用于改进电子调节系统的功能安全性并提高可用性的方法以及电子调节系统的制作方法
【专利摘要】本发明涉及一种用于改进电子调节系统、尤其是机动车调节系统的功能安全性并提高可用性的方法,包括硬件组件(1)和软件组件(3、4、5),其中,硬件组件(1)通过至少一个基础软件组件(20)和/或运行时环境(2)抽象得到且其中执行的安全方案描述了两个或更多的软件层级,其中,第一软件层级(4)包括应用软件的调节功能,第二软件层级(5)设计作为功能监控(5),尤其用于预防调节功能的故障,所述方法的特征还在于,借助于至少一个第一软件组件(3)把由至少一个硬件组件(1)提供的数据加密(9a、9b、9c)和/或数据签名用于硬件组件(1)的至少一个通信信道(7)的数据保护。本发明还涉及一种用于执行所述方法的电子调节系统。
【专利说明】用于改进电子调节系统的功能安全性并提高可用性的方法 以及电子调节系统
【技术领域】
[0001] 本发明涉及一种根据权利要求1的前序部分所述的、用于改进电子调节系统的功 能安全性并提高可用性的方法,以及一种根据权利要求14的前序部分所述的电子调节系 统。
【背景技术】
[0002] 由电子调节系统功能故障时的后果得到研发尤其在汽车电子装置中的电子调节 系统时重要的安全目标。在功能故障或失灵时严重的后果可能是车辆的车轮被卡住或后桥 处过高的不期望的制动力矩,这可能导致机动车的失稳。例如,包括自动加速的功能尤其对 在使用电动机作为驱动设备时强烈的转矩增加来说会导致失稳。ISO 26262为此普遍关注 的安全目标是,避免过大的不期望的效应或者过小或负的不期望的效应,因此大多数系统 必须保证用于其安全方案的灵活的走廊(Korridor)。可容忍的、不期望的转矩位于该走廊 中,其中在所有允许的行驶情况中必须能可靠地控制车辆。例如,危险的加速度效应位于该 走廊之上,而在车桥处或车轮处的卡住之下。走廊的设计基本上取决于车辆规格,例如像轴 距、重量、重心以及其它参数,如速度、道路特性、横向加速度、弯道半径等。甚至对稳定的直 线行驶来说存在这种走廊。
[0003] 必须对应于相应功能的安全要求(例如ASIL)和车辆特征以及其它参数确定上极 限和下极限。对影响车辆的加速度的驾驶员辅助功能来说,由于该功能可能错误地导致过 小或过大的不期望的转矩可以要求编入高的安全要求等级,例如ASIL D。这表示该功能的 错误会直接导致人员受到威胁。
[0004] 根据IEC 61508还追求一种安全目标,即使得系统转移至安全状态,这通常导致, 在出现错误时转换至无电流状态。从而要限制对人员的潜在威胁。因此根据ISO 26262尤 其存在多个安全目标,其中安全状态是一种表现为对人员没有威胁的状态,然而不必转移 到无电流或无能量状态。
[0005] 作为用于发动机_、变速器_、转向、和其它行驶机构调节系统的基础的安全方案, 在DE 10 2006 056 668 A1中描述了一种用于在出现错误、功能故障或其它影响部分功能 的可用性的事件时保证或维持复杂的、对安全极重要的整个车辆调节-和/或控制系统的 功能的方法。为此,为必要的系统组件定义了运行模式,其中在故障情况下确定出现的故障 相关的运行模式。接着鉴于整个系统的尽可能广的可用性由所述运行模式选出仍可用的运 行模式并进而逐级地降低系统的效率。
[0006] 尤其对于电动车辆的发动机管理系统来说,必须考虑执行直至最高安全要求等级 (例如ASIL D)。尤其在用于对安全极重要的机动车调节系统的多层级软件架构中,考虑上 文所述的不期望的效应。因此,通过硬件和软件的相应的构想以及其相互作用实现重要的 安全功能以及尤其通过数据加密实现由ASIL要求的安全功能(例如在数据通信时)的独 立性。如果密码在接收者处不能再次被解密,则通过断开路径,例如智能看门狗(窗口监视 器)断开通信或整个系统。
