WO2008128710A1 - Steuervorrichtung für fahrzeuge - Google Patents

Steuervorrichtung für fahrzeuge Download PDF

Info

Publication number
WO2008128710A1
WO2008128710A1 PCT/EP2008/003103 EP2008003103W WO2008128710A1 WO 2008128710 A1 WO2008128710 A1 WO 2008128710A1 EP 2008003103 W EP2008003103 W EP 2008003103W WO 2008128710 A1 WO2008128710 A1 WO 2008128710A1
Authority
WO
WIPO (PCT)
Prior art keywords
control means
control device
control
resources
communication
Prior art date
Application number
PCT/EP2008/003103
Other languages
English (en)
French (fr)
Inventor
Lothar Weichenberger
Original Assignee
Autoliv Development Ab
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Autoliv Development Ab filed Critical Autoliv Development Ab
Priority to US12/596,697 priority Critical patent/US20100114422A1/en
Publication of WO2008128710A1 publication Critical patent/WO2008128710A1/de

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R21/00Arrangements or fittings on vehicles for protecting or preventing injuries to occupants or pedestrians in case of accidents or other traffic risks
    • B60R21/01Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents
    • B60R21/013Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents including means for detecting collisions, impending collisions or roll-over
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R21/00Arrangements or fittings on vehicles for protecting or preventing injuries to occupants or pedestrians in case of accidents or other traffic risks
    • B60R21/01Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents
    • B60R2021/0104Communication circuits for data transmission
    • B60R2021/01047Architecture
    • B60R2021/01054Bus
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R21/00Arrangements or fittings on vehicles for protecting or preventing injuries to occupants or pedestrians in case of accidents or other traffic risks
    • B60R21/01Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents
    • B60R2021/0104Communication circuits for data transmission
    • B60R2021/01102Transmission method
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R21/00Arrangements or fittings on vehicles for protecting or preventing injuries to occupants or pedestrians in case of accidents or other traffic risks
    • B60R21/01Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents
    • B60R2021/01122Prevention of malfunction
    • B60R2021/01184Fault detection or diagnostic circuits
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R21/00Arrangements or fittings on vehicles for protecting or preventing injuries to occupants or pedestrians in case of accidents or other traffic risks
    • B60R21/01Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents
    • B60R2021/01204Actuation parameters of safety arrangents
    • B60R2021/01252Devices other than bags
    • B60R2021/01259Brakes

