用于合并应用程序的方法与流程

本发明涉及一种用于合并应用程序的方法和用于实施该方法的模块。

背景技术：

1、也称为app(application：应用的英语缩写形式)的应用程序被使用在不同的领域中。这样的app也越来越多地被使用在非安全相关的汽车领域中。

2、从而，功能或驾驶员辅助功能可以事后通过表示可再装入的功能的app被引入到车辆中。即使车辆已经在现场时，这也被实施。

3、在此情况下，app要么可以在车辆中、例如在车辆控制设备中要么也可以在车辆外部、例如在与车辆连接的智能手机中或在与车辆连接的云中被再装入并且被执行。

4、然而，如果可再装入的功能可以访问执行器并且可以执行动作，则必要时需要考虑安全要求并且也考虑认证准则。

5、在此处，与安全相关的软件功能(sw)被视为应用，其中迄今为止规定首先定义功能，并且基于此开发安全机制，以便尤其是保证遵守iso 26262。就此而言参照图1。

6、应该注意的是，具有越来越开放的接口的分布式系统能够实现：功能sw也可以通过不在汽车领域中工作并且不熟悉所述汽车领域的开发人员写入。因此，不能假定这些开发人员具有汽车特定知识并且也可以实施所述汽车特定知识。如果这样的开发人员可以写入新功能，则这仍然是令人感兴趣的。以这种方式也可以升高总产品的吸引力。这样的行动与为智能手机创建app是可类比的。由不具备汽车领域中的特定知识的开发人员写入的app在此这里被称为aqs功能(可疑开发标准的应用(application of questionabledevelopment standard))，也即具有可疑质量的功能。

7、对于非安全相关的功能，这当今在一些行业中已经是常见的操作方式，例如在智能手机app的情况下。目前，在汽车领域中沿这个方向着手第一步。然而，在此应该考虑在安全相关的功能的情况下对开发过程的要求如此之高，以至于迄今为止仅能够将对此的可能性给予专门培训的开发人员。对应的内容适用于所谓的认证相关功能，即需要批准的功能，因为对这些功能的改变将会使得需要重复车辆认证。如果对应的功能可以在现场使用期间是可再装入的，如这例如在智能手机app情况下进行的那样，则例如给出对于oem(原始设备制造商)几乎是不可能的要求。

技术实现思路

1、在此背景下，提出具有权利要求1的特征的方法以及根据权利要求12所述的软件模块。实施方式从从属权利要求和说明书中得出。

2、在所提出的用于将应用程序合并到总系统中的方法中规定，所述应用程序通过软件模块被合并或绑定，其中在所述应用程序和所述软件模块之间发生交换，并且利用软件模块监控所述交换。一旦所述软件模块确定出超过极限，就切换到替代函数。交换可以涉及信号、程序调用或可类比信息的交换。

3、该方法尤其是用于在汽车领域中将应用程序合并到总系统中，其中可以监控安全相关的和/或认证相关的交换。

4、因此，在设计概念中，应用程序与软件模块交换信号/命令。典型地，通信是双向的，使得交换与应用程序有关的输入信号和输出信号。

5、在设计概念中，现在利用软件模块监控应用程序的信号。这意味着检验数据或通过这些数据代表的值，所述值由信号携带。一旦软件模块确定出信号或其值超过极限，就切换到作为模块的一部分的替代函数。迄今为止由应用程序执行的功能于是通过替代函数来实施。应用程序因此关于总系统的运行被阻止，直至系统再次进入应用程序的信号在允许的范围内。然后可以再次切换到应用程序。

6、所提出的方法因此用于将应用程序合并到认证或安全相关的总系统中，例如车辆或汽车环境、尤其是软件环境中。

7、合并(einbinden)在这里被理解为应用程序被集成到总系统中并与总系统的其他组件交换数据，并且从而有助于总系统的运行。

8、利用所提出的方法可能的是，通过监控安全性(安全)和/或认证符合性的简单软件模块、即所谓的ssw模块(保障sw模块：安全软件模块)来提供安全相关的和/或认证相关的保护装置，所述安全相关的和/或认证相关的保护装置准许经由此写入一个或多个函数，而不违反安全性或安全的要求。典型地被构造为监视器或监控模块的这种保护装置拦截不允许的输出和输入，并且在需要时切换到包括有认证能力的替代反应的模块。这种替代反应典型地由替代函数或替代函数模块(hrf：有认证能力的替代函数(homologation-capable replacement function))提供。

9、一旦aqs功能、即具有可疑质量的功能再次在允许的范围内工作，就可以再次切换回到该功能。这意味着，在切换到替代函数之后，应用程序继续运行并且所述应用程序被监控。一旦确定出信号、例如程序调用遵守极限，就再次切换到应用程序。遵守极限意味着值或命令处于允许的范围内。

