DE10142511A1 - Fehlerbehandlung von Softwaremodulen - Google Patents

Fehlerbehandlung von Softwaremodulen

Info

Publication number
DE10142511A1
DE10142511A1 DE10142511A DE10142511A DE10142511A1 DE 10142511 A1 DE10142511 A1 DE 10142511A1 DE 10142511 A DE10142511 A DE 10142511A DE 10142511 A DE10142511 A DE 10142511A DE 10142511 A1 DE10142511 A1 DE 10142511A1
Authority
DE
Germany
Prior art keywords
data
input data
quality
software modules
software
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE10142511A
Other languages
English (en)
Other versions
DE10142511B4 (de
Inventor
Christian-Michael Mayer
Oliver Rooks
Andreas Schwarzhaupt
Gernot Spiegelberg
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mercedes Benz Group AG
Original Assignee
DaimlerChrysler AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DaimlerChrysler AG filed Critical DaimlerChrysler AG
Priority to DE10142511A priority Critical patent/DE10142511B4/de
Priority to US10/231,482 priority patent/US6971047B2/en
Publication of DE10142511A1 publication Critical patent/DE10142511A1/de
Application granted granted Critical
Publication of DE10142511B4 publication Critical patent/DE10142511B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1479Generic software techniques for error detection or fault masking
    • G06F11/1492Generic software techniques for error detection or fault masking by run-time replication performed by the application software

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Fehlerbehandlung von Softwaremodulen für redundant ausgelegte Systeme in Fahrzeugen. Es ist die Aufgabe der vorliegenden Erfindung, eine Fehlerbehandlung auf redundant ausgelegte Systeme in Fahrzeugen zu optimieren, wobei Fehler erkannt und Fehlerbehandlungs-Maßnahmen eingeleitet werden. Zusätzlich soll die Fehlerbehandlung derart gestaltet sein, dass diese für mehrere softwaregesteuerte Applikationen, die auf einem Steuergerät laufen, anwendbar ist. Zudem soll eine Vorrichtung zur Durchführung des Verfahrens bereitgestellt werden. Hierzu werden aus direkt und/oder indirekt redundanten Eingangsdaten für die Softwaremodule bereinigte Eingangsdaten bestimmt. Die Vorrichtung enthält entsprechende Mittel zur Durchführung des Verfahrens.

Description

  • Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Fehlerbehandlung von Softwaremodulen für redundant ausgelegte Systeme in Fahrzeugen.
  • Sicherheitsrelevante Systeme in Fahrzeugen wie beispielsweise "Steer-by-Wire"-Systeme, bei denen keine permanente mechanische bzw. hydraulische Verbindung zwischen dem Lenkrad und der lenkbaren Fahrzeugrädern besteht, oder "ESP"-Systeme, bei denen im fahrdynamischen Grenzbereich das Fahrverhalten des Fahrzeugs angepasst wird, müssen gegen Fehlerausfall besonders gesichert sein. Um die Ausfallsicherheit zu erhöhen werden diese Systeme redundant ausgelegt, so dass bei Ausfall beispielsweise eines Steuergerätes auf ein redundant ausgelegtes Steuergerät umgeschaltet werden kann. Zudem wird in diesen Systemen der Fehlerbehandlung eine große Bedeutung zugemessen. Da das Ziel solcher sicherheitsrelevanter Systeme sein muss möglichst lange lauffähig zu bleiben, unter Umständen auch mittels einer im System implementierten Notlauffunktion, wird oft auch der Begriff Qualitätsmanagement verwendet. Ein Fehler entspricht dann einer verminderten Qualität, da das System beispielsweise mittels der Notlauffunktion noch lauffähig ist, aber ein Fehler vorliegt.
  • Aus der EP 415 545 A2 ist ein Verfahren zur Fehlerbehandlung in Datenverarbeitungssystemen bekannt, in dem der Softwarefehler festgestellt, die Herkunft des Fehlers bestimmt und in Abhängigkeit der Herkunft des Fehlers Fehlermaßnahmen ergriffen werden. Probleme und Vorteile die bei redundanten Systemen gegeben sind, werden von dem Verfahren nicht berücksichtigt.