[0007] 现代的(多核)微控制器具有用于整个硬件的、本身已知的安全机构,其中冗余 处理器通常在同步或不同步的锁定步骤运行中工作,从而能够控制单重_、多重-或短时错 误。在该说明书的意义上,微控制器也理解为微处理器、微控制器系统以及微处理器系统, 其具有至少一个处理器且能通过外围设备功能获取以及发出信号。
[0008] 由于冗余处理器之间任务执行的时间上的延迟,基于内置的硬件安全机构可以在 安全时间内(例如小于1 ms)容忍错误,因为通过至少一个安全机构阻止该错误导致潜在 危险的情况。例如,安全机构可以是数据修正,该数据修正对识别为错误的数据进行改正并 把该经改正的数据用于后续处理。
[0009] 硬件、例如微控制器与其外围设备的通信可以通过错误修正方法(ECC)、错误检测 方法(EDC)和/或终端对终端数据加密(E2E)来预防不同的错误类型。EDC对错误修正的 监控来说是重要的,从而在出现多个和/或暂时的错误时能调整公差或反应。外围设备单 元(例如模数转换器)的数字初始值例如可以借助于EDC保证,其中模拟输入参量的值通 过两个独立的和被未定义的区域分开的电势带保证。例如,大于4. 5V的值可以对应于高电 平以及小于〇. 5V的值可以对应于低电平。有效性寄存器随后在模数转换期间作为数据加 密或数据签名耦联至数字输出值。
[0010] 对机动车控制设备来说,进行软件架构的增大的标准化或者使用运行时环境 (RTE),以便另外改进软件模块的便携性、可再使用性以及安全性并最终还节省研发成本。 因此,为机动车控制设备的应用软件提供一标准化环境,其不再直接被微控制器的技术因 素影响。为了在确定所有实际上可能的微控制器的错误因素的意义上基于在该微控制器上 执行的软件进行架构分析,基本上必须检查微控制器的每个特性。在更换至另一种微控制 器类型的情况下或者当微控制器的制造者改变了生产技术或所用的材料时,必须考虑这一 点。因此使用标准化软件架构的优点在于,在硬件改变时不需要或仅需要进行小幅度的应 用软件的调整。
[0011] 下面以标准化软件架构 AutoSar? (AUTomotive Open System ARchitecture⑧汽车开发架构系统)为例阐述根据现有技术的另一个安全原 理。AutoSar?.以版本4详细说明了用于从基础软件至运行时环境(rte)的层级的通信信 道的E2E安全性。在基于微控制器抽象层级建立的软件层级中,由外围设备作为输入信号 存在的原始信息被加密且在通过软件层级转移加密数据后在RTE的区域内进行解密。作为 另一个高于RTE的层级的应用软件可以使用这些数据用于后续处理。即通过AutoSar?: 进行基于软件的E2E数据加密,其中尤其没有对硬件-软件端口进行保护。然而不允许以 对安全极重要的方式影响到用于功能监控的软件、外围设备的通信信道、降级软件或其他 安全软件。通过例如在基础软件中,在不同的软件层级中分开调节功能和功能监控以及硬 件-或系统安全,可以减小可能的错误传播并进而避免或中断错误级联,例如在分开的控 制设备中。
[0012] 由硬件作用于应用软件的原则性的错误例如可以是由于不同原因歪曲的或错误 产生的数据。此外,数据可能由于硬件错误而不能及时地供软件过程使用。
【发明内容】
[0013] 因此本发明的目的在于,改进尤其是机动车中对安全极重要的电子系统的功能安 全性并提高可用性。
[0014] 该目的通过根据权利要求1所述的根据本发明的方法以及根据权利要求14所述 的根据本发明的系统实现。
