車輛單元和用來操作車輛單元的方法
【專利摘要】本發(fā)明涉及一種用于控制車輛功能的帶有微處理器和連接的存儲器的車輛單元和方法����,在其上執(zhí)行構成硬件與應用程序之間的界面和用戶交互的主操作系統(tǒng)。微處理器構建在微內(nèi)核結構中����,該微內(nèi)核結構具有用于主操作系統(tǒng)單元(1),加密單元(4)和監(jiān)控單元(2)的分離的分區(qū)���,其中主操作系統(tǒng)設置在主操作系統(tǒng)單元(1)中���,軟件證書儲存在加密單元(4)中并且驗證程序設置用于檢驗證書和軟件包,在監(jiān)督單元(2)中設有監(jiān)控程序��,以用于監(jiān)控微內(nèi)核結構的其他分區(qū)的功能���。
【專利說明】車輛單元和用來操作車輛單元的方法
【技術領域】
[0001]本發(fā)明涉及一種用于控制車輛功能的車輛單元�,例如中央車輛控制單元,多媒體車載單元或類似的以及用于操作該車輛單元的方法���。該車輛單元具有通常帶有連接的存儲器的微處理器,其中��,在該微處理器上執(zhí)行由其后也稱為主操作系統(tǒng)OS的主操作系統(tǒng)�����。根據(jù)本發(fā)明�����,該主操作系統(tǒng)構成車輛控制單元的硬件與在主操作系統(tǒng)中執(zhí)行和/或在可能的情況下還在微處理器上附加地執(zhí)行的應用程序(Applicationen)之間的界面和通過用戶界面(User Interface)的用戶交互�。
【背景技術】
[0002]這樣的電子的車輛單元在越來越多的車輛中使用,其中應用程序被安裝在車輛單元中�����,而應用程序是由用戶輸入或與車輛單元相連的硬件組件��,或兩者一起來控制��。這樣的開放系統(tǒng)導致了一些可能性的發(fā)生�,例如由于連接在車輛單元中的存儲器的寫入錯誤���,在車輛單元上的主操作系統(tǒng)和/或應用程序在特定條件下不再工作。如果在太多的回滾存儲器訪問較早的存儲條目或太多的程序的添加行為或刪除行為中就可能會出現(xiàn)這樣的問題����。那么需要頻繁重新安裝主操作系統(tǒng)以及必要時重新安裝應用程序。這種重新安裝對于原始設備制造商�、中間商和最終客戶都是非常耗費的,因為車輛單元必須從汽車上拆下�����,并且送到維修服務部����,然后為了重新執(zhí)行在微處理器上的主要操作系統(tǒng)并且必要時的應用程序,維修服務部必須在一個被稱為“閃爍(Flashing)”的過程中重新寫入存儲器�。
【發(fā)明內(nèi)容】
[0003]因為這是勞動和成本密集的工作,本發(fā)明的目的是為了減少以下情況的數(shù)量�,在這些情況中前面描述的維修必須通過改造和向維修服務部發(fā)送車輛單元來實施。
[0004]這個任務是通過具有權利要求1的特征的車輛單元和根據(jù)權利要求7的特征來操作該車輛單元的方法來實現(xiàn)���。在前述類型的車輛單元中由此提出����,即微處理器構建在微內(nèi)核結構中,該微內(nèi)核結構具有用于主操作系統(tǒng)單元�����、加密單元和監(jiān)控單元的分離的分區(qū)�,其中,主操作系統(tǒng)以及必要時應用程序設置在主操作系統(tǒng)單元中�����,在加密單元中存儲有軟件證書�,并且設置有驗證程序用于驗證證書和軟件包��,并且其中����,在監(jiān)督單元中設有監(jiān)控程序,用于監(jiān)控微內(nèi)核結構的其他分區(qū)的功能�����。
