the inheritance unit according to the invention makes it possible to counteract this danger in a simple and efficient manner.
  • the additional storage area other than the at least five storage areas may correspond to a highest security standard of the security standards of the at least five storage areas, which can ensure that it meets the highest security goals, ie the highest security standard, and from each of the at least five Memory areas a suitable for inheritance, present in the additional memory area program part can be called.
  • the security standards of the at least five memory areas of the memory can again be designed according to the standard ISO 26262 and classified according to ASIL A to D or QM.
  • the safety standards of the individual memory areas can thus be selected according to the standard ISO 26262, which is an ISO standard for safety-related electrical ⁇ cal / electronic systems in motor vehicles.
  • the danger emanating from a program part can be combined with a
  • the memory protection device an access unit for controlling access to the at least five storage regions, such that the access ⁇ unit locks the first memory area and releasing a second memory area of the at least five storage areas, if during execution of the first program part, a second part of the program which is present in the second memory area is called.
  • the control unit is designed by the access unit to block access to the first memory area and thus in particular to write data into the first memory area through the second memory area Program part is not possible while the second part of the program is being executed.
  • the efficiency in operating safety-related functions on the control unit can be further increased.
  • exceptions are handler to action such exception, that is a call to a second part of the program while a first process is executed program part, known in the computer science and the Digi ⁇ taltechnik and common, so this function here simply and easily can be implemented or implemented.
  • the access unit can be further configured to block the second memory area after completion of execution of the second program part and to release the first memory area again.
  • This reverse blocking can be triggered, for example, by a reverse blocking command of the second program part or by the end of the commands representing the second program part.
  • the first program part and the related memory area can now be accessed again and executed further.
  • a motor vehicle is specified, which has a control unit described above.
  • Such a motor vehicle has the advantage that it has a control unit in which program parts of different safety classification of a safety-relevant function can be carried out separately in an efficient manner.
  • Inherited permissions that is to say access rights
  • Inherited permissions are known in data processing and are transferred from an overarching object to an object. This facilitates the management of permissions and ensures the uniform assignment of permissions to all objects within a container, that is, memory areas of the memory.
  • inheritance methods in computer science and digital technology are in use, so that they can be implemented and implemented easily and without great effort in the memory protection device of the control unit of the motor vehicle.
  • control unit requires neither additional computational nor complex processor architectures, especially since the memory protection device of the control unit of the motor vehicle is designed to ensure by inheritance of the rights of the calling program part that no rights of other security standards are violated during the execution of suitable for inheritance program parts.
  • the program parts whose separate sequence is controlled, are linked by the fact that in the context of a program part, another of the program parts is called.
  • another program part is called as a subprogram, for example as a function or as a procedure, which For example, part of the calling program part or an interruption.
  • Safety-relevant functions in the area of the motor vehicle which can be carried out by such a control unit of the motor vehicle, are in particular program parts for implementing functions in the area of the drive train or functions of the drive train or functions of other vehicle-specific applications, such as steering system, vehicle or occupant safety systems, function of Internal combustion engine, an electric motor, an elec ⁇ cal, electromechanical, or mechanical braking device of the motor vehicle or an electric steering drive.
  • Other functions related to the optical or acoustically ⁇ tables displaying operating states which states are the aforementioned functions.
  • the present invention provides a method for operating a control device of a motor vehicle, by means of which program parts different safety classification of a safety-related function can be performed in an efficient manner separated and which neither additional computational effort in the execution of safety-relevant functions nor consuming Requires processor architectures to perform the safety-related functions.
  • a program part is called as a function of another program part, rights of a calling program part can be forwarded to the called program part, so that the control unit can guarantee in a simple manner and efficiently, no rights of others
  • FIG. 1 shows a schematic block diagram of the controlling unit of a motor vehicle in accordance with execution ⁇ form of the invention
  • FIG. 2 shows a flow chart of a method for operating a control unit of a motor vehicle according to embodiments of the invention.
  • the control unit 1 has a memory 2 for storing program parts 3, 4, 5, 6, 7 of safety-relevant functions, the memory 2 being divided into five memory areas 8, 9, 10, 11, 12, which respectively correspond to a difference union under ⁇ safety standard, is for storing program parts 3,4,5,6,7 safety-related function is divided.
  • all the program parts of the memory area 8, that is, the program part 3, to a first security level ⁇ ordered while the program parts 4 of the memory area 9 are assigned to another security level, and in turn the program part 5 of the memory area 10 another, to the program parts 3, 4 different security level assigned.
  • a processor 13 for executing the program parts 3, 4, 5, 6, 7 of a safety-relevant function can also be recognized.
  • the security level of each program part 3,4,5,6,7 it is necessary in this case that the parts of the program influences 3,4,5,6,7 different security classification ⁇ during the course not mutually be ⁇ .
  • the control unit 1 further has a memory protection device 14 for this purpose.
  • the memory protection device 14 is part of the processor 13.
  • the memory protection device 14 can also be designed to be separate from the processor 13, for example by hardware components that are directly connected to the processor 13.
  • the memory 2 of the controller 1 of Figure 1 from the processor 13 formed separately.
  • the memory 2 may also be integrated into the processor 13.
  • the memory 2 in this case has an additional memory area 15 which is different from the five memory areas 8, 9, 10, 11, 12 and in which program sections suitable for inheritance are present.
  • the memory protection device shown an inheritance unit 17 which is adapted to a safety standard of a first storage area 8 of the we ⁇ nigstes five memory areas 8, 9, 10, 11, 12 corresponding rights to inherit a medium appropriate for inheritance program portion 16, if during the processor 13 executes a first program part 3 of the safety-relevant function which is present in the first memory area 8, the program part 16 suitable for inheritance is called.
  • the inheritance unit 17 can be realized both by corresponding hardware components as well as by software.
  • program parts which contain code for user data are understood as program parts suitable for inheritance, ie program parts which work with inherited rights to user data in accordance with the security standard of a program part calling them and have no own data.
  • a further program part 16 is called within the scope of a program part 3.
  • a further program part 16 is called as a subroutine, for example as a function or as a procedure, which for example is part of the calling program part 3 or else an interrupt and works on user data.
  • rights from the calling program part 3 are forwarded to the called program part 16, so that the control unit 1 can easily and efficiently ensure that rights corresponding to other security standards are fulfilled by the sequence of the program part suitable for inheritance and vice versa is not affected.
  • a calling program part can also call several program parts, so that one or more program parts suitable for inheritance can exist.
  • Several calling program parts can be made that call one or more Pro ⁇ gram parts, which may be different.
  • a program part that is called by a first program part can also call one or more further program parts.
  • the sequence of an inheritance of the access rights between on ⁇ called, calling, first and suitable for inheritance program parts can be made depending on the situation and according to a hierarchy between the program parts for the situation of a call. For the situation of another call, the hierarchy may be different, so that the order of inheritance of the access right can accordingly change depending on the situation of the call.
  • control unit 1 requires, compared to other known control devices for operating safety-related functions, neither additional computational effort in the execution of safety-relevant functions nor complex processor architectures for executing the safety-relevant
  • the additional memory area 15 also corresponds to the highest security standards of the security standards of the five memory areas 8, 9, 10, 11, 12.
  • the security standards of the five memory areas 8, 9, 10, 11, 12 of the memory 2 of FIG. 1 are designed according to the ISO 26262 standard and classified according to ASIL A to D or QM.
  • the safety standards of the individual storage areas are designed according to the ISO 26262 standard and classified according to ASIL A to D or QM.
  • the memory protection device 14 additionally has an access unit 18 for controlling access to the at least five memory areas 8, 9, 10, 11, 12 such that the access unit 18 blocks the first memory area 8 and releases the second memory area 9, if, during the execution of the first program part 3, a second program part 4 is called, which is present in a second memory area 9.
  • the access unit 18 according to Figure 1 is formed as the exception handler ⁇ 19th In this case, by the call of the second program part 4, while the first program part 3 is executed, triggered by the memory protection device 14 an exception.
  • the exception handler 19 detects this exception and locks the first memory area 8. Furthermore, the exception handler 19, preferably with or after the lock, releases the second memory area 9 for access and in particular for execution by the processor 14.
  • the access unit 18 of Figure 1 is further configured to lock the second memory area 9 after completion of the execution of the second program part 4 and release the first memory area 8 again.
  • a blocking command is generated at the end of the execution of the second program part 4, which is also regarded by the exception handler 19 as a call and utilized.
  • FIG. 2 shows a flow chart of a method 20 for operating a control device of a motor vehicle according to an embodiment of the invention.
  • control unit in this case has a memory for storing program parts of a safety-related function, wherein the memory in at least five areas of memory which is in each case a different security standard entspre ⁇ chen divided for storing program parts of the safety-relevant function according to their required safety standard.
  • the method 20 has the following steps: Thus, in a first step 21, program parts of the safety-relevant function that are suitable for inheritance are initially stored in an additional one of the at least five memory areas stored in different memory area of the memory. In a following step 22, a first program part of the safety-relevant function is executed, which is present in a first memory area of the memory and a
  • Security standard of the first memory area has corresponding rights.
  • step 23 it is detected whether a program part suitable for inheritance is called during the execution of the first program part of the safety-relevant function. If a program part suitable for inheritance is called, then in a step 24 the rights corresponding to the security standard of the first memory area are inherited by the program part suitable for inheritance, and in a step 25 the program part suitable for inheritance is executed.
  • program parts which contain code for user data are understood as program parts suitable for inheritance, ie program parts which work with inherited rights to user data in accordance with the security standard of a program part calling them and have no own data.
  • step 23 If it is detected in step 23 that a program part suitable for inheritance is called, the method continues with steps 24 and 25.
  • Turn the safety standard of the first memory area ent ⁇ speaking rights include rights for doing a read / write access to the first storage area and
  • the additional storage area again has a highest security standard of the security standards of the at least five storage areas.
  • it is detected in a step 26 whether there is a second program part of the safety-relevant function which is present in a second memory area of the at least five memory areas is called.
  • step 23 If it is detected in step 23 that no second program part of the safety-relevant function which is present in a second memory area of the at least five memory areas is called, 22 and 23 are executed repeatedly.
  • the first memory area is blocked in a step 27 with calls of the second program part and in a step 28 the second memory part
  • the second memory area is blocked and the first memory area is released again as soon as the execution of the first memory area has ended.
  • access to the second memory area is furthermore blocked continuously while the first program section is being executed and access to the first memory area is continuously blocked while the second program section is being executed.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Betreiben eines Steuergerätes eines Kraftfahrzeuges, welches einen Speicher zum Speichern von Programmteilen einer sicherheitsrelevanten Funktion aufweist, wobei der Speicher in wenigstens fünf Speicherbereiche, welche jeweils einem unterschiedlichen Sicherheitsstandard entsprechen, zum Speichern von Programmteilen der sicherheitsrelevanten Funktion entsprechend ihrem notwendigen Sicherheitsstandard unterteilt ist und wobei das Verfahren (20) folgende Schritte aufweist: - Speichern von zur Vererbung geeigneten Programmteilen der sicherheitsrelevanten Funktion in einem zusätzlichen, von den wenigstens fünf Speicherbereichen verschiedenen Speicherbereich des Speichers (21); Ausführen eines ersten Programmteils einer sicherheits-relevanten Funktion, wobei der erste Programmteil in einem ersten Speicherbereich des Speichers vorliegt und einem Sicherheitsstandard des ersten Speicherbereichs entsprechende Rechte aufweist (22); Aufrufen eines zur Vererbung geeigneten Programmteils der sicherheitsrelevanten Funktion während des Ausführens des ersten Programmteils (23); Vererben der dem Sicherheitsstandard des ersten Speicherbereichs entsprechenden Rechte an den zur Vererbung geeigneten Programmteil (24); - Ausführen des zur Vererbung geeigneten Programmteils (25).