  • In der WO 00/18613 ist ein Verfahren zur Fehlererkennung von Mikroprozessoren in Steuergeräten eines Kraftfahrzeugs offenbart, wobei ein Steuergerät mittels eines Datenbusses Daten senden und empfangen kann. Die vom Mikroprozessor des Steuergeräts ausgegebenen Signale werden mit vorgegebenen Signalmustern verglichen, wobei ein Fehler erkannt wird, wenn die von dem Mikroprozessor ausgegebenen Signale nicht mit einem der vorgegebenen Signalmuster übereinstimmen. Das Verfahren sieht aber keine weiteren Schritte zur Fehlerbehebung vor.
  • Es ist nun die Aufgabe der vorliegenden Erfindung das eingangs beschriebene Verfahren derart weiterzubilden, dass eine Fehlerbehandlung auf redundant ausgelegte Systeme in Fahrzeugen optimiert wird, wobei Fehler erkannt und Fehlerbehandlungs- Maßnahmen eingeleitet werden. Zusätzlich soll die Fehlerbehandlung derart gestaltet sein, dass diese für mehrere softwaregesteuerte Applikationen, die auf einem Steuergerät laufen, anwendbar ist. Zudem soll eine Vorrichtung zur Durchführung des Verfahrens bereit gestellt werden.
  • Diese Aufgabe wird erfindungsgemäß durch die Merkmale des Anspruchs 1 bzw. des Anspruchs 17 gelöst. Danach werden aus direkt und/oder indirekt redundanten Eingangsdaten für die Softwaremodule bereinigte Eingangsdaten bestimmt.
  • Die Softwaremodule laufen auf Steuergeräten und entsprechen damit softwaregesteuerten Applikationen, wie sie im Fahrzeug für beispielsweise "Steer-by-Wire"- oder "ESP"-Systeme Anwendung finden. Vorzugsweise laufen die Softwaremodule in einem Steuergerät ab. Es ist aber ebenso denkbar, dass eine softwaregesteuerte Applikation über mehrere Steuergeräte verteilt ist.
  • Die direkten Eingangsdaten sind identisch zu der vom Softwaremodul erwarteten Eingangsgröße. Die indirekten Eingangsdaten sind mit der vom Softwaremodul zu erwarteten Eingangsgröße aufgrund von Kennlinien und/oder Tabellen und/oder physikalischen Zustandsgleichungen korreliert, so dass mittels der Kenntnis der indirekten Eingangsgrößen eine Berechnung und eine Aussage über die Plausibilität bzw. über die Qualität der direkten Eingangsdaten möglich ist.
  • Die bereinigte Eingangsdaten werden mittels einer Plausibilitätsprüfung ermittelt, die einerseits auf den vorgegebenen Wertebereich der direkten Eingangsdaten und andererseits auf den physikalischen Zusammenhang zwischen direkten und indirekten Eingangsdaten beruht.
  • Durch Zuweisung von Daten-Qualitätsattributen und darauf aufbauend von Softwaremodul-Qualitätsattributen, welche Informationen über die aktuelle Qualität der Daten bzw. der Softwaremodule enthalten, wird der Zustand des Systems ermittelt. Mittels der Qualitätsattributs-Informationen können dann Qualitätsmanagement-Maßnahmen wie Aktivierung von Notlauffunktionen, Deaktivierung von Softwaremodulen, Aktivierung von redundanten Softwaremodulen initiiert werden.
  • Da die Ermittlung der bereinigten Eingangsdaten, das Zuweisen des Daten- und Softwaremodul-Qualitätsattributs sowie die Maßnahme zur Fehlerbehandlung außerhalb der Softwaremodule gelagert ist und die korrespondierenden Daten auf einem Speichermittel abgelegt sind, auf die die teilnehmenden Softwaremodule Zugriff haben, können softwaregesteuerte Applikationen bzw. Softwaremodule unabhängig von der Fehlerbehandlung entwickelt werden. Dies ist ein großer Vorteil, da im Allgemeinen Fehlerbehandlungsmodule für eine bestimmte softwaregesteuerte Applikation entwickelt werden und nur mit großem Aufwand an weitere Applikationen, die beispielsweise auf demselben Steuergerät laufen, angepasst werden können.
  • Durch die Trennung der Fehlerbehandlung von den eigentlichen softwaregesteuerten Applikationen wird eine höhere Transparenz in der Fehlerbehandlung erzielt. Dies ist insbesondere dann der Fall, wenn die softwaregesteuerten Applikation implizit voneinander abhängen.
