[go: up one dir, main page]

WO2025228817A1 - Method for loading the operating system on a control device - Google Patents

Method for loading the operating system on a control device

Info

Publication number
WO2025228817A1
WO2025228817A1 PCT/EP2025/061359 EP2025061359W WO2025228817A1 WO 2025228817 A1 WO2025228817 A1 WO 2025228817A1 EP 2025061359 W EP2025061359 W EP 2025061359W WO 2025228817 A1 WO2025228817 A1 WO 2025228817A1
Authority
WO
WIPO (PCT)
Prior art keywords
bootloader
control unit
operating system
bank
storage medium
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
PCT/EP2025/061359
Other languages
German (de)
French (fr)
Inventor
Markus Fislage
Pavan KUMAR NAGABHUSHANA
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of WO2025228817A1 publication Critical patent/WO2025228817A1/en
Pending legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot

Definitions

  • the invention relates to a method for loading the operating system onto a control unit.
  • US patent 7237121B2 discloses how to load a bootloader from internal RAM or an external source into the read-only memory (ROM) of a digital device and execute it there.
  • the bootloader is a sequence of instructions for system initialization.
  • the bootloader only activates software that is encrypted and authenticated.
  • US Patent 7,313,705 B2 also describes storing and executing the bootloader in a computer's ROM.
  • the bootloader sequence is executed by the central processing unit (CPU), after which the operating system software is loaded from a hard drive into the system program memory and executed.
  • CPU central processing unit
  • US patent 2020/0065082 A1 describes a dual-bank configuration in a computer where the bootloader is also started from ROM. The bootloader is digitally signed and is only loaded after the signature has been verified.
  • the invention describes a method for loading the operating system onto a control unit using a bootloader.
  • the control unit is preferably a control unit in a vehicle, for example, an airbag control unit or another type of control unit, preferably in a vehicle, which can be used to control an electronic component in the vehicle.
  • the bootloader which loads the operating system onto the control unit, is stored on a storage medium that is internal to the device, i.e., located within the control unit, but is arranged outside of a controller or microcontroller of the control unit. From this storage medium, the bootloader is loaded into the electronic internal working memory (RAM) of the control unit and executed exclusively in RAM to load the operating system.
  • RAM electronic internal working memory
  • This approach has the advantage that the read-only memory (ROM) in the control unit is not burdened with the bootloader, thus freeing up a larger portion of the ROM's available memory.
  • the ROM remains free of the bootloader.
  • bootloader software updates can be performed without problems, since the downloaded data does not need to be written to an active flash bank, but rather to the storage medium where the bootloader is stored.
  • the storage medium from which the bootloader is loaded into RAM is a NOR memory.
  • NOR memory This is a flash memory manufactured using NOR technology and is typically connected to the controller's bus system in the control unit. Alternatively, other storage media located outside the control unit's controller but communicating with it can also be used.
  • the bootloader undergoes verification in RAM before execution.
  • the bootloader software is protected by a checksum, signature, or similar mechanism, which can be used for verification. In the case of a checksum, this can be stored in secure memory within the microcontroller, thus preventing analysis of this data by accessing external memory. Verification is performed in RAM before each execution. Furthermore, verification can also be performed during a firmware over-the-air (FOTA) update.
  • FOTA firmware over-the-air
  • the method according to the invention can be applied, in particular, in a control unit with a non-dual system.
  • the control unit can be equipped with a dual-bank system, wherein each bank of the dual-bank system is assigned its own bootloader. Both bootloaders can be stored on the same storage medium and loaded from this storage medium into RAM and executed there.
  • each bank of the dual-bank system is advantageously provided with updated operating system software, whereas the bootloader software is updated on the external storage medium assigned to the bootloader.
  • an updated bootloader is available for at least one bank of the dual-bank system, preferably for both banks of the dual-bank system.
  • the bootloader for the currently active bank is selected using a boot manager.
  • the boot manager loads the desired bootloader from the storage medium located internally within the control unit, but outside the microcontroller, into RAM.
  • the boot manager itself can optionally be stored in the same storage medium as the bootloader.
  • a function of the boot manager can access an external storage medium.
  • a system with only one storage bank is also possible within the scope of the invention.
  • control unit for example an airbag control unit or other control unit, preferably in a vehicle, which contains means configured to carry out the method described above.
  • the means comprise at least one storage unit, at least one controller or microcontroller as a processing unit, a control unit input, and a control unit output.
  • the control unit can be used, for example, to control adjustable components of a technical assembly in a vehicle, such as the airbag system described above or a driver assistance system.
  • the invention also relates to a vehicle, for example a passenger car, equipped with a control unit as described above.
  • the control unit controls adjustable components of a technical assembly in the vehicle.
  • the invention further relates to a computer program product comprising program code designed to execute the aforementioned process steps.
  • the computer program product runs in the aforementioned control unit.
  • the dual bank system 1 is part of a control unit, particularly for a technical component in a vehicle, for example, an airbag control unit.
  • the dual bank system 1 comprises a first memory bank 2 and a second memory bank 3, on which application software is stored.
  • the operating system is loaded using a boot manager 4, which communicates with memory banks 2 and 3 and retrieves a first bootloader 6 from a storage medium 5, which is assigned to the first memory bank 2, or A second bootloader 7 is selected, which is assigned to the second memory bank 3.
  • the selection of bootloader 6 or 7 depends on the currently active memory bank 2 or 3, respectively.
  • the boot manager 4 loads the currently appropriate bootloader 6 or 7 into RAM 8 in a microcontroller of the control unit, where the selected bootloader 6 or 7 is executed.
  • the storage medium 5 is, for example, a flash memory, specifically a NOR memory.
  • further software applications 9 can be stored in the storage medium 5, which may, for example, represent customer-specific equipment requirements for a vehicle.
  • the various blocks in the storage medium 5, namely the first and second bootloaders 6, 7 and the software applications 9, can each be protected with a signature. Before execution in RAM 8, each read block is subjected to verification against the signature.
  • the operating system and bootloader software can be updated wirelessly as firmware over the air (FOTA).
  • FOTA firmware over the air
  • the downloaded data is written to the storage medium where the bootloader is located.
  • the first memory bank (2) and the second memory bank (3) of the dual-bank system remain free of the bootloader software both during the update process and during operation. ⁇

