知財求人 - 知財ポータルサイト「IP Force」
▶ コンチネンタル オートモーティヴ ゲゼルシャフト ミット ベシュレンクテル ハフツングの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6903784
(24)【登録日】2021年6月25日
(45)【発行日】2021年7月14日
(54)【発明の名称】車両システム、車両およびこの種の車両システムの動作方法
(51)【国際特許分類】
G06F 9/4401 20180101AFI20210701BHJP
G06F 9/455 20060101ALI20210701BHJP
【FI】
G06F9/4401
G06F9/455 150
【請求項の数】21
【外国語出願】
【全頁数】21
(21)【出願番号】特願2020-42558(P2020-42558)
(22)【出願日】2020年3月12日
(65)【公開番号】特開2020-149690(P2020-149690A)
(43)【公開日】2020年9月17日
【審査請求日】2020年3月12日
(31)【優先権主張番号】10 2019 203 377.6
(32)【優先日】2019年3月13日
(33)【優先権主張国】DE
(73)【特許権者】
【識別番号】508097870
【氏名又は名称】コンチネンタル オートモーティヴ ゲゼルシャフト ミット ベシュレンクテル ハフツング
【氏名又は名称原語表記】Continental Automotive GmbH
(74)【代理人】
【識別番号】100114890
【弁理士】
【氏名又は名称】アインゼル・フェリックス=ラインハルト
(74)【代理人】
【識別番号】100098501
【弁理士】
【氏名又は名称】森田 拓
(74)【代理人】
【識別番号】100116403
【弁理士】
【氏名又は名称】前川 純一
(74)【代理人】
【識別番号】100135633
【弁理士】
【氏名又は名称】二宮 浩康
(74)【代理人】
【識別番号】100162880
【弁理士】
【氏名又は名称】上島 類
(72)【発明者】
【氏名】アンドレアス ゴルトマン
(72)【発明者】
【氏名】シュテフェン エーアハート
【審査官】
石川 雄太郎
(56)【参考文献】
【文献】
米国特許出願公開第2018/0225140(US,A1)
【文献】
特表2014−531099(JP,A)
【文献】
特表2003−508674(JP,A)
【文献】
Karthik, S., et al.,Hypervisor based approach for integrated cockpit solutions. ,In 2018 IEEE 8th International Conference on Consumer Electronics-Berlin (ICCE-Berlin),2018年09月,p. 1-6
(58)【調査した分野】(Int.Cl.,DB名)
G06F 8/00−8/38
G06F 8/60−8/77
G06F 9/44−9/445
G06F 9/451
G06F 9/455
(57)【特許請求の範囲】
【請求項1】
車両システム(1,10)であって、前記車両システムは、
ハードウェアレベル(2)と、
第1のオペレーティングシステム(3)と、
前記ハードウェアレベル(2)上に集積されており、第2のオペレーティングシステム(6)を備える仮想機械と、
ハイパーバイザ(5,12)とを有しており、前記ハイパーバイザは、前記ハードウェアレベル(2)上の前記仮想機械を動作させるように構成されており、これによって前記第1のオペレーティングシステム(3)と前記第2のオペレーティングシステム(6)とが、前記ハードウェアレベル(2)上で並行して動作可能になる車両システムにおいて、
前記第1のオペレーティングシステム(3)上で、少なくとも1つの第1のアプリケーション(4)が実行可能であり、かつ前記第2のオペレーティングシステム(6)上で、少なくとも1つの第2のアプリケーション(7)が実行可能であり、
前記少なくとも1つの第1のアプリケーション(4)は、前記少なくとも1つの第2のアプリケーション(7)と比べて、より高い安全基準を有しており、
前記第2のオペレーティングシステム(6)は、前記第1のオペレーティングシステム(3)が停止状態の間、Suspend−to−RAMモードにおいて動作させられるように構築されている
ことを特徴とする車両システム(1,10)。
ハードウェアレベル(2)と、
第1のオペレーティングシステム(3)と、
前記ハードウェアレベル(2)上に集積されており、第2のオペレーティングシステム(6)を備える仮想機械と、
ハイパーバイザ(5,12)とを有しており、前記ハイパーバイザは、前記ハードウェアレベル(2)上の前記仮想機械を動作させるように構成されており、これによって前記第1のオペレーティングシステム(3)と前記第2のオペレーティングシステム(6)とが、前記ハードウェアレベル(2)上で並行して動作可能になる車両システムにおいて、
前記第1のオペレーティングシステム(3)上で、少なくとも1つの第1のアプリケーション(4)が実行可能であり、かつ前記第2のオペレーティングシステム(6)上で、少なくとも1つの第2のアプリケーション(7)が実行可能であり、
前記少なくとも1つの第1のアプリケーション(4)は、前記少なくとも1つの第2のアプリケーション(7)と比べて、より高い安全基準を有しており、
前記第2のオペレーティングシステム(6)は、前記第1のオペレーティングシステム(3)が停止状態の間、Suspend−to−RAMモードにおいて動作させられるように構築されている
ことを特徴とする車両システム(1,10)。
【請求項2】
前記車両システム(1,10)の運転開始時に、前記第1のオペレーティングシステム(3)のリスタートおよび前記第2のオペレーティングシステム(6)の前記Suspend−to−RAMモードからの起動が実行可能である、請求項1記載の車両システム(1,10)。
【請求項3】
前記少なくとも1つの第1のアプリケーション(4)および前記少なくとも1つの第2のアプリケーション(7)が含まれており、
前記少なくとも1つの第2のアプリケーション(7)が前記Suspend−to−RAMモードにあるときには、前記少なくとも1つの第1のアプリケーション(4)は停止状態にある、請求項1または2記載の車両システム(1,10)。
前記少なくとも1つの第2のアプリケーション(7)が前記Suspend−to−RAMモードにあるときには、前記少なくとも1つの第1のアプリケーション(4)は停止状態にある、請求項1または2記載の車両システム(1,10)。
【請求項4】
前記車両システム(1,10)の運転開始時に、前記少なくとも1つの第1のアプリケーション(4)のリスタートと、前記少なくとも1つの第2のアプリケーション(7)の前記Suspend−to−RAMモードからの起動とが実行可能である、請求項3記載の車両システム(1,10)。
【請求項5】
前記ハイパーバイザ(5,12)は、前記車両システム(1,10)の運転休止時にオフされるように構築されており、かつ前記車両システム(1,10)の運転開始時にリスタートされるように構築されている、請求項1から4までのいずれか1項記載の車両システム(1,10)。
【請求項6】
前記第1のオペレーティングシステム(3)は、前記第2のオペレーティングシステム(6)と比べて、より高い安全基準を有している、請求項1から5までのいずれか1項記載の車両システム(1,10)。
【請求項7】
前記ハードウェアレベル(2)は、System−on−Chipとして構成されている、請求項1から6までのいずれか1項記載の車両システム(1,10)。
【請求項8】
前記ハードウェアレベル(2)は、動作手段を有しており、
前記ハイパーバイザ(5,12)は、前記第1のオペレーティングシステム(3)と前記第2のオペレーティングシステム(6)とが相互に無関係に動作可能であるように、前記動作手段を前記第1のオペレーティングシステム(3)上および第2のオペレーティングシステム(6)上に分配するように構築されている、請求項1から7までのいずれか1項記載の車両システム(1,10)。
前記ハイパーバイザ(5,12)は、前記第1のオペレーティングシステム(3)と前記第2のオペレーティングシステム(6)とが相互に無関係に動作可能であるように、前記動作手段を前記第1のオペレーティングシステム(3)上および第2のオペレーティングシステム(6)上に分配するように構築されている、請求項1から7までのいずれか1項記載の車両システム(1,10)。
【請求項9】
