[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

DE102016217762A1 - Überwachung von sicherheitsrelevanten Funktionen durch eine nicht sichere Recheneinheit - Google Patents

Überwachung von sicherheitsrelevanten Funktionen durch eine nicht sichere Recheneinheit Download PDF

Info

Publication number
DE102016217762A1
DE102016217762A1 DE102016217762.1A DE102016217762A DE102016217762A1 DE 102016217762 A1 DE102016217762 A1 DE 102016217762A1 DE 102016217762 A DE102016217762 A DE 102016217762A DE 102016217762 A1 DE102016217762 A1 DE 102016217762A1
Authority
DE
Germany
Prior art keywords
secure
monitoring
monitoring function
arithmetic unit
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102016217762.1A
Other languages
English (en)
Inventor
Frank Reichenbach
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Vitesco Technologies GmbH
Original Assignee
Continental Automotive GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive GmbH filed Critical Continental Automotive GmbH
Priority to DE102016217762.1A priority Critical patent/DE102016217762A1/de
Priority to PCT/EP2017/072240 priority patent/WO2018050491A1/de
Priority to US16/333,313 priority patent/US10963357B2/en
Publication of DE102016217762A1 publication Critical patent/DE102016217762A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/26Functional testing
    • G06F11/263Generation of test inputs, e.g. test vectors, patterns or sequences ; with adaptation of the tested hardware for testability with external testers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/26Functional testing
    • G06F11/261Functional testing by simulating additional hardware, e.g. fault simulation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Ein erster Aspekt der Erfindung betrifft eine Fehlerüberwachungsschaltung (200) eines Steuergerätes (500) für ein Fahrzeug. Hierbei ist mindestens eine Recheneinheit eine sicherere Recheneinheit (110), welche eine Bedienung einer Überwachungsfunktion (120) und eine Überwachung einer Überwachungsfunktion (125) aufweist. Des Weiteren kann mindestens eine Recheneinheit der komplexen Recheneinheit eine nicht sicherere Recheneinheit (130) sein, welche eine Überwachungsfunktion (135) zur Überwachung der sicheren Recheneinheit (110) aufweist. Die Überwachung der Überwachungsfunktion (125) der sicheren Recheneinheit (110) verändert gezielt die Bedienung der Überwachungsfunktion (120) der sicheren Recheneinheit (110), um Fehler in die Überwachungsfunktion (135) der nicht sicheren Recheneinheit (130) zu induzieren. Die Überwachungsfunktion (135) der nicht sicheren Recheneinheit (130) muss die induzierten Fehler der Bedienung der Überwachungsfunktion (125) der sicheren Recheneinheit (110) erkennen und diese der Überwachung der Überwachungsfunktion (125) der sicheren Recheneinheit (110) melden.

