用于改進電子調(diào)節(jié)系統(tǒng)的功能安全性并提高可用性的方法以及電子調(diào)節(jié)系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及一種用于改進電子調(diào)節(jié)系統(tǒng)�����、尤其是機動車調(diào)節(jié)系統(tǒng)的功能安全性并提高可用性的方法�����,包括硬件組件(1)和軟件組件(3�����、4��、5)�,其中,硬件組件(1)通過至少一個基礎(chǔ)軟件組件(20)和/或運行時環(huán)境(2)抽象得到且其中執(zhí)行的安全方案描述了兩個或更多的軟件層級��,其中�����,第一軟件層級(4)包括應(yīng)用軟件的調(diào)節(jié)功能���,第二軟件層級(5)設(shè)計作為功能監(jiān)控(5)�,尤其用于預(yù)防調(diào)節(jié)功能的故障���,所述方法的特征還在于���,借助于至少一個第一軟件組件(3)把由至少一個硬件組件(1)提供的數(shù)據(jù)加密(9a、9b�����、9c)和/或數(shù)據(jù)簽名用于硬件組件(1)的至少一個通信信道(7)的數(shù)據(jù)保護�。本發(fā)明還涉及一種用于執(zhí)行所述方法的電子調(diào)節(jié)系統(tǒng)。
【專利說明】用于改進電子調(diào)節(jié)系統(tǒng)的功能安全性并提高可用性的方法 以及電子調(diào)節(jié)系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種根據(jù)權(quán)利要求1的前序部分所述的����、用于改進電子調(diào)節(jié)系統(tǒng)的功 能安全性并提高可用性的方法,以及一種根據(jù)權(quán)利要求14的前序部分所述的電子調(diào)節(jié)系 統(tǒng)���。
【背景技術(shù)】
[0002] 由電子調(diào)節(jié)系統(tǒng)功能故障時的后果得到研發(fā)尤其在汽車電子裝置中的電子調(diào)節(jié) 系統(tǒng)時重要的安全目標(biāo)����。在功能故障或失靈時嚴重的后果可能是車輛的車輪被卡住或后橋 處過高的不期望的制動力矩,這可能導(dǎo)致機動車的失穩(wěn)�。例如,包括自動加速的功能尤其對 在使用電動機作為驅(qū)動設(shè)備時強烈的轉(zhuǎn)矩增加來說會導(dǎo)致失穩(wěn)��。ISO 26262為此普遍關(guān)注 的安全目標(biāo)是���,避免過大的不期望的效應(yīng)或者過小或負的不期望的效應(yīng)�����,因此大多數(shù)系統(tǒng) 必須保證用于其安全方案的靈活的走廊(Korridor)�����?����?扇萑痰?����、不期望的轉(zhuǎn)矩位于該走廊 中����,其中在所有允許的行駛情況中必須能可靠地控制車輛。例如���,危險的加速度效應(yīng)位于該 走廊之上,而在車橋處或車輪處的卡住之下���。走廊的設(shè)計基本上取決于車輛規(guī)格�����,例如像軸 距�����、重量��、重心以及其它參數(shù)�����,如速度���、道路特性�、橫向加速度���、彎道半徑等。甚至對穩(wěn)定的直 線行駛來說存在這種走廊���。
[0003] 必須對應(yīng)于相應(yīng)功能的安全要求(例如ASIL)和車輛特征以及其它參數(shù)確定上極 限和下極限�����。對影響車輛的加速度的駕駛員輔助功能來說�����,由于該功能可能錯誤地導(dǎo)致過 小或過大的不期望的轉(zhuǎn)矩可以要求編入高的安全要求等級����,例如ASIL D���。這表示該功能的 錯誤會直接導(dǎo)致人員受到威脅���。
[0004] 根據(jù)IEC 61508還追求一種安全目標(biāo)�,即使得系統(tǒng)轉(zhuǎn)移至安全狀態(tài)��,這通常導(dǎo)致�����, 在出現(xiàn)錯誤時轉(zhuǎn)換至無電流狀態(tài)。從而要限制對人員的潛在威脅。因此根據(jù)ISO 26262尤 其存在多個安全目標(biāo)�,其中安全狀態(tài)是一種表現(xiàn)為對人員沒有威脅的狀態(tài)��,然而不必轉(zhuǎn)移 到無電流或無能量狀態(tài)���。
[0005] 作為用于發(fā)動機_��、變速器_����、轉(zhuǎn)向、和其它行駛機構(gòu)調(diào)節(jié)系統(tǒng)的基礎(chǔ)的安全方案��, 在DE 10 2006 056 668 A1中描述了一種用于在出現(xiàn)錯誤、功能故障或其它影響部分功能 的可用性的事件時保證或維持復(fù)雜的�����、對安全極重要的整個車輛調(diào)節(jié)-和/或控制系統(tǒng)的 功能的方法。為此�,為必要的系統(tǒng)組件定義了運行模式,其中在故障情況下確定出現(xiàn)的故障 相關(guān)的運行模式����。接著鑒于整個系統(tǒng)的盡可能廣的可用性由所述運行模式選出仍可用的運 行模式并進而逐級地降低系統(tǒng)的效率。
