DE10142511A1 - Fehlerbehandlung von Softwaremodulen - Google Patents
Fehlerbehandlung von SoftwaremodulenInfo
- Publication number
- DE10142511A1 DE10142511A1 DE10142511A DE10142511A DE10142511A1 DE 10142511 A1 DE10142511 A1 DE 10142511A1 DE 10142511 A DE10142511 A DE 10142511A DE 10142511 A DE10142511 A DE 10142511A DE 10142511 A1 DE10142511 A1 DE 10142511A1
- Authority
- DE
- Germany
- Prior art keywords
- data
- input data
- quality
- software modules
- software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1479—Generic software techniques for error detection or fault masking
- G06F11/1492—Generic software techniques for error detection or fault masking by run-time replication performed by the application software
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Fehlerbehandlung von Softwaremodulen für redundant ausgelegte Systeme in Fahrzeugen. Es ist die Aufgabe der vorliegenden Erfindung, eine Fehlerbehandlung auf redundant ausgelegte Systeme in Fahrzeugen zu optimieren, wobei Fehler erkannt und Fehlerbehandlungs-Maßnahmen eingeleitet werden. Zusätzlich soll die Fehlerbehandlung derart gestaltet sein, dass diese für mehrere softwaregesteuerte Applikationen, die auf einem Steuergerät laufen, anwendbar ist. Zudem soll eine Vorrichtung zur Durchführung des Verfahrens bereitgestellt werden. Hierzu werden aus direkt und/oder indirekt redundanten Eingangsdaten für die Softwaremodule bereinigte Eingangsdaten bestimmt. Die Vorrichtung enthält entsprechende Mittel zur Durchführung des Verfahrens.
Description
- Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Fehlerbehandlung von Softwaremodulen für redundant ausgelegte Systeme in Fahrzeugen.
- Sicherheitsrelevante Systeme in Fahrzeugen wie beispielsweise "Steer-by-Wire"-Systeme, bei denen keine permanente mechanische bzw. hydraulische Verbindung zwischen dem Lenkrad und der lenkbaren Fahrzeugrädern besteht, oder "ESP"-Systeme, bei denen im fahrdynamischen Grenzbereich das Fahrverhalten des Fahrzeugs angepasst wird, müssen gegen Fehlerausfall besonders gesichert sein. Um die Ausfallsicherheit zu erhöhen werden diese Systeme redundant ausgelegt, so dass bei Ausfall beispielsweise eines Steuergerätes auf ein redundant ausgelegtes Steuergerät umgeschaltet werden kann. Zudem wird in diesen Systemen der Fehlerbehandlung eine große Bedeutung zugemessen. Da das Ziel solcher sicherheitsrelevanter Systeme sein muss möglichst lange lauffähig zu bleiben, unter Umständen auch mittels einer im System implementierten Notlauffunktion, wird oft auch der Begriff Qualitätsmanagement verwendet. Ein Fehler entspricht dann einer verminderten Qualität, da das System beispielsweise mittels der Notlauffunktion noch lauffähig ist, aber ein Fehler vorliegt.
- Aus der EP 415 545 A2 ist ein Verfahren zur Fehlerbehandlung in Datenverarbeitungssystemen bekannt, in dem der Softwarefehler festgestellt, die Herkunft des Fehlers bestimmt und in Abhängigkeit der Herkunft des Fehlers Fehlermaßnahmen ergriffen werden. Probleme und Vorteile die bei redundanten Systemen gegeben sind, werden von dem Verfahren nicht berücksichtigt.
- In der WO 00/18613 ist ein Verfahren zur Fehlererkennung von Mikroprozessoren in Steuergeräten eines Kraftfahrzeugs offenbart, wobei ein Steuergerät mittels eines Datenbusses Daten senden und empfangen kann. Die vom Mikroprozessor des Steuergeräts ausgegebenen Signale werden mit vorgegebenen Signalmustern verglichen, wobei ein Fehler erkannt wird, wenn die von dem Mikroprozessor ausgegebenen Signale nicht mit einem der vorgegebenen Signalmuster übereinstimmen. Das Verfahren sieht aber keine weiteren Schritte zur Fehlerbehebung vor.
- Es ist nun die Aufgabe der vorliegenden Erfindung das eingangs beschriebene Verfahren derart weiterzubilden, dass eine Fehlerbehandlung auf redundant ausgelegte Systeme in Fahrzeugen optimiert wird, wobei Fehler erkannt und Fehlerbehandlungs- Maßnahmen eingeleitet werden. Zusätzlich soll die Fehlerbehandlung derart gestaltet sein, dass diese für mehrere softwaregesteuerte Applikationen, die auf einem Steuergerät laufen, anwendbar ist. Zudem soll eine Vorrichtung zur Durchführung des Verfahrens bereit gestellt werden.
- Diese Aufgabe wird erfindungsgemäß durch die Merkmale des Anspruchs 1 bzw. des Anspruchs 17 gelöst. Danach werden aus direkt und/oder indirekt redundanten Eingangsdaten für die Softwaremodule bereinigte Eingangsdaten bestimmt.
