-
Die Erfindung betrifft eine Fehlerüberwachung für eine komplexe Recheneinheit. Insbesondere betrifft die Erfindung ein Steuergerät mit einer Fehlerüberwachungsschaltung, ein Fahrzeug, ein Verfahren, ein Programmelement und ein computerlesbares Medium.
-
Sicherheitskritische Computerprogramme, wie sie zum Beispiel im Automobilbereich zum Einsatz kommen, weisen Überwachungseinrichtungen zum Schutz vor Fehlern in der Recheneinheit auf. Die Fehlerüberwachungsschaltungen überwachen die ausgeführten Programme und stellen sicher, dass die Recheneinheit korrekt funktioniert. Wird durch die Fehlerüberwachungsschaltung festgestellt, dass eine Recheneinheit nicht wie vorgesehen die entsprechenden Berechnungen durchführt, wird durch die Fehlerüberwachungsschaltung ein sicherer Zustand hergestellt.
-
Hierfür werden unter anderem sogenannte Watchdog-Schaltungen verwendet. Die Watchdog-Schaltungen erhalten periodisch ein Signal der Recheneinheit. Die Signale für die Watchdog-Schaltung müssen z.B. in einem vorher definierten Zeitfenster von der Recheneinheit an die Watchdog-Schaltung erfolgen. Ist dies nicht der Fall, überführt die Watchdog-Schaltung die Recheneinheit in einen sicheren Zustand und / oder führt einen Reset aus. Durch den Reset der Schaltung werden die ursprünglichen Parameter wiederhergestellt und der Programmablauf kann vom neuem beginnen. Die Watchdog-Schaltungen benötigen Platz auf den Schaltkreisen und sind mit Kosten verbunden.
-
Es ist die Aufgabe der Erfindung die Fehlerüberwachung für eine Recheneinheit sicherzustellen.
-
Diese Aufgabe wird durch die Gegenstände der unabhängigen Ansprüche gelöst. Ausführungsformen und Weiterbildungen sind den abhängigen Ansprüchen, der Beschreibung und den Figuren zu entnehmen.
-
Ein erster Aspekt der Erfindung betrifft eine Fehlerüberwachungsschaltung eines Steuergerätes für ein Fahrzeug. Hierbei ist mindestens eine Recheneinheit eine sichere Recheneinheit, welche eine Bedienung einer Überwachungsfunktion und eine Überwachung einer Überwachungsfunktion aufweist. Des Weiteren kann mindestens eine Recheneinheit der komplexen Recheneinheit eine nicht sichere Recheneinheit sein, welche eine Überwachungsfunktion zur Überwachung der sicheren Recheneinheit aufweist. Die Überwachung der Überwachungsfunktion der sicheren Recheneinheit verändert gezielt die Bedienung der Überwachungsfunktion der sicheren Recheneinheit, um Fehler in die Überwachungsfunktion der nicht sicheren Recheneinheit zu induzieren. Die induzierten Fehler können beispielsweise das Ausfallen der Bedienung oder das nicht ordnungsgemäße Bedienen z.B. außerhalb des Zeitfensters sein. Die Überwachungsfunktion der nicht sicheren Recheneinheit muss die induzierten Fehler der Bedienung der Überwachungsfunktion der sicheren Recheneinheit erkennen und diese der Überwachung der Überwachungsfunktion der sicheren Recheneinheit melden.
-
Mit anderen Worten, kann eine nicht sichere Recheneinheit die Aufgaben einer externen Watchdog-Schaltung übernehmen. Die nicht sichere Recheneinheit überwacht die sichere Recheneinheit und stellt sicher, dass diese ordnungsgemäß funktioniert. Sollte die nicht sichere Recheneinheit einen Fehler auf der sicheren Recheneinheit feststellen, kann die nicht sichere Recheneinheit die sichere Recheneinheit in einen sicheren Zustand überführen und/oder die sichere Recheneinheit neu starten, was auch als Reset bezeichnet wird. Die Besonderheit liegt darin, dass die sichere Recheneinheit ihrerseits die nicht sichere Recheneinheit überwacht, um sicherzustellen, dass die Überwachungsfunktionalität der nicht sicheren Recheneinheit gegeben ist. Um die Fehlerüberwachung durchzuführen ist eine komplexe Recheneinheit mit mindestens zwei Recheneinheiten vorgesehen, wovon mindestens eine Recheneinheit eine sichere Recheneinheit ist und eine zweite Recheneinheit zur Überwachung der sicheren Recheneinheit dienen kann.