[0006] 尤其對于電動車輛的發(fā)動機管理系統(tǒng)來說��,必須考慮執(zhí)行直至最高安全要求等級 (例如ASIL D)���。尤其在用于對安全極重要的機動車調(diào)節(jié)系統(tǒng)的多層級軟件架構(gòu)中,考慮上 文所述的不期望的效應(yīng)����。因此,通過硬件和軟件的相應(yīng)的構(gòu)想以及其相互作用實現(xiàn)重要的 安全功能以及尤其通過數(shù)據(jù)加密實現(xiàn)由ASIL要求的安全功能(例如在數(shù)據(jù)通信時)的獨 立性��。如果密碼在接收者處不能再次被解密�����,則通過斷開路徑,例如智能看門狗(窗口監(jiān)視 器)斷開通信或整個系統(tǒng)�。
[0007] 現(xiàn)代的(多核)微控制器具有用于整個硬件的、本身已知的安全機構(gòu)����,其中冗余 處理器通常在同步或不同步的鎖定步驟運行中工作,從而能夠控制單重_����、多重-或短時錯 誤。在該說明書的意義上���,微控制器也理解為微處理器�����、微控制器系統(tǒng)以及微處理器系統(tǒng)���, 其具有至少一個處理器且能通過外圍設(shè)備功能獲取以及發(fā)出信號。
[0008] 由于冗余處理器之間任務(wù)執(zhí)行的時間上的延遲�,基于內(nèi)置的硬件安全機構(gòu)可以在 安全時間內(nèi)(例如小于1 ms)容忍錯誤,因為通過至少一個安全機構(gòu)阻止該錯誤導(dǎo)致潛在 危險的情況。例如�����,安全機構(gòu)可以是數(shù)據(jù)修正�,該數(shù)據(jù)修正對識別為錯誤的數(shù)據(jù)進行改正并 把該經(jīng)改正的數(shù)據(jù)用于后續(xù)處理���。
[0009] 硬件���、例如微控制器與其外圍設(shè)備的通信可以通過錯誤修正方法(ECC)、錯誤檢測 方法(EDC)和/或終端對終端數(shù)據(jù)加密(E2E)來預(yù)防不同的錯誤類型���。EDC對錯誤修正的 監(jiān)控來說是重要的��,從而在出現(xiàn)多個和/或暫時的錯誤時能調(diào)整公差或反應(yīng)�����。外圍設(shè)備單 元(例如模數(shù)轉(zhuǎn)換器)的數(shù)字初始值例如可以借助于EDC保證�,其中模擬輸入?yún)⒘康闹低?過兩個獨立的和被未定義的區(qū)域分開的電勢帶保證�。例如,大于4. 5V的值可以對應(yīng)于高電 平以及小于〇. 5V的值可以對應(yīng)于低電平���。有效性寄存器隨后在模數(shù)轉(zhuǎn)換期間作為數(shù)據(jù)加 密或數(shù)據(jù)簽名耦聯(lián)至數(shù)字輸出值���。
[0010] 對機動車控制設(shè)備來說����,進行軟件架構(gòu)的增大的標(biāo)準化或者使用運行時環(huán)境 (RTE)��,以便另外改進軟件模塊的便攜性�����、可再使用性以及安全性并最終還節(jié)省研發(fā)成本���。 因此�,為機動車控制設(shè)備的應(yīng)用軟件提供一標(biāo)準化環(huán)境��,其不再直接被微控制器的技術(shù)因 素影響�。為了在確定所有實際上可能的微控制器的錯誤因素的意義上基于在該微控制器上 執(zhí)行的軟件進行架構(gòu)分析,基本上必須檢查微控制器的每個特性��。在更換至另一種微控制 器類型的情況下或者當(dāng)微控制器的制造者改變了生產(chǎn)技術(shù)或所用的材料時��,必須考慮這一 點���。因此使用標(biāo)準化軟件架構(gòu)的優(yōu)點在于���,在硬件改變時不需要或僅需要進行小幅度的應(yīng) 用軟件的調(diào)整�。
[0011] 下面以標(biāo)準化軟件架構(gòu) AutoSar? (AUTomotive Open System ARchitecture⑧汽車開發(fā)架構(gòu)系統(tǒng))為例闡述根據(jù)現(xiàn)有技術(shù)的另一個安全原 理�。AutoSar?.以版本4詳細說明了用于從基礎(chǔ)軟件至運行時環(huán)境(rte)的層級的通信信 道的E2E安全性。在基于微控制器抽象層級建立的軟件層級中�����,由外圍設(shè)備作為輸入信號 存在的原始信息被加密且在通過軟件層級轉(zhuǎn)移加密數(shù)據(jù)后在RTE的區(qū)域內(nèi)進行解密����。作為 另一個高于RTE的層級的應(yīng)用軟件可以使用這些數(shù)據(jù)用于后續(xù)處理��。即通過AutoSar?: 進行基于軟件的E2E數(shù)據(jù)加密����,其中尤其沒有對硬件-軟件端口進行保護。然而不允許以 對安全極重要的方式影響到用于功能監(jiān)控的軟件��、外圍設(shè)備的通信信道�、降級軟件或其他 安全軟件。通過例如在基礎(chǔ)軟件中����,在不同的軟件層級中分開調(diào)節(jié)功能和功能監(jiān)控以及硬 件-或系統(tǒng)安全���,可以減小可能的錯誤傳播并進而避免或中斷錯誤級聯(lián),例如在分開的控 制設(shè)備中����。
