[发明专利]用于在机动车中安全地结合软件部件的装置

说明书

本发明涉及一种用于耦合一软件部件（10）与机动车的控制系统的耦合装置（150），所述软件部件将用于调节执行器（300）的调节请求（S1）传递到该控制系统上，其中，所述耦合装置（150）包括一监控单元（230），所述监控单元被设置用于针对每个调节请求（S1）执行一判断：所述调节请求的转换是否将所述机动车转换到危险状态中，其中，所述耦合装置还设置用于根据该判断将一相应于所述调节请求（S1）的经监控的调节请求（S2）传递到转换单元（250、260、280）上，其中，所述转换单元（250、260、280）设置用于操控所述执行器（300）。

技术领域

本发明涉及一种用于耦合一软件部件与机动车的控制系统的耦合装置、一种包括所述耦合装置全部单元的控制设备和一种用于运行所述耦合装置的控制设备。

背景技术

在移动电话中属于现有技术的是，使用者通过该设备和通过安装在其上的软件获得对大量其他软件部件或程序的访问。对于这些程序常见的名字是“App”。App通常可以简单取得（例如通过App商店）并安装并能够实现多个不同的应用，它们有时远远超出移动电话的原始基本功能。该设备的简单和广泛的个性化同时对于消费者是非常重要的购买标准。

就像在移动电话领域中那样的类似附件已经零星地针对信息娱乐系统存在于机动车中。在那里对于驾驶员也可行的是，通过相应的App商店取得并且安装用于个性化其信息娱乐系统的应用。

发明内容

为了使其上运行App和访问到其上的基础系统（即用于控制机动车的系统或子系统）不受错误编程的App的影响，可以考虑相应的软件措施和/或硬件措施用于保护存储器和用于确保正确的运行时间行为。存储器保护单元或存储器管理单元或μC层面（μC-Ebene）上的相应的权限管理是可能的机构。

这些机构可以是有效措施，以便阻止错误App对于基础系统的影响（英语也称作“freedom from interference（无干扰）”），并由此提高基础系统的安全性。在这里和下面，安全性的概念应用在英语术语“safety（人身安全）”（防止肢体和生命受到不合理风险）的意义上而不是应用在英语术语“security（网络安全）”（访问保护、防止侵入者、防止数据弄错等）的意义上。

用于提高基础系统安全性的另一可能的机构是在将App设定到所提到的App商店中时和至少部分地也在访问App商店时设置限制。这些限制也可以具有这样的目的，即，使具有对基础系统的可能负面影响的App根本不能达到基础系统。

在机动车的研发中必须在安全性方面尤其注意标准ISO 26262，该标准尤其与故障的严重后果和发生可能性相关地给部件配属ASIL分类。由该ASIL分类于是推导出到何种程度必须设置特别的应对措施用于阻止所述故障。如果App附加地安装在机动车上并可以取得对于安全性关键的执行器的影响，那么对于这些App也要注意ISO 26262，这使这样的App的研发非常耗费。

对于App的上述转换而言构思一般是，这些转换没有在对安全性重要的系统上在ISO 26262的意义上运行并且这些App尤其不能对安全性关键的执行器产生影响。

但是，App可以取得这样的影响的可能性是值得希望的。机动车中的、对于安全性重要的系统的现今的控制设备在车间中的传送带末端被编程，也就是说功能范围随着在客户处的批量交付被确定。但是存在这样的可能性，即，附加地可以将一定的功能在车间中“解锁（freischalten）”。这通过如下方式来实现，即，在车间中利用诊断试验器接通控制设备数据场中的软件开关。也就是说但是因此“解锁”的功能在供货时已经在控制设备中存在，但例如通过一相应的SW开关是未激活的。此外，在车间中也存在更新完全的软件状态的可能性。该可能性的特征在于，软件的事先已知的、能预先生效的并且自由给出的编排被加载到控制设备上。