[0015] 本发明描述了一种用于改进电子调节系统、尤其是机动车调节系统的功能安全性 并提高可用性的方法,包括硬件组件和软件组件,其中硬件组件通过至少一个基础软件组 件和/或至少一个运行时环境抽象得到,其中,执行的安全方案描述了两个或更多的软件 层级,其中第一软件层级包括应用软件的调节功能,第二软件层级设计作为功能监控尤其 用于预防调节功能的故障,其中本发明的特征还在于,借助于至少一个第一软件组件把由 至少一个硬件组件提供的数据加密和/或数据签名用于硬件组件的至少一个通信信道的 数据保护/数据安全。因此,有利地额外地保证了软件至硬件的端口,由此通过根据本发明 的方法实现了软件组件彼此之间的独立性以及软件组件和硬件组件之间的独立性。从而避 免了或者可以发现错误影响。
[0016] 根据特别优选的实施方案,第一软件组件是完备性管理器,其中通过通信信道通 信的、加密的和/或签名的数据被提供给完备性管理器和/或运行时环境和/或基础软件 组件,完备性管理器对通信信道的通信的数据的完备性进行检查,其中,完备性管理器尤其 使用数据加密和/或数据签名以用于检查数据的完备性。因此,应用软件也可以有利地用 于对安全性最重要的功能。功能监控不必掌握由于硬件造成的外部影响,而只需预防系统 错误,该系统错误可能由于规格-和执行错误产生。因此避免了由于外部影响造成的数据 歪曲。
[0017] 在基本上存在加密的和/或签名的数据的完备性时,完备性管理器特别优选提供 了应用软件的未加密的和/或未签名的信息数据。优选相对于确定的数据传输路段确定相 应的安全要求等级的完备性的存在。因此有利地,对降级来说在定义的位置处提供了对独 立性的伤害。
[0018] 对应于一优选的实施方案,当不存在加密的和/或签名的数据的完备性时,完备 性管理器产生一错误编码,所述错误编码尤其能通过应用软件处理,其中,不提供或仅与错 误编码一起提供应用软件的未加密的和/或未签名的信息数据和/或为未加密的信息数据 分配不可信的值。
[0019] 优选地,完备性管理器从属于应用软件,和/或运行时环境从属于完备性管理器, 和/或完备性管理器在运行时环境中执行,其中,运行时环境为完备性管理器提供了加密 的和/或签名的数据。
[0020] 优选地,设置有降级管理器,其设计为至少一个第三软件层级和/或设计为第一 软件层级和/或第二软件层级的至少一个软件过程,其中,降级管理器包括第一软件层级 的调节功能的至少一个降级阶段和/或第二软件层级的功能监控。
[0021] 优选地,通过至少一个具有高优先级、尤其是最高优先级的软件过程执行降级管 理器的断开功能。因此,有利地实现了决定性地达到相应的安全状态。
[0022] 对应于一优选的实施方案,基于数据的完备性和/或基于产生的错误编码通过降 级管理器执行机动车调节系统的和/或调节功能的和/或功能监控的一次或多次选择性断 开和/或效率/性能的降级。因此,可以有利地避免了在错误情况下系统的严格的断开以 及实现选择性地断开功能。因此可以保留基于错误的最大可能的系统可用性,以便例如实 现紧急运行程序,借助于该紧急运行程序例如可以离开危险区域或者到达维修厂。因此得 到了安全方案和尤其是ISO 26262的有利的统一,因为可以确保达到针对相应的错误情况 的有效的、安全的状态。
[0023] 应用软件的完备性管理器优选地在暂时的错误时提供不可信的信息数据和/或 在永久的错误时提供产生的错误编码。因此,有利地可以给予可用的数据加密和/或数据 签名选择性地断开和/或使机动车调节系统的功率降级,同时不必设置其它的诊断措施。 因此,例如可以省去用于智能传感器的传感器数据的单独的可靠性机构。
[0024] 功能监控和/或降级管理器和/或完备性管理器优选可以存取数据的数据加密和 /或数据签名。优点是,例如功能监控被通知了与外围设备通信的数据的可靠性。
[0025] 根据另一个优选的实施方案,功能监控和/或降级管理器使用数据加密和/或数 据签名,以用于数据的额外的可信性测试。
