车辆单元和用来操作车辆单元的方法
【专利摘要】本发明涉及一种用于控制车辆功能的带有微处理器和连接的存储器的车辆单元和方法,在其上执行构成硬件与应用程序之间的界面和用户交互的主操作系统。微处理器构建在微内核结构中,该微内核结构具有用于主操作系统单元(1),加密单元(4)和监控单元(2)的分离的分区,其中主操作系统设置在主操作系统单元(1)中,软件证书储存在加密单元(4)中并且验证程序设置用于检验证书和软件包,在监督单元(2)中设有监控程序,以用于监控微内核结构的其他分区的功能。
【专利说明】车辆单元和用来操作车辆单元的方法
【技术领域】
[0001]本发明涉及一种用于控制车辆功能的车辆单元,例如中央车辆控制单元,多媒体车载单元或类似的以及用于操作该车辆单元的方法。该车辆单元具有通常带有连接的存储器的微处理器,其中,在该微处理器上执行由其后也称为主操作系统OS的主操作系统。根据本发明,该主操作系统构成车辆控制单元的硬件与在主操作系统中执行和/或在可能的情况下还在微处理器上附加地执行的应用程序(Applicationen)之间的界面和通过用户界面(User Interface)的用户交互。
【背景技术】
[0002]这样的电子的车辆单元在越来越多的车辆中使用,其中应用程序被安装在车辆单元中,而应用程序是由用户输入或与车辆单元相连的硬件组件,或两者一起来控制。这样的开放系统导致了一些可能性的发生,例如由于连接在车辆单元中的存储器的写入错误,在车辆单元上的主操作系统和/或应用程序在特定条件下不再工作。如果在太多的回滚存储器访问较早的存储条目或太多的程序的添加行为或删除行为中就可能会出现这样的问题。那么需要频繁重新安装主操作系统以及必要时重新安装应用程序。这种重新安装对于原始设备制造商、中间商和最终客户都是非常耗费的,因为车辆单元必须从汽车上拆下,并且送到维修服务部,然后为了重新执行在微处理器上的主要操作系统并且必要时的应用程序,维修服务部必须在一个被称为“闪烁(Flashing)”的过程中重新写入存储器。
【发明内容】
[0003]因为这是劳动和成本密集的工作,本发明的目的是为了减少以下情况的数量,在这些情况中前面描述的维修必须通过改造和向维修服务部发送车辆单元来实施。
[0004]这个任务是通过具有权利要求1的特征的车辆单元和根据权利要求7的特征来操作该车辆单元的方法来实现。在前述类型的车辆单元中由此提出,即微处理器构建在微内核结构中,该微内核结构具有用于主操作系统单元、加密单元和监控单元的分离的分区,其中,主操作系统以及必要时应用程序设置在主操作系统单元中,在加密单元中存储有软件证书,并且设置有验证程序用于验证证书和软件包,并且其中,在监督单元中设有监控程序,用于监控微内核结构的其他分区的功能。
[0005]根据本发明,分离的分区和在其上设置的程序互相之间是独立工作,其中监督单元的监控程序监控其他分区的功能并且优选地在确定错误时引入维修过程,例如通过在微内核结构中对于有错误的分区的重新写入。一个这样的闪存过程通过回归到系统上次已知的稳定状态来维修系统。
[0006]因而根据本发明通过设计带有分离的分区的微内核结构也是可能的,那么当主操作系统单元发生错误时,也可能使用监督单元,以使得可以实现通过监督单元来维修整个系统,而传统上必须在维修服务部通过连接相对应的维修系统才能实现。在此,监督单元的监控程序能够特别是为主操作系统单元例如以看门狗功能的形式实现。根据本发明,整个微内核结构优选地在刚好一个微处理器上执行,在该微处理器上也设置不同分区的所有单元,并且在该微处理器上所有分配给不同的单元的功能通过执行适合的程序来进行。