[0005]根據(jù)本發(fā)明�����,分離的分區(qū)和在其上設置的程序互相之間是獨立工作,其中監(jiān)督單元的監(jiān)控程序監(jiān)控其他分區(qū)的功能并且優(yōu)選地在確定錯誤時引入維修過程���,例如通過在微內(nèi)核結構中對于有錯誤的分區(qū)的重新寫入����。一個這樣的閃存過程通過回歸到系統(tǒng)上次已知的穩(wěn)定狀態(tài)來維修系統(tǒng)��。
[0006]因而根據(jù)本發(fā)明通過設計帶有分離的分區(qū)的微內(nèi)核結構也是可能的���,那么當主操作系統(tǒng)單元發(fā)生錯誤時���,也可能使用監(jiān)督單元,以使得可以實現(xiàn)通過監(jiān)督單元來維修整個系統(tǒng)��,而傳統(tǒng)上必須在維修服務部通過連接相對應的維修系統(tǒng)才能實現(xiàn)�。在此,監(jiān)督單元的監(jiān)控程序能夠特別是為主操作系統(tǒng)單元例如以看門狗功能的形式實現(xiàn)����。根據(jù)本發(fā)明,整個微內(nèi)核結構優(yōu)選地在剛好一個微處理器上執(zhí)行���,在該微處理器上也設置不同分區(qū)的所有單元��,并且在該微處理器上所有分配給不同的單元的功能通過執(zhí)行適合的程序來進行�����。
[0007]根據(jù)本發(fā)明��,設置主操作系統(tǒng)單元的分區(qū)��,以使得其能由終端用戶�,例如通過下載和安裝新應用程序和/或固件程序來改變。尤其是固件程序也可以包括主操作系統(tǒng)的新版本����。
[0008]在此根據(jù)本發(fā)明可能的是���,不僅安裝更新而且完全新寫入分區(qū)(閃爍)��,其中在車輛單元中重新安裝主操作系統(tǒng)�����。這描述了在軟件錯誤時車輛單元處于一個功能性的狀態(tài)下的可能性�。
[0009]根據(jù)本發(fā)明的一個特別有利的改造方案,在微處理器中的微內(nèi)核結構的其他的分區(qū)設置為不能通過終端用戶來改變����。這優(yōu)選地涉及微內(nèi)核結構的所有其他的分區(qū),但尤其是加密單元和監(jiān)督單元或者是帶有加密單元和監(jiān)督單元的相應的分區(qū)����。由此通過用戶對主操作系統(tǒng)單元同時影響時能夠達到一個總體高的系統(tǒng)可靠性,因為對于一個主操作系統(tǒng)可能恢復的負責的分區(qū)和微內(nèi)核結構的單元可以不通過用戶交互而改變��,并且因此��,車輛單元能夠實現(xiàn)恢復到一個預定��、定義的狀態(tài)��。
[0010]在根據(jù)本發(fā)明的構想的再開發(fā)中��,加密單元設置用于利用驗證程序逐包地解密和/或驗證在車輛單元中待安裝的軟件�����。由此這樣的問體得以解決�,即在車輛單元中和微處理器連接的存儲器、特別是閃存具有僅僅相比之下很小的存儲容量�����,該較小的存儲容量通常對于完全應用的中間存儲是不夠的。這個例如也適用于帶有主操作系統(tǒng)的分區(qū)的完全的映像(Abbild)0
[0011]在這種關聯(lián)下���,US2009/0217136A1已經(jīng)描述了一個帶有閃存存儲器模塊和在存儲設備中包括的控制器的存儲設備�����,其具有帶有糾錯模塊的自身的微處理器���,在從閃存存儲器模塊保存或讀取數(shù)據(jù)時,該糾錯模塊進行逐包的糾正���。針對此處���,US2009/0217136A1中��,然而建議一個單獨的微處理器���,其固定地對應于該存儲單元�,其中�,該存儲單元自身可以連接到主計算機系統(tǒng)上。在微內(nèi)核結構的框架中實現(xiàn)該功能,相對提供了一個好優(yōu)點�,即可以使用唯一的微處理器,因為根據(jù)本發(fā)明的在微內(nèi)核結構框架中的加密單元設計為不能從外部改變的分區(qū)�����,因此其可以保證避免不必要的或者有意識的操縱����,并且在主操作系統(tǒng)和/或應用軟件的解密和驗證的框架中特別可靠地工作。在這個提出的結構框架中�����,沒有必要在這里設置一個分離的處理器和控制器���。
