NIEMANN HOLGER (DE)
HAGMAN PER (DE)
DUBS ALEXANDER (DE)
GRESKAMP SIEGFRIED (DE)
VON SCHWERTFUEHRER GERIT (DE)
NIEMANN HOLGER (DE)
HAGMAN PER (DE)
DUBS ALEXANDER (DE)
GRESKAMP SIEGFRIED (DE)
| WO2002010903A2 | 2002-02-07 |
| EP1455312A1 | 2004-09-08 |
Ansprüche
1. Verfahren zur Verteilung von Softwaremodulen (2, 4) auf Steuergeräte (8, 10), wobei den Steuergeräten (8, 10) die Softwaremodule (2, 4) unter Berücksichtigung von sicherheitsrelevanten Klassifizierungsmerkmalen zu- geordnet werden.
2. Verfahren nach Anspruch 1, bei dem die Softwaremodule (2, 4) klassifiziert und anhand der Klassifizierungsmerkmale unterteilt werden.
3. Verfahren nach Anspruch 1 oder 2, bei dem die Steuergeräte (8, 10) klassifiziert und anhand der Klassifizierungsmerkmale unterteilt werden.
4. Verfahren nach einem der voranstehenden Ansprüche, bei dem überprüft wird, welche Klassifizierungsmerkmale jeweils ein Steuergerät (8, 10) er- füllt, so dass diesem Steuergerät (8, 10) in Abhängigkeit der erfüllten
Klassifizierungsmerkmale mindestens ein Softwaremodul (2, 4) zugeteilt wird.
5. Verfahren nach einem der voranstehenden Ansprüche, bei dem als Klassi- fizierungsmerkmal Sicherheitsintegritätslevel herangezogen werden.
6. Verfahren nach einem der voranstehenden Ansprüche, das für Steuergeräte (8, 10) eines Fahrzeugs durchgeführt wird, wobei die Steuergeräte (8, 10) mittels der Softwaremodule (2, 4) Funktionen des Fahrzeugs, bei- spielsweise Steuerung eines Lüfters oder Berechnung eines Fahrerwunschmoments aus einer Fahrpedalstellung, realisieren.
7. Einrichtung, die zur Verteilung von Softwaremodulen (2, 4) auf Steuergeräte (8, 10) ausgebildet ist, und die den Steuergeräten (8, 10) unter Berücksichtigung von sicherheitsrelevanten Klassifizierungsmerkmalen Softwaremodule (2, 4) zuordnet.
8. Einrichtung nach Anspruch 7, die dazu ausgebildet ist, Softwaremodule (2, 4) zu klassifizieren und anhand der Klassifizierungsmerkmale zu unterteilen.
9. Einrichtung nach Anspruch 7 oder 8, die dazu ausgebildet ist, Steuergeräte (8, 10) zu klassifizieren und anhand der Klassifizierungsmerkmale zu unterteilen.
10. Einrichtung nach einem der Ansprüche 7 bis 9, die dazu ausgebildet ist, zu überprüfen, welche Klassifizierungsmerkmale jeweils ein Steuergerät (8, 10) erfüllt, und diesem Steuergerät (8, 10) in Abhängigkeit der erfüllten Klassifizierungsmerkmale mindestens ein Softwaremodul (2, 4) zuzuteilen.
11. Computerprogramm mit Programmcodemitteln, um alle Schritte eines Verfahrens nach einem der Ansprüche 1 bis 6 durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit, insbesondere einer Einrichtung (6) nach einem der Ansprü- che 7 bis 10, ausgeführt wird.
12. Computerprogrammprodukt mit Programmcodemitteln, die auf einem computerlesbaren Datenträger gespeichert sind, um alle Schritte eines Verfahrens nach einem der Ansprüche 1 bis 6 durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Re- cheneinheit, insbesondere einer Einrichtung (6) nach einem der Ansprüche 7 bis 10, ausgeführt wird. |
Beschreibung
Titel
Verfahren zur Verteilung von Softwaremodulen
Die Erfindung betrifft ein Verfahren zur Verteilung von Softwaremodulen, eine Einrichtung zur Verteilung von Softwaremodulen, ein Computerprogramm und ein Computerprogrammprodukt.