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

In a method for loading the operating system on a control device with the aid of a boot loader, the boot loader is loaded into the RAM from a storage medium located outside a controller of the control device and is executed exclusively in the RAM in order to load the operating system.

Description

Beschreibung Description

Titel Title

Verfahren zum Laden des Betriebssystems auf einem Steuergerät Method for loading the operating system onto a control unit

Die Erfindung bezieht sich auf ein Verfahren zum Laden des Betriebssystems auf einem Steuergerät. The invention relates to a method for loading the operating system onto a control unit.

Stand der Technik State of the art

Aus der US 7 237 121 B2 ist es bekannt, einen Bootloader aus einem internen Arbeitsspeicher RAM oder einer externen Quelle in einen Festwertspeicher ROM eines digitalen Geräts zu laden und dort auszuführen. Bei dem Bootloader handelt es sich um eine Sequenz an Instruktionen zur Systeminitialisierung. Aus Sicherheitsgründen aktiviert der Bootloader gemäß der US 7237 121 B2 nur Software, die verschlüsselt und authentifiziert ist. US patent 7237121B2 discloses how to load a bootloader from internal RAM or an external source into the read-only memory (ROM) of a digital device and execute it there. The bootloader is a sequence of instructions for system initialization. For security reasons, according to US patent 7237121B2, the bootloader only activates software that is encrypted and authenticated.

Auch in der US 7 313 705 B2 wird beschrieben, den Bootloader im ROM eines Computers zu speichern und auszuführen. Beim Hochfahren des Computers oder nach einem Reset wird die Bootloader-Sequenz von der zentralen Recheneinheit CPU ausgeführt, woraufhin die Betriebssystemsoftware von einer Festplatte in den Systemprogrammspeicher geladen und ausgeführt wird. US Patent 7,313,705 B2 also describes storing and executing the bootloader in a computer's ROM. When the computer boots up or after a reset, the bootloader sequence is executed by the central processing unit (CPU), after which the operating system software is loaded from a hard drive into the system program memory and executed.

