用于机动车的控制器、机动车以及用于运行控制器的方法与流程

1.本发明涉及一种用于机动车的控制器，控制器具有单芯片系统，单芯片系统具有至少一个提供用于车辆系统的至少一个车辆功能的计算单元、至少一个存储器单元和至少一个接口单元。此外，本发明涉及一种机动车以及一种运行用于机动车的控制器的方法。


背景技术：

2.在现代化的机动车中的车辆系统的车辆功能、例如驾驶员辅助系统的驾驶员辅助功能等，通常在机动车的控制器中实现。在为了减少所需的结构空间、为了简化制造以及为了改善性能而集成度越来越高的情况中，越来越常提出，控制器实现成或者包括单芯片系统(“system on a chip
”‑
soc、片上系统)。单芯片系统是可编程的，从而相应的、实现车辆功能的软件可以实现成用于单芯片系统。在此，不同的车辆系统或不同的机动车的车辆功能常常也有显著区别，其中，在软件中实现的车辆功能可以被称为“操作软件”，其涉及行驶、调节、控制、显示等。如果使用市场上通用的半导体芯片或单芯片系统，总归需要在软件方面对其进行配置，以能够实现车辆功能。在此，单芯片系统通常包括一个或多个也可以称为逻辑单元的计算单元(尤其是一个或多个cpu或计算核芯)、一个或多个存储器单元、一个或多个接口单元和一个或多个数据线路。
3.在机动车方面有问题的是，必须满足对于机动车的特殊要求的、因此与其它工业领域的类似服务有显著不同的服务在所有或至少大多控制器以及进而单芯片系统中同样是需要的。车辆功能上广泛使用的这种服务包括诊断功能、日志功能、保险功能(安全功能)、功能管理等。在此，与提供至少一个车辆功能的操作软件不同地，理想地在所有控制器中以不变的方式需要车辆特定的服务。然而，市场上通用的半导体芯片仅仅部分地或者甚至不能支持这种机动车特定的服务，因此，以下也应视为通过附加功能提供的服务必须完全在软件中映射/得到反映。
4.然而，这种类型的软件解决方案易出现错误，并且需要为每个项目重新开发和配置。多种功能上实际相同的解决方案与不同的服务提供商无关并且各自不同地实现，这在项目中产生高的消耗并且使控制器或车辆系统的互用性易出现错误。在服务中，这例如表现为诊断和/或更新。
5.另一问题是，用于服务的软件解决方案——即服务功能和/或系统功能——无法在对其它软部分不产生反作用(运行时间、存储器访问、响应时间
……
)的情况下应用。由此，通过使用该服务影响控制器性能。尤其是在反应性的、实时作用的控制器或车辆系统中这是不期望的。保证或核查该特殊软件对安全关键的软件部分不形成反作用，经常需要高的研发和保障成本。
6.de 102017219242 a1涉及一种单芯片系统，该单芯片系统具有实现成硬件的攻击探测单元，攻击探测单元通过硬件信号链路至少与作为单芯片系统的组成部分的输入和/或输出控制单元相连接。借助于攻击探测单元在待记录的和/或待通过至少一个措施应对的、对攻击探测规则集的规则违反方面评估由输入/输出控制单元接收的输入信号。在此，
硬件信号链路构造成特别地为待传输的信号设计的、仅可在一个方向上使用的信号链路。
7.de 102017221 889a1涉及一种数据处理装置，该数据处理装置具有尤其是实现成硬件的攻击探测单元。攻击探测单元通过信号链路与滤波件和/或实现成可信执行环境的认证组件的安全单元相连接，并且在待记录的和/或待通过至少一个措施应对的、对攻击探测规则集的规则违反方面评估通过该至少一个信号连接获得的输入信号。滤波件至少部分地构造成硬件并且使用许可条件，以继续传输仅确定的可用数据。


技术实现要素：

8.因此，本发明的目的是，给出一种尤其是在应由不同车辆功能使用的服务的实现和执行方面改善的控制器的设计方案。
9.该目的通过根据独立权利要求所述的控制器、机动车以及用于运行控制器的方法实现。从从属权利要求中得到有利的设计方案。
10.在开头所述类型的控制器中，根据本发明规定，单芯片系统具有至少一个逻辑上与单芯片系统的实现至少一个车辆功能的部分分离的子系统，该子系统用于提供至少一个与机动车相关的、提供服务的附加功能，其中，子系统至少包括：
[0011]-计算区段，
[0012]-附加功能特定的、尤其是形成代理(proxy)的接口区段，以及