Stand der Technik
Es gibt Bestrebungen, zukünftig eine freie Verteilung von Fahrzeugsteuergeräte- Software auf die im Fahrzeug vorhandenen Steuergeräte vornehmen zu können. Dabei sind insbesondere Sicherheitsaspekte zu berücksichtigen. Eine vollständig freie Verteilung von Softwaremodulen könnte in diesem Zusammenhang dazu führen, dass jedes Steuergerät, auf das die Softwaremodule verteilt werden sollen, die maximalen Sicherheitsanforderungen der zu verteilenden Softwaremodule erfüllen muss. Dabei besteht jedoch die Gefahr, dass sicherheitsrelevante Softwaremodule einem Steuergerät zugewiesen werden, das die Sicherheitsanforderungen dieser sicherheitsrelevanten Softwaremodule nicht erfüllt. Des wei- teren ist denkbar, dass sicherheitsrelevante Softwaremodule nicht verteilt werden können. Dies würde eine Einschränkung der vorgesehenen Verteilung von Software bedeuten.
Die Druckschrift DE 102 19 501 Al offenbart ein Beispiel eines Zusammenwir- kens von Software- und Hardwaremodulen unter Berücksichtigung sicherheitskritischer Aspekte. Diese Druckschrift betrifft ein Verfahren zur Verbesserung
von Fehlerbeherrschungsmaßnahmen, insbesondere bei Automatisierungssystemen, bestehend aus wenigstens einer Standard-CPU-Baugruppe mit integrierter Software, wenigstens einer fehlersicheren Peripheriebaugruppe und wenigstens einem Kommunikationskanal zur Kommunikation zwischen der Standard- CPU-Baugruppe und der fehlersicheren Peripheriebaugruppe, wobei die Software der Standard-CPU- Baugruppe aus Betriebssystem und Anwenderprogramm besteht. Bei der überprüfung auf Fehler in sicherheitskritischen Daten und/oder der überprüfung auf Fehler bei der Verarbeitung von sicherheitskritischen Daten wird innerhalb der Standard- CPU-Baugruppe eine Kombination aus diversitärer und codierter Verarbeitung von Daten und/oder Operatoren verwendet.
Vor diesem Hintergrund wird ein Verfahren mit den Merkmalen des Patentanspruchs 1, eine Einrichtung mit den Merkmalen des Patentanspruchs 7, ein Computerprogramm mit den Merkmalen des Patentanspruchs 11 und ein Computerprogrammprodukt mit den Merkmalen des Patentanspruchs 12 vorgeschlagen.
Vorteile der Erfindung
Bei dem erfindungsgemäßen Verfahren zur Verteilung von Softwaremodulen auf Steuergeräte werden den Steuergeräten die Softwaremodule unter Berücksichtigung von sicherheitsrelevanten Klassifizierungsmerkmalen zugeordnet.
Die erfindungsgemäße Einrichtung ist zur Verteilung von Softwaremodulen auf Steuergeräte ausgebildet. Es ist vorgesehen, dass diese erfindungsgemäße Einrichtung den Steuergeräten unter Berücksichtigung von sicherheitsrelevanten Klassifizierungsmerkmalen Softwaremodule zuordnet.
Weitere vorteilhafte Ausgestaltungen ergeben sich aus den abhängigen Patentansprüchen.
Die Erfindung betrifft außerdem ein Computerprogramm mit Programmcodemitteln, um alle Schritte eines erfindungsgemäßen Verfahrens durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Re- cheneinheit, insbesondere einer erfindungsgemäßen Einrichtung, ausgeführt wird.
Die Erfindung betrifft auch ein Computerprogrammprodukt mit Programmcodemitteln, die auf einem computerlesbaren Datenträger gespeichert sind, um alle Schritte eines erfindungsgemäßen Verfahrens durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit, insbesondere einer erfindungsgemäßen Einrichtung, ausgeführt wird.