Die US 2020/0065082 A1 beschreibt eine Dual Bank-Konfiguration in einem Computer, bei der der Bootloader ebenfalls aus dem ROM gestartet wird. Der Bootloader ist mit einer digitalen Signatur versehen und wird erst geladen, nachdem die Signatur verifiziert worden ist. US patent 2020/0065082 A1 describes a dual-bank configuration in a computer where the bootloader is also started from ROM. The bootloader is digitally signed and is only loaded after the signature has been verified.

Offenbarung der Erfindung Die Erfindung beschreibt ein Verfahren zum Laden des Betriebssystems auf einem Steuergerät mithilfe eines Bootloaders. Bei dem Steuergerät handelt es sich vorzugsweise um ein Steuergerät in einem Fahrzeug, zum Beispiel um ein Airbag-Steuergerät oder um ein sonstiges Steuergerät, vorzugsweise in einem Fahrzeug, mit dem insbesondere eine elektronische Baueinheit im Fahrzeug ansteuerbar ist. Der Bootloader, mit dem das Betriebssystem im Steuergerät geladen wird, ist auf einem Speichermedium abgespeichert, das zwar geräteintern vorliegt, sich also im Steuergerät befindet, jedoch außerhalb eines Controllers bzw. Microcontrollers des Steuergeräts angeordnet ist. Von diesem Speichermedium wird der Bootloader in den elektronischen internen Arbeitsspeicher RAM des Steuergeräts geladen und zum Laden des Betriebssystems ausschließlich im RAM ausgeführt. Disclosure of the invention The invention describes a method for loading the operating system onto a control unit using a bootloader. The control unit is preferably a control unit in a vehicle, for example, an airbag control unit or another type of control unit, preferably in a vehicle, which can be used to control an electronic component in the vehicle. The bootloader, which loads the operating system onto the control unit, is stored on a storage medium that is internal to the device, i.e., located within the control unit, but is arranged outside of a controller or microcontroller of the control unit. From this storage medium, the bootloader is loaded into the electronic internal working memory (RAM) of the control unit and executed exclusively in RAM to load the operating system.

Diese Vorgehensweise hat den Vorteil, dass der Festwertspeicher ROM im Steuergerät nicht mit dem Bootloader belastet wird und somit ein größerer Speicheranteil im ROM zur Verfügung steht. Das Aktivieren des Bootloaders in der vorbeschriebenen Weise mit dem Hochladen aus einem außerhalb des Controllers befindlichen Speichermedium in den Arbeitsspeicher RAM kann hinreichend schnell durchgeführt werden, so dass kein oder zumindest kein signifikanter Zeitnachteil durch die Ausführung des Bootloaders im RAM entsteht. Der Speicher ROM bleibt frei vom Bootloader. This approach has the advantage that the read-only memory (ROM) in the control unit is not burdened with the bootloader, thus freeing up a larger portion of the ROM's available memory. Activating the bootloader in the manner described above, by uploading it from a storage medium located outside the controller into the RAM, can be performed quickly enough that there is no, or at least no significant, time penalty due to the bootloader's execution in RAM. The ROM remains free of the bootloader.

Vorteilhaft ist es außerdem, dass eine Aktualisierung von Bootloader-Software ohne Probleme durchgeführt werden kann, da die heruntergeladenen Daten nicht in eine aktive Flash-Bank geschrieben werden müssen, sondern auf das Speichermedium, in dem der Bootloader abgespeichert ist. Another advantage is that bootloader software updates can be performed without problems, since the downloaded data does not need to be written to an active flash bank, but rather to the storage medium where the bootloader is stored.