[0012] 由硬件作用于應(yīng)用軟件的原則性的錯誤例如可以是由于不同原因歪曲的或錯誤 產(chǎn)生的數(shù)據(jù)。此外�,數(shù)據(jù)可能由于硬件錯誤而不能及時地供軟件過程使用。
【發(fā)明內(nèi)容】
[0013] 因此本發(fā)明的目的在于�,改進尤其是機動車中對安全極重要的電子系統(tǒng)的功能安 全性并提高可用性。
[0014] 該目的通過根據(jù)權(quán)利要求1所述的根據(jù)本發(fā)明的方法以及根據(jù)權(quán)利要求14所述 的根據(jù)本發(fā)明的系統(tǒng)實現(xiàn)���。
[0015] 本發(fā)明描述了一種用于改進電子調(diào)節(jié)系統(tǒng)�����、尤其是機動車調(diào)節(jié)系統(tǒng)的功能安全性 并提高可用性的方法�����,包括硬件組件和軟件組件����,其中硬件組件通過至少一個基礎(chǔ)軟件組 件和/或至少一個運行時環(huán)境抽象得到,其中����,執(zhí)行的安全方案描述了兩個或更多的軟件 層級,其中第一軟件層級包括應(yīng)用軟件的調(diào)節(jié)功能��,第二軟件層級設(shè)計作為功能監(jiān)控尤其 用于預(yù)防調(diào)節(jié)功能的故障���,其中本發(fā)明的特征還在于�,借助于至少一個第一軟件組件把由 至少一個硬件組件提供的數(shù)據(jù)加密和/或數(shù)據(jù)簽名用于硬件組件的至少一個通信信道的 數(shù)據(jù)保護/數(shù)據(jù)安全�。因此,有利地額外地保證了軟件至硬件的端口�����,由此通過根據(jù)本發(fā)明 的方法實現(xiàn)了軟件組件彼此之間的獨立性以及軟件組件和硬件組件之間的獨立性���。從而避 免了或者可以發(fā)現(xiàn)錯誤影響。
[0016] 根據(jù)特別優(yōu)選的實施方案�����,第一軟件組件是完備性管理器����,其中通過通信信道通 信的�、加密的和/或簽名的數(shù)據(jù)被提供給完備性管理器和/或運行時環(huán)境和/或基礎(chǔ)軟件 組件�����,完備性管理器對通信信道的通信的數(shù)據(jù)的完備性進行檢查���,其中���,完備性管理器尤其 使用數(shù)據(jù)加密和/或數(shù)據(jù)簽名以用于檢查數(shù)據(jù)的完備性。因此����,應(yīng)用軟件也可以有利地用 于對安全性最重要的功能。功能監(jiān)控不必掌握由于硬件造成的外部影響����,而只需預(yù)防系統(tǒng) 錯誤,該系統(tǒng)錯誤可能由于規(guī)格-和執(zhí)行錯誤產(chǎn)生�。因此避免了由于外部影響造成的數(shù)據(jù) 歪曲。
[0017] 在基本上存在加密的和/或簽名的數(shù)據(jù)的完備性時�����,完備性管理器特別優(yōu)選提供 了應(yīng)用軟件的未加密的和/或未簽名的信息數(shù)據(jù)。優(yōu)選相對于確定的數(shù)據(jù)傳輸路段確定相 應(yīng)的安全要求等級的完備性的存在�。因此有利地,對降級來說在定義的位置處提供了對獨 立性的傷害����。
[0018] 對應(yīng)于一優(yōu)選的實施方案,當(dāng)不存在加密的和/或簽名的數(shù)據(jù)的完備性時���,完備 性管理器產(chǎn)生一錯誤編碼�����,所述錯誤編碼尤其能通過應(yīng)用軟件處理��,其中�,不提供或僅與錯 誤編碼一起提供應(yīng)用軟件的未加密的和/或未簽名的信息數(shù)據(jù)和/或為未加密的信息數(shù)據(jù) 分配不可信的值����。
[0019] 優(yōu)選地��,完備性管理器從屬于應(yīng)用軟件��,和/或運行時環(huán)境從屬于完備性管理器����, 和/或完備性管理器在運行時環(huán)境中執(zhí)行�,其中���,運行時環(huán)境為完備性管理器提供了加密 的和/或簽名的數(shù)據(jù)��。
[0020] 優(yōu)選地����,設(shè)置有降級管理器��,其設(shè)計為至少一個第三軟件層級和/或設(shè)計為第一 軟件層級和/或第二軟件層級的至少一個軟件過程���,其中��,降級管理器包括第一軟件層級 的調(diào)節(jié)功能的至少一個降級階段和/或第二軟件層級的功能監(jiān)控�。