複数の前記動作手段のうちの少なくとも1つの動作手段の区分が実行されるように、前記ハイパーバイザ(5,12)は構築されており、これは、前記ハイパーバイザ(5,12)が、前記少なくとも1つの動作手段の第1の部分領域を前記第1のオペレーティングシステム(3)に割り当て、前記少なくとも1つの動作手段の第2の部分領域を前記第2のオペレーティングシステム(6)に割り当てることによって行われる、請求項8記載の車両システム(1,10)。
【請求項10】
前記ハイパーバイザ(5,12)は、前記少なくとも1つの第1のアプリケーション(4)および前記少なくとも1つの第2のアプリケーション(7)を、前記ハードウェアレベル(2)上の第1および第2のオペレーティングシステムパーティションにおいて提供するように構築されている、請求項1から9までのいずれか1項記載の車両システム(1,10)。
【請求項11】
前記車両システム(10)は、前記第1のオペレーティングシステム(3)を備える第1の仮想機械と、前記第2のオペレーティングシステム(6)を備える第2の仮想機械とを含んでおり、
前記第1の仮想機械および前記第2の仮想機械は前記ハードウェアレベル(2)上に集積されており、これによって、前記第1の仮想機械と前記第2の仮想機械とが並行して前記ハードウェアレベル(2)上で動作可能であり、
前記第1のオペレーティングシステム(3)上で前記少なくとも1つの第1のアプリケーション(4)が実行可能であり、前記第2のオペレーティングシステム(6)上で前記少なくとも1つの第2のアプリケーション(7)が実行可能であり、
前記少なくとも1つの第1のアプリケーションは前記少なくとも1つの第2のアプリケーションと比べて、より高い安全基準を有しており、
前記車両システム(10)は、ハイパーバイザ(12)を含んでおり、前記ハイパーバイザは、前記第1の仮想機械と前記第2の仮想機械とが前記ハードウェアレベル(2)上で動作するように構成されており、
前記第2の仮想機械は、前記第1の仮想機械が停止状態の間、前記Suspend−to−RAMモードにおいて動作させられるように構成されている、請求項1から10までのいずれか1項記載の車両システム(10)。
前記第1の仮想機械および前記第2の仮想機械は前記ハードウェアレベル(2)上に集積されており、これによって、前記第1の仮想機械と前記第2の仮想機械とが並行して前記ハードウェアレベル(2)上で動作可能であり、
前記第1のオペレーティングシステム(3)上で前記少なくとも1つの第1のアプリケーション(4)が実行可能であり、前記第2のオペレーティングシステム(6)上で前記少なくとも1つの第2のアプリケーション(7)が実行可能であり、
前記少なくとも1つの第1のアプリケーションは前記少なくとも1つの第2のアプリケーションと比べて、より高い安全基準を有しており、
前記車両システム(10)は、ハイパーバイザ(12)を含んでおり、前記ハイパーバイザは、前記第1の仮想機械と前記第2の仮想機械とが前記ハードウェアレベル(2)上で動作するように構成されており、
前記第2の仮想機械は、前記第1の仮想機械が停止状態の間、前記Suspend−to−RAMモードにおいて動作させられるように構成されている、請求項1から10までのいずれか1項記載の車両システム(10)。
【請求項12】
前記ハードウェアレベル(2)は、少なくとも1つの動作手段を含んでおり、
前記ハイパーバイザ(12)は、複数の前記動作手段のうちの少なくとも1つの動作手段の区分が実行されるように構築されており、これは、前記ハイパーバイザ(12)が、前記少なくとも1つの動作手段の第1の部分領域を前記第1の仮想機械に割り当て、前記少なくとも1つの動作手段の第2の部分領域を前記第2の仮想機械に割り当てることによって行われる、請求項11記載の車両システム(10)。
前記ハイパーバイザ(12)は、複数の前記動作手段のうちの少なくとも1つの動作手段の区分が実行されるように構築されており、これは、前記ハイパーバイザ(12)が、前記少なくとも1つの動作手段の第1の部分領域を前記第1の仮想機械に割り当て、前記少なくとも1つの動作手段の第2の部分領域を前記第2の仮想機械に割り当てることによって行われる、請求項11記載の車両システム(10)。
【請求項13】
前記車両システム(10)の運転開始時に、前記第1の仮想機械の前記第1のオペレーティングシステム(3)のリスタートと、前記第2の仮想機械の前記第2のオペレーティングシステム(6)の前記Suspend−to−RAMモードからの起動とが実行可能である、請求項11または12記載の車両システム(10)。
【請求項14】
請求項1から13までのいずれか1項記載の車両システム(1,10)を有している、車両。
【請求項15】
前記車両システム(1,10)は少なくとも1つのコンポーネントを有しており、
前記車両システム(1,10)は、前記車両システム(1,10)が前記少なくとも1つのコンポーネントと通信するためのインタフェースを有している、請求項14記載の車両。
前記車両システム(1,10)は、前記車両システム(1,10)が前記少なくとも1つのコンポーネントと通信するためのインタフェースを有している、請求項14記載の車両。
【請求項16】
車両システム(1,10)の動作方法であって、
前記方法は、
ハードウェアレベル(2)上に第1のオペレーティングシステム(3)を提供するステップと、
前記ハードウェアレベル(2)上にハイパーバイザ(5,12)を提供するステップと、
第2のオペレーティングシステム(6)を備える仮想機械を前記ハイパーバイザ(5,12)によって提供するステップであって、これによって、前記第1のオペレーティングシステム(3)と前記第2のオペレーティングシステム(6)とが並行して前記ハードウェアレベル(2)上で動作可能であり、ここで前記第1のオペレーティングシステム(3)上で少なくとも1つの第1のアプリケーション(4)が実行可能であり、前記第2のオペレーティングシステム(6)上で少なくとも1つの第2のアプリケーション(7)が実行可能であり、ここで前記少なくとも1つの第1のアプリケーション(4)は、前記少なくとも1つの第2のアプリケーション(7)と比べて、より高い安全基準を有している、ステップと、
前記第1のオペレーティングシステム(3)が停止状態の間、前記第2のオペレーティングシステム(6)をSuspend−to−RAMモードにおいて動作させるステップと
を含んでいる
ことを特徴とする、車両システム(1,10)の動作方法。
前記方法は、
ハードウェアレベル(2)上に第1のオペレーティングシステム(3)を提供するステップと、
前記ハードウェアレベル(2)上にハイパーバイザ(5,12)を提供するステップと、
第2のオペレーティングシステム(6)を備える仮想機械を前記ハイパーバイザ(5,12)によって提供するステップであって、これによって、前記第1のオペレーティングシステム(3)と前記第2のオペレーティングシステム(6)とが並行して前記ハードウェアレベル(2)上で動作可能であり、ここで前記第1のオペレーティングシステム(3)上で少なくとも1つの第1のアプリケーション(4)が実行可能であり、前記第2のオペレーティングシステム(6)上で少なくとも1つの第2のアプリケーション(7)が実行可能であり、ここで前記少なくとも1つの第1のアプリケーション(4)は、前記少なくとも1つの第2のアプリケーション(7)と比べて、より高い安全基準を有している、ステップと、
前記第1のオペレーティングシステム(3)が停止状態の間、前記第2のオペレーティングシステム(6)をSuspend−to−RAMモードにおいて動作させるステップと
を含んでいる
ことを特徴とする、車両システム(1,10)の動作方法。
【請求項17】
前記ハードウェアレベル(2)上にハイパーバイザ(12)を提供するステップと、
前記第1のオペレーティングシステム(3)を備える第1の仮想機械を前記ハイパーバイザ(12)によって提供するステップと、
前記第2のオペレーティングシステム(6)を備える第2の仮想機械を前記ハイパーバイザ(12)によって提供するステップであって、これによって、前記第1の仮想機械と前記第2の仮想機械とが並行して前記ハードウェアレベル(2)上で動作可能であり、ここで前記第1のオペレーティングシステム(3)上で少なくとも1つの第1のアプリケーション(4)が実行可能であり、かつ前記第2のオペレーティングシステム(6)上で少なくとも1つの第2のアプリケーション(7)が実行可能であり、ここで、前記少なくとも1つの第1のアプリケーション(4)は、前記少なくとも1つの第2のアプリケーション(7)と比べて、より高い安全基準を有している、ステップと、