[0013]-附加功能特定的通信总线，该通信总线至少与计算区段和接口区段相连接。
[0014]
如基本上已知的那样，单芯片系统因此具有至少一个计算单元、尤其是具有多个计算单元，该计算单元可以与至少一个存储器单元和至少一个接口单元以及为此设置的数据线路、尤其是至少一个通信总线共同地实现车辆系统的要由控制器提供的至少一个车辆功能，其中，车辆功能尤其是至少基本上作为在单芯片系统上的软件提供。至少一个计算单元可以是至少一个cpu和/或至少一个计算核芯。现在，根据本发明提出，在单芯片系统、即尤其是半导体芯片之内，将车辆特定的服务、即至少一个附加功能逻辑上与至少一个车辆功能分离并且作为集成到单芯片系统中的硬件提供，所述至少一个车辆功能尤其是可以涉及行驶和/或调节和/或控制和/或显示。为此，以接口区段的形式提供至少一个特定的服务接口和至少一个专用通信总线，特定的服务接口也可以称为服务接口或功能接口(feature-schnittstelle)，专用的通信总线也可以称为功能总线，其中优选地，专用的通信总线——与其它数据线路/总线无关地——将实现单芯片系统的半导体芯片的所有可编程的逻辑单元、即至少一个计算单元与相应的接口区段相连接。也就是说，至少一个计算单元联接到该通信总线上。换句话说，以这种方式，即，由于接口区段和通信总线两者都是专门且特定地用于附加功能的，就已经提供了独立于所有用于至少一个车辆功能的通信路径的通信路径，因此不影响用于至少一个车辆功能的通信路径/发生实时能力的问题。换句话说，这意味着，通信总线在单芯片系统中具有自己的数据线路，其中，接口区段还包括固定的、专用的、为附加功能预留的输入和/或输出端数量，当然在实施例中这些输入和/或输出端可以是至少一个接口单元(输入/输出单元)的一部分。换句话说，接口区段可以通过自己的接口单元形成，但是也可以通过至少一个也用于至少一个车辆功能的接口单元的预留的、固定的、由附加功能专用的部分形成。
[0015]
尤其有利地可以是服务功能和/或系统功能的附加功能，即提供确定的服务的附
加功能与车辆相关。也就是说，该附加功能满足至少一个针对机动车和/或确定的机动车等级的机动车特定的要求。通常，如基本上已知的那样，服务可以理解成捆绑了关联的功能并且通过限定的接口提供的自主手段。例如，可以使用在此集成到单芯片系统的硬件中的服务功能，即，用于至少一个确定的机动车等级的机动车、例如制造商的所有机动车的不同的车辆功能的至少一个附加功能，这是因为通过子系统提供清楚的接口定义，这最终使得至少一个附加功能以及进而相应的服务标准化。换句话说，对于所有控制器、具体地是单芯片系统提供该机动车等级的机动车，已知的是，如何调用至少一个附加功能并且以怎样的格式或在何处调用，即，在接口区段处，附加功能如何提供其信息/信号或接收外部信息或信号。以这种方式，不再需要在考虑针对每个单芯片系统或控制器的特殊要求的情况下重新开发机动车相关的服务，并且显著减少了尤其是在不同控制器之间的互用性问题。
[0016]
通过逻辑上的分离且将以至少一个附加功能的形式的机动车特定的服务集成到单芯片系统的半导体芯片的逻辑中，也得到其它优点。即，用于控制车辆功能的软件的运行时间不受到同时运行的服务影响。不必每次重新开发用于服务、例如诊断和/或验证的标准化界面。通过提供附加功能特定的通信总线和附加功能特定的接口区段，可以为展开安全功能提供带宽。在开发用于机动车中的控制器的软件时，复杂度降低，而鲁棒性提高。软件开发者可以专注于机动车用户可见的车辆功能，而不是实现并保障所需的、但是对于机动车的用户不可见的服务。由于限制了复杂度，实现、实施并建立创新的解决方案、例如硬件和/或软件的开通/生效(freischaltung)。归纳来说，即，通过在单芯片系统的硬件中集成以子系统的形式的标准化的、逻辑上分离的服务(service)，显著降低了在软件开发和保障中的消耗，而同时提高了控制器的可用性和鲁棒性。
[0017]
从剩下的单芯片系统、换句话说子系统方面访问专用的、附加功能特定的通信总线/接口区段，可以通过特殊的指令(op-code、操作码)和/或预留的i/o区域和/或存储器区域建立。
[0018]