[0021] 優(yōu)選地�,通過至少一個具有高優(yōu)先級、尤其是最高優(yōu)先級的軟件過程執(zhí)行降級管 理器的斷開功能�。因此,有利地實現(xiàn)了決定性地達到相應(yīng)的安全狀態(tài)�。
[0022] 對應(yīng)于一優(yōu)選的實施方案,基于數(shù)據(jù)的完備性和/或基于產(chǎn)生的錯誤編碼通過降 級管理器執(zhí)行機動車調(diào)節(jié)系統(tǒng)的和/或調(diào)節(jié)功能的和/或功能監(jiān)控的一次或多次選擇性斷 開和/或效率/性能的降級�����。因此,可以有利地避免了在錯誤情況下系統(tǒng)的嚴格的斷開以 及實現(xiàn)選擇性地斷開功能���。因此可以保留基于錯誤的最大可能的系統(tǒng)可用性�����,以便例如實 現(xiàn)緊急運行程序����,借助于該緊急運行程序例如可以離開危險區(qū)域或者到達維修廠����。因此得 到了安全方案和尤其是ISO 26262的有利的統(tǒng)一,因為可以確保達到針對相應(yīng)的錯誤情況 的有效的��、安全的狀態(tài)��。
[0023] 應(yīng)用軟件的完備性管理器優(yōu)選地在暫時的錯誤時提供不可信的信息數(shù)據(jù)和/或 在永久的錯誤時提供產(chǎn)生的錯誤編碼�。因此����,有利地可以給予可用的數(shù)據(jù)加密和/或數(shù)據(jù) 簽名選擇性地斷開和/或使機動車調(diào)節(jié)系統(tǒng)的功率降級�����,同時不必設(shè)置其它的診斷措施�。 因此����,例如可以省去用于智能傳感器的傳感器數(shù)據(jù)的單獨的可靠性機構(gòu)。
[0024] 功能監(jiān)控和/或降級管理器和/或完備性管理器優(yōu)選可以存取數(shù)據(jù)的數(shù)據(jù)加密和 /或數(shù)據(jù)簽名�。優(yōu)點是,例如功能監(jiān)控被通知了與外圍設(shè)備通信的數(shù)據(jù)的可靠性�。
[0025] 根據(jù)另一個優(yōu)選的實施方案,功能監(jiān)控和/或降級管理器使用數(shù)據(jù)加密和/或數(shù) 據(jù)簽名�,以用于數(shù)據(jù)的額外的可信性測試。
[0026] 優(yōu)選地���,為軟件組件�����、軟件功能和/或軟件過程之間的通信信道通過進行接收的 軟件組件檢查數(shù)據(jù)加密和/或數(shù)據(jù)簽名���。這尤其對多處理器來說是有利的,因為軟件組件 之間的數(shù)據(jù)通信由于數(shù)據(jù)中間存儲或微控制器中的處理而總是會被歪曲。
[0027] 優(yōu)選地�,在連續(xù)的運行中,尤其在安全時間內(nèi)設(shè)置執(zhí)行所述方法的微控制器的程 序運行的重啟和/或同步��,其中在超過安全時間的情況下��,通過斷開部件����、尤其是通過看門 狗開始安全狀態(tài)。
[0028] 完備性管理器優(yōu)選地為--尤其是獨立的和/或無反作用的--軟件組件確保了 數(shù)據(jù)技術(shù)的和/或時間的分離���,其中數(shù)據(jù)技術(shù)的和/或時間的分離優(yōu)選用于��,尤其在獨立性 受損時選擇性地和/或按優(yōu)先級斷開不同安全要求等級的軟件組件��。因此有利地���,為應(yīng)用 軟件實現(xiàn)了抽象的軟件架構(gòu),該軟件架構(gòu)基本上不受錯誤的���、不可確定的硬件因素影響����。
[0029] 本發(fā)明還涉及一種用于執(zhí)行所述方法的電子調(diào)節(jié)系統(tǒng)、尤其是機動車調(diào)節(jié)系統(tǒng)�����。 對根據(jù)本發(fā)明的系統(tǒng)來說��,軟件架構(gòu)分析有利地局限在可能的系統(tǒng)錯誤上�,該系統(tǒng)錯誤減 小至應(yīng)用軟件的可能的系統(tǒng)錯誤����。由此避免了尤其在軟件組件研發(fā)中產(chǎn)生的錯誤。
【專利附圖】
【附圖說明】
[0030] 根據(jù)附圖由下面對實施例的描述得到其它優(yōu)選的實施方案���。
[0031] 附圖示出:
[0032] 圖1示出用于說明根據(jù)本發(fā)明的方法的工作方式的原理圖�;
[0033] 圖2示出一原理圖����,其中存在軟件層級的備選的布置;以及
[0034] 圖3示出用于闡述本發(fā)明的其它實施例的原理圖����。
【具體實施方式】
[0035] 圖1示出用于改進電子機動車調(diào)節(jié)系統(tǒng)的功能安全性并提高可用性的本發(fā)明的 基本工作方式。因此���,機動車調(diào)節(jié)系統(tǒng)也可理解為任意機動車組件的控制裝置�����。為了更好 地理解以機動車調(diào)節(jié)系統(tǒng)為例的本發(fā)明����,僅繪出和/或說明了其重要的組件。
