用于运行设备(100)的方法,所述设备(100)即机动车的控制设备,其中所述设备(100)具有至少一个用于与外部单元(200)进行数据交换的接口(120),并且所述设备(100)包括至少一个用于对状态变量(ZV)进行非易失性存储的第一存储装置(130),其中该方法(300)包括下列步骤:评估(310)状态变量(ZV);并且根据评估(310),使能(320)或者不使能(330)至少一个计算机程序(PRG1)的执行和/或至少一个计算机程序(PRG1)从外部单元(200)经由接口(120)的传输,所述至少一个计算机程序(PRG1)用于控制测试软件、尤其是生产线终端(EoL)软件的执行(360),其中状态变量(ZV)的值分配给所述设备(100)的使用阶段;并且其中该方法(300)包括其他步骤:根据所述设备(100)的使用阶段和/或从所述设备(100)的一个使用阶段到所述设备(100)的另一个使用阶段的过渡,改变(380)状态变量(ZV)的值,其中尤其是递增地和/或尤其是不可逆地改变状态变量(ZV)的值。不可逆地改变状态变量(ZV)的值。不可逆地改变状态变量(ZV)的值。
Devices with interfaces and methods for running devices with interfaces
【技术实现步骤摘要】
【国外来华专利技术】具有接口的设备和用于运行具有接口的设备的方法
[0001]本公开涉及一种用于运行设备的方法,所述设备具有用于与外部单位进行数据交换的接口。
[0002]此外,本公开涉及一种具有用于与外部单元进行数据交换的接口的设备。
技术介绍
[0003]从DE 102010008816 A1中,已经已知了一种用于在线通信的方法。根据所测定的安全状态,调节对无线数据传输网络(Datenverkehrsnetz)的接入。
技术实现思路
[0004]与此相比,根据独立权利要求的特征的方法具有如下优点:根据设备的不同使用范围,可以以准确协调到不同使用阶段的方式来实现分级的安全概念,使得提高防操纵的安全性。在使用状态变量的情况下,尤其是接口的激活和经由此使计算机程序、即测试软件开始运转(aufzuspielen)的可能性要适配于各自的情形。通过可以尤其是递增地和/或尤其是不可逆地改变状态变量的值,进一步使操纵可能性变得困难。
[0005]在适宜的扩展方案中,设备具有至少2个或者3个、尤其是4个或者5个不同的使用阶段,其中相应的使用阶段尤其是通过相应的安全要求来表征,并且尤其是状态变量的至少一个第一值分配给第一使用阶段、尤其是生产阶段,而且至少一个其他的、尤其是第二值分配给设备的另一、尤其是第二使用阶段、尤其是现场阶段(Feldphase),其中通过高的安全要求来表征设备的另一使用阶段。正是在不同的使用阶段中,设备遭受不同的操纵可能性。在生产阶段中,更容易限制这些操纵可能性。为了尤其是在所进行的生产之后在带终端(Bandende)处检查设备,必须能够特别快速地开始运转测试软件。这特别优选地通过如下方式来实现,在第一使用阶段中,使能计算机程序的执行和/或传输,而无需进行认证。
[0006]特别优选地,在其他使用阶段中,不使能计算机程序的执行和/或传输。设备例如以控制设备的形式现在在车辆中处于连续运行中,并且在那里因此遭受众多操纵尝试。为了提高安全性,在关键的使用阶段中设置停用接口。特别适宜地,其他诊断接口是激活的,经由该其他诊断接口,除了常见的诊断功能之外,在车间中可以在高的安全要求下必要时引入对接口的重新激活。
[0007]在适宜的扩展方案中,在状态变量的第一值与状态变量的另一值之间,状态变量的可选的第二值被分配给可选的第二使用阶段、尤其是存放阶段,其中在可选的第二使用阶段中,只有在认证之后才使能计算机程序的执行和/或传输。由此,考虑相对于生产阶段被提高的操纵可能性的情形。