前記第1の仮想機械が停止状態の間、前記第2の仮想機械を前記Suspend−to−RAMモードにおいて動作させるステップと
を含んでいる、請求項16記載の方法。
前記第1のオペレーティングシステム(3)を備える第1の仮想機械を前記ハイパーバイザ(12)によって提供するステップと、
前記第2のオペレーティングシステム(6)を備える第2の仮想機械を前記ハイパーバイザ(12)によって提供するステップであって、これによって、前記第1の仮想機械と前記第2の仮想機械とが並行して前記ハードウェアレベル(2)上で動作可能であり、ここで前記第1のオペレーティングシステム(3)上で少なくとも1つの第1のアプリケーション(4)が実行可能であり、かつ前記第2のオペレーティングシステム(6)上で少なくとも1つの第2のアプリケーション(7)が実行可能であり、ここで、前記少なくとも1つの第1のアプリケーション(4)は、前記少なくとも1つの第2のアプリケーション(7)と比べて、より高い安全基準を有している、ステップと、
前記第1の仮想機械が停止状態の間、前記第2の仮想機械を前記Suspend−to−RAMモードにおいて動作させるステップと
を含んでいる、請求項16記載の方法。
【請求項18】
動作する車両システム(1,10)を提供するステップと、
前記第2のオペレーティングシステム(6)を前記Suspend−to−RAMモードに移行させ、前記第1のオペレーティングシステム(3)を終了するステップと
を含んでいる、請求項16または17記載の方法。
前記第2のオペレーティングシステム(6)を前記Suspend−to−RAMモードに移行させ、前記第1のオペレーティングシステム(3)を終了するステップと
を含んでいる、請求項16または17記載の方法。
【請求項19】
停止状態にある前記第1のオペレーティングシステム(3)を提供するステップと、
前記Suspend−to−RAMモードにある前記第2のオペレーティングシステム(6)を提供するステップと、
前記車両システム(1,10)の運転開始時に、リスタートによって前記第1のオペレーティングシステム(3)を開始するステップと、
前記車両システム(1,10)の運転開始時に、前記Suspend−to−RAMモードから前記第2のオペレーティングシステム(6)を開始するステップと
を含んでいる、請求項18記載の方法。
前記Suspend−to−RAMモードにある前記第2のオペレーティングシステム(6)を提供するステップと、
前記車両システム(1,10)の運転開始時に、リスタートによって前記第1のオペレーティングシステム(3)を開始するステップと、
前記車両システム(1,10)の運転開始時に、前記Suspend−to−RAMモードから前記第2のオペレーティングシステム(6)を開始するステップと
を含んでいる、請求項18記載の方法。
【請求項20】
動作する車両システム(1,10)を提供するステップと、
前記少なくとも1つの第2のアプリケーション(7)を前記Suspend−to−RAMモードに移行させ、前記少なくとも1つの第1のアプリケーション(4)を終了するステップと
を含んでいる、請求項16から19までのいずれか1項記載の方法。
前記少なくとも1つの第2のアプリケーション(7)を前記Suspend−to−RAMモードに移行させ、前記少なくとも1つの第1のアプリケーション(4)を終了するステップと
を含んでいる、請求項16から19までのいずれか1項記載の方法。
【請求項21】
コンピュータプログラムであって、
前記コンピュータプログラムは、請求項1から13までのいずれか1項記載の車両システム(1,10)に請求項16から20までのいずれか1項記載のステップを実行させる命令を含んでいる
コンピュータプログラム。
前記コンピュータプログラムは、請求項1から13までのいずれか1項記載の車両システム(1,10)に請求項16から20までのいずれか1項記載のステップを実行させる命令を含んでいる
コンピュータプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ハードウェアレベルと、第1のオペレーティングシステムと、第2のオペレーティングシステムを備えた仮想機械と、ハイパーバイザとを含んでいる車両システムに関する。ここで、仮想機械はハードウェアレベル上に集積されており、ハイパーバイザは、ハードウェアレベル上の仮想機械を動作させるように構成されているので、第1のオペレーティングシステムと第2のオペレーティングシステムとがハードウェアレベル上で並行して動作可能である。さらに本発明は車両、この種の車両システムの動作方法およびコンピュータプログラムに関する。
【0002】
多くの車両は、車両システムを含んでおり、これによって車両は、多数の異なるアプリケーション、例えばインフォテインメントシステム機能、例えばオーディオまたはナビゲーション機能を動作させることができる。車両システムを制御するために、CPUは標準的なオペレーティングシステム、例えばLinuxオペレーティングシステムで動作する。
【0003】
車両システムの開始時に、例えばLinuxオペレーティングシステムを開始するために、CPUは比較的長い時間を必要とする。したがって、ユーザーは、車両の開始後に所望の機器が自身の運転開始処理を終え、車両システムが使用可能になるまで、長い時間待たなくてはならない。これによって、ユーザーは例えば迅速に、バックカメラの機能または車両内の他の重要なアプリケーションを使用することができなくなる。Suspend−to−RAMモードへ車両システム全体を移行させることによって、より迅速な開始過程を実現することができる。しかし、これによって安全な動作様式が保証されなくなってしまう。
【0004】
独国特許出願公開第102014215410号明細書は、車両の車両システムを開示しており、この車両システムは、第1のプロセッサと第2のプロセッサとを備える車載計算機システムとコンピュータ読み出し可能なメモリとを含んでおり、ここで第1のプロセッサはオペレーティングシステムを実行し、第2のプロセッサは車両制御システムと接続されており、コンピュータ読み出し可能なメモリは、第1のプロセッサによって実行可能な指示を格納しており、これによって、車両がオフ状態の間、車載計算機システムが、揮発性のメモリによって、Suspendモードにおいて、スタンバイで動作させられ、選択されたイベントの前のリスタートが遂行可能か否かが確認され、選択されたイベントの前のリスタートが遂行可能であることが確認されると、車載計算機システムのリスタートが実行される。
【0005】
独国特許出願第112016001377T5号明細書は、一次CPUと、周辺機器と、二次CPUとを備える車載システムを開示しており、一次CPUは車両内に取り付けられており、汎用オペレーティングシステムで動作し、周辺機器は一次CPUによって制御され、二次CPUは、リアルタイムオペレーティングシステムで動作し、ここで二次CPUは、運転開始時に初期化処理を周辺機器上で実行し、一次CPUに周辺機器の制御を割り当てる。
【0006】
独国特許出願公開第102014224485号明細書は、車両用の車載電源網を開示しており、これは、電流源と少なくとも1つのサンプリング制御装置とを含んでおり、このサンプリング制御装置は、少なくとも1つの別の制御装置および/または少なくとも1つのスイッチングユニットの状態信号を、所定のサイクル時間で刻時してサンプリングするように構成されている。ここで車載電源網は、これが第1の動作状態、いわゆるノーマル動作状態から第2の動作状態、いわゆるスタンバイ動作状態に切り替え可能であるように構成されており、スタンバイ動作状態において、車載電源網が消費するエネルギーはノーマル動作状態の場合と比べて少ない。さらに、車載電源網は、ノーマル動作状態において、スタンバイ動作状態の場合と比べて、より短いサイクル時間で状態信号を検出するように構成されている。ここでサンプリング制御装置は、スタンバイ動作状態において、所定の交換パラメータによって自動的に、サイクル時間が、第1のスタンバイサイクル時間から第2のスタンバイクサイクル時間に変えられるように構成されている。
【0007】
独国特許出願公開第102012205301号明細書は、車両における電子的なデータ処理を制御するための計算機アーキテクチャを開示しており、これは、電子的なデータ処理を実行するための計算機装置と、少なくとも2つの仮想機械と、仮想化レイヤーとを有しており、ここで2つの仮想機械のうちの第1の仮想機械は第1のオペレーティングシステムを含んでおり、2つの仮想機械のうちの第2の仮想機械は第2のオペレーティングシステムを含んでおり、仮想化レイヤーは、第1のオペレーティングシステムと第2のオペレーティングシステムとが計算機装置上で並行して動作可能であるように構成されており、ここで第2のオペレーティングシステムは、第1のオペレーティングシステムと比べて、より高い安全性要求を満たす。