-
Als Fehlerüberwachungsschaltung kann auf der nicht sicheren Recheneinheit ein Programmelement betrieben werden, welches die Funktionalität einer Überwachung aufweist. Dieses Programmelement wird nachfolgend als „Überwachungsfunktion“ bezeichnet.
-
Für die Bedienung der Überwachungsfunktion und für die Bedienung der Überwachung der Überwachungsfunktion sind prinzipiell drei verschiedene mögliche Umsetzungen gegeben. Als erstes kann die Bedienung der Überwachungsfunktion und die Bedienung der Überwachung der Überwachungsfunktion in einem definierten Zeitfenster erfolgen, d.h. die jeweilige Funktion muss in einer vorher definierten Zeitfenster von der zu überwachenden Funktion bedient werden. Als zweites kann die Bedienung der Funktion von der zu überwachenden Funktion bis zu einem bestimmten Zeitpunkt erfolgen, d.h. es beginnt ein Timer zu laufen sobald die Überwachungsfunktion bedient wurde und bis der Timer abläuft muss eine erneute Bedienung der Überwachungsfunktion erfolgen. Eine dritte Möglichkeit besteht darin, dass die Bedienung der Überwachungsfunktion nicht aus einem reinen Heartbeat Signal besteht, sondern eine Aufgabe gezielt gelöst werden muss, wobei die Ergebnisse der Aufgabe der zu überwachenden Funktion und der Überwachungsfunktion verglichen werden, d.h. die Überwachungsfunktion und die zu überwachende Funktion führen dieselbe Aufgabe aus und die jeweiligen Ergebnisse müssen übereinstimmen. Nachfolgend wird sich auch die erste genannte Möglichkeit beschränkt, um Wiederholungen vorzubeugen. Somit erfolgt die Erläuterung der Erfindung beispielhaft für alle drei möglichen Umsetzungen an der Bedienung der Überwachungsfunktion in einem vorher definierten Zeitfenster. Es sei an dieser Stelle aber explizit darauf hingewiesen, dass die vorliegende Erfindung mit allen drei möglichen Umsetzungen oder beliebigen Mischformen aus den drei möglichen Umsetzungen realisiert werden kann.
-
Die Überwachungsfunktion erwartet in vorher definierten, beispielsweise periodischen Zeitabständen ein Signal von der zu überwachenden Recheneinheit. Wird das Signal in dem definierten Zeitfenster gesendet, kann davon ausgegangen werden, dass die zu überwachende Recheneinheit korrekt funktioniert. Wird kein Signal von der zu überwachenden Recheneinheit in dem definierten Zeitfenster erhalten, kann davon ausgegangen werden, dass die zu überwachende, in diesem Fall die sichere Recheneinheit ihre Prozesse nicht mehr ordnungsgemäß ausführt. Es kann insbesondere vorgesehen sein, dass in diesem Fall die Überwachungsfunktion die zu überwachende Recheneinheit in einen sicheren Zustand überführt oder diese durch einen Reset neu startet.
-
Aufgrund der Tatsache, dass es nicht ausgeschlossen ist, dass die Überwachungsfunktion auf der nicht sicheren Recheneinheit ausfällt, kann diese durch die sichere Recheneinheit überwacht werden.