[0008]在适宜的扩展方案中,状态变量的又一值分配给设备的又一使用阶段、尤其是退回阶段(Ruecklaeuferphase)和/或分析阶段,其中在设备的又一使用阶段中,只在认证之后使能计算机程序的执行和/或传输,尤其是经由如后台(Backend)或者信任中心(Trust Center)的其他装置来使能计算机程序的执行和/或传输。正是通过在各自的使用阶段中具
有不同的安全要求的分级安全概念,可以减少其他攻击。
[0009]在其他优选实施形式中,计算机程序有利地构造成,执行设备的操作、尤其是系统相关的(systemnahe)操作、尤其是硬件测试、尤其是硬件最终测试,和/或执行设备的参数化(Bedatung)、尤其是传输至少一个功能和/或至少一个配置。例如,计算机程序也可以构造用于执行激活软件、尤其是用于使能设备的功能的按需订阅服务(Function
‑
on
‑
Demand)激活软件。根据其他实施形式,计算机程序也可以包括激活软件或者其部分。
[0010]在其他优选实施形式中,设备是控制设备(电子控制单元(Electronic Control Unit),ECU),尤其是用于机动车、例如用于机动车的内燃机的控制设备。可是,在其他优选实施形式中,根据所述实施形式的原理的应用并不限于机动车领域或控制设备的领域。
[0011]在其他优选实施形式中,第二存储装置是用于对至少一个、尤其是通过设备可执行的计算机程序进行易失性存储的存储装置。在其他优选实施形式中,第二存储装置是工作存储器RAM(随机存取存储器(random access memory))。正是通过将计算机程序加载到RAM中,该软件没有永久地驻留在设备中,因为在执行硬件/断电复位(Power
‑
off Resets)之后,软件由于易失性存储器的特征性特性而自动地从RAM中被删除。可以省去储存到永久性存储器中。不保留并且由此不浪费计算机程序的存储器。在正常运行中,相对应的存储区域可被用于另外的功能。因此,该方法不仅可被用于具有大型非易失性存储器的设备,或者也可以而且被用于具有小型非易失性存储器的设备。
[0012]在其他优选实施形式中,第一存储装置例如是闪存(Flash)存储器、例如闪存EEPROM或NOR闪存或者NAND闪存,或者是非易失性工作存储器NVRAM(非易失性随机存取存储器(non
‑
volatile random access memory))、例如FeRAM、MRAM、PCRAM、NRAM。
[0013]在其他优选实施形式中设置了,第一存储装置包括一次性可编程(OTP,One Time Programmable)存储器,或者是一次性可编程(OTP)存储器的部分。
[0014]在其他优选实施形式中设置了,第一存储装置包括硬件安全模块(HSM)、尤其是密码模块,或者是硬件安全模块(HSM)、尤其是密码模块的部分。例如,硬件安全模块构造用于执行加密方法或算法或者其至少部分。
[0015]在其他优选实施形式中设置了,硬件安全模块(HSM)具有受保护的、尤其是单独的存储器,用于存储状态变量。
附图说明
[0016]本专利技术的其他特征、应用可能性和优点从随后对本专利技术的实施例的描述中得出,所述实施例在附图的图中示出。在此,所有所描述的或者所示出的特征本身或者以任意组合形成本专利技术的主题,而与其在权利要求中的概括或者其回引无关,以及与其在说明书中的表述或在附图中的图示无关。
[0017]在附图中:图1示出了根据优选实施形式的设备的简化框图和外部单元;图2示意性地示出了根据其他优选实施形式的方法的简化流程图;图3示意性地示出了根据其他优选实施形式的方法的部分的简化流程图;图4示意性地示出了根据其他优选实施形式的方法的简化流程图;图5示意性地示出了根据其他优选实施形式的方法的部分的简化流程图,和
图6示意性地示出了根据其他优选实施形式的方法的部分的简化流程图。
具体实施方式
[0018]图1示意性地示出了根据优选实施形式的设备100的简化框图。设备100优选地是控制设备(电子控制单元,ECU)。