【0008】
従来技術に基づいて、本発明の1つの課題は、使用準備に対する待機時間と安全な動作様式とに関して改善されている車両システム、車両および方法を提供することである。
【0009】
上述の課題は、請求項1の特徴部分に記載されている構成を有する車両システムの記述によって、ならびに請求項14の特徴部分に記載されている構成を有する車両の記述によって解決される。さらに上述の課題は、請求項16の特徴部分に記載されている構成を有する、車両システムの動作方法の記述によって解決される。さらに上述の課題は、請求項21の特徴部分に記載されている構成を有するコンピュータプログラムの記述によって解決される。
【0010】
従属請求項には、別の有利な措置が挙げられており、これらは、さらなる利点を得るために、任意に相互に組み合わせ可能である。
【0011】
上述の課題は、車両システムの記述によって解決され、この車両システムは、ハードウェアレベルと、
第1のオペレーティングシステムと、
ハードウェアレベル上に集積されており、第2のオペレーティングシステムを備える仮想機械と、
ハイパーバイザとを有しており、ハイパーバイザは、ハードウェアレベル上の仮想機械を動作させるように構成されており、これによって第1のオペレーティングシステムと第2のオペレーティングシステムとが、ハードウェアレベル上で並行して動作可能になり、
第1のオペレーティングシステム上で、少なくとも1つの第1のアプリケーションが実行可能であり、かつ第2のオペレーティングシステム上で、少なくとも1つの第2のアプリケーションが実行可能であり、
少なくとも1つの第1のアプリケーションは、少なくとも1つの第2のアプリケーションと比べて、より高い安全基準を有しており、
第2のオペレーティングシステムは、第1のオペレーティングシステムが停止状態の間、Suspend−to−RAMモードにおいて動作させられるように構築されている。
【0012】
ハードウェアレベルは、しばしば、計算システムまたは計算ユニットとも称され、有利にはプロセッサ、メインメモリならびにインタフェースを含んでいる。
【0013】
ここでハイパーバイザは、その上に仮想機械が構成されているハードウェアレベルと仮想機械との間の抽象化レイヤーとして構成されている。実装は、純粋にハードウェアベースで行われるか、純粋にソフトウェアベースで行われるか、またはこれらの組み合わせによって行われる。ハイパーバイザは特に、仮想機械を提供し、管理するように構成されている。仮想機械は有利には、実際にハードウェア内で存在している計算機または仮説の計算機の計算機アーキテクチャを手本とする。仮想機械のオペレーティングシステムはしばしば、ゲストオペレーティングシステム(ゲストOS)とも称される。ハイパーバイザは通常、1つの物理的な計算機システム上で同時に、複数の仮想機械が動作することを可能にする。ハイパーバイザは仮想化レイヤーとも称され得る。
【0014】
ハイパーバイザはTyp0、Typ1またはTyp2のハイパーバイザとして構成されていてよく、かつ第1の仮想機械の他に、例えば別の仮想機械を提供する。
【0015】
Typ1のハイパーバイザは、直接的にハードウェアレベル上に集積されており、必要条件をすべて満たしたオペレーティングシステムを必要としない。仮想機械ならびに例えばメインメモリ、CPUである、しばしばリソースとも称される動作手段のその割り当ては、動的に最小のオペレーティングシステムによってサポートされる、またはオペレーティングシステムによって全くサポートされない。Typ1のハイパーバイザの代表は、とりわけ、Microsoft Hyper−VまたはCitrix XenServerであり、または組み込みシステムの場合には、Sysgos PikeOS、Green Hills Integrity、Freescales Topazである。ハイパーバイザは、複数の仮想機械が同時にハードウェアレベル上で実行可能であるように構築されている。
【0016】
Typ2のハイパーバイザは、必要条件をすべて満たしたメインオペレーティングシステム内に集積される。これは、仮想機械によって要求された動作手段の最終的な割り当てを担う。Typ2のハイパーバイザは、ここから出発して、仮想機械をコントロールする。既知の代表は、VMware Worksation、VirtualBoxまたはLinux Kernel−based Virtual Machine(KVM)である。
【0017】
Typ0のハイパーバイザは、サポートするオペレーティングシステムを伴わずに、直接的に、ハードウェアレベル上に集積される。
【0018】
高い安全基準を伴う、安全に関連する第1の機能もしくはアプリケーションは、例えば、インストルメント・クラスタアプリケーション、例えば車両における監視機能および制御機能である。クリチカルでない第2のアプリケーション、すなわち、比較的低い安全基準を伴うアプリケーションは、例えば、インフォテインメントシステムアプリケーションによって得られる。インフォテインメントシステムアプリケーションはここで、インフォテインメントシステムの機能に関する。インフォテインメントシステムは例えばカーラジオもしくはマルチメディアシステム、ナビゲーションシステムおよびハンズフリー通話装置を含んでいる。
【0019】
この種のインフォテインメントシステムは通常、NANDメモリユニットを有しており、このNANDメモリユニットは、複雑な起動プロセスを必要とする。
【0020】
高い安全基準もしくは低い安全基準を伴うアプリケーションへの分割は、例えばISO26262(「Road vehicles − Functional safety」)、自動車における安全に関連する電気的/電子的なシステムに対するISO規格を用いて行われ得る。
【0021】
本発明では、車両システム全体へのSuspend−to−RAMモードの適用は危険であることが識別されている。なぜなら、開始の失敗の確率または定義されていない開始の確率が極めて高いからである。ハードウェアレベルのハードウェア、例えばメモリおよびオペレーティングシステムが永続的にオンにされている状態によって、メモリリークおよびメモリフラグメンテーションが、車両システムの動作に決定的に影響を与えないことが保証される。
【0022】
車両システム全体をSuspend−to−RAMモードに移行させる代わりに、システムは次のように区分される。すなわち、第1のオペレーティングシステムが停止状態の間、第2のオペレーティングシステムが、Suspend−to−RAMモードにおいて動作させられるように構築されているように区分される。ここで、第1のオペレーティングシステム上で少なくとも1つの第1のアプリケーションが実行可能であり、第2のオペレーティングシステム上で少なくとも1つの第2のアプリケーションが実行可能であり、少なくとも1つの第1のアプリケーションは、少なくとも1つの第2のアプリケーションと比べて、より高い安全基準を有している。
【0023】
すなわち、システムのクリチカルでない部分だけが、Suspend−to−RAMモードに移行させられる。システムのクリチカルな部分は、リスタートされ、これによって、安全な起動および安全な動作が保証される。
【0024】
これによって、特に、その上で、安全に関してクリチカルなアプリケーションが実行されるオペレーティングシステムのロバスト性および迅速な利用可能性が保証され、また、クリチカルでないアプリケーションを伴う、安全に関してクリチカルでないオペレーティングシステムは、Suspend−to−RAMモードによって迅速に利用可能になる。これによって、一方では、車両システムの迅速な利用可能性が保証され、他方では、車両システムの安全な動作が保証される。
【0025】
車両システムの電流消費は最小化される。
【0026】
有利には、第1のオペレーティングシステムは、第2のオペレーティングシステムと比べて、より高い安全基準を有している。したがって第1のオペレーティングシステムは、認証可能な、リアルタイム対応の、迅速に起動する、安全に関してクリチカルな機能/アプリケーションに対する第1のオペレーティングシステムとして構成されていてよい。第1のオペレーティングシステムは、例えば、AUTOSAR(AUTomotive Open System ARchitecture)オペレーティングシステムとして構成されていてよい。ここでAUTOSARは、電子的な制御機器に対するソフトウェアアーキテクチャである。さらに、第1のオペレーティングシステムは例えば、PikeOSとして構成されていてよい。これはリアルタイムオペレーティングシステムであり、分離カーネルに基づく、複数のパーティションタイプを有するハイパーバイザを、多数の別のオペレーティングシステムに対して提供する。PikeOSリアルタイムオペレーティングシステムは、認証要求を伴う、安全に関してクリチカルなアプリケーションのために構成されたものである。この種のオペレーティングシステムの他の例はQNXであり、これは所有権を主張できる、POSIX対応のUnix系のリアルタイムオペレーティングシステムである。
