本發明涉及一種用于防止安全系統的操作系統被非正常修改的方法，所述操作系統被存儲在車輛的控制器的工作存儲器中。

技術領域

本發明涉及一種用于防止安全系統的操作系統被非正常修改的方法，該安全系統被存儲在車輛的控制器的工作存儲器中。

背景技術

車輛通常包括多個不同的功能系統，這些功能系統提高了車輛在道路交通中的安全性或車輛乘客的舒適性。例如，制動系統和發動機控制裝置屬于車輛的安全系統(safety)，而信息娛樂系統和空調系統被算作車輛的舒適性系統。

每個功能系統通常均包括至少一個被布置在車輛中的裝置以及一個與此裝置相對應的操作系統(Operating System,OS)，所述操作系統具有用于上述裝置的控制邏輯并且被存儲在車輛的控制器中且在其中運行。根據本發明的操作系統包括狹義上的操作系統(例如，Linux內核)和/或至少一個與相應裝置相關的具體的應用程序。

與控制器通常間隔一定距離地布置在車輛中的至少一個相對應的裝置通常通過專門的總線系統與這個控制器雙向連接。控制數據或狀態數據通過總線系統在存儲在控制器中的操作系統和至少一個相對應的裝置之間進行交換。

所述控制器和至少一個裝置分別借助適合的接口與總線系統相連。總線系統和接口必須尤其是在車輛的安全系統中在任何時候都能夠確保操作系統和至少一個相對應的裝置之間的實時通信。

對此，文獻DE 10 2005 048 595 A1公開了所謂的FlexRay-接口，借助該接口能夠將FlexRay-用戶、即車輛的控制器或裝置與FlexRay-總線相連。FlexRay-接口包括用戶側的輸入緩沖存儲器和輸出緩沖存儲器，它們分別具有子緩沖存儲器和與子緩沖存儲器相對應的影子存儲器。通過FlexRay-用戶交替地對FlexRay-接口的輸入緩沖存儲器或輸出緩沖存儲器的子緩沖存儲器和影子存儲器進行讀取或寫入訪問，能夠加速FlexRay-用戶和FlexRay-總線之間的數據傳輸。

除了通過總線迅速地交換數據以外，為了使功能系統正常地運行首先無論何時都必須確保其位于控制器中的操作系統的完好性。完好性是無故障地運行存儲在控制器的工作存儲器中的操作系統的必要前提。這能夠通過相應的、用于操作系統的保護系統(security)來實現。

當操作系統例如在車輛的行駛過程中進行在線更新時，尤其是在存在大量操作系統且相應地具有很長的更新時間的情況下，位于控制器的工作存儲器中的操作系統會出現未定義的中間狀態，由此可能會影響操作系統的無故障運行。

為了防止在更新過程中出現這種功能干擾，文獻US 2009 119 657 A1公開了一種對車輛控制器的工作存儲器中的應用程序進行更新的方法。在該方法中，首先將應用程序的更新版本保存在控制器的被稱為“影子存儲器”的緩沖存儲器中，以便能夠在車輛的行駛過程中在全面更新的情況下避免車輛由于相關的應用程序的未定義的中間狀態而出現故障運行。當車輛下次啟動時，即在開始行駛之前，操作系統的保存在“影子存儲器”中的更新版本被映射/鏡像到工作存儲器中以便生效。

在現今的車輛中，越來越多地將多個控制器聯合成中央控制器(電子控制單元，ECU)。該中央控制器具有工作存儲器，在該工作存儲器中同時存儲和并行地運行多個操作系統。對于這種星群式布置而言，命名虛擬化是常用的。操作系統在這種星群式布置中相應地被“虛擬化地”命名。

在此情況下，處在控制器的工作存儲器中的操作系統的完好性還會受到存儲在該控制器的工作存儲器中的其他操作系統的影響。例如，一個操作系統可能會有意地、也就是說在有針對性的攻擊的情況下或無意地、也就是說由于編程錯誤通過覆蓋來修改其他操作系統的存儲區。