Description

  • Die Erfindung betrifft eine Fehlerüberwachung für eine komplexe Recheneinheit. Insbesondere betrifft die Erfindung ein Steuergerät mit einer Fehlerüberwachungsschaltung, ein Fahrzeug, ein Verfahren, ein Programmelement und ein computerlesbares Medium.
  • Sicherheitskritische Computerprogramme, wie sie zum Beispiel im Automobilbereich zum Einsatz kommen, weisen Überwachungseinrichtungen zum Schutz vor Fehlern in der Recheneinheit auf. Die Fehlerüberwachungsschaltungen überwachen die ausgeführten Programme und stellen sicher, dass die Recheneinheit korrekt funktioniert. Wird durch die Fehlerüberwachungsschaltung festgestellt, dass eine Recheneinheit nicht wie vorgesehen die entsprechenden Berechnungen durchführt, wird durch die Fehlerüberwachungsschaltung ein sicherer Zustand hergestellt.
  • Hierfür werden unter anderem sogenannte Watchdog-Schaltungen verwendet. Die Watchdog-Schaltungen erhalten periodisch ein Signal der Recheneinheit. Die Signale für die Watchdog-Schaltung müssen z.B. in einem vorher definierten Zeitfenster von der Recheneinheit an die Watchdog-Schaltung erfolgen. Ist dies nicht der Fall, überführt die Watchdog-Schaltung die Recheneinheit in einen sicheren Zustand und / oder führt einen Reset aus. Durch den Reset der Schaltung werden die ursprünglichen Parameter wiederhergestellt und der Programmablauf kann vom neuem beginnen. Die Watchdog-Schaltungen benötigen Platz auf den Schaltkreisen und sind mit Kosten verbunden.
  • Es ist die Aufgabe der Erfindung die Fehlerüberwachung für eine Recheneinheit sicherzustellen.
  • Diese Aufgabe wird durch die Gegenstände der unabhängigen Ansprüche gelöst. Ausführungsformen und Weiterbildungen sind den abhängigen Ansprüchen, der Beschreibung und den Figuren zu entnehmen.
  • Ein erster Aspekt der Erfindung betrifft eine Fehlerüberwachungsschaltung eines Steuergerätes für ein Fahrzeug. Hierbei ist mindestens eine Recheneinheit eine sichere Recheneinheit, welche eine Bedienung einer Überwachungsfunktion und eine Überwachung einer Überwachungsfunktion aufweist. Des Weiteren kann mindestens eine Recheneinheit der komplexen Recheneinheit eine nicht sichere Recheneinheit sein, welche eine Überwachungsfunktion zur Überwachung der sicheren Recheneinheit aufweist. Die Überwachung der Überwachungsfunktion der sicheren Recheneinheit verändert gezielt die Bedienung der Überwachungsfunktion der sicheren Recheneinheit, um Fehler in die Überwachungsfunktion der nicht sicheren Recheneinheit zu induzieren. Die induzierten Fehler können beispielsweise das Ausfallen der Bedienung oder das nicht ordnungsgemäße Bedienen z.B. außerhalb des Zeitfensters sein. Die Überwachungsfunktion der nicht sicheren Recheneinheit muss die induzierten Fehler der Bedienung der Überwachungsfunktion der sicheren Recheneinheit erkennen und diese der Überwachung der Überwachungsfunktion der sicheren Recheneinheit melden.
  • Mit anderen Worten, kann eine nicht sichere Recheneinheit die Aufgaben einer externen Watchdog-Schaltung übernehmen. Die nicht sichere Recheneinheit überwacht die sichere Recheneinheit und stellt sicher, dass diese ordnungsgemäß funktioniert. Sollte die nicht sichere Recheneinheit einen Fehler auf der sicheren Recheneinheit feststellen, kann die nicht sichere Recheneinheit die sichere Recheneinheit in einen sicheren Zustand überführen und/oder die sichere Recheneinheit neu starten, was auch als Reset bezeichnet wird. Die Besonderheit liegt darin, dass die sichere Recheneinheit ihrerseits die nicht sichere Recheneinheit überwacht, um sicherzustellen, dass die Überwachungsfunktionalität der nicht sicheren Recheneinheit gegeben ist. Um die Fehlerüberwachung durchzuführen ist eine komplexe Recheneinheit mit mindestens zwei Recheneinheiten vorgesehen, wovon mindestens eine Recheneinheit eine sichere Recheneinheit ist und eine zweite Recheneinheit zur Überwachung der sicheren Recheneinheit dienen kann.
  • Als Fehlerüberwachungsschaltung kann auf der nicht sicheren Recheneinheit ein Programmelement betrieben werden, welches die Funktionalität einer Überwachung aufweist. Dieses Programmelement wird nachfolgend als „Überwachungsfunktion“ bezeichnet.
  • Für die Bedienung der Überwachungsfunktion und für die Bedienung der Überwachung der Überwachungsfunktion sind prinzipiell drei verschiedene mögliche Umsetzungen gegeben. Als erstes kann die Bedienung der Überwachungsfunktion und die Bedienung der Überwachung der Überwachungsfunktion in einem definierten Zeitfenster erfolgen, d.h. die jeweilige Funktion muss in einer vorher definierten Zeitfenster von der zu überwachenden Funktion bedient werden. Als zweites kann die Bedienung der Funktion von der zu überwachenden Funktion bis zu einem bestimmten Zeitpunkt erfolgen, d.h. es beginnt ein Timer zu laufen sobald die Überwachungsfunktion bedient wurde und bis der Timer abläuft muss eine erneute Bedienung der Überwachungsfunktion erfolgen. Eine dritte Möglichkeit besteht darin, dass die Bedienung der Überwachungsfunktion nicht aus einem reinen Heartbeat Signal besteht, sondern eine Aufgabe gezielt gelöst werden muss, wobei die Ergebnisse der Aufgabe der zu überwachenden Funktion und der Überwachungsfunktion verglichen werden, d.h. die Überwachungsfunktion und die zu überwachende Funktion führen dieselbe Aufgabe aus und die jeweiligen Ergebnisse müssen übereinstimmen. Nachfolgend wird sich auch die erste genannte Möglichkeit beschränkt, um Wiederholungen vorzubeugen. Somit erfolgt die Erläuterung der Erfindung beispielhaft für alle drei möglichen Umsetzungen an der Bedienung der Überwachungsfunktion in einem vorher definierten Zeitfenster. Es sei an dieser Stelle aber explizit darauf hingewiesen, dass die vorliegende Erfindung mit allen drei möglichen Umsetzungen oder beliebigen Mischformen aus den drei möglichen Umsetzungen realisiert werden kann.