Description

Beschreibung
Verfahren zum Betreiben eines Steuergerätes eines Kraftfahrzeuges und Steuergerät für ein Kraftfahrzeug
Die Erfindung betrifft ein Verfahren zum Betreiben eines Steuergerätes eines Kraftfahrzeuges und ein Steuergerät für ein Kraftfahrzeug, insbesondere ein Steuergerät eines Kraftfahr¬ zeuges welches der Steuerung von sicherheitsrelevanten Systemen des Kraftfahrzeuges dient.
Steuergeräte von gewöhnlichen Kraftfahrzeugen dienen dazu, in unterschiedlichen Bereichen diverse Abläufe zu steuern und/oder zu regeln. So ist beispielsweise der Einsatz von Steuergeräten in Vorrichtungen zur Fahrzustandserkennung bekannt, bei denen unterschiedliche Größen, wie beispielsweise die Lenkwinkel¬ geschwindigkeit, aber auch optische Signale beziehungsweise Bildsignale aufgezeichnet und ausgewertet werden, um einen kritischen Fahrzustand zu erkennen.
Zur Gewährleistung der Funktionsfähigkeit der eingesetzten Steuergeräte, was insbesondere bei Steuergeräten welche der Steuerung von sicherheitsrelevanten Systemen des Kraftfahrzeuges dienen von Bedeutung ist, sind unterschiedliche Vor- gehensweisen bekannt. Dabei müssten Anforderung an Hardware und Software formuliert werden, die einen sicheren Betrieb ge¬ statten. Zur Vereinheitlichung der Entwicklungsprozesse und Überwachung im Betrieb werden hierbei normierte Vorgehensweisen angestrebt .
Eine dabei vorgesehene ISO-Norm ist die ISO 26262, die ein Prozessrahmenwerk und Vorgehensmodell zusammen mit geforderten Aktivitäten und Arbeitsprodukten sowie anzuwendenden Methoden definiert. Die Umsetzung der Norm soll die funktionale Sicherheit eines elektronischen Systems in Kraftfahrzeugen gewährleisten.
Dabei wird eine Methode zur Gefahrenanalyse und Risikoab- Schätzung vorgeschlagen, bei der auf Grundlage der Systembeschreibung die möglicherweise gefährlichen Situationen identifiziert werden. Jede Gefahr wird dann mit einer Sicher- heitsanforderungsstufe von QM (quality managed) oder ASIL (automotive safety integrity level) A bis D klassifiziert. Mit steigendem ASIL steigen auch die Anforderungen an die Sicherheit, die in den nachfolgenden Teilen spezifiziert sind. An Gefahren der Klasse QM sind keine Anforderungen gestellt, die über das übliche Qualitätsmanagement des Systemherstellers hinausgehen. Die Norm definiert dabei konkrete Anforderungen an Software und Hardware, sowohl für die Entwicklungsprozesse als auch für das Fehlverhalten im Feld.
Aus der Druckschrift DE 10 2009 019 792 AI ist ein Steuergerät für ein Kraftfahrzeug bekannt, wobei einzelne durch das
Steuergerät gesteuerte Funktionskomponenten entsprechend ihrem Sicherheitsstandard, das heißt QM oder ASIL A bis D klassifiziert werden .
Um die Sicherheitsstufe jedes Programmteils einer sicher- heitsrelevanten Funktion gewährleisten zu können, ist es hierbei erforderlich, dass sich Programmteile unterschiedlicher
Sicherheitsklassifizierung während des Ablaufes nicht gegenseitig beeinflussen. Ein Ansatz besteht hierbei darin, explizite Schaltbefehle einer übergeordneten Ablaufsteuerung zu verwenden, oder die einzelnen Programmteile als individuelle Prozesse der untersten Sys¬ temebene auszuführen. Gemäß einem weiteren bekannten Ansatz werden mehrere Prozessorkerne verwendet, wobei jeder Kern einer bestimmten Sicherheitsklasse zugeordnet ist, so dass nur Un¬ terprogramme einer bestimmten Sicherheitsklassifizierung auf einem bestimmten Kern ablaufen und nicht auf den andern Kernen Diese Ansätze erweisen sich jedoch als ineffizient, da sie zusätzlichen Rechenaufwand beziehungsweise aufwändige Pro¬ zessorarchitekturen erfordern.
Aufgabe der vorliegenden Erfindung ist es, ein Verfahren zum Betreiben eines Steuergerätes eines Kraftfahrzeugs anzugeben, mittels welchem Programmteile unterschiedlicher Sicherheits¬ klassifizierung einer sicherheitsrelevanten Funktion in effizienter Weise getrennt ausgeführt werden können.
Gelöst wird diese Aufgabe durch den Gegenstand der unabhängigen Ansprüche. Weitere vorteilhafte Weiterbildungen sind Gegenstand der abhängigen Ansprüche.
Gemäß einer Ausführungsform der Erfindung wird diese Aufgabe gelöst durch ein Verfahren zum Betreiben eines Steuergerätes eines Kraftfahrzeuges, welches einen Speicher zum Speichern von Programmteilen einer sicherheitsrelevanten Funktion aufweist. Der Speicher ist dabei in wenigstens fünf Speicherbereiche, welche jeweils einem unterschiedlichen Sicherheitsstandard entsprechen, zum Speichern von Programmteilen der sicherheitsrelevanten Funktion entsprechend ihrem notwendigen
Sicherheitsstandard unterteilt. Das Verfahren weist dabei folgende Schritte auf: So werden zunächst zur Vererbung geeignete Programmteile der sicherheitsrelevanten Funktion in einem zusätzlichen, von den wenigstens fünf Speicherbereichen verschiedenen Speicherbereich des Speichers gespeichert. Weiter wird ein erster Programmteil einer sicherheitsrelevanten Funktion ausgeführt, wobei der erste Programmteil in einem ersten Speicherbereich des Speichers vorliegt und einen Sicherheitsstandard des ersten Speicherbereichs entsprechende Rechte aufweist. Falls nun während des Ausführens des ersten Pro¬ grammteils ein zur Vererbung geeigneter Programmteil der sicherheitsrelevanten Funktion aufgerufen wird, werden die dem Sicherheitsstandard des ersten Speicherbereichs entsprechenden Rechte an den zur Vererbung geeigneten Programmteil vererbt und der zur Vererbung geeignete Programmteil sodann ausgeführt.
Grundgedanke ist somit, dadurch, dass zur Vererbung geeignete Programmteile in einem zusätzlichen Speicherbereich vorgesehen werden, welche die Rechte eines sie aufrufenden Programmteils erben können, zu gewährleisten, dass sich die Programmteile unterschiedlicher Sicherheitsklassifizierung während des Ablaufens einzelner Programmteile nicht gegenseitig beeinflussen. Unter zur Vererbung geeigneten Programmteilen werden hierbei Programmteile, welche Code für Nutzerdaten enthalten, insbe¬ sondere Code welcher dem Programmteil Nutzerdaten übergibt, verstanden, das heißt Programmteile welche mit vererbten Rechten auf Nutzerdaten entsprechend dem Sicherheitsstandard eines sie aufrufenden Programmteils arbeiten und keine eigenen Daten besitzen.
Ein derartiges Verfahren hat den Vorteil, dass mit diesem ein Verfahren zum Betreiben eines Steuergerätes eines Kraftfahrzeuges angegeben wird, mittels welchem Programmteile unter- schiedlicher Sicherheitsklassifizierung einer sicherheitsrelevanten Funktion in effizienter Weise getrennt ausgeführt werden können.
Vererbte Berechtigungen, das heißt Zugriffsrechte, sind in der Datenverarbeitung bekannt und werden von einem übergeordneten Objekt auf ein Objekt übertragen. Dies erleichtert die Verwaltung von Berechtigungen und stellt die einheitliche Zuweisung von Berechtigungen zu sämtlichen Objekten innerhalb eines Containers, das heißt Speicherbereichen des Speichers, sicher. Weiter sind derartige Vererbungsverfahren in der Informatik und der Digitaltechnik gebräuchlich, so dass diese hier einfach und ohne großen Aufwand implementiert und realisiert werden können. Weiter erfordert das erfindungsgemäße Verfahren weder zu¬ sätzlichen Rechenaufwand noch aufwändige Prozessorarchitekturen, zumal durch Vererbung der Rechte des aufrufenden Programmteils sichergestellt werden kann, dass keine Rechte anderer Sicherheitsstandards während des Ausführens von zur Vererbung geeigneten Programmteilen verletzt werden. Die Programmteile, deren getrennter Ablauf gesteuert wird, sind dabei dadurch verknüpft, dass im Rahmen eines Programmteils ein weiterer der Programmteile aufgerufen wird. Insbesondere wird innerhalb eines Programmteils ein weiterer Programmteil als Unterprogramm aufgerufen, beispielsweise als Funktion oder als Prozedur, die beispielsweise Teil des aufrufenden Programmteils oder aber eine Unterbrechung ist. Beim Aufruf eines Programmteils als Funktion können Rechte von einem aufrufenden Programmteil an den aufgerufenen Programmteil weitergegeben werden, so dass auf einfache Art und Weise und effizient gewährleistet werden kann, dass anderen Sicherheitsstandards entsprechende Rechte durch den Ablauf des zur Vererbung geeigneten Programmteils und umgekehrt nicht beeinflusst werden. Ferner kann ein aufrufender Programmteil auch mehrere Programmteile aufrufen, so dass ein oder mehrere zur Vererbung geeignete Programmteile bestehen können. Auch können mehrere aufrufende Programmteile bestehen, die ein oder mehrere Pro¬ grammteile aufrufen, die verschieden sein können.
