本发明专利技术涉及一种用于运行车辆(100)的控制设备(110)的方法,在所述控制设备中存储有用于运行所述控制设备而设置的软件的第一版本(142)和控制信息(128),其中所述控制设备被设置为接收用于运行所述控制设备而设置的软件的不同于第一版本的第二版本并且存储在存储单元(120、122)中,其中所述第二版本可通过标识所述软件的说明来加以标识,所述方法包括:获得标识待安装软件的至少一个说明,基于标识所述待安装软件的说明以及所述控制信息检查是否允许存储所述待安装软件,以及如果允许存储所述待安装软件,则将所述待安装软件存储在所述存储单元(120、122)中。122)中。122)中。
【技术实现步骤摘要】
【国外来华专利技术】运行控制设备的方法及控制设备
[0001]本专利技术涉及用于运行控制设备、特别是车辆控制设备的方法,以及用于执行该方法的控制设备和计算机程序。
技术介绍
[0002]当代车辆中使用越来越多的控制设备,这些控制设备相互之间的联网也更加密集。在此情况下,无线软件或固件更新(SOTA/FOTA)也是可能的,其中控制设备的软件新版本不再从本地,而是经由无线数据连接安装到控制设备上。
技术实现思路
[0003]根据本专利技术,提出了具有专利独立权利要求的特征的用于运行控制设备的方法以及用于执行该方法的控制设备和计算机程序。有利的设计是从属权利要求和以下描述的主题。
[0004]本专利技术涉及车辆的控制设备(或车辆控制设备)及其运行以及更新软件时的可能问题。特别是在控制设备功能更复杂的情况下,需要进行大量测试,以便能够全面测试软件或由多个分布式控制设备组成的系统。因为必须或应当检查的潜在错误源越来越多,特别是由于联网越来越密集。因此,也可以基于风险地仅测试软件的一定范围,并且可以冗余地或以简化的形式检查安全相关软件的合理性。
[0005]在此,新软件,即控制设备的软件新版本,通常具有提高的未识别故障的概率。因此通常必须进行复杂而漫长的测试,以使用尽可能广泛的环境条件检查新软件或软件新版本。但不排除后期使用中仍会出现错误。
[0006]相互联网会产生进一步的风险,因为即使其他计算单元上的软件也可能涉及控制设备的更新,或者在这种更新后突然展现故障。特别是当应当对联网功能进行更新时,复合体中许多控制设备的软件必须常常更新,以继续保证兼容性。
[0007]在此背景下,现在在本专利技术的范围内提出,车辆的控制设备(或车辆控制设备)具有控制信息(例如数据包),所述控制信息在安装新软件时或之前得到评估,以决定是否允许安装该软件。这种控制信息可以特别有利地用于启用和控制降级或回滚。根据安装在车辆中的控制设备的性质,软件的降级,即该软件或先前软件的(外部)安装,或回滚,即该软件或先前软件在控制设备内部的恢复,可以是有意义的措施,直到无错误的软件新版本可用为止。但是,允许任何更早期版本通常是不合理的,因为更早期版本本身可能存在错误或同时存在不兼容性。特别地,所述控制信息的使用现在使得可以控制降级或回滚的可能性并且仅允许特定的软件版本或不允许特定的软件版本。例如,如果特定的软件版本由于其例如是高的安全风险(就“安全(safety)”或“保障(security)”而言)而迫切必须停止流通,则在本专利技术的范围内创建了阻止将来降级或回滚(以及升级)到该版本的可能性。
[0008]具体地,本专利技术涉及一种用于运行车辆的控制设备的方法,在所述控制设备中存储有用于运行所述控制设备而设置的软件的第一版本和控制信息,其中所述控制设备被设
置为接收用于运行所述控制设备而设置的软件的不同于所述第一版本的第二版本并且存储在存储单元中,其中所述第二版本可通过标识所述软件的说明来加以标识,所述方法包括获得标识待安装软件的至少一个说明,基于标识待安装软件的说明以及所述控制信息检查是否允许存储所述待安装软件,以及如果允许存储所述待安装软件,则将所述待安装软件存储在所述存储单元中。
[0009]所述控制信息优选地包含标识说明,例如关于软件版本或修订版、关于允许安装到控制设备上的软件(所谓的白名单)和/或不允许安装到控制设备上的软件(所谓的黑名单)的信息。特别地,可以存在两种类型的说明或者仅存在两种类型的说明之一,以及关于涉及哪种类型的说明(即允许或不允许;白名单或黑名单)的信息。于是,所述控制信息中不必对两种类型的列表都存在可用的存储区域,从而所述控制信息在其空间需求方面保持有限。
[0010]优选地,所述安装是更新或升级,即新软件是较新的(特别是具有较高版本号或修订号),或者是降级或回滚,即新软件是较旧的(特别是具有较低版本号或修订号)。应当指出的是,本专利技术不依赖于具体的标识或版本设定方案。唯一相关的是软件是可标识的。
