用于控制链接的程序块的分开的运行的方法和控制设备的制造方法

用于控制链接的程序块的分开的运行的方法和控制设备的制造方法
【技术领域】
[0001]本发明涉及借助于处理器对机动车中的与安全性相关的系统的控制并且尤其是涉及对链接的程序块的分开的运行的控制，利用所述程序块实施与安全性相关的系统的功會K。
【背景技术】
[0002]已知借助于数据处理设备来实现与安全性相关的功能、尤其是发动机控制装置的功能，其中数据处理设备的处理器处理程序，所述程序能够在处理器上运行。因为有错误的功能对车辆的安全性有直接影响，所以在表示程序片段时应用安全措施。不同的程序片段也可以属于不同的安全等级，从而不同的程序片段或子程序被分配给不同的级别。规范ISO26262对于机动车总共规定五种不同的分类，所述分类被称为ASIL A-D或QM。为了能够即使在处理器上运行时也能够保证每个程序片段的安全等级，需要不同安全分级的程序片段在运行期间不互相影响。
[0003]为了保证运行的这种分开，使用上级流程控制装置的明确的转换指令，或者作为最下面的系统层面的单独的过程(任务)被实施。根据另一已知方案，使用多个处理器内核，其中每个内核均被分配给确定的安全级别，使得仅确定的安全分级的子程序在确定的内核上运行并且不在其他内核上运行。这些方案是效率低的，因为所述方案需要附加的计算耗费或耗费的处理器架构。