Ein zur Vererbung geeigneter Programmteil, der von einem ersten Programmteil aufgerufen wird, kann ebenso ein oder mehrere weitere zur Vererbung geeignete Programmteile aufrufen. Die Reihenfolge einer Vererbung der Rechte zwischen aufgerufenen, aufrufenden, ersten und zur Vererbung geeigneten Programmteilen kann dabei jeweils situationsabhängig und entsprechend einer Hierarchie zwischen den Programmteilen für die Situation eines Aufrufs erfolgen. Für die Situation eines weiteren Aufrufs kann die Hierarchie eine andere sein, so dass sich auch die Reihenfolge der Vererbung des Rechtes dementsprechend abhängig von der Situation des Aufrufs ändern kann.
Bevorzugt umfassen die dem Sicherheitsstandard des ersten Speicherbereichs entsprechenden Rechte dabei Rechte für einen Lese/Schreib-Zugriff auf den ersten Speicherbereich sowie Rechte für einen Lese-Zugriff auf von dem ersten Speicherbereich verschiedene Speicherbereiche der wenigstens fünf Speicher¬ bereiche. So kann es insbesondere dadurch, dass Nutzerdaten von einem Programmteil in einen Speicherbereich des Speichers, in welchem Programmteile mit anderer Sicherheitsklassifizierung gespeichert sind, geschrieben und folglich verändert werden, dazu kommen, dass sich Programmteile unterschiedlicher
Sicherheitsklassifizierung während des Ablaufs gegenseitig beeinflussen können. Durch die erfindungsgemäße Vererbung der Rechte kann dieser Gefahr auf einfache und effiziente Weise entgegengetreten werden.
Weiter kann der zusätzliche, von den wenigstens fünf Spei- cherbereichen verschiedene Speicherbereich ausgebildet sein, dass dieser einem höchsten Sicherheitsstandard der Sicherheitsstandards der wenigstens fünf Speicherbereiche entspricht, wodurch gewährleistet werden kann, dass dieser den höchsten Sicherheitszielen, das heißt dem höchsten Sicherheitsstandard gerecht wird und ausgehend von jedem der wenigstens fünf Speicherbereiche ein zur Vererbung geeigneter, in dem zusätzlichen Speicherbereich vorliegender Programmteil aufgerufen werden kann. Gemäß einer Ausführungsform sind die Sicherheitsstandards der Speicherbereiche des Speichers dabei nach dem Standard ISO 26262 ausgebildet und gemäß ASIL A bis D oder QM klassifiziert. Die Sicherheitsstandards der einzelnen Speicherbereiche können folglich entsprechend der Norm ISO 26262 gewählt werden, welche eine ISO-Norm für sicherheitsrelevante elektrische/elektro¬ nische Systeme in Kraftfahrzeugen darstellt. Die von einem Programmteil ausgehende Gefahr kann dabei mit einer Sicher- heitsanforderungsstufe von QM (quality managed) oder ASIL (automotive safety integrity level) Abis D klassifiziert werden. Mit den Speicherbereichen sind somit insbesondere auch in unterschiedlichen Speicherbereichen vorliegende Programmteile unterschiedlich klassifiziert. Zudem kann das Verfahren weiter folgende Schritte aufweisen: So wird der erste Speicherbereich gesperrt, falls ein zweiter Programmteil, welcher in einem zweiten Speicherbereich der wenigstens fünf Speicherbereich vorliegt, während des Ausführens des ersten Programmteils aufgerufen wird und der zweite
Speicherbereich entsprechend freigegeben. Hierdurch kann weiter gewährleistet werden, dass sich die einzelnen Programmteile während des Ausführens nicht gegenseitig beeinflussen, ins¬ besondere, da ein Zugriff auf den ersten Speicherbereich gesperrt und somit insbesondere ein Schreiben von Daten in den ersten Speicherbereich durch den zweiten Programmteil nicht möglich ist während der zweite Programmteil ausgeführt wird. Hierdurch kann die Effizienz des Verfahrens weiter erhöht werden.
Dabei kann weiter der zweite Speicherbereich nach Beendigung des Ausführens des zweiten Programmteils wieder gesperrt und der erste Speicherbereich wieder freigegeben werden. Diese Rück- sperrung kann dabei beispielsweise durch einen Rücksper- rungsbefehl des zweiten Programmteils beziehungsweise durch das Ende der Befehle, die den zweiten Programmteil darstellen, ausgelöst werden. Durch das erneute Freigeben kann nunmehr wiederum auf den ersten Programmteil und den damit in Beziehung stehenden Speicherbereich zugegriffen und dieser weiter ausgeführt werden.
Insbesondere kann dabei ein Zugriff auf den zweiten Spei¬ cherbereich durchgehend gesperrt sein, während der erste Programmteil ausgeführt wird und ein Zugriff auf den ersten Speicherbereich durchgehend gesperrt sein, während der zweite Programmteil ausgeführt wird, so dass weiter die Gefahr einer Beeinflussung von Programmteilen unterschiedlicher Sicherheitsklassifizierung untereinander erheblich reduziert werden kann . Mit einer weiteren Ausführungsform der Erfindung wird auch ein Steuergerät für ein Kraftfahrzeug angegeben, welches einen Prozessor zum Ausführen von Programmteilen einer sicherheitsrelevanten Funktion, einen Speicher, welcher in wenigstens fünf Speicherbereiche entsprechend unterschiedlicher Sicher- heitsstandards unterteilt ist, zum Speichern von Programmteilen der sicherheitsrelevanten Funktion entsprechend ihrem notwendigen Sicherheitsstandard sowie eine Speicherschutzein¬ richtung aufweist. Dabei weist der Speicher einen zusätzlichen Speicherbereich, welcher von den wenigstens fünf Speicherbe- reichen verschieden ist, zum Speichern von zur Vererbung geeigneten Programmteilen der sicherheitsrelevanten Funktion auf und weist die Speicherschutzeinrichtung einer Vererbungseinheit auf, welche derart ausgebildet ist, einem Sicherheitsstandard eines ersten Speicherbereichs der wenigstens fünf Speicher- bereiche entsprechende Rechte an einen zur Vererbung geeigneten Programmteil zu vererben, falls während der Prozessor einen ersten Programmteil der sicherheitsrelevanten Funktion, welcher in dem ersten Speicherbereich vorliegt, ausführt, der zur Vererbung geeignete Programmteil aufgerufen wird. Ein derartiges Steuergerät hat den Vorteil, dass mit diesem ein Steuergerät eines Kraftfahrzeuges angegeben wird, bei welchem Programmteile unterschiedlicher Sicherheitsklassifizierung einer sicherheitsrelevanten Funktion in effizienter Weise getrennt ausgeführt werden können. Unter zur Vererbung geeigneten Programmteilen werden hierbei Programmteile, welche Code für Nutzerdaten enthalten, insbesondere Code welcher dem Programmteil Nutzerdaten übergibt, verstanden, das heißt Programmteile welche mit vererbten Rechten auf Nutzerdaten entsprechend dem Sicherheitsstandard eines sie aufrufenden Programmteils arbeiten und keine eigenen Daten besitzen.
Vererbte Berechtigungen, das heißt Zugriffsrechte, sind in der Datenverarbeitung bekannt und werden von einem übergeordneten Objekt auf ein Objekt übertragen. Dies erleichtert die Verwaltung von Berechtigungen und stellt die einheitliche Zuweisung von Berechtigungen zu sämtlichen Objekten innerhalb eines Containers, das heißt Speicherbereichen des Speichers, sicher. Weiter sind derartige Vererbungsverfahren in der Informatik und der Digitaltechnik gebräuchlich, so dass diese hier einfach und ohne großen Aufwand in die Speicherschutzeinrichtung implementiert und realisiert werden können.