[0026] 优选地,为软件组件、软件功能和/或软件过程之间的通信信道通过进行接收的 软件组件检查数据加密和/或数据签名。这尤其对多处理器来说是有利的,因为软件组件 之间的数据通信由于数据中间存储或微控制器中的处理而总是会被歪曲。
[0027] 优选地,在连续的运行中,尤其在安全时间内设置执行所述方法的微控制器的程 序运行的重启和/或同步,其中在超过安全时间的情况下,通过断开部件、尤其是通过看门 狗开始安全状态。
[0028] 完备性管理器优选地为--尤其是独立的和/或无反作用的--软件组件确保了 数据技术的和/或时间的分离,其中数据技术的和/或时间的分离优选用于,尤其在独立性 受损时选择性地和/或按优先级断开不同安全要求等级的软件组件。因此有利地,为应用 软件实现了抽象的软件架构,该软件架构基本上不受错误的、不可确定的硬件因素影响。
[0029] 本发明还涉及一种用于执行所述方法的电子调节系统、尤其是机动车调节系统。 对根据本发明的系统来说,软件架构分析有利地局限在可能的系统错误上,该系统错误减 小至应用软件的可能的系统错误。由此避免了尤其在软件组件研发中产生的错误。
【专利附图】
【附图说明】
[0030] 根据附图由下面对实施例的描述得到其它优选的实施方案。
[0031] 附图示出:
[0032] 图1示出用于说明根据本发明的方法的工作方式的原理图;
[0033] 图2示出一原理图,其中存在软件层级的备选的布置;以及
[0034] 图3示出用于阐述本发明的其它实施例的原理图。
【具体实施方式】
[0035] 图1示出用于改进电子机动车调节系统的功能安全性并提高可用性的本发明的 基本工作方式。因此,机动车调节系统也可理解为任意机动车组件的控制装置。为了更好 地理解以机动车调节系统为例的本发明,仅绘出和/或说明了其重要的组件。
[0036] 为了抽象随后描述的执行软件组件的微处理器的硬件,通过该微处理器执行运行 时环境2和基础软件20。在此,软件组件尤其理解为软件过程、软件功能和/或软件层级。 中心元件是完备性管理器3,其监控了数据通信的安全技术上的完备性并可以通过必要的 条件供使用,以便借助于降级管理器6使机动车调节系统转移至选择性的安全的状态中。 [0037] 安全方案基本上设计了应用软件4、5、6的三个层级,其中第一层级4包括例如机 动车制动调节的调节功能(基本功能),第二层级5执行调节功能4的功能监控,以及第三 层级6设计为系统的不同的降级阶段和降级场景的降级管理器。对功能监控5来说,为了 预防系统错误,借助于多种软件算法以本身已知的方式执行调节功能4。每个软件层级可以 优选作为基础软件的或运行系统的和/或应用软件的独立过程执行。功能监控5和降级管 理器6尤其可以划分为不同的过程6a、6b,同时具有不同的安全要求等级,例如ASIL B和 ASIL D。
[0038] 软件组件的其它监控,例如独立性监控以及时间监控以本身已知的方式通过流程 监控10借助于下游连接的断开机构15,例如过程调度器执行。其例如监控划分的受损、存 储器监控、执行进入条件的过程以及其时间和逻辑正确的执行。图1中示出了流程监控10 通过条件框12a和12b结合在功能监控5和降级管理器6中。
[0039] 在错误情况下,功能监控5和/或降级管理器6可以使机动车调节系统或单独的 调节-和/或应用功能转移或降级至安全状态中,因此,可以进行功率降级或减小功能范 围。机动车调节系统的可用性和错误公差通过这些措施得到显著改进。例如,有效地限制 了面临过热的发动机的功率输入。