- Die Softwaremodule laufen auf Steuergeräten und entsprechen damit softwaregesteuerten Applikationen, wie sie im Fahrzeug für beispielsweise "Steer-by-Wire"- oder "ESP"-Systeme Anwendung finden. Vorzugsweise laufen die Softwaremodule in einem Steuergerät ab. Es ist aber ebenso denkbar, dass eine softwaregesteuerte Applikation über mehrere Steuergeräte verteilt ist.
- Die direkten Eingangsdaten sind identisch zu der vom Softwaremodul erwarteten Eingangsgröße. Die indirekten Eingangsdaten sind mit der vom Softwaremodul zu erwarteten Eingangsgröße aufgrund von Kennlinien und/oder Tabellen und/oder physikalischen Zustandsgleichungen korreliert, so dass mittels der Kenntnis der indirekten Eingangsgrößen eine Berechnung und eine Aussage über die Plausibilität bzw. über die Qualität der direkten Eingangsdaten möglich ist.
- Die bereinigte Eingangsdaten werden mittels einer Plausibilitätsprüfung ermittelt, die einerseits auf den vorgegebenen Wertebereich der direkten Eingangsdaten und andererseits auf den physikalischen Zusammenhang zwischen direkten und indirekten Eingangsdaten beruht.
- Durch Zuweisung von Daten-Qualitätsattributen und darauf aufbauend von Softwaremodul-Qualitätsattributen, welche Informationen über die aktuelle Qualität der Daten bzw. der Softwaremodule enthalten, wird der Zustand des Systems ermittelt. Mittels der Qualitätsattributs-Informationen können dann Qualitätsmanagement-Maßnahmen wie Aktivierung von Notlauffunktionen, Deaktivierung von Softwaremodulen, Aktivierung von redundanten Softwaremodulen initiiert werden.
- Da die Ermittlung der bereinigten Eingangsdaten, das Zuweisen des Daten- und Softwaremodul-Qualitätsattributs sowie die Maßnahme zur Fehlerbehandlung außerhalb der Softwaremodule gelagert ist und die korrespondierenden Daten auf einem Speichermittel abgelegt sind, auf die die teilnehmenden Softwaremodule Zugriff haben, können softwaregesteuerte Applikationen bzw. Softwaremodule unabhängig von der Fehlerbehandlung entwickelt werden. Dies ist ein großer Vorteil, da im Allgemeinen Fehlerbehandlungsmodule für eine bestimmte softwaregesteuerte Applikation entwickelt werden und nur mit großem Aufwand an weitere Applikationen, die beispielsweise auf demselben Steuergerät laufen, angepasst werden können.
- Durch die Trennung der Fehlerbehandlung von den eigentlichen softwaregesteuerten Applikationen wird eine höhere Transparenz in der Fehlerbehandlung erzielt. Dies ist insbesondere dann der Fall, wenn die softwaregesteuerten Applikation implizit voneinander abhängen.
- Es gibt nun verschiedene Möglichkeiten, die Lehre der vorliegenden Erfindung in vorteilhafter Weise auszugestalten und weiterzubilden. Dazu ist einerseits auf die untergeordneten Ansprüche und andererseits auf die nachfolgende Erläuterung einer Ausführungsform zu verweisen. Es sollen auch die vorteilhaften Ausgestaltungen einbezogen sein, die sich aus einer beliebigen Kombination der Unteransprüche ergeben. In der Zeichnung ist eine Ausführungsform des erfindungsgemäßen Verfahrens und eine entsprechende Vorrichtung dargestellt. Es zeigen jeweils in schematischer Darstellung,
- Fig. 1 eine Vorrichtung zur Durchführung des erfindungsgemäßen Verfahrens,
- Fig. 2 eine Übersicht einer Vorrichtung zur Durchführung des erfindungsgemäßen Verfahrens und
- Fig. 3 ein Flussdiagramm zu Durchführung des erfindungsgemäßen Verfahrens
- Eine Übersicht der erfindungsgemäßen Vorrichtung ist in Fig. 2 dargestellt. In dem redundant ausgelegten System sind die teilnehmenden Komponenten 1,8-14 über ein Datenbussystem 7 miteinander verbunden. Die teilnehmenden Komponenten 1,8-14 bestehen vorzugsweise aus Steuergeräten, Sensoren und Aktoren. Die Komponenten 1,8-14 stellen den weiteren Komponenten 1,8-14 zur Verfügung und/oder verarbeiten Daten der weiteren Komponenten 1,8-14. Aufgrund der Redundanz des Systems sind Komponenten mehrfach ausgelegt. Beispielweise ist nicht nur ein Sensor zur Messung der Geschwindigkeit vorhanden, sondern das System stellt mehrere Sensoren zur Messung der Geschwindigkeit zur Verfügung.
- Der Datenbus 7 kann z. B. als FlexRay-Bus, als optischer MOST- oder D2B-Bus oder als elektrischer CAN-Bus in einem Verkehrsmittel, insbesondere einem Fahrzeug, vorgesehen sein.