Weiter erfordert das erfindungsgemäße Steuergerät weder zu- sätzlichen Rechenaufwand noch aufwändige Prozessorarchitekturen, zumal die Speicherschutzeinrichtung ausgebildet ist, durch Vererbung der Rechte des aufrufenden Programmteils sicherzustellen, dass keine Rechte anderer Sicherheitsstandards während des Ausführens von zur Vererbung geeigneten Pro- grammteilen verletzt werden . Die Programmteile, deren getrennter Ablauf gesteuert wird, sind dabei dadurch verknüpft, dass im Rahmen eines Programmteils ein weiterer der Programmteile aufgerufen wird. Insbesondere wird innerhalb eines Programmteils ein weiterer Programmteil als Unterprogramm aufgerufen, bei- spielsweise als Funktion oder als Prozedur, die beispielsweise Teil des aufrufenden Programmteils oder aber eine Unterbrechung ist. Beim Aufruf eines Programmteils als Funktion können Rechte von einem aufrufenden Programmteil an den aufgerufenen Pro- grammteil weitergegeben werden, so dass auf einfache Art und Weise und effizient gewährleistet werden kann, dass anderen Sicherheitsstandards entsprechende Rechte durch den Ablauf des zur Vererbung geeigneten Programmteils und umgekehrt nicht beeinflusst werden.
Die Vererbungseinheit kann hierbei sowohl durch entsprechende Hardwarekomponenten als auch durch Software realisiert werden.
Ferner kann ein aufrufender Programmteil auch mehrere
Pro-grammteile aufrufen, so dass ein oder mehrere zur Vererbung geeignete Programmteile bestehen können. Auch können mehrere aufrufende Programmteile bestehen, die ein oder mehrere
Pro-grammteile aufrufen, die verschieden sein können. Ein zur Vererbung geeigneter Programmteil, der von einem ersten Programmteil aufgerufen wird, kann ebenso ein oder mehrere weitere zur Vererbung geeignete Programmteile aufrufen. Die Reihenfolge einer Vererbung der Rechte zwischen aufgerufenen, aufrufenden, ersten und zur Vererbung geeigneten Programmteilen kann dabei jeweils situationsabhängig und entsprechend einer Hierarchie zwischen den Programmteilen für die Situation eines Aufrufs erfolgen. Für die Situation eines weiteren Aufrufs kann die Hierarchie eine andere sein, so dass sich auch die Reihenfolge der Vererbung des Rechtes dementsprechend ab-hängig von der Situation des Aufrufs ändern kann.
Dabei können die dem Sicherheitsstandard des ersten Spei¬ cherbereichs entsprechenden Rechte Rechte für einen Le- se/Schreib-Zugriff auf den ersten Speicherbereich sowie Rechte für einen Lese-Zugriff auf von dem ersten Speicherbereich verschiedene Speicherbereiche der wenigstens fünf Speicher¬ bereiche umfassen. So kann es insbesondere dadurch, dass Nutzerdaten von einem Programmteil in einen Speicherbereich des Speichers, in welchem Programmteile mit anderer Sicherheits¬ klassifizierung gespeichert sind, geschrieben und folglich verändert werden, dazu kommen, dass sich Programmteile un¬ terschiedlicher Sicherheitsklassifizierung während des Ablaufs gegenseitig beeinflussen können. Durch die erfindungsgemäße Vererbungseinheit kann dieser Gefahr auf einfache und effiziente Weise entgegengetreten werden.
Auch kann der zusätzliche, von den wenigstens fünf Speicherbereichen verschiedene Speicherbereich einem höchsten Sicher- heitsstandard der Sicherheitsstandards der wenigstens fünf Speicherbereiche entsprechen, wodurch gewährleistet werden kann, dass dieser den höchsten Sicherheitszielen, das heißt dem höchsten Sicherheitsstandard gerecht wird und ausgehend von jedem der wenigstens fünf Speicherbereiche ein zur Vererbung geeigneter, in dem zusätzlichen Speicherbereich vorliegender Programmteil aufgerufen werden kann.
Weiter können die Sicherheitsstandards der wenigstens fünf Speicherbereiche des Speichers dabei wiederum nach dem Standard ISO 26262 ausgebildet und gemäß ASIL A bis D oder QM klassifiziert sein. Die Sicherheitsstandards der einzelnen Speicherbereiche können folglich entsprechend der Norm ISO 26262 gewählt werden, welche eine ISO-Norm für sicherheitsrelevante elektri¬ sche/elektronische Systeme in Kraftfahrzeugen darstellt. Die von einem Programmteil ausgehende Gefahr kann dabei mit einer
Sicherheitsanforderungsstufe von QM (quality managed) oder ASIL (automotive safety integrity level) Abis D klassifiziert werden. Gemäß einer Ausführungsform weist die Speicherschutzeinrichtung weiter eine Zugriffseinheit zum Steuern eines Zugriffs auf die wenigstens fünf Speicherbereiche, derart, dass die Zugriffs¬ einheit den ersten Speicherbereich sperrt und einen zweiten Speicherbereich der wenigstens fünf Speicherbereiche freigibt, falls während des Ausführens des ersten Programmteils ein zweiter Programmteil, welcher in dem zweiten Speicherbereich vorliegt, aufgerufen wird. Hierdurch kann weiter gewährleistet werden, dass sich die einzelnen Programmteile während des Ausführens nicht gegenseitig beeinflussen, insbesondere da das Steuergerät durch die Zugriffseinheit ausgebildet ist, einen Zugriff auf den ersten Speicherbereich zu sperren und somit insbesondere ein Schreiben von Daten in den ersten Speicherbereich durch den zweiten Programmteil nicht möglich ist, während der zweite Programmteil ausgeführt wird. Hierdurch kann die Effizienz beim Betreiben von sicherheitsrelevanten Funktionen auf dem Steuergerät weiter erhöht werden. Auch sind derartige Ausnahme- handler zum Handeln einer derartigen Ausnahme, das heißt eines Aufrufs eines zweiten Programmteils während ein erster Pro- grammteil ausgeführt wird, in der Informatik und der Digi¬ taltechnik bekannt und gebräuchlich, so dass diese Funktion hier einfach und ohne großen Aufwand realisiert beziehungsweise implementiert werden kann. Dabei kann die Zugriffseinheit weiter ausgebildet sein, den zweiten Speicherbereich nach Beendigung eines Ausführens des zweiten Programmteils zu sperren und den ersten Speicherbereich wieder freizugeben. Diese Rücksperrung kann dabei beispielsweise durch einen Rücksperrungsbefehl des zweiten Programmteils beziehungsweise durch das Ende der Befehle, die den zweiten Programmteil darstellen, ausgelöst werden. Durch das erneute Freigeben kann nunmehr wiederum auf den ersten Programmteil und den damit in Beziehung stehenden Speicherbereich zugegriffen und dieser weiter ausgeführt werden. Mit einer weiteren Ausführungsform der Erfindung wird zudem auch ein Kraftfahrzeug angegeben, welches ein oben beschriebenes Steuergerät aufweist.
Ein derartiges Kraftfahrzeug hat den Vorteil, dass dieses ein Steuergerät aufweist, bei dem Programmteile unterschiedlicher Sicherheitsklassifizierung einer sicherheitsrelevanten Funktion in effizienter Weise getrennt ausgeführt werden können.
Vererbte Berechtigungen, das heißt Zugriffsrechte, sind in der Datenverarbeitung bekannt und werden von einem übergeordneten Objekt auf ein Objekt übertragen. Dies erleichtert die Verwaltung von Berechtigungen und stellt die einheitliche Zuweisung von Berechtigungen zu sämtlichen Objekten innerhalb eines Containers, das heißt Speicherbereichen des Speichers, sicher. Weiter sind derartige Vererbungsverfahren in der Informatik und der Digitaltechnik gebräuchlich, so dass diese hier einfach und ohne großen Aufwand in die Speicherschutzeinrichtung des Steuergerätes des Kraftfahrzeuges implementiert und realisiert werden können.