具体地可以规定，计算区段至少部分地通过单芯片系统的至少一个计算单元中的至少一个实现，尤其是通过在计算单元中对具有至少一个所分配的操作码的至少一个附加功能特定的计算机指令进行硬编码来实现。在备选的、不太优选的设计方案中也可设想，计算区段至少部分地通过自己的、仅分配给附加功能的计算单元实现，该计算单元通过子系统的通信总线与单芯片系统的至少一个被分配给至少一个车辆功能的计算单元通信。当然也可设想这些方案的组合。
[0019]
如在本发明的范围内优选地，如果扩展至少一个计算单元的计算机指令的指令集，优选地也可以扩展计算能力，尤其是将计算能力分配给至少一个附加功能特定的计算机指令，以尽可能不妨碍至少一个车辆功能的实施。补充的附加功能特定的计算机指令和尤其是为其分配的操作码同样可以标准化，即尤其是遵守标准规范，从而该计算机指令对于不同机动车、尤其该机动车类型的机动车的所有控制器都是相同的。就此而言，归纳来说尤其有利的是，借助于专用的、附加功能特定的通信总线(“功能总线”)的专用的、附加功能特定的接口区段(“功能接口”)和具有所分配的操作码的至少一个计算单元的特殊地硬编码的计算机指令——以硬编码的形式、即集成到硬件中的形式——提供至少一个附加功能，即提供至少一个服务。
[0020]
在本发明的范围内，涉及在单芯片系统上使用存储器的服务一方面实现，通过存
储器访问单元固定地和/或可变地将至少一个存储器单元的至少一个存储器部分分配给子系统。因此可设想，将至少一个存储器单元的可以确定大小的存储器部分固定地分配给至少一个附加功能、即分配给子系统。然而优选地，因为现代化的单芯片系统通常具有存储器访问控制单元，实现了在单芯片系统的一般的存储管理的情况中可变的分配。尤其有利地，存储器映像i/o可以用于与单芯片系统的至少一个存储器单元通信。
[0021]
在本发明的尤其适宜的改进方案中可以规定，设置多个用于不同附加功能的、逻辑上分离的子系统。以这种方式，多个服务可以以硬件技术上集成在单芯片系统内部的方式设置，并且相应地尤其是由至少一个车辆功能或从外部使用，其中，一方面可以满足用于这些服务中的每一个的标准规范，另一方面给出多种附加功能的稳定的实现方案，这些实现方案至少不显著损害至少一个车辆功能的性能。
[0022]
然而，在多种服务时可以尤其有利的是，子系统中的至少两个子系统也构造成用于彼此通信，例如这是因为服务以及因此附加功能互相使用。因此可以规定，至少一个子系统与至少另一子系统的通信总线、尤其是与防篡改和/或安全功能相关的子系统的通信总线相连接。在此尤其有利的是，多个、尤其是所有被分配给另一附加功能的子系统与被分配给安全功能的子系统的通信总线相连接，从而安全方面、例如通信伙伴的认证、加密和解密等由一个服务集中提供，该服务也可以被作为硬件集成到单芯片系统中的其它服务使用，对此，以下还将根据示例详细阐述。尤其是，以这种方式避免了多重地实现安全机制。
[0023]
在本发明的有利的设计方案中，至少一个附加功能中的至少一个可以是诊断功能。在此，被分配给诊断功能的子系统、尤其是接口区段可以构造成与至少一个维护设备通信，和/或被分配给诊断功能的子系统可以构造成，在至少一个存储器单元和/或在单芯片系统外部的存储器装置中保留可借助于接口区段调用的、诊断相关的运行数据和/或控制器的事件数据。刚好对于机动车中的诊断功能，存在多个、部分也是制造商特定的规范，例如这涉及维护设备和/或应保留的诊断相关的运行数据。为了输入/输出车辆诊断信息，例如确定的制造商可以在生产中和工厂中使用基于标准化协议的自有工具，尤其是维护设备。由于与制造商方面的差异，不存在所有车辆制造商的兼容性，并且这也不总是期望的。尤其有利地，用于作为附加功能的诊断功能的子系统(该子系统的接口区段可以理解成“诊断-服务-接口”)可以特别有利地提供制造商特定的代理，或更通用地说提供用于确定的车辆等级的机动车的代理，该代理准确地针对机动车等级、尤其是制造商定制，例如这涉及用于维护的工具、尤其是维护设备。单芯片系统的至少一个计算单元优选地可以直接与诊断功能的子系统通信，例如通过已经说明的操作码和/或通过子系统的通信总线。由于由子系统概括/抽象出例如外部维护设备、例如测试器的所有外部要求，因此至少一个计算单元也不必识别或考虑该外部要求。
[0024]