- In Fig. 1 ist der schematische Aufbau der Komponente 1, die für ein Steuergerät steht, abgebildet. Das Steuergerät 1 verfügt über ein Fehlerbehandlungsmodul 2 und mehrere Softwaremodule 3-5. Das Fehlerbehandlungsmodul 2 sowie die Softwaremodule 3-5 entsprechen softwaregesteuerten Applikationen, die auf dem Steuergerät laufen. Die softwaregesteuerten Applikationen 2-5 tauschen Daten mit den Komponenten 1,8-14 aus. Die Module 2-5 sind mit dem Speichermittel 6 verbunden. Das Speichermittel 6 ist vorzugsweise als Speichermittel der Komponente 1 ausgelegt.
- Beispielhaft soll das Softwaremodul 3 eine softwaregesteuerte Applikation zur Längsdynamik-Regelung eines Fahrzeugs darstellen, wobei die Längsdynamik-Regelung die Längsbeschleunigung des Fahrzeugs regelt und der Sollwert der Längsbeschleunigung aSoll durch die Gaspedalstellung des Fahrers vorgegeben wird. Die softwaregesteuerte Applikation 3 benötigt als Eingangsgröße die aktuelle Längsbeschleunigung aAktuell des Fahrzeugs und ermittelt als Ausgangsgröße Stellwerte für die Motorsteuerung und/oder das Bremssystem.
- Aufgrund der im redundanten System 15 vorhandenen Sensoren werden die direkten und indirekten Eingangsdaten auf dem Datenbus 7 zur Verfügung gestellt. So ermittelt beispielsweise das System 15 mittels der Komponenten 8-14 kontinuierlich drei Geschwindigkeitswerte v1, v2, v3, sowie drei Motordrehzahlwerte n1, n2, n3 und zwei Längsbeschleunigungswerte a1, a2, welche den aktuellen Zustand des Fahrzeugs bezüglich der Längsdynamik- Regelung beschreiben. Die direkten Eingangsdaten für das Softwaremodul 3 sind damit a1 sowie a2; den indirekten Eingangsdaten entsprechen v1, v2, v3, n1, n2, n3, da diese mit der Längsbeschleunigung des Fahrzeugs über eine physikalische Zustandsgleichung korreliert sind.
- Anhand der in Fig. 3 dargestellten Flussdiagramms wird nun das erfindungsgemäße Verfahren erläutert:
- Das Steuergerät 1 greift vom Datenbus 7 die für das Softwaremodul 2 bestimmten direkten und indirekten Eingangsdaten (v1, v2, v3, n1, n2, n3, a1, a2) ab.
- Von dem Fehlerbehandlungsmodul 2 werden bereinigte Eingangsdaten für das Softwaremodul 3 ermittelt. Das Softwaremodul 3 benötigt als Eingangsdatum die aktuelle Längsbeschleunigung des Fahrzeugs. Hierbei führt das Fehlerbehandlungsmodul eine Plausibilitätsprüfung durch, die einerseits auf den vorgegebenen Wertebereich der direkten Eingangsdaten und andererseits auf den physikalischen Zusammenhang zwischen direkten und indirekten Eingangsdaten beruht. Das Fehlerbehandlungsmodul 2 geht dabei folgendermaßen vor:
Sind a1 und a2 vorhanden und liegen dieses Werte nicht außerhalb des vorgegebenen Wertebereichs so wird das arithmetische Mittel für aAktuell als bereinigtes Eingangsdatum ermittelt. Liegen a1 oder a2 außerhalb des vorgegebenen Wertebereichs oder ist nur a1 oder nur a2 vorhanden, ermittelt das Fehlerbehandlungsmodul mittels der indirekten Daten (v1, v2, v3, n1, n2, n3) auf Basis einer physikalischen Zustandsgleichung den aktuellen Wert aAktuell. Liegen a1 und a2 außerhalb des Wertebereichs oder steht nur ein Eingangsdatum zur Verfügung, dass außerhalb des Wertebereichs liegt und/oder stehen keine indirekten Daten für eine Plausibilitätsprüfung zur Verfügung wird kein bereinigtes Eingangsdatum für das Softwaremodul 3 ermittelt. - Aufgrund der Abweichungen vom Werterbereich bzw. das Fehlen von direkten Eingangsdaten kann auf die Funktionalität der entsprechenden Sensoren geschlossen und weitere Schritte unternommen werden.