[0011]然而,特别是所述控制设备被设置为始终接受并安装比当前现有版本更新的版本的软件(即更新),但仅当所述控制信息允许较旧版本时才接受和安装较旧版本(即降级)。
[0012]优选地,仅当所述控制信息包含数据或所述控制信息存在时才安装新软件,即,在标识软件的说明缺失的情况下,所述控制设备不允许在所述存储器单元中存储所述软件。
[0013]优选地,所述控制信息还包含年龄信息(例如,所谓的新鲜度计数器),以防止重放攻击(使得可能不再有效的旧控制信息可用)。所述年龄信息可以特别是包括日期。
[0014]优选地,所述控制信息由所述控制设备以加密和/或签名的形式接收和/或存储在所述控制设备中,以防止随机或故意的操纵。诸如基于AES、SHA等的合适的加密和签名算法是本领域技术人员众所周知的。
[0015]本专利技术提供了控制更新和降级的灵活的(所述控制信息或所述控制信息中包含的说明可以随时由(授权的)人员创建并适配于关键软件版本方面的当前知识)和安全的(防止重放攻击、签名)可能性。
[0016]因此,以这种方式可以无风险地或至少以较小的风险进行控制设备的软件更新。如果在执行新软件版本时出现故障或多次出现故障,可以例如出于安全原因切换到该软件的先前或旧版本。以这种方式,运行至少还可以继续维持,如果必要时还受到一些限制(例如,如果旧版本具有较少的功能或具有可能没有新版本的错误那么严重的其他错误)。因此,最终也可以减少用新软件版本提前进行的测试的数量。
[0017]本专利技术特别适合于通过无线电的软件更新。将来软件更新应当尽可能不在车间进行。相反,车辆应当通过无线电或无线连接下载并安装新软件或新软件版本(上述SOTA/FOTA更新),而无需用户自己的明显干预。为此,某种程度上无论如何在控制设备中需要的存储空间是至少运行所需的存储空间的两倍,以将新软件在后台下载到未使用的存储空间中。一旦新软件完全下载,就可以在重新启动后使用该新软件。以这种方式,软件更新可以在用户未觉察的情况下进行。如果例如较早的版本仍然存储在控制设备中,则可以在那里实现本专利技术而无需进一步的硬件改变。
[0018]由于由此总体出现更少的故障,可以减少测试的时间和耗费。可以以更早和更成
本有利地将新的软件更新引入车辆中。由此对于制造商而言可以成本更有利地为车辆事后还装备新的软件功能。例如,如果制造商希望将新数据用于来自尽可能多的车辆的数据挖掘应用并且因此已经在路上的车辆也需要软件更改,则这对制造商是特别感兴趣的。
[0019]车辆的根据本专利技术的控制设备特别是以编程技术被设置为执行根据本专利技术的方法。
[0020]以具有用于执行所有方法步骤的程序代码的计算机程序或计算机程序产品的形式实现根据本专利技术的方法也是有利的,因为这导致特别低的成本,特别是在执行控制设备还用于其他任务并且因此无论如何都存在的情况下。适合于提供所述计算机程序的数据载体特别是磁的、光的和电的存储器,例如硬盘、闪存、EEPROM、DVD等。还可以通过本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于运行车辆(100)的控制设备(110)的方法,在所述控制设备中存储有用于运行所述控制设备而设置的软件(142)的第一版本和控制信息(128),其中所述控制设备(110)被设置为接收所述用于运行所述控制设备而设置的软件的不同于所述第一版本的第二版本(140)并且存储在存储单元(120、122)中,其中所述第二版本能够通过标识所述软件的说明来加以标识,所述方法具有步骤:获得标识待安装软件(140)的至少一个说明,基于标识所述待安装软件的说明以及所述控制信息(128)检查是否允许存储所述待安装软件,如果允许存储所述待安装软件,则将所述待安装软件(140)存储在所述存储单元(120、122)中。2.根据权利要求1所述的方法,具有以下步骤:从控制设备外部的源(250)接收所述待安装软件(140),或者从所述控制设备的存储单元(120)读取所述待安装软件。3.根据权利要求1或2所述的方法,其中获得标识待安装软件(140)的至少一个说明包括:从控制设备外部的源(250)接收标识所述待安装软件的至少一个说明,或者从所...
【专利技术属性】
技术研发人员:J,
申请(专利权)人:罗伯特,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。