用于在机动车中安全地结合软件部件的装置的制造方法
【技术领域】
[0001]本发明涉及一种用于耦合一软件部件与机动车的控制系统的耦合装置、一种包括所述耦合装置全部单元的控制设备和一种用于运行所述耦合装置的控制设备。
【背景技术】
[0002]在移动电话中属于现有技术的是,使用者通过该设备和通过安装在其上的软件获得对大量其他软件部件或程序的访问。对于这些程序常见的名字是“App”。App通常可以简单取得(例如通过App商店)并安装并能够实现多个不同的应用,它们有时远远超出移动电话的原始基本功能。该设备的简单和广泛的个性化同时对于消费者是非常重要的购买标准。
[0003]就像在移动电话领域中那样的类似附件已经零星地针对信息娱乐系统存在于机动车中。在那里对于驾驶员也可行的是,通过相应的App商店取得并且安装用于个性化其信息娱乐系统的应用。
【发明内容】
[0004]为了使其上运行App和访问到其上的基础系统(即用于控制机动车的系统或子系统)不受错误编程的App的影响,可以考虑相应的软件措施和/或硬件措施用于保护存储器和用于确保正确的运行时间行为。存储器保护单元或存储器管理单元或μC层面(μ C-Ebene)上的相应的权限管理是可能的机构。
[0005]这些机构可以是有效措施,以便阻止错误App对于基础系统的影响(英语也称作“freedom from interference!;无干扰)”),并由此提高基础系统的安全性。在这里和下面,安全性的概念应用在英语术语“safety (人身安全)”(防止肢体和生命受到不合理风险)的意义上而不是应用在英语术语“security (网络安全)”(访问保护、防止侵入者、防止数据弄错等)的意义上。
[0006]用于提尚基础系统安全性的另一可能的机构是在将App设定到所提到的App商店中时和至少部分地也在访问App商店时设置限制。这些限制也可以具有这样的目的,即,使具有对基础系统的可能负面影响的App根本不能达到基础系统。
[0007]在机动车的研发中必须在安全性方面尤其注意标准ISO 26262,该标准尤其与故障的严重后果和发生可能性相关地给部件配属ASIL分类。由该ASIL分类于是推导出到何种程度必须设置特别的应对措施用于阻止所述故障。如果App附加地安装在机动车上并可以取得对于安全性关键的执行器的影响,那么对于这些App也要注意ISO 26262,这使这样的App的研发非常耗费。
[0008]对于App的上述转换而言构思一般是,这些转换没有在对安全性重要的系统上在ISO 26262的意义上运行并且这些App尤其不能对安全性关键的执行器产生影响。
[0009]但是,App可以取得这样的影响的可能性是值得希望的。机动车中的、对于安全性重要的系统的现今的控制设备在车间中的传送带末端被编程,也就是说功能范围随着在客户处的批量交付被确定。但是存在这样的可能性,即,附加地可以将一定的功能在车间中“解锁(freischalten)”。这通过如下方式来实现,S卩,在车间中利用诊断试验器接通控制设备数据场中的软件开关。也就是说但是因此“解锁”的功能在供货时已经在控制设备中存在,但例如通过一相应的SW开关是未激活的。此外,在车间中也存在更新完全的软件状态的可能性。该可能性的特征在于,软件的事先已知的、能预先生效的并且自由给出的编排被加载到控制设备上。
[0010]与之相反,本发明具有这样的优点,S卩,App的或一般性的软件部件的使用被扩展到这样的应用情况上,在这些应用情况中,这些软件部件也可以取得对于安全性重要的执行器的影响。由此能够实现新的功能可以在批量交付之后安全地补充加载到机动车中。
[0011]—执行器通过控制系统被操控,软件部件可以给该控制系统传递用于调节所述执行器的调节请求。该执行器然后调整该调节请求或尝试去要求。由此,软件部件取得对执行器的影响。
[0012]根据本发明的第一观点,设置一用于耦合软件部件与机动车的控制系统的耦合装置,该软件部件将用于调节所述执行器的调节请求传递到机动车的该控制系统上。耦合装置在此情况下包括一监控单元,该监控单元被设置用于针对每个调节请求执行这样的判断,即,所述调节请求的转换是否将机动车转变到一危险状态中。用语“危险”在此情况下在上面限定的意义中使用在安全性减少的意义中。