- Die Qualitätsbestimmung der bereinigten Eingangsdaten erfolgt in Abhängigkeit der direkten und/oder indirekten Eingangsdaten. Den bereinigten Eingangsdaten wird ein Daten-Qualitätsattribut, das die Qualität der Eingangsdaten widerspiegelt. Dieses Qualitätsattribut hat vier Qualitätsstufen "4", "2", "1", "0", ausgehend von hoher Qualität "4" bis niederer Qualität "0". So wird die Qualitästsstufe "4" vergeben, wenn a1 und a2 vorhanden und in dem vorgegebenen Wertebereich liegen. Die Qualitätsstufe "2" wird vergeben, wenn nur aufgrund der Hinzunahme der indirekten Eingangsdaten ein bereinigtes Eingangsdatum ermittelt wird. Sind ein oder mehrere direkte Eingangsdaten ausgefallen und es sind keine indirekten Eingangssignale zur Plausibilitätsprüfung vorhanden, dann wird die Qualitätsstufe "1" vergeben. Kann das Fehlerbehandlungsmodul keinen bereinigten Eingangswert ermitteln, wird die Qualitätsstufe "0" vergeben.
- Die bereinigten Eingangsdaten und korrespondierenden Daten- Qualitätsattribute werden in dem Speichermittel 6 abgelegt.
- Das Softwaremodul 3 liest aus dem Speichermittel 6 sein bereinigtes Eingangsdatum aAktuell. Die softwaregesteuerte Applikation zur Längsdynamikregelung 3 ermittelt nach Vergleich von aSoll und aAktuell ein Drehmoment zur Steuerung des Motors und/oder eine Sollverzögerung für das Bremssystem.
- Das Drehmoment und die Sollverzögerung stellen die Ausgangsdaten für das Softwaremodul 3 dar.
- Die Ausgangsdaten werden im Speichermittel 6 abgelegt und an den Datenbus 7 ausgegeben.
- Die Qualitätsbestimmung der Ausgangsdaten erfolgt über die aktuellen eingehenden bereinigten Eingangsdaten. In diesem Fall wird vom Fehlerbehandlungsmodul 2 geprüft, ob aAktuell sich an das an die Motorsteuerung ausgegebene Drehmoment und/oder an die an das Bremssystem ausgegebene Sollverzögerung anpasst. Je nach Ergebnis wird ein Daten-Qualitätsattribut den Ausgangsdaten Drehmoment und/oder Sollwertverzögerung zugeordnet. Das Daten-Qualitätsattribut für die Ausgangsdaten ist ebenfalls vierstufig ausgelegt, wobei die Stufe "4" für "System folgt" und Stufe "0" für "System folgt nicht" steht. Die Qualitätsstufen "2", "1" sind nicht belegt. Eine Belegung aller vier Stufen könnte beispielsweise dadurch erfolgen, dass noch berücksichtigt wird in welcher Zeitspanne das System auf die Stellwerte bzw. die Ausgangsdaten reagiert.
- Die Daten-Qualitätsattribute werden ebenfalls in dem Speichermittel 6 abgelegt.
- Qualitätsbestimmung des Moduls + Qualitätsmanagement
- Mittels der Daten-Qualitätsattribute wird nun von dem Fehlerbehandlungsmodul 2 dem Softwaremodul 3 eine Softwaremodul- Qualitätsattribut zugewiesen. Aufgrund dieses Softwaremodul- Qualitätsattributs werden dann in weiteren Schritten Maßnahmen zur Qualitätssicherung, also ein sogenanntes Fehler- bzw. Qualitätsmanagement durchgeführt. Somit stellt das Softwaremodul- Qualitätsattribut den Zustand der softwaregesteuerten Applikation dar. Die Zuweisung des Softwaremodul-Qualitätsattributs erfolgt über eine in dem Speichermittel 6 abgelegte Matrix. In dieser Matrix sind für die Softwaremodule 3-5 in Abhängigkeit der Qualität der korrespondierenden Ein- und/oder Ausgangsdaten, die resultierende Qualität des Softwaremoduls abgelegt, wobei bei Erstellung der Matrix die Daten-Qualitätsattribute unterschiedliche gewichtet werden. Entsprechend den Daten- Qualitätsattributen können auch für die Software- Qualitätsattribute vier Stufen vergeben werden. Das aktuell ermittelte Softwaremodul-Qualitätsattribute wird ebenfalls in dem Speichermittel 6 abgelegt. Die Matrix enthält zudem Informationen über das Qualitätsmanagement. Zu jedem Softwaremodul- Qualitätsattribut ist in der Matrix zudem die Maßnahme zur Qualitätsverbesserung hinterlegt. Beispielsweise steht für ein bestimmtes Softwaremodul 3-5 die Stufe "4" für "Optimaler Betrieb", die Stufe "2" für "Umschalten auf Notlauffunktion 1", die Stufe "1" für "Umschalten auf Notlauffunktion 2", die Stufe "0" für "Eigen-Deaktivierung sowie Aktivierung eines redundanten Softwaremoduls". Das Fehlerbehandlungsmodul 2 überwacht die Generierung der entsprechenden aktuellen Softwaremodul- Qualitätsattribute und leitet auch die Maßnahmen zur Qualitätssicherung ein. Es kann aber auch derart realisiert sein, dass die Softwaremodule sich selbst kontrollieren, indem diese die Qualitätsinformation im Speichermittel kontinuierlich abprüfen und mittels der in der Matrix abgelegten Informationen ihre Qualitätsmanagement-Maßnahmen selbst einleiten.