Weiter erfordert ein derartiges Steuergerät weder zusätzlichen Rechenaufwand noch aufwändige Prozessorarchitekturen, zumal die Speicherschutzeinrichtung des Steuergerätes des Kraftfahrzeugs ausgebildet ist, durch Vererbung der Rechte des aufrufenden Programmteils sicherzustellen, dass keine Rechte anderer Sicherheitsstandards während des Ausführens von zur Vererbung geeigneten Programmteilen verletzt werden. Die Programmteile, deren getrennter Ablauf gesteuert wird, sind dabei dadurch verknüpft, dass im Rahmen eines Programmteils ein weiterer der Programmteile aufgerufen wird. Insbesondere wird innerhalb eines Programmteils ein weiterer Programmteil als Unterprogramm aufgerufen, beispielsweise als Funktion oder als Prozedur, die beispielsweise Teil des aufrufenden Programmteils oder aber eine Unterbrechung ist. Beim Aufruf eines Programmteils als Funktion können Rechte von einem aufrufenden Programmteil an den aufgerufenen Programmteil weitergegeben werden, so dass auf einfache Art und Weise und effizient gewährleistet werden kann, dass anderen Sicherheitsstandards entsprechende Rechte durch den Ablauf des zur Vererbung geeigneten Programmteils und umgekehrt nicht beeinflusst werden. Sicherheitsrelevante Funktionen im Bereich des Kraftfahrzeuges, welche durch ein derartiges Steuergerät des Kraftfahrzeuges ausgeführt werden können, sind insbesondere Programmteile zur Umsetzung von Funktionen im Bereich des Antriebsstranges beziehungsweise Funktionen des Antriebsstranges oder Funktionen von weiteren fahrzeugspezifischen Applikationen, wie Lenksystem, Fahrzeug- oder Insassensicherheitssysteme, Funktion eines Verbrennungsmotors, eines Elektromotors, einer elekt¬ rischen, elektromechanischen, oder mechanischen Bremsvorrichtung des Kraftfahrzeuges oder eines elektrischen Lenkan- triebs . Weitere Funktionen betreffen die optische oder akus¬ tische Anzeige von Betriebszuständen, welche Zustände der eingangs genannten Funktionen sind.
Zusammenfassend ist festzustellen, dass mit der vorliegenden Erfindung ein Verfahren zum Betreiben eines Steuergerätes eines Kraftfahrzeugs angegeben wird, mittels welchem Programmteile unterschiedlicher Sicherheitsklassifizierung einer sicherheitsrelevanten Funktion in effizienter Weise getrennt ausgeführt werden können und welches weder zusätzlichen Rechen- aufwand bei der Ausführung von sicherheitsrelevanten Funktionen noch aufwändige Prozessorarchitekturen zum Ausführen der sicherheitsrelevanten Funktionen erfordert. Dabei können beim Aufruf eines Programmteils als Funktion von einem anderen Programmteil Rechte von einem aufrufenden Programmteil an den aufgerufenen Programmteil weitergegeben werden, so dass durch das Steuergerät auf einfache Art und Weise und effizient gewährleistet werden kann, keine Rechte anderer
Sicherheitsstandards während des Ausführens von zur Vererbung geeigneten Programmteilen verletzt werden.
Weiter sind derartige Vererbungsverfahren in der Informatik und der Digitaltechnik gebräuchlich, so dass diese hier ein-fach und ohne großen Aufwand implementiert und realisiert werden können.
Zudem kann durch Kombination des Verfahrens mit weiteren durch einen Ausnahmehandler realisierten Funktionen, insbesondere einen Zugriff auf einen ersten Speicherbereich zu sperren und somit insbesondere ein Schreiben von Daten in den ersten Speicherbereich durch einen zweiten Programmteil zu unterbinden, während der zweite Programmteil ausgeführt wird, die Effizienz des Verfahrens weiter erhöht werden.
Die Erfindung wird nun anhand der beigefügten Figuren näher erläutert .
Figur 1 zeigt ein schematisches Blockschaltbild eines Steu- ergeräts eines Kraftfahrzeuges gemäß Ausführungs¬ formen der Erfindung;
Figur 2 zeigt ein Flussdiagramm eines Verfahrens zum Betreiben eines Steuergerätes eines Kraftfahrzeuges gemäß Ausführungsformen der Erfindung.
Figur 1 zeigt ein schematisches Blockschaltbild eines Steu¬ ergeräts 1 eines Kraftfahrzeuges gemäß Ausführungsformen der Erfindung . Wie Figur 1 zeigt, weist das Steuergerät 1 dabei einen Speicher 2 zum Speichern von Programmteilen 3,4,5,6,7 von sicherheitsrelevanten Funktionen auf, wobei der Speicher 2 in fünf Speicherbereiche 8,9,10,11,12, welche jeweils einem unter¬ schiedlichen Sicherheitsstandard entsprechen, zum Speichern von Programmteilen 3,4,5,6,7 der sicherheitsrelevanten Funktion, unterteilt ist. Beispielhaft sind alle Programmteile des Speicherbereichs 8, das heißt der Programmteil 3, einer ersten Sicherheitsstufe zu¬ geordnet, während die Programmteile 4 des Speicherbereichs 9 einer anderen Sicherheitsstufe zugeordnet sind, und wiederum der Programmteil 5 des Speicherbereichs 10 einer weiteren, zu den Programmteilen 3,4 verschiedenen Sicherheitsstufe zugeordnet.
Zu erkennen ist weiter ein Prozessor 13 zum Ausführen der Programmteile 3,4,5,6,7 einer sicherheitsrelevanten Funktion. Um dabei die Sicherheitsstufe jedes Programmteils 3,4,5,6,7 gewährleisten zu können, ist es hierbei erforderlich, dass sich die Programmteile 3,4,5,6,7 unterschiedlicher Sicherheits¬ klassifizierung während des Ablaufes nicht gegenseitig be¬ einflussen .
Gemäß den Ausführungsformen der Figur 1 weist das Steuergerät 1 hierzu weiter eine Speicherschutzeinrichtung 14 auf. Gemäß den Ausführungsformen der Figur 1 ist die Speicherschutzeinrichtung 14 dabei Teil des Prozessors 13. Ferner kann die Speicher- Schutzeinrichtung 14 aber auch von dem Prozessor 13 getrennt ausgebildet sein, beispielsweise durch Hardwarekomponenten, welche unmittelbar mit dem Prozessor 13 verbunden sind. Weiter ist der Speicher 2 des Steuergeräts 1 der Figur 1 von dem Prozessor 13 getrennt ausgebildet. Alternativ kann der Speicher 2 jedoch auch in den Prozessor 13 integriert sein.
Gemäß den Ausführungsformen der Figur 1 weist der Speicher 2 dabei einen zusätzlichen Speicherbereich 15, welcher von den fünf Speicherbereichen 8,9,10,11,12 verschieden ist und in welchem zur Vererbung geeignete Programmteile vorliegen, auf. Weiter weist die dargestellte Speicherschutzeinrichtung 14 eine Vererbungseinheit 17 auf, welche derart ausgebildet ist, einem Sicherheitsstandard eines ersten Speicherbereichs 8 der we¬ nigstes fünf Speicherbereiche 8, 9, 10, 11, 12 entsprechende Rechte einem zur Vererbung geeigneten Programmteil 16 zu vererben, falls während der Prozessor 13 ein erstes Programmteil 3 der sicherheitsrelevanten Funktion, welches in dem ersten Spei- cherbereich 8 vorliegt, ausführt, der zur Vererbung geeignete Programmteil 16 aufgerufen wird. Die Vererbungseinheit 17 kann hierbei sowohl durch entsprechende Hardwarekomponenten als auch durch Software realisiert werden. Unter zur Vererbung geeigneten Programmteilen werden hierbei wiederum Programmteile, welche Code für Nutzerdaten enthalten, insbesondere Code welcher dem Programmteil Nutzerdaten übergibt, verstanden, das heißt Programmteile welche mit vererbten Rechten auf Nutzerdaten entsprechend dem Sicherheitsstandard eines sie aufrufenden Programmteils arbeiten und keine eigenen Daten besitzen .
Die Programmteile sind folglich dadurch verknüpft, dass im Rahmen eines Programmteils 3 ein weiterer Programmteil 16 aufgerufen wird. Insbesondere wird innerhalb eines Programmteils 3 ein weiterer Programmteil 16 als Unterprogramm aufgerufen, beispielsweise als Funktion oder als Prozedur, die beispielsweise Teil des aufrufenden Programmteils 3 oder aber eine Unterbrechung ist und auf Nutzerdaten arbeitet. Beim Aufruf des Programmteils 16 als Funktion werden Rechte von dem aufrufenden Programmteil 3 an den aufgerufenen Programmteil 16 weitergegeben werden, so dass durch das Steuergerät 1 auf einfache Art und Weise und effizient gewährleistet werden kann, dass anderen Sicher- heitsstandards entsprechende Rechte durch den Ablauf des zur Vererbung geeigneten Programmteils und umgekehrt nicht be- einflusst wird.