  • Die Überwachungsfunktion erwartet in vorher definierten, beispielsweise periodischen Zeitabständen ein Signal von der zu überwachenden Recheneinheit. Wird das Signal in dem definierten Zeitfenster gesendet, kann davon ausgegangen werden, dass die zu überwachende Recheneinheit korrekt funktioniert. Wird kein Signal von der zu überwachenden Recheneinheit in dem definierten Zeitfenster erhalten, kann davon ausgegangen werden, dass die zu überwachende, in diesem Fall die sichere Recheneinheit ihre Prozesse nicht mehr ordnungsgemäß ausführt. Es kann insbesondere vorgesehen sein, dass in diesem Fall die Überwachungsfunktion die zu überwachende Recheneinheit in einen sicheren Zustand überführt oder diese durch einen Reset neu startet.
  • Aufgrund der Tatsache, dass es nicht ausgeschlossen ist, dass die Überwachungsfunktion auf der nicht sicheren Recheneinheit ausfällt, kann diese durch die sichere Recheneinheit überwacht werden.
  • Um die Fehlerüberwachung gemäß der Erfindung sicherzustellen, werden auf der sicheren Recheneinheit mindestens zwei Programmelemente ausgeführt. Das eine Programmelement wird nachfolgend mit „Bedienung der Überwachungsfunktion“ bezeichnet. Dieses Programmelement dient dazu, die Überwachungsfunktion auf der nicht sicheren Recheneinheit mit den benötigten Signalen in periodischen definierten Abständen zu versorgen. Das zweite Programmelement wird als „Überwachung der Überwachungsfunktion“ bezeichnet und dient der Überwachung der Überwachungsfunktion der nicht sicheren Recheneinheit. Die Überwachung der Überwachungsfunktion der sicheren Recheneinheit verändert zyklisch die Bedienung der Überwachungsfunktion der sicheren Recheneinheit. Hierdurch werden gezielt Fehler in der Überwachungsfunktion der nicht sicheren Recheneinheit induziert. Die induzierten Fehler können z.B. das Wegfallen der Bedienung der Überwachungsfunktion oder das nicht zeitgerechte Bedienen der Überwachungsfunktion sein. Die Überwachungsfunktion der nicht sicheren Recheneinheit muss die induzierten Fehler erkennen und muss die erkannten Fehler in einer definierten Reaktionszeit über eine Informationsleitung oder einen Bus an die Überwachung der Überwachungsfunktion der sicheren Recheneinheit zurückmelden. Die Rückmeldung kann beispielsweise über eine Fehlernachricht erfolgen. Unterbleibt die Rückmeldung der Überwachungsfunktion der nicht sicheren Recheneinheit an die Überwachung der Überwachungsfunktion der sicheren Recheneinheit, kann davon ausgegangen werden, dass die Überwachungsfunktion der nicht sicheren Recheneinheit nicht mehr ordnungsgemäß funktioniert. Da es in diesem Fall wahrscheinlich ist, dass die Überwachungsfunktion der nicht sicheren Recheneinheit nicht mehr ordnungsgemäß funktioniert, kann der sichere Betrieb der sicheren Recheneinheit nicht mehr garantiert werden. In diesem Fall kann vorgesehen sein, dass die Überwachung der Überwachungsfunktion die sichere Recheneinheit in einen sicheren Zustand überführt und/oder die sichere Recheneinheit durch einen Reset neu startet und somit die sichere Recheneinheit auf die ursprünglichen Parameter zurücksetzt.
  • Der Neustart bzw. das Überführen der sicheren Recheneinheit in einen sicheren Zustand erfolgt typischer Weise nach mehr als einem Fehlerfall, sodass die Überwachungsfunktion der nicht sicheren Recheneinheit den erkannten Fehler der Überwachung der Überwachungsfunktion auf der sicheren Recheneinheit melden kann. Hierfür kann in der Überwachungsfunktion und der Überwachung der Überwachungsfunktion ein Zähler zum Zählen der aufgetretenen Fehlerfälle vorgesehen sein. Sobald der Zähler einen definierten Schwellwert überschreitet bzw. eine gewisse Anzahl von Fehlerfällen in einer bestimmten Zeitpanne aufgetreten sind, erfolgt der Neustart der sicheren Recheneinheit oder die Überführung in einen sicheren Zustand. Durch Verwendung eines Zählers kann verhindert werden, dass die sichere Recheneinheit bei jedem auftretenden Fehler, insbesondere den induzierten Fehlern neu gestartet wird.
  • Durch den Wegfall der externen Watchdog-Schaltung kann Bauraum eingespart werden. Es werden keine zusätzlichen Komponenten benötigt, da die komplexe Recheneinheit im Regelfall bereits alle für die Überwachung erforderlichen Bestandteile aufweist. Auch die Kommunikationspfade zwischen den einzelnen Recheneinheiten sind im Regelfall bei einer komplexen Recheneinheit bereits gegeben.
  • Die für die Erfindung zusätzlich benötigten Rechenkapazitäten auf den zwei oder mehr Recheneinheiten können sehr gering gehalten werden. Die Signale für die zu überwachende sichere Recheneinheit fallen in periodischen Zeitabständen an und benötigen somit nicht dauerhaft Rechenleistung. Auch die Überwachung der Überwachungsfunktion kann Ressourcen schonend umgesetzt werden, da diese im Regelfall nur die Veränderungen der Bedienung der Überwachungsfunktion ausführt und die Fehlernachrichten der Überwachungsfunktion erhält.
  • Die Begriffe „sichere“ und „nicht sichere“ Recheneinheit bezieht sich nicht auf die tatsächliche Sicherheit der einzelnen elektrischen Bauelemente, sondern darauf, dass die sichere Recheneinheit und die darauf ausgeführten Programmelemente beispielsweise gemäß ISO26262 (oder anderen Sicherheitsnormen wie der IEC 61508) zertifiziert sind und die gemäß dieser Norm gesetzten Vorgaben erfüllt werden. Die nicht sichere Recheneinheit weist im Regelfall keine Zertifizierung gemäß ISO26262 auf.
  • Wird die Überwachungsfunktion der nicht sicheren Recheneinheit nicht wie erwartet in dem vorher definierten Zeitfenster von der Bedienung der Überwachungsfunktion der sicheren Recheneinheit bedient, wird von einem Fehlerfall gesprochen. Ein weiterer Fehlerfall liegt vor, wenn die Überwachungsfunktion der nicht sicheren Recheneinheit einen durch die Überwachung der Überwachungsfunktion der sicheren Recheneinheit induzierten Fehler nicht erkennt oder diesen nicht in dem vorher definierten Zeitfenster an die Überwachung der Überwachungsfunktion der sicheren Recheneinheit zurückmeldet.