In einer vorteilhaften Ausführung ist vorgesehen, dass das Speichermedium, von dem der Bootloader in den RAM geladen wird, ein NOR-Speicher ist. Hierbei handelt es sich um einen Flash-Speicher, der in NOR-Technik gefertigt ist und typischerweise an das Bussystem des Controllers im Steuergerät angebunden ist. Alternativ zu einem NOR-Speicher kommen auch sonstige Speichermedien in Betracht, die außerhalb des Controllers des Steuergerätes sitzen, jedoch mit diesem kommunizieren. Gemäß noch einer weiteren vorteilhaften Ausführung wird der Bootloader vor der Ausführung im RAM einer Verifikation unterzogen. Vorteilhafterweise ist die Bootloader-Software über eine Prüfsumme, eine Signatur oder dergleichen geschützt, anhand derer die Verifikation durchgeführt werden kann. Im Falle einer Prüfsumme kann diese in einem sicheren Speicher im Microcontroller abgelegt sein, damit eine Analyse dieser Daten auf Basis eines Zugriffs auf einen externen Speicher unmöglich wird. Die Verifikation wird insbesondere vor jeder Ausführung im RAM durchgeführt. Darüber hinaus ist es auch möglich, bei einem Update per Funk (FOTA - firmware over the air) eine Verifikation durchzuführen. In an advantageous embodiment, the storage medium from which the bootloader is loaded into RAM is a NOR memory. This is a flash memory manufactured using NOR technology and is typically connected to the controller's bus system in the control unit. Alternatively, other storage media located outside the control unit's controller but communicating with it can also be used. According to yet another advantageous embodiment, the bootloader undergoes verification in RAM before execution. Advantageously, the bootloader software is protected by a checksum, signature, or similar mechanism, which can be used for verification. In the case of a checksum, this can be stored in secure memory within the microcontroller, thus preventing analysis of this data by accessing external memory. Verification is performed in RAM before each execution. Furthermore, verification can also be performed during a firmware over-the-air (FOTA) update.

Das erfindungsgemäße Verfahren kann insbesondere in einem Steuergerät mit einem Non-Dual-System angewandt werden. Alternativ kann das Steuergerät mit einem Dual Bank-System ausgestattet sein, wobei jeder Bank des Dual Bank- Systems ein eigener Bootloader zugeordnet ist. Beide Bootloader können auf dem gleichen Speichermedium abgespeichert sein und von diesem Speichermedium in den RAM geladen und dort ausgeführt werden. Bei einer Aktualisierung der Betriebssystem-Software wird vorteilhafterweise jede Bank des Dual Bank-Systems mit einer aktualisierten Betriebssystem-Software versehen, wohingegen die Bootloader-Software auf dem dem Bootloader zugeordneten, externen Speichermedium aktualisiert wird. Somit steht bei einer Aktualisierung für mindestens eine Bank des Dual Bank-Systems, vorzugsweise für beide Banks des Dual Bank-Systems ein aktualisierter Bootloader zur Verfügung. The method according to the invention can be applied, in particular, in a control unit with a non-dual system. Alternatively, the control unit can be equipped with a dual-bank system, wherein each bank of the dual-bank system is assigned its own bootloader. Both bootloaders can be stored on the same storage medium and loaded from this storage medium into RAM and executed there. When the operating system software is updated, each bank of the dual-bank system is advantageously provided with updated operating system software, whereas the bootloader software is updated on the external storage medium assigned to the bootloader. Thus, when an update is performed, an updated bootloader is available for at least one bank of the dual-bank system, preferably for both banks of the dual-bank system.

Gemäß noch einer weiteren vorteilhaften Ausführung wird im Falle eines Dual Bank-Systems der Bootloader für die aktuell aktive Bank mithilfe eines Bootmanagers ausgewählt. Mithilfe des Bootmanagers wird der gewünschte Bootloader aus dem intern im Steuergerät, jedoch außerhalb des Microcontrollers angeordneten Speichermedium in den RAM geladen. Der Bootmanager selbst kann gegebenenfalls ebenso in dem Speichermedium abgespeichert sein, in welchem auch der Bootloader abgelegt ist. Alternativ ist es auch möglich, den Bootmanager im ROM abzulegen. Gegebenenfalls kann eine Funktionalität des Bootmanagers auf ein externes Speichermedium zugreifen. Alternativ zu einem Dual Bank-System ist auch ein System mit nur einer Speicherbank im Rahmen der Erfindung möglich. According to yet another advantageous embodiment, in the case of a dual-bank system, the bootloader for the currently active bank is selected using a boot manager. The boot manager loads the desired bootloader from the storage medium located internally within the control unit, but outside the microcontroller, into RAM. The boot manager itself can optionally be stored in the same storage medium as the bootloader. Alternatively, it is also possible to store the boot manager in ROM. Optionally, a function of the boot manager can access an external storage medium. As an alternative to a dual bank system, a system with only one storage bank is also possible within the scope of the invention.