[0012]有利地��,根據(jù)本發(fā)明����,特別重要的監(jiān)督單元設置用于�,利用監(jiān)控程序,在主操作系統(tǒng)中發(fā)生錯誤情況下為帶有主操作系統(tǒng)的分區(qū)導入恢復程序方法�。由此�����,在確定車輛單元的主操作系統(tǒng)中錯誤時這自動地實現(xiàn)���,車輛操作單元可以因此特別安全以及可靠地操作。
[0013]根據(jù)一個簡單的變體方案�����,一個帶有基本的應用程序的有效的主操作系統(tǒng)的基本版本例如以映像(Image)的形式存儲在與車輛單元連接的閃存中�����,作為主操作系統(tǒng)的分區(qū)的備份映像由監(jiān)督單元來回寫���。
[0014]可替換的或者補充的�,在恢復方法的框架中��,優(yōu)選地進行當前的主操作系統(tǒng)版本的用戶交互下載�,其通過監(jiān)督單元�,緊接著安裝在主操作系統(tǒng)單元的分區(qū)中。由此��,通過加密單元,可以在安裝前或者安裝期間驗證安裝的軟件的完整性�����。
[0015]為了實現(xiàn)當前主操作系統(tǒng)版本或者當前應用程序的簡單轉移��,車輛單元可以具有用于外界存儲介質(zhì)的界面�,其也可以通過監(jiān)督單元控制。這個界面例如可以是USB接口���,由于插入安全數(shù)字卡(SD卡)的接口�,其他的數(shù)據(jù)卡或者諸如此類��。在此�,界面不可以直接設計在車輛單元上,而是根據(jù)發(fā)明集成在車輛中本來已有的用戶界面中����。
[0016]監(jiān)督單元或在其中執(zhí)行的監(jiān)控程序具有緊急操作系統(tǒng),該緊急操作系統(tǒng)設置用于��,控制必要的用戶界面�����,例如顯示器、輸入單元或者諸如此類�,以及用于外部存儲介質(zhì)的界面,并且實施恢復方法�����。
[0017]根據(jù)一個特別優(yōu)選的實施形式����,微內(nèi)核結構可以設計為具有用于策略單元的分離的分區(qū)的所謂的分離內(nèi)核,其中策略單元設置用于�,監(jiān)控并且必要時控制在微內(nèi)核結構的各個分區(qū)之間的通信。因此策略單元阻止例如主操作系統(tǒng)存取其他分區(qū)����,并且控制各個分區(qū)之間的通信流程。因為在與微處理器連接的存儲器的內(nèi)部或者在微處理器內(nèi)部本身無法實現(xiàn)通過同樣地由用戶不可以改變的策略單元不可預料的動作�,由此車輛單元達到很高的操作安全性和操縱安全性。
[0018]車輛單元或者說微內(nèi)核結構的不同分區(qū)的相應的單元根據(jù)本發(fā)明來設置用于執(zhí)行下面所述的用于操作車輛單元或該車輛單元的部件的方法���。這個方法用來操作帶有微處理器的車輛單元����,在該微處理器上安置有帶有用于主操作系統(tǒng)單元��、加密單元和監(jiān)督單元的分離分區(qū)的前面描述的微內(nèi)核結構�����。根據(jù)本發(fā)明��,主操作系統(tǒng)以及必要時應用程序設置在主操作系統(tǒng)單元中����。這些可以通過用戶來改變。根據(jù)本發(fā)明�,在加密單元里存儲有軟件證書,也設置有驗證程序用于驗證證書和全部軟件包����。根據(jù)本發(fā)明,在監(jiān)督單元中設有監(jiān)控程序��,用于監(jiān)控在微內(nèi)核結構中的其他分區(qū)的功能�����,其中通過監(jiān)督單元的監(jiān)控程序�����,在啟動和/或操作主操作系統(tǒng)或者說車輛單元時監(jiān)控主操作系統(tǒng)以及必要時已有的應用程序,并且在預定的行為發(fā)生偏差時導入恢復方法����。因此,在許多情況下��,車輛單元可以在故障情況下重新啟動并且還原到工作狀態(tài)�,無需改造車輛單元和重寫連接到微處理器的存儲器來重新執(zhí)行主操作系統(tǒng)軟件以及應用程序。