[0040] 降级的所有断开机构能选择性地实现,从而微控制器的基本功能基本上不必被断 开。因此,断开机构15、例如看门狗本身不必一定用于具有高安全要求等级、像ASIL D的安 全功能。仅当其用于断开用于执行的微控制器的硬件时,才必须使用断开机构15。因此,尽 可能避免了微控制器的基于安全性的重启并显著改进了系统可用性。为了实现这一点,可 以基于用于执行的微控制器的输出识别码处理软件组件的相应的加密的指示并因而开始 安全状态。为了在硬件方面相应地冗余,可以使用本身已知的桥接电路或激活线路,以便开 始安全状态。因为微处理器的软件组件不能同时而是顺序地进行处理,所以不仅考虑数据 技术的,而且也考虑时间上的分离,这同样借助于外部的断开机构15监控并确保。
[0041] 例如,用于执行的微处理器可以在安全时间内重新启动,这尤其在使用单核微处 理器时是有利的,因为不存在冗余。微处理器的输出在重启期间处于静止状态且在安全时 间内进行重启以及与程序流程的同步。通过这种做法在重启期间不引起机动车调节系统的 安全临界状态,因为整个外围设备保持功能有效且不必中断辅助功能、例如通信。如果不能 在安全时间内重新启动,则外部的断开机构10使机动车调节系统转移至安全状态。如果断 开路径通过降级管理器6的处理(Task任务)以最高优先级被使用,则得到了用于系统的 可靠反应的时间决定论,这表示,系统在出现错误的情况下在时间上基本上表现正确或符 合预期。
[0042] 取代(例如所述的以AutoSar?为例的)软件架构的软件层级之间的纯粹的软 件数据加密,使用机动车的现有硬件1的数据加密和/或数据签名,例如传感器、执行器、端 口、模数转换器和/或机动车控制设备本身的组件。因此额外地确保软件组件至硬件1的 端口。
[0043] 硬件1与机动车控制设备或微控制器通信。通信的、加密的数据8a、9a"?8c、9c 包括信息数据8a…8c以及硬件1的所属的数据加密9a…9c和/或数据签名。通过通信 信道7为完备性管理器3提供了加密数据8a、9a?8c、9c。由于该终端对终端数据加密使 通信信道7安全。因此可以识别单重-、多重-以及暂时的错误。在此不存在局限在根据 AutoSar⑧,的E2E数据加密,因此,可选地例如可以使用Cray编码的或额外的检查模式 和未加密的信息作为记忆在数据模板中的数据签名。现代的模数转换器例如通过自身的安 全机构监控,其中这种产生的数据也结合在ECC和EDC中。该安全机构因此也可以用于加 密。外围设备与微控制器的通信以本身已知的方式例如通过外围设备总线,像SPI或者模 拟通信或数字通信进行。
[0044] 完备性管理器3读取进入的数据8a、9a?"8c、9c并分析其完备性,其中这根据数据 8a、9a…8c、9c的可信性、正确性、无损性和/或现实性确定且也可以区分不同的完备性程 度。如果基本上存在数据完备性,则应用软件4、5、6至少得到对信息数据8a…8c的存取用 于后续处理。可选地,完备性管理器3完全释放加密的数据8a、9a··· 8c、9c,其中所述数据 被相应的进行接收的软件组件解密。
[0045] 由此实现为了达到安全而相对于多重错误限制错误传播,即功能监控5和/或降 级管理器6用于为了更高的安全要求等级(例如ASIL D)使具有较低的安全要求等级(例 如ASIL B)的数据8a、9a*"8c、9c的完备性可信。由此,除了完备性检查外,通过完备性管 理器3还实现了第二独立的安全机构。这在图1中通过条件框11a和lib示出,其中作为 基础,可以考虑通信信道7的不同的数据框和/或不同的通信信道的数据8a、9a?8 C、9c# 及信息数据8a…8c的任意组合和/或不同数据8a、9a"*8c、9c的数据加密9a…c。