[0007]根据本发明,设置主操作系统单元的分区,以使得其能由终端用户,例如通过下载和安装新应用程序和/或固件程序来改变。尤其是固件程序也可以包括主操作系统的新版本。
[0008]在此根据本发明可能的是,不仅安装更新而且完全新写入分区(闪烁),其中在车辆单元中重新安装主操作系统。这描述了在软件错误时车辆单元处于一个功能性的状态下的可能性。
[0009]根据本发明的一个特别有利的改造方案,在微处理器中的微内核结构的其他的分区设置为不能通过终端用户来改变。这优选地涉及微内核结构的所有其他的分区,但尤其是加密单元和监督单元或者是带有加密单元和监督单元的相应的分区。由此通过用户对主操作系统单元同时影响时能够达到一个总体高的系统可靠性,因为对于一个主操作系统可能恢复的负责的分区和微内核结构的单元可以不通过用户交互而改变,并且因此,车辆单元能够实现恢复到一个预定、定义的状态。
[0010]在根据本发明的构想的再开发中,加密单元设置用于利用验证程序逐包地解密和/或验证在车辆单元中待安装的软件。由此这样的问体得以解决,即在车辆单元中和微处理器连接的存储器、特别是闪存具有仅仅相比之下很小的存储容量,该较小的存储容量通常对于完全应用的中间存储是不够的。这个例如也适用于带有主操作系统的分区的完全的映像(Abbild)0
[0011]在这种关联下,US2009/0217136A1已经描述了一个带有闪存存储器模块和在存储设备中包括的控制器的存储设备,其具有带有纠错模块的自身的微处理器,在从闪存存储器模块保存或读取数据时,该纠错模块进行逐包的纠正。针对此处,US2009/0217136A1中,然而建议一个单独的微处理器,其固定地对应于该存储单元,其中,该存储单元自身可以连接到主计算机系统上。在微内核结构的框架中实现该功能,相对提供了一个好优点,即可以使用唯一的微处理器,因为根据本发明的在微内核结构框架中的加密单元设计为不能从外部改变的分区,因此其可以保证避免不必要的或者有意识的操纵,并且在主操作系统和/或应用软件的解密和验证的框架中特别可靠地工作。在这个提出的结构框架中,没有必要在这里设置一个分离的处理器和控制器。
[0012]有利地,根据本发明,特别重要的监督单元设置用于,利用监控程序,在主操作系统中发生错误情况下为带有主操作系统的分区导入恢复程序方法。由此,在确定车辆单元的主操作系统中错误时这自动地实现,车辆操作单元可以因此特别安全以及可靠地操作。
[0013]根据一个简单的变体方案,一个带有基本的应用程序的有效的主操作系统的基本版本例如以映像(Image)的形式存储在与车辆单元连接的闪存中,作为主操作系统的分区的备份映像由监督单元来回写。
[0014]可替换的或者补充的,在恢复方法的框架中,优选地进行当前的主操作系统版本的用户交互下载,其通过监督单元,紧接着安装在主操作系统单元的分区中。由此,通过加密单元,可以在安装前或者安装期间验证安装的软件的完整性。
[0015]为了实现当前主操作系统版本或者当前应用程序的简单转移,车辆单元可以具有用于外界存储介质的界面,其也可以通过监督单元控制。这个界面例如可以是USB接口,由于插入安全数字卡(SD卡)的接口,其他的数据卡或者诸如此类。在此,界面不可以直接设计在车辆单元上,而是根据发明集成在车辆中本来已有的用户界面中。
[0016]监督单元或在其中执行的监控程序具有紧急操作系统,该紧急操作系统设置用于,控制必要的用户界面,例如显示器、输入单元或者诸如此类,以及用于外部存储介质的界面,并且实施恢复方法。