Ferner kann ein aufrufender Programmteil auch mehrere Pro- grammteile aufrufen, so dass ein oder mehrere zur Vererbung geeignete Programmteile bestehen können. Auch können mehrere aufrufende Programmteile bestehen, die ein oder mehrere Pro¬ grammteile aufrufen, die verschieden sein können. Ein Programmteil, der von einem ersten Programmteil aufgerufen wird, kann ebenso ein oder mehrere weitere Programmteile aufrufen. Die Reihenfolge einer Vererbung der Zugriffsrechte zwischen auf¬ gerufenen, aufrufenden, ersten und zur Vererbung geeigneten Programmteilen kann dabei jeweils situationsabhängig und entsprechend einer Hierarchie zwischen den Programmteilen für die Situation eines Aufrufs erfolgen. Für die Situation eines weiteren Aufrufs kann die Hierarchie eine andere sein, so dass sich auch die Reihenfolge der Vererbung des Zugriffsrechts dementsprechend abhängig von der Situation des Aufrufs ändern kann .
Insgesamt erfordert das Steuergerät 1, verglichen mit weiteren bekannten Steuergeräten zum Betreiben von sicherheitsrelevanten Funktionen, weder zusätzlichen Rechenaufwand bei der Ausführung von sicherheitsrelevanten Funktionen noch aufwändige Prozes- sorarchitekturen zum Ausführen der sicherheitsrelevanten
Funktionen, zumal die Speicherschutzeinrichtung 14 ausgebildet ist, durch Vererbung der Rechte des aufrufenden Programmteils sicherzustellen, dass keine Rechte anderer Sicherheitsstandards während des Ausführens von zur Vererbung geeigneten Programmteilen verletzt werden.
Gemäß den Ausführungsformen der Figur 1 handelt es sich bei den dem Sicherheitsstandard des ersten Speicherbereichs 8 ent¬ sprechenden Rechten um Rechte für einen Lese/Schreib-Zugriff auf den ersten Speicherbereich 8 sowie Rechte für einen Lese-Zugriff auf von dem ersten Speicherbereich 8 verschiedene Speicherbereiche 9,10,11,12 der wenigstens fünf Speicherbereiche 8,9,10,11,12.
Gemäß den Ausführungsformen der Figur 1 entspricht der zusätzliche Speicherbereich 15 zudem den höchsten Sicherheitsstandards der Sicherheitsstandards der fünf Speicherbereiche 8,9,10,11,12.
Zudem sind die Sicherheitsstandards der fünf Speicherbereiche 8,9,10,11,12 des Speichers 2 der Figur 1 nach dem Standard ISO 26262 ausgebildet und gemäß ASIL A bis D oder QM klassifiziert. Die Sicherheitsstandards der einzelnen Speicherbereiche
8,9,10,11,12 können folglich entsprechend der Norm ISO 26262 gewählt werden, welche eine ISO-Norm für sicherheitsrelevante elektrische/elektronische Systeme in Kraftfahrzeugen darstellt. Wie zu erkennen ist, weist die Speicherschutzeinrichtung 14 zudem eine Zugriffseinheit 18 zum Steuern eines Zugriffs auf die wenigstens fünf Speicherbereiche 8,9,10,11,12 derart auf, dass die Zugriffseinheit 18 den ersten Speicherbereich 8 sperrt und den zweiten Speicherbereich 9 freigibt, falls während des Ausführens des ersten Programmteils 3 ein zweiter Programmteil 4 aufgerufen wird, welcher in einem zweiten Speicherbereich 9 vorliegt . Die Zugriffseinheit 18 gemäß Figur 1 ist dabei als Ausnahme¬ handler 19 ausgebildet. Dabei wird durch den Aufruf des zweiten Programmteils 4, während der erste Programmteil 3 ausgeführt wird, von der Speicherschutzeinrichtung 14 eine Ausnahme ausgelöst. Der Ausnahmehandler 19 erfasst diese Ausnahme und sperrt den ersten Speicherbereich 8. Ferner gibt der Ausnahmehandler 19, vorzugsweise mit oder nach dem Sperren, den zweiten Speicherbereich 9 zum Zugriff und insbesondere zur Ausführung durch den Prozessor 14 frei.
Dabei ist die Zugriffseinheit 18 der Figur 1 weiter ausgebildet, den zweiten Speicherbereich 9 nach Beendigung des Ausführens des zweiten Programmteils 4 zu sperren und den ersten Speicherbereich 8 wieder freizugeben. Dabei wird am Ende der Ausführung des zweiten Programmteils 4 ein Sperrungsbefehl generiert, der von dem Ausnahmehandler 19 ebenso als Aufruf angesehen und verwertet wird .
Figur 2 zeigt ein Flussdiagramm eines Verfahrens 20 zum Betreiben eines Steuergeräts eines Kraftfahrzeuges gemäß Ausführungsform der Erfindung.
Das Steuergerät weist dabei wiederum einen Speicher zum Speichern von Programmteilen einer sicherheitsrelevanten Funktion auf, wobei der Speicher in wenigstens fünf Speicherbereiche, welche jeweils einem unterschiedlichen Sicherheitsstandard entspre¬ chen, zum Speichern von Programmteilen der sicherheitsrelevanten Funktion entsprechend ihrem notwendigen Sicherheitsstandard unterteilt ist.
Wie Figur 2 zeigt, weist das Verfahren 20 dabei folgende Schritte auf: So werden in einem ersten Schritt 21 zunächst zur Vererbung geeignete Programmteile der sicherheitsrelevanten Funktion in einem zusätzlichen, von den wenigstens fünf Speicherbereichen verschiedenen Speicherbereich des Speichers gespeichert. In einem folgenden Schritt 22 wird ein erster Programmteil der sicherheitsrelevanten Funktion ausgeführt, welcher in einem ersten Speicherbereich des Speichers vorliegt und einem
Sicherheitsstandard des ersten Speicherbereichs entsprechende Rechte aufweist. In einem folgenden Schritt 23 wird detektiert, ob während des Ausführens des ersten Programmteils der sicherheitsrelevanten Funktion ein zur Vererbung geeigneter Programmteil aufgerufen wird. Wird ein zur Vererbung geeigneter programmteil aufgerufen, so werden in einem Schritt 24 die dem Sicherheitsstandard des ersten Speicherbereichs entsprechenden Rechte an den zur Vererbung geeignete Programmteil vererbt und in einem Schritt 25 der zur Vererbung geeignete Programmteil ausgeführt .
Unter zur Vererbung geeigneten Programmteilen werden hierbei wiederum Programmteile, welche Code für Nutzerdaten enthalten, insbesondere Code welcher dem Programmteil Nutzerdaten übergibt, verstanden, das heißt Programmteile welche mit vererbten Rechten auf Nutzerdaten entsprechend dem Sicherheitsstandard eines sie aufrufenden Programmteils arbeiten und keine eigenen Daten besitzen .
Wird dabei in dem Schritt 23 detektiert, dass ein zur Vererbung geeigneter Programmteil aufgerufen wird, fährt das Verfahren mit den Schritten 24 und 25 fort.
Die dem Sicherheitsstandard des ersten Speicherbereichs ent¬ sprechenden Rechten umfassen dabei wiederum Rechte für einen Lese/Schreib-Zugriff auf den ersten Speicherbereich sowie
Rechten für einen Lese-Zugriff auf von dem ersten Speicherbereich verschiedene Speicherbereiche der wenigstens fünf Speicher¬ bereiche . Gemäß den Ausführungsformen der Figur 2 weist der zusätzliche Speicherbereich wiederum einen höchsten Sicherheitsstandard der Sicherheitsstandards der wenigstens fünf Speicherbereiche auf. Gemäß den Ausführungsformen der Figur 2 wird, falls in dem Schritt 23 detektiert wird, dass kein zur Vererbung geeigneter Programmteil aufgerufen wird, wird in einem Schritt 26 detektiert, ob ein zweiter Programmteil der sicherheitsrelevanten Funktion, welcher in einem zweiten Speicherbereich der wenigstens fünf Speicherbereiche vorliegt, aufgerufen wird.
Wird in dem Schritt 23 detektiert, dass kein zweiter Programmteil der sicherheitsrelevanten Funktion, welcher in einem zweiten Speicherbereich der wenigstens fünf Speicherbereiche vorliegt, aufgerufen wird, werden 22 und 23 wiederholt ausgeführt.
Wird jedoch detektiert, dass ein zweiter Programmteil der sicherheitsrelevanten Funktion aufgerufen wird, wird in einem Schritt 27 mit Aufrufen des zweiten Programmteils der erste Speicherbereich gesperrt und in einem Schritt 28 der zweite
Speicherbereich, in welchem der zweite Programmteil vorliegt, freigegeben .
Gemäß den Ausführungsformen der Figur 2 wird dabei der zweite Speicherbereich gesperrt und der erste Speicherbereich wieder freigegeben, sobald das Ausführen des ersten Speicherbereichs beendet ist.
Gemäß den Ausführungsformen der Figur 2 ist weiter ein Zugriff auf den zweiten Speicherbereich dabei durchgehend gesperrt, während der erste Programmteil ausgeführt wird und ein Zugriff auf den ersten Speicherbereich durchgehend gesperrt, während der zweite Programmteil ausgeführt wird.