  • Es gibt nun verschiedene Möglichkeiten, die Lehre der vorliegenden Erfindung in vorteilhafter Weise auszugestalten und weiterzubilden. Dazu ist einerseits auf die untergeordneten Ansprüche und andererseits auf die nachfolgende Erläuterung einer Ausführungsform zu verweisen. Es sollen auch die vorteilhaften Ausgestaltungen einbezogen sein, die sich aus einer beliebigen Kombination der Unteransprüche ergeben. In der Zeichnung ist eine Ausführungsform des erfindungsgemäßen Verfahrens und eine entsprechende Vorrichtung dargestellt. Es zeigen jeweils in schematischer Darstellung,
  • Fig. 1 eine Vorrichtung zur Durchführung des erfindungsgemäßen Verfahrens,
  • Fig. 2 eine Übersicht einer Vorrichtung zur Durchführung des erfindungsgemäßen Verfahrens und
  • Fig. 3 ein Flussdiagramm zu Durchführung des erfindungsgemäßen Verfahrens
  • Eine Übersicht der erfindungsgemäßen Vorrichtung ist in Fig. 2 dargestellt. In dem redundant ausgelegten System sind die teilnehmenden Komponenten 1,8-14 über ein Datenbussystem 7 miteinander verbunden. Die teilnehmenden Komponenten 1,8-14 bestehen vorzugsweise aus Steuergeräten, Sensoren und Aktoren. Die Komponenten 1,8-14 stellen den weiteren Komponenten 1,8-14 zur Verfügung und/oder verarbeiten Daten der weiteren Komponenten 1,8-14. Aufgrund der Redundanz des Systems sind Komponenten mehrfach ausgelegt. Beispielweise ist nicht nur ein Sensor zur Messung der Geschwindigkeit vorhanden, sondern das System stellt mehrere Sensoren zur Messung der Geschwindigkeit zur Verfügung.
  • Der Datenbus 7 kann z. B. als FlexRay-Bus, als optischer MOST- oder D2B-Bus oder als elektrischer CAN-Bus in einem Verkehrsmittel, insbesondere einem Fahrzeug, vorgesehen sein.
  • In Fig. 1 ist der schematische Aufbau der Komponente 1, die für ein Steuergerät steht, abgebildet. Das Steuergerät 1 verfügt über ein Fehlerbehandlungsmodul 2 und mehrere Softwaremodule 3-5. Das Fehlerbehandlungsmodul 2 sowie die Softwaremodule 3-5 entsprechen softwaregesteuerten Applikationen, die auf dem Steuergerät laufen. Die softwaregesteuerten Applikationen 2-5 tauschen Daten mit den Komponenten 1,8-14 aus. Die Module 2-5 sind mit dem Speichermittel 6 verbunden. Das Speichermittel 6 ist vorzugsweise als Speichermittel der Komponente 1 ausgelegt.
  • Beispielhaft soll das Softwaremodul 3 eine softwaregesteuerte Applikation zur Längsdynamik-Regelung eines Fahrzeugs darstellen, wobei die Längsdynamik-Regelung die Längsbeschleunigung des Fahrzeugs regelt und der Sollwert der Längsbeschleunigung aSoll durch die Gaspedalstellung des Fahrers vorgegeben wird. Die softwaregesteuerte Applikation 3 benötigt als Eingangsgröße die aktuelle Längsbeschleunigung aAktuell des Fahrzeugs und ermittelt als Ausgangsgröße Stellwerte für die Motorsteuerung und/oder das Bremssystem.
  • Aufgrund der im redundanten System 15 vorhandenen Sensoren werden die direkten und indirekten Eingangsdaten auf dem Datenbus 7 zur Verfügung gestellt. So ermittelt beispielsweise das System 15 mittels der Komponenten 8-14 kontinuierlich drei Geschwindigkeitswerte v1, v2, v3, sowie drei Motordrehzahlwerte n1, n2, n3 und zwei Längsbeschleunigungswerte a1, a2, welche den aktuellen Zustand des Fahrzeugs bezüglich der Längsdynamik- Regelung beschreiben. Die direkten Eingangsdaten für das Softwaremodul 3 sind damit a1 sowie a2; den indirekten Eingangsdaten entsprechen v1, v2, v3, n1, n2, n3, da diese mit der Längsbeschleunigung des Fahrzeugs über eine physikalische Zustandsgleichung korreliert sind.