[0019]在根據(jù)本發(fā)明的方法的的特別有利的設計方案中��,在主操作系統(tǒng)啟動和/或操作時����,一個用來確定偏差的典型的用戶界面(人機界面-HMI)的啟動時間,是通過主操作系統(tǒng)要求的微處理器的計算時間和/或通過主操作系統(tǒng)要求的存儲空間需求���,例如通過比較對于普通操作預定的限定值來監(jiān)控�。這樣的數(shù)據(jù)可以通過在一種類型的看門狗功能中的監(jiān)控程序簡單監(jiān)控��,以此模擬并查問例如用戶界面的反應以及監(jiān)控微處理器和存儲器空間的操作����。這在監(jiān)督單元的一個分離的過程中很容易實現(xiàn),在主操作系統(tǒng)單元的分區(qū)中的任可能的錯誤不會影響這個功能。
[0020]除非在確定有主操作系統(tǒng)單元的分區(qū)的不適當?shù)牟僮鲿r,啟動恢復方法���,在恢復方法的框架中��,優(yōu)選地具有主操作系統(tǒng)單元的分區(qū)完全關閉并從微內(nèi)核結構中卸載���。根據(jù)本發(fā)明,監(jiān)督單元的緊急操作系統(tǒng)然后承擔用戶界面和/或者對于外部存儲介質(zhì)的界面的控制��,以便顯示車輛單元的故障并且在微內(nèi)核結構相對應的分區(qū)中可以進行重新執(zhí)行主操作系統(tǒng)單元。根據(jù)本發(fā)明的恢復方法可以自動地和/并且用戶控制地進行���。如果在依照發(fā)明的方法中主操作系統(tǒng)的分區(qū)在車輛單元中�����,例如在與微處理器連接的存儲器中存儲的備份映像實現(xiàn)回寫,那么特別快速的、自動的缺陷分區(qū)的恢復能夠實現(xiàn)�����。在回寫這種備份映像之后可以重新啟動車輛單元,其中����,在重新啟動時實施新安裝的主操作系統(tǒng)。
[0021]可替換地�����,在恢復方法中可以執(zhí)行對當前主操作系統(tǒng)版本的用戶交互下載,其中當前的主操作系統(tǒng)版本特別地通過外部存儲介質(zhì)來讀入,并安裝在用于主操作系統(tǒng)的分區(qū)中��。根據(jù)本發(fā)明可以給出用戶一個序列號�,版本識別號或類似的號碼��,以便實現(xiàn)用戶在制造商的因特網(wǎng)上選擇適當?shù)闹鞑僮飨到y(tǒng),即為一個合適的固件����。在修改這些額外給出的信息時����,也可能給出一個合適的互聯(lián)網(wǎng)鏈接,尤其是以一個html文件的形式輸出到外部存儲介質(zhì)上����,其可以在連接到另一個計算機系統(tǒng)后利用互聯(lián)網(wǎng)直接被調(diào)用,并導致下載相應的主操作系統(tǒng)�����。html文件,必要時利用JavaScript部分,驗證存儲介質(zhì)的大小和存儲映像文件和/或在一個合適目錄下存儲待安裝的主操作系統(tǒng)的更新文件。通過如此����,錯誤的減少得以實現(xiàn)�����,因為從一開始就避免了錯誤操作系統(tǒng)的錯誤安裝�,不必要相應地進行干預在車輛單元中安裝的加密單元�。如果需要的話,這也可以使用證書�����。