[0036] 為了抽象隨后描述的執(zhí)行軟件組件的微處理器的硬件���,通過該微處理器執(zhí)行運行 時環(huán)境2和基礎(chǔ)軟件20����。在此��,軟件組件尤其理解為軟件過程����、軟件功能和/或軟件層級。 中心元件是完備性管理器3,其監(jiān)控了數(shù)據(jù)通信的安全技術(shù)上的完備性并可以通過必要的 條件供使用�,以便借助于降級管理器6使機動車調(diào)節(jié)系統(tǒng)轉(zhuǎn)移至選擇性的安全的狀態(tài)中。 [0037] 安全方案基本上設(shè)計了應(yīng)用軟件4�����、5、6的三個層級�,其中第一層級4包括例如機 動車制動調(diào)節(jié)的調(diào)節(jié)功能(基本功能),第二層級5執(zhí)行調(diào)節(jié)功能4的功能監(jiān)控����,以及第三 層級6設(shè)計為系統(tǒng)的不同的降級階段和降級場景的降級管理器�。對功能監(jiān)控5來說,為了 預(yù)防系統(tǒng)錯誤���,借助于多種軟件算法以本身已知的方式執(zhí)行調(diào)節(jié)功能4����。每個軟件層級可以 優(yōu)選作為基礎(chǔ)軟件的或運行系統(tǒng)的和/或應(yīng)用軟件的獨立過程執(zhí)行��。功能監(jiān)控5和降級管 理器6尤其可以劃分為不同的過程6a�、6b,同時具有不同的安全要求等級����,例如ASIL B和 ASIL D。
[0038] 軟件組件的其它監(jiān)控��,例如獨立性監(jiān)控以及時間監(jiān)控以本身已知的方式通過流程 監(jiān)控10借助于下游連接的斷開機構(gòu)15,例如過程調(diào)度器執(zhí)行�����。其例如監(jiān)控劃分的受損、存 儲器監(jiān)控�、執(zhí)行進入條件的過程以及其時間和邏輯正確的執(zhí)行。圖1中示出了流程監(jiān)控10 通過條件框12a和12b結(jié)合在功能監(jiān)控5和降級管理器6中�����。
[0039] 在錯誤情況下�����,功能監(jiān)控5和/或降級管理器6可以使機動車調(diào)節(jié)系統(tǒng)或單獨的 調(diào)節(jié)-和/或應(yīng)用功能轉(zhuǎn)移或降級至安全狀態(tài)中��,因此�����,可以進行功率降級或減小功能范 圍���。機動車調(diào)節(jié)系統(tǒng)的可用性和錯誤公差通過這些措施得到顯著改進�����。例如�����,有效地限制 了面臨過熱的發(fā)動機的功率輸入��。
[0040] 降級的所有斷開機構(gòu)能選擇性地實現(xiàn)��,從而微控制器的基本功能基本上不必被斷 開�。因此,斷開機構(gòu)15���、例如看門狗本身不必一定用于具有高安全要求等級、像ASIL D的安 全功能�����。僅當(dāng)其用于斷開用于執(zhí)行的微控制器的硬件時�����,才必須使用斷開機構(gòu)15�����。因此����,盡 可能避免了微控制器的基于安全性的重啟并顯著改進了系統(tǒng)可用性�����。為了實現(xiàn)這一點����,可 以基于用于執(zhí)行的微控制器的輸出識別碼處理軟件組件的相應(yīng)的加密的指示并因而開始 安全狀態(tài)���。為了在硬件方面相應(yīng)地冗余���,可以使用本身已知的橋接電路或激活線路,以便開 始安全狀態(tài)���。因為微處理器的軟件組件不能同時而是順序地進行處理����,所以不僅考慮數(shù)據(jù) 技術(shù)的��,而且也考慮時間上的分離���,這同樣借助于外部的斷開機構(gòu)15監(jiān)控并確保�。
[0041] 例如,用于執(zhí)行的微處理器可以在安全時間內(nèi)重新啟動���,這尤其在使用單核微處 理器時是有利的�����,因為不存在冗余�����。微處理器的輸出在重啟期間處于靜止?fàn)顟B(tài)且在安全時 間內(nèi)進行重啟以及與程序流程的同步�。通過這種做法在重啟期間不引起機動車調(diào)節(jié)系統(tǒng)的 安全臨界狀態(tài)��,因為整個外圍設(shè)備保持功能有效且不必中斷輔助功能�、例如通信�。如果不能 在安全時間內(nèi)重新啟動,則外部的斷開機構(gòu)10使機動車調(diào)節(jié)系統(tǒng)轉(zhuǎn)移至安全狀態(tài)���。如果斷 開路徑通過降級管理器6的處理(Task任務(wù))以最高優(yōu)先級被使用�����,則得到了用于系統(tǒng)的 可靠反應(yīng)的時間決定論����,這表示,系統(tǒng)在出現(xiàn)錯誤的情況下在時間上基本上表現(xiàn)正確或符 合預(yù)期���。