[0017]根据一个特别优选的实施形式,微内核结构可以设计为具有用于策略单元的分离的分区的所谓的分离内核,其中策略单元设置用于,监控并且必要时控制在微内核结构的各个分区之间的通信。因此策略单元阻止例如主操作系统存取其他分区,并且控制各个分区之间的通信流程。因为在与微处理器连接的存储器的内部或者在微处理器内部本身无法实现通过同样地由用户不可以改变的策略单元不可预料的动作,由此车辆单元达到很高的操作安全性和操纵安全性。
[0018]车辆单元或者说微内核结构的不同分区的相应的单元根据本发明来设置用于执行下面所述的用于操作车辆单元或该车辆单元的部件的方法。这个方法用来操作带有微处理器的车辆单元,在该微处理器上安置有带有用于主操作系统单元、加密单元和监督单元的分离分区的前面描述的微内核结构。根据本发明,主操作系统以及必要时应用程序设置在主操作系统单元中。这些可以通过用户来改变。根据本发明,在加密单元里存储有软件证书,也设置有验证程序用于验证证书和全部软件包。根据本发明,在监督单元中设有监控程序,用于监控在微内核结构中的其他分区的功能,其中通过监督单元的监控程序,在启动和/或操作主操作系统或者说车辆单元时监控主操作系统以及必要时已有的应用程序,并且在预定的行为发生偏差时导入恢复方法。因此,在许多情况下,车辆单元可以在故障情况下重新启动并且还原到工作状态,无需改造车辆单元和重写连接到微处理器的存储器来重新执行主操作系统软件以及应用程序。
[0019]在根据本发明的方法的的特别有利的设计方案中,在主操作系统启动和/或操作时,一个用来确定偏差的典型的用户界面(人机界面-HMI)的启动时间,是通过主操作系统要求的微处理器的计算时间和/或通过主操作系统要求的存储空间需求,例如通过比较对于普通操作预定的限定值来监控。这样的数据可以通过在一种类型的看门狗功能中的监控程序简单监控,以此模拟并查问例如用户界面的反应以及监控微处理器和存储器空间的操作。这在监督单元的一个分离的过程中很容易实现,在主操作系统单元的分区中的任可能的错误不会影响这个功能。
[0020]除非在确定有主操作系统单元的分区的不适当的操作时,启动恢复方法,在恢复方法的框架中,优选地具有主操作系统单元的分区完全关闭并从微内核结构中卸载。根据本发明,监督单元的紧急操作系统然后承担用户界面和/或者对于外部存储介质的界面的控制,以便显示车辆单元的故障并且在微内核结构相对应的分区中可以进行重新执行主操作系统单元。根据本发明的恢复方法可以自动地和/并且用户控制地进行。如果在依照发明的方法中主操作系统的分区在车辆单元中,例如在与微处理器连接的存储器中存储的备份映像实现回写,那么特别快速的、自动的缺陷分区的恢复能够实现。在回写这种备份映像之后可以重新启动车辆单元,其中,在重新启动时实施新安装的主操作系统。
[0021]可替换地,在恢复方法中可以执行对当前主操作系统版本的用户交互下载,其中当前的主操作系统版本特别地通过外部存储介质来读入,并安装在用于主操作系统的分区中。根据本发明可以给出用户一个序列号,版本识别号或类似的号码,以便实现用户在制造商的因特网上选择适当的主操作系统,即为一个合适的固件。在修改这些额外给出的信息时,也可能给出一个合适的互联网链接,尤其是以一个html文件的形式输出到外部存储介质上,其可以在连接到另一个计算机系统后利用互联网直接被调用,并导致下载相应的主操作系统。html文件,必要时利用JavaScript部分,验证存储介质的大小和存储映像文件和/或在一个合适目录下存储待安装的主操作系统的更新文件。通过如此,错误的减少得以实现,因为从一开始就避免了错误操作系统的错误安装,不必要相应地进行干预在车辆单元中安装的加密单元。如果需要的话,这也可以使用证书。