[0022]盡管如此特別有利的是����,如果在安裝主操作系統(tǒng)和/或以應用程序的形式適用于主操作系統(tǒng)的應用之前或其期間,通過加密單元來實現(xiàn)驗證�。在這種情況下,可以驗證序列號����、硬件版本��、完整性�、證書或類似的,并且必要時可以進行解密。
[0023]根據(jù)本發(fā)明���,在寫入因特網(wǎng)鏈接之后,例如html文件形式����,切換至自動啟動模式,該自動啟動模式在車輛單元啟動或加速時驗證帶有映像文件和/或者更新文件的外部存儲介質(zhì)的存在性��,并且如果存在立即啟動其安裝�。另一種情況�����,不檢查外部存儲器的存在性���。這也保證了不會多次下載相同的軟件版本���,這可能導致不穩(wěn)定的系統(tǒng)。成功的重新安裝主操作系統(tǒng)后��,也稱為閃速�����,再以正常和普通方式切換回更快的啟動模式����。
[0024]最后,本發(fā)明還涉及一種計算機程序產(chǎn)品�����,其具有用于在計算單元中設置的程序編碼���,其中���,計算機程序產(chǎn)品特征在于,通過程序編碼裝置在執(zhí)行計算機程序時���,將根據(jù)權利要求I至6描述的微內(nèi)核結構和/或者按照權利要求7至12描述的方法設置在車輛單元的微處理器中���。
【專利附圖】
【附圖說明】
[0025]本發(fā)明其他的優(yōu)點、特征和應用可能性也在下述的實施例和附圖的說明中給出���。在此所描述的和/或圖示示出的特征�����,單獨或以任意組合構成了本發(fā)明的主題��,而不取決于其權利要求中的總述或其參考文獻�。附圖示出:
[0026]圖1:根據(jù)本發(fā)明的微內(nèi)核結構的結構示意圖以及
[0027]圖2:用于操作根據(jù)本發(fā)明的車輛單元的示意性的流程圖����。
【具體實施方式】
[0028]為此在圖1中示出連接到微處理器的存儲器的系統(tǒng)分區(qū),為了運行在分區(qū)中的各種程序存儲器訪問該微存儲器��。這個分區(qū)設計為分離的內(nèi)核,其是微內(nèi)核結構的一種特殊變體�����。在微內(nèi)核結構中�����,不同的分區(qū)1���,2�,3��,4對于主操作系統(tǒng)單元��、監(jiān)督單元����、策略單元和加密單元在同一與存儲器連接的微處理器中執(zhí)行,其中不同的分區(qū)在微處理器上相互獨立地運行,并且也可以并行執(zhí)行��。
[0029]在主操作系統(tǒng)的分區(qū)I中�,安裝車輛單元的主操作系統(tǒng),通過終端用戶例如通過新應用程序的或者主操作系統(tǒng)軟件版本的下載和安裝來改變該主操作系統(tǒng)�����。
[0030]帶有加密單元的分區(qū)4負責存儲和批準證書并且檢驗應用軟件或者整個軟件包的證書。所有的軟件證書安裝在帶有加密單元的分區(qū)4內(nèi)部�,其他分區(qū)1,2��,3不可以訪問分區(qū)4����。由此����,根據(jù)本發(fā)明,由于通過用戶無法改變加密單元����,因此安全性得以提高。[0031]帶有監(jiān)督單元的分區(qū)2監(jiān)控例如帶有類似看門狗機構的其他分區(qū)1��,3,4�,尤其是帶有主操作系統(tǒng)的分區(qū)1��,其負責車輛單元的規(guī)定功能���。根據(jù)本發(fā)明���,這個單元也負責檢測不實用的主操作系統(tǒng)并且導入自動的或者用戶交互的恢復過程��。
[0032]帶有策略單元的分區(qū)3是分離內(nèi)核的一個標準單元�,并且監(jiān)視和控制不同分區(qū)1���,2��,4之間的通信�。例如���,分區(qū)A是否允許向分區(qū)B發(fā)送了信息M就被驗證��。策略單元也可以控制物理存儲器區(qū)域或者閃存分區(qū)的訪問權�,并且改變各個過程或者存儲空間的處理器功率的分配預算��。