[0042] 取代(例如所述的以AutoSar?為例的)軟件架構(gòu)的軟件層級之間的純粹的軟 件數(shù)據(jù)加密�����,使用機動車的現(xiàn)有硬件1的數(shù)據(jù)加密和/或數(shù)據(jù)簽名���,例如傳感器、執(zhí)行器���、端 口���、模數(shù)轉(zhuǎn)換器和/或機動車控制設(shè)備本身的組件。因此額外地確保軟件組件至硬件1的 端口���。
[0043] 硬件1與機動車控制設(shè)備或微控制器通信�。通信的�����、加密的數(shù)據(jù)8a、9a"?8c�、9c 包括信息數(shù)據(jù)8a…8c以及硬件1的所屬的數(shù)據(jù)加密9a…9c和/或數(shù)據(jù)簽名。通過通信 信道7為完備性管理器3提供了加密數(shù)據(jù)8a�、9a?8c、9c��。由于該終端對終端數(shù)據(jù)加密使 通信信道7安全�����。因此可以識別單重-���、多重-以及暫時的錯誤�����。在此不存在局限在根據(jù) AutoSar⑧,的E2E數(shù)據(jù)加密�,因此,可選地例如可以使用Cray編碼的或額外的檢查模式 和未加密的信息作為記憶在數(shù)據(jù)模板中的數(shù)據(jù)簽名?,F(xiàn)代的模數(shù)轉(zhuǎn)換器例如通過自身的安 全機構(gòu)監(jiān)控,其中這種產(chǎn)生的數(shù)據(jù)也結(jié)合在ECC和EDC中���。該安全機構(gòu)因此也可以用于加 密�����。外圍設(shè)備與微控制器的通信以本身已知的方式例如通過外圍設(shè)備總線���,像SPI或者模 擬通信或數(shù)字通信進行�。
[0044] 完備性管理器3讀取進入的數(shù)據(jù)8a�����、9a?"8c����、9c并分析其完備性,其中這根據(jù)數(shù)據(jù) 8a���、9a…8c��、9c的可信性�、正確性����、無損性和/或現(xiàn)實性確定且也可以區(qū)分不同的完備性程 度。如果基本上存在數(shù)據(jù)完備性,則應(yīng)用軟件4�、5、6至少得到對信息數(shù)據(jù)8a…8c的存取用 于后續(xù)處理�����?��?蛇x地��,完備性管理器3完全釋放加密的數(shù)據(jù)8a����、9a··· 8c����、9c,其中所述數(shù)據(jù) 被相應(yīng)的進行接收的軟件組件解密�����。
[0045] 由此實現(xiàn)為了達到安全而相對于多重錯誤限制錯誤傳播����,即功能監(jiān)控5和/或降 級管理器6用于為了更高的安全要求等級(例如ASIL D)使具有較低的安全要求等級(例 如ASIL B)的數(shù)據(jù)8a、9a*"8c����、9c的完備性可信。由此��,除了完備性檢查外�����,通過完備性管 理器3還實現(xiàn)了第二獨立的安全機構(gòu)���。這在圖1中通過條件框11a和lib示出�����,其中作為 基礎(chǔ)����,可以考慮通信信道7的不同的數(shù)據(jù)框和/或不同的通信信道的數(shù)據(jù)8a����、9a?8 C、9c# 及信息數(shù)據(jù)8a…8c的任意組合和/或不同數(shù)據(jù)8a�����、9a"*8c、9c的數(shù)據(jù)加密9a…c��。
[0046] 如果機動車調(diào)節(jié)系統(tǒng)中存在錯誤�����,則通過完備性管理器3把基于錯誤診斷相應(yīng)地 產(chǎn)生的錯誤編碼傳遞至應(yīng)用軟件4����、5、6,然而尤其是功能監(jiān)控5和/或降級管理器6���。如果 根據(jù)通過功能監(jiān)控5的可信性檢查識別出錯誤��,則通過功能監(jiān)控5把相應(yīng)的信息�,例如通過 錯誤編碼傳遞至降級管理器6��?�;谟赏陚湫怨芾砥?提供的�、關(guān)于數(shù)據(jù)完備性和可能的錯 誤、可信性檢查以及流程監(jiān)控10的結(jié)合的信息可以進行詳細的錯誤分析�。由此實現(xiàn)了顯著 更復(fù)雜的降級構(gòu)想的精確的措施���,其中可以容忍錯誤或者進行系統(tǒng)的功率的降級��。微控制 器的安全時間同樣對于降級管理器6是重要的�����。錯誤分析的詳細程度在此可以使之取決于 至相應(yīng)的安全要求等級的分組�����。對例如在執(zhí)行器處的控制指令來說�,必須在應(yīng)用軟件3、4����、 5內(nèi)提供內(nèi)部的診斷信息,從而能開始對安全極重要的行為���。當(dāng)根據(jù)診斷信息推斷出至出口 的時間符合且正確的數(shù)據(jù)傳輸時����,則例如僅為對安全極重要的功能開啟微控制器的出口���。 [0047] 除了出現(xiàn)的錯誤本身外�,還可以為相應(yīng)的降級構(gòu)想決定,是否涉及暫時的或永久 的錯誤和/或涉及的軟件組件被分在哪個安全要求等級�����。此外�����,在此還可以考慮���,是否存在 的錯誤可以通過有意的外部影響�����,例如通過機動車調(diào)節(jié)系統(tǒng)的安全漏洞或者通過其它方式 產(chǎn)生���。