[0019]在其他优选实施形式中,设备100可以构造为控制设备、尤其是用于机动车、例如用于机动车的内燃机的控制设备。可是,在其他优选实施形式中,根据所述实施形式的原理的应用不限于机动车领域或控制设备的领域。
[0020]设本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于运行设备(100)的方法,所述设备(100)即机动车的控制设备,其中所述设备(100)具有至少一个用于与外部单元(200)进行数据交换的接口(120),并且所述设备(100)包括至少一个用于对状态变量(ZV)进行非易失性存储的第一存储装置(130),其中所述方法(300)包括下列步骤:评估(310)所述状态变量(ZV),并根据所述评估(310),使能(320)或者不使能(330)至少一个计算机程序(PRG1)的执行和/或至少一个计算机程序(PRG1)从所述外部单元(200)经由所述接口(120)的传输,所述计算机程序(PRG1)用于控制测试软件、尤其是生产线终端(EoL)软件的执行(360),其中所述状态变量(ZV)的值分配给所述设备(100)的使用阶段,而且其中所述方法(300)包括其他步骤:根据所述设备(100)的使用阶段和/或从所述设备(100)的一个使用阶段到所述设备(100)的另一使用阶段的过渡,改变(380)所述状态变量(ZV)的所述值,其中尤其是递增地和/或尤其是不可逆地进行所述状态变量(ZV)的所述值的所述改变。2.根据权利要求1所述的方法,其中,所述设备(100)具有至少2个或者3个、尤其是4个或者5个不同的使用阶段,其中相应的使用阶段尤其是通过相应的安全要求来表征,而且尤其是所述状态变量(ZV)的至少一个第一值分配给第一使用阶段、尤其是生产阶段,其中所述设备(100)的所述第一使用阶段通过低的安全要求或者没有安全要求来表征,并且至少一个其他的、尤其是第三值分配给所述设备(100)的另一、尤其是第三使用阶段、尤其是现场阶段,其中所述设备(100)的所述另一、尤其是第三使用阶段通过高的安全要求来表征。3.根据上述权利要求中至少一项所述的方法,其中,所述状态变量(ZV)的第一值分配给所述设备(100)的第一使用阶段,其中在所述设备(100)的所述第一使用阶段中,使能所述计算机程序(PRG1)的执行和/或传输,而无需认证(340)。4.根据上述权利要求中至少一项所述的方法,其中,所述状态变量(ZV)的另一值分配给所述设备(100)的另一使用阶段、尤其是现场阶段,其中在所述设备(100)的所述另一使用阶段中,不使能所述计算机程序(PRG1)的执行和/或传输,和/或所述接口(120)是不可用的和/或是不可重新激活的,和/或尤其是从引导加载程序中删除至所述接口(120)的相对应的接入路径。5.根据上述权利要求中任一项所述的方法,其中,所述设备(100)具有至少一个尤其是与所述接口(120)不同的诊断接口(150),经由所述诊断接口(150),能够引入对所述接口(120)的重新激活。6.根据上述权利要求中至少一项所述的方法,其中,在所述状态变量(ZV)的所述第一值与所述状态变量(ZV)的所述另一值之间,所述状态变量的(ZV)的可选的第二值分配给所述设备(100)的可选的第二使用阶段、尤其是存放阶段,其中在所述设备(100)的所述可选的第二使用阶段中,只在认证(340)之后使能所述计算机程序(PRG1)的执行和/或传输。7.根据上述权利要求中至少一项所述的方法,其中,由所述状态变量(ZV)的所述第一值直接到所述状态变量(ZV)的所述另一值的转变,而不转变到所述状态变量(ZV)的所述可选的第二值,将所述状态变量(ZV)改变成所述可选的第二值不再是可能的。8.根据上述权利要求中至少一项...
【专利技术属性】
技术研发人员:M,
申请(专利权)人:罗伯特,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。