Definitions

  • the invention relates to a control device for vehicles and in particular for controlling vehicle safety devices according to the preamble of claim 1.
  • control units In the field of vehicle electronics, control units are used for measurement, control and regulation tasks. The steps necessary to accomplish these tasks are described in programs or procedures, and are mostly executed on a processor. In order to safeguard systematic and spontaneous misconduct, certain measures should be taken depending on the safety requirements of the system. For this purpose, it is known to use control computers for safety-critical systems in vehicles, such as electronic brake systems, electronic stability programs and electrohydraulic brakes. Depending on the variant, these so-called electronic controllers or control units already have physical and / or functional fallback levels.
  • Such a hydraulic stafallebende is known to be realized, for example, that in an anti-lock brake system in case of failure the electronic ABS controller is switched off.
  • the hydraulic valves that are de-energized when the controller is switched off are designed so that normal braking can continue without the anti-lock brake system.
  • WO 03/050624 A1 discloses a fault-tolerant electronic control unit whose availability and safety with respect to the microprocessor system is better than is the case with previously known microprocessor concepts.
  • a multi-core redundant control computer system in which at least two control computers are connected to each other. These are next to a respective computer core with partially or fully redundant peripheral elements and partially and fully redundant memory elements and integrated on a common chip carrier or a common chip, wherein the at least two control computer with at least one common first Arbitration- unit, which the control computer to a malfunction monitored, are connected.
  • time slicing operating systems are based on timer-controlled process calls. These process calls are caused by interrupts from the periphery. However, access to these peripherals can take place from any point and thereby cause a faulty modification. In general, comprehensive protection against systematic or sporadic errors, in particular software errors, has not been realized.
  • FIG. 1 A system according to the prior art can be explained with reference to FIG.
  • two independent control means 4.1 and 4.2 are provided. They interact with a shared resource 2.
  • the access to the resource by the control means 4.1 is designated with the current resource access 2.1.
  • the access of the control means 4.2 to the shared resource over the permitted resource access 2.1 is shown.
  • the control means 4.1 and 4.2 are each exclusively connected to a resource 5.1 or a resource 5.2. Again, there is a permitted resource access 2.1.
  • control means ie the respective processes caused by them
  • the influence of a control means by another control means can be both intentional and unintentional. Intentional influencing of the control means during the course of the processes arises, for example, as a result of communication and / or synchronization with one or more other processes.
  • control means include, for example, processes, i. H. certain program sequences.
  • the execution of the program requires the memory map of the program, memory for the data, resources provided by the operating system, and a processor. Subsequently, these resources are considered to belong to the control means or the process performed therewith. In general, this is referred to as a "program in execution.”
  • Control means on the basis of the processes initiated by them, are, on the one hand, actors in a computer system, and, on the other hand, objects to which process capacity (CPU capacity) is allocated.
  • a control means is influenced in a manner which was not provided for by the specification and / or which does not benefit the solution of the task which the control means is intended to handle. Especially in safety-relevant applications, such process results pose a problem.
  • a control device in the hand, in which such a systematic and / or spontaneous misconduct is reliably prevented.
  • the object is achieved by a control device having the features of claim 1.
  • a control device is provided in a control device which can be used in vehicles and which is used in particular for controlling vehicle safety devices.
  • the communication of each control means with the independent resource and with a resource which is connected to another control means is to be monitored.
  • unintended influences between the tax means are excluded.
  • control means on the basis of a rule set.
  • One possible form of the rule set is a simple or multiple-nested table structure, via which the control means can determine the validity of the memory accesses of a process.
  • control means In order for the control means to perform its task, it is preferably implemented in parts or completely in hardware. In this case, it can be implemented as part of the microcontroller or as a functional unit in a separate component or in separate hardware ("in separate silicon.") If the control means is not completely implemented in hardware, its functionality is determined by a program and / or a Data / parameter set, which is referred to here as a rule set, completed in order to obtain a system that is not too complex, several simple means of control can be used here.
  • a rule set can be made changeable during the system runtime - dynamically - or unchangeable - statically.
  • Static rule sets are preferred. are stored in a non-volatile memory, such as a ROM, PROM or flash ROM.
  • ROM read-only memory
  • PROM PROM
  • flash ROM flash ROM
  • dynamic rule sets there are writable memories, such as RAM.
  • the initialization of a dynamic rule set can be done by a static rule set.
  • the control means may influence in different ways during operation.
  • An unintended influence is usually caused by a coupling of two or more control means via one or more shared resources.
  • Resources within the meaning of the present invention are resources which are connected to the control means during a communication process, such as arithmetic units, registers, logics, memories or peripherals.
  • control means has to ensure that the operating means, which a control means requires for its execution, can be used exclusively by the control means, ie. H. before completion of the processing of the communication process with the control means a simultaneous use must be excluded by another communication with another control means.
  • An example of an embodiment of such a system consists of an integrated module as a control means and a microcontroller.
  • the microcontroller must provide internal states (an address bus, a program counter or something else) to the module control means.
  • the control means can now detect whether the active communication process of the control means (possibly recognizable by the program counter) has the necessary authorization to access resources (for example, recognizable by the information on the address bus). In the case of a permissible access, the further functional sequence is not affected.
  • activation of the device which is not permitted for the control device is achieved by interrupting the program sequence, by interrupting the address or data bus or by rewriting the program counter.
  • control means must organize the access depending on the rule set. It may, for example, the exclusive access of various control means that may claim the resource, continue to allow alternately.
  • the control means preferably has to ensure that the state changes are not transmitted unintentionally by the communication to other control means.
  • the control means secures the state change brought about by the control means when changing to another control means and restores it to communication with the first control means when changing the communication from another control means.
  • the control means may store the current configuration of an interface shared by two control means upon a change between the first and second control means. If the communication changes again to the first control means, the stored configuration is provided again, so that any state changes made to the configuration by the second control means have no influence on the first control means.
  • the control means can thus provide the case of a change of communication each required by a control means or left behind in the last communication state of the equipment.
  • control means can take over the task of a general access control.
  • this type of access control not only the unintentional influence on the communication with a control means should be prevented, but it should rather generally the access of certain control means to certain resources are blocked by the control means.
  • a communication for the operation of the vehicle diagnostic interface should be able to initiate, for example, by a misconduct no safety-critical emergency braking.
  • a resource used for virtualization will be referred to as virtualized resource in the following. Resources that result from the process of virtualizing a resource are called virtual resources. All the mechanisms already described can also be mapped to the virtual resources. Virtualization may also extend to resources in separate hardware or in a separate component ("separate silicon").
  • control means By virtue of the virtualization of a previously existing real resource, the control means generates one or more virtual resources which preferably have the same or similar properties and exhibit the same or similar behavior as the virtualized resource from which they originated. In this case, the virtualized operating resource of tax funds should be able to be occupied only by the means of control. Instead, the virtual resources are then available to the processes. Virtualization can also aggregate multiple resources into a virtual resource.
  • the virtual resource can gain in terms of properties and behavior compared to the virtualized resources and vice versa.
  • the realization of a data compression in real existing resources or a checksum formation in virtual resources can be cited here.
  • virtual resources may be to implement a communication interface (eg CAN interface) with external subscribers.
  • real resources such as timers (for a transmitted clock information), input and output ports (for the data write and read function) or units for checksum calculation are combined and controlled in a virtual resource.
  • the virtual drive-controlling process but does not know the underlying resources and can not control these. It treats the virtual communication interface as if it were real for the specific application and implemented ideally (eg as a CAN interface) for the process.
  • control means which provides the virtual resources and carries out the transformation of the offered properties and behaviors of the virtual resources to the virtualized and / or real existing resources.
  • This can also be an abstraction of the real existing resources done and thus, for example, the complexities of the operation of the virtual resources for the processes are reduced.
  • the control agent can support or even completely map the safety-related properties of the system. Depending on the degree of system availability and / or false security, various strategies can be derived. Safety - related here means the ability of the system to remain in a safe system state or to go directly into it when certain fault or failure conditions occur.
  • the control means in general and / or special error case via a rule set to receive the appropriate reaction rule. For example, in special error cases, a predetermined process can be triggered.
  • each of the at least two control means is directly connected to a resource and communicates with it without monitoring by the control means.
  • a control means may also communicate directly with multiple resources.
  • the communication of a control means with resources to which another control means is directly connected is advantageously monitored by the control means. This results according to the invention safe areas, which are protected from the outside by the control means against unwanted influences by other control means. Internally, however, the control means may freely communicate with the resources in these protected areas so that the complexity of the control means can be reduced.
  • control means limits the communication of the control means with resources that are directly connected to another control means, or prevents them completely.
  • control means which are located outside a safe area or in another secure area, can not change the state of the operating means in a safe area, but can only read out this status. As a result, unwanted influences are safely avoided.
  • control means are processes.
  • several processes are provided which access a common resource, for example a shared memory area, the control means communicating the processes with this common resource, e.g. the memory area, controlled and z.
  • the control means communicating the processes with this common resource, e.g. the memory area, controlled and z.
  • individual processes only writing and / or reading allowed.
  • individual processes on certain resources such.
  • B. Storage areas or peripherals fully access without control by the control means. However, the access of other processes to these resources is monitored by the control means and possibly restricted or completely prevented.
  • control means may also be microcontrollers or microcomputers.
  • the control means then ensure that individual microcontrollers or microcomputers can access shared equipment only in a controlled manner, or resources controlled directly by individual microcontrollers or microcomputers, such as peripheral devices or memory areas of other microcontrollers. trollers or microcomputers can only be controlled or not controlled.
  • the resources may be storage areas and / or peripherals. It is ensured by the control means that the access of the control means to the memory areas and / or peripheral devices does not lead to undesired influences.
  • the control means monitors access to a shared memory area and allows individual control means, for example, only to read data or only to store data.
  • the control means can control the communication of a peripheral such as e.g. restrict or completely block an external interface with individual safety-relevant operating or control devices.
  • a control means and one or more directly related resources may constitute a virtual resource, the control means allowing communication of the other control means only with the virtual resource.
  • the first control means and the resources directly connected thereto are thus merged into a virtual operating means, so that the other control means can no longer access the resources individually.
  • the present invention therefore further comprises a control device for vehicles, in particular for controlling vehicle safety devices, having at least one control means which forms a virtual operating means with one or more operating means directly connected to the control means, wherein a control means is provided, which communicates with other control means only allowed with the virtual resource.
  • the virtual resource is implemented by software.
  • the control means, which forms the virtual operating means together with the directly connected real operating means may be a process which is implemented by the software and simulates the virtual operating means. This can z. B. on the same microcontroller or microcomputer several virtual resources are simulated.
  • the control means may also designate a microcontroller or microcomputer on which software runs which simulates a virtual resource.
  • a plurality of virtual operating means can be simulated by the same real operating means.
  • FIG. 1 a system overview according to the prior art
  • FIG. 2 shows a system overview of a first embodiment of the solution according to the invention with two control means
  • FIG. 3 is a system overview of a second embodiment of the present invention.
  • FIG. 4 shows a system overview of a third exemplary embodiment of the present invention
  • FIG. 6 shows a system overview of a first embodiment of the inventive virtualization of resources.
  • FIG. 2 shows the system overview of a first exemplary embodiment of the present invention. This corresponds essentially to that after the Prior art, as shown in Figure 1.
  • a security system 1 with two control means 4.1 and 4.2 is selected. Although they communicate directly with the resources exclusively used by them 5.1 and 5.2. The further communication takes place via the control means 3, as shown by the communication paths 2.1. Access to the shared resources is exclusively via the control means 3 or is monitored by this and possibly suppressed. The access of the exclusively used resources 5.1 and 5.2 by the associated control means is allowed at any time and is not checked by the control means 3 specifically. An inadmissible access of a control means 4.1 directly to the exclusively used by the control means 4.2 resources 5.2 is suppressed (see the suppressed resource access 2.3).
  • FIG. 3 shows a second exemplary embodiment of a control device according to the invention, which controls a single vehicle safety device, in this case the airbag.
  • the individual control means are processes which run within the control and which access or control individual resources.
  • the resources are both storage areas and interfaces to peripheral devices.
  • the individual control means each have resources on which they are directly connected, so that the Control means 40 do not monitor the communication with these resources. The individual control means thus have full access to these resources directly connected to them.
  • the access of a control means to resources, which are directly connected to another control means, however, is monitored by the control means 40 and possibly restricted or completely prevented.
  • the crash trigger algorithm 10 is directly connected to a memory for the trigger decision 11 and has full access to this.
  • the communication of the airbag trigger controller 20 with the triggering memory 11 is monitored by the control means 40, the control means providing that the airbag trigger controller 20 can only read the triggering decision memory 11, do not change though. As a result, an unwanted influence of the crash trigger algorithm 10 is prevented by the controller 20 of the airbag trigger.
  • the controller 20 for the airbag trigger is in turn directly connected to the interface 21 to the airbag and can thus directly control them without monitoring by the control means 40.
  • the workshop diagnosis 30 is directly connected both to an error memory 31 and to an external interface 32, so that the communication between these components takes place without the intervention of the control means 40.
  • the workshop diagnosis 30 can thus control the external interface 32 or be controlled via the external interface 32.
  • access by the workshop diagnostics 30 to the resources of the airbag trigger control 20 or the crash triggering algorithm 10 is prevented by the control means, as is access by the crash triggering algorithm 10 to the control resources 20 for the airbag trigger as well as for the workshop diagnosis 30. As a result, unwanted effects of the individual processes can be avoided with each other.
  • a common operating means in the form of an accident data recorder 41 is provided, with which all control means can communicate via the control means 40 at least in a limited form.
  • the access of the crash triggering algorithm 10 to the accident data recorder 41 is limited by the control means 40 to the letter, as well as the access of the controller 20 for the airbag trigger.
  • the workshop diagnosis 30 can read and delete the data from the accident data recorder 41.
  • the control means 40 thus ensure that the communication of the individual processes with the common operating means 41 takes place without unwanted influence.
  • running control operations will now be exemplified: z. B. recognizes the crash triggering algorithm 10 a crash situation and accesses the memory for the trigger decision 11 directly to store there a positive trigger decision.
  • the control 20 for the airbag trigger now accesses the memory for the triggering decision 11 via the control means 40 and reads the result, the control means 40 restricting access to the reading.
  • the control 20 for the airbag trigger now communicates directly with the interface to the airbag 21 and thus triggers the airbag.
  • control means 40 The communication between the individual areas of control means with directly associated resources is thus monitored by the control means 40, so as to provide the security of the communication.
  • a control of the communication between crash triggering algorithm 10 and the memory for the triggering decision 11 and the communication between the controller 20 and the interface to the airbag 21 is not provided, which reduces the complexity of the control means.
  • the workshop diagnosis 30 can now read out and delete data from the accident data recorder 41 via the control means 40, and store error messages in the error memory 31 connected directly to the workshop diagnosis 30. The corresponding data can then be read out via the external interface 32.
  • a restriction of the communication between workshop diagnosis 30, fault memory 31 and external interface 32 is again not necessary, so that the complexity of the control means 40 can be reduced.
  • this is a control device in which individual processes form the control means which are based on memory access to peripheral devices, wherein the control means, which are also processes, monitor the communication.
  • FIG. 4 shows a third exemplary embodiment of the present invention, in which the individual control means control different vehicle safety devices.
  • the control means can be embodied in each case as individual microcontrollers and / or microprocessors, but can also be implemented in software on a common microcomputer.
  • the exemplary embodiment has as control means an airbag control 51 and a brake control 52.
  • the airbag control 51 communicates with an airbag trigger 61 and with sensors 62 directly and without monitoring by the control means 60.
  • the brake control 52 in turn communicates with brake valves 63 and sensors 64 directly and without monitoring by the control means.
  • control means The communication between the control means and such resources, which are directly connected to the respective other control means, on the other hand, via the control means 60, so that unwanted cross influences between the airbag control 51 and the brake control 52 are reliably avoided.
  • a Gurtabroller 65 As common resources of the airbag control 51 and the brake control 52, a Gurtabroller 65, a central memory 66 for the equipment and an external interface 67 are provided, with which both control means can communicate only via the control means 60.
  • the airbag control 51 can also roll up the belt via the belt retractor 65.
  • the brake controller 52 may, for. B. when recognizing a full braking tighten the belt over the belt retractor 65. In order to allow here no negative cross-influences, the communication between the airbag control 51 and belt retractor 65 and between the brake control 52 and belt retractor 65 via the control means 60 according to the invention takes place.
  • the control agent can be z. B. individual Assign commands or individual control means preferences, so that an orderly access to the belt retractor 65 takes place.
  • control means 60 the access of the airbag control 51 and the brake control 52 to the central memory 66 for the equipment z. B. restrict only to a read access.
  • control means 60 can release the access of the external interface 67 to the central memory 66, thus enabling an update.
  • the communication of the individual control means with the operating means takes place in the third embodiment via a bus system, wherein the airbag control 51 and the brake control 52 communicate with each directly connected to them resources via a common bus.
  • the control means 60 is integrated, which monitors the communication accordingly.
  • a central control means 60 may be provided, with which all components are connected via buses, or separate control means elements at different locations of the bus system.
  • FIG. 5 shows the relationships of real resources 6 to virtual resources 8.
  • a subset 7 of the resources 6 actually present is imaged by a virtualization 7.1 into a set of virtual resources.
  • FIG. 6 now shows the virtualization of a resource in one embodiment.
  • the exemplary embodiment shows a control means 70, which on the one hand can access a hardware-implemented SPI interface 81, which thus represents a real existing operating resource.
  • the communication of Control means 70 with the SPI interface 81 is optionally monitored via the control means 80.
  • a virtual SPI interface 90 is further represented, which is formed by the real control and operating means, in particular by a microcontroller 91, a parallel I / O port 92, a clock generator 93 and a configuration memory 94.
  • the microcontroller 91 can access directly the port 92, the clock 93 and the configuration memory 94, without this communication would be monitored with the control means 80.
  • the control means 80 prevent a direct access of the control means 70 to the real control and operating means and allow only the communication of the control means 70 with the virtual interface 90, which is advantageously provided via a run on the microcontroller 91 software.
  • a virtual interface is provided, which can be controlled in exactly the same way as the real SPI interface 81.
  • a plurality of virtual resources can be generated with the same real control and operating means. So z.
  • several virtual SPI interfaces may be provided by the same physical operating and control means.