- Das erfindungsgemäße Verfahren ist kontinuierlich durchzuführen. Nur so kann gewährleistet werden, dass die bereinigten Eingangsdaten und die Qualitätsattribute bzgl. der Daten und der Softwaremodule den aktuellen Systemzustand widerspiegeln. Das Fehlerbehandlungsmodul 2 übernimmt die an dem Softwaremodul 3 beispielhaft aufgezeigten Verfahrensschritte, ebenfalls für die im Steuergeräte 1 weiteren Softwaremodule 4-5, so dass die Fehlerbehandlung für die Softwaremodule 3-5 unabhängig von der eigentlichen softwaregesteuerten Applikation 3-5 des Steuergeräts 1 erfolgt.
Claims (19)
1. Verfahren zur Fehlerbehandlung von Softwaremodulen (3-5) für
redundant ausgelegte Systeme (15) in Fahrzeugen, wobei
die Softwaremodule (3-5) in Steuergeräten (1) ablaufen,
die Steuergeräte (1, 8-14) und/oder die Softwaremodule (3-5) über ein Datenbussystem (7) Daten austauschen, wobei aus direkten Eingangsdaten und dazu redundanten indirekten Eingangsdaten durch eine Berechnungen bereinigte Eingangsdaten erzeugt werden,
dadurch gekennzeichnet, dass
aus den direkten und/oder den redundanten indirekten Eingangsdaten bereinigte Eingangsdaten für die Softwaremodule (3-5) bestimmt werden, wobei die bereinigten Eingangsdaten mittels einer Plausibilitätsprüfung ermittelt werden, die einerseits auf dem vorgegebenen Wertebereich der direkten Eingangsdaten und andererseits auf dem physikalischen Zusammenhang zwischen direkten und indirekten Eingangsdaten beruht.
die Softwaremodule (3-5) in Steuergeräten (1) ablaufen,
die Steuergeräte (1, 8-14) und/oder die Softwaremodule (3-5) über ein Datenbussystem (7) Daten austauschen, wobei aus direkten Eingangsdaten und dazu redundanten indirekten Eingangsdaten durch eine Berechnungen bereinigte Eingangsdaten erzeugt werden,
dadurch gekennzeichnet, dass
aus den direkten und/oder den redundanten indirekten Eingangsdaten bereinigte Eingangsdaten für die Softwaremodule (3-5) bestimmt werden, wobei die bereinigten Eingangsdaten mittels einer Plausibilitätsprüfung ermittelt werden, die einerseits auf dem vorgegebenen Wertebereich der direkten Eingangsdaten und andererseits auf dem physikalischen Zusammenhang zwischen direkten und indirekten Eingangsdaten beruht.
2. Verfahren nach Anspruch 1,
dadurch gekennzeichnet, dass
die bereinigten Eingangsdaten in einem den Softwaremodulen (3-5) zugänglichem Speichermittel (6) abgelegt werden und
die Softwaremodule (3-5) mittels dieser bereinigten Eingangsdaten Ausgangsdaten erzeugen und diese ebenfalls in dem Speichermittel (6) abgelegt werden.
die bereinigten Eingangsdaten in einem den Softwaremodulen (3-5) zugänglichem Speichermittel (6) abgelegt werden und
die Softwaremodule (3-5) mittels dieser bereinigten Eingangsdaten Ausgangsdaten erzeugen und diese ebenfalls in dem Speichermittel (6) abgelegt werden.
3. Verfahren nach Anspruch 1-2,
dadurch gekennzeichnet, dass
mit den im Speichermittel (6) abgelegten Daten eine
Qualitätsbestimmung durchgeführt wird.
4. Verfahren nach Anspruch 3,
dadurch gekennzeichnet, dass
bei der Qualitätsbestimmung der Daten jeweils ein Daten-
Qualitätsattribut zugeordnet und in dem Speichermittel (6)
abgelegt wird, das Informationen über die Qualität der Daten
enthält.
5. Verfahren nach Anspruch 4,
dadurch gekennzeichnet, dass
das Daten-Qualitätsattribut mittels der direkten und/oder
indirekten Eingangsdaten ermittelt wird.
6. Verfahren nach Anspruch 5.
dadurch gekennzeichnet, dass
wenn nur ein direktes Eingangsdatum vorhanden ist, die
indirekten Eingangsdaten zur Bestimmung des Daten-Qualitätsattributs
herangezogen werden.
7. Verfahren nach Anspruch 5 bis 6,
dadurch gekennzeichnet, dass
die Bestimmung des Daten-Qualitätsattributs der bereinigten
Eingangsdaten danach durchgeführt wird, ob bei Ermittlung der
bereinigten Eingangsdaten,
mehrere direkte Eingangsdaten vorhanden sind und/oder
direkte und indirekte Eingangsdaten vorhanden sind und/oder
nur ein direktes Eingangsdatum vorhanden ist.
mehrere direkte Eingangsdaten vorhanden sind und/oder
direkte und indirekte Eingangsdaten vorhanden sind und/oder
nur ein direktes Eingangsdatum vorhanden ist.