  • Eine weitere Ausführungsform der Erfindung sieht vor, dass die Überwachungsfunktion der nicht sicheren Recheneinheit ausgeführt ist, im Fehlerfall der sicheren Recheneinheit, den Fehler zu detektieren und den Fehler zu melden.
  • Die Überwachungsfunktion der nicht sicheren Recheneinheit kann die Fehler auf der sicheren Recheneinheit detektieren und diese melden. Die Bedienung der Überwachungsfunktion der sicheren Recheneinheit sendet in definierten periodischen Abständen ein Signal an die Überwachungsfunktion der nicht sicheren Recheneinheit. Sobald die Überwachungsfunktion das Signal nicht oder nicht wie gefordert erhält, kann die Überwachungsfunktion von einem Fehler im Programmablauf der sicheren Recheneinheit ausgehen. Der erkannte Fehler kann durch die Überwachungsfunktion der nicht sicheren Recheneinheit detektiert und gemeldet werden.
  • Eine weitere Ausführungsform der Erfindung sieht vor, dass die im Fehlerfall der nicht sicheren Recheneinheit, dieses durch die Überwachung der Überwachungsfunktion der sicheren Recheneinheit detektiert wird.
  • Durch einen Fehler der Überwachungsfunktion ist der sichere Betrieb der sicheren Recheneinheit nicht mehr gewährleistet.
  • Im Fall eines Fehlers in der Überwachungsfunktion auf der nicht sicheren Recheneinheit, kann auch die nicht sichere Recheneinheit nicht mehr auf Fehler überwacht werden. Die Fehlerüberwachung der nicht sicheren Recheneinheit kann hierbei durch die sichere Recheneinheit, also durch die zu überwachende Recheneinheit, geschehen. Hierzu verändert die Überwachung der Überwachungsfunktion der sicheren Recheneinheit die Bedienung der Überwachungsfunktion der sicheren Recheneinheit, um so gezielt Fehler in der Überwachungsfunktion der nicht sicheren Recheneinheit zu induzieren. Die Überwachungsfunktion der nicht sicheren Recheneinheit muss die induzierten Fehler erkennen und die erkannten Fehler der Überwachung der Überwachungsfunktion der sicheren Recheneinheit melden. Die induzierten Fehler können beispielsweise das Ausfallen der Bedienung oder das nicht ordnungsgemäße Bedienen z.B. außerhalb des Zeitfensters sein. Wird ein induzierter Fehler der Überwachung der Überwachungsfunktion der sicheren Recheneinheit nicht gemeldet, kann davon ausgegangen werden, dass die Überwachungsfunktion der nicht sicheren Recheneinheit nicht mehr ordnungsgemäß funktioniert. Dieses Fehlverhalten der nicht sicheren Recheneinheit kann durch die Überwachung der Überwachungsfunktion der sicheren Recheneinheit detektiert werden.
  • Eine weitere Ausführungsform der Erfindung sieht vor, dass bei einem detektierten Fehler die sichere Recheneinheit in einen sicheren Zustand überführt wird.
  • Sobald ein Fehler detektiert ist, kann die sichere Recheneinheit in einen sicheren Zustand überführt werden. Der detektierte Fehler kann sowohl von der Überwachungsfunktion der nicht sicheren Recheneinheit, als auch von der Überwachung der Überwachungsfunktion der sicheren Recheneinheit detektiert werden. Der sichere Zustand beschreibt einen Grundzustand, im welchem der ordnungsgemäße, sichere Betrieb der von dem Steuergerät gesteuerten Komponenten gewährleistet ist. Der Neustart bzw. das Überführen der sicheren Recheneinheit in einen sicheren Zustand muss nicht gezwungener Maßen nach dem ersten detektierten Fehlerfall erfolgen, es kann insbesondere vorgesehen sein, dass in der Überwachungsfunktion und der Überwachung der Überwachungsfunktion ein Zähler zum Zählen der aufgetretenen Fehlerfälle vorgesehen ist. Sobald der Zähler einen definierten Schwellwert überschreitet bzw. eine gewisse Anzahl von Fehlerfällen in einer bestimmten Zeitpanne aufgetreten ist, erfolgt der Neustart der sicheren Recheneinheit oder die Überführung in einen sicheren Zustand.
  • Eine weitere Ausführungsform der Erfindung sieht vor, dass bei einem gemeldeten Fehler die sichere Recheneinheit neu gestartet wird.
  • Sobald ein Fehler gemeldet ist, kann die sichere Recheneinheit in einen sicheren Zustand überführt werden. In diesem Fall wird der sichere Zustand durch einen Neustart der Recheneinheit hergestellt. Durch den Neustart der sicheren Recheneinheit werden die ursprünglichen Daten geladen und der Programmablauf auf der sicheren Recheneinheit kann von neuem beginnen.
  • Ein weiterer Aspekt dieser Erfindung betrifft ein Fahrzeug mit einem oben und im Folgenden beschriebenen Steuergerät.
  • Bei dem Fahrzeug handelt es sich beispielsweise um ein Kraftfahrzeug, wie Auto, Bus oder Lastkraftwagen, oder aber auch um ein Schienenfahrzeug, ein Schiff, ein Luftfahrzeug, wie Helikopter oder Flugzeug, oder beispielsweise um ein Fahrrad.
  • In einer Ausführungsform der Erfindung kann das beschriebene Steuergerät mit mindestens zwei Recheneinheiten, wovon zumindest eine Recheneinheit eine sichere Recheneinheit ist, in einem Fahrzeug verbaut sein. Die Fehlerüberwachung gemäß dieser Erfindung kann auch auf vielen unterschiedlichen Steuergeräten und elektronischen Schaltungen eingesetzt werden. Auch bei nicht sicherheitskritischen elektronischen Schaltungen kann diese Fehlerüberwachung eingesetzt werden. Das Steuergerät kann auch in Form eines PCs, eines Mobiltelefons oder eines Tablets ausgeführt sein.