[0022]尽管如此特别有利的是,如果在安装主操作系统和/或以应用程序的形式适用于主操作系统的应用之前或其期间,通过加密单元来实现验证。在这种情况下,可以验证序列号、硬件版本、完整性、证书或类似的,并且必要时可以进行解密。
[0023]根据本发明,在写入因特网链接之后,例如html文件形式,切换至自动启动模式,该自动启动模式在车辆单元启动或加速时验证带有映像文件和/或者更新文件的外部存储介质的存在性,并且如果存在立即启动其安装。另一种情况,不检查外部存储器的存在性。这也保证了不会多次下载相同的软件版本,这可能导致不稳定的系统。成功的重新安装主操作系统后,也称为闪速,再以正常和普通方式切换回更快的启动模式。
[0024]最后,本发明还涉及一种计算机程序产品,其具有用于在计算单元中设置的程序编码,其中,计算机程序产品特征在于,通过程序编码装置在执行计算机程序时,将根据权利要求I至6描述的微内核结构和/或者按照权利要求7至12描述的方法设置在车辆单元的微处理器中。
【专利附图】
【附图说明】
[0025]本发明其他的优点、特征和应用可能性也在下述的实施例和附图的说明中给出。在此所描述的和/或图示示出的特征,单独或以任意组合构成了本发明的主题,而不取决于其权利要求中的总述或其参考文献。附图示出:
[0026]图1:根据本发明的微内核结构的结构示意图以及
[0027]图2:用于操作根据本发明的车辆单元的示意性的流程图。
【具体实施方式】
[0028]为此在图1中示出连接到微处理器的存储器的系统分区,为了运行在分区中的各种程序存储器访问该微存储器。这个分区设计为分离的内核,其是微内核结构的一种特殊变体。在微内核结构中,不同的分区1,2,3,4对于主操作系统单元、监督单元、策略单元和加密单元在同一与存储器连接的微处理器中执行,其中不同的分区在微处理器上相互独立地运行,并且也可以并行执行。
[0029]在主操作系统的分区I中,安装车辆单元的主操作系统,通过终端用户例如通过新应用程序的或者主操作系统软件版本的下载和安装来改变该主操作系统。
[0030]带有加密单元的分区4负责存储和批准证书并且检验应用软件或者整个软件包的证书。所有的软件证书安装在带有加密单元的分区4内部,其他分区1,2,3不可以访问分区4。由此,根据本发明,由于通过用户无法改变加密单元,因此安全性得以提高。[0031]带有监督单元的分区2监控例如带有类似看门狗机构的其他分区1,3,4,尤其是带有主操作系统的分区1,其负责车辆单元的规定功能。根据本发明,这个单元也负责检测不实用的主操作系统并且导入自动的或者用户交互的恢复过程。
[0032]带有策略单元的分区3是分离内核的一个标准单元,并且监视和控制不同分区1,2,4之间的通信。例如,分区A是否允许向分区B发送了信息M就被验证。策略单元也可以控制物理存储器区域或者闪存分区的访问权,并且改变各个过程或者存储空间的处理器功率的分配预算。
[0033]本发明的一个重要的概念是,用来负责监控和恢复整个车辆单元的程序编码从带有主操作系统单元的分区I转移到带有监督单元的分区2,其中这个分区2由微内核结构保护不受分区I的影响或访问,同时仍然在相同的微处理器运行。
[0034]利用这个功能,按照通常方式设计的外部微控制器的监控功能被转移到监督单元的分区2,该监督单元在其任务中与策略单元和加密单元共同作用。
[0035]所有在分区2,3和4中的单元不能够通过软件更新或者用户干预改变,使得这从车辆单元制造时就是固定不变的。由此,使得可以在可预测的方式下控制带有主操作系统的分区I的恢复。监督单元、加密单元和策略单元在微内核结构中的分离内核中共同作用,从而确保,只有归属于分区I中的主操作系统单元的闪存分区被覆盖,此闪存分区可以通过可下载的应用程序或者新的固件版本来改变。同时,分区3中的策略单元阻止主操作系统单元访问其他的分区2,3和4。根据本发明,监督单元、加密单元和策略单元代替三个不同的分区2,3,4也可以集合在一个共同的分区中,该共同的分区根据本发明与主操作系统单元的分区I不同。从而可能使得存储器节省,运行时间表现通过更优化的微核的调度耗费来改善。