8. Verfahren nach Anspruch 4 bis 5,
dadurch gekennzeichnet, dass
die Bestimmung des Daten-Qualitätsattributs der Ausgangsdaten
mittels der bereinigten Eingangsdaten erfolgt.
9. Verfahren nach Anspruch 4 bis 8,
dadurch gekennzeichnet, dass
mittels der im Speichermittel (6) abgelegten Daten-
Qualitätsattribute eine Fehlerbehandlung durchgeführt wird.
10. Verfahren nach Anspruch 9,
dadurch gekennzeichnet, dass
mittels der Fehlerbehandlung den jeweiligen Softwaremodulen
(3-5) ein Softwaremodul-Qualitätsattribut zugewiesen und in dem
Speichermittel (6) abgelegt wird.
11. Verfahren nach Anspruch 10,
dadurch gekennzeichnet, dass
die Zuordnung des Softwaremodul-Qualitätsattributs für ein
Softwaremodul (3-5) aufgrund der Daten-Qualitätsattribute der
korrespondierenden Ein- und/oder Ausgangsdaten des
Softwaremoduls (3-5) erfolgt.
12. Verfahren nach Anspruch 10,
dadurch gekennzeichnet, dass
die Bestimmung des Software-Qualitätsattributs für ein
Softwaremodul (3-5) aufgrund einer unterschiedlichen Gewichtung der
Daten-Qualitätsattribute der korrespondierenden Ein- und/oder
Ausgangsdaten des Softwaremoduls (3-5) erfolgt.
13. Verfahren nach Anspruch 10 bis 12,
dadurch gekennzeichnet, dass
in Abhängigkeit des ermittelten Softwaremodul-
Qualitätsattributs eines Softwaremoduls (3-5), eine Maßnahme
zur Qualitätsverbesserung des Softwaremoduls (3-5) durchgeführt
wird.
14. Verfahren nach Anspruch 13,
dadurch gekennzeichnet, dass
die Maßnahme zur Qualitätsverbesserung mittels der Aktivierung
einer Notlauffunktion des Softwaremoduls (3-5) erfolgt.
15. Verfahren nach Anspruch 13,
dadurch gekennzeichnet, dass
die Maßnahme zur Qualitätsverbesserung mittels der Aktivierung
eines redundant ausgelegten Steuergeräts (1,8-14) und/oder
Softwaremoduls (3-5) erfolgt.
16. Verfahren nach Anspruch 13,
dadurch gekennzeichnet, dass
die Maßnahme zur Qualitätsverbesserung mittels einer
Deaktivierung des Steuergeräts (1, 8-14) und/oder Softwaremoduls (3-5)
erfolgt.
17. Vorrichtung zur Durchführung des Verfahrens nach einem der
vorhergehenden Ansprüche in einem Fahrzeug, wobei
Steuergeräte (1, 8-14) und/oder Softwaremodule (3-5) über ein Datenbussystem verbunden sind,
Softwaremodule (3-5) in Steuergeräten (1) ablaufen,
dadurch gekennzeichnet, dass
die Steuergeräte (1) ein Mittel zur Fehlerbehandlung (2) aufweisen, wobei die Mittel zur Fehlerbehandlung (2)
aus direkt und/oder indirekt redundanten Eingangsdaten für Softwaremodule (3-5) bereinigte Eingangsdaten bestimmen und
diese bereinigten Eingangsdaten in einem den Softwaremodulen (3-5) zugänglichem Speichermittel (6) ablegen, und wobei
die Softwaremodule (3-5) mittels dieser bereinigten Eingangsdaten Ausgangsdaten erzeugen und diese ebenfalls in dem Speichermittel (6) ablegen.
Steuergeräte (1, 8-14) und/oder Softwaremodule (3-5) über ein Datenbussystem verbunden sind,
Softwaremodule (3-5) in Steuergeräten (1) ablaufen,
dadurch gekennzeichnet, dass
die Steuergeräte (1) ein Mittel zur Fehlerbehandlung (2) aufweisen, wobei die Mittel zur Fehlerbehandlung (2)
aus direkt und/oder indirekt redundanten Eingangsdaten für Softwaremodule (3-5) bereinigte Eingangsdaten bestimmen und
diese bereinigten Eingangsdaten in einem den Softwaremodulen (3-5) zugänglichem Speichermittel (6) ablegen, und wobei
die Softwaremodule (3-5) mittels dieser bereinigten Eingangsdaten Ausgangsdaten erzeugen und diese ebenfalls in dem Speichermittel (6) ablegen.
18. Vorrichtung nach Anspruch 17,
dadurch gekennzeichnet, dass
die Mittel zur Fehlerbehandlung (2) derart gestaltet sind, dass
diese mit den im Speichermittel (6) abgelegten Daten eine
Qualitätsbestimmung der Ein- und/oder Ausgangsdaten sowie der
Softwaremodule (3-5) durchführen.