Abstract

Die vorliegende Erfindung betrifft eine Steuervorrichtung für Fahrzeuge, insbesondere zur Steuerung von Fahrzeugsicherheitseinrichtungen, mit mindestens zwei Steuermitteln, die jeweils mit mindestens einem gemeinsamen Betriebsmittel kommunizieren, wobei die Steuermittel mit einem Kontrollmittel verbunden sind, das die Kommunikation jedes Steuermittels mit dem gemeinsamen Betriebsmittel sowie mit einem Betriebsmittel, das mit einem anderen Steuermittel direkt verbunden ist, überwacht.

Description

Steuervorrichtung für Fahrzeuge
Die Erfindung betrifft eine Steuervorrichtung für Fahrzeuge und insbesondere zur Steuerung von Fahrzeugsicherheitseinrichtungen nach dem Oberbegriff des Anspruchs 1.
Im Bereich der Fahrzeugelektronik werden Steuergeräte für Mess-, Steuer- und Regelungsaufgaben eingesetzt. Die Schritte, die zur Erfüllung dieser Aufgaben notwendig sind, werden in Programmen oder Abläufen beschrieben und überwiegend auf einem Prozessor zur Ausführung gebracht. Zur Absicherung von systematischem und spontanem Fehlverhalten sind in Abhängigkeit von den Sicherheitsanforderungen des Systems bestimmte Maßnahmen vorzusehen. Hierzu ist es bekannt, für sicherheitskritische Systeme in Fahrzeugen, wie beispielsweise elektronischen Bremssystemen, elektronischen Stabilitäts-Programmen und elektrohydrauli- schen Bremsen, Kontrollrechner einzusetzen. Diese sogenannten elektronischen Regler bzw. Steuergeräte weisen bereits heute je nach Ausführungsvariante physikalische und/oder funktionale Rückfallebenen auf.
Eine derartige hydraulische Rückfallebende wird bekannterweise beispielsweise dadurch realisiert, dass bei einer blockiergeschützten Bremsanlage im Fehlerfall der elektronische ABS-Regler abgeschaltet wird. Die bei abgeschaltetem Regler stromlosen Hydraulikventile sind so konzipiert, dass eine gewöhnliche Bremsung ohne das Antiblockiersystem weiterhin vorgenommen werden kann.
Es kann also bei Ausfall des Systems oder von Systemteilen ein Notbetrieb bzw. ein eingeschränkter Betrieb gewährleistet werden. Ebenfalls in ähnlicher Weise läßt sich eine funktionelle Rückfallebene realisieren. Wenn beispielsweise eine komplexe höherwertige Softwarefunktion - wie ein elektronisches Stabilitätsprogramm - fehlerhaft ist, wird diese stillgelegt, wobei die Software von niedrigerem Rang, beispielsweise ein Antiblockiersystem, weiterhin funktionsfähig bleibt.
Der Einsatz von sicherer elektronischer Hardware zur Steuerung und Regelung von Fahrzeugfunktionen bei Fahrzeugen nimmt ständig zu. Dabei wird insbesondere auf eine hohe Ausfallsicherheit und eine fehlertolerante Ausführung der elektronischen Geräte geachtet. Aus der WO 03/050624 A1 ist ein fehlertolerantes elektronisches Steuergerät bekannt, dessen Verfügbarkeit und Sicherheit hinsichtlich des Mikroprozessorsystems besser ist als dies bei bisher bekannten Mikroprozessorkonzepten der Fall ist.
Hierzu wird ein mehrkerniges redundantes Kontrollrechnersystem vorgesehen, bei dem mindestens zwei Kontrollrechner miteinander verbunden sind. Diese sind neben jeweils einem Rechnerkern mit teil- oder vollredundanten Peripherieelementen und teil- und vollredundanten Speicherelementen ausgestattet und auf einem gemeinsamen Chipträger oder einem gemeinsamen Chip integriert, wobei die mindestens zwei Kontrollrechner mit mindestens einer gemeinsamen ersten Arbitration- seinheit, welche die Kontrollrechner auf eine Fehlfunktion hin überwacht, verbunden sind.
Ähnliche Sicherheitsmechanismen sind aus der DE 10 35 09 19 A1 , die ein Steuergerät und eine Beschleunigungssensorik betrifft, und der EP 0 728 635 B1 , die eine Steuerungsvorrichtung für eine Insassenschutzeinrichtung betrifft, bekannt. Diese vorbekannten Systeme weisen aber Schwachstellen in ihrer Sicherheit auf.
So ist beispielsweise bei Zugriffen zweier oder mehrerer Softwareprozesse auf die Peripherie kein Schutz gegen wechselseitige Beeinflussung implementiert. Somit ist es möglich, beispielsweise vom Prozeß A eine Modifikation im Adressraum direkt oder indirekt in dem Betriebsmittel B zu verursachen. Dies kann die Folge von spontanen Fehlern oder systematischen Fehlimplementierungen sein.
Weiterhin basieren Zeitscheibenbetriebssysteme auf zeitgebergesteuerten Prozessaufrufen. Diese Prozessaufrufe werden durch Interrupts aus der Peripherie verursacht. Der Zugriff auf diese Peripherie kann aber von beliebiger Stelle erfolgen und dadurch eine fehlerhafte Modifikation verursachen. Generell ist ein übergreifender Schutz vor systematischen oder sporadischen Fehlern, insbesondere Softwarefehlern, nicht realisiert.
Anhand der Figur 1 kann ein System nach dem Stand der Technik erläutert werden. Hier sind zwei unabhängige Steuermittel 4.1 und 4.2 vorgesehen. Sie wirken mit einem gemeinsam genutzten Betriebsmittel 2 zusammen. Der Zugriff auf das Betriebsmittel seitens des Steuermittels 4.1 ist mit dem laufenden Betriebsmittelzugriff 2.1 bezeichnet. In gleicher Weise ist der Zugriff des Steuermittels 4.2 auf das gemeinsam genutzte Betriebsmittel über den erlaubten Betriebsmittelzugriff 2.1 dargestellt. Neben dem Zugriff auf das gemeinsame Betriebsmittel sind die Steuermittel 4.1 und 4.2 jeweils exklusiv mit einem Betriebsmittel 5.1 bzw. einem Betriebsmittel 5.2 verbunden. Auch hier gibt es jeweils einen erlaubten Betriebsmittelzugriff 2.1.
Über die gestrichelten Verbindungslinien besteht zum einen eine unzulässige Kommunikation 4.3 zwischen den Steuermitteln 4.1 und 4.2. Weiterhin sind auch die unmittelbaren Zugriffe vom Steuermittel 4.2 auf das von dem Steuermittel 4.1 genutzte Betriebsmittel 5.1 und umgekehrt vom Steuermittel 4.1 auf das exklusiv vom Steuermittel 4.2 genutzte Betriebsmittel 5.2 dargestellt. Die hier dargestellten Betriebsmittelzugriffe 2.2 sind ebenfalls unzulässig. In dieser Konfiguration ergibt sich das Problem, dass für den Fall, dass die Steuermittel die Prozesse gleichzeitig abwickeln, sich diese gegenseitig beeinflussen können. Eine Beeinflussung oder Veränderung des Steuermittels 4.2 durch das Steuermittel 4.1 findet genau dann statt, wenn das Steuermittel 4.2 infolge des Prozesses den Prozessablauf ändert und zu einem anderen Ergebnis gelangt. Die Beeinflussung eines Steuermittels durch ein anderes Steuermittel, d. h. der jeweiligen durch diese veranlaßten Prozesse, kann sowohl beabsichtig sein als auch unbeabsichtigt sein. Beabsichtigte Beeinflussungen der Steuermittel während des Ablaufs der Prozesse entstehen beispielsweise infolge von Kommunikation und/oder Synchronisation mit einem oder mehreren anderen Prozessen.
Im Rahmen der vorliegenden Anmeldung beinhalten die hier definierten Steuermittel beispielsweise Prozesse, d. h. bestimmte Programmabläufe. Zum Ablauf des Programms sind das Speicherabbild des Programms, Speicher für die Daten, vom Betriebssystem bereitgestellte Ressourcen und ein Prozessor notwendig. Nachher werden diese Betriebsmittel als zum Steuermittel bzw. den mit diesen durchgeführten Prozess zugehörig betrachtet. Allgemein spricht man hier von einem „Programm in Ausführung". Steuermittel sind über die durch sie eingeleiteten Prozesse einerseits Handlungsträger in einer Rechenanlage, andererseits Objekte, denen Prozesskapazität (CPU-Kapazität) zugeteilt wird.
Bei einer unbeabsichtigten Beeinflussung wird ein Steuermittel in einer Art und Weise beeinflußt, wie es von der Spezifikation nicht vorgesehen war und/oder wie es der Lösung der Aufgabe, die das Steuermittel bewältigen soll, nicht zuträglich ist. Insbesondere bei sicherheitsrelevanten Anwendungen stellen derartige Prozessergebnisse ein Problem dar.
Aufgabe der Erfindung ist es nun, eine Steuervorrichtung an die Hand zu geben, bei der ein derartiges systematisches und/oder spontanes Fehlverhalten sicher verhindert wird. Erfindungsgemäß wird die Aufgabe durch eine Steuervorrichtung mit den Merkmalen des Anspruchs 1 gelöst. Demnach wird bei einer Steuervorrichtung die in Fahrzeugen einsetzbar ist und die insbesondere zur Steuerung von Fahrzeugsicherheitseinrichtungen Verwendung findet, ein Kontrollmittel vorgesehen. Hierdurch können für die mindestens zwei Steuermittel, die jeweils mit mindestens einem gemeinsamen unabhängigen Betriebsmittel und/oder mit mindestens einem mit dem jeweils anderen Steuermittel verbundenen Betriebsmittel kommunizieren, die Kommunikation jedes Steuermittels mit dem unabhängigen Betriebsmittel sowie mit einem Betriebsmittel, das mit einem anderen Steuermittel verbunden ist, überwacht werden. Hier werden also unbeabsichtigte Beeinflussungen zwischen den Steuermitteln ausgeschlossen.
Die bevorzugten Ausgestaltungen der Erfindung ergeben sich aus den sich an den Hauptanspruch anschließenden Unteransprüchen.
Die Unterscheidung zwischen einer beabsichtigten und unbeabsichtigten Beeinflussung wird vom Kontrollmittel anhand eines Regelsatzes vorgenommen. Eine mögliche Form des Regelsatzes stellt eine einfache oder mehrfach verschachtelte Tabellenstruktur dar, über die das Kontrollmittel die Gültigkeit der Speicherzugriffe eines Prozesses bestimmen kann.