【0027】
クリチカルでない機能/アプリケーションに対する第2のオペレーティングシステムは例えば、ハイレベルOS(オペレーティングシステム)として構成されている。第2のオペレーティングシステムは例えば、Linuxオペレーティングシステム、Geniviオペレーティングシステム、WindowsオペレーティングシステムまたはAndroidオペレーティングシステムであってよい。
【0028】
有利には、車両システムの運転開始時には、第1のオペレーティングシステムのリスタートおよび第2のオペレーティングシステムのSuspend−to−RAMモードからの起動が実行可能である。
【0029】
有利には、車両システムは、少なくとも1つの第1のアプリケーションおよび少なくとも1つの第2のアプリケーションを含んでおり、ここで、少なくとも1つの第2のアプリケーションがSuspend−to−RAMモードにあるときには、少なくとも1つの第1のアプリケーションは停止状態にある。
【0030】
これによって、有利には、車両システムの運転開始時に、少なくとも1つの第1のアプリケーションのリスタートと、少なくとも1つの第2のアプリケーションのSuspend−to−RAMモードからの起動とが実行可能である。これによって、安全に関してクリチカルな第1の1つ/複数のアプリケーションの安全な実行およびクリチカルでない第2の1つ/複数のアプリケーションの迅速な実行が行われる。
【0031】
有利な構成では、ハイパーバイザは、車両システムの運転休止時にオフされ、車両システムの運転開始時にリスタートされるように構築されている。これによって、ハイパーバイザの安全な動作様式が保証され得る。
【0032】
有利には、ハードウェアレベルは、System−on−Chip(SoC)として構成されている。有利にはSystem−on−Chipは、少なくとも1つのマイクロプロセッサと、メインメモリと、インタフェースと、バスとを含んでいる。System−on−Chipとは、実質的に、プログラミング可能な電子システムのすべての機能または機能の大部分が、1つのチップ、すなわち半導体基板上の集積回路上に組み込まれていることである。これは、モノリシック集積化とも称される。
【0033】
有利には、ハードウェアレベルは、動作手段を有しており、ここでハイパーバイザは、第1のオペレーティングシステムと第2のオペレーティングシステムとが相互に無関係に動作可能であるように、動作手段を第1のオペレーティングシステム上および第2のオペレーティングシステム上に分配するように構築されている。有利にはハイパーバイザは、次のように構築されている。すなわち、複数の動作手段のうちの少なくとも1つの動作手段の区分が実行されるように構築されている。これは、ハイパーバイザが、少なくとも1つの動作手段の第1の部分領域を第1のオペレーティングシステムに割り当て、少なくとも1つの動作手段の第2の部分領域を第2のオペレーティングシステムに割り当てることによって行われる。さらに、有利には、ハイパーバイザは次のように構築されている。すなわち、少なくとも1つの第1のアプリケーションおよび少なくとも1つの第2のアプリケーションを、ハードウェアレベル上の第1および第2のオペレーティングシステムパーティションにおいて提供するように構築されている。これによって、2つのオペレーティングシステムは同じハードウェアレベル上で動作可能である。これによって、安全に関してクリチカルなアプリケーションとクリチカルでないアプリケーションとが同じハードウェアを利用することができる。
【0034】
有利には、車両システムは、第1のオペレーティングシステムを備える第1の仮想機械と、第2のオペレーティングシステムを備える第2の仮想機械とを含んでおり、ここで第1の仮想機械および第2の仮想機械はハードウェアレベル上に集積されており、これによって、第1の仮想機械と第2の仮想機械とが並行してハードウェアレベル上で動作可能であり、ここで第1のオペレーティングシステム上で少なくとも1つの第1のアプリケーションが実行可能であり、第2のオペレーティングシステム上で少なくとも1つの第2のアプリケーションが実行可能であり、ここで、少なくとも1つの第1のアプリケーションは少なくとも1つの第2のアプリケーションと比べて、より高い安全基準を有している。車両システムは、ハイパーバイザを含んでおり、これは、第1の仮想機械と第2の仮想機械とがハードウェアレベル上で動作するように構成されており、ここで第2の仮想機械は、第1の仮想機械が停止状態の間、Suspend−to−RAMモードにおいて動作させられるように構成されている。
【0035】
ここではとりわけ、Typ1またはTyp0のハイパーバイザが使用される。これによって、マルチコアプロセッサの効率的な利用が可能になる。マルチコアは、異なる仮想機械に割り当て可能である。
【0036】
有利には、ハードウェアレベルは、少なくとも1つの動作手段を含んでおり、ここでハイパーバイザは、次のように構築されている。すなわち、複数の動作手段のうちの少なくとも1つの動作手段の区分が実行されるように構築されている。これは、ハイパーバイザが、少なくとも1つの動作手段の第1の部分領域を第1の仮想機械に割り当て、少なくとも1つの動作手段の第2の部分領域を第2の仮想機械に割り当てることによって行われる。これによって、2つの仮想機械が容易に、相互に並行して動作可能になる。
【0037】
別の有利な構成では、車両システムの運転開始時に、第1の仮想機械の第1のオペレーティングシステムのリスタートと、第2の仮想機械の第2のオペレーティングシステムのSuspend−to−RAMモードからの起動とが実行可能である。
【0038】
さらに上述の課題は、上述したような車両システムを有している車両の記述によって解決される。有利な構成では、車両システムは少なくとも1つのコンポーネントを有しており、ここでこの車両システムは、車両システムが少なくとも1つのコンポーネントと通信するためのインタフェースを有している。これらのコンポーネントは、例えば、インフォテインメントシステムまたはドライバーカメラであってよい。
【0039】
さらに、上述の課題は、車両システムの動作方法の記述によって解決され、この方法は、・ハードウェアレベル上に第1のオペレーティングシステムを提供するステップと、
・ハードウェアレベル上にハイパーバイザを提供するステップと、
・第2のオペレーティングシステムを備える仮想機械をハイパーバイザによって提供するステップであって、これによって、第1のオペレーティングシステムと第2のオペレーティングシステムとが並行してハードウェアレベル上で動作可能であり、ここで第1のオペレーティングシステム上で少なくとも1つの第1のアプリケーションが実行可能であり、第2のオペレーティングシステム上で少なくとも1つの第2のアプリケーションが実行可能であり、ここで少なくとも1つの第1のアプリケーションは、少なくとも1つの第2のアプリケーションと比べて、より高い安全基準を有している、ステップと、
・第1のオペレーティングシステムが停止状態の間、第2のオペレーティングシステムをSuspend−to−RAMモードにおいて動作させるステップと
を含んでいる。
【0040】
車両システムのこれらの利点は、方法にも転用可能である。
【0041】
有利には、この方法は、・ハードウェアレベル上にハイパーバイザを提供するステップと、
・第1のオペレーティングシステムを備える第1の仮想機械をハイパーバイザによって提供するステップと、
・第2のオペレーティングシステムを備える第2の仮想機械をハイパーバイザによって提供するステップであって、これによって、第1の仮想機械と第2の仮想機械とが並行してハードウェアレベル上で動作可能であり、ここで第1のオペレーティングシステム上で少なくとも1つの第1のアプリケーションが実行可能であり、第2のオペレーティングシステム上で少なくとも1つの第2のアプリケーションが実行可能であり、ここで、少なくとも1つの第1のアプリケーションは、少なくとも1つの第2のアプリケーションと比べて、より高い安全基準を有している、ステップと、