19. Vorrichtung nach Anspruch 18,
dadurch gekennzeichnet, dass
die Mittel zur Fehlerbehandlung (2) Mittel zum
Qualitätsmanagement umfassen, die derart gestaltet sind, dass diese aufgrund
der im Speichermittel (6) abgelegten Qualitätsattribute
Maßnahmen zur Qualitätsverbesserung durchführen.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10142511A DE10142511B4 (de) | 2001-08-30 | 2001-08-30 | Fehlerbehandlung von Softwaremodulen |
US10/231,482 US6971047B2 (en) | 2001-08-30 | 2002-08-30 | Error handling of software modules |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10142511A DE10142511B4 (de) | 2001-08-30 | 2001-08-30 | Fehlerbehandlung von Softwaremodulen |
Publications (2)
Publication Number | Publication Date |
---|---|
DE10142511A1 true DE10142511A1 (de) | 2003-04-03 |
DE10142511B4 DE10142511B4 (de) | 2004-04-29 |
Family
ID=7697124
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10142511A Expired - Fee Related DE10142511B4 (de) | 2001-08-30 | 2001-08-30 | Fehlerbehandlung von Softwaremodulen |
Country Status (2)
Country | Link |
---|---|
US (1) | US6971047B2 (de) |
DE (1) | DE10142511B4 (de) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9617948B2 (en) | 2012-03-16 | 2017-04-11 | Iav Gmbh Ingenieurgesellschaft Auto Und Verkehr | Method for optimizing an internal combustion engine |
DE102019218718A1 (de) * | 2019-12-02 | 2021-06-02 | Volkswagen Aktiengesellschaft | Steuerungssystem zur Steuerung eines Betriebs eines selbstfahrenden Fahrzeugs sowie Kraftfahrzeug |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7281166B1 (en) * | 2003-05-29 | 2007-10-09 | Sun Microsystems, Inc. | User-customizable input error handling |
US7472337B2 (en) | 2005-03-22 | 2008-12-30 | Cummins, Inc. | Method and system for detecting faults in an electronic engine control module |
US8291379B2 (en) * | 2006-12-13 | 2012-10-16 | International Business Machines Corporation | Runtime analysis of a computer program to identify improper memory accesses that cause further problems |
US9495278B2 (en) * | 2006-12-27 | 2016-11-15 | International Business Machines Corporation | Dynamic discovery of data segments within instrumented code |
DE102007033885A1 (de) * | 2007-07-20 | 2009-01-22 | Siemens Ag | Verfahren zur transparenten Replikation einer Softwarekomponente eines Softwaresystems |
US20090076628A1 (en) * | 2007-09-18 | 2009-03-19 | David Mark Smith | Methods and apparatus to upgrade and provide control redundancy in process plants |
US8301605B2 (en) * | 2007-12-17 | 2012-10-30 | International Business Machines Corporation | Managing maintenance tasks for computer programs |
US8881112B2 (en) * | 2007-12-19 | 2014-11-04 | International Business Machines Corporation | Quality measure tool for a composite application |
KR101047399B1 (ko) * | 2008-10-31 | 2011-07-08 | 현대자동차일본기술연구소 | 하이브리드 차량의 클러치 특성 보정 방법 |
US8205118B2 (en) * | 2009-07-23 | 2012-06-19 | International Business Machines Corporation | Software component self-scrubbing |
US20110202995A1 (en) * | 2010-02-16 | 2011-08-18 | Honeywell International Inc. | Single hardware platform multiple software redundancy |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19631309A1 (de) * | 1996-08-02 | 1998-02-05 | Teves Gmbh Alfred | Mikroprozessoranordnung für ein Fahrzeug-Regelungssystem |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0415545B1 (de) * | 1989-08-01 | 1996-06-19 | Digital Equipment Corporation | Verfahren zur Softwarefehlerbehandlung |
DE4133268A1 (de) * | 1991-10-08 | 1993-04-15 | Bosch Gmbh Robert | Vorrichtung zur steuerung der antriebsleistung eines fahrzeuges |
US5671352A (en) * | 1995-07-07 | 1997-09-23 | Sun Microsystems, Inc. | Error injection to a behavioral model |
US6247169B1 (en) * | 1996-11-04 | 2001-06-12 | Sun Microsystems, Inc. | Structured exception-handling methods, apparatus, and computer program products |
DE19743463A1 (de) * | 1997-10-01 | 1999-04-08 | Itt Mfg Enterprises Inc | Verfahren zur Fehlerkennung von Mikroprozessoren in Steuergeräten eines Kfz. |
US6128773A (en) * | 1997-10-01 | 2000-10-03 | Hewlett-Packard Company | Automatically measuring software complexity |
US6161196A (en) * | 1998-06-19 | 2000-12-12 | Lucent Technologies Inc. | Fault tolerance via N-modular software redundancy using indirect instrumentation |
US6216237B1 (en) * | 1998-06-19 | 2001-04-10 | Lucent Technologies Inc. | Distributed indirect software instrumentation |