Damit das Kontrollmittel seine Aufgabe erfüllen kann, ist es vorzugsweise in Teilen oder vollständig in Hardware realisiert. Dabei kann es als Teil des Mikrokontrollers oder als Funktionseinheit in einem separaten Bauteil oder in einer separaten Hardware verwirklicht sein („in separatem Silizium"). Ist das Kontrollmittel nicht vollständig in Hardware realisiert, wird es in seiner Funktionalität durch ein Programm und/oder einen Daten-/Parametersatz, der hier als Regelsatz bezeichnet ist, vervollständigt. Um ein nicht zu komplexes System zu erhalten, können hier mehrere einfache Kontrollmittel eingesetzt werden.
Ein Regelsatz kann während der Systemlaufzeit veränderbar - dynamisch - oder unveränderbar - statisch - gestaltet sein. Statische Regelsätze werden vorzugswei- se in einem nicht flüchtigen Speicher abgelegt, wie beispielsweise einem ROM, PROM oder Flash ROM. Für dynamische Regelsätze bieten sich beschreibbare Speicher an, wie beispielsweise RAM. Die Initialisierung eines dynamischen Regelsatzes kann durch einen statischen Regelsatz erfolgen.
Die Steuermittel können sich während des Betriebes auf unterschiedliche Weise beeinflussen. Eine unbeabsichtigte Beeinflussung wird dabei meist durch eine Kopplung zweier oder mehrerer Steuermittel über ein oder mehrere gemeinsam genutzte Betriebsmittel verursacht. Unter Betriebsmittel im Sinne der vorliegenden Erfindung werden Ressourcen verstanden, die bei einem Kommunikationsprozess mit den Steuermitteln verbunden werden, wie beispielsweise Rechenwerke, Register, Logiken, Speicher oder Peripheriegeräte.
Soll eine Beeinflussung zwischen den Steuermitteln während der Kommunikation unterbunden werden, hat das Kontrollmittel dafür zu sorgen, dass die Betriebsmittel, die ein Steuermittel für seine Abarbeitung benötigt, von diesem exklusiv genutzt werden können, d. h. vor Beendigung der Abarbeitung des Kommunikationsprozesses mit dem Steuermittel muß eine gleichzeitige Benutzung durch eine andere Kommunikation mit einem anderen Steuermittel ausgeschlossen werden.
Ein Beispiel für eine Ausführung eines derartigen Systems besteht aus einem integrierten Baustein als Kontrollmittel und einem Mikrokontroller. Der Mikrokontroller muß dazu interne Zustände, (einen Adressbus, einen Programmzähler oder etwas anderes) dem Baustein Kontrollmittel zur Verfügung stellen. Anhand des Regelsatzes kann das Kontrollmittel nun erkennen, ob der aktive Kommunikationsprozess des Steuermittels (eventuell erkennbar durch den Programmzähler) die notwendige Berechtigung hat, auf Betriebsmittel (beispielsweise erkennbar durch die Information auf dem Adressbus) zuzugreifen. Im Falle eines zulässigen Zugriffes wird der weitere Funktionsablauf nicht beeinflußt. Im Fehlerfall wird beispielsweise eine Ansteuerung des für das Steuermittel unzulässigen Betriebsmittels durch Unterbrechung des Programmablaufs, durch Unterbrechung des Adress- oder Datenbusses oder Umschreiben des Programmzählers erreicht. Ist die exklusive Nutzung eines Betriebsmittels im Prinzip umsetzbar oder wird das Betriebsmittel von mehr als einem Prozeß gleichzeitig beansprucht, so muß das Kontrollmittel den Zugriff abhängig vom Regelsatz organisieren. Dabei kann es beispielsweise den exklusiven Zugriff verschiedener Steuermittel, die das Betriebsmittel beanspruchen dürfen, alternierend weiter erlauben.
Besitzt das Betriebsmittel, das von den verschiedenen Steuermitteln angesteuert werden soll, einen Zustand, in dem die Kommunikation mit den Steuermitteln verändert werden kann, so hat das Kontrollmittel vorzugsweise dafür zu sorgen, dass sich die Zustandsänderungen nicht ungewollt durch die Kommunikation auf andere Steuermittel überträgt. Im gleichen Sinne ist es ebenfalls zweckmäßig, wenn das Kontrollmittel die vom Steuermittel herbeigefügte Zustandsänderung beim Wechsel zu einem anderen Steuermittel sichert und beim Wechsel der Kommunikation von einem anderen Steuermittel zurück zur Kommunikation mit dem ersten Steuermittel wiederherstellt. Beispielsweise kann das Kontrollmittel die aktuelle Konfiguration einer Schnittstelle, auf welche zwei Steuermittel gemeinsam zugreifen, bei einem Wechsel zwischen dem ersten und dem zweiten Steuermitteln speichern. Wechselt die Kommunikation wieder zum ersten Steuermittel, wird die abgespeicherte Konfiguration wieder bereitgestellt, so dass eventuell vom zweiten Steuermittel vorgenommene Zustandsänderungen an der Konfiguration keinen Einfluß auf das erste Steuermittel haben. Das Kontrollmittel kann damit bei einem Wechsel der Kommunikation den jeweils von einem Steuermittel benötigten bzw. bei der letzten Kommunikation zurückgelassenen Zustand des Betriebsmittels bereitstellen.
Zusätzlich kann das Kontrollmittel die Aufgabe einer generellen Zugriffskontrolle übernehmen. Bei dieser Art der Zugriffkontrolle soll nicht nur die unbeabsichtigte Beeinflussung der Kommunikation mit einem Steuermittel verhindert werden, sondern es soll vielmehr generell der Zugriff von bestimmten Steuermitteln auf bestimmte Betriebsmittel durch das Kontrollmittel blockiert werden. Eine Kommunikation zur Bedienung der Fahrzeugdiagnoseschnittstelle soll beispielsweise durch ein Fehlverhalten keine sicherheitskritische Vollbremsung einleiten können. Vorzugsweise ist eine mögliche Umsetzung der beschriebenen Eigenschaften durch eine Virtualisierung der Betriebsmittel zu erreichen. Ein Betriebsmittel, das für die Virtualisierung verwendet wurde, soll im folgenden als virtualisiertes Betriebsmittel bezeichnet werden. Betriebsmittel, die durch den Vorgang der Virtualisierung eines Betriebsmittels entstehen, werden virtuelle Betriebsmittel genannt. Alle bereits beschriebenen Mechanismen sind auch auf die virtuellen Betriebsmittel abbildbar. Die Virtualisierung kann sich auch auf Betriebsmittel in einer getrennten Hardware oder in einer getrennten Komponente („getrenntes Silizium") erstrecken.
Durch die Virtualisierung eines bisher beschriebenen real vorhandenen Betriebsmittels werden durch das Kontrollmittel ein oder mehrere virtuelle Betriebsmittel erzeugt, die bevorzugt über gleiche oder ähnliche Eigenschaften verfügen und ein gleiches oder ähnliches Verhalten vorweisen wie das virtualisierte Betriebsmittel aus dem sie entstanden sind. In diesem Fall sollte das virtualisierte Betriebsmittel von Steuermitteln nur noch über das Kontrollmittel belegt werden können. Stattdessen stehen den Prozessen dann die virtuellen Betriebsmittel zur Verfügung. Die Virtualisierung kann auch mehrere Betriebsmittel in einem virtuellen Betriebsmittel zusammenfassen.
Dabei kann das virtuelle Betriebsmittel gegenüber den virtualisierten Betriebsmitteln und umgekehrt an Eigenschaften und Verhaltensweisen hinzugewinnen. Beispielsweise kann hier die Realisierung einer Datenkomprimierung in real vorhandenen Betriebsmitteln oder eine Prüfsummenbildung in virtuellen Betriebsmitteln angeführt werden.
Eine mögliche Anwendung von virtuellen Betriebsmitteln kann darin bestehen, eine Kommunikationsschnittstelle (z. B. CAN-Schnittstelle) mit externen Teilnehmern zu implementieren. Dabei werden reale Betriebsmittel, beispielsweise Zeitgeber (für eine übertragene Taktinformation), Ein- und Ausgabeanschlüsse (für die Da- tenschreib- und Lesefunktion) oder auch Einheiten zur Checksummenberechnung in einem virtuellen Betriebsmittel kombiniert und gesteuert. Der das virtuelle Be- triebsmittel ansteuernde Prozeß kennt aber die dahinter befindlichen Betriebsmittel nicht und kann diese auch nicht ansteuern. Er behandelt die virtuelle Kommunikationsschnittstelle so, als wäre sie für die spezielle Anwendung real und für den Prozess ideal (z. B. als CAN-Schnittstelle) implementiert.
Zustandsänderungen, die ein Steuermittel an einem virtuellen Betriebmittel vornimmt, sollen sich auf diese Weise nicht mehr ungewollt auf andere Betriebsmittel übertragen. Zugleich soll der Zustand des Betriebsmittels über einen Prozesswechsel hinweg erhalten werden können. Gelöst wird dies durch das Kontrollmittel, das die virtuellen Betriebsmittel bereitstellt und die Transformation der angebotenen Eigenschaften und Verhaltensweisen der virtuellen Betriebsmittel auf die virtuali- sierten und/oder real vorhandenen Betriebsmittel vornimmt. Hierbei kann auch eine Abstraktion der real vorhandenen Betriebsmittel erfolgen und dadurch beispielsweise die Komplexitäten der Bedienung der virtuellen Betriebsmittel für die Prozesse herabgesetzt werden.
Das Kontrollmittel kann die sicherheitsgerichteten Eigenschaften des Systems unterstützen oder gar vollständig abbilden. Abhängig von der Ausprägung der Systemverfügbarkeit und/oder Fehlsicherheit sind verschiedene Strategien ableitbar. Sicherheitsgerichtet bedeutet hier die Fähigkeit des Systems, beim Auftreten bestimmter Fehler - oder Ausfallzustände in einem sicheren Systemzustand zu verweilen oder unmittelbar in einen solchen überzugehen. Dazu kann das Kontrollmittel im allgemeinen und/oder speziellen Fehlerfall über einen Regelsatz die entsprechende Reaktionsvorschrift erhalten. Beispielsweise kann in speziellen Fehlerfällen ein vorbestimmter Prozeß ausgelöst werden.