Claims

Patentansprüche
Verfahren zum Betreiben eines Steuergerätes eines Kraft¬ fahrzeuges, welches einen Speicher zum Speichern von Programmteilen einer sicherheitsrelevanten Funktion aufweist, wobei der Speicher in wenigstens fünf Speicherbe¬ reiche, welche jeweils einem unterschiedlichen Sicherheitsstandard entsprechen, zum Speichern von Programmteilen der sicherheitsrelevanten Funktion entsprechend ihrem notwendigen Sicherheitsstandard unterteilt ist und wobei das Verfahren (20) folgende Schritte aufweist:
Speichern von zur Vererbung geeigneten Programmteilen der sicherheitsrelevanten Funktion in einem zusätzlichen, von den wenigstens fünf Speicherbereichen verschiedenen Speicherbereich des Speichers (21);
Ausführen eines ersten Programmteils einer sicher- heits-relevanten Funktion, wobei der erste Programmteil in einem ersten Speicherbereich des Speichers vorliegt und einem Sicherheitsstandard des ersten Speicherbe¬ reichs entsprechende Rechte aufweist (22);
Aufrufen eines zur Vererbung geeigneten Programmteils der sicherheitsrelevanten Funktion während des Ausführens des ersten Programmteils (23) ;
Vererben der dem Sicherheitsstandard des ersten Speicherbereichs entsprechenden Rechte an den zur Vererbung geeigneten Programmteil (24);
Ausführen des zur Vererbung geeigneten Programmteils (25) .
Verfahren nach Anspruch 1, wobei die dem Sicherheitsstandard des ersten Speicherbereichs entsprechenden Rechte Rechte für einen Lese/Schreib-Zugriff auf den ersten Speicherbereich sowie Rechte für einen Lese-Zugriff auf von dem ersten Speicherbereich verschiedene Speicherbereiche der we¬ nigstens fünf Speicherbereiche umfasst.
3. Verfahren nach Anspruch 1 oder 2, wobei der zusätzliche, von den wenigstens fünf Speicherbereichen verschiedene Spei¬ cherbereich einem höchsten Sicherheitsstandard der
Sicherheitsstandards der wenigstens fünf Speicherbereiche entspricht . 4. Verfahren nach einem der Ansprüche 1 bis 3, wobei die
Sicherheitsstandards der Speicherbereiche des Speichers nach dem Standard ISO 26262 ausgebildet und gemäß ASIL A bis D oder QM klassifiziert sind. 5. Verfahren nach einem der Ansprüche 1 bis 4, wobei das
Verfahren (20) weiter folgende Schritte aufweist:
Aufrufen eines zweiten Programmteils, welcher in einem zweiten Speicherbereich der wenigstens fünf Speicherbereiche vorliegt, während des Ausführens des ersten Programmteils (26);
Sperren des ersten Speicherbereichs (27);
Freigeben des zweiten Speicherbereichs (28) .
6. Verfahren nach Anspruch 5, wobei das Verfahren (20) weiter folgende Schritte aufweist:
Sperren des zweiten Speicherbereichs nach Beendigung des Ausführens des zweiten Programmteils;
Wiederfreigeben des ersten Speicherbereichs. 7. Verfahren nach Anspruch 5 oder 6, wobei ein Zugriff auf den zweiten Speicherbereich durchgehend gesperrt ist, während der erste Programmteil ausgeführt wird und ein Zugriff auf den ersten Speicherbereich durchgehend gesperrt ist, während der zweite Programmteil ausgeführt wird. Steuergerät für ein Kraftfahrzeug, welches einen Prozessor (13) zum Ausführen von Programmteilen (3,4,5,6,7) einer sicherheitsrelevanten Funktion, einen Speicher (2), welcher in wenigstens fünf Speicherbereiche (8,9,10,11,12) ent¬ sprechend unterschiedlichen Sicherheitsstandards unter¬ teilt ist, zum Speichern von Programmteilen (3,4,5,6,7) der sicherheitsrelevanten Funktion entsprechend ihrem notwendigen Sicherheitsstandard und eine Speicherschutzein¬ richtung (14) aufweist, wobei der Speicher (2) einen zusätzlichen Speicherbereich (15), welcher von den wenigstens fünf Speicherbereichen (8,9,10,11,12) verschieden ist und in welchem zur Vererbung geeignete Programmteile der sicherheitsrelevanten Funktion gespeichert sind, aufweist und wobei die Speicherschutzeinrichtung (14) eine Vererbungseinheit (17) aufweist, welche derart ausgebildet ist, einem Sicherheitsstandard eines ersten Speicherbereichs (8) der wenigstens fünf Speicherbereiche (8,9,10,11,12) ent¬ sprechende Rechte an einen zur Vererbung geeigneten Programmteil (16) zu Vererben, falls während der Prozessor (13) ein erstes Programmteil (3) der sicherheitsrelevanten Funktion, welches in dem ersten Speicherbereich (8) vorliegt ausführt, der zur Vererbung geeignetes Programmteil (16) aufgerufen wird.
Steuergerät nach Anspruch 8, wobei die dem Sicherheits¬ standard des ersten Speicherbereichs (8) entsprechenden Rechte Rechte für einen Lese/Schreib-Zugriff auf den ersten Speicherbereich (8) sowie Rechte für einen Lese-Zugriff auf von dem ersten Speicherbereich (8) verschiedene Speicherbereiche (9,10,11,12) der wenigstens fünf Speicherbereiche (8,9,10,11,12) umfasst.
10 . Steuergerät nach Anspruch 8 oder 9, wobei der zusätzliche, von den wenigstens fünf Speicherbereichen verschiedene Speicherbereich (16) einem höchsten Sicherheitsstand der Sicherheitsstandards der wenigstens fünf Speicherbereiche (8,9,10,11,12) entspricht.
Steuergerät nach einem der Ansprüche 8 bis 10, wobei die Sicherheitsstandards der wenigstens fünf Speicherbereiche (8, 9, 10, 11, 12) des Speichers (2) nach dem Standard ISO 26262 ausgebildet und gemäß ASIL A bis D oder QM klassifiziert sind. 12. Steuergerät nach einem der Ansprüche 8 bis 11, wobei die Speicherschutzeinrichtung (14) weiter eine Zugriffseinheit (18) zum Steuern eines Zugriffs auf die wenigstens fünf Speicherbereiche (8,9,10,11,12) aufweist, derart, dass die Zugriffseinheit (18) den ersten Speicherbereich (8) sperrt und einen zweiten Speicherbereich (9) freigibt, falls während des Ausführens des ersten Programmteils (3) ein zweiter Programmteil (4) , der in dem zweiten Speicherbereich (9) vorliegt, aufgerufen wird.
