本發(fā)明總體涉及控制單元，在這些控制單元中實現(xiàn)被分配給不同安全等級的控制單元功能。該方法還涉及：根據(jù)取決于針對各個控制單元功能的功能診斷的診斷結(jié)果的啟用(freigaben)，來在控制單元中執(zhí)行控制單元功能。

背景技術(shù)：

1、如今，控制單元用于多種技術(shù)裝置，以便控制這些技術(shù)裝置。此類控制單元通常借助于微控制器來實現(xiàn)，通常采樣功能軟件來操作，該功能軟件通常具有多個功能模塊，這些功能模塊可以分別包含多個控制單元功能。此類控制單元功能例如可以包括操作系統(tǒng)的功能、內(nèi)存管理、車載診斷的中央功能、錯誤內(nèi)存管理功能和用于實現(xiàn)控制單元任務(wù)的工作功能?？刂茊卧δ芡ǔＯ嗷リP(guān)聯(lián)，以便完成控制和調(diào)節(jié)任務(wù)。

2、控制單元用于控制技術(shù)系統(tǒng)。根據(jù)該技術(shù)系統(tǒng)的應(yīng)用領(lǐng)域，各個控制單元功能的故障可能引起該技術(shù)系統(tǒng)的或多或少的關(guān)鍵行為，其會導致該技術(shù)系統(tǒng)的可用性降低或該技術(shù)系統(tǒng)變得無法使用，或者會損壞或毀壞該技術(shù)系統(tǒng)的部件。

3、因而規(guī)定：分別通過一個或多個診斷功能來監(jiān)控這些控制單元功能。通過診斷功能找出的錯誤會導致對相對應(yīng)的錯誤狀態(tài)(狀態(tài)變量)進行設(shè)置，檢索該錯誤狀態(tài)以用于啟用相對應(yīng)的控制單元功能的執(zhí)行。

4、借助于所謂的啟用管理器(功能禁用管理器(function?inhibition?manager，fim))，可以根據(jù)所識別出的錯誤事件來協(xié)調(diào)各個控制單元的啟用和禁用。通常，這種功能禁用管理器利用禁用矩陣來工作，該禁用矩陣根據(jù)通過所分配的診斷功能識別出的錯誤的錯誤事件標識符，來考慮借助于功能標識符所標識的控制單元功能，而且該禁用矩陣包含被分配給該控制單元功能的狀態(tài)變量，利用該狀態(tài)變量可以顯示所識別出的錯誤。

5、例如在autosar“功能禁用管理器規(guī)范(specification?offunction?inhibitionmanager)”，autosar文件標識第82號，版本r21-11中，描述了這種啟用管理器的行業(yè)標準。

技術(shù)實現(xiàn)思路

1、按照本發(fā)明，提供了一種按照權(quán)利要求1所述的用于操作啟用管理器來啟用具有不同安全等級的控制單元功能的方法和一種按照并列獨立權(quán)利要求所述的相對應(yīng)的設(shè)備。

2、其它的設(shè)計方案在從屬權(quán)利要求中說明。

3、按照第一方面，提供了一種用于操作啟用管理器來啟用技術(shù)系統(tǒng)的控制單元中的不同安全等級的控制單元功能的方法，該方法具有如下步驟：

4、-執(zhí)行該控制單元中的診斷功能，其中，該診斷功能分配有安全等級；

5、-根據(jù)由相應(yīng)的診斷功能對錯誤事件或功能能力的識別，調(diào)整在狀態(tài)變量存儲區(qū)中的所分配的狀態(tài)變量，該狀態(tài)變量存儲區(qū)被分配給該診斷功能的該安全等級；

6、-根據(jù)一個或多個所分配的狀態(tài)變量，執(zhí)行被分配給特定安全等級的控制單元功能，其中，只考慮存儲在如下狀態(tài)變量存儲區(qū)中的狀態(tài)變量，這些狀態(tài)變量存儲區(qū)被分配給該控制單元功能的該安全等級或者更高安全等級。

7、在啟用管理器(功能禁用管理器)中，在診斷功能被分配給的錯誤事件標識符與功能標識符之間發(fā)生關(guān)聯(lián)。在此，通過錯誤事件標識符所表征的錯誤事件會引起狀態(tài)變量的增量或設(shè)置，該狀態(tài)變量被分配給功能標識符并且借此被分配給特定的控制單元功能。以這種方式在借助于診斷功能來識別錯誤時，可以通過相對應(yīng)的功能標識符來影響一個或多個控制單元功能的啟用。

8、因此，如果通過特定的事件標識符指示識別出錯誤，則相對應(yīng)地調(diào)整依據(jù)禁用矩陣所分配的功能標識符的狀態(tài)變量。

9、然而，在上述實現(xiàn)中，所有診斷功能和控制單元功能都必須具有相同的完整性，即，被分配給相同的安全等級，或者對于汽車領(lǐng)域，被分配給相同的asil等級(iso?26262)。相同的完整性意味著：與控制單元功能相關(guān)的所有診斷功能都可以訪問相同的狀態(tài)變量存儲區(qū)并且直接交換信息。