Vorteilhafterweise ist weiterhin jedes der mindestens zwei Steuermittel direkt mit einem Betriebsmittel verbunden und kommuniziert mit diesem ohne eine Überwachung durch das Kontrollmittel. Weiterhin kann ein Steuermittelkönnen auch mit mehreren Betriebsmitteln direkt kommunizieren. Die Kommunikation eines Steuermittels mit Betriebsmitteln, mit denen ein anderes Steuermittel direkt verbunden ist, wird jedoch vorteilhafterweise von dem Kontrollmittel überwacht. Hierdurch ergeben sich erfindungsgemäß sichere Bereiche, welche nach außen hin durch das Kontrollmittel vor ungewollten Beeinflussungen durch andere Steuermittel geschützt sind. Intern können die Steuermittel jedoch in diesen geschützten Bereichen mit den Betriebsmitteln frei kommunizieren, so dass die Komplexität des Kontrollmittels reduziert werden kann.
Weiterhin vorteilhafterweise schränkt das Kontrollmittel die Kommunikation der Steuermittel mit Betriebsmitteln, die mit einem anderen Steuermittel direkt verbunden sind, ein oder verhindert diese komplett. Z. B. kann vorgesehen sein, dass Steuermittel, welche sich außerhalb eines sicheren Bereichs bzw. in einem anderen sicheren Bereich befinden, den Zustand der Betriebsmittel in einem sicheren Bereich nicht verändern können, sondern diesen Zustand lediglich auslesen können. Hierdurch werden ungewollte Beeinflussungen sicher vermieden.
Vorteilhafterweise kann gemäß der vorliegenden Erfindung vorgesehen sein, dass es sich bei den Steuermitteln um Prozesse handelt. Z. B. sind dabei mehrere Prozesse vorgesehen, welche auf ein gemeinsames Betriebsmittel, beispielsweise einen gemeinsam genutzten Speicherbereich, zugreifen, wobei die Kontrollmittel die Kommunikation der Prozesse mit diesem gemeinsamen Betriebsmittel, z.B. dem Speicherbereich, kontrolliert und z. B. einzelnen Prozessen nur das Schreiben und/oder nur das Lesen erlaubt. Weiter können einzelne Prozesse auf gewisse Betriebsmittel wie z. B. Speicherbereiche oder Peripheriegeräte ohne eine Kontrolle durch das Kontrollmittel voll zugreifen. Der Zugriff anderer Prozesse auf diese Betriebsmittel wird jedoch von dem Kontrollmittel überwacht und gegebenenfalls eingeschränkt bzw. komplett verhindert.
Alternativ kann es sich bei den Steuermitteln auch um MikroController oder Mikrocomputer handeln. Die Kontrollmittel sorgen dann dafür, dass einzelne Mikrocon- troller bzw. Mikrocomputer nur kontrolliert auf gemeinsame Betriebsmittel zugreifen können bzw. direkt von einzelnen MikroControllern bzw. Mikrocomputern gesteuerte Betriebsmittel wie Peripheriegeräte oder Speicherbereiche von anderen Mikrokon- trollern bzw. Mikrocomputern nur kontrolliert oder gar nicht angesteuert werden können.
Weiterhin vorteilhafterweise kann es sich bei den Betriebsmitteln um Speicherbereiche und/oder Peripheriegeräte handeln. Durch das Kontrollmittel ist dabei gewährleistet, dass es durch den Zugriff der Steuermittel auf die Speicherbereiche und/oder Peripheriegeräte nicht zu unerwünschten Beeinflussungen kommt. Zum Beispiel überwacht das Kontrollmittel den Zugriff auf einen gemeinsam genutzten Speicherbereich und erlaubt einzelnen Steuermitteln beispielsweise nur das Auslesen von Daten oder nur das Speichern von Daten. Weiterhin kann das Kontrollmittel die Kommunikation eines Peripheriegerätes wie z.B. einer externen Schnittstelle mit einzelnen sicherheitsrelevanten Betriebs- oder Steuermitteln einschränken oder ganz blockieren.
Weiterhin vorteilhafterweise können ein Steuermittel und ein oder mehrere direkt damit verbundene Betriebsmittel ein virtuelles Betriebsmittel bilden, wobei das Kontrollmittel eine Kommunikation der anderen Steuermittel nur mit dem virtuellen Betriebsmittel erlaubt. Bezüglich der Kommunikation mit den anderen Steuermitteln sind damit das erste Steuermittel und die damit direkt verbundenen Betriebsmittel zu einem virtuellen Betriebsmittel verschmolzen, so dass die anderen Steuermittel auf die Betriebsmittel nicht mehr einzeln zugreifen können.
Für diese Ausgestaltung der Erfindung wird dabei auch eigenständig, d. h. unabhängig von der sonstigen Ausgestaltung des Steuersystems, Schutz beansprucht. Die vorliegende Erfindung umfasst daher weiterhin eine Steuervorrichtung für Fahrzeuge, insbesondere zur Steuerung von Fahrzeugsicherheitseinrichtungen, mit mindestens einem Steuermittel, welches mit einem oder mehreren direkt mit dem Steuermittel verbundenen Betriebsmitteln ein virtuelles Betriebsmittel bildet, wobei ein Kontrollmittel vorgehen ist, welches eine Kommunikation anderer Steuermittel nur mit dem virtuellen Betriebsmittel erlaubt. Vorteilhafterweise ist das virtuelle Betriebsmittel dabei durch Software implementiert. Insbesondere kann es sich dabei bei dem Steuermittel, welches zusammen mit dem direkt damit verbundenen realen Betriebsmitteln das virtuelle Betriebsmittel bildet, um einen Prozess handeln, welcher durch die Software implementiert ist und das virtuelle Betriebsmittel simuliert. Damit können z. B. auf dem gleichen Mikro- controller oder Mikrocomputer mehrere virtuelle Betriebsmittel simuliert werden. Alternativ kann mit dem Steuermittel auch ein MikroController oder Mikrocomputer bezeichnet werden, auf welchem eine Software läuft, welche ein virtuelles Betriebsmittel simuliert. Vorteilhafterweise können dabei durch die gleichen realen Betriebmittel mehrere virtuelle Betriebmittel simuliert werden.
Weitere Merkmale, Einzelheiten der Erfindung werden in den beigefügten Figuren anhand von Ausführungsbeispielen näher erläutert. Es zeigen:
Figur 1 : eine Systemübersicht nach dem Stand der Technik,
Figur 2: eine Systemübersicht eines ersten Ausführungsbeispiels der erfindungsgemäßen Lösung mit zwei Steuermitteln,
Figur 3: eine Systemübersicht eines zweiten Ausführungsbeispiels der vorliegenden Erfindung,
Figur 4: eine Systemübersicht eines dritten Ausführungsbeispiels der vorliegenden Erfindung,
Figur 5: das Verhältnis von real vorhandenen zu virtuellen Betriebsmitteln und
Figur 6: eine Systemübersicht eines ersten Ausführungsbeispiels der erfindungsgemäßen Virtualisierung von Betriebsmitteln.
In der Figur 2 ist die Systemübersicht eines ersten Ausführungsbeispiels der vorliegenden Erfindung gezeigt. Diese entspricht im wesentlichen derjenigen nach dem Stand der Technik, wie sie in Figur 1 dargestellt ist. So ist hier in dem beigestellten Beispiel ein Sicherheitssystem 1 mit zwei Steuermitteln 4.1 und 4.2 gewählt. Diese kommunizieren zwar unmittelbar mit den exklusiv von ihnen genutzten Betriebsmitteln 5.1 und 5.2. Die weitere Kommunikation erfolgt über das Kontrollmittel 3, wie anhand der Kommunikationswege 2.1 gezeigt ist. Der Zugriff auf die gemeinsam genutzten Betriebsmittel erfolgt ausschließlich über das Kontrollmittel 3 oder wird durch dieses überwacht und gegebenenfalls unterbunden. Der Zugriff der exklusiv genutzten Betriebsmitteln 5.1 und 5.2 durch das zugehörige Steuermittel ist jederzeit erlaubt und wird nicht eigens von dem Kontrollmittel 3 überprüft. Ein unzulässiger Zugriff eines Steuermittels 4.1 unmittelbar auf das exklusiv vom Steuermittel 4.2 genutzte Betriebsmittel 5.2 wird unterbunden (vgl. den unterbundenen Betriebsmittelzugriff 2.3).
In Figur 3 ist nun ein zweites Ausführungsbeispiel einer erfindungsgemäßen Steuervorrichtung gezeigt, welche eine einzige Fahrzeugsicherheitseinrichtung ansteuert, in diesem Fall den Airbag. Bei den einzelnen Steuermitteln handelt es sich dabei um Prozesse, welche innerhalb der Steuerung ablaufen und welche auf einzelne Betriebsmittel zugreifen bzw. diese ansteuern. Bei den Betriebsmitteln handelt es sich dabei sowohl um Speicherbereiche als auch um Schnittstellen zu Peripheriegeräten.
Gezeigt sind dabei drei Steuermittel, der Crash-Auslöse-Algorithmus 10, die Steuerung 20 für den Airbag-Auslöser sowie die Werkstatt-Diagnose-Steuerung 30. Die einzelnen Steuermittel weisen dabei jeweils Betriebsmittel auf, mit welchen sie direkt verbunden sind, so dass die Kontrollmittel 40 die Kommunikation mit diesen Betriebsmitteln nicht überwachen. Auf diese direkt mit ihnen verbundenen Betriebsmittel haben die einzelnen Steuermittel damit jeweils den Vollzugriff. Der Zugriff eines Steuermittels auf Betriebsmittel, welche mit einem anderen Steuermittel direkt verbunden sind, wird dagegen von dem Kontrollmittel 40 überwacht und gegebenenfalls eingeschränkt oder ganz verhindert. Der Crash-Auslöser-Algorithmus 10 ist dabei mit einem Speicher für die Auslöseentscheidung 11 direkt verbunden und hat auf diesen vollen Zugriff. Die Kommunikation der Steuerung 20 für den Airbag-Auslöser mit dem Speicher für die Auslöseentscheidung 11 wird dagegen durch das Kontrollmittel 40 überwacht, wobei das Kontrollmittel dafür sorgt, dass die Steuerung 20 für den Airbag-Auslöser den Speicher für die Auslöseentscheidung 11 nur auslesen kann, nicht jedoch ändern. Hierdurch wird eine ungewollte Beeinflussung des Crash-Auslöser-Algorithmus 10 durch die Steuerung 20 des Airbag-Auslösers verhindert.