・第1の仮想機械が停止状態の間、第2の仮想機械をSuspend−to−RAMモードにおいて動作させるステップと
を含んでいる。
【0042】
有利には、この方法は、さらに、・動作する車両システムを提供するステップと、
・第2のオペレーティングシステムをSuspend−to−RAMモードに移行させ、第1のオペレーティングシステムを終了するステップと
を含んでいる。
【0043】
有利にはこの方法はさらに、・動作する車両システムを提供するステップと、
・第2のオペレーティングシステムをSuspend−to−RAMモードに移行させ、第1のオペレーティングシステムを終了するステップと、
・ハイパーバイザを終了し、停止するステップと
を含んでいる。
【0044】
別の有利な構成では、この方法はさらに、・停止状態にある第1のオペレーティングシステムを提供するステップと、
・Suspend−to−RAMモードにある第2のオペレーティングシステムを提供するステップと、
・車両システムの運転開始時に、リスタートによって第1のオペレーティングシステムを開始するステップと、
・車両システムの運転開始時に、Suspend−to−RAMモードから第2のオペレーティングシステムを開始するステップと
を含んでいる。
【0045】
別の有利な構成では、この方法はさらに、・動作する車両システムを提供するステップと、
・少なくとも1つの第1のアプリケーションを終了し、少なくとも1つの第2のアプリケーションをSuspend−to−RAMモードに移行させるステップと
を含んでいる。
【0046】
有利には、ハードウェアレベルの少なくとも1つの動作手段の区分は、ハイパーバイザによって、少なくとも1つの動作手段の第1の部分領域を第1のオペレーティングシステムに割り当て、少なくとも1つの動作手段の第2の部分領域を第2のオペレーティングシステムに割り当てることによって行われる。
【0047】
有利にはこの方法は、上述した車両システム上で実施されるように構成されている。
【0048】
さらに、上述の課題は、コンピュータプログラムの記述によって解決され、このコンピュータプログラムは、上述した車両システムに上述したステップを実行させる命令を含んでいる。これによって、この方法を後からでも容易に、これに適した車両内にインストールすることができる。
【0049】
本発明の別の特徴、特性および利点は、添付の図面を参照した後続の説明から明らかになる。
【図面の簡単な説明】
【0050】
【図1】従来技術による第1の車両システム
【図2】従来技術による第2の車両システム
【図3】従来技術による第3の車両システム
【図4】従来技術による起動方法
【図5】第1の本発明の車両システム
【図6】第2の本発明の車両システム
【図7】本発明の起動方法
【0051】
本発明を詳細に、有利な実施例によって図示し、説明するが、本発明は開示される例に制限されない。当業者は、後続の特許請求の範囲によって規定されている本発明の保護範囲を逸脱することなく、本発明の変形を導出することができる。
【0052】
図1は、従来技術による車両システム100を示している。車両内で使用される車両システム100は、第1のオペレーティングシステム102を有する第1のハードウェアレベル101を含んでいる。第1のオペレーティングシステム102は、第1の安全に関してクリチカルな機能/アプリケーション103用に、すなわち、車両内で高い安全基準を有するアプリケーション用に構成されている。
【0053】
さらに、車両システム100は、第2のオペレーティングシステム112を備える第2のハードウェアレベル111を含んでいる。第2のオペレーティングシステム112は、第2のクリチカルでない機能/アプリケーション113用に、すなわち、車両内で低い安全基準を有するアプリケーション用に構成されている。
【0054】
各ハードウェアレベル101、111は、ここで有利には、少なくとも1つのマイクロプロセッサ、Bios、メインメモリ(RAM)および/またはフラッシュメモリ、クロックジェネレータならびに種々のインタフェースおよび複数のバスを含んでいる。
【0055】
さらにハードウェアレベル101、111は、例えばフラッシュメモリまたはOTPメモリとしての起動メモリユニットもしくはブートROMメモリを有しており、ここには、起動プロセスを担当するプログラム要素が格納されている。
【0056】
ハードウェアレベル101、111は相互に物理的に別個にされており、例えば、これらは異なる集積回路上にある。
【0057】
ここで第1のオペレーティングシステム102は、安全に関してクリチカルな機能もしくは安全に関してクリチカルなアプリケーション103用に構成されており、第2のオペレーティングシステム112は、クリチカルでない機能もしくはクリチカルでないアプリケーション113用に構成されている。
【0058】
第2のハードウェアレベル111は、クリチカルでない機能/アプリケーション113用の第2のオペレーティングシステム112としてハイレベルOS(オペレーティングシステム)を有している。第2のオペレーティングシステム112は例えば、Linux、Genivi、WindowsまたはAndroidであってよい。クリチカルでない機能は例えば、車両インフォテインメントシステムによって提供されている。車両インフォテインメントシステムは、ここでカーラジオもしくはマルチメディアシステム、ナビゲーションシステムおよび/またはハンズフリー通話装置用の機能を有し得る。
【0059】
この種の車両インフォテインメントシステムは通常、複雑な起動プロセスを必要とするNANDメモリユニットを有している。
【0060】
第1のハードウェアレベル101は、第1のオペレーティングシステム102として、安全に関してクリチカルな機能/アプリケーション103用の認証可能な、リアルタイム対応の、迅速に起動する、第1のオペレーティングシステム102を有している。
【0061】
オペレーティングシステム102、112およびそのアプリケーション103、113はこれによって、相互に無関係に実行される。すなわち、オペレーティングシステム102、112は相互に無関係に動作させられ、さらに運転休止される。
【0062】
車両システム100の起動は、以下のように行われる:全体的な車両システム100、すなわちすべての2つのオペレーティングシステム102、112がリスタートされ、初期化される。すべての、独立したオペレーティングシステム102、112に対して起動性能が最適化される。
【0063】
図2は、従来技術による車両システム200の別の例を示している。車両システム200は、その上にハイパーバイザ(仮想化レイヤー)202が載置された、ハードウェアレベル201を有している。ハイパーバイザは、ハードウェアレベル201上に少なくとも2つの仮想機械を設ける。ここで第1の仮想機械は、安全に関してクリチカルな第1のアプリケーション103用の第1のオペレーティングシステム102を含んでいる。第1のオペレーティングシステム102は、上述したように、認証可能な、リアルタイム対応の、迅速に起動する第1のオペレーティングシステム102として構成されていてよい。第1のオペレーティングシステム102は、例えば、AUTOSAR(AUTomotive Open System ARchitecture)であってよい。ここでAUTOSARは、電子的な制御機器に対するソフトウェアアーキテクチャである。代替的に、第1のオペレーティングシステム102はPikeOSとして構成されていてよい。これは、リアルタイムオペレーティングシステムである。PikeOSリアルタイムオペレーティングシステムは、認証要求を伴う、安全に関してクリチカルな第1のアプリケーション103のために実現されたものである。さらに、第1の仮想機械は、I/Oドライバならびにリアルタイムスケジューラを含んでいてよい。さらに、第1の仮想機械上で、安全に関してクリチカルな第1のアプリケーション103が実行可能である。これは、例えば、比較的高い安全基準を備えたインストルメント・クラスタアプリケーションであり得る。
【0064】
第2の仮想機械は、クリチカルでない第2のアプリケーション113用の第2のオペレーティングシステム112を有している。これは、例えばハイレベルOS(オペレーティングシステム)、特に例えばLinux、Genivi、WindowsまたはAndroidである。さらに、第2の仮想機械は、同様に、I/Oドライバならびにスケジューラを含んでいてよい。クリチカルでない第2のアプリケーション113は、例えば、低い安全基準を備えるインフォテインメントアプリケーションであってよい。ハイパーバイザ202によって、仮想機械ひいては2つのオペレーティングシステム102、112は、相互にも、車両システム200のハードウェアレベル201からも分離され得る。このために、Typ1またはTyp0のハイパーバイザが使用される。
