[发明专利]用于保护车辆安全系统的操作系统的方法和半导体电路

说明书

本发明涉及一种用于防止安全系统的操作系统被非正常修改的方法，所述操作系统被存储在车辆的控制器的工作存储器中。

技术领域

本发明涉及一种用于防止安全系统的操作系统被非正常修改的方法，该安全系统被存储在车辆的控制器的工作存储器中。

背景技术

车辆通常包括多个不同的功能系统，这些功能系统提高了车辆在道路交通中的安全性或车辆乘客的舒适性。例如，制动系统和发动机控制装置属于车辆的安全系统(safety)，而信息娱乐系统和空调系统被算作车辆的舒适性系统。

每个功能系统通常均包括至少一个被布置在车辆中的装置以及一个与此装置相对应的操作系统(Operating System,OS)，所述操作系统具有用于上述装置的控制逻辑并且被存储在车辆的控制器中且在其中运行。根据本发明的操作系统包括狭义上的操作系统(例如，Linux内核)和/或至少一个与相应装置相关的具体的应用程序。

与控制器通常间隔一定距离地布置在车辆中的至少一个相对应的装置通常通过专门的总线系统与这个控制器双向连接。控制数据或状态数据通过总线系统在存储在控制器中的操作系统和至少一个相对应的装置之间进行交换。

所述控制器和至少一个装置分别借助适合的接口与总线系统相连。总线系统和接口必须尤其是在车辆的安全系统中在任何时候都能够确保操作系统和至少一个相对应的装置之间的实时通信。

对此，文献DE 10 2005 048 595 A1公开了所谓的FlexRay-接口，借助该接口能够将FlexRay-用户、即车辆的控制器或装置与FlexRay-总线相连。FlexRay-接口包括用户侧的输入缓冲存储器和输出缓冲存储器，它们分别具有子缓冲存储器和与子缓冲存储器相对应的影子存储器。通过FlexRay-用户交替地对FlexRay-接口的输入缓冲存储器或输出缓冲存储器的子缓冲存储器和影子存储器进行读取或写入访问，能够加速FlexRay-用户和FlexRay-总线之间的数据传输。

除了通过总线迅速地交换数据以外，为了使功能系统正常地运行首先无论何时都必须确保其位于控制器中的操作系统的完好性。完好性是无故障地运行存储在控制器的工作存储器中的操作系统的必要前提。这能够通过相应的、用于操作系统的保护系统(security)来实现。

当操作系统例如在车辆的行驶过程中进行在线更新时，尤其是在存在大量操作系统且相应地具有很长的更新时间的情况下，位于控制器的工作存储器中的操作系统会出现未定义的中间状态，由此可能会影响操作系统的无故障运行。

为了防止在更新过程中出现这种功能干扰，文献US 2009 119 657 A1公开了一种对车辆控制器的工作存储器中的应用程序进行更新的方法。在该方法中，首先将应用程序的更新版本保存在控制器的被称为“影子存储器”的缓冲存储器中，以便能够在车辆的行驶过程中在全面更新的情况下避免车辆由于相关的应用程序的未定义的中间状态而出现故障运行。当车辆下次启动时，即在开始行驶之前，操作系统的保存在“影子存储器”中的更新版本被映射/镜像到工作存储器中以便生效。

在现今的车辆中，越来越多地将多个控制器联合成中央控制器(电子控制单元，ECU)。该中央控制器具有工作存储器，在该工作存储器中同时存储和并行地运行多个操作系统。对于这种星群式布置而言，命名虚拟化是常用的。操作系统在这种星群式布置中相应地被“虚拟化地”命名。

在此情况下，处在控制器的工作存储器中的操作系统的完好性还会受到存储在该控制器的工作存储器中的其他操作系统的影响。例如，一个操作系统可能会有意地、也就是说在有针对性的攻击的情况下或无意地、也就是说由于编程错误通过覆盖来修改其他操作系统的存储区。