Die Steuerung 20 für den Airbag-Auslöser ist nun ihrerseits mit der Schnittstelle 21 zum Airbag direkt verbunden und kann diese somit ohne eine Überwachung durch die Kontrollmittel 40 direkt ansteuern. Die Werkstatt-Diagnose 30 ist sowohl mit einem Fehlerspeicher 31 als auch mit einer externen Schnittstelle 32 direkt verbunden, so dass die Kommunikation zwischen diesen Komponenten ohne Eingriff der Kontrollmittel 40 erfolgt. Die Werkstatt-Diagnose 30 kann damit die externe Schnittstelle 32 ansteuern bzw. über die externe Schnittstelle 32 angesteuert werden. Ein Zugriff der Werkstatt-Diagnose 30 auf die Betriebsmittel der Steuerung 20 für den Airbag-Auslöser bzw. des Crash-Auslöse-Algorithmus 10 wird jedoch durch die Kontrollmittel verhindert, ebenso wie ein Zugriff des Crash-Auslöse-Algorithmus 10 auf die Betriebsmittel der Steuerung 20 für den Airbag-Auslöser sowie auf die Werkstatt-Diagnose 30. Hierdurch können ungewollte Beeinflussungen der einzelnen Prozesse untereinander vermieden werden.
Weiterhin ist jedoch ein gemeinsames Betriebsmittel in Form eines Unfalldatenre- korders 41 vorgesehen, mit welchem alle Steuermittel über die Kontrollmittel 40 zumindest in beschränkter Form kommunizieren können. Der Zugriff des Crash- Auslöse-Algorithmus 10 auf den Unfalldatenrecorder 41 wird dabei durch die Kontrollmittel 40 auf das Schreiben beschränkt, ebenso wie der Zugriff der Steuerung 20 für den Airbag-Auslöser. Die Werkstatt-Diagnose 30 kann dagegen die Daten aus dem Unfalldatenrecorder 41 lesen und löschen. Die Kontrollmittel 40 sorgen damit dafür, dass die Kommunikation der einzelnen Prozesse mit dem gemeinsamen Betriebsmittel 41 ohne ungewollte Beeinflussung erfolgt. Auf der erfindungsgemäßen Steuervorrichtung ablaufende Steuervorgänge werden nun beispielhaft dargestellt: z. B. erkennt der Crash-Auslöse-Algorithmus 10 eine Crash-Situation und greift auf den Speicher für die Auslöseentscheidung 11 direkt zu, um dort eine positive Auslöseentscheidung abzulegen. Gleichzeitig schreibt er die der Auslöseentscheidung zugrunde liegenden Daten in den Unfalldatenrecorder 41 , wobei diese Kommunikation durch die Kontrollmittel 40 darauf überwacht wird, dass keine bereits im Unfalldatenrecorder 41 vorhandenen Daten geändert oder gelöscht werden. Die Steuerung 20 für den Airbag-Auslöser greift nun über die Kontrollmittel 40 auf den Speicher für die Auslöseentscheidung 11 zu und liest dessen Ergebnis aus, wobei die Kontrollmittel 40 hierbei den Zugriff auf das Lesen beschränken. Die Steuerung 20 für den Airbag-Auslöser kommuniziert nun direkt mit der Schnittstelle zum Airbag 21 und löst so den Airbag aus.
Die Kommunikation zwischen den einzelnen Bereichen aus Steuermitteln mit direkt damit verbundenen Betriebsmitteln wird also über die Kontrollmittel 40 überwacht, um so die Sicherheit der Kommunikation bereitzustellen. Eine Kontrolle der Kommunikation zwischen Crash-Auslöse-Algorithmus 10 und dem Speicher für die Auslöseentscheidung 11 bzw. der Kommunikation zwischen der Steuerung 20 und der Schnittstelle zum Airbag 21 ist dabei nicht vorgesehen, was die Komplexität der Kontrollmittel verringert.
Die Werkstatt-Diagnose 30 kann nun über die Kontrollmittel 40 Daten aus dem Unfalldatenrecorder 41 auslesen und löschen, sowie in dem direkt mit der Werkstatt- Diagnose 30 verbundenen Fehlerspeicher 31 Fehlermeldungen ablegen. Die entsprechenden Daten können dann über die externe Schnittstelle 32 ausgelesen werden. Eine Beschränkung der Kommunikation zwischen Werkstatt-Diagnose 30, Fehlerspeicher 31 und externer Schnittstelle 32 ist dabei wiederum nicht notwendig, so dass die Komplexität der Kontrollmittel 40 verringert werden kann.
Beim zweiten Ausführungsbeispiel handelt es sich damit um eine Steuervorrichtung, bei welcher einzelne Prozesse die Steuermittel bilden, welche auf Speicher- bereiche bzw. auf Peripheriegeräte zugreifen, wobei die Kontrollmittel, welche ebenfalls Prozesse darstellen, die Kommunikation überwachen.
In Figur 4 ist nun ein drittes Ausführungsbeispiel der vorliegenden Erfindung gezeigt, bei welchem die einzelnen Steuermittel unterschiedliche Fahrzeugsicherheitseinrichtungen ansteuern. Die Steuermittel können dabei jeweils als einzelne Mikrocontroller und/oder Mikroprozessoren ausgeführt sein, können jedoch auch softwaremäßig auf einem gemeinsamen Mikrocomputer implementiert sein. Das Ausführungsbeispiel weist dabei als Steuermittel eine Airbag-Steuerung 51 und eine Bremssteuerung 52 auf. Die Airbag-Steuerung 51 kommuniziert dabei mit einem Airbag-Auslöser 61 sowie mit Sensoren 62 direkt und ohne eine Überwachung durch die Kontrollmittel 60. Die Bremssteuerung 52 kommuniziert ihrerseits mit Bremsventilen 63 und Sensoren 64 direkt und ohne eine Überwachung durch die Kontrollmittel.
Die Kommunikation zwischen den Steuermitteln und solchen Betriebsmitteln, welche mit dem jeweils anderen Steuermittel direkt verbunden sind, erfolgt dagegen über das Kontrollmittel 60, so dass hier ungewünschte Querbeeinflussungen zwischen der Airbag-Steuerung 51 und der Bremssteuerung 52 sicher vermieden werden.
Weiterhin sind als gemeinsame Betriebsmittel der Airbag-Steuerung 51 und der Bremssteuerung 52 ein Gurtabroller 65, ein zentraler Speicher 66 für die Ausstattung sowie eine externe Schnittstelle 67 vorgesehen, mit welchen beide Steuermittel nur über das Kontrollmittel 60 kommunizieren können. So kann die Airbag- Steuerung 51 neben dem Auslösen des Airbags über den Airbag-Auslöser 61 bei Erkennen einer Crash-Situation ebenfalls den Gurt über den Gurtaufroller 65 aufrollen. Auch die Bremssteuerung 52 kann z. B. bei Erkennen einer Vollbremsung den Gurt über den Gurtaufroller 65 straffen. Um hier keine negativen Querbeeinflussungen zuzulassen, erfolgt die Kommunikation zwischen Airbag-Steuerung 51 und Gurtaufroller 65 bzw. zwischen Bremssteuerung 52 und Gurtaufroller 65 über das erfindungsgemäße Kontrollmittel 60. Das Kontrollmittel kann dabei z. B. einzelnen Befehlen oder einzelnen Steuermitteln Präferenzen zuordnen, so dass ein geordneter Zugriff auf den Gurtaufroller 65 erfolgt.
Weiterhin kann das Kontrollmittel 60 den Zugriff der Airbag-Steuerung 51 und der Bremssteuerung 52 auf den zentralen Speicher 66 für die Ausstattung z. B. nur auf einen Lesezugriff beschränken. Dagegen kann das Kontrollmittel 60 den Zugriff der externen Schnittstelle 67 auf den zentralen Speicher 66 freigeben und so eine Aktualisierung ermöglichen. Der Zugriff der externen Schnittstelle 67 auf den Gurtaufroller 65 sowie die Betriebsmittel der Airbag-Steuerung 51 und der Bremssteuerung 52 wird dagegen komplett unterbunden.
Die Kommunikation der einzelnen Steuermittel mit den Betriebsmitteln erfolgt dabei im dritten Ausführungsbeispiel über ein Bus-System, wobei die Airbag-Steuerung 51 und die Bremssteuerung 52 mit den jeweils direkt mit ihnen verbundenen Betriebsmitteln über einen gemeinsamen Bus kommunizieren. In das Bus-System, mit welchem die Airbag-Steuerung 51 und die Bremssteuerung 52 untereinander sowie mit den gemeinsamen Betriebsmitteln kommunizieren, ist dagegen das Kontrollmittel 60 integriert, welches die Kommunikation entsprechend überwacht. Dabei kann entweder ein zentrales Kontrollmittel 60 vorgesehen sein, mit welchem sämtliche Komponenten über Busse verbunden sind, oder getrennte Kontrollmittelelemente an unterschiedlichen Stellen des Bus-Systems.
Die Figur 5 zeigt die Zusammenhänge real vorhandener Betriebsmittel 6 zu virtuellen Betriebsmitteln 8. Hierzu wird eine Untermenge 7 der real vorhandenen Betriebsmittel 6 durch eine Virtualisierung 7.1 in eine Menge virtueller Betriebsmittel abgebildet.
Figur 6 zeigt nun die Virtualisierung eines Betriebsmittels in einem Ausführungsbeispiel. Das Ausführungsbeispiel zeigt dabei ein Steuermittel 70, welches einerseits auf eine hardwaremäßig implementierte SPI-Schnittstelle 81 zugreifen kann, welche damit ein real vorhandenes Betriebsmittel darstellt. Die Kommunikation der Steuermittel 70 mit der SPI-Schnittstelle 81 wird dabei gegebenenfalls über die Kontrollmittel 80 überwacht.
Erfindungsgemäß ist weiterhin eine virtuelle SPI-Schnittstelle 90 dargestellt, welche von den realen Steuer- und Betriebsmitteln, insbesondere von einem Mikrocontrol- ler 91 , einem parallelen I/O-Port 92, einem Taktgenerator 93 und einem Konfigurationsspeicher 94 gebildet wird. Der MikroController 91 kann dabei direkt auf den Port 92, den Taktgeber 93 sowie den Konfigurationsspeicher 94 zugreifen, ohne dass diese Kommunikation mit dem Kontrollmittel 80 überwacht würde. Die Kontrollmittel 80 verhindern jedoch einen direkten Zugriff des Steuermittels 70 auf die realen Steuer- und Betriebsmittel und erlauben lediglich die Kommunikation der Steuermittel 70 mit der virtuellen Schnittstelle 90, welche vorteilhafterweise über eine auf dem MikroController 91 ablaufende Software bereitgestellt wird. Hierdurch werden ungewollte Zugriffe der Steuermittel 70 auf die realen Komponenten verhindert und eine virtuelle Schnittstelle bereitgestellt, welche genauso angesteuert werden kann wie die reale SPI-Schnittstelle 81. Ebenso können mit den gleichen realen Steuer- und Betriebsmitteln mehrere virtuelle Betriebsmittel generiert werden. So können z. B. mehrere virtuelle SPI-Schnittstellen durch die gleichen realen Betriebs- und Steuermittel bereitgestellt werden.