【发明内容】

[0004]因此，本发明的任务是说明能够以高效的方式分开地实施不同安全分级的子程序所利用的行为方式。
[0005]该任务通过独立权利要求的主题来解决。其他有利方面从从属权利要求的特征得出。
[0006]代替仅根据任务、处理器内核或借助于通过上级的程序效率低地转换(如现有技术所建议的那样)不安全地分离，规定借助于存储器监控装置来分开链接的程序块的运行。要分开的程序块或数据被设置在存储器的最不同的片段中。在此情况下，在存储器中在所谓的片段中设置程序块，而在存储器的更特定地表示的数据片段中设置数据。通过在不同的片段中设置程序块或数据来实现分开，所述程序块或数据在其运行或访问方面应该被分开。存储器监控装置、尤其是存储器保护装置总是仅启用(freigeben)当前运行的片段或当前的数据片段，而其他片段或数据片段在访问方面被禁用(sperren)。尤其是由存储器监控装置仅阻止对数据的写访问，而读访问可能可以由存储器监控装置进行。在数据方面，因此禁用可以是写禁用。如果片段重叠地(abschnittsilbergreifend)调用另一程序块或者数据片段重叠地访问数据，则存储器监控装置触发异常。根据该异常，属于新的被调用程序块的片段或数据片段被启用并且属于调用程序块的先前片段或数据片段被禁用。这里描述的机制因此基于存储器保护装置的使用，诸如检测实际上要分开的程序块或数据的重叠并且触发异常。根据该异常，异常处理机改变启用或禁用，使得可以访问或可以实施其他数据或程序块。异常处理机因此总是仅激活一种类型的程序块或数据，其方式是所涉及的片段或数据片段被启用，而其他的被禁用。为了在安全等级方面区分数据或程序块，数据或程序块根据其安全等级被存储在不同的数据片段或片段中。
[0007]程序块或数据到不同片段或数据片段的这种分开对于存储器监控装置用作区分特征，借助于所述存储器监控装置检测不同的安全等级。在实施和访问方面的分开通过基于所出现的异常启用和禁用来实现。
[0008]因此，公开一种用于控制链接的程序块的分开的运行的方法。其分开的运行被控制的程序块通过以下方式被链接，即在程序块的范围中调用程序块中的另一程序块。尤其是，在程序块内作为子程序、例如作为函数或作为规程(Prozedur)调用另一程序块，所述规程是调用程序块的部分而或者是中断。在作为函数调用功能块时，参数可以从调用程序块被转发给被调用程序块。程序块被称为调用程序块以及被称为被调用程序块，其中调用程序块也可以被称为第一程序块并且第二程序块可以被称为被调用程序块。然而最后提及的分配取决于调用的当前情形并且可能变化。调用程序块尤其是也可以调用多个程序块，使得根据该方法存在一个或多个第二程序块。此外，可以存在多个调用程序块，其调用一个或多个程序块，所述程序块可能是不同的。因此存在一个或多个第一程序块。
[0009]中断、也即Interrupt (中断)可以被看作是程序块或被看作是子程序(如这里所描述的)。如果被设置为中断的程序块或被设置为中断的子程序不被明确地调用而是通过另外的方式被实施或触发，则这也可能适用。
[0010]由第一程序块调用的程序块同样可以调用一个或多个其他程序块。因此，被调用的、调用的、第一和第二程序块的属性分别是取决于情形的并且对于一个调用的情形表示两个程序块之间的层级。对于另一调用的情形，(相对)层级可以是另外的层级，使得命名与此相应地也根据调用情形而变化。
[0011]程序块被构造用于在机动车中实施与安全性相关的系统的功能。尤其是，程序块被构造用于实施传动系区域中的功能或者传动系的功能或者其他特定于车辆的应用、诸如转向系统或车辆安全系统或乘客安全系统的功能，例如内燃机、用于牵引机动车的电动机、机动车的电气、机电或机械制动设备或者电气转向驱动装置的功能。其他功能涉及操作状态的光学或声学显示，所述操作状态是开头所述的功能的状态。
[0012]由程序块实施的这种功能此外例如是控制机动车内燃机的燃料量、空气量、燃料构象(Kraftstoffkonstellat1n)、喷射时刻和/或点火时刻。其他功能是被使用用于回收车辆的动能的电动机的再生时间和再生功率和/或被使用用于牵引的电动机的换向、尤其是换向时刻、激励电流强度和必要时在激励电流强度和施加在电动机处的电压之间的相位偏移。
[0013]该方法规定，在处理器上实施程序块中的第一程序块。进行实施的处理器可以具有一个或多个处理器内核。处理器优选地是微控制器，尤其是对于安全性关键的系统构造的微控制器、例如对于发动机控制构造的微控制器。如下面更详细示出的，进行实施的处理器尤其是包括存储器保护装置以及优选地还包括异常处理机。进行实施的处理器尤其是包括存储器或至少一个用于连接存储器的接口。
[0014]可以设置预先步骤，其可以被看作是该方法的开始。该预先步骤尤其是在起动这里所述的控制设备或方法期间被实施。该预先步骤规定，根据支持这里所述的行为方式的设定来配置存储器保护装置。尤其是，根据定义存储器的片段的设定、尤其是在访问权限方面来配置存储器保护装置。该预先步骤从而规定访问监控的配置并且尤其是规定片段和/或程序块的访问权限的配置。此外，在该预先步骤中可以定义，哪个程序块被存放在哪个片段中并且尤其是程序块或片段获得何种访问权限。在该预先步骤内也可以开始程序块或其中至少之一或者经由其中调用程序块的上级程序来开始。优选地在配置之后执行该开始。
[0015]由处理器实施的第一程序块存在于存储器的第一片段中。处理器访问存储器用于实施第一程序块。处理器在实施第一程序块时被给以权利来以读和写的方式访问第一片段。处理器在实施第一程序块时尤其是被给以权利来实施存在于第一片段内的程序。第一程序块此外配备有实施权利，所述实施权利允许通过处理器实施。
[0016]在实施第一程序块期间，调用所述程序块中的第二程序块。该调用例如可以在规程或函数调用范围内发生。就此而言，第二程序块可以被看作是第一程序块的子程序或中断。第二程序块处于存储器的第二片段中。第二片段不同于存储器的第一片段。存储器的不同片段不具有交叠。
[0017]对存储器的访问和尤其是在(开始)实施在那里所存储的程序的范围中对存储器的访问通过存储器保护装置监控。对访问进行监控的存储器保护装置尤其是处理器的一部分并且可以被构成为硬件。可替换地，存储器保护装置部分地被构成为软件，所述软件在处理器上或在连接到处理器上的存储器监控设备上运行。存储器保护装置尤其是可以是存储器接口的部分，所述存储器接口属于处理器或者集成在该处理器中。如果在由存储器保护装置监控访问时确定出在实施第一程序块(也即程序块中的第一程序块)期间访问第二片段，其中在所述第二片段中存在第二程序块(也即程序块中的第二程序块)，则存储器保护装置触发异常。存储器保护装置因此监控对片段的访问，存储器被划分成所述片段。优选地在通过处理器实施范围中，尤其是读访问被称为访问。但是也可以将写访问或写和读访问称为访问。在一种优选的实施方式中，访问是通过处理器对存储器的访问用以实施在那里存在的程序块(子程序或函数)。访问因此可以对应于程序块的实施或程序块的实施的准备。
[0018]因为程序块被分布到不同的片段上，所以如果被调用程序块存在于与调用了该程序块的程序块不同的片段中，则可以通过监控来确定。
[0019]在出现异常时，异常处理机禁用存储器的第一片段。也可以存在被禁用的多个第一片段。禁用尤其是涉及所使用的访问类型，优选地涉及实施、也即涉及为了实施目的的读。异常处理机在出现异常时启用第二片段用于实施。启用涉及与禁用或访问(读、写)相同的活动并且尤其是涉及实施。
[0020]尤其是异常处理机启用第二片段用于读并且优选地也用于实施。由此，异常处理机改变其中存在可实施的程序块的片段以及不