-
Um die Fehlerüberwachung gemäß der Erfindung sicherzustellen, werden auf der sicheren Recheneinheit mindestens zwei Programmelemente ausgeführt. Das eine Programmelement wird nachfolgend mit „Bedienung der Überwachungsfunktion“ bezeichnet. Dieses Programmelement dient dazu, die Überwachungsfunktion auf der nicht sicheren Recheneinheit mit den benötigten Signalen in periodischen definierten Abständen zu versorgen. Das zweite Programmelement wird als „Überwachung der Überwachungsfunktion“ bezeichnet und dient der Überwachung der Überwachungsfunktion der nicht sicheren Recheneinheit. Die Überwachung der Überwachungsfunktion der sicheren Recheneinheit verändert zyklisch die Bedienung der Überwachungsfunktion der sicheren Recheneinheit. Hierdurch werden gezielt Fehler in der Überwachungsfunktion der nicht sicheren Recheneinheit induziert. Die induzierten Fehler können z.B. das Wegfallen der Bedienung der Überwachungsfunktion oder das nicht zeitgerechte Bedienen der Überwachungsfunktion sein. Die Überwachungsfunktion der nicht sicheren Recheneinheit muss die induzierten Fehler erkennen und muss die erkannten Fehler in einer definierten Reaktionszeit über eine Informationsleitung oder einen Bus an die Überwachung der Überwachungsfunktion der sicheren Recheneinheit zurückmelden. Die Rückmeldung kann beispielsweise über eine Fehlernachricht erfolgen. Unterbleibt die Rückmeldung der Überwachungsfunktion der nicht sicheren Recheneinheit an die Überwachung der Überwachungsfunktion der sicheren Recheneinheit, kann davon ausgegangen werden, dass die Überwachungsfunktion der nicht sicheren Recheneinheit nicht mehr ordnungsgemäß funktioniert. Da es in diesem Fall wahrscheinlich ist, dass die Überwachungsfunktion der nicht sicheren Recheneinheit nicht mehr ordnungsgemäß funktioniert, kann der sichere Betrieb der sicheren Recheneinheit nicht mehr garantiert werden. In diesem Fall kann vorgesehen sein, dass die Überwachung der Überwachungsfunktion die sichere Recheneinheit in einen sicheren Zustand überführt und/oder die sichere Recheneinheit durch einen Reset neu startet und somit die sichere Recheneinheit auf die ursprünglichen Parameter zurücksetzt.
-
Der Neustart bzw. das Überführen der sicheren Recheneinheit in einen sicheren Zustand erfolgt typischer Weise nach mehr als einem Fehlerfall, sodass die Überwachungsfunktion der nicht sicheren Recheneinheit den erkannten Fehler der Überwachung der Überwachungsfunktion auf der sicheren Recheneinheit melden kann. Hierfür kann in der Überwachungsfunktion und der Überwachung der Überwachungsfunktion ein Zähler zum Zählen der aufgetretenen Fehlerfälle vorgesehen sein. Sobald der Zähler einen definierten Schwellwert überschreitet bzw. eine gewisse Anzahl von Fehlerfällen in einer bestimmten Zeitpanne aufgetreten sind, erfolgt der Neustart der sicheren Recheneinheit oder die Überführung in einen sicheren Zustand. Durch Verwendung eines Zählers kann verhindert werden, dass die sichere Recheneinheit bei jedem auftretenden Fehler, insbesondere den induzierten Fehlern neu gestartet wird.
-
Durch den Wegfall der externen Watchdog-Schaltung kann Bauraum eingespart werden. Es werden keine zusätzlichen Komponenten benötigt, da die komplexe Recheneinheit im Regelfall bereits alle für die Überwachung erforderlichen Bestandteile aufweist. Auch die Kommunikationspfade zwischen den einzelnen Recheneinheiten sind im Regelfall bei einer komplexen Recheneinheit bereits gegeben.
-
Die für die Erfindung zusätzlich benötigten Rechenkapazitäten auf den zwei oder mehr Recheneinheiten können sehr gering gehalten werden. Die Signale für die zu überwachende sichere Recheneinheit fallen in periodischen Zeitabständen an und benötigen somit nicht dauerhaft Rechenleistung. Auch die Überwachung der Überwachungsfunktion kann Ressourcen schonend umgesetzt werden, da diese im Regelfall nur die Veränderungen der Bedienung der Überwachungsfunktion ausführt und die Fehlernachrichten der Überwachungsfunktion erhält.
-
Die Begriffe „sichere“ und „nicht sichere“ Recheneinheit bezieht sich nicht auf die tatsächliche Sicherheit der einzelnen elektrischen Bauelemente, sondern darauf, dass die sichere Recheneinheit und die darauf ausgeführten Programmelemente beispielsweise gemäß ISO26262 (oder anderen Sicherheitsnormen wie der IEC 61508) zertifiziert sind und die gemäß dieser Norm gesetzten Vorgaben erfüllt werden. Die nicht sichere Recheneinheit weist im Regelfall keine Zertifizierung gemäß ISO26262 auf.