  • Ein weiterer Aspekt der Erfindung betrifft ein Verfahren für eine Fehlerüberwachung eines Steuergeräts mit zwei oder mehr Recheneinheit, wobei mindestens eine Recheneinheit eine sicherere Recheneinheit ist, und wobei mindestens eine Recheneinheit eine nicht sicherere Recheneinheit ist. Das Verfahren sieht ein gezieltes verändern einer Bedienung einer Überwachungsfunktion der sicheren Recheneinheit durch eine Überwachung einer Überwachungsfunktion der sicheren Recheneinheit vor, um ein Fehler in der Überwachungsfunktion der nicht sicheren Recheneinheit zu induzieren. Des Weiteren sieht das Verfahren vor, dass das Bedienen der Überwachungsfunktion der nicht sicheren Recheneinheit in einem vorher definierten Zeitfenster durch die Bedienung einer Überwachungsfunktion der sicheren Recheneinheit inklusive der gezielten Veränderungen erfolgt. Die induzierten Fehler können beispielsweise das Ausfallen der Bedienung oder das nicht ordnungsgemäße Bedienen z.B. außerhalb des Zeitfensters sein. Weitere Bestandteile des Verfahren sind: eine Überwachung der sichern Recheneinheit durch die Überwachungsfunktion der nicht sichern Recheneinheit, eine Detektion von Fehlern, melden der detektierten induzierten Fehler durch die Überwachungsfunktion der nicht sichern Recheneinheit an die Überwachung der Überwachungsfunktion der sicheren Recheneinheit und herstellen eines sicheren Zustandes der sicheren Recheneinheit, bei erkannten nicht induzierten Fehler durch die Überwachungsfunktion der nicht sicheren Recheneinheit oder bei nicht Erkennung des induzierten Fehlers durch die Überwachungsfunktion der nicht sicheren Recheneinheit.
  • Das Verfahren für eine Fehlerüberwachung einer sicheren Recheneinheit ohne eine externe Watchdog-Schaltung kann wie folgt beschrieben werden. Zum Anwenden des Verfahrens wird eine komplexe Recheneinheit mit zwei oder mehr Recheneinheit benötigt. Mindestens eine dieser Recheneinheiten ist ein gemäß ISO26262 zertifizierte sichere Recheneinheit. Auf der sicheren Recheneinheit werden die Programmelemente zur Bedienung der Überwachungsfunktion und zur Überwachung der Überwachungsfunktion ausgeführt. Auf der nicht sicheren Recheneinheit wird das Programmelement für die Überwachung der sicheren Recheneinheit ausgeführt. Das Verfahren sieht vor, dass das Programmelement Überwachung der Überwachungsfunktion der sicheren Recheneinheit die eigentliche Bedienung der Überwachungsfunktion der sicheren Recheneinheit gezielt verändert, um so Fehler in der Überwachungsfunktion der nicht sicheren Recheneinheit zu induzieren, werden die induzierten Fehler durch die Überwachungsfunktion erkannt und an das Programmelement Überwachung der Überwachungsfunktion zurückgemeldet. Erfolgt eine Rückmeldung der nicht sicheren Recheneinheit, ist der sichere Betrieb der sicheren Recheneinheit gegeben. Wird ein nicht induzierter Fehler durch die Überwachungsfunktion erkannt oder ein induzierter Fehler nicht erkannt, kann von einem nicht mehr ordnungsgemäßen Betrieb ausgegangen werden. Somit erfolgt die Überführung der sicheren Recheneinheit in einen sicheren Zustand und/oder wird neu gestartet. Durch dieses Verfahren kann ein sicherer Betrieb der sicheren Recheneinheit sichergestellt werden, ohne dass eine externe Watchdog-Schaltung erforderlich ist.
  • Ein weiterer Aspekt der vorliegenden Erfindung betrifft ein Programmelement, das, wenn es von einem Steuergerät ausgeführt wird, das Steuergerät anleitet, das im Kontext der vorliegenden Erfindung beschriebene Verfahren durchzuführen.
  • Ein weiterer Aspekt der vorliegenden Erfindung betrifft ein computerlesbares Medium, auf dem ein Computerprogramm gespeichert ist, das, wenn es von einem Steuergerät ausgeführt wird, das Steuergerät anleitet, das im Kontext der vorliegenden Erfindung beschriebene Verfahren durchzuführen.
  • Weitere Merkmale, Vorteile und Anwendungsmöglichkeiten der Erfindung ergeben sich aus der nachfolgenden Beschreibung der Ausführungsbeispiele und Figuren. Die Figuren sind schematisch und nicht maßstabsgetreu. Sind in der nachfolgenden Beschreibung in verschiedenen Figuren die gleichen Bezugszeichen angegeben, so bezeichnen diese gleiche oder ähnliche Elemente.
  • 1 zeigt ein Steuergerät mit einer Fehlerüberwachungsschaltung durch eine externe Watchdog-Schaltung.
  • 2 zeigt eine Fehlerüberwachungsschaltung für ein Steuergerät gemäß einem Ausführungsbeispiel der Erfindung ohne eine externen Watchdog-Schaltung.
  • 3 zeigt eine detailliertere Darstellung einer Fehlerüberwachungsschaltung für ein Steuergerät gemäß einem Ausführungsbeispiel.
  • 4 zeigt ein Flussdiagram für ein Verfahren für eine Fehlerüberwachung gemäß einem Ausführungsbeispiel der Erfindung.
  • 5 zeigt ein Fahrzeug mit einem Steuergerät mit einer Fehlerüberwachungsschaltung gemäß einem Ausführungsbeispiel der Erfindung.
  • 6 zeigt ein Flussdiagram eines Verfahrens für eine Fehlerüberwachung inklusiver Entscheidungspfade gemäß einem Ausführungsbeispiel der Erfindung.
  • 1 zeigt einen Schaltkreis 100 mit einer sicheren Recheneinheit 110, einer nicht sicheren Recheneinheit 130 und einer Watchdog-Schaltung 150. Die sichere Recheneinheit 110 sendet in einem vorher definierten Zeitfenster ein periodisches Signal an die Watchdog-Schaltung 150. Wird durch die Watchdog-Schaltung 150 festgestellt, dass das Signal nicht innerhalb des vorher definierten Zeitfensters erfolgt ist, überführt die Watchdog-Schaltung die sichere Recheneinheit 110 in einen sicheren Zustand und/oder veranlasst einen externen Reset der sicheren Recheneinheit 110. Durch den Reset der sicheren Recheneinheit 110 wird die Ursprungskonfiguration der sicheren Recheneinheit 110 geladen und der Programmablauf beginnt von neuem. Durch die externe Watchdog-Schaltung 150 wird zusätzlich Raum auf dem Schaltkreis 100 benötigt, was wiederum zu höheren Kosten führt.
  • 2 zeigt eine Schaltkreis 200 mit einer sicheren Recheneinheit 110 und einer nicht sicheren Recheneinheit 130. In diesem Ausführungsbeispiel wird die sichere Recheneinheit 110 durch die nicht sichere Recheneinheit 130 überwacht. Hierbei übernehmen die nicht sichere Recheneinheit 130 und die sichere Recheneinheit 110 die Aufgaben der Watchdog-Schaltung 150. Die sichere Recheneinheit 110 wird durch die nicht sichere Recheneinheit 130 überwacht, diese wird wiederum die durch die sichere Recheneinheit 110 überwacht. Mit anderen Worten überwachen sich die beiden Recheneinheiten 110, 130 gegenseitig.