Ein weiterer Aspekt der Erfindung bezieht sich auf ein Steuergerät, beispielsweise ein Airbag-Steuergerät oder ein sonstiges Steuergerät, vorzugsweise in einem Fahrzeug, welches Mittel enthält, die zur Durchführung des vorbeschriebenen Verfahrens ausgestaltet sind. Die Mittel umfassen mindestens eine Speichereinheit, mindestens einen Controller bzw. Microcontroller als Recheneinheit, einen Steuergeräte-Eingang und einen Steuergeräte-Ausgang. Mithilfe des Steuergeräts können beispielsweise einstellbare Komponenten einer technischen Baueinheit in einem Fahrzeug angesteuert werden, zum Beispiel das oben beschriebene Airbag-System oder ein Fahrerassistenzsystem. Another aspect of the invention relates to a control unit, for example an airbag control unit or other control unit, preferably in a vehicle, which contains means configured to carry out the method described above. The means comprise at least one storage unit, at least one controller or microcontroller as a processing unit, a control unit input, and a control unit output. The control unit can be used, for example, to control adjustable components of a technical assembly in a vehicle, such as the airbag system described above or a driver assistance system.

Die Erfindung bezieht sich außerdem auf ein Fahrzeug, beispielsweise einen Personenkraftwagen, das mit einem vorbeschriebenen Steuergerät ausgestattet ist. Das Steuergerät steuert einstellbare Komponenten einer technischen Baueinheit in dem Fahrzeug an. The invention also relates to a vehicle, for example a passenger car, equipped with a control unit as described above. The control unit controls adjustable components of a technical assembly in the vehicle.

Die Erfindung bezieht sich des Weiteren auf ein Computer-Programmprodukt mit einem Programmcode, der dazu ausgelegt ist, die vorbeschriebenen Verfahrensschritte auszuführen. Das Computer-Programmprodukt läuft in dem vorbeschriebenen Steuergerät ab. The invention further relates to a computer program product comprising program code designed to execute the aforementioned process steps. The computer program product runs in the aforementioned control unit.

Weitere Vorteile und zweckmäßige Ausführungen sind den weiteren Ansprüchen, der Figurenbeschreibung und der Zeichnung zu entnehmen, in der schematisch ein Steuergerät mit einem Dual Bank-System dargestellt ist. Further advantages and suitable designs can be found in the additional requirements, the figure description and the drawing, which schematically depicts a control unit with a dual bank system.

Das Dual Bank-System 1 ist Teil eines Steuergerätes, insbesondere für eine technische Baueinheit in einem Fahrzeug, beispielsweise eines Airbag- Steuergeräts. Das Dual Bank-System 1 umfasst eine erste Speicherbank 2 und eine zweite Speicherbank 3, auf denen Applikationssoftware abgespeichert ist. Das Laden des Betriebssystems erfolgt mithilfe eines Bootmanagers 4, der mit den Speicherbanken 2 und 3 kommuniziert und aus einem Speichermedium 5 einen ersten Bootloader 6, der der ersten Speicherbank 2 zugeordnet ist, oder einen zweiten Bootloader 7 auswählt, der der zweiten Speicherbank 3 zugeordnet ist. Die Auswahl des Bootloader 6, 7 hängt von der aktuell aktiven Speicherbank 2 bzw. 3 ab. Über den Bootmanager 4 wird der aktuell passende Bootloader 6 bzw. 7 auf einen Arbeitsspeicher RAM 8 in einem Microcontroller des Steuergeräts geladen, in dem der ausgewählte Bootloader 6 bzw. 7 ausgeführt wird. The dual bank system 1 is part of a control unit, particularly for a technical component in a vehicle, for example, an airbag control unit. The dual bank system 1 comprises a first memory bank 2 and a second memory bank 3, on which application software is stored. The operating system is loaded using a boot manager 4, which communicates with memory banks 2 and 3 and retrieves a first bootloader 6 from a storage medium 5, which is assigned to the first memory bank 2, or A second bootloader 7 is selected, which is assigned to the second memory bank 3. The selection of bootloader 6 or 7 depends on the currently active memory bank 2 or 3, respectively. The boot manager 4 loads the currently appropriate bootloader 6 or 7 into RAM 8 in a microcontroller of the control unit, where the selected bootloader 6 or 7 is executed.