US6560720B1 (en) * | 1999-09-09 | 2003-05-06 | International Business Machines Corporation | Error injection apparatus and method |
DE10006206A1 (de) * | 2000-02-11 | 2001-08-30 | Daimler Chrysler Ag | Elektronisches Steuersystem |
-
2001
- 2001-08-30 DE DE10142511A patent/DE10142511B4/de not_active Expired - Fee Related
-
2002
- 2002-08-30 US US10/231,482 patent/US6971047B2/en not_active Expired - Lifetime
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19631309A1 (de) * | 1996-08-02 | 1998-02-05 | Teves Gmbh Alfred | Mikroprozessoranordnung für ein Fahrzeug-Regelungssystem |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9617948B2 (en) | 2012-03-16 | 2017-04-11 | Iav Gmbh Ingenieurgesellschaft Auto Und Verkehr | Method for optimizing an internal combustion engine |
DE102019218718A1 (de) * | 2019-12-02 | 2021-06-02 | Volkswagen Aktiengesellschaft | Steuerungssystem zur Steuerung eines Betriebs eines selbstfahrenden Fahrzeugs sowie Kraftfahrzeug |
CN112977468A (zh) * | 2019-12-02 | 2021-06-18 | 大众汽车股份公司 | 用于控制自动驾驶的车辆的运行的控制系统以及机动车辆 |
US11472423B2 (en) | 2019-12-02 | 2022-10-18 | Volkswagen Aktiengesellschaft | System for controlling a self-driving vehicle |
DE102019218718B4 (de) | 2019-12-02 | 2023-11-16 | Volkswagen Aktiengesellschaft | Steuerungssystem zur Steuerung eines Betriebs eines selbstfahrenden Fahrzeugs sowie Kraftfahrzeug |
Also Published As
Publication number | Publication date |
---|---|
DE10142511B4 (de) | 2004-04-29 |
US6971047B2 (en) | 2005-11-29 |
US20030060951A1 (en) | 2003-03-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3584140B1 (de) | Verfahren und vorrichtung für die steuerung eines sicherheitsrelevanten vorganges, sowie fahrzeug | |
EP2719593B1 (de) | Bremssystem und Verfahren zur Erzeugung einer Bremskraft | |
EP2099667B2 (de) | Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems | |
DE10142511B4 (de) | Fehlerbehandlung von Softwaremodulen | |
EP1521697B1 (de) | Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems | |
DE102018113863A1 (de) | Fehlerisolierung für ein Controller Area Network | |
DE102009046234A1 (de) | Elektrisches Bremssystem, insbesondere elektromechanisches Bremssystem, Verfahren zum Betreiben eines elektrischen Bremssystems | |
DE102007042981B4 (de) | Verfahren zum Betreiben eines aktiven Frontlenkungssystems mit einer Systemsicherheitsbetriebsart | |
EP3473512A1 (de) | Funktionsmodul, steuereinheit für ein betriebsassistenzsystem und arbeitsvorrichtung | |
WO2005055056A1 (de) | Laden von software-modulen | |
WO2020254120A1 (de) | Einrichtung und verfahren zum ausführen zumindest einer fahrzeugfunktion für ein fahrzeug | |
WO2005003972A2 (de) | Verfahren zu überprüfung der sicherheit und zuverlässigkeit softwarebasierter elektronischer systeme | |
DE102007046731B4 (de) | Verfahren zur Ansteuerung eines Aktuators in einem Kraftfahrzeug | |
EP4003823B1 (de) | Verfahren zum initialisieren eines kraftfahrzeugs | |
DE102006045153A1 (de) | System und Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk | |
DE102019132428A1 (de) | Funktionsorientierte Elektronik-Architektur | |
DE10359875A1 (de) | Digitales Netzwerk für Kraftfahrzeuge | |
DE102019134872B4 (de) | Verbesserung der Betriebsparameter eines Rechensystems im Fahrzeug | |
DE102017221968A1 (de) | Verfahren zum Betreiben einer Lenkvorrichtung und Lenkvorrichtung | |
DE19545645A1 (de) | Sicherheitskonzept für Steuereinheiten | |
DE102022211725A1 (de) | Verfahren zur Überwachung von Schnittstellen zwischen einer Software-Applikation und einem Steuergerät | |
DE102016215487A1 (de) | Fahrerassistenzsystem, Fortbewegungsmittel und Verfahren zur Überprüfung eines motorisch unterstützten Lenksystems | |
DE102022211737A1 (de) | Verfahren zum Ermitteln von Regeln für eine Überwachungsvorrichtung | |
AT506439B1 (de) | Redundantes bussystem | |
DE102022203259A1 (de) | Verfahren und Vorrichtung zum Absichern von automatischen Fahrfunktionen eines Kraftfahrzeugs |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8364 | No opposition during term of opposition | ||
8327 | Change in the person/name/address of the patent owner |
Owner name: DAIMLERCHRYSLER AG, 70327 STUTTGART, DE |
|
8327 | Change in the person/name/address of the patent owner |
Owner name: DAIMLER AG, 70327 STUTTGART, DE |
|
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |
Effective date: 20150303 |