  • Sobald ein Fehler festgestellt wird, wird die sichere Recheneinheit 110 in einen sicheren Zustand überführt und/oder einen externen Reset der sicheren Recheneinheit 110 veranlasst. Durch den Reset der sicheren Recheneinheit 110 wird die Ursprungskonfiguration der sicheren Recheneinheit 110 geladen und der Programmablauf beginnt von neuem. Durch diese Integration der Funktionalität auf die beiden Recheneinheiten, kann eine externe Watchdog-Schaltung wegfallen. Hierdurch werden Kosten und Platz auf dem Schaltkreis 200 eingespart.
  • 3 zeigt in eine detaillierte Ansicht für den Aufbau gemäß 2. In der sicheren Recheneinheit 110 werden zwei Programmelemente ausgeführt. Das eine Programmelement wird als Bedienung der Überwachungsfunktion 120 bezeichnet und das andere Programmelement wird als Überwachung der Überwachungsfunktion 125 bezeichnet. Auf der nicht sicheren Recheneinheit 130 ist ein Programmelement vorhanden, welches die Überwachungsfunktion 135 ist. Die Überwachungsfunktion 135 auf der nicht sicheren Recheneinheit 130 übernimmt zusammen mit der Überwachung der Überwachungsfunktion 125 die Aufgaben der Watchdog-Schaltung 150 aus 1. Die sichere Recheneinheit 110 muss in einem vorher definierten Zeitfenster das Signal zur Bedienung der Überwachungsfunktion 120 an die Überwachungsfunktion 135 der nicht sicheren Recheneinheit 130 senden. Unterbleibt das Signal, wird durch die nicht sichere Recheneinheit 130 das Überführen der sicheren Recheneinheit 110 in einen sicheren Zustand veranlasst und/oder ein Reset der sicheren Recheneinheit 110 durchgeführt.
  • Um auszuschließen, dass bei einem Fehler in der nicht sicheren Recheneinheit 130 ein anschließend auftretender Fehler in der sicheren Recheneinheit 110 zu einem Ausfall des Gesamtsystems führt, wird die Bedienung der Überwachungsfunktion 120 durch die Überwachung der Überwachungsfunktion 125 auf der sicheren Recheneinheit 110 gezielt verändert, um Fehler in der Überwachungsfunktion 135 auf der nicht sicheren Recheneinheit 130 zu induzieren. Die induzierten Fehler müssen durch die Überwachungsfunktion 135 auf der nicht sicheren Recheneinheit 130 erkannt werden und an die Überwachung der Überwachungsfunktion 125 auf der sicheren Recheneinheit 110 zurückgemeldet werden. Erfolgt keine Rückmeldung durch die Überwachungsfunktion 135 auf der nicht sicheren Recheneinheit 130 in einem vorher definierten Zeitfenster, wird davon ausgegangen, dass die Überwachungsfunktion 135 auf der nicht sicheren Recheneinheit 130 nicht mehr ordnungsgemäß funktioniert. Somit veranlasst die Überwachung der Überwachungsfunktion 125 das Überführen der sicheren Recheneinheit 110 in einen sicheren Zustand und/oder den Reset der sicheren Recheneinheit 110. Somit wird sichergestellt, dass auch ohne eine externe Watchdog-Schaltung die Funktionalität einer sicheren Recheneinheit 110 gegeben ist.
  • 4 zeigt ein Flussdiagram für ein Verfahren gemäß einem Ausführungsbeispiel der Erfindung. In Schritt 401 wird eine gezielte Veränderung einer Bedienung einer Überwachungsfunktion der sicheren Recheneinheit durch eine Überwachung einer Überwachungsfunktion der sicheren Recheneinheit beschrieben, um gezielt Fehler in der Überwachungsfunktion der nicht sicheren Recheneinheit zu induzieren. In Schritt 402 wird die Bedienung der Überwachungsfunktion der nicht sicheren Recheneinheit durch die sichere Recheneinheit inklusive des veränderten Signals beschrieben. Schritt 403 dient der Überwachung der sicheren Recheneinheit durch die Überwachungsfunktion der nicht sichern Recheneinheit und der Detektion der Fehler. In Schritt 404 werden die detektierten Fehler an die Überwachung der Überwachungsfunktion der sicheren Recheneinheit gemeldet, welche durch die Überwachungsfunktion der nicht sichern Recheneinheit detektiert wurden. In Schritt 405 erfolgt die Herstellung eines sicheren Zustands der sicheren Recheneinheit bei erkanntem nicht induziertem Fehler durch die Überwachungsfunktion der nicht sicheren Recheneinheit oder bei nicht Erkennung der induzierten Fehler durch die Überwachungsfunktion der nicht sicheren Recheneinheit.
  • 5 zeigt ein Fahrzeug 501 mit einem Steuergerät 500 mit einer Fehlerüberwachungsschaltung 200 gemäß der vorliegenden Erfindung. Die Fehlerüberwachungsschaltung weist eine sichere Recheneinheit 110 und eine nicht sichere Recheneinheit 130, zur Überwachung der sicheren Recheneinheit 110 auf.
  • 6 zeigt ein Flussdiagram in welchem der Ablauf des Verfahrens der vorliegenden Erfindung genauer erläutert wird. Insbesondere wird hieraus ersichtlich wie die einzelnen Entscheidungen im Fehlerfall behandelt werden bzw. wie sichergestellt wird, dass der sichere Betrieb der sicheren Recheneinheit gewährleistet ist.
  • Die Überwachung der Überwachungsfunktion verändert die Bedienung der Überwachungsfunktion. Die Bedienung der Überwachungsfunktion bedient daraufhin die Überwachungsfunktion in periodischen Zeitabständen. Erfolgt keine Bedienung der Überwachungsfunktion, wird ein sicherer Zustand der sicheren Recheneinheit hergestellt und/oder ein Reset durchgeführt. Bei korrekter Bedienung der Überwachungsfunktion durch die Bedienung der Überwachungsfunktion, muss die Überwachungsfunktion die Veränderungen der Überwachung der Überwachungsfunktion in der Bedienung der Überwachungsfunktion erkennen. Erkennt die Überwachungsfunktion nicht die Fehler, erfolgt die Herstellung des sicheren Zustandes und/oder der Reset. Bei erkanntem Fehler muss dieser der Überwachung der Überwachungsfunktion gemeldet werden. Erfolgt keine Meldung oder erfolgt die Meldung außerhalb des Zeitfensters, wird der sichere Zustand hergestellt und/oder ein Reset durchgeführt. Wurde die Überwachungsfunktion innerhalb des Zeitfensters bedient, hat die Überwachungsfunktion den Fehler erkannt und gemeldet, ist ein sicherer Betrieb gewährleistet.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • ISO26262 [0016]
    • IEC 61508 [0016]
    • ISO26262 [0016]
    • ISO26262 [0031]