[0046] 如果机动车调节系统中存在错误,则通过完备性管理器3把基于错误诊断相应地 产生的错误编码传递至应用软件4、5、6,然而尤其是功能监控5和/或降级管理器6。如果 根据通过功能监控5的可信性检查识别出错误,则通过功能监控5把相应的信息,例如通过 错误编码传递至降级管理器6。基于由完备性管理器3提供的、关于数据完备性和可能的错 误、可信性检查以及流程监控10的结合的信息可以进行详细的错误分析。由此实现了显著 更复杂的降级构想的精确的措施,其中可以容忍错误或者进行系统的功率的降级。微控制 器的安全时间同样对于降级管理器6是重要的。错误分析的详细程度在此可以使之取决于 至相应的安全要求等级的分组。对例如在执行器处的控制指令来说,必须在应用软件3、4、 5内提供内部的诊断信息,从而能开始对安全极重要的行为。当根据诊断信息推断出至出口 的时间符合且正确的数据传输时,则例如仅为对安全极重要的功能开启微控制器的出口。 [0047] 除了出现的错误本身外,还可以为相应的降级构想决定,是否涉及暂时的或永久 的错误和/或涉及的软件组件被分在哪个安全要求等级。此外,在此还可以考虑,是否存在 的错误可以通过有意的外部影响,例如通过机动车调节系统的安全漏洞或者通过其它方式 产生。
[0048] 例如,在暂时的错误的情况下,完备性管理器3可以至少使信息数据8a…8c改变 为不可信的值,阻止通过应用软件4、5、6的存取或者进一步提供存取。例如,如果出现了数 据加密9a…9c的错误且通过完备性管理器3对此进行了确定,则信息数据8a…8c可以通 过应用软件原则上或暂时地继续使用,因此完备性管理器3为应用软件4、5、6提供信息数 据8a…8c并传递错误编码至降级管理器6。如果在定义的时间之后还存在该错误,则可以 通过降级管理器6触发相应的反应。
[0049] 在下文对其它附图的描述中,基本上仅讨论与上述实施方案的区别,以便避免重 复,其中为了方便,相同的元件具有相同的附图标记且分别仅用于说明对本发明来说重要 的细节。
[0050] 在没有局限的情况下,图1的实施例基本上针对使用或基于统一的软件架构 AutoSar?。图2在此示出与图1的实施例相比软件层级的备选的布置。完备性管理器3、 功能监控5以及降级管理器6相应地按等级地在运行时环境2下实现。运行时环境在此可 以额外地包括流程或过程监控10的功能。调节功能13a、13b的或者软件层级的其它系统 功能或辅助功能的相应的过程根据其安全要求,例如ASIL B和ASIL D设计。
[0051] 根据在图3中示出的实施例,降级管理器6也可以设计为通过调节功能层级4的 独立的软件过程或独立的软件功能。例如,降级措施根据可信性通过完备性管理器6通过 条件框14执行。此外,通过监控过程13b以较低的安全要求等级,例如ASIL B进行对机动 车调节功能的或软件过程13c的监控。此外,具有高的安全要求等级(例如ASIL D)的过 程13a设计用于监控调节功能13c和调节功能的监控过程13b。
【权利要求】
1. 一种用于改进电子调节系统、尤其是机动车调节系统的功能安全性并提高可用性的 方法,包括硬件组件(1)和软件组件(2、3、4、5、6、10、20),其中,硬件组件(1)通过至少一个 基础软件组件(20)和/或至少一个运行时环境(2)抽象得到,其中,执行的安全方案描述 了两个或更多的软件层级,其中,第一软件层级(4)包括应用软件的调节功能,第二软件层 级(5)设计作为功能监控,尤其用于预防调节功能的故障, 其特征在于, 借助于至少一个第一软件组件(3)把由至少一个硬件组件(1)提供的数据加密(9a、 9b、9c)和/或数据签名用于硬件组件(1)的至少一个通信信道(7)的数据保护。
