[发明专利]用于运行控制设备的方法

说明书

本发明涉及用于运行控制设备（200，202，204）的方法和用于执行该方法的电子硬件安全模块（212）。在此，设置安全层（220），所述安全层被分配给硬件安全模块（212），监控主计算单元（210）的运行并且在存在误操作时切换到紧急运行操作。

技术领域

本发明涉及用于运行控制设备的方法和这样的控制设备。所描述类型的控制设备尤其是在机动车中应用于内燃机。

背景技术

控制设备是电子模块，其例如被用在机动车中以便控制和调节流程。为此，将控制设备分配给机动车的组件，所述组件的运行利用所分配的控制设备监督（kontrollieren）。为此，控制设备读入由传感器检测的数据并且通过操控执行器来作用于所述运行。

所描述的方法结合电子安全模块来应用，该电子安全模块在安全性相关的领域中被使用在控制设备中、尤其是在汽车领域中。在安全性相关的领域中的大多数应用情况下，不可操纵或者不可查阅的数据存储是基本要求。在此情况下，使用密码密钥，所述密码密钥应用在对称或非对称的加密方法中。

所使用的密钥和加密方法是机密，其必须对攻击者保持是秘密的。在安全性相关的领域中的其他应用例如涉及防止未经允许的改变、例如存储改变的序列号或者公里读数、禁止未授权的调整措施（Tuning-Maßnahmen）等等。

因此需要在控制设备中提供安全的环境，在所述安全的环境中可以实施必须查阅和/或改变所述机密的功能。这些环境经常具有安全的计算单元或CPU（其也可以称为安全CPU（secure CPU））以及存储模块。这样的环境这里也被称为硬件安全模块（HSM：硬件安全模块（Hardware Security Module））。该模块是具有硬件和软件组件的有效率的模块，该有效率的模块改善嵌入式系统的可信度和保护。尤其是，HSM在此支持保护安全性关键的应用和数据。利用HSM同样可以降低安全成本，而同时可以提供防攻击者的有效保护。关于HSM的基本构造参考图3。

在机动车中已知的是，为了操控确定的组件、例如为了操控被设置用于驱动的内燃机使用多于一个的控制设备。因此，可以设置一个控制设备和一个另外的控制设备，它们一起操控内燃机。在此情况下要考虑的是，在两个控制设备之一故障或误操作时，也许不再能够确保内燃机的无误运行。

由出版物DE 10 2011 108 87 64 A1已知一种用于运行内燃机的控制设备的方法。在该方法中，该控制设备在第一运行方式中与至少一个另外的控制设备一起操控内燃机。在此规定，控制设备鉴于误操作监控至少一个另外的控制设备以及在存在误操作时从第一运行方式变换到第二运行方式，在所述第二运行方式中该控制设备可以与至少一个另外的控制设备无关地维持内燃机的运行。因此，即使在误操作的情况下也能够保证内燃机的可靠运行。

发明内容

以此为背景，介绍用于运行控制设备的方法、用于执行该方法的电子硬件安全模块（HSM）和控制设备，其中该控制设备包括主计算单元和所述电子硬件安全模块，其中在硬件安全模块之内的安全层监控主计算单元的运行并且在存在误操作时切换到紧急运行操作，其中所述主计算单元在正常的调节运行中通过所述硬件安全模块访问输入/输出模块，并且其中在识别出操纵的情况下可以完全关断所有主计算单元。该方法和模块的扩展方案从说明书中得到。

利用所介绍的方法可能的是，即使没有主计算单元也保证在所涉及的控制设备中的紧急运行操作（Notlaufbetrieb）。在此，此外还可以操控所涉及的控制设备的所有输入和输出。所介绍的方法基于，HSM安全层（或HSM Security Layer）具有在不同紧急运行程序之间切换的可能性。在此，HSM将输入和输出端子或I/O引脚切换至外部通信接口或切换至内部紧急运行程序。

因此，利用了HSM安全层具有在不同紧急运行程序之间切换的可能性。紧急运行（Notlauf）在外部和内部的不同可能性如下地被列出：

1. 在外部紧急运行