Claims

Ansprüche
1. Steuervorrichtung für Fahrzeuge, insbesondere zur Steuerung von Fahrzeugsicherheitseinrichtungen, mit mindestens zwei Steuermitteln, die jeweils mit mindestens einem gemeinsamen Betriebsmittel kommunizieren,
dadurch gekennzeichnet,
dass die Steuermittel mit einem Kontrollmittel verbunden sind, das die Kommunikation jedes Steuermittels mit dem gemeinsamen Betriebsmittel sowie mit einem Betriebsmittel, das mit einem anderen Steuermittel direkt verbunden ist, überwacht.
2. Steuervorrichtung nach Anspruch 1 , dadurch gekennzeichnet, dass die Betriebsmittel Rechenwerke, Register, Logikkomponenten, Speicher oder Peripheriegeräte sind.
3. Steuervorrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das Kontrollmittel einen Regelsatz beinhaltet, über den beabsichtigte und unbeabsichtigte Beeinflussungen der Kommunikation unterscheidbar sind.
4. Steuervorrichtung nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass das Kontrollmittel das zu steuernde System bei einer Regelverletzung in den sicheren Zustand überführen kann.
5. Steuervorrichtung nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass das Kontrollmittel zumindest teilweise als Hardware ausgeführt ist.
6. Steuervorrichtung nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass das Kontrollmittel die Betriebsmittel als reale Betriebsmittel und/oder nach ihrer Virtualisierung als virtuelle Betriebsmittel überwacht.
7. Steuervorrichtung nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass das Kontrollmittel in einer separaten Hardware realisiert ist.
8. Steuervorrichtung nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die virtuellen Betriebsmittel in einer separaten Hardware realisiert sind.
9. Steuervorrichtung nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass das Kontrollmittel die von einem ersten Steuermittel herbeigefügte Zustandsänderung eines realen und/oder virtuellen Betriebsmittels beim Wechsel der Kommunikation zu einem anderen Steuermittel sichert und beim Wechsel der Kommunikation von einem anderen Steuermittel zurück zur Kommunikation mit dem ersten Steuermittel wiederherstellt.
10. Steuervorrichtung nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass jedes der mindestens zwei Steuermittel direkt mit einem Betriebsmittel verbunden ist und ohne eine Überwachung durch das Kontrollmittel mit diesem kommuniziert.
11. Steuervorrichtung nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass das Kontrollmittel die Kommunikation der Steuermittel mit Betriebsmitteln, die mit einem anderen Steuermittel direkt verbunden sind, einschränkt oder verhindert.
12. Steuervorrichtung nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass es sich bei den Steuermitteln um Prozesse handelt.
13. Steuervorrichtung nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass es sich bei den Steuermitteln um MikroController oder Mikrocomputer handelt.
14. Steuervorrichtung nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass es sich bei den Betriebsmitteln um Speicherbereiche und/oder Peripheriegeräte handelt.
15. Steuervorrichtung insbesondere nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass ein Steuermittel und ein oder mehrere direkt damit verbundene Betriebsmittel ein virtuelles Betriebsmittel bilden, wobei das Kontrollmittel eine Kommunikation der anderen Steuermittel nur mit dem virtuellen Betriebsmittel erlaubt.
16. Steuervorrichtung nach Anspruch 15, dadurch gekennzeichnet, dass das virtuelle Betriebsmittel durch Software implementiert ist.
PCT/EP2008/003103 2007-04-20 2008-04-17 Steuervorrichtung für fahrzeuge WO2008128710A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US12/596,697 US20100114422A1 (en) 2007-04-20 2008-04-17 Control device for vehicles