-
Wird die Überwachungsfunktion der nicht sicheren Recheneinheit nicht wie erwartet in dem vorher definierten Zeitfenster von der Bedienung der Überwachungsfunktion der sicheren Recheneinheit bedient, wird von einem Fehlerfall gesprochen. Ein weiterer Fehlerfall liegt vor, wenn die Überwachungsfunktion der nicht sicheren Recheneinheit einen durch die Überwachung der Überwachungsfunktion der sicheren Recheneinheit induzierten Fehler nicht erkennt oder diesen nicht in dem vorher definierten Zeitfenster an die Überwachung der Überwachungsfunktion der sicheren Recheneinheit zurückmeldet.
-
Eine weitere Ausführungsform der Erfindung sieht vor, dass die Überwachungsfunktion der nicht sicheren Recheneinheit ausgeführt ist, im Fehlerfall der sicheren Recheneinheit, den Fehler zu detektieren und den Fehler zu melden.
-
Die Überwachungsfunktion der nicht sicheren Recheneinheit kann die Fehler auf der sicheren Recheneinheit detektieren und diese melden. Die Bedienung der Überwachungsfunktion der sicheren Recheneinheit sendet in definierten periodischen Abständen ein Signal an die Überwachungsfunktion der nicht sicheren Recheneinheit. Sobald die Überwachungsfunktion das Signal nicht oder nicht wie gefordert erhält, kann die Überwachungsfunktion von einem Fehler im Programmablauf der sicheren Recheneinheit ausgehen. Der erkannte Fehler kann durch die Überwachungsfunktion der nicht sicheren Recheneinheit detektiert und gemeldet werden.
-
Eine weitere Ausführungsform der Erfindung sieht vor, dass die im Fehlerfall der nicht sicheren Recheneinheit, dieses durch die Überwachung der Überwachungsfunktion der sicheren Recheneinheit detektiert wird.
-
Durch einen Fehler der Überwachungsfunktion ist der sichere Betrieb der sicheren Recheneinheit nicht mehr gewährleistet.
-
Im Fall eines Fehlers in der Überwachungsfunktion auf der nicht sicheren Recheneinheit, kann auch die nicht sichere Recheneinheit nicht mehr auf Fehler überwacht werden. Die Fehlerüberwachung der nicht sicheren Recheneinheit kann hierbei durch die sichere Recheneinheit, also durch die zu überwachende Recheneinheit, geschehen. Hierzu verändert die Überwachung der Überwachungsfunktion der sicheren Recheneinheit die Bedienung der Überwachungsfunktion der sicheren Recheneinheit, um so gezielt Fehler in der Überwachungsfunktion der nicht sicheren Recheneinheit zu induzieren. Die Überwachungsfunktion der nicht sicheren Recheneinheit muss die induzierten Fehler erkennen und die erkannten Fehler der Überwachung der Überwachungsfunktion der sicheren Recheneinheit melden. Die induzierten Fehler können beispielsweise das Ausfallen der Bedienung oder das nicht ordnungsgemäße Bedienen z.B. außerhalb des Zeitfensters sein. Wird ein induzierter Fehler der Überwachung der Überwachungsfunktion der sicheren Recheneinheit nicht gemeldet, kann davon ausgegangen werden, dass die Überwachungsfunktion der nicht sicheren Recheneinheit nicht mehr ordnungsgemäß funktioniert. Dieses Fehlverhalten der nicht sicheren Recheneinheit kann durch die Überwachung der Überwachungsfunktion der sicheren Recheneinheit detektiert werden.
-
Eine weitere Ausführungsform der Erfindung sieht vor, dass bei einem detektierten Fehler die sichere Recheneinheit in einen sicheren Zustand überführt wird.