[0036]在这个微内核结构中,正如图1所示,使得后续描述的用来确定主操作系统单元中的错误和用于恢复主操作系统单元的流程可以可靠地执行。
[0037]根据本发明的方法随后结合根据图2示意性的方法流程来描述。
[0038]当车辆单元启动时,监控程序在分区2的监督单元中进行,以便确定主操作系统的错误。为此,对于一些功能细节,监督单元监控主操作系统的启动。这些功能细节包含重要的服务功能和主操作系统的状态。
[0039]这个重要的状态和功能涉及到一个关于人机界面HMI的基本用户交互,其通过主操作系统来控制。为此,人机界面的功能通过监督单元例如借助虚拟输入来验证。只要人机界面在车辆单元启动时一定的预定时间后不是准备就绪的,可评定为主操作系统的错误。
[0040]另外当确定一个的计算能力的异常的负荷或者一个异常的存储空间需求时,主操作系统的分区I被认定为错误的。分离内核内的各个分区之间的过度的网络流量也可以评定为错误主操作系统的特征。
[0041]在主操作系统确定的错误情况下,恢复将会导入。在恢复的范围内,监督单元启动恢复模式,在此模式下,带有主操作系统的分区I会完全关闭并且从微内核结构中卸载。那么监督单元承担在紧急操作系统范围内车辆单元保留的功能,特别是人机界面位置的反应也属于该功能。
[0042]监督单元通过人机界面的屏幕给终端用户一个错误消息。在与显示错误消息同一个屏幕上,给出网络链接,特别是http链接和某些特征,例如序列号或者版本识别号,使得终端用户可以下载主操作系统当前的软件包和/或来自车辆单元制造商的服务网页的上的必要的应用软件。
[0043]软件下载也可以用一个传统的PC实现,并且在外部的存储装置上,例如USB存储棒来实现。为了能读入软件下载,在紧急操作系统中的监督单元激活用来连接外部存储装置的外部界面的必需的驱动。如果紧急操作系统例如在车辆单元重新启动时,确定这样的外部存储装置在界面上,根据软件更新包搜索其文件系统。一旦确定了这样的包,计算包的哈希值,读取相应的签名,并且从存储设备中读出加密的软件版本和包的硬件兼容性,并且发送到带有加密单元的分区4。加密单元验证软件包的内容并且给监督单元一个回复,软件包是否对于本硬件是允许的。加密单元可以进一步逐包地解密软件并提供安装。
[0044]如果软件包对于硬件是有效的,监督单元会对闪存分区的用于主操作系统的块进行完全验证。然后,带有主操作系统的闪存分区(Flashing)启动重新安装。在分区I内成功安装主操作系统后,车辆单元在下一次的启动时启动新的操作系统。除了处理错误,其以这种方式加载有针对性的更新,其例如可以通过在主操作系统中的用户输入来触发。
[0045]不是仅仅给出用于软件下载的链接地址,根据本发明也可能的是,监督单元在与车辆单元连接的存储设备上存储在因特网上可调用的链接,其中包含用于识别合适和必需的软件的所需的数据。通过这种方式避免了错误输入。
[0046]由此,通过根据本发明的微内核结构,可以执行一个由用户控制的用来操作车辆单元的方法,该方法在软件错误情况下允许单元恢复,不必拆除该单元并且必须将其送到专门的服务点。
【权利要求】