[0048] 例如,在暫時的錯誤的情況下�����,完備性管理器3可以至少使信息數(shù)據(jù)8a…8c改變 為不可信的值�,阻止通過應(yīng)用軟件4�����、5�、6的存取或者進一步提供存取���。例如,如果出現(xiàn)了數(shù) 據(jù)加密9a…9c的錯誤且通過完備性管理器3對此進行了確定����,則信息數(shù)據(jù)8a…8c可以通 過應(yīng)用軟件原則上或暫時地繼續(xù)使用,因此完備性管理器3為應(yīng)用軟件4��、5�����、6提供信息數(shù) 據(jù)8a…8c并傳遞錯誤編碼至降級管理器6�。如果在定義的時間之后還存在該錯誤,則可以 通過降級管理器6觸發(fā)相應(yīng)的反應(yīng)���。
[0049] 在下文對其它附圖的描述中�����,基本上僅討論與上述實施方案的區(qū)別��,以便避免重 復(fù)����,其中為了方便,相同的元件具有相同的附圖標(biāo)記且分別僅用于說明對本發(fā)明來說重要 的細節(jié)��。
[0050] 在沒有局限的情況下�����,圖1的實施例基本上針對使用或基于統(tǒng)一的軟件架構(gòu) AutoSar?���。圖2在此示出與圖1的實施例相比軟件層級的備選的布置����。完備性管理器3����、 功能監(jiān)控5以及降級管理器6相應(yīng)地按等級地在運行時環(huán)境2下實現(xiàn)。運行時環(huán)境在此可 以額外地包括流程或過程監(jiān)控10的功能��。調(diào)節(jié)功能13a、13b的或者軟件層級的其它系統(tǒng) 功能或輔助功能的相應(yīng)的過程根據(jù)其安全要求����,例如ASIL B和ASIL D設(shè)計。
[0051] 根據(jù)在圖3中示出的實施例�,降級管理器6也可以設(shè)計為通過調(diào)節(jié)功能層級4的 獨立的軟件過程或獨立的軟件功能。例如��,降級措施根據(jù)可信性通過完備性管理器6通過 條件框14執(zhí)行�����。此外�����,通過監(jiān)控過程13b以較低的安全要求等級�,例如ASIL B進行對機動 車調(diào)節(jié)功能的或軟件過程13c的監(jiān)控�����。此外��,具有高的安全要求等級(例如ASIL D)的過 程13a設(shè)計用于監(jiān)控調(diào)節(jié)功能13c和調(diào)節(jié)功能的監(jiān)控過程13b�。
【權(quán)利要求】
1. 一種用于改進電子調(diào)節(jié)系統(tǒng)、尤其是機動車調(diào)節(jié)系統(tǒng)的功能安全性并提高可用性的 方法,包括硬件組件(1)和軟件組件(2�����、3���、4����、5��、6�、10、20)�����,其中�����,硬件組件(1)通過至少一個 基礎(chǔ)軟件組件(20)和/或至少一個運行時環(huán)境(2)抽象得到����,其中�����,執(zhí)行的安全方案描述 了兩個或更多的軟件層級���,其中,第一軟件層級(4)包括應(yīng)用軟件的調(diào)節(jié)功能����,第二軟件層 級(5)設(shè)計作為功能監(jiān)控,尤其用于預(yù)防調(diào)節(jié)功能的故障����, 其特征在于, 借助于至少一個第一軟件組件(3)把由至少一個硬件組件(1)提供的數(shù)據(jù)加密(9a��、 9b�����、9c)和/或數(shù)據(jù)簽名用于硬件組件(1)的至少一個通信信道(7)的數(shù)據(jù)保護�。
2. 根據(jù)權(quán)利要求1所述的方法���, 其特征在于����, 第一軟件組件(3)是完備性管理器(3),其中�,通過通信信道(7)通信的、加密的和/或 簽名的數(shù)據(jù)(8a�����、9a…8c�、9c)被提供給完備性管理器(3)和/或運行時環(huán)境(2)和/或基 礎(chǔ)軟件組件(20),完備性管理器(3)對通信信道(7)的通信的數(shù)據(jù)(8a�、9a…8c、9c)的完 備性進行檢查���,其中��,完備性管理器(3)尤其使用數(shù)據(jù)加密(9a����、9b���、9c)和/或數(shù)據(jù)簽名以 用于檢查數(shù)據(jù)(8a����、9a…8c、9c)的完備性�����。