[0033]本發(fā)明的一個重要的概念是���,用來負責監(jiān)控和恢復整個車輛單元的程序編碼從帶有主操作系統(tǒng)單元的分區(qū)I轉移到帶有監(jiān)督單元的分區(qū)2���,其中這個分區(qū)2由微內(nèi)核結構保護不受分區(qū)I的影響或訪問�,同時仍然在相同的微處理器運行��。
[0034]利用這個功能�����,按照通常方式設計的外部微控制器的監(jiān)控功能被轉移到監(jiān)督單元的分區(qū)2�����,該監(jiān)督單元在其任務中與策略單元和加密單元共同作用����。
[0035]所有在分區(qū)2����,3和4中的單元不能夠通過軟件更新或者用戶干預改變,使得這從車輛單元制造時就是固定不變的�。由此,使得可以在可預測的方式下控制帶有主操作系統(tǒng)的分區(qū)I的恢復����。監(jiān)督單元、加密單元和策略單元在微內(nèi)核結構中的分離內(nèi)核中共同作用�,從而確保�,只有歸屬于分區(qū)I中的主操作系統(tǒng)單元的閃存分區(qū)被覆蓋����,此閃存分區(qū)可以通過可下載的應用程序或者新的固件版本來改變。同時�����,分區(qū)3中的策略單元阻止主操作系統(tǒng)單元訪問其他的分區(qū)2��,3和4���。根據(jù)本發(fā)明����,監(jiān)督單元�����、加密單元和策略單元代替三個不同的分區(qū)2��,3����,4也可以集合在一個共同的分區(qū)中�����,該共同的分區(qū)根據(jù)本發(fā)明與主操作系統(tǒng)單元的分區(qū)I不同���。從而可能使得存儲器節(jié)省,運行時間表現(xiàn)通過更優(yōu)化的微核的調(diào)度耗費來改善���。
[0036]在這個微內(nèi)核結構中���,正如圖1所示,使得后續(xù)描述的用來確定主操作系統(tǒng)單元中的錯誤和用于恢復主操作系統(tǒng)單元的流程可以可靠地執(zhí)行����。
[0037]根據(jù)本發(fā)明的方法隨后結合根據(jù)圖2示意性的方法流程來描述��。
[0038]當車輛單元啟動時�,監(jiān)控程序在分區(qū)2的監(jiān)督單元中進行,以便確定主操作系統(tǒng)的錯誤����。為此,對于一些功能細節(jié)�,監(jiān)督單元監(jiān)控主操作系統(tǒng)的啟動����。這些功能細節(jié)包含重要的服務功能和主操作系統(tǒng)的狀態(tài)���。
[0039]這個重要的狀態(tài)和功能涉及到一個關于人機界面HMI的基本用戶交互�,其通過主操作系統(tǒng)來控制���。為此�,人機界面的功能通過監(jiān)督單元例如借助虛擬輸入來驗證���。只要人機界面在車輛單元啟動時一定的預定時間后不是準備就緒的���,可評定為主操作系統(tǒng)的錯誤。
[0040]另外當確定一個的計算能力的異常的負荷或者一個異常的存儲空間需求時����,主操作系統(tǒng)的分區(qū)I被認定為錯誤的。分離內(nèi)核內(nèi)的各個分區(qū)之間的過度的網(wǎng)絡流量也可以評定為錯誤主操作系統(tǒng)的特征�。
[0041]在主操作系統(tǒng)確定的錯誤情況下,恢復將會導入�����。在恢復的范圍內(nèi),監(jiān)督單元啟動恢復模式�����,在此模式下�����,帶有主操作系統(tǒng)的分區(qū)I會完全關閉并且從微內(nèi)核結構中卸載��。那么監(jiān)督單元承擔在緊急操作系統(tǒng)范圍內(nèi)車輛單元保留的功能���,特別是人機界面位置的反應也屬于該功能����。