-
Sobald ein Fehler detektiert ist, kann die sichere Recheneinheit in einen sicheren Zustand überführt werden. Der detektierte Fehler kann sowohl von der Überwachungsfunktion der nicht sicheren Recheneinheit, als auch von der Überwachung der Überwachungsfunktion der sicheren Recheneinheit detektiert werden. Der sichere Zustand beschreibt einen Grundzustand, im welchem der ordnungsgemäße, sichere Betrieb der von dem Steuergerät gesteuerten Komponenten gewährleistet ist. Der Neustart bzw. das Überführen der sicheren Recheneinheit in einen sicheren Zustand muss nicht gezwungener Maßen nach dem ersten detektierten Fehlerfall erfolgen, es kann insbesondere vorgesehen sein, dass in der Überwachungsfunktion und der Überwachung der Überwachungsfunktion ein Zähler zum Zählen der aufgetretenen Fehlerfälle vorgesehen ist. Sobald der Zähler einen definierten Schwellwert überschreitet bzw. eine gewisse Anzahl von Fehlerfällen in einer bestimmten Zeitpanne aufgetreten ist, erfolgt der Neustart der sicheren Recheneinheit oder die Überführung in einen sicheren Zustand.
-
Eine weitere Ausführungsform der Erfindung sieht vor, dass bei einem gemeldeten Fehler die sichere Recheneinheit neu gestartet wird.
-
Sobald ein Fehler gemeldet ist, kann die sichere Recheneinheit in einen sicheren Zustand überführt werden. In diesem Fall wird der sichere Zustand durch einen Neustart der Recheneinheit hergestellt. Durch den Neustart der sicheren Recheneinheit werden die ursprünglichen Daten geladen und der Programmablauf auf der sicheren Recheneinheit kann von neuem beginnen.
-
Ein weiterer Aspekt dieser Erfindung betrifft ein Fahrzeug mit einem oben und im Folgenden beschriebenen Steuergerät.
-
Bei dem Fahrzeug handelt es sich beispielsweise um ein Kraftfahrzeug, wie Auto, Bus oder Lastkraftwagen, oder aber auch um ein Schienenfahrzeug, ein Schiff, ein Luftfahrzeug, wie Helikopter oder Flugzeug, oder beispielsweise um ein Fahrrad.
-
In einer Ausführungsform der Erfindung kann das beschriebene Steuergerät mit mindestens zwei Recheneinheiten, wovon zumindest eine Recheneinheit eine sichere Recheneinheit ist, in einem Fahrzeug verbaut sein. Die Fehlerüberwachung gemäß dieser Erfindung kann auch auf vielen unterschiedlichen Steuergeräten und elektronischen Schaltungen eingesetzt werden. Auch bei nicht sicherheitskritischen elektronischen Schaltungen kann diese Fehlerüberwachung eingesetzt werden. Das Steuergerät kann auch in Form eines PCs, eines Mobiltelefons oder eines Tablets ausgeführt sein.
-
Ein weiterer Aspekt der Erfindung betrifft ein Verfahren für eine Fehlerüberwachung eines Steuergeräts mit zwei oder mehr Recheneinheit, wobei mindestens eine Recheneinheit eine sicherere Recheneinheit ist, und wobei mindestens eine Recheneinheit eine nicht sicherere Recheneinheit ist. Das Verfahren sieht ein gezieltes verändern einer Bedienung einer Überwachungsfunktion der sicheren Recheneinheit durch eine Überwachung einer Überwachungsfunktion der sicheren Recheneinheit vor, um ein Fehler in der Überwachungsfunktion der nicht sicheren Recheneinheit zu induzieren. Des Weiteren sieht das Verfahren vor, dass das Bedienen der Überwachungsfunktion der nicht sicheren Recheneinheit in einem vorher definierten Zeitfenster durch die Bedienung einer Überwachungsfunktion der sicheren Recheneinheit inklusive der gezielten Veränderungen erfolgt. Die induzierten Fehler können beispielsweise das Ausfallen der Bedienung oder das nicht ordnungsgemäße Bedienen z.B. außerhalb des Zeitfensters sein. Weitere Bestandteile des Verfahren sind: eine Überwachung der sichern Recheneinheit durch die Überwachungsfunktion der nicht sichern Recheneinheit, eine Detektion von Fehlern, melden der detektierten induzierten Fehler durch die Überwachungsfunktion der nicht sichern Recheneinheit an die Überwachung der Überwachungsfunktion der sicheren Recheneinheit und herstellen eines sicheren Zustandes der sicheren Recheneinheit, bei erkannten nicht induzierten Fehler durch die Überwachungsfunktion der nicht sicheren Recheneinheit oder bei nicht Erkennung des induzierten Fehlers durch die Überwachungsfunktion der nicht sicheren Recheneinheit.