[0013]此外,耦合装置被设置用于根据该判断将经监控的调节请求传递到转换单元上,其中,所述转换单元被设置用于操控执行器。在此情况下,经监控的调节请求相应于原始的调节请求,但是在某些情况下只要通过原始的调节请求的转换会将机动车转变到危险状态中的话,就进行监控,使得原始的调节请求不是未改变地被传递到转换单元上。
[0014]通过所述親合装置来结合或者说装入(einbindet)软件部件的基础系统由此可以阻止软件部件的不希望的影响。基础系统的ASIL分类因此没有进一步传播到软件部件上,这是因为耦合装置的安全性机构已经在基础系统中锚固。因此,软件部件可以在原理上源自任意的来源,也就是为了其研发提供了宽的研发人员圈子并且没有限制到少的专业供货商上。
[0015]根据一改进方案可以设置:耦合装置被设置用于将经监控的调节请求未改变地传递到转换单元上,如果得到这样的判断,即,调节请求的转换没有将机动车转变到危险状态中,也就是说经监控的调节请求与原始调节请求相同。
[0016]根据另一改进方案可以设置:耦合装置被设置用于替代所述调节请求将一备用调节请求传递到转换单元上,如果得到这样的判断,即,调节请求的转换将机动车转变到危险状态中。
[0017]所述备用调节请求尤其可以以如下方式选择,S卩,所述备用调节请求的转换没有将所述机动车转变到危险状态中。
[0018]替换地或附加地通过调节请求的界限获得备用调节请求的特别简单的产生,也就是所述调节请求的数字值被限制到小于一最大值和/或大于一最小值的值范围上。
[0019]替换地或附加地,耦合装置的另一特别简单的转换可以设置:不将调节请求传递到转换单元上,如果获得这样的判断,即,调节请求的转换将机动车转变到危险状态中。根据另一观点可以设置:所述耦合装置包括一状况识别单元,该状况识别单元被设置用于获知和提供机动车的当前的和/或未来的、尤其是预计的行驶状况,其中,该耦合装置被设置用于根据该所提供的行驶状况执行所述判断。由此而可行的是:软件部件的影响与状况相关地被限制或阻止。例如可行的是:软件部件在自由行驶在具有小的环境交通的高速公路上时与就要开始具有密集环境交通的建筑工地前相比要产生或者说整理(einzurhmen)更大的影响。
[0020]为此例如可以设置:所述监控单元被设置用于执行描述所述机动车动态的变量的预测并根据这些变量的值执行所述判断。例如由此可行的是:获知偏航率的或浮动角度的将来的值,以便针对软件部件的影响识别特别关键的状况。
[0021]根据另一观点可以设置:耦合装置包括(例如标准化的)接口,软件部件通过该接口给耦合装置传递调节请求。这样,软件部件的连接特别简单。
[0022]根据另一观点可以设置:耦合装置包括例如App管理器的管理单元,其被设置用于在安装软件部件之前检查是否可以正确安装软件部件。
[0023]根据一有利的改进方案可以设置:所述管理单元被设置用于给所述软件部件分派一工作存储器中的存储器区域并将软件部件与所述接口连接。
[0024]根据另一观点可以设置:耦合装置的所有单元构造在一唯一的控制设备上、例如一马达控制设备上或一 ESP控制设备上。親合装置的这样的分区(Partit1nierung)是特别简单的。
[0025]在另一观点中,本发明涉及这样的控制设备,其包括根据本发明的耦合装置的全部单元。
[0026]在另一观点中,本发明涉及一种用于运行耦合装置的控制设备,该控制设备至少包括所述监控单元。
【附图说明】
[0027]下面参照附图详细阐述本发明的实施方式。在附图中示出:
图1示出了控制设备中的耦合装置的结构;
图2示出了监控方法的流程,该方法在耦合装置中实施。
【具体实施方式】
[0028]图1示出了耦合装置150,该耦合装置在该实施例中集成到控制设备200中(例如马达控制设备中)。作为对于软件部件的例子例如从互联网100下载ApplO。