尤其有利地，被分配给诊断功能的子系统获得对至少一个存储器单元的易失性和/或持久性存储器的访问，从而至少一个计算单元不必顾及存储器的管理，例如包括分配、持久性等。在一种实施方式中，这尤其是意味着，通过被分配给诊断功能的子系统，可以在由诊断功能使用的存储器部分中周期性地储存所有诊断相关的运行数据，例如包括测量值块、环境数据等，并且由此在诊断情况中尤其是可供通过接口区段调取。在实施例中，尤其有利地，被分配给诊断功能的子系统也可以提供对代表着诊断服务的诊断功能的安全的、也就是说认证的访问，为此，被分配给诊断功能的子系统尤其优选地构造成用于与被分
配给安全功能的子系统通信，尤其是通过直接的接口或通过访问安全服务的通信总线进行通信。
[0025]
在具体的实施例中，被分配给诊断功能的子系统实施在单芯片系统的半导体芯片上的硬件中也可以实现，将诊断事件、即尤其是将事件数据直接录入到实现诊断功能的子系统中，例如以事件数据的形式，该事件数据由单芯片系统的外围单元和计算单元(即整个ip块)识别，该单芯片系统尤其是包括至少一个接口单元、gpu、cpu等。由此，不再必须编写将单芯片系统特定的故障码转译成车辆诊断的软件。为此适宜地，至少一个外围单元/计算单元联接到为诊断功能分配的子系统的通信总线上。在此应说明的是，除了外围单元之外，这种类型的事件数据当然也应由单芯片系统的至少一个计算单元产生。
[0026]
被分配给诊断功能的子系统此外也可以自身构造成，在产生其它诊断相关的运行数据和/或控制信号方面评估诊断相关的运行数据，从而例如可以周期性地检查确定的测量值和/或功能参数。在此，如果例如由于满足偏差标准而出现与理论状态的偏差，可以生成、即产生并存储例如通过故障码作为事件数据描述的诊断事件。例如，如操控警示灯等的功能可以与该故障码关联。通过被分配给诊断功能的子系统存储该故障码或一般的事件数据，直至通过外部的访问装置、例如维护设备读取该事件数据，从而可以进行重置。
[0027]
归纳来说，在作为附加功能的、涉及机动车诊断的诊断功能方面，可以说，如此使该服务所需的过程在单芯片系统的硬件中可供使用，使得可以省去用于处理机动车诊断的设计复杂的软件，可以以简单的方式储存和/或评估诊断相关的运行数据和/或事件数据、满足对诊断功能的机动车特定的要求，并且在机动车诊断方面给出标准化的、始终功能相同的流程。
[0028]
如已经描述的那样，就机动车诊断功能而言刚好证实为尤其有利的是，存在与被分配给安全功能、尤其是认证功能的子系统、尤其是该子系统的通信总线的连接，这是因为就此例如实现了，对于维护设备、例如测试器，在相应的安全服务中询问该维护设备是否被正确地认证，而不必在机动车诊断自身中实施该认证过程。
[0029]
在这点上还应说明的是，也可通过其它类型的附加功能、即其它服务所使用的外部存储器装置可以是控制器的一部分，并且例如合理的是，存储或预留更大量的诊断相关的运行数据和/或事件数据，所述运行数据和/或事件数据随后相应地在稍晚的时刻被调取。
[0030]
在本发明的另一尤其有利的构造方案中可以规定，至少一个附加功能中的至少一个是数据输出功能、尤其是日志功能和/或影子备份/影子跟随(shadowing)功能和/或验证功能。在机动车中的不同服务要求，输出控制器的运行数据和/或控制器的事件数据，或者使其在控制器之外可用，其中，这应在不妨碍至少一个车辆功能的情况下实现，尤其是当被输出的信息应用于评价至少一个车辆功能时。这种类型的数据输出功能尤其是包括纯粹的日志功能、验证功能和所谓的影子备份功能，即，例如用于保障并且因此也可以被称为保障功能。总地可以说，被分配给数据输出功能的子系统优选地构造成用于在至少一个存储器单元和/或位于单芯片系统外部的存储器装置中暂时存储待输出的控制器运行数据、和/或用于控制待传输到目标装置处的运行数据的数据传输、和/或用于与目标装置通信。
[0031]
在具体的示例中，为了从确定的领域中，例如从安全性、驾驶员辅助、转向、制动和驱动的领域中释放车辆功能，可能需要来自近批量生产的机动车的运行数据。为了获取这
些运行数据，机动车配备有特殊的测量技术装置，例如数据记录仪，这些测量技术装置联接在车辆电子装置的接口上，即具体地也连接在控制器的接口上。该运行数据的获取不应影响正在运行的至少一个车辆功能。因为由此可能改变该至少一个车辆功能的状态并且验证无效。