1.一种用于控制车辆功能的带有微处理器和连接的存储器的车辆单元,在其上执行构成硬件与应用程序之间的界面和用户交互的主操作系统,其特征在于,所述微处理器构建在微内核结构中,所述微内核结构具有用于主操作系统单元(I)、加密单元(4)和监督单元(2)的分离的分区,其中所述主操作系统设置在所述主操作系统单元(I)中,其中,在所述加密单元(4)中储存有软件证书,并且设置有验证程序用于验证证书和软件包,并且其中,在所述监督单元(2)中设有监控程序,用于监控所述微内核结构的其他所述分区的功能。
2.根据权利要求1所述的车辆单元,其特征在于,带有所述主操作系统单元(I)的所述分区设置用于能通过终端用户进行改变。
3.根据权利要求1或2所述的车辆单元,其特征在于,除了作为在所述微处理器中的所述微内核结构的带有所述主操作系统单元(I)的所述分区之外的其他分区设置为不能够通过所述终端用户来改变。
4.根据前述权利要求中任一项所述的车辆单元,其特征在于,所述加密单元(4)设置用于利用所述验证程序逐包地解密和/或验证在所述车辆单元中待安装的软件。
5.根据前述权利要求中任一项所述的车辆单元,其特征在于,所述监督单元(2)设置用于利用所述验证程序,在所述主操作系统中发生错误的情况下,为带有所述主操作系统的所述分区导入恢复程序方法。
6.根据前述权利要求中任一项所述的车辆单元,其特征在于,所述微内核结构设计为具有用于策略单元(3 )的分离的分区的分离内核,其中所述策略单元(3)设置用于,监控所述微内核结构的各个所述分区之间的通信。
7.一种用于操作带有微处理器的、特别是根据前述权利要求中任一项所述的车辆单元的方法,在所述微处理器上安置有带有用于主操作系统单元(I)、加密单元(4)和监督单元(2)的分离的分区的所述微内核结构,其中,所述主操作系统设置在所述主操作系统单元(O中,在所述加密单元(4)中储存有软件证书,并且设置有验证程序用于检验证书和全部软件包,并且其中在所述监督单元(2)中设有验证程序,用于验证所述微内核结构的其他所述分区的功能,其特征在于,在启动和/或操作时,通过所述监督单元(2)的所述验证程序来监控所述主操作系统,并且当预设定的行为发生偏差时,导入用于所述主操作系统的恢复方法。
8.根据权利要求7所述的方法,其特征在于,为了确定偏差,在所述主操作系统启动和/或操作时,监控用于用户界面典型的启动时间、通过所述主操作系统要求的所述微处理器的计算时间和/或通过所述主操作系统要求的存储空间需求。
9.根据权利要求7或8所述的方法,其特征在于,在所述恢复方法中,带有所述主操作系统的所述分区关闭,并且从所述微内核结构中卸载。
10.根据权利要求7至9中任一项所述的方法,其特征在于,在所述恢复方法中,所述主操作系统的所述分区的、存储在所述车辆单元中的备份映像实现回写。
11.根据权利要求7至9中任一项所述的方法,其特征在于,在所述恢复方法中执行对当前主操作系统版本的用户交互下载,其中,所述当前主操作系统版本特别是通过外部存储介质来读入并安装在用于所述主操作系统的所述分区中。
12.根据权利要求7至10中任一项所述的方法,其特征在于,在安装所述主操作系统之前或者在安装所述主操作系统时,通过所述加密单元(4)来实现验证。
13.一种带有用于在计算单元中进行设置的程序编码装置的计算机程序产品,其特征在于,在执行计算机程序时,根据权利要求1至6中任一项所述的微内核结构和/或根据权利要求7至12中任一项所述的方 法通过所述程序编码装置设置在所述车辆单元的所述微处理器中。
【文档编号】G06F21/74GK103688268SQ201280032791
【公开日】2014年3月26日 申请日期:2012年6月25日 优先权日:2011年6月30日
【发明者】贝恩德·贝克尔 申请人:大陆汽车有限责任公司