2. 根据权利要求1所述的方法, 其特征在于, 第一软件组件(3)是完备性管理器(3),其中,通过通信信道(7)通信的、加密的和/或 签名的数据(8a、9a…8c、9c)被提供给完备性管理器(3)和/或运行时环境(2)和/或基 础软件组件(20),完备性管理器(3)对通信信道(7)的通信的数据(8a、9a…8c、9c)的完 备性进行检查,其中,完备性管理器(3)尤其使用数据加密(9a、9b、9c)和/或数据签名以 用于检查数据(8a、9a…8c、9c)的完备性。
3. 根据权利要求2所述的方法, 其特征在于, 在基本上存在加密的和/或签名的数据(8a、9a…8c、9c)的完备性时,完备性管理器 ⑶提供了应用软件(4、5、6)的未加密的和/或未签名的信息数据(8a··· c)。
4. 根据权利要求2或3所述的方法, 其特征在于, 当不存在加密的和/或签名的数据(8a、9a…8c、9c)的完备性时,完备性管理器(3)产 生一错误编码,所述错误编码尤其能通过应用软件处理,其中,不提供或仅与错误编码一起 提供所述应用软件(4、5、6)的未加密的和/或未签名的信息数据(8a··· 8c)和/或为未加 密的信息数据(8a···8c)分配不可信的值。
5. 根据权利要求2至4中至少一项所述的方法, 其特征在于, 完备性管理器(3)从属于应用软件(4、5、6),和/或运行时环境(2)从属于完备性管理 器,和/或完备性管理器在运行时环境(2)中执行,其中,运行时环境(2)为完备性管理器 ⑶提供了加密的和/或签名的数据(8a、9a…8c、9c)。
6. 根据权利要求1至5中至少一项所述的方法, 其特征在于, 设置有降级管理器¢),其设计为至少一个第三软件层级和/或设计为第一软件层级 (4)和/或第二软件层级(5)的至少一个软件过程,其中,降级管理器(6)包括第一软件层 级(4)的调节功能的至少一个降级阶段和/或第二软件层级(5)的功能监控。
7. 根据权利要求6所述的方法, 其特征在于, 功能监控(5)和/或降级管理器(6)使用数据加密(9a、9b、9c)和/或数据签名,以用 于数据(8a、9a…8c、9c)的额外的可信性测试。
8. 根据权利要求6或7所述的方法, 其特征在于, 通过至少一个具有高优先级、尤其是最高优先级的软件过程执行降级管理器¢)的断 开功能。
9. 根据权利要求6至8中至少一项所述的方法, 其特征在于, 基于数据(8a、9a…8c、9c)的完备性和/或基于产生的错误编码和/或基于数据的额 外的可信性测试,通过降级管理器(6)执行机动车调节系统的和/或调节功能(4)的和/ 或功能监控(5)的一次或多次选择性断开和/或效率的降级。
10. 根据权利要求6至9中至少一项所述的方法, 其特征在于, 功能监控(5)和/或降级管理器(6)和/或完备性管理器(3)能够存取数据(8a、9a… 8c、9c)的数据加密(9a、9b、9c)和/或数据签名。
11. 根据权利要求1至10中至少一项所述的方法, 其特征在于, 在连续的运行中,尤其在安全时间内设置执行所述方法的微控制器的程序运行的重启 和/或同步,其中,在超过安全时间的情况下,通过断开部件、尤其是通过看门狗开始安全 状态。
12. 根据权利要求2至11中至少一项所述的方法, 其特征在于, 完备性管理器(3)为软件组件确保了数据技术的和/或时间的分离。
13. 根据权利要求12所述的方法, 其特征在于, 数据技术的和/或时间的分离用于,尤其在独立性受损时选择性地和/或按优先级断 开不同安全要求等级的软件组件。
14. 一种电子调节系统、尤其是机动车调节系统, 其特征在于, 所述电子调节系统执行根据权利要求1至13中至少一项所述的方法。
【文档编号】B60W50/02GK104272316SQ201380013045
【公开日】2015年1月7日 申请日期:2013年3月5日 优先权日:2012年3月6日
【发明者】S·哈贝尔, H-L·罗斯 申请人:大陆-特韦斯贸易合伙股份公司及两合公司, 康蒂-特米克微电子有限公司