Mit der Erfindung ist eine Klassifizierung von Softwaremodulen und somit von Software, die auf Steuergeräte verteilt werden sollen bzw. soll, möglich. Außerdem ist eine Klassifizierung der Steuergeräte bezüglich ihrer Sicherheitsrelevanz bzw. ihrer Sicherheitsanforderungen und eine Berücksichtigung dieser sicherheitsrelevanten Klassifizierungsmerkmale bei einem Prozess der Verteilung der Softwaremodule oder von Anteilen dieser Software realisierbar. Die Erfindung lässt demnach eine insbesondere gezielte Verteilung von sicherheitsrelevanten Softwaremodulen auf Steuergeräte eines Steuergeräteverbunds zu.
Dabei ist die Möglichkeit gegeben, Hardwarekosten in dem Steuergeräteverbund einzusparen, falls nicht jedes Steuergerät den gleichen Sicherheitsanforderun- gen unterliegt. Auf den verschiedenen Steuergeräten innerhalb des Steuergeräteverbunds, beispielsweise in einem Fahrzeug, können nach der Verteilung oder Zuordnung jeweils nur bestimmte Softwaremodule installiert werden. Des weiteren kann vermieden werden, dass sicherheitsrelevante Softwaremodule auf Steuergeräte, die nicht den Sicherheitsanforderungen entsprechen, verteilt wer- den.
- A -
Bei einer Ausgestaltung der Erfindung werden zunächst alle Softwaremodule, die auf den Steuergeräten verteilt werden sollen, anhand von sicherheitsrelevanten Klassifizierungsmerkmalen unterteilt. Ebenso werden die Steuergeräte, auf die die Softwaremodule verteilt werden sollen, anhand der gleichen, sicherheits- relevanten Klassifizierungsmerkmale unterteilt. Somit werden die Softwaremodule und die Steuergeräte bzgl. einer Realisierung von Sicherheitsanforderungen nach denselben Aspekten klassifiziert und unterteilt. Die Klassifizierungsmerkmale können gemäß gegebener Sicherheitsanforderungen standardisiert sein.
Bei der Verteilung der sicherheitsrelevanten Softwaremodule wird eine Zuteilung mindestens eines Softwaremoduls nur auf ein Steuergerät zugelassen, das mindestens die sicherheitsrelevanten Klassifizierungsmerkmale des sicherheitsrelevanten Softwaremoduls erfüllt. Werden derartige Klassifizierungsmerkmale nicht erfüllt, kann keine Zuteilung erfolgen.
Als sicherheitsrelevantes Klassifizierungsmerkmal könnte z.B. der Sicherheitsin- tegritätslevel (SIL) nach DIN EN 61508 herangezogen werden, der typischerweise in fünf Grade von SILO bis SIL4 aufgeteilt ist. So kann einem ersten Softwaremodul bzw. einer ersten Software- Funktion, beispielsweise für eine Lüfter- Steuerung, ein SIL von 0 und einem zweiten Softwaremodul bzw. einer zweiten Software- Funktion, das bzw. die zur Berechnung eines Fahrerwunschmoments aus einer Fahrpedalstellung ausgebildet ist, z.B. ein SIL von 3 zugeordnet werden.
Ein erstes Steuergerät ohne Hardware- Redundanz und Sicherheitskonzept darf nur Softwaremodule des Grades SILO aufnehmen, ein zweites Steuergerät mit einer Hardware- Redundanz, das z.B. zwei Prozessoren aufweist und mit einem Sicherheitskonzept ausgestattet ist, darf Software bis zum Grad SIL3 aufnehmen.
In diesem Beispiel müsste die zweite Software- Funktion auf das zweite Steuergerät aufgeteilt werden. Die erste Software- Funktion dürfte beiden Steuergeräten zugewiesen werden. Da das erste Steuergerät ohne Redundanz und Sicherheitskonzept auskommt, ist es kostengünstiger als das zweite Steuergerät.
Die Verteilung kann automatisiert ablaufen, ist jedoch auch manuell durchführbar und z.B. im Rahmen von verteilter Software, die in Softwaremodulen vorliegt und für Steuergeräte in Kraftfahrzeugen vorgesehen ist, einsetzbar.
Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.
Es versteht sich, dass die vorstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, son- dem auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
Die Erfindung ist anhand eines Ausführungsbeispiels in der Zeichnung schematisch dargestellt und wird im folgenden unter Bezugnahme auf die Zeichnung ausführlich beschrieben.
Figur 1 zeigt in schematischer Darstellung ein Ausführungsbeispiel zur
Verteilung von Softwaremodulen auf Steuergeräte.
In Figur 1 sind mehrere Softwaremodule 2, 4, eine Einrichtung 6 sowie mehrere Steuergeräte 8, 10 innerhalb eines Steuergeräteverbunds 12, beispielsweise in einem Fahrzeug oder eine elektromechanische Vorrichtung, schematisch dargestellt.
Es ist vorgesehen, dass die Softwaremodule 2, 4 unter Berücksichtigung von Sicherheitsanforderungen auf die Steuergeräte 8, 10 verteilt werden sollen. Da-
bei ist zu berücksichtigen, dass kein Softwaremodul 2, 4 einem Steuergerät 8, 10 zugewiesen wird, das dessen Sicherheitsanforderungen nicht erfüllt.
Die Einrichtung 6 ist dazu ausgebildet, den Steuergeräten 8, 10 unter Berück- sichtigung von sicherheitsrelevanten Klassifizierungsmerkmalen Softwaremodule 2, 4 zuzuordnen. Dazu werden die Softwaremodule 2, 4 und die Steuergeräte 8, 10 durch die Einrichtung 6 klassifiziert und anhand der Klassifizierungsmerkmale unterteilt. Hierzu werden als Klassifizierungsmerkmale Sicherheitsintegritätslevel herangezogen. Es wird dabei durch die Einrichtung 6 überprüft, welche Klassifi- zierungsmerkmale jeweils ein Steuergerät 8, 10 erfüllt, so dass diesem Steuergerät 8, 10 in Abhängigkeit der erfüllten Klassifizierungsmerkmale entsprechende Softwaremodule 2, 4 zugeteilt werden.
In vorliegendem Ausführungsbeispiel werden durch die Einrichtung 6 ein erstes Softwaremodul 2 und ein erstes Steuergerät 8 klassifiziert und somit auf Erfüllung sicherheitsrelevanter Klassifizierungsmerkmale überprüft. Als Maßstab wird hierbei der in mehrere sicherheitsrelevante Grade oder Stufen unterteilte Sicherheitsintegritätslevel herangezogen. In diesem Fall genügt das erste Steuergerät 8 den Sicherheitsanforderungen des ersten Softwaremoduls 2, da der Sicher- heitsintegritätslevel des ersten Steuergeräts 8 mindestens genauso groß wie der Sicherheitsintegritätslevel des ersten Softwaremoduls 2 ist. Das erste Softwaremodul 2 wird somit dem ersten Steuergerät 8 zugewiesen und auf diesem ersten Steuergerät 8 installiert.
Mit der vorliegenden Erfindung ist eine freie Verteilung von Softwaremodulen 2, 4 und somit Fahrzeugsteuergeräte-Software auf die in dem Fahrzeug vorhandenen Steuergeräte 8, 10 möglich. Dabei können nunmehr insbesondere Sicherheitsaspekte berücksichtigt werden. Es ist somit bei einer vollständig freien Verteilung von Softwaremodulen 2, 4 nicht mehr erforderlich, dass jedes Steuerge- rät 8, 10, auf das die Softwaremodule 2, 4 verteilt werden sollen, die maximalen
Sicherheitsanforderungen der zu verteilenden Softwaremodule 2, 4 erfüllen muss.
Es besteht auch nicht mehr die Gefahr, dass sicherheitsrelevante Softwaremo- dule 2, 4 einem Steuergerät 8, 10 zugewiesen werden, das die Sicherheitsanforderungen dieser sicherheitsrelevanten Softwaremodule 2, 4 nicht erfüllt. Die Softwaremodule 2, 4 können nun unter Berücksichtigung der sicherheitsrelevanten Klassifizierungsmerkmale gezielt verteilt werden.