Bei dem Speichermedium 5 handelt es sich beispielhaft um einen Flash- Speicher, insbesondere um einen NOR-Speicher. Zusätzlich zum ersten Bootloader 6 und dem zweiten Bootloader 7 können in dem Speichermedium 5 weitere Softwareapplikationen 9 abgelegt sein, bei denen es sich beispielsweise um kundenspezifische Ausstattungswünsche in einem Fahrzeug handelt. The storage medium 5 is, for example, a flash memory, specifically a NOR memory. In addition to the first bootloader 6 and the second bootloader 7, further software applications 9 can be stored in the storage medium 5, which may, for example, represent customer-specific equipment requirements for a vehicle.

Die verschiedenen Blöcke im Speichermedium 5, also der erste und der zweite Bootloader 6, 7 sowie die Softwareapplikationen 9, können jeweils mit einer Signatur geschützt sein. Vor der Ausführung im Arbeitsspeicher RAM 8 wird jeder gelesene Block einer Verifikation anhand der Signatur unterzogen. The various blocks in the storage medium 5, namely the first and second bootloaders 6, 7 and the software applications 9, can each be protected with a signature. Before execution in RAM 8, each read block is subjected to verification against the signature.

Die Aktualisierung der Betriebssystemsoftware und der Bootloader-Software kann per Funk als firmware over the air (FOTA) durchgeführt werden. Bei der Aktualisierung der Bootloader-Software werden die heruntergeladenen Daten auf das Speichermedium geschrieben, in dem der Bootloader abgespeichert ist. Die erste Speicherbank 2 und die zweite Speicherbank 3 des Dual Bank Systems bleiben sowohl während des Aktualisierungsprozesses als auch während der Ausführung frei von der Bootloader-Software. The operating system and bootloader software can be updated wirelessly as firmware over the air (FOTA). During a bootloader update, the downloaded data is written to the storage medium where the bootloader is located. The first memory bank (2) and the second memory bank (3) of the dual-bank system remain free of the bootloader software both during the update process and during operation. ```