[0042]監(jiān)督單元通過人機界面的屏幕給終端用戶一個錯誤消息���。在與顯示錯誤消息同一個屏幕上,給出網(wǎng)絡鏈接�����,特別是http鏈接和某些特征,例如序列號或者版本識別號����,使得終端用戶可以下載主操作系統(tǒng)當前的軟件包和/或來自車輛單元制造商的服務網(wǎng)頁的上的必要的應用軟件。
[0043]軟件下載也可以用一個傳統(tǒng)的PC實現(xiàn)���,并且在外部的存儲裝置上����,例如USB存儲棒來實現(xiàn)�����。為了能讀入軟件下載����,在緊急操作系統(tǒng)中的監(jiān)督單元激活用來連接外部存儲裝置的外部界面的必需的驅動。如果緊急操作系統(tǒng)例如在車輛單元重新啟動時�,確定這樣的外部存儲裝置在界面上,根據(jù)軟件更新包搜索其文件系統(tǒng)�。一旦確定了這樣的包,計算包的哈希值�,讀取相應的簽名,并且從存儲設備中讀出加密的軟件版本和包的硬件兼容性����,并且發(fā)送到帶有加密單元的分區(qū)4�。加密單元驗證軟件包的內(nèi)容并且給監(jiān)督單元一個回復����,軟件包是否對于本硬件是允許的。加密單元可以進一步逐包地解密軟件并提供安裝���。
[0044]如果軟件包對于硬件是有效的�,監(jiān)督單元會對閃存分區(qū)的用于主操作系統(tǒng)的塊進行完全驗證����。然后,帶有主操作系統(tǒng)的閃存分區(qū)(Flashing)啟動重新安裝�����。在分區(qū)I內(nèi)成功安裝主操作系統(tǒng)后����,車輛單元在下一次的啟動時啟動新的操作系統(tǒng)。除了處理錯誤��,其以這種方式加載有針對性的更新�����,其例如可以通過在主操作系統(tǒng)中的用戶輸入來觸發(fā)��。
[0045]不是僅僅給出用于軟件下載的鏈接地址����,根據(jù)本發(fā)明也可能的是,監(jiān)督單元在與車輛單元連接的存儲設備上存儲在因特網(wǎng)上可調(diào)用的鏈接�,其中包含用于識別合適和必需的軟件的所需的數(shù)據(jù)。通過這種方式避免了錯誤輸入����。
[0046]由此,通過根據(jù)本發(fā)明的微內(nèi)核結構��,可以執(zhí)行一個由用戶控制的用來操作車輛單元的方法��,該方法在軟件錯誤情況下允許單元恢復�����,不必拆除該單元并且必須將其送到專門的服務點��。
【權利要求】
1.一種用于控制車輛功能的帶有微處理器和連接的存儲器的車輛單元�,在其上執(zhí)行構成硬件與應用程序之間的界面和用戶交互的主操作系統(tǒng)�����,其特征在于�����,所述微處理器構建在微內(nèi)核結構中�,所述微內(nèi)核結構具有用于主操作系統(tǒng)單元(I)��、加密單元(4)和監(jiān)督單元(2)的分離的分區(qū)���,其中所述主操作系統(tǒng)設置在所述主操作系統(tǒng)單元(I)中�,其中�,在所述加密單元(4)中儲存有軟件證書,并且設置有驗證程序用于驗證證書和軟件包���,并且其中����,在所述監(jiān)督單元(2)中設有監(jiān)控程序�,用于監(jiān)控所述微內(nèi)核結構的其他所述分區(qū)的功能。
2.根據(jù)權利要求1所述的車輛單元���,其特征在于�����,帶有所述主操作系統(tǒng)單元(I)的所述分區(qū)設置用于能通過終端用戶進行改變�����。
3.根據(jù)權利要求1或2所述的車輛單元���,其特征在于,除了作為在所述微處理器中的所述微內(nèi)核結構的帶有所述主操作系統(tǒng)單元(I)的所述分區(qū)之外的其他分區(qū)設置為不能夠通過所述終端用戶來改變�����。
