用于为设备、尤其是为运输工具提供多个功能的系统。本公开的第一一般方面涉及用于为设备、尤其是为运输工具提供多个功能的计算机系统,其中计算机系统具有多个系统模块,并且多个系统模块被配置用于提供对设备的运行安全性不同地关键的功能,其中每个系统模块或多个系统模块中的一个系统模块的一部分被分配给多个区中的一个区,其中区是计算机系统中的在逻辑上和/或物理上可界定的单元,其中多个区中的第一区比多个区中的不太可信的第二区更可信,其中更可信的区的操纵的风险低于不太可信的区的操纵的风险,并且其中多个功能中的第一更关键的功能由第一区的系统模块提供,并且多个功能中的不太关键的功能由第二区的系统模块提供。模块提供。模块提供。
【技术实现步骤摘要】
用于为设备、尤其是为运输工具提供多个功能的系统
[0001]本专利技术涉及用于为设备、尤其是为运输工具提供多个功能的系统。
技术介绍
[0002]需要“更智能的移动性”暗示运输工具到数字世界中的集成。经扩展的安全功能和完全自主系统的可能性需要比迄今为止的系统中多得多的计算效率。娱乐电子设备还与经典运输工具融合。通过将运输工具彼此联网和/或与位于云中的后端联网,必要接口的数量以及因此对运输工具IT系统的外部攻击的攻击面增加。因此,网络安全(Cyber
‑
Security)在当今运输工具的软件和硬件开发中发挥着越来越重要的作用。随着运输工具的联网增加,损坏潜力增加,因为整个运输工具队可能同时并且与地点无关地遭受网络攻击。
[0003]迄今为止的E/E架构基于容易地可集成和模块化地可制造的思想。所述E/E架构在扁平层次结构中构建,并且由功能特定的控制设备(英语:Electronic Control Unit(电子控制单元)(ECU))组成,所述控制设备直接或经由网关相互连接。在此,网关可以确保在不同的接口之间的通信,并且监控数据流量。在过去几年中,必要控制设备的数量增高,使得导致大量功能交叉。新式功能增加多个控制设备的相互作用的复杂性和要求。恰好后者导致在通过不同的制造商开发控制设备方面的问题。因此,趋势朝向集中式E/E架构,其中应用领域(例如多媒体/座舱、传动系
……
)相互融合。在此目标是具有中央车载计算机的运输工具统一E/E架构,其中中央车载计算机在内部在逻辑上和物理上被划分为区,这以基于区的E/E架构而公知。
[0004]通过在一个或几个计算单元中联合分别具有自身的安全要求的不同区域,功能不再按硬件彼此分离(例如如迄今那样在用于控制制动功能的控制设备进行物理分开时)。一旦例如向外具有高度连接性的区域受外部干预(操纵)损害,就存在对甚至其他功能的操纵的风险,这例如可能对运行安全性产生影响并且引起风险情形。因此,存在对在具有中央车载计算机的架构中提高运行安全性的需求。
技术实现思路
[0005]本公开的第一一般方面涉及一种用于为设备、尤其是为运输工具提供多个功能的计算机系统,其中所述计算机系统具有多个系统模块,并且所述多个系统模块被配置用于提供对所述设备的运行安全性不同地关键的功能,每个系统模块或所述多个系统模块中的一个系统模块的一部分被分配给多个区中的一个区,其中区是所述计算机系统中的在逻辑上和/或物理上可界定的单元,其中所述多个区中的第一区比所述多个区中的不太可信的第二区更可信,其中更可信的区的操纵的风险低于不太可信的区的操纵的风险,并且其中所述多个功能中的第一更关键的功能由所述第一区的系统模块提供,并且所述多个功能中的不太关键的功能由所述第二区的系统模块提供。
[0006]此外公开一种用于在用于为设备、尤其是为运输工具提供多个功能的计算机系统中实施区分离的计算机实现的方法,其中所述计算机系统具有多个系统模块和多个系统资
源并且所述多个系统模块执行对所述设备的运行安全性不同地关键的功能。所述方法包括将每个系统模块或多个系统模块中的一个系统模块的一部分分派给多个区中的一个区,其中区是所述计算机系统中的在逻辑上和/或物理上可界定的单元,并且第一区比不太可信的第二区更可信,其中更可信的区的操纵的风险低于不太可信的区的操纵的风险,并且所述多个功能中的第一更关键的功能由所述第一区的系统模块提供并且所述多个功能中的不太关键的功能由所述第二区的系统模块提供;将所述多个区中的至少一个区划分成至少两个子区;分别将相应的区的一个或多个系统模块中的一部分分派给所述子区;和将对所述系统资源的存取权限分派给所述区和/或子区,其中系统资源包括所述系统的外围设备和/或存储器。
[0007]根据第一一般方面(或其实施方式)的在本公开中提出的系统使得能够在计算机系统中、例如在车载计算机中合并具有安全性和安全分类的不同域。由于集中化,这可以减小可能的攻击面。通过在逻辑上和/或物理上将计算机系统(例如车载计算机)划分成区并且对其分离,可以实现针对各自区的安全要求的更强区分。例如,可以将与运行安全性具有高度相关性的区与虽然与运行安全性不太相关但是更易受外部干预或操纵(例如在网络攻击的范围内)的功能分开。通过对区进行分离,可以进一步降低一个区中的成功操纵蔓延到其他区的概率。可以通过在计算机系统(例如车载计算机)对功能进行集中化以及进行区分离与保护其免受有害操纵完全一样地简化对系统资源的存取权限的分派以及根据最小特权原则对其的实施。在保持所需要的安全要求的情况下实现基于区的中央E/E架构,可以通过运输工具中的计算单元的减少的数量来实现复杂性降低,这可能导致在成本、重量和能源方面的节省。