Claims

Ansprüche Claims 1. Verfahren zum Laden des Betriebssystems auf einem Steuergerät mithilfe eines Bootloaders (6, 7), wobei das Steuergerät einen elektronischen internen Arbeitsspeicher RAM (8) aufweist, wobei der Bootloader (6, 7) von einem außerhalb eines Controllers des Steuergeräts befindlichen Speichermedium (5) in den Arbeitsspeicher RAM (8) geladen und zum Laden des Betriebssystems ausschließlich im Arbeitsspeicher RAM (8) ausgeführt wird. 1. Method for loading the operating system onto a control unit using a bootloader (6, 7), wherein the control unit has an electronic internal working memory RAM (8), wherein the bootloader (6, 7) is loaded into the working memory RAM (8) from a storage medium (5) located outside of a controller of the control unit and is executed exclusively in the working memory RAM (8) for loading the operating system. 2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Speichermedium (5), von dem der Bootloader (6, 7) in den Arbeitsspeicher RAM (8) geladen wird, ein NOR-Speicher ist. 2. Method according to claim 1, characterized in that the storage medium (5) from which the bootloader (6, 7) is loaded into the main memory RAM (8) is a NOR memory. 3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass der Bootloader (6, 7) vor der Ausführung im Arbeitsspeicher RAM (8) einer Verifikation unterzogen wird. 3. Method according to claim 1 or 2, characterized in that the bootloader (6, 7) is subjected to verification before execution in the main memory RAM (8). 4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass die Verifikation anhand einer Prüfsumme durchgeführt wird, die in einem Speicher in einem Microcontroller im Steuergerät abgelegt ist. 4. Method according to claim 3, characterized in that the verification is carried out using a checksum which is stored in a memory in a microcontroller in the control unit. 5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass das Steuergerät mit einem Dual Bank System (1) ausgestattet und jeder Bank (2, 3) des Dual Bank Systems (1) ein eigener Bootloader (6, 7) zugeordnet ist. 5. Method according to one of claims 1 to 4, characterized in that the control unit is equipped with a dual bank system (1) and each bank (2, 3) of the dual bank system (1) is assigned its own bootloader (6, 7). 6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass im Dual Bank System (1) mithilfe eines Bootmanagers (4) der Bootloader (6, 7) für die aktuell aktive Bank (2, 3) ausgewählt wird. 6. Method according to claim 5, characterized in that in the dual bank system (1) the bootloader (6, 7) for the currently active bank (2, 3) is selected using a boot manager (4). 7. Verfahren nach Anspruch 5 oder 6, dadurch gekennzeichnet, dass bei einer Aktualisierung der Betriebssystemsoftware jede Bank (2, 3) des Dual Bank Systems (1) mit einer aktualisierten Betriebssystemsoftware versehen wird. 7. Method according to claim 5 or 6, characterized in that when the operating system software is updated, each bank (2, 3) of the Dual Bank System (1) is provided with updated operating system software. 8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass der Bootmanager (4) den gewünschten Bootloader (6, 7) aus dem externen Speichermedium (5) in den Arbeitsspeicher RAM (8) lädt. 8. Method according to one of claims 1 to 7, characterized in that the boot manager (4) loads the desired bootloader (6, 7) from the external storage medium (5) into the main memory RAM (8). 9. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass die Aktualisierung der Betriebssystemsoftware und/oder Bootloader- Software (6, 7) per Funk durchgeführt wird. 9. Method according to one of claims 1 to 8, characterized in that the update of the operating system software and/or bootloader software (6, 7) is carried out wirelessly. 10. Steuergerät, insbesondere Airbag-Steuergerät, enthaltend Mittel, die zur Durchführung des Verfahrens nach einem oder mehreren der vorhergehenden Ansprüche ausgestaltet sind. 10. Control unit, in particular airbag control unit, comprising means designed to carry out the method according to one or more of the preceding claims. 11. Fahrzeug, mit einem Steuergerät nach Anspruch 10. 11. Vehicle, with a control unit according to claim 10. 12. Computerprogrammprodukt mit einem Programmcode, der dazu ausgelegt ist, Schritte des Verfahrens nach einem der Ansprüche 1 bis 9 auszuführen, wenn das Computerprogrammprodukt in einem Steuergerät gemäß Anspruch 10 abläuft. 12. A computer program product comprising program code designed to execute steps of the method according to any one of claims 1 to 9 when the computer program product runs in a control unit according to claim 10. ...
PCT/EP2025/061359 2024-04-30 2025-04-25 Method for loading the operating system on a control device Pending WO2025228817A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102024204051.7A DE102024204051A1 (en) 2024-04-30 2024-04-30 Method for loading the operating system onto a control unit
DE102024204051.7 2024-04-30

Publications (1)

Publication Number Publication Date
WO2025228817A1 true WO2025228817A1 (en) 2025-11-06

Family

ID=95651165

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2025/061359 Pending WO2025228817A1 (en) 2024-04-30 2025-04-25 Method for loading the operating system on a control device

Country Status (2)