4.根據(jù)前述權利要求中任一項所述的車輛單元�,其特征在于,所述加密單元(4)設置用于利用所述驗證程序逐包地解密和/或驗證在所述車輛單元中待安裝的軟件�����。
5.根據(jù)前述權利要求中任一項所述的車輛單元��,其特征在于���,所述監(jiān)督單元(2)設置用于利用所述驗證程序�����,在所述主操作系統(tǒng)中發(fā)生錯誤的情況下��,為帶有所述主操作系統(tǒng)的所述分區(qū)導入恢復程序方法����。
6.根據(jù)前述權利要求中任一項所述的車輛單元,其特征在于����,所述微內(nèi)核結構設計為具有用于策略單元(3 )的分離的分區(qū)的分離內(nèi)核,其中所述策略單元(3)設置用于�����,監(jiān)控所述微內(nèi)核結構的各個所述分區(qū)之間的通信��。
7.一種用于操作帶有微處理器的�、特別是根據(jù)前述權利要求中任一項所述的車輛單元的方法,在所述微處理器上安置有帶有用于主操作系統(tǒng)單元(I)��、加密單元(4)和監(jiān)督單元(2)的分離的分區(qū)的所述微內(nèi)核結構,其中����,所述主操作系統(tǒng)設置在所述主操作系統(tǒng)單元(O中,在所述加密單元(4)中儲存有軟件證書��,并且設置有驗證程序用于檢驗證書和全部軟件包�����,并且其中在所述監(jiān)督單元(2)中設有驗證程序��,用于驗證所述微內(nèi)核結構的其他所述分區(qū)的功能�,其特征在于��,在啟動和/或操作時�,通過所述監(jiān)督單元(2)的所述驗證程序來監(jiān)控所述主操作系統(tǒng),并且當預設定的行為發(fā)生偏差時���,導入用于所述主操作系統(tǒng)的恢復方法�����。
8.根據(jù)權利要求7所述的方法����,其特征在于,為了確定偏差�����,在所述主操作系統(tǒng)啟動和/或操作時��,監(jiān)控用于用戶界面典型的啟動時間���、通過所述主操作系統(tǒng)要求的所述微處理器的計算時間和/或通過所述主操作系統(tǒng)要求的存儲空間需求�。
9.根據(jù)權利要求7或8所述的方法��,其特征在于����,在所述恢復方法中,帶有所述主操作系統(tǒng)的所述分區(qū)關閉��,并且從所述微內(nèi)核結構中卸載����。
10.根據(jù)權利要求7至9中任一項所述的方法,其特征在于����,在所述恢復方法中��,所述主操作系統(tǒng)的所述分區(qū)的���、存儲在所述車輛單元中的備份映像實現(xiàn)回寫。
11.根據(jù)權利要求7至9中任一項所述的方法��,其特征在于�,在所述恢復方法中執(zhí)行對當前主操作系統(tǒng)版本的用戶交互下載,其中���,所述當前主操作系統(tǒng)版本特別是通過外部存儲介質(zhì)來讀入并安裝在用于所述主操作系統(tǒng)的所述分區(qū)中。
12.根據(jù)權利要求7至10中任一項所述的方法��,其特征在于���,在安裝所述主操作系統(tǒng)之前或者在安裝所述主操作系統(tǒng)時��,通過所述加密單元(4)來實現(xiàn)驗證�����。
13.一種帶有用于在計算單元中進行設置的程序編碼裝置的計算機程序產(chǎn)品�,其特征在于,在執(zhí)行計算機程序時���,根據(jù)權利要求1至6中任一項所述的微內(nèi)核結構和/或根據(jù)權利要求7至12中任一項所述的方 法通過所述程序編碼裝置設置在所述車輛單元的所述微處理器中�����。
【文檔編號】G06F21/74GK103688268SQ201280032791
【公開日】2014年3月26日 申請日期:2012年6月25日 優(yōu)先權日:2011年6月30日
【發(fā)明者】貝恩德·貝克爾 申請人:大陸汽車有限責任公司