  • Anhand der in Fig. 3 dargestellten Flussdiagramms wird nun das erfindungsgemäße Verfahren erläutert:
    • Eingangsdaten
  • Das Steuergerät 1 greift vom Datenbus 7 die für das Softwaremodul 2 bestimmten direkten und indirekten Eingangsdaten (v1, v2, v3, n1, n2, n3, a1, a2) ab.
    • Bereinigte Daten
  • Von dem Fehlerbehandlungsmodul 2 werden bereinigte Eingangsdaten für das Softwaremodul 3 ermittelt. Das Softwaremodul 3 benötigt als Eingangsdatum die aktuelle Längsbeschleunigung des Fahrzeugs. Hierbei führt das Fehlerbehandlungsmodul eine Plausibilitätsprüfung durch, die einerseits auf den vorgegebenen Wertebereich der direkten Eingangsdaten und andererseits auf den physikalischen Zusammenhang zwischen direkten und indirekten Eingangsdaten beruht. Das Fehlerbehandlungsmodul 2 geht dabei folgendermaßen vor:
    Sind a1 und a2 vorhanden und liegen dieses Werte nicht außerhalb des vorgegebenen Wertebereichs so wird das arithmetische Mittel für aAktuell als bereinigtes Eingangsdatum ermittelt. Liegen a1 oder a2 außerhalb des vorgegebenen Wertebereichs oder ist nur a1 oder nur a2 vorhanden, ermittelt das Fehlerbehandlungsmodul mittels der indirekten Daten (v1, v2, v3, n1, n2, n3) auf Basis einer physikalischen Zustandsgleichung den aktuellen Wert aAktuell. Liegen a1 und a2 außerhalb des Wertebereichs oder steht nur ein Eingangsdatum zur Verfügung, dass außerhalb des Wertebereichs liegt und/oder stehen keine indirekten Daten für eine Plausibilitätsprüfung zur Verfügung wird kein bereinigtes Eingangsdatum für das Softwaremodul 3 ermittelt.
  • Aufgrund der Abweichungen vom Werterbereich bzw. das Fehlen von direkten Eingangsdaten kann auf die Funktionalität der entsprechenden Sensoren geschlossen und weitere Schritte unternommen werden.
    • Qualitätsbestimmung
  • Die Qualitätsbestimmung der bereinigten Eingangsdaten erfolgt in Abhängigkeit der direkten und/oder indirekten Eingangsdaten. Den bereinigten Eingangsdaten wird ein Daten-Qualitätsattribut, das die Qualität der Eingangsdaten widerspiegelt. Dieses Qualitätsattribut hat vier Qualitätsstufen "4", "2", "1", "0", ausgehend von hoher Qualität "4" bis niederer Qualität "0". So wird die Qualitästsstufe "4" vergeben, wenn a1 und a2 vorhanden und in dem vorgegebenen Wertebereich liegen. Die Qualitätsstufe "2" wird vergeben, wenn nur aufgrund der Hinzunahme der indirekten Eingangsdaten ein bereinigtes Eingangsdatum ermittelt wird. Sind ein oder mehrere direkte Eingangsdaten ausgefallen und es sind keine indirekten Eingangssignale zur Plausibilitätsprüfung vorhanden, dann wird die Qualitätsstufe "1" vergeben. Kann das Fehlerbehandlungsmodul keinen bereinigten Eingangswert ermitteln, wird die Qualitätsstufe "0" vergeben.
    • Speichermittel
  • Die bereinigten Eingangsdaten und korrespondierenden Daten- Qualitätsattribute werden in dem Speichermittel 6 abgelegt.
    • Modul
  • Das Softwaremodul 3 liest aus dem Speichermittel 6 sein bereinigtes Eingangsdatum aAktuell. Die softwaregesteuerte Applikation zur Längsdynamikregelung 3 ermittelt nach Vergleich von aSoll und aAktuell ein Drehmoment zur Steuerung des Motors und/oder eine Sollverzögerung für das Bremssystem.
    • Ausgangsdaten
  • Das Drehmoment und die Sollverzögerung stellen die Ausgangsdaten für das Softwaremodul 3 dar.
    • Speichermittel
  • Die Ausgangsdaten werden im Speichermittel 6 abgelegt und an den Datenbus 7 ausgegeben.
