用于机动车的控制器和相应的机动车的制作方法

本发明涉及一种用于机动车的控制器。除此以外，本发明涉及一种相应的机动车和一种相应的方法。

背景技术：

高度自动化的驾驶（高度自动驾驶、highlyautomateddriving,had）这个名称通常是指辅助的驾驶与自主的驾驶之间的开发阶段，其中在辅助驾驶时驾驶员在驾驶任务中通过多个（经常是分开的）驾驶员辅助系统来得到辅助，并且其中在自主驾驶时车辆完全自动地并且在没有驾驶员的作用下行驶。对于高度自动化的驾驶来说，车辆在一定程度上拥有自身的智能系统，所述自身的智能系统能够预先规划并且能够至少在大多数情况中承担驾驶任务。驾驶员和控制器（电子控制单元、electroniccontrolunits，ecu）一起操纵着车辆，其中人类驾驶员随时确定，他以多大的程度来干预车辆的行驶状态。

us2013/0145482a1说明了一种实现一个或多个处理模块的车辆。这些模块被配置用于与车辆中的不同总线建立连接，其中不同总线与车辆的不同组件相连接，以用于使车辆组件之间的信息传输变得容易。每个处理模块都进一步模块化，从而拥有现在或者将来添加并且替换其他功能模块的能力。这些功能模块本身就能够作为独立的车辆组件来进行行动（agieren）。每个处理模块都能够根据其性能状况、处理负载或者通过第三方控制将处理工作转交给其他模块。因此，多个处理模块有助于实现用于车辆的中间件控制点（middleware-steuerpunkt），其在处理中具有冗余并且在其应用中具有安全性和安全性意识。

us2007/076593a1公开了一种具有多个节点的车辆控制系统，所述节点与通信网络相连接，以用于在通过通信网络发送的数据的基础上执行经过协助的过程，以用于控制车辆，其中每个节点包括以下特征：节点状态-确定部分，该节点状态-确定部分通过通信网络从其他节点处接收节点状态数据并且确定节点状态，所述节点状态显示出多个节点的一种或者多种失效状态和非失效状态；节点状态分析结果-发送/接收部分，其用于将包括自身节点和其他节点的、由节点状态-确定部分所确定的节点状态的节点状态数据发送给其它节点并且用于接收包括自身节点和其它节点的、由其他节点所确定并且通过通信网络来发送的节点状态的节点状态数据；以及失效节点-识别部分，其在所述节点状态数据的基础上识别与通信网络相连接的失效的节点，所述节点状态数据包括自身节点和其他节点的、由节点状态-确定部分所确定并且由其他节点所发送的节点状态，其中所述过程在节点状态-确定部分、节点状态-分析结果-发送/接收部分和失效节点-识别部分中和自身节点与其它节点之间通过通信网络进行的通信同步地来实施，并且失效节点-识别部分用包括应用程序接口的中间件来实现，所述应用程序接口向在自身节点上运行的控制应用程序提供失效节点-识别的结果。

技术实现要素：

本发明提供了按照独立权利要求所述的、一种用于机动车的控制器以及一种相应的机动车和一种方法。

根据本发明的方案在这种情况下基于以下认识：大量用于高度自动化的驾驶的驾驶员辅助系统当前处于开发阶段中。目标实现需要掌控大型系统。子任务要分配到不同的控制器上，这尤其对子任务之间的通信提出了更高的要求。中间应用程序（中间件）的服务层在这里应该能够实现子任务的灵活分配。

因此，提出了一种有效的中间件方案。该方案的基础是进程间通信（进程间通信、inter-progresscommunication,ipc）和共同使用的存储器（共享存储器、sharedmemory）。这样的服务层省去了数据的不必要的复制或应用程序的卡住并且因此证明是极其合理。

例如，下面讨论的方案比如能够用于设计用于had的参考平台-软件架构并且尤其允许实时处理来自多个传感器的大量数据以及在最高的运行安全性、可靠性并且防止未经授权的篡改的情况下允许车辆与其环境（car2x）的通信。通过这种方式，现代的多核-控制器以及特别是多个核-控制器以及-由于其提高的性能潜力-从娱乐电子器件（消费电子器件、consumerelectronics,ce）中借用的最为不同组件也得到了支持。总的来说，所提出的解决方案因此在效率、可缩放性和可维护性、便携性、数据封装、标准一致性以及比如软件和尤其固件通过无线电接口所实现的可互换性方面（经由无线电的软件、softwareovertheair,sota,经由无线电的固件、firmwareovertheair,fota）满足了最高的要求。

通过在从属权利要求中所列举的措施，能够实现在独立权利要求中所说明的基本构思的有利的拓展方案和改进方案。因此，能够规定，控制器和操作系统如此在应用程序之间进行分离，使得特定的应用程序无权访问能够共同使用的存储器。在此，特别有利的是，所述解决方案包括灵活的用于进行分离的方法。在此尽可能地获得实现的效率。

根据另一方面，能够规定，控制器此外包括用于执行分离的存储器管理单元（存储器管理单元、memorymanagementunit,mmu）。因此，不同的存储器区域的分开可以有利地在相应的硬件中来描绘。

根据另一方面，能够规定，应用程序经由中间应用程序接口来访问中间应用程序，中间应用程序本身经由标准化的接口来访问操作系统、数据连接、控制器抽象层、微控制器抽象层、复杂的驱动器或者基础软件的其他服务。因此，数据传送通过这种方式完全通过服务层来抽象化。如果能够保证时延和服务质量，甚至能够将应用程序分配到不同的控制器上。