[0008]在本公开中以以下方式使用一些术语:
[0009]“区”可以是系统中的逻辑上(功能上)和/或物理上(空间上)可界定的单元。区可以包括一个或多个系统模块和/或一个系统模块或多个系统模块的一部分和/或部分。区可以由其组成部分定义、即确定。分配给区的所有系统模块或系统模块的部分可以构成该区。区可以包括各种计算单元、计算核、控制器、控制单元、存储单元、外围设备、通信接口、网络组件、软件应用程序、软件架构等和/或所有其他软件/和/或硬件组件或上述的部分。多个区可以构成整体系统。
[0010]“子区”可以是区的逻辑上(功能上)和/或物理上(空间上)可界定的子单元。区可以被细分成至少两个子区。子区可以包括分配给相应的区的系统模块的部分。在此,子区可以包括各种计算单元、计算核、控制器、控制单元、存储单元、外围设备、通信接口、网络组件、软件应用程序和/或软件架构等和/或所有其他软件和/或硬件组件或包含在经细分的区中的上述的部分。一个区的所有子区可以构成该区。
[0011]“系统模块”可以包括提供多个功能的硬件和/或软件单元。系统模块可以包括一个或多个处理器、控制器、控制单元、(通信)接口、网络组件、软件应用程序、软件架构等和/或所有其他软件/和/或硬件组件或上述的部分。系统模块可以布置在区中或子区中。
[0012]“软件架构”可以是系统组件的结构化和/或分层布置以及其在软件系统中的关系的描述,其中系统组件可以是软件部分,所述软件部分彼此间的关系及其特性可以通过软件架构描述。例如,“AUTOSAR”(Automotive Open System Architecture(汽车开放系统架构))的软件架构是在汽车领域中用于电子控制设备(ECU)的开放且标准化的软件架构。例
如,“AUTOSAR经典平台(AUTOSAR Classic Plattform)”和“AUTOSAR自适应平台(AUTOSAR Adaptive Platform)”是两种不同的软件架构。
[0013]“系统资源”可以是为系统模块提供服务的软件和/或硬件组件。例如,系统资源可以包括一个或多个存储器和/或一个或多个外围设备。可以借助于存取权限允许系统模块存取系统资源。
[0014]“存储器”可以是其上/其本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于为设备、尤其是为运输工具提供多个功能的计算机系统(100),其中所述计算机系统具有多个系统模块,并且所述多个系统模块被配置为提供对所述设备的运行安全性不同地关键的功能,其中每个系统模块或所述多个系统模块中的一个系统模块的一部分被分配给多个区中的一个区(51、52、53),其中区是所述计算机系统(100)中的在逻辑上和/或物理上可界定的单元,其中所述多个区中的第一区(51、52)比所述多个区中的不太可信的第二区(53)更可信,其中更可信的区(51、52)的操纵的风险低于不太可信的区(53)的操纵的风险,并且其中所述多个功能中的第一更关键的功能由所述第一区(51)的系统模块提供,并且所述多个功能中的不太关键的功能由所述第二区(53)的系统模块提供。2.根据权利要求1所述的计算机系统(100),其中在所述计算机系统(100)的第一计算单元(21)上构成一个或多个可信区(51、52)并且在所述计算机系统(100)的第二计算单元(22)上构成一个或多个不可信区(53)。3.根据权利要求1或2所述的计算机系统(100),其中系统模块具有处理器(11)、接口(31)和/或网络组件。4.根据前述权利要求中任一项所述的计算机系统(100),其中分别在两个区(51、52)之间布置有被配置用于由第一区(51)仅以读取的方式使用而由第二区(52)仅以写入的方式使用的存储缓冲区(41)和被配置用于由所述第一区(51)仅以写入的方式使用而由所述第二区(52)仅以读取的方式使用的存储缓冲区(42)用于进行数据交换。5.根据前述权利要求中任一项所述的计算机系统(100),其中至少一个区(52)具有至少一个自身的区内存储缓冲区(45),所述区内存储缓冲区不用于与其他区进行数据交换。6.根据前述权利要求中任一项所述的计算机系统(100),其中所述多个区中的至少一个区(51)被分成至少两个子区(51a、51b),其中所述子区(51a、51b)分别包括相应的区的一个或多个系统模块的一部分,并且给所述区(51)和/或子区(51a、51b)分派对系统资源的不同的存取权限,其中系统资源包括所述系统(100)的外围设备(61、62)和/或存储器(63)。7.根据权利要求6所述的计算机系统(100),其中在至少两个子区(51a、51b)中的一个子区(51a)中,系统模块和/或系统模块的一部分包括第一软件架构,并且在所述至少两个子区(51a、51b)中的另一子区中(51b)中,系统模块和/或系统模块的一部分包括第二软件架构。8.根据权利要求6或7所述的计算机系统(100),其中分别在两个子区(51a、51b)之间布置有第一存储缓冲区(43)和第二存储缓冲区(44)用于进行数据交换,所述第一存储缓冲区被配置用于由一个子区(51a)仅以读取的方式使用而由另一子区(51b)以读取和写...
【专利技术属性】
技术研发人员:F,
申请(专利权)人:罗伯特,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。