3. 根據(jù)權(quán)利要求2所述的方法�, 其特征在于, 在基本上存在加密的和/或簽名的數(shù)據(jù)(8a����、9a…8c、9c)的完備性時����,完備性管理器 ⑶提供了應(yīng)用軟件(4、5���、6)的未加密的和/或未簽名的信息數(shù)據(jù)(8a··· c)���。
4. 根據(jù)權(quán)利要求2或3所述的方法���, 其特征在于��, 當(dāng)不存在加密的和/或簽名的數(shù)據(jù)(8a���、9a…8c��、9c)的完備性時�,完備性管理器(3)產(chǎn) 生一錯誤編碼��,所述錯誤編碼尤其能通過應(yīng)用軟件處理����,其中,不提供或僅與錯誤編碼一起 提供所述應(yīng)用軟件(4��、5��、6)的未加密的和/或未簽名的信息數(shù)據(jù)(8a··· 8c)和/或為未加 密的信息數(shù)據(jù)(8a···8c)分配不可信的值���。
5. 根據(jù)權(quán)利要求2至4中至少一項所述的方法���, 其特征在于, 完備性管理器(3)從屬于應(yīng)用軟件(4����、5、6)�����,和/或運行時環(huán)境(2)從屬于完備性管理 器,和/或完備性管理器在運行時環(huán)境(2)中執(zhí)行�,其中,運行時環(huán)境(2)為完備性管理器 ⑶提供了加密的和/或簽名的數(shù)據(jù)(8a��、9a…8c����、9c)。
6. 根據(jù)權(quán)利要求1至5中至少一項所述的方法�����, 其特征在于���, 設(shè)置有降級管理器¢)���,其設(shè)計為至少一個第三軟件層級和/或設(shè)計為第一軟件層級 (4)和/或第二軟件層級(5)的至少一個軟件過程,其中����,降級管理器(6)包括第一軟件層 級(4)的調(diào)節(jié)功能的至少一個降級階段和/或第二軟件層級(5)的功能監(jiān)控����。
7. 根據(jù)權(quán)利要求6所述的方法���, 其特征在于, 功能監(jiān)控(5)和/或降級管理器(6)使用數(shù)據(jù)加密(9a����、9b、9c)和/或數(shù)據(jù)簽名�,以用 于數(shù)據(jù)(8a、9a…8c��、9c)的額外的可信性測試���。
8. 根據(jù)權(quán)利要求6或7所述的方法���, 其特征在于, 通過至少一個具有高優(yōu)先級��、尤其是最高優(yōu)先級的軟件過程執(zhí)行降級管理器¢)的斷 開功能���。
9. 根據(jù)權(quán)利要求6至8中至少一項所述的方法�����, 其特征在于���, 基于數(shù)據(jù)(8a��、9a…8c����、9c)的完備性和/或基于產(chǎn)生的錯誤編碼和/或基于數(shù)據(jù)的額 外的可信性測試����,通過降級管理器(6)執(zhí)行機動車調(diào)節(jié)系統(tǒng)的和/或調(diào)節(jié)功能(4)的和/ 或功能監(jiān)控(5)的一次或多次選擇性斷開和/或效率的降級。
10. 根據(jù)權(quán)利要求6至9中至少一項所述的方法��, 其特征在于�, 功能監(jiān)控(5)和/或降級管理器(6)和/或完備性管理器(3)能夠存取數(shù)據(jù)(8a、9a… 8c��、9c)的數(shù)據(jù)加密(9a��、9b��、9c)和/或數(shù)據(jù)簽名��。
11. 根據(jù)權(quán)利要求1至10中至少一項所述的方法, 其特征在于���, 在連續(xù)的運行中��,尤其在安全時間內(nèi)設(shè)置執(zhí)行所述方法的微控制器的程序運行的重啟 和/或同步,其中����,在超過安全時間的情況下,通過斷開部件���、尤其是通過看門狗開始安全 狀態(tài)��。
12. 根據(jù)權(quán)利要求2至11中至少一項所述的方法���, 其特征在于, 完備性管理器(3)為軟件組件確保了數(shù)據(jù)技術(shù)的和/或時間的分離�����。
13. 根據(jù)權(quán)利要求12所述的方法��, 其特征在于�, 數(shù)據(jù)技術(shù)的和/或時間的分離用于,尤其在獨立性受損時選擇性地和/或按優(yōu)先級斷 開不同安全要求等級的軟件組件。
14. 一種電子調(diào)節(jié)系統(tǒng)��、尤其是機動車調(diào)節(jié)系統(tǒng)����, 其特征在于, 所述電子調(diào)節(jié)系統(tǒng)執(zhí)行根據(jù)權(quán)利要求1至13中至少一項所述的方法����。
【文檔編號】B60W50/02GK104272316SQ201380013045
【公開日】2015年1月7日 申請日期:2013年3月5日 優(yōu)先權(quán)日:2012年3月6日
【發(fā)明者】S·哈貝爾, H-L·羅斯 申請人:大陸-特韋斯貿(mào)易合伙股份公司及兩合公司, 康蒂-特米克微電子有限公司