最后，根据另一方面，能够为控制器提供诸如qnx的符合posix标准的操作系统。在后一种情况下，各个应用程序之间的所提到的分离可以通过应用软件的自适应的分区（ap）来进行。相应的的调度程序允许实时系统的设计者规定为特定的分区-即形成子系统的一组活动载体或执行线程（线程、threads）或者进程-保留一定份额的处理资源。

附图说明

在附图中示出了并且在下面的描述中更详细地解释了本发明的实施例。附图中：

图1示出了按照所提出的解决策略的面向中间应用程序的方案。

图2示出了借助于根据本发明的服务层在控制器之间进行的数据传送。

图3示出了借助于根据本发明的服务层进行的控制器-内部的数据传送。

图4示出了用于在有效的用于进行进程间通信的中间应用程序方案的范围内使用共同使用的存储器的解决策略。

图5示出了分离的基础。

图6结合中间应用程序示出了分离的作用。

图7示出了用于在保持具有不同的安全要求的区域的分开的情况下进行进程间通信的解决策略。

图8示出了用于在保持具有不同的安全要求的区域的分开的情况下通过共同使用的存储器进行的进程间通信。

具体实施方式

图1示出了按照所提出的解决策略的、面向中间应用程序的方案。应用程序（11）在此使用特殊的中间应用程序（12）的应用程序编程接口（应用程序编程接口、applicationprogramminginterface，api）。数据传送在此仅仅通过中间应用程序（12）来处理，这能够实现轻便、可缩放性和可重用性、数据封装等。这样的方案比如可以在将来有待定义的能适配的并且开放的车辆系统架构（开放的车辆系统架构、automotiveopensystemarchitecture,autosar）的框架内来跟踪。

图2示出了借助于根据本发明的服务层在控制器之间进行的数据传送。在这种情况下，除了autosar基础软件（15）之外，每个控制器（10）还运行特定的had应用软件（14）。根据本发明，基础软件（15）也包括服务层的中间应用程序（12），而应用软件（14）则包括狭义上的单个应用程序（11）。如同应用程序（11）经由中间应用程序接口（13）访问中间应用程序（12），后者又经由标准化接口（16）访问操作系统（17）、数据连接（18）、控制器抽象层（19）、微控制器抽象层（20）、复杂的驱动器（21）或基础软件（15）的其他服务。

图3以相应的图示示出了借助于根据本发明的服务层在单个的控制器（10）内部进行的数据传送。这种有效的控制器内部的进程间通信（29）通过所选择的元素例如在autosar的范围内结合适当的用于共同使用的存储器（23）的api来实现并且代表着嵌入式had系统的关键能力。

图4示出了用于在所讨论的方案的范围内使用共同使用的存储器（23）的解决策略。控制器（10）包括这样的存储器（23），其能够由不同应用程序（11）和中间应用程序（12）共同使用，中间应用程序（31）之一通过所述存储器（23）来处理应用程序a和b之间的进程间通信（29）。在这种情况下，后者受到相同的安全要求的约束，所述安全要求通过共同的、具有名称a、b、c、d或qm的安全要求等级（汽车安全完整性等级、automotivesafetyintegritylevel,asil）来确定。（这种给定的安全要求等级在下面代表着附图标记x。）

现在要借助于图5来解释分离（25）的基础。符合posix标准的操作系统、比如qnx允许在进程层面上对应用程序（11）进行这样的分开，所述分开因此也可能在将来的能适配的autosar-实施方案的范围内来实现。（这当然也适用于包含相应的机制的、与posix不符的系统。）为此目的，控制器（10）包括-本身未示出的-存储器管理单元。在使用相应的诸如qnx的操作系统（17）时，其微内核在运行时间通过应用软件（14）的自适应的分区来支持所述分离（25）。进程内部的各个执行线程（24）不能通过这种方式来容易地分开。

应该注意，示范性地引用的qnx仅仅代表着大量能考虑的目标操作系统之一。虽然在其他操作系统的环境中也能够考虑所描述的机制。甚至具有管理程序的方案也可受益于根据本发明的设计方案。

在这个方面，根据本发明的中间应用程序（12）的功能在图6中示出。如果观察通过给定的安全要求等级（x）来定义的范围，那就能够通过软件的开发过程以及尤其是严格的分层来强制执行这个范围之内的分离（25）。在不可能做到这一点的情况下-例如在与处于较低的安全要求等级（y）的应用程序（11）的跨区域通信中-需要明确的机制。

图7示出了这样的机制，所述机制用于在保持具有不同的安全要求的区域的分开的情况下进行进程间通信（29）。在处于所提到的安全要求等级（x）上的第一中间应用程序（31）运行时，一些应用程序（11）访问具有较低的安全要求等级（y）的第二中间应用程序。不仅对第一中间应用程序（31）而且对第二中间应用程序（32）进行访问的应用程序（11）在此同时用作安全要求等级（x、y）之间的安全定界符（sicherheitsbegrenzer）（26）。

图8示出了在这种情况下能够共同使用的存储器（23）的功能：与享有特权的应用程序a相比，非享用特权的应用程序c在这种场景中无权（28）访问能够共同使用的存储器（23）。在最高的安全等级上运行的并且相应地享有特权的应用程序a此外在借助于第二中间应用程序（32）跨区域访问存储器（23）时用作安全定界符（27）。