Steuergerät nach Anspruch 12, wobei die Zugriffseinheit (18) weiter ausgebildet ist, den zweiten Speicherbereich (9) nach Beendigung eines Ausführens des zweiten Programmteils (4) zu sperren und den ersten Speicherbereich (8) wieder freizugeben .
Kraftfahrzeug, welches ein Steuergerät (1) nach einem der Ansprüche 8 bis 13 aufweist.
PCT/EP2014/071644 2013-10-15 2014-10-09 Verfahren zum betreiben eines steuergerätes eines kraftfahrzeuges und steuergerät für ein kraftfahrzeug WO2015055498A1 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
DE102013220900.2 2013-10-15
DE102013220900 2013-10-15
DE102013226872.6 2013-12-20
DE201310226872 DE102013226872A1 (de) 2013-10-15 2013-12-20 Verfahren zum Betreiben eines Steuergerätes eines Kraftfahrzeuges und Steuergerät für ein Kraftfahrzeug

Publications (1)

Publication Number Publication Date
WO2015055498A1 true WO2015055498A1 (de) 2015-04-23

Family

ID=52738098

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2014/071644 WO2015055498A1 (de) 2013-10-15 2014-10-09 Verfahren zum betreiben eines steuergerätes eines kraftfahrzeuges und steuergerät für ein kraftfahrzeug

Country Status (2)

Country Link
DE (1) DE102013226872A1 (de)
WO (1) WO2015055498A1 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021208681A1 (de) 2021-08-10 2023-02-16 Volkswagen Aktiengesellschaft Steuergerät für ein Kraftfahrzeug und Verfahren zum Aktualisieren eines Steuergeräts
DE102022133985A1 (de) 2022-12-20 2024-06-20 Valeo Schalter Und Sensoren Gmbh Steuergerät mit QM-Betriebssystem als Servicearchitektur für ASIL-Anwendungen

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1168184A1 (de) * 2000-06-28 2002-01-02 STMicroelectronics S.A. Ein sicherer Mikroprozessor mit einem System zur Vergabe von Rechten an die Bibliotheksprogramme
DE102009019792A1 (de) 2009-05-02 2010-11-04 Leopold Kostal Gmbh & Co. Kg Steuersystem zum sicheren Betreiben von mindestens einer Funktionskomponente

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1168184A1 (de) * 2000-06-28 2002-01-02 STMicroelectronics S.A. Ein sicherer Mikroprozessor mit einem System zur Vergabe von Rechten an die Bibliotheksprogramme
DE102009019792A1 (de) 2009-05-02 2010-11-04 Leopold Kostal Gmbh & Co. Kg Steuersystem zum sicheren Betreiben von mindestens einer Funktionskomponente

Also Published As

Publication number Publication date
DE102013226872A1 (de) 2015-04-16

Similar Documents

Publication Publication Date Title
EP2907072B1 (de) Verfahren zur steuerung eines getrennten ablaufs von verknüpften programmblöcken und steuergerät
EP2422244B1 (de) Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage
DE102007045398A1 (de) Integriertes Mikroprozessorsystem für sicherheitskritische Regelungen
DE102018126270A1 (de) Dezentralisierte fahrzeugsteuerung der minimalen risikobedingung
EP2698678B1 (de) Konfigurationstechnik für ein Steuergerät mit miteinander kommunizierenden Anwendungen
EP1999521B1 (de) Feldgerät
EP3948468A1 (de) Steuergerät für ein fahrzeug und verfahren zum testen eines programmelements einer fahrzeugfunktion sowie kraftfahrzeug mit einem steuergerät
DE102022204597A1 (de) Steuerung und fehlerdiagnose von antriebsstrangkomponenten
DE102012207215A1 (de) Verfahren und Vorrichtung zur Überwachung von Funktionen eines Rechnersystems, vorzugsweise eines Motorsteuersystems eines Kraftfahrzeuges
WO2007025816A2 (de) Speicheranordnung und betriebsverfahren dafür
EP2422248B1 (de) System und verfahren zum verteilen von projektdaten einer sicherheitssteuerung einer automatisierten anlage auf die steuerungskomponenten
WO2015055498A1 (de) Verfahren zum betreiben eines steuergerätes eines kraftfahrzeuges und steuergerät für ein kraftfahrzeug
DE60312041T2 (de) Tcet-expander
EP3983897B1 (de) Verfahren zum sicherstellen und aufrechterhalten der funktion eines sicherheitskritischen gesamtsystems
DE112019007853T5 (de) Steuereinrichtung
EP2667268A1 (de) Verfahren zum Betrieb eines Automatisierungsgeräts
EP3719595B1 (de) Bedienung einer technischen anlage
WO2008128710A1 (de) Steuervorrichtung für fahrzeuge
DE102016224206A1 (de) Fahrzeugsteuervorrichtung
EP2524333A1 (de) Verfahren zum bereitstellen eines sicheren zählers auf einem endgerät
DE102006054705A1 (de) Verfahren zum Betreiben einer Recheneinheit
WO2007065585A1 (de) Diagnoseverfahren und diagnosevorrichtung zur funktionsorientierten diagnose eines systems mit vernetzten komponenten
EP2775363B1 (de) Verfahren zur Integration von Anwendungen in eine Steuerung eines Flurförderzeugs
DE112017003049T5 (de) Softwareverriegelung
DE102022212057A1 (de) Verfahren zur Analyse von funktionalen Pfaden für ein eingebettetes System, Vorrichtung zur Datenverarbeitung, Computerprogramm und computerlesbarer Datenträger

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 14787118

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 14787118

Country of ref document: EP

Kind code of ref document: A1