-
Das Verfahren für eine Fehlerüberwachung einer sicheren Recheneinheit ohne eine externe Watchdog-Schaltung kann wie folgt beschrieben werden. Zum Anwenden des Verfahrens wird eine komplexe Recheneinheit mit zwei oder mehr Recheneinheit benötigt. Mindestens eine dieser Recheneinheiten ist ein gemäß ISO26262 zertifizierte sichere Recheneinheit. Auf der sicheren Recheneinheit werden die Programmelemente zur Bedienung der Überwachungsfunktion und zur Überwachung der Überwachungsfunktion ausgeführt. Auf der nicht sicheren Recheneinheit wird das Programmelement für die Überwachung der sicheren Recheneinheit ausgeführt. Das Verfahren sieht vor, dass das Programmelement Überwachung der Überwachungsfunktion der sicheren Recheneinheit die eigentliche Bedienung der Überwachungsfunktion der sicheren Recheneinheit gezielt verändert, um so Fehler in der Überwachungsfunktion der nicht sicheren Recheneinheit zu induzieren, werden die induzierten Fehler durch die Überwachungsfunktion erkannt und an das Programmelement Überwachung der Überwachungsfunktion zurückgemeldet. Erfolgt eine Rückmeldung der nicht sicheren Recheneinheit, ist der sichere Betrieb der sicheren Recheneinheit gegeben. Wird ein nicht induzierter Fehler durch die Überwachungsfunktion erkannt oder ein induzierter Fehler nicht erkannt, kann von einem nicht mehr ordnungsgemäßen Betrieb ausgegangen werden. Somit erfolgt die Überführung der sicheren Recheneinheit in einen sicheren Zustand und/oder wird neu gestartet. Durch dieses Verfahren kann ein sicherer Betrieb der sicheren Recheneinheit sichergestellt werden, ohne dass eine externe Watchdog-Schaltung erforderlich ist.
-
Ein weiterer Aspekt der vorliegenden Erfindung betrifft ein Programmelement, das, wenn es von einem Steuergerät ausgeführt wird, das Steuergerät anleitet, das im Kontext der vorliegenden Erfindung beschriebene Verfahren durchzuführen.
-
Ein weiterer Aspekt der vorliegenden Erfindung betrifft ein computerlesbares Medium, auf dem ein Computerprogramm gespeichert ist, das, wenn es von einem Steuergerät ausgeführt wird, das Steuergerät anleitet, das im Kontext der vorliegenden Erfindung beschriebene Verfahren durchzuführen.
-
Weitere Merkmale, Vorteile und Anwendungsmöglichkeiten der Erfindung ergeben sich aus der nachfolgenden Beschreibung der Ausführungsbeispiele und Figuren. Die Figuren sind schematisch und nicht maßstabsgetreu. Sind in der nachfolgenden Beschreibung in verschiedenen Figuren die gleichen Bezugszeichen angegeben, so bezeichnen diese gleiche oder ähnliche Elemente.
-
1 zeigt ein Steuergerät mit einer Fehlerüberwachungsschaltung durch eine externe Watchdog-Schaltung.
-
2 zeigt eine Fehlerüberwachungsschaltung für ein Steuergerät gemäß einem Ausführungsbeispiel der Erfindung ohne eine externen Watchdog-Schaltung.
-
3 zeigt eine detailliertere Darstellung einer Fehlerüberwachungsschaltung für ein Steuergerät gemäß einem Ausführungsbeispiel.
-
4 zeigt ein Flussdiagram für ein Verfahren für eine Fehlerüberwachung gemäß einem Ausführungsbeispiel der Erfindung.
-
5 zeigt ein Fahrzeug mit einem Steuergerät mit einer Fehlerüberwachungsschaltung gemäß einem Ausführungsbeispiel der Erfindung.
-
6 zeigt ein Flussdiagram eines Verfahrens für eine Fehlerüberwachung inklusiver Entscheidungspfade gemäß einem Ausführungsbeispiel der Erfindung.