    • Qualitätsbestimmung
  • Die Qualitätsbestimmung der Ausgangsdaten erfolgt über die aktuellen eingehenden bereinigten Eingangsdaten. In diesem Fall wird vom Fehlerbehandlungsmodul 2 geprüft, ob aAktuell sich an das an die Motorsteuerung ausgegebene Drehmoment und/oder an die an das Bremssystem ausgegebene Sollverzögerung anpasst. Je nach Ergebnis wird ein Daten-Qualitätsattribut den Ausgangsdaten Drehmoment und/oder Sollwertverzögerung zugeordnet. Das Daten-Qualitätsattribut für die Ausgangsdaten ist ebenfalls vierstufig ausgelegt, wobei die Stufe "4" für "System folgt" und Stufe "0" für "System folgt nicht" steht. Die Qualitätsstufen "2", "1" sind nicht belegt. Eine Belegung aller vier Stufen könnte beispielsweise dadurch erfolgen, dass noch berücksichtigt wird in welcher Zeitspanne das System auf die Stellwerte bzw. die Ausgangsdaten reagiert.
    • Speichermittel
  • Die Daten-Qualitätsattribute werden ebenfalls in dem Speichermittel 6 abgelegt.
  • Qualitätsbestimmung des Moduls + Qualitätsmanagement
  • Mittels der Daten-Qualitätsattribute wird nun von dem Fehlerbehandlungsmodul 2 dem Softwaremodul 3 eine Softwaremodul- Qualitätsattribut zugewiesen. Aufgrund dieses Softwaremodul- Qualitätsattributs werden dann in weiteren Schritten Maßnahmen zur Qualitätssicherung, also ein sogenanntes Fehler- bzw. Qualitätsmanagement durchgeführt. Somit stellt das Softwaremodul- Qualitätsattribut den Zustand der softwaregesteuerten Applikation dar. Die Zuweisung des Softwaremodul-Qualitätsattributs erfolgt über eine in dem Speichermittel 6 abgelegte Matrix. In dieser Matrix sind für die Softwaremodule 3-5 in Abhängigkeit der Qualität der korrespondierenden Ein- und/oder Ausgangsdaten, die resultierende Qualität des Softwaremoduls abgelegt, wobei bei Erstellung der Matrix die Daten-Qualitätsattribute unterschiedliche gewichtet werden. Entsprechend den Daten- Qualitätsattributen können auch für die Software- Qualitätsattribute vier Stufen vergeben werden. Das aktuell ermittelte Softwaremodul-Qualitätsattribute wird ebenfalls in dem Speichermittel 6 abgelegt. Die Matrix enthält zudem Informationen über das Qualitätsmanagement. Zu jedem Softwaremodul- Qualitätsattribut ist in der Matrix zudem die Maßnahme zur Qualitätsverbesserung hinterlegt. Beispielsweise steht für ein bestimmtes Softwaremodul 3-5 die Stufe "4" für "Optimaler Betrieb", die Stufe "2" für "Umschalten auf Notlauffunktion 1", die Stufe "1" für "Umschalten auf Notlauffunktion 2", die Stufe "0" für "Eigen-Deaktivierung sowie Aktivierung eines redundanten Softwaremoduls". Das Fehlerbehandlungsmodul 2 überwacht die Generierung der entsprechenden aktuellen Softwaremodul- Qualitätsattribute und leitet auch die Maßnahmen zur Qualitätssicherung ein. Es kann aber auch derart realisiert sein, dass die Softwaremodule sich selbst kontrollieren, indem diese die Qualitätsinformation im Speichermittel kontinuierlich abprüfen und mittels der in der Matrix abgelegten Informationen ihre Qualitätsmanagement-Maßnahmen selbst einleiten.
  • Das erfindungsgemäße Verfahren ist kontinuierlich durchzuführen. Nur so kann gewährleistet werden, dass die bereinigten Eingangsdaten und die Qualitätsattribute bzgl. der Daten und der Softwaremodule den aktuellen Systemzustand widerspiegeln. Das Fehlerbehandlungsmodul 2 übernimmt die an dem Softwaremodul 3 beispielhaft aufgezeigten Verfahrensschritte, ebenfalls für die im Steuergeräte 1 weiteren Softwaremodule 4-5, so dass die Fehlerbehandlung für die Softwaremodule 3-5 unabhängig von der eigentlichen softwaregesteuerten Applikation 3-5 des Steuergeräts 1 erfolgt.

Claims (19)

1. Verfahren zur Fehlerbehandlung von Softwaremodulen (3-5) für redundant ausgelegte Systeme (15) in