[0032]
因此，被分配给这种验证功能的子系统或其接口区段也可以称为“验证-服务-接口”。该验证-服务-接口可以是代理，该代理准确地针对所使用的测量技术装置定制，该测量技术装置是已经说明的目标装置。例如单芯片系统的至少一个计算单元可以通过该子系统的通信总线直接与子系统通信。在另一方面，被分配给验证功能的子系统概括测量技术装置、即目标装置的所有询问，并且进行运行数据的数据包的缓存。用于存储被请求的运行数据的宽带界面可供至少一个计算单元使用。尤其是，因此实现验证功能的子系统可以获得对至少一个存储器单元和/或外部的存储器装置的易失性和持久性的存储器的访问，从而至少一个计算单元不必顾及存储器的管理(分配、缓存、保留等)。尤其是，在实施例中可以规定，周期性地存储所有必需的运行数据(例如包括测量数据)并且根据需要、即尤其是针对于询问，提供给测量技术。在此，用于数据访问的流量控制也可以通过外部测量技术装置、即尤其是目标装置实现。
[0033]
也适用于被分配给验证功能的子系统的是，该子系统尤其优选地可以提供对验证功能和运行数据的安全的、认证的访问，为此，尤其优选地，该子系统具有与实现安全功能的子系统、尤其是该子系统的通信总线的连接。因此，例如可以实现对询问的目标装置的认证。
[0034]
在此示例性地对于验证功能阐述的设计方案当然也可以转用到其它类型的数据传输功能上。作为服务，影子备份功能是另一种类型的数据输出功能，其变得越来越重要并通常受制于车辆特定的要求。“影子备份”意味着使确定的运行数据解耦，理想地也在不影响至少一个车辆功能的情况下实施，这也可以称为无缝提取，其中，运行数据优选地应继续传输给机动车外部的目标装置，在该外部的目标装置处，可以尤其优选地与以这种方式获得的运行数据一起评估该运行数据，尤其是为了该至少一个车辆功能的进一步改进。这种类型的评估可以理解成大数据评估，从而尤其是通过基于影子备份连续地改善至少一个车辆功能而产生一种“大数据循环(big loop)”，“大数据循环”可以表示反馈和改善措施的连续循环。
[0035]
在这一点上还应指出的是，数据输出功能当然也可以是不同的部分功能的结合，例如提供数据输出功能的子系统总地可以提供服务、日志、验证和影子备份。当然，在其它设计方案中也可设想，至少部分地为不同类型的数据输出功能提供不同的子系统。
[0036]
如已经尤其是通过与其它子系统的相互作用指出的那样，本发明的一种有利的改进方案规定，至少一个附加功能中的至少一个是安全功能，其中，被分配给安全功能的子系统构造成控制用于单芯片系统的输出数据和/或输入数据的加密和/或解密器件，和/或实施用于控制器的通信伙伴的至少一个认证过程。在此，尤其有利地，认证作为服务通过子系统在前台进行。
[0037]
篡改保护——一般称为“车辆安全(automotive security)”——对于在机动车的控制器中的安全功能提出特别的要求。除了尤其是通过认证确保内部和外部通信之外，这也包括数字秘钥的分发和管理。在此，在现有技术中已经提出这样的系统，即，在其中解密
和/或加密件以及所分配的具有秘钥的存储器单元和/或纯粹监控的攻击探测单元同样实现在单芯片系统的硬件中，然而在此未提供与此相关的服务，尤其是未提供涉及对通信伙伴进行认证的服务。换句话说，已经已知的是，在一个或多个单芯片系统上处理尤其是分散的车辆功能时，反复出现运行数据和/或其它信息进行加密或解密的任务，其中，由于法规的规定，例如鉴于数据保护和新的攻击方法，被加密的通信数据的部分越来越多。因此，为了使加密/解密不占用计算能力中的过大部分，已经提出，在至少一个接口单元中的硬件中——尤其是与未加密的通信的路径并行地——实现加密和/或解密器件，尤其是特殊的加速单元。通过这种纯粹在硬件中的实现方案(在本发明的范围内也可以设置这种情况)，可以实现通信数据的相应流量并且同时减轻至少一个计算单元的负担。通过矢量化，可以实现对期望的数据速率的缩放。此外，在此可能已经存在“安全的秘钥存储器”，该秘钥存储器为加密和/或解密器件和/或至少一个计算单元提供至少一个用于执行加密和解密过程的秘钥。也可以在认证的范围内使用或设计这种类型的秘钥。