Country Link
DE (1) DE102024204051A1 (en)
WO (1) WO2025228817A1 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070113088A1 (en) * 2003-11-13 2007-05-17 Stmicroelectronics S.A. Secure booting of an electronic apparatus with SMP architecture
US7237121B2 (en) 2001-09-17 2007-06-26 Texas Instruments Incorporated Secure bootloader for securing digital devices
US7313705B2 (en) 2002-01-22 2007-12-25 Texas Instrument Incorporated Implementation of a secure computing environment by using a secure bootloader, shadow memory, and protected memory
US20080141017A1 (en) * 2006-07-13 2008-06-12 Mccoull James Ross Gaming machine having a secure boot chain and method of use
US20200065082A1 (en) 2018-06-21 2020-02-27 Microsoft Technology Licensing, Llc Memory-efficient upgrade staging
WO2023077019A1 (en) * 2021-10-29 2023-05-04 Atieva, Inc. Secure over the air flashing for dual bank memories

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7237121B2 (en) 2001-09-17 2007-06-26 Texas Instruments Incorporated Secure bootloader for securing digital devices
US7313705B2 (en) 2002-01-22 2007-12-25 Texas Instrument Incorporated Implementation of a secure computing environment by using a secure bootloader, shadow memory, and protected memory
US20070113088A1 (en) * 2003-11-13 2007-05-17 Stmicroelectronics S.A. Secure booting of an electronic apparatus with SMP architecture
US20080141017A1 (en) * 2006-07-13 2008-06-12 Mccoull James Ross Gaming machine having a secure boot chain and method of use
US20200065082A1 (en) 2018-06-21 2020-02-27 Microsoft Technology Licensing, Llc Memory-efficient upgrade staging
WO2023077019A1 (en) * 2021-10-29 2023-05-04 Atieva, Inc. Secure over the air flashing for dual bank memories

Also Published As

Publication number Publication date
DE102024204051A1 (en) 2025-10-30

Similar Documents

Publication Publication Date Title
DE10027006B4 (en) System for controlling the operation of a motor vehicle and a method for starting such a system
DE102020110271B3 (en) Control unit for a vehicle and method for testing a program element of a vehicle function and motor vehicle with a control unit
EP2698678A2 (en) Configuration technique for a control device with applications that communicate with each other
DE102017209468A1 (en) A method for resetting software of a vehicle control device of a vehicle to an original state
DE10115729A1 (en) Versatile booting procedure for applications-software of microcomputer e.g. for the automobile industry, involves initially dividing the applications space up into a reset vector-space, etc.
EP2326959B1 (en) Method for activating functions of a tachograph
WO2025228817A1 (en) Method for loading the operating system on a control device
WO2017125181A1 (en) Method for updating control device software, preferably for a motor vehicle
DE102019104267A1 (en) SAFETY SAFETY FOR THE COMPLIANCE OF FUNCTIONAL SAFETY IN THE AUTOMOTIVE INDUSTRY WITH INDEPENDENT TRACKED PROCESSES
DE102017223001A1 (en) Method and device for operating an inertial sensor unit for a vehicle
EP1563358B1 (en) Method for the secure checking of a memory region of a microcontroller in a control device and control device with a protected mikrocontroller
DE10332452B4 (en) Control and regulating device in a motor vehicle and method for operating the same
DE102016224206B4 (en) VEHICLE CONTROL DEVICE
DE102022128804A1 (en) Method and system for updating operating software of subcomponents of a motor vehicle
DE102021207473A1 (en) MITIGATION OF MANIPULATION OF SOFTWARE OF A VEHICLE
EP1274097B1 (en) Verification of data in a memory device
DE10131576A1 (en) Method for protection of microcomputer systems against manipulation, especially motor vehicle control systems such as steer- by-wire or brake-by-wire, wherein individual systems are assigned an individual checksum start value
EP1397736B1 (en) Method for operating a control device
DE102023110169B4 (en) Method for operating a control unit, motor vehicle, control unit and control device for a motor vehicle
DE102018217969A1 (en) Computing device and operating method therefor
DE102004047191A1 (en) Tamper-proof microprocessor system and operating method therefor
DE102018204487A1 (en) Method for simulating a control device
DE102008039121A1 (en) Method for encoding character string of digital signature of manufacturer of vehicle, involves determining digital signature such that preset area of character string is changed so that another digital signature is same as former signature
DE102024206331A1 (en) Method for dynamically defining parameters of a vehicle's control unit software
DE102022203871A1 (en) control system

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 25723134

Country of ref document: EP

Kind code of ref document: A1