Claims (10)

  1. Steuergerät (500) mit einer internen Fehlerüberwachungsschaltung (200) für ein Fahrzeug, aufweisend: eine sichere Recheneinheit (110), welche eine Bedienung einer Überwachungsfunktion (120) zur Überwachung der sicheren Recheneinheit (110) und eine Überwachung der Überwachungsfunktion (125) aufweist, und eine nicht sicherere Recheneinheit (130), welche die Überwachungsfunktion (135) aufweist, wobei die Überwachung der Überwachungsfunktion (125) der sicheren Recheneinheit (110) zum gezielten Verändern der Bedienung der Überwachungsfunktion (120) der sicheren Recheneinheit (110) ausgeführt ist, um so Fehler in der Überwachungsfunktion (135) der nicht sicheren Recheneinheit (130) zu induzieren, und wobei die Überwachungsfunktion (135) der nicht sicheren Recheneinheit (130) ausgeführt ist, die induzierten Fehler der Bedienung der Überwachungsfunktion (120) der sicheren Recheneinheit (110) zu erkennen und die induzierten Fehler der Überwachung der Überwachungsfunktion (125) der sicheren Recheneinheit zu melden.
  2. Steuergerät (500) gemäß Anspruch 1, wobei ein Fehlerfall vorliegt, wenn die Bedienung der Überwachungsfunktion (120) der sichereren Recheneinheit (110) die Überwachungsfunktion (135) der nicht sicheren Recheneinheit (130) nicht wie definiert bedient, oder wenn die Überwachungsfunktion (135) der nicht sicheren Recheneinheit (130) der Überwachung der Überwachungsfunktion (125) der sicheren Recheneinheit (110) nicht wie definiert die induzierten Fehler meldet.
  3. Steuergerät (500) gemäß Anspruch 1 oder 2, wobei die Überwachungsfunktion (135) der nicht sicheren Recheneinheit (130) ausgeführt ist, im Fehlerfall der sicheren Recheneinheit (110), den Fehler zu detektieren.
  4. Steuergerät (500) gemäß einem der vorherigen Ansprüche, wobei die Überwachung der Überwachungsfunktion (125) der sicheren Recheneinheit (110) ausgeführt ist, im Fehlerfall der nicht sicheren Recheneinheit (130), den Fehler zu detektieren.
  5. Steuergerät (500) gemäß einem der vorherigen Ansprüche, wobei die Fehlerüberwachungsschaltung (200) ausgeführt ist, bei einem gemeldeten Fehler der sicheren Recheneinheit (110) die sichere Recheneinheit (110) in einen sicheren Zustand zu überführen.
  6. Steuergerät (500) gemäß einem der vorherigen Ansprüche, wobei die Fehlerüberwachungsschaltung (200) bei einem gemeldeten Fehler zum Durchführen eines Reset der sicheren Recheneinheit (110) ausgeführt ist.
  7. Fahrzeug (501) mit einem Steuergerät (500) gemäß einem der Ansprüche 1 bis 6.
  8. Verfahren zur Fehlerüberwachung eines Steuergeräts mit zwei oder mehr Recheneinheiten, wobei mindestens eine Recheneinheit eine sicherere Recheneinheit ist, und wobei mindestens eine Recheneinheit eine nicht sicherere Recheneinheit ist, das Verfahren weist folgende Schritte auf: – gezieltes verändern (401) einer Bedienung einer Überwachungsfunktion der sicheren Recheneinheit durch eine Überwachung einer Überwachungsfunktion der sicheren Recheneinheit, um ein Fehler in einer Überwachungsfunktion der nicht sicheren Recheneinheit zu induzieren; – bedienen (402) einer Überwachungsfunktion der nicht sicheren Recheneinheit durch die Bedienung der Überwachungsfunktion der sicheren Recheneinheit inklusive der gezielt veränderten Inhalte; – Überwachung (403) der sichern Recheneinheit durch die Überwachungsfunktion der nicht sichern Recheneinheit und Detektion von Fehlern; – melden (404) der detektierten induzierten Fehler durch die Überwachungsfunktion der nicht sichern Recheneinheit an die Überwachung der Überwachungsfunktion der sicheren Recheneinheit; – Herstellen (405) eines sicheren Zustands der sicheren Recheneinheit, bei erkanntem nicht induzierten Fehler durch die Überwachungsfunktion der nicht sicheren Recheneinheit oder bei nicht Erkennung des induzierten Fehlers durch die Überwachungsfunktion der nicht sicheren Recheneinheit.
  9. Programmelement, das, wenn es auf einem Steuergerät mit zwei oder mehr Recheneinheiten ausgeführt wird, das Steuergerät anleitet, das Verfahren gemäß Anspruch 8 durchzuführen.
  10. Computerlesbares Medium, auf dem ein Programmelement gemäß Anspruch 9 gespeichert ist.
DE102016217762.1A 2016-09-16 2016-09-16 Überwachung von sicherheitsrelevanten Funktionen durch eine nicht sichere Recheneinheit Pending DE102016217762A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102016217762.1A DE102016217762A1 (de) 2016-09-16 2016-09-16 Überwachung von sicherheitsrelevanten Funktionen durch eine nicht sichere Recheneinheit
PCT/EP2017/072240 WO2018050491A1 (de) 2016-09-16 2017-09-05 Überwachung von sicherheitsrelevanten funktionen durch eine nicht sichere recheneinheit
US16/333,313 US10963357B2 (en) 2016-09-16 2017-09-05 Fault monitoring for a complex computing unit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102016217762.1A DE102016217762A1 (de) 2016-09-16 2016-09-16 Überwachung von sicherheitsrelevanten Funktionen durch eine nicht sichere Recheneinheit