[0038]
但尤其是，例如当根据通信伙伴应使用不同的秘钥和/或不同的加密和/或解密技术时，在传统的单芯片系统中这种硬件编码的加密和/或解密组件需要特殊的驱动软件，于是必须合适地开发该驱动软件并且在单芯片系统之内需要功率以及带宽并且在传统的组件中易出现错误。相应地，根据本发明，提供相应的服务的、被分配给安全功能的子系统可以构造成，在使用附加的、专用的通信总线的情况下，提供对加密和/或解密器件的控制和/或秘钥管理，以及优选附加或备选地提供在不同通信伙伴方面的认证，而不损害至少一个车辆功能的情况。因此，利用被分配给安全功能的子系统，例如通过相应的操作码提供紧密关联的解决方案。由此，对加密和/或解密器件和/或秘钥管理和/或认证的控制的操作并不与至少一个车辆功能的实施形成竞争，从而不产生不可计算的运行时间。在一种具体的设计方案中，其中在认证方面例如可以规定，通过至少一个相应的和/或被分配给安全功能的子系统的通信总线请求对确定的通信伙伴进行认证，随后可以相应地通过接口区段发起认证。
[0039]
在此，在本发明的范围内适宜地也可以规定，至少一个由安全功能使用的秘钥在单芯片系统的防篡改的存储器单元中被硬编码。就此而言，相应的设计方案已经从现有技术中基本上已知，从而在此不必对其详细阐述。
[0040]
在本发明的一种尤其有利的改进方案中，至少一个附加功能中的至少一个可以是用于硬件和/或软件功能扩展的释放功能/许可功能/开通功能(freigabefunktion)，该释放功能尤其是集成到安全功能中和/或与安全功能协作。在具体的设计方案中可以规定，被分配给释放功能的子系统被设计用于将至少一个对单芯片系统的被释放使用的硬件和/或软件进行描述的释放信息提供给至少一个车辆功能，和/或被设计用于通过子系统的接口区段与机动车外部的、提供释放开通信息的后端装置通信，该通信尤其是通过认证和/或加密来保障。在通过被分配给释放功能的子系统评估时，与硬件和/或软件组件相关的释放开通信息如此改变释放信息，使得相应于该释放开通信息改变释放信息的记录，该记录与通过释放接通信息描述的硬件和/或软件组件相关联。因此以这种方式实现，根据特殊的、标准化的且基本上现有的服务(通过释放功能实现)，持续地或暂时地激活和/或取消激活由硬件和/或软件组件代表的确定的功能。这尤其是对于机动车用户可以至少暂时地凭付费开通确定功能的商业模式很重要。该功能的激活(或者必要时也取消激活)可以由后端装
置、例如借助于从因特网预订、通过app和/或通过直接在制造期间调取。通过这种动态的开通方案，用户可以在最短时间之内确定其机动车的概况，并且由此在保证安全的同时实现更高的个性化。
[0041]
为此，不仅在硬件、即单芯片系统自身的半导体芯片中，而且在软件中，都可以存在可借助于释放信息激活或取消激活的组件(模块)。目前为止，为了动态地激活在硬件/软件中的组件需要复杂的实现方案，这包括认证、数字秘钥的交换和/或与后端装置(云、结算系统等)的通信。现在根据本发明，这可以以单次、标准化且至少基本上不影响至少一个车辆功能的方式，借助于被分配给释放功能的子系统实现。该子系统例如也可以归纳成“启用-服务-接口”。尤其优选地，被分配给释放功能的子系统可以与被分配给安全功能的子系统共同地进行全部的释放功能，尤其是涉及认证和秘钥管理的情况。尤其地，也可以从安全功能方面实现用于与后端装置通信的程序。
[0042]
在具体的设计方案中，至少一个逻辑单元可以通过特殊的操作码将实现释放功能的子系统的通信总线用于与“启用-服务-接口”通信，尤其是调取释放信息，从而可以简单的方式确定，释放哪些硬件组件和软件组件。通过在单芯片系统的硬件中的反映/映射/描绘，释放功能也延伸到芯片资源、例如附加的计算单元、例如cpu和/或gpu上。在尤其有利的实施方式中，释放信息可以通过寄存器提供。也就是说，例如在认证成功时，尤其是根据获得的释放接通信息，在单芯片系统中写入确定的寄存器，以释放附加的功能，尤其是至少一个硬件组件和/或至少一个软件组件。
[0043]