-
1 zeigt einen Schaltkreis 100 mit einer sicheren Recheneinheit 110, einer nicht sicheren Recheneinheit 130 und einer Watchdog-Schaltung 150. Die sichere Recheneinheit 110 sendet in einem vorher definierten Zeitfenster ein periodisches Signal an die Watchdog-Schaltung 150. Wird durch die Watchdog-Schaltung 150 festgestellt, dass das Signal nicht innerhalb des vorher definierten Zeitfensters erfolgt ist, überführt die Watchdog-Schaltung die sichere Recheneinheit 110 in einen sicheren Zustand und/oder veranlasst einen externen Reset der sicheren Recheneinheit 110. Durch den Reset der sicheren Recheneinheit 110 wird die Ursprungskonfiguration der sicheren Recheneinheit 110 geladen und der Programmablauf beginnt von neuem. Durch die externe Watchdog-Schaltung 150 wird zusätzlich Raum auf dem Schaltkreis 100 benötigt, was wiederum zu höheren Kosten führt.
-
2 zeigt eine Schaltkreis 200 mit einer sicheren Recheneinheit 110 und einer nicht sicheren Recheneinheit 130. In diesem Ausführungsbeispiel wird die sichere Recheneinheit 110 durch die nicht sichere Recheneinheit 130 überwacht. Hierbei übernehmen die nicht sichere Recheneinheit 130 und die sichere Recheneinheit 110 die Aufgaben der Watchdog-Schaltung 150. Die sichere Recheneinheit 110 wird durch die nicht sichere Recheneinheit 130 überwacht, diese wird wiederum die durch die sichere Recheneinheit 110 überwacht. Mit anderen Worten überwachen sich die beiden Recheneinheiten 110, 130 gegenseitig.
-
Sobald ein Fehler festgestellt wird, wird die sichere Recheneinheit 110 in einen sicheren Zustand überführt und/oder einen externen Reset der sicheren Recheneinheit 110 veranlasst. Durch den Reset der sicheren Recheneinheit 110 wird die Ursprungskonfiguration der sicheren Recheneinheit 110 geladen und der Programmablauf beginnt von neuem. Durch diese Integration der Funktionalität auf die beiden Recheneinheiten, kann eine externe Watchdog-Schaltung wegfallen. Hierdurch werden Kosten und Platz auf dem Schaltkreis 200 eingespart.
-
3 zeigt in eine detaillierte Ansicht für den Aufbau gemäß 2. In der sicheren Recheneinheit 110 werden zwei Programmelemente ausgeführt. Das eine Programmelement wird als Bedienung der Überwachungsfunktion 120 bezeichnet und das andere Programmelement wird als Überwachung der Überwachungsfunktion 125 bezeichnet. Auf der nicht sicheren Recheneinheit 130 ist ein Programmelement vorhanden, welches die Überwachungsfunktion 135 ist. Die Überwachungsfunktion 135 auf der nicht sicheren Recheneinheit 130 übernimmt zusammen mit der Überwachung der Überwachungsfunktion 125 die Aufgaben der Watchdog-Schaltung 150 aus 1. Die sichere Recheneinheit 110 muss in einem vorher definierten Zeitfenster das Signal zur Bedienung der Überwachungsfunktion 120 an die Überwachungsfunktion 135 der nicht sicheren Recheneinheit 130 senden. Unterbleibt das Signal, wird durch die nicht sichere Recheneinheit 130 das Überführen der sicheren Recheneinheit 110 in einen sicheren Zustand veranlasst und/oder ein Reset der sicheren Recheneinheit 110 durchgeführt.
-
Um auszuschließen, dass bei einem Fehler in der nicht sicheren Recheneinheit 130 ein anschließend auftretender Fehler in der sicheren Recheneinheit 110 zu einem Ausfall des Gesamtsystems führt, wird die Bedienung der Überwachungsfunktion 120 durch die Überwachung der Überwachungsfunktion 125 auf der sicheren Recheneinheit 110 gezielt verändert, um Fehler in der Überwachungsfunktion 135 auf der nicht sicheren Recheneinheit 130 zu induzieren. Die induzierten Fehler müssen durch die Überwachungsfunktion 135 auf der nicht sicheren Recheneinheit 130 erkannt werden und an die Überwachung der Überwachungsfunktion 125 auf der sicheren Recheneinheit 110 zurückgemeldet werden. Erfolgt keine Rückmeldung durch die Überwachungsfunktion 135 auf der nicht sicheren Recheneinheit 130 in einem vorher definierten Zeitfenster, wird davon ausgegangen, dass die Überwachungsfunktion 135 auf der nicht sicheren Recheneinheit 130 nicht mehr ordnungsgemäß funktioniert. Somit veranlasst die Überwachung der Überwachungsfunktion 125 das Überführen der sicheren Recheneinheit 110 in einen sicheren Zustand und/oder den Reset der sicheren Recheneinheit 110. Somit wird sichergestellt, dass auch ohne eine externe Watchdog-Schaltung die Funktionalität einer sicheren Recheneinheit 110 gegeben ist.