【0065】
車両の停止時には、車両システム200全体が、RAM(データメモリ)におけるSuspend−to−RAMモード(STR)にされる。このようなSuspend−to−RAMモードは、Standbyモード(スリープモード)とも称される。これによって、車両システム200の迅速な利用可能性が得られる。
【0066】
図3は、従来技術による別の車両システム300を示している。ここでは、ハードウェアレベル201が設けられており、この上に、第1の安全に関してクリチカルなアプリケーション103用の第1のオペレーティングシステム102が直接的に集積されている。第1のオペレーティングシステム102は、上述したように、認証可能な、リアルタイム対応の、迅速に起動する第1のオペレーティングシステム102として構成され得る。
【0067】
車両システム300は、ハイパーバイザ301を含んでおり、このハイパーバイザは次のように構築されている。すなわち、ハイパーバイザ301によって、ハードウェアレベル201上に設けられた、第2のクリチカルでないアプリケーション113用の第2のオペレーティングシステム112を有している仮想機械が、同時に、ハードウェアレベル201上で実行可能であるように構築されている。第1のオペレーティングシステム102はここで、この仮想機械を作成することができ、この仮想機械の上に第2のオペレーティングシステム112がホストされる。第1のオペレーティングシステム102は、この種の仮想機械を、例えば、API(アプリケーションプログラミングインタフェース)を用いて作成することができる。これは例えば、Hypercall−API(ハイパーコールAPI)である。このために、Typ2のハイパーバイザが使用される。この種のTyp2のハイパーバイザは、必要条件をすべて満たした、メインオペレーティングシステム内に集積される。このメインオペレーティングシステムは、仮想機械によって要求される、CPU等の動作手段の最終的な割り当てを担う。ハイパーバイザは、これに基づいて、仮想機械をコントロールする。既知の代表はVMware Workstation、VirtualBoxまたはLinux Kernel−based Virtual Machine(KVM)である。
【0068】
したがって従来技術による車両システム200、300は、1つのメモリを伴う同じハードウェアレベル201上で動作する。しかし各アプリケーションは異なるオペレーティングシステムにおいて実行される。すなわち、ASIL(Automotive Safety Integrity Level:安全性要求レベル)認定オペレーティングシステム(OS)、ここでは第1のオペレーティングシステム102上のクリチカルな第1のアプリケーション103、およびハイレベルオペレーティングシステム(OS)、ここでは第2のオペレーティングシステム112、例えば、Android/Linux/Windows上のクリチカルでない第2のアプリケーション113であり、ここで分離は、ハイパーバイザ202、301によって保証される。
【0069】
車両の停止時に、車両システム200、300全体が、RAM(データメモリ)におけるSuspend−to−RAMモード(STR)にされる。
【0070】
図4は、従来技術による、車両システム300の起動方法を示している。
【0071】
すべてのオペレーティングシステム102、112およびアプリケーション103、113ならびにハイパーバイザは、RAMにおけるSuspend−to−RAMモードから取り出される。
【0072】
第1のステップS1では、ステップS0のもとで提供されたハードウェア201上の第1のオペレーティングシステム102が、ハードウェアがSuspend−to−RAMモードにおいて待機しているRAMから開始される。第1のオペレーティングシステム102は例えば、AUTOSAR(AUTomotive Open System ARchitecture)、PikeOS、QNX Integrityとして構成されていてよい。
【0073】
第2のステップS2では、第1のオペレーティングシステム102上で、RAMにおいてSuspend−to−RAMモードにおいて格納されている、安全に関してクリチカルなアプリケーション103が開始される。高い安全基準/安全要求を備えるアプリケーションは例えばインストルメント・クラスタアプリケーションである。これらは、有利には、複合インストルメントに割り当てられる。
【0074】
第3のステップS3では、RAMにおいてSuspend−to−RAMモードにおいて格納されている、ハイパーバイザ301が開始される。このハイパーバイザは、仮想機械をハードウェアレベル201上に設ける。ハイパーバイザ301はここでは有利には、第1のオペレーティングシステム102内に集積されている、Typ2のハイパーバイザとして構成されている。これは、ハードウェアレベル201の動作手段、CPU等の割り当てを担う。したがってハイパーバイザ301は、動作手段(リソース)を仮想機械に対して割り当てる。これは動作手段を次のように分配する。すなわち、オペレーティングシステムが1つだけしか存在しないかのように、必要な場合には第2のオペレーティングシステム112に対してすべてのリソースが利用可能であるように分配する。
【0075】
次に、第4のステップS4において、ハードウェアレベル201上で、仮想機械において動作させられる第2のオペレーティングシステム112、すなわちハイレベルオペレーティングシステム、例えばLinux、Windows、Androidがハイパーバイザ301によって開始される。第2のオペレーティングシステム112は、Suspend−to−RAMモードにおいて格納されているRAMから開始される。
【0076】
第1のオペレーティングシステム102と第2のオペレーティングシステム112とが相互に分離され、並行して、並んで実行されるように、ハイパーバイザ301は構成されている。ハイパーバイザ301によって、クリチカルでない第2のアプリケーション113が、固有のオペレーティングシステムパーティションにおいて、ハードウェアレベル201上に集積される。
【0077】
第5のステップS5において、RAMにおいて、Suspend−to−RAMモードにおいて格納されているクリチカルでない第2のアプリケーション113が開始される。これは例えば、インフォテインメントアプリケーションに属する。
【0078】
したがって、車両システム300全体が、Suspend−to−RAMモードにおいて格納されている、システム全体に及ぶRAMからの起動のために開始される。
【0079】
しかし、安全に関してクリチカルなアプリケーション103およびそれに属するオペレーティングシステム102へのSuspend−to−RAMモードの適用が危険であることが判明している。なぜなら、開始の失敗の確率または定義されていない開始の確率が極めて高いからである。車両システム300の永続的にオンにされている状態、例えばメモリの永続的にオンにされている状態によって、メモリリークおよびメモリフラグメンテーションが、車両システム300の動作に決定的に影響を与えないことが保証される。車両システム300全体にSuspend−to−RAMモードを適用することによって、クリチカルな第1のアプリケーション103の信頼性も、クリチカルでない第2のアプリケーション113の信頼性も脅かされる。
【0080】
RAMの内容が起動後に、すなわち、例えば車両および車両システム200、300の開始によって欠陥を有するという危険があり、これによって、車両システム300全体が機能しなくなることがある。さらに、起動から起動へと、メモリリークおよびメモリフラグメンテーションの問題が積み重なる。
【0081】
同じことが、従来技術の車両システム200に当てはまる。
【0082】