在此，具有释放功能作为附加功能、因此具有释放服务的这种设计方案不仅在商业模式方面是适宜的，而且在根据本发明的控制器的可扩展性方面、在不同产品系列、尤其是机动车级别的扩展的应用范围方面也是适宜的。
[0044]
除了控制器，本发明也涉及一种机动车，机动车包括至少一个根据本发明的控制器，所有在根据本发明的控制器方面的实施方案可相似地转移到根据本发明的机动车上。
[0045]
最终，本发明也涉及一种用于运行根据本发明的控制器的方法，其中，提供至少一个服务的附加功能——尤其是作为服务和/或系统功能——仅仅借助于被分配给该附加功能的子系统实施。根据本发明的控制器的实施方案当然也相应地继续适用于根据本发明的方法。
附图说明
[0046]
从以下所述的实施例中并且根据附图得到本发明的其它优点和细节。
[0047]
其中：
[0048]
图1示出根据本发明的机动车的原理图，
[0049]
图2示出在根据本发明的控制器中的单芯片系统的功能结构，
[0050]
图3示出在具体的实施例中的单芯片系统的功能性的原理图，以及
[0051]
图4示出说明子系统与车辆功能在逻辑上分离的图示。
具体实施方式
[0052]
图1示出了根据本发明的机动车1的原理图。机动车1具有多个车辆系统、例如包括多个驾驶员辅助系统的车辆系统，示例性地示出了车辆系统中的两个车辆系统2，这些车辆
系统分别具有至少一个控制器3。控制器3根据本发明形成并且包括至少一个单芯片系统4以及可选地可通过服务使用的、位于单芯片系统4外部的存储器装置5。控制器3例如可以通过机动车1的总线系统6彼此连接并且与其它组件/车辆系统2相连接，其中，在此示出了诊断接口7以及通信装置8，该通信装置通过移动无线电网络也实现与因特网的通信。
[0053]
控制器3的单芯片系统4在此构造成在其硬件方面相同，尽管这些单芯片系统借助于软件执行相应的车辆系统2的不同的车辆功能。单芯片系统4中的每一个在此具有多个、实现成硬件的子系统，通过这些子系统与相应的车辆功能逻辑上分离地实施用于提供不同服务的附加功能。每个子系统具有可以实现成自己的计算单元或单芯片系统4的另外的计算单元的一部分的计算部分、实现成自己的数据线路的由该附加功能专用的通信总线、以及在此同样由该附加功能专用的接口区段，不过接口区段可以形成单芯片系统4的至少一个接口单元的一部分。因此，相应的服务通过实现成硬件的、自主的子系统实现并且对外具有清楚地定义的接口，在此对于单芯片系统4或具体地对于每个控制器3的至少一个车辆功能，该接口在接口区段方面通过相应的、清楚的、形成或满足标准的接口定义实现成计算机指令的扩展的指令集的操作码。
[0054]
换句话说，在单芯片系统的半导体芯片之内实现了机动车特定的服务与车辆功能的逻辑上分离，其中，相应地满足所有车辆特定的要求、尤其是对服务的要求。在此，引入特定的接口区段和专用的通信总线，并且在该实施例中也引入在计算机指令上的指令集扩展。
[0055]
现在，图2更准确地示出了基础结构。相应地，在该实施例中，单芯片系统4具有四个计算单元9，计算单元例如可以通过基础的通信总线和基础的数据线路(出于清晰性原因未示出)相连接，并且可以联接到在此未详细示出的接口单元上。但是，在此还设置四个子系统10a、10b、10c和10d，其中，这些子系统10a、10b、10c和10d中的每一个具有通信总线11a、11b、11c、11d以及接口区段12a、12b、12c和12d。在此出于清晰性原因未示出的计算区段可以至少部分地通过计算单元9和/或接口区段12a、12b、12c和12d实现。所有计算单元9与通信总线11a、11b、11c和11d中的每一个相连接，其中，接口区段12a、12b、12c和12d与相应的、从属的通信总线11a、11b、11c和11d相连接。在此，子系统10a被分配给安全服务，因此用于执行安全功能。子系统10b被分配给诊断功能，子系统10c被分配给数据输出功能、在此具体地是日志功能、验证功能和影子备份功能，子系统10d被分配给释放功能。因为除了安全功能之外的任意其它的服务都应与安全功能一起使用(这还将详细解释)，在此通过以下方式建立子系统10b、10c和10d与子系统10a的通信，即，相应的接口区段12a、12b、12c和12d附加地与通信总线11a相连接，见箭头13。
[0056]