-
4 zeigt ein Flussdiagram für ein Verfahren gemäß einem Ausführungsbeispiel der Erfindung. In Schritt 401 wird eine gezielte Veränderung einer Bedienung einer Überwachungsfunktion der sicheren Recheneinheit durch eine Überwachung einer Überwachungsfunktion der sicheren Recheneinheit beschrieben, um gezielt Fehler in der Überwachungsfunktion der nicht sicheren Recheneinheit zu induzieren. In Schritt 402 wird die Bedienung der Überwachungsfunktion der nicht sicheren Recheneinheit durch die sichere Recheneinheit inklusive des veränderten Signals beschrieben. Schritt 403 dient der Überwachung der sicheren Recheneinheit durch die Überwachungsfunktion der nicht sichern Recheneinheit und der Detektion der Fehler. In Schritt 404 werden die detektierten Fehler an die Überwachung der Überwachungsfunktion der sicheren Recheneinheit gemeldet, welche durch die Überwachungsfunktion der nicht sichern Recheneinheit detektiert wurden. In Schritt 405 erfolgt die Herstellung eines sicheren Zustands der sicheren Recheneinheit bei erkanntem nicht induziertem Fehler durch die Überwachungsfunktion der nicht sicheren Recheneinheit oder bei nicht Erkennung der induzierten Fehler durch die Überwachungsfunktion der nicht sicheren Recheneinheit.
-
5 zeigt ein Fahrzeug 501 mit einem Steuergerät 500 mit einer Fehlerüberwachungsschaltung 200 gemäß der vorliegenden Erfindung. Die Fehlerüberwachungsschaltung weist eine sichere Recheneinheit 110 und eine nicht sichere Recheneinheit 130, zur Überwachung der sicheren Recheneinheit 110 auf.
-
6 zeigt ein Flussdiagram in welchem der Ablauf des Verfahrens der vorliegenden Erfindung genauer erläutert wird. Insbesondere wird hieraus ersichtlich wie die einzelnen Entscheidungen im Fehlerfall behandelt werden bzw. wie sichergestellt wird, dass der sichere Betrieb der sicheren Recheneinheit gewährleistet ist.
-
Die Überwachung der Überwachungsfunktion verändert die Bedienung der Überwachungsfunktion. Die Bedienung der Überwachungsfunktion bedient daraufhin die Überwachungsfunktion in periodischen Zeitabständen. Erfolgt keine Bedienung der Überwachungsfunktion, wird ein sicherer Zustand der sicheren Recheneinheit hergestellt und/oder ein Reset durchgeführt. Bei korrekter Bedienung der Überwachungsfunktion durch die Bedienung der Überwachungsfunktion, muss die Überwachungsfunktion die Veränderungen der Überwachung der Überwachungsfunktion in der Bedienung der Überwachungsfunktion erkennen. Erkennt die Überwachungsfunktion nicht die Fehler, erfolgt die Herstellung des sicheren Zustandes und/oder der Reset. Bei erkanntem Fehler muss dieser der Überwachung der Überwachungsfunktion gemeldet werden. Erfolgt keine Meldung oder erfolgt die Meldung außerhalb des Zeitfensters, wird der sichere Zustand hergestellt und/oder ein Reset durchgeführt. Wurde die Überwachungsfunktion innerhalb des Zeitfensters bedient, hat die Überwachungsfunktion den Fehler erkannt und gemeldet, ist ein sicherer Betrieb gewährleistet.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Nicht-Patentliteratur
-
- ISO26262 [0016]
- IEC 61508 [0016]
- ISO26262 [0016]
- ISO26262 [0031]