図5は、本発明の車両システム1を示している。車両システム1は、ハードウェアレベル2を含んでいる。これは、有利には少なくとも1つのマイクロプロセッサ、メインメモリ(RAM)およびフラッシュメモリ、クロックジェネレータならびに種々のインタフェースおよび複数のバスを含んでいる。さらに、ハードウェアレベル2は、第1のオペレーティングシステム3を含んでいる。第1のオペレーティングシステム3は有利には、認証可能な、リアルタイム対応の、迅速に起動する、Automotive Safety Integrity Level(ASIL)の第1のオペレーティングシステム3として構成されている。第1のオペレーティングシステム3は、有利には、自動車内の安全に関連する電気的な/電子的なアプリケーションに対するISO規格(「Road vehicles−Functional safety」)に関して選択される。第1のオペレーティングシステム3上では、有利には、安全に関してクリチカルな、第1のアプリケーション4が実行される。これらは有利には、インストルメント・クラスタアプリケーションとして構成されており、有利には複合インストルメントに割り当てられている。
【0083】
さらに、車両システム1は、仮想機械を設けるハイパーバイザ5を含んでいる。ハイパーバイザ5は有利には、Typ2のハイパーバイザとして構成されている。この種のTyp2のハイパーバイザは、必要条件をすべて満たしたメインオペレーティングシステム内に集積されている。これは、仮想機械によって要求される、例えばCPU等の動作手段の最終的な割り当てを担う。ハイパーバイザ5は、これに基づいて、仮想機械をコントロールする。既知の代表はVMware Workstation、VirtualBoxまたはLinux Kernel−based Virtual Machine(KVM)である。
【0084】
ハイパーバイザ5は第2のオペレーティングシステム6を備える仮想機械をハードウェアレベル2上に設ける。ここで第1のオペレーティングシステム3上で、第1のアプリケーション4が実行され、第2のオペレーティングシステム6上で第2のアプリケーション7が実行され、ここで第1の、安全に関してクリチカルなアプリケーション4は、第2の、クリチカルでないアプリケーション7と比べて、より高い安全基準を有している。第2の、クリチカルでないアプリケーション7はここで、車両インフォテインメントシステムに割り当てられてよい。
【0085】
これは、第1の、安全に関連するアプリケーション4も、第2の、クリチカルでないアプリケーション7も、ハードウェアレベル2上で、1つの共通のメモリによって実行されることを意味している。ハードウェアレベル2は有利には、マルチコアプロセッサ、すなわち高性能マルチコアシステムを備えるSystem−on−Chip(SoC)として構成されている。
【0086】
ここで第2のオペレーティングシステム6は、第1のオペレーティングシステム3が停止状態の間、Suspend−to−RAMモードにおいて動作させられるように構成されている。
【0087】
車両システム1全体をSuspend−to−RAMモードにする代わりに、車両システム1は、ハイパーバイザ5を用いて次のように区分される。すなわち、クリチカルでないアプリケーション7を備える第2のオペレーティングシステム6を含んでいる、車両システム1の第2の部分9だけが、Suspend−to−RAMモードに移行させられるように区分される。第1の、安全に関連するアプリケーション4およびハイパーバイザ5を備える第1のオペレーティングシステム3を含んでいる、車両システム1の第1の部分8は、リスタートされる。
【0088】
したがって、本発明の車両システム1全体の起動を安全かつ迅速に行うことができる。
【0089】
したがって、第1の、安全に関連するアプリケーション4のロバスト性も、第2のアプリケーション7の迅速な利用可能性も保証される。第2のオペレーティングシステム6の第2のアプリケーション7、例えばインフォテインメント機能はクリチカルではない。すべてのオペレーティングシステム、すなわち第1のオペレーティングシステム3も第2のオペレーティングシステム6も、自身のアプリケーション4、7とともに、本発明の車両システム1において迅速に利用可能である。
【0090】
図6は、別の本発明の車両システム10を示している。これは同様に、ハードウェアレベル2を含んでいる。さらにハードウェアレベル2上に、ハイパーバイザ12が載置されている。ハイパーバイザ12は、Typ1またはTyp0のハイパーバイザとして構成されている。Typ1のハイパーバイザは直接的に、ハードウェア上に集積され、必要条件をすべて満たしたオペレーティングシステムを必要としない、またはオペレーティングシステムを全く必要としない。仮想機械ならびにリソース(動作手段、例えばメインメモリ)のその割り当ては、動的に、最小のオペレーティングシステムによってサポートされる、またはオペレーティングシステムによって全くサポートされない。代表は、とりわけ、Microsoft Hyper−VまたはCitrix XenServerであり、または組み込みシステムの場合には、Sysgos PikeOS、Green Hills Integrity、Freescales Topazである。
【0091】
ハイパーバイザ12は、第1のオペレーティングシステム3を伴う第1の仮想機械を設ける。第1のオペレーティングシステム3は、上述したように、認証可能な、リアルタイム対応の、迅速に起動するAutomotive Safety Integrity Level(ASIL)の第1のオペレーティングシステム3として構成されていてよい。第1のオペレーティングシステム3上では、第1の、安全に関してクリチカルなアプリケーション4が実行される。
【0092】
ハイパーバイザ12は、第2のオペレーティングシステム6を伴う第2の仮想機械を設ける。この上では、第2の、クリチカルでないアプリケーション7が実行される。
【0093】
車両システム10全体をSuspend−to−RAMモードに移行させる代わりに、車両システム10は、ハイパーバイザ12を用いて次のように区分される。すなわち、第2の仮想機械を含んでいる、車両システム10の第2の部分18だけが、Suspend−to−RAMモードに移行させられるように区分される。安全に関連するアプリケーション4およびハイパーバイザ12を備える第1のオペレーティングシステム3を含んでいる、車両システム10の第1の部分17は、リスタートされる。
【0094】
図7は、本発明の車両システム1(図5)に対する本発明の起動プロセスを示している。ここでは、ステップA0において、ハードウェアレベル2(図5)が提供される。
【0095】
はじめに、車両システム1(図5)の第1の部分8(図5)が、いわゆるコールドブートによってリスタートされる。コールドブートでは、車両システムは、停止されている状態から開始され、通常の動作状態に移行させられる。
【0096】
このために、ステップA1において、まずは、第1のオペレーティングシステム3(図5)がリスタートされる。
【0097】
次に第2のステップA2において、ハイパーバイザ5(図5)がリスタートされる。これは、仮想機械をハードウェアレベル2(図5)上に設ける。
【0098】
次にステップA3において、安全に関してクリチカルなアプリケーション4(図5)がリスタートされる。
【0099】
次に、車両システム1(図5)の第2の部分9が、いわゆるウォームブートによって開始される。ここでは、機能/アプリケーションがSuspend−to−RAMモードから取り出される。
【0100】
ステップA4ではこのためにまずは、第2のオペレーティングシステム6がSuspend−to−RAMモードから取り出される。
【0101】
次のステップA5では、次に、クリチカルでないアプリケーション7が開始され、第2のオペレーティングシステム6上で実行される。
【0102】
本発明は、安全に関連するアプリケーションと安全に関連しないアプリケーションとがハイパーバイザ環境で実行されるすべての領域で使用可能である。
【符号の説明】
【0103】
100 従来技術による車両システム101 車両システム100のハードウェアレベル
102 車両システム100の第1のオペレーティングシステム
111 車両システム100の第2のハードウェアレベル
112 車両システム100の第2のオペレーティングシステム
103 車両システム100の第1のアプリケーション
113 車両システム100の第2のアプリケーション
200 従来技術による車両システム200
201 車両システム200のハードウェアレベル201
202 車両システム200のハイパーバイザ
300 従来技術による車両システム
301 車両システム300のハイパーバイザ
1 車両システム
2 ハードウェアレベル
3 第1のオペレーティングシステム
4 安全に関連するアプリケーション
5 ハイパーバイザ
6 第2のオペレーティングシステム
7 第2の、クリチカルでないアプリケーション
8 第1の部分
9 第2の部分
10 本発明の第2の車両システム
12 ハイパーバイザ
17 第1の部分
18 第2の部分
S,A ステップ