从外部访问的或者说与子系统10a、10b、10c和10d通信的通信伙伴，例如用于被输出的运行数据的目标装置、维护设备、后端装置、服务器装置等与相应的接口区段12a、12b、12c和12d通信(双箭头)，这在图2中通过附图标记14表示。
[0057]
然而为了更简化地示出，在图3中，仅仅针对被分配给安全功能的子系统10a示出了更具体的结构。相应地，除了四个已经描述的计算单元9之外，构造有接口单元15以及在此两个存储器单元16a、16b作为单芯片系统4的半导体芯片的一部分。将存储器单元16a、计算单元9与接口单元15相连接的主数据线路17是主通信总线，该主通信总线被至少一个车辆功能使用。另一数据线路18实现了子系统10a的通信总线11a并且附加地包含与存储器单
元16b的连接。可选地，另一计算单元19可以设置成子系统10a的计算区段的一部分。此外，作为未示出的组件，也可以存在存储器管理单元。
[0058]
在该实施例中，接口区段12a由接口单元15的一部分形成。此外用于与通信伙伴进行可靠的通信的解密和加密件20集成到接口单元15中。至少一个相应的秘钥21可以硬编码的形式存在于存储器单元16b中。
[0059]
现在，被分配给安全功能的子系统10a一方面在安全服务的范围内构造成，当通过相应的操作码从至少一个车辆功能中的至少一个请求对通信伙伴14的认证时，通过接口区段12a实现对该通信伙伴14的认证。在此，具体地可以使用不同的认证方法，确切的说由子系统10a提供不同的认证方法，其中，尤其是也可以使用秘钥，例如硬编码的秘钥21。但另一方面，保险功能也用于控制加密和解密器件20以及用于秘钥管理。因此，例如可以选择例如用于合适的通信伙伴14的合适的秘钥，和/或进行秘钥协商。
[0060]
图4以示意性的原理图的形式再次简要解释了本发明的基本原理。此处，作为逻辑上与至少一个车辆引导功能23分离的并且彼此分离的器件，示出了实现各种服务的子系统10a、10b、10c、10d，这些子系统分别具有其相应的计算区段22a、22b、22c、22d、接口区段12a、12b、12c和12d以及通信总线11a、11b、11c、11d，因此这些子系统自主地提供其相应的服务并且通过访问“安全总线”、即通信总线11a全都可以使用子系统10a的安全服务，见箭头13。
[0061]
被分配给诊断功能的子系统10b(因此其提供诊断服务)例如可以在存储器单元16a或存储器装置5中周期性地中间存储或保留诊断相关的运行数据，和/或尤其是以事件控制的方式中间存储或保留事件数据。在此，子系统10b尤其是也构造成用于从属的存储器管理。此外，子系统10b借助于相应的接口区段12b实现与维护工具以及其它诊断相关的通信伙伴14、尤其是维护设备的通信，也可以在使用子系统10a(安全服务)的情况下以受保护的方式进行通信。尤其是，由单芯片系统的ip块、例如计算单元9识别的诊断相关的事件可以直接相应地被保留和/或通信，这是因为该事件必须简单地发送到相应的通信总线11b上。
[0062]
子系统10c尤其是可以用于截取用于验证和影子备份的运行数据，因此将验证功能和影子备份功能也实现成服务。在此，例如目标装置可以作为用于待输出的运行数据的通信伙伴14，借助于子系统10a可以建立与目标装置的安全连接。针对目标装置的示例也是位于机动车1中的、用于验证的测量技术装置，该测量技术装置可以作为用于输出的运行数据的目的地。在影子备份时，目标装置常常是因特网的服务器装置，为了能够改善至少一个车辆功能，在该因特网的服务器装置处可以进行大数据评估，例如以“大数据循环”的方式。也可以处理或满足其它的日志要求。为了缓存或中间存储，又可以使用存储器单元16a和/或外部的存储器装置5。
[0063]
最终，子系统10d可以控制硬件组件和/或软件组件(也可称为硬件模块和/或软件模块)的释放，为此，可以使用存储器单元16a、16b中的一个存储器单元的特殊的寄存器来提供相应的释放信息。接口区段12d在此可以与作为通信伙伴14的后端装置通信，以便当例如通过购买等开通了新的硬件和/或软件组件时获得释放开通信息。也可以利用通过释放功能提供的服务，以便例如已经在制造期间就根据相应的车辆模型设定或缩放控制装置3。