Publications (1)

Publication Number Publication Date
DE102016217762A1 true DE102016217762A1 (de) 2018-04-12

Family

ID=59829355

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016217762.1A Pending DE102016217762A1 (de) 2016-09-16 2016-09-16 Überwachung von sicherheitsrelevanten Funktionen durch eine nicht sichere Recheneinheit

Country Status (3)

Country Link
US (1) US10963357B2 (de)
DE (1) DE102016217762A1 (de)
WO (1) WO2018050491A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016217762A1 (de) 2016-09-16 2018-04-12 Continental Automotive Gmbh Überwachung von sicherheitsrelevanten Funktionen durch eine nicht sichere Recheneinheit

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0512240A1 (de) * 1991-05-08 1992-11-11 Robert Bosch Gmbh System zur Steuerung eines Kraftfahrzeuges
DE3728561C2 (de) * 1987-08-27 1997-08-21 Vdo Schindling Verfahren zur Überprüfung einer Überwachungseinrichtung für einen Mikroprozessor
DE102012207215A1 (de) * 2012-04-30 2013-10-31 Robert Bosch Gmbh Verfahren und Vorrichtung zur Überwachung von Funktionen eines Rechnersystems, vorzugsweise eines Motorsteuersystems eines Kraftfahrzeuges

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011011755A1 (de) * 2011-02-18 2012-08-23 Conti Temic Microelectronic Gmbh Halbleiterschaltkreis und Verfahren in einem Sicherheitskonzept zum Einsatz in einem Kraftfahrzeug
JP5853691B2 (ja) * 2011-12-28 2016-02-09 アイシン・エィ・ダブリュ株式会社 車両用制御装置および方法
DE102012024818A1 (de) * 2012-03-06 2013-09-12 Conti Temic Microelectronic Gmbh Verfahren zur Verbesserung der funktionalen Sicherheit und Steigerung der Verfügbarkeit eines elektronischen Regelungssystems sowie ein elektronisches Regelungssystem
KR20140056537A (ko) 2012-10-29 2014-05-12 주식회사 만도 리셋 기능을 체크하는 전자제어장치 및 방법
DE102016217762A1 (de) 2016-09-16 2018-04-12 Continental Automotive Gmbh Überwachung von sicherheitsrelevanten Funktionen durch eine nicht sichere Recheneinheit

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3728561C2 (de) * 1987-08-27 1997-08-21 Vdo Schindling Verfahren zur Überprüfung einer Überwachungseinrichtung für einen Mikroprozessor
EP0512240A1 (de) * 1991-05-08 1992-11-11 Robert Bosch Gmbh System zur Steuerung eines Kraftfahrzeuges
DE102012207215A1 (de) * 2012-04-30 2013-10-31 Robert Bosch Gmbh Verfahren und Vorrichtung zur Überwachung von Funktionen eines Rechnersystems, vorzugsweise eines Motorsteuersystems eines Kraftfahrzeuges

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
IEC 61508
ISO26262

Also Published As

Publication number Publication date
US10963357B2 (en) 2021-03-30
WO2018050491A1 (de) 2018-03-22
US20190243738A1 (en) 2019-08-08

Similar Documents

Publication Publication Date Title
WO2012066108A1 (de) Mikroprozessorsystem mit fehlertoleranter architektur
DE112010005400T5 (de) System für gegenseitige Überwachung von Mikrocomputern und ein Verfahren für gegenseitige Überwachung von Mikrocomputern
EP3291094A1 (de) Prozessorsystem und verfahren zur überwachung von prozessoren
WO2013164224A2 (de) Verfahren und vorrichtung zur überwachung von funktionen eines rechnersystems, vorzugsweise eines motorsteuersystems eines kraftfahrzeuges
WO2013096986A2 (de) Verfahren zur zeitrichtigen zusammenführung von ergebnissen von periodisch arbeitenden edv-komponenten
DE102015202326A1 (de) Verfahren zum Betreiben einer Datenverarbeitungseinheit eines Fahrerassistenzsystems und Datenverarbeitungseinheit
EP3201774B1 (de) Verteiltes echtzeitcomputersystem und zeitgesteuerte verteilereinheit
DE102016217762A1 (de) Überwachung von sicherheitsrelevanten Funktionen durch eine nicht sichere Recheneinheit
DE102017011685A1 (de) Verfahren und Vorrichtung zur Verarbeitung von Alarmsignalen
EP3526672A1 (de) Schaltung zur überwachung eines datenverarbeitungssystems
DE102013021231A1 (de) Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät
DE102008004206A1 (de) Anordnung und Verfahren zur Fehlererkennung und -behandlung in einem Steuergerät in einem Kraftfahrzeug
EP2279480B1 (de) Verfahren und system zum überwachen eines sicherheitsbezogenen systems
EP1807760B1 (de) Datenverarbeitungssystem mit variabler taktrate
EP2013731B1 (de) Schaltungsanordnung und verfahren zum betrieb einer schaltungsanordnung
EP3486825A1 (de) Verfahren und vorrichtung zum rechnergestützten bestimmen eines schweregrads einer festgestellten verletzung der integrität
EP3841439B1 (de) Automatisierungssystem zur überwachung eines sicherheitskritischen prozesses
DE102019218074B4 (de) Steuerung eines Fahrerassistenzsystems eines Kraftfahrzeugs
WO2011113405A1 (de) Steuergeräteanordnung
DE102017212560A1 (de) Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion
WO2022263416A1 (de) Steuerungssystem für mindestens ein empfangendes gerät in sicherheitskritischen anwendungen
DE112017006135T5 (de) Ersetzungseinrichtung, informationsverarbeitungssystem und ersetzungsverfahren
WO2023031131A1 (de) Verfahren zum betrieb eines automatisierungssystems mit mindestens einem überwachungsmodul und attestierungseinrichtung
DE102023004853A1 (de) Verfahren zur Fehlerbehebung von sicherheitsrelevanten mikrocontrollergesteuerten Anwendungen in einem Kraftfahrzeug, sicherheitsrelevanten Computerprogrammprodukt, sicherheitsrelevanten Mikrocontroller, sowie Kraftfahrzeug
DE102022210020A1 (de) Sicherheitsdatenverarbeitungseinheit für eine Recheneinheit

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R081 Change of applicant/patentee

Owner name: VITESCO TECHNOLOGIES GMBH, DE

Free format text: FORMER OWNER: CONTINENTAL AUTOMOTIVE GMBH, 30165 HANNOVER, DE

R081 Change of applicant/patentee

Owner name: VITESCO TECHNOLOGIES GMBH, DE

Free format text: FORMER OWNER: VITESCO TECHNOLOGIES GMBH, 30165 HANNOVER, DE