10、所提出的方法至少在实施概念中的一些实施概念中具有一系列优点：

11、访问潜在安全相关执行器的车辆功能可以由大的开发人员集体写入，而不仅仅由专门培训的汽车开发人员写入，并且不必经过冗长的过程链或检验。

12、不需要为每个新的功能写入特定的监控功能，由此相对于当今的行为方式显著减少耗费或者完全首先创造使用大集体的资源的可能性。

13、如此形成的变化或新功能可以直接被使用，并且不需要车辆的新认证。

14、可以将现有的监控或监视功能扩展到ssw模块。此外，多个模块可以集成为组合式ssw模块。

15、因此，所提出的方法使得能够提供一个或多个ssw模块，所述ssw模块独立于aqs功能被开发并且被集成在产品中、典型地集成在车辆中，并且保证符合安全和/或认证的运行。

16、此外应该注意的是，系统是已知的，例如在行驶动力学环境中并且在滤波时，所述滤波不容忍跳变并且在所述滤波时从一个信号例如以信号跳变硬切换到另一信号可能表示自身的新的安全相关危险。

17、在这里提出补充概念：如果当前参数接近安全临界极限，则可以如何进行安全相关信号从不可信源到可信源的切换以及切换回。在此情况下也包含相反的过程，即如果达到容忍的参数空间，则也应该再次切换回不可信源。

18、为此，根据信号的类型：阈值、当量，鉴于输入信号加上或减去容差，或者甚至仅定义容差。该容差用于为监控(监视)、例如安全性监控和/或认证遵守的监控赢得时间，以便实施信号源的变换，并且从而根据需求在输出端处获得连续的或甚至连续可微的信号。为此，允许和不允许的参数空间的在安全方面常用的概念之间引入另一参数空间，所述另一参数空间不是安全临界的，但对于信号源的受控过渡是需要的。

19、本发明的其他优点和设计方案从说明书和所附附图中得出。

20、不言而喻，上述特征和下面仍要阐述的特征不仅可以以分别说明的组合方式而且可以以其他组合方式或者单独地被使用，而不偏离本发明的范围。

技术特征：

1.一种用于将应用程序(106、202)合并到总系统中的方法，其中所述应用程序(106、202)通过软件模块(100、200)被合并，其中

2.根据权利要求1所述的方法，其中监控安全相关的交换。

3.根据权利要求1或2所述的方法，其中监控认证相关的交换。

4.根据权利要求1至3中任一项所述的方法，其中所述应用程序(106、202)在汽车领域中被合并到总系统中。

5.根据权利要求1至4中任一项所述的方法，其中所述应用程序(106、202)与所述软件模块(100、200)交换信号，利用所述软件模块(100、200)监控所述应用程序(106、202)的信号，并且一旦所述软件模块(100、200)通过信号确定出超过极限，就切换到所述替代函数(112、212)。

6.根据权利要求5所述的方法，其中交换所述应用程序(106、202)的输入信号(250)和输出信号。

7.根据权利要求1至6中任一项所述的方法，其中使用所述软件模块(100、200)中的监控模块(110、210)用于监控所述应用程序(106、202)。

8.根据权利要求1至7中任一项所述的方法，其中所述应用程序(106、202)与传感器(102)交换数据。

9.根据权利要求1至8中任一项所述的方法，其中在监控时考虑容差值(238)。

10.根据权利要求9所述的方法，其中在考虑计算规则的情况下例如加上或减去容差值(238)。

11.根据权利要求1至10中任一项所述的方法，其中在切换到所述替代函数(112、212)之后，所述应用程序(106、202)继续运行并且所述应用程序被监控，其中一旦确定出极限被遵守，就再次切换到所述应用程序(106、202)。

12.一种用于合并应用程序(106、202)的软件模块，所述软件模块被设立用于实施根据权利要求1至11中任一项所述的方法。

13.根据权利要求12所述的软件模块，所述软件模块具有监控和切换单元(210)、替代函数(112、212)、渐变调节器(214)和容差扩展单元(216)。

技术总结
用于合并应用程序的方法。一种用于将应用程序(106)合并到总系统中的方法，其中所述应用程序(106)通过软件模块(100)被合并，其中在所述应用程序(106)和所述软件模块(100)之间发生交换，利用软件模块(100)监控所述交换，并且一旦所述软件模块(100)确定出超过极限，就切换到替代函数(112)。

技术研发人员：A·弗里德里希,C·科尔斯坦,D·班格尔,M·毛瑟尔,N·索莫尔
受保护的技术使用者：罗伯特·博世有限公司
技术研发日：
技术公布日：2024/1/15