10、然而，安全等級規(guī)定：特定安全等級的診斷功能無法利用寫訪問來訪問更高安全等級的狀態(tài)變量存儲區(qū)。相比之下，控制單元功能可以對所有安全等級的存儲區(qū)進行讀訪問。在此，必須確保：已引起識別出錯誤的具有較低安全等級的診斷功能無法阻止具有更高安全等級的控制單元功能的執(zhí)行。

11、為此，上述方法規(guī)定：根據(jù)診斷功能的結(jié)果，在考慮其安全等級以及啟用管理器的情況下，執(zhí)行控制單元功能的啟用。為此，該啟用管理器(提前)針對每個安全等級具有狀態(tài)變量存儲區(qū)，以便存儲這些控制單元功能的狀態(tài)變量。這些狀態(tài)變量分別被分配給特定的控制單元功能，通過功能標識符來表示，而且這些狀態(tài)變量在診斷消息中被調(diào)整，前提是寄存了診斷功能與功能標識符的相對應(yīng)的分配。這些狀態(tài)變量可以被設(shè)計為錯誤計數(shù)器。在后一種情況下，在所分配的錯誤函數(shù)發(fā)生錯誤時，可以使狀態(tài)變量增量，而且在存在特定標準的情況下，在發(fā)現(xiàn)沒有錯誤時，可以相對應(yīng)地使狀態(tài)變量減量。

12、每個診斷功能都分配有安全等級。相對應(yīng)地，每個診斷功能都會針對其有關(guān)的安全等級來調(diào)整功能標識符的狀態(tài)變量。例如，如果發(fā)現(xiàn)了錯誤事件或者在發(fā)現(xiàn)錯誤事件之后發(fā)現(xiàn)了功能沒有錯誤，則可以進行調(diào)整。在識別出錯誤時，使狀態(tài)變量相對應(yīng)地增量，而且在同一診斷功能識別出功能正常時，如果該狀態(tài)變量的值大于零，則使該狀態(tài)變量相對應(yīng)地減量。

13、在執(zhí)行控制單元功能時，始終根據(jù)其所分配的安全等級來檢查其啟用。依據(jù)一個或多個通過分配矩陣所分配的狀態(tài)變量來進行該啟用。如果待執(zhí)行的控制單元功能的安全等級的一個或多個狀態(tài)變量表明識別出錯誤，則禁用該控制單元功能的執(zhí)行。由于該一個或多個狀態(tài)變量以不同的安全等級被存儲，所以需要檢查被分配給該控制單元功能的、與該控制單元功能的安全等級和更高安全等級相對應(yīng)的所有狀態(tài)變量。相對應(yīng)地，在執(zhí)行該控制單元功能之前，檢索被分配給控制單元功能的相同或更高安全等級的相對應(yīng)的狀態(tài)變量，以便確定相關(guān)的控制單元功能的啟用。此外，相對應(yīng)的較低安全等級的狀態(tài)變量被忽略不計，使得即使識別出錯誤，較低安全等級的診斷功能也無法阻止更高安全等級的控制單元功能。以這種方式，可以確?？刂茊卧δ艿膯⒂玫耐暾浴Ｒ虼?，診斷功能的錯誤事件只能影響被分配給相同安全等級或較低安全等級的控制單元功能的啟用。

14、可以規(guī)定：通過評估診斷功能和控制單元功能的程序代碼和配置文件，自動化地分析調(diào)用上下文，以用于將這些診斷功能和控制單元功能正確地分配給相應(yīng)的安全等級，其中，尤其是對該程序代碼進行解析，并且檢查一個或多個指定的配置文件，以確定診斷功能或控制單元功能在哪個調(diào)用容器中分別調(diào)用針對特定安全等級的特定接口。

15、此外，可以通過對狀態(tài)變量存儲區(qū)中的被分配給控制單元功能的狀態(tài)變量的讀訪問的掩碼(maskierung)，來考慮這些狀態(tài)變量存儲區(qū)。

16、此外，借助于分配矩陣，可以將診斷功能分配給相對應(yīng)的狀態(tài)變量，并且將狀態(tài)變量分配給控制單元功能。由此，能夠通過簡單的校準(甚至在控制單元的操作期間)來靈活調(diào)整診斷功能和控制單元功能的分配，而無需重新編譯控制單元軟件或者診斷功能的軟件。

17、由于在所有不同的安全等級都提供狀態(tài)變量，因此能夠簡單地通過校準來調(diào)整診斷功能到控制單元功能的分配。不需要對整個程序的重新配置和集成。