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102007018777.9 2007-04-20
DE102007018777A DE102007018777A1 (de) 2007-04-20 2007-04-20 Steuervorrichtung für Fahrzeuge

Publications (1)

Publication Number Publication Date
WO2008128710A1 true WO2008128710A1 (de) 2008-10-30

Family

ID=39627793

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2008/003103 WO2008128710A1 (de) 2007-04-20 2008-04-17 Steuervorrichtung für fahrzeuge

Country Status (3)

Country Link
US (1) US20100114422A1 (de)
DE (1) DE102007018777A1 (de)
WO (1) WO2008128710A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016108997A1 (de) * 2016-05-17 2017-11-23 Knorr-Bremse Systeme für Schienenfahrzeuge GmbH Vorrichtung zum Auslesen von Daten aus einem sicherheitskritischen Steuergerät

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010062210A1 (de) * 2010-11-30 2012-05-31 Robert Bosch Gmbh Kombiniertes ABS/Airbag-Steuergerät
US8847535B2 (en) 2011-11-08 2014-09-30 Autoliv Asp, Inc. System and method to determine the operating status of an electrical system having a system controller and an actuator controller

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003050624A1 (de) * 2001-12-11 2003-06-19 Continental Teves Ag & Co. Ohg Mehrkerniges redundantes kontrollrechnersystem, rechnerverbund für sicherheitskritische anwendungen in kraftfahrzeugen sowie dessen verwendung

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS57174701A (en) * 1981-04-20 1982-10-27 Hitachi Ltd Decentralized controlling system
DE3920091A1 (de) * 1989-04-06 1990-10-11 Bosch Gmbh Robert Sicherheitseinrichtung fuer fahrzeuginsassen
DE4322249A1 (de) * 1992-10-23 1994-04-28 Marquardt Gmbh Bus-Schalter
AU8116894A (en) 1993-11-15 1995-06-06 Sensor Technology Co., Ltd. Operation device for crew protection apparatus
US5835873A (en) * 1997-02-21 1998-11-10 Breed Automotive Technology, Inc. Vehicle safety system with safety device controllers
DE19840484A1 (de) * 1998-09-04 2000-03-09 Bosch Gmbh Robert Fahrzeugrechneranordnung
DE19941440B4 (de) * 1999-08-31 2006-10-19 Siemens Ag Verfahren zum gesteuerten Betrieb einer Vorrichtung
JP4427860B2 (ja) * 2000-03-24 2010-03-10 株式会社デンソー 車両用制御装置及び記録媒体
DE10025493B4 (de) * 2000-05-23 2008-05-29 Daimler Ag Verfahren und Vorrichtung zur Koordination mehrerer Fahrsystemeinrichtungen eines Fahrzeugs
DE10313409A1 (de) * 2003-03-25 2004-11-18 Continental Teves Ag & Co. Ohg Verfahren zum Vermeiden von fehlerhaften Aktuatorzugriffen in einem multifunktionalen elektronischen Gesamtregelungssystem
DE10350919A1 (de) 2003-10-31 2005-05-25 Robert Bosch Gmbh Steuergerät und Beschleunigungssensorik
DE10354471A1 (de) * 2003-11-21 2005-06-30 Siemens Ag Verfahren und Vorrichtung zur Fehlerdiagnose in Steuereinrichtungen einer Brennkraftmaschine eines Kraftfahrzeugs
DE202006003273U1 (de) * 2005-12-06 2006-06-01 Volkswagen Ag Diagnosevorrichtung in einem Fahrzeug für eine funktionsorientierte Diagnose

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003050624A1 (de) * 2001-12-11 2003-06-19 Continental Teves Ag & Co. Ohg Mehrkerniges redundantes kontrollrechnersystem, rechnerverbund für sicherheitskritische anwendungen in kraftfahrzeugen sowie dessen verwendung

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016108997A1 (de) * 2016-05-17 2017-11-23 Knorr-Bremse Systeme für Schienenfahrzeuge GmbH Vorrichtung zum Auslesen von Daten aus einem sicherheitskritischen Steuergerät
EP3246778B1 (de) * 2016-05-17 2023-12-20 KNORR-BREMSE Systeme für Schienenfahrzeuge GmbH Vorrichtung zum auslesen von daten aus einem sicherheitskritischen steuergerät

Also Published As

Publication number Publication date
DE102007018777A1 (de) 2008-11-27
US20100114422A1 (en) 2010-05-06

Similar Documents

Publication Publication Date Title
EP2641176B1 (de) Mikroprozessorsystem mit fehlertoleranter architektur
DE19529434B4 (de) Microprozessorsystem für sicherheitskritische Regelungen
EP2864848B1 (de) Vorrichtung und verfahren für eine sicherheitskritische anwendung
WO2014060470A1 (de) Schnittstelle zum datenaustausch zwischen redundant ausgeführten programmen zur kraftfahrzeugsteuerung
EP2099667B1 (de) Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems
EP2907072B1 (de) Verfahren zur steuerung eines getrennten ablaufs von verknüpften programmblöcken und steuergerät
EP1428120A2 (de) Verfahren, mikroprozessorsystem für sicherheitskritische regelungen und dessen verwendung
EP2698678A2 (de) Konfigurationstechnik für ein Steuergerät mit miteinander kommunizierenden Anwendungen
EP3186710B1 (de) Mikrocontrollersystem und verfahren für sicherheitskritische kraftfahrzeugsysteme sowie deren verwendung
WO2008128710A1 (de) Steuervorrichtung für fahrzeuge
EP3655876A1 (de) Ein-chip-system, verfahren zum betrieb eines ein-chip-systems und kraftfahrzeug
EP2494488B1 (de) Verfahren zum ausführen von sicherheits-relevanten und nicht-sicherheits-relevanten softwarekomponenten auf einer hardwareplattform
EP2228723B1 (de) Verfahren zur Fehlerbehandlung eines Rechnersystems
EP3341843A1 (de) Verfahren und vorrichtung zum überwachen eines zustandes einer elektronischen schaltungseinheit eines fahrzeugs
EP3566398A1 (de) Verfahren und halbleiterschaltkreis zum schützen eines betriebssystems eines sicherheitssystems eines fahrzeugs
DE102011007467A1 (de) Mehrkernige integrierte Mikroprozessorschaltung mit Prüfeinrichtung, Prüfverfahren und Verwendung
DE102007046706A1 (de) Steuervorrichtung für Fahrzeuge
DE102017220068A1 (de) Verfahren und Onboard-Steuereinheit zum Steuern und/oder Überwachen von Komponenten eines Schienenfahrzeugs
DE102021208459A1 (de) Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
WO2022042950A1 (de) VORRICHTUNG ZUR ERFASSUNG UND VERARBEITUNG EINER MESSGRÖßE EINES SENSORS IN EINEM KRAFTFAHRZEUG
EP1433061B1 (de) Verfahren zum überprüfen eines rechnerkerns eines mikroprozessors oder eines mikrocontrollers
WO2017102655A1 (de) Mikrocontrollersystem und verfahren zur kontrolle von speicherzugriffen in einem mikrocontrollersystem
DE10128996B4 (de) Verfahren und Vorrichtung zur Überwachung von Speicherzellen eines flüchtigen Datenspeichers
WO2015055498A1 (de) Verfahren zum betreiben eines steuergerätes eines kraftfahrzeuges und steuergerät für ein kraftfahrzeug
EP1915674B1 (de) Verfahren und vorrichtung zur steuerung eines rechnersystems mit wenigstens zwei ausführungseinheiten und mit wenigstens zwei gruppen von internen zuständen

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 08735308

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 12596697

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 08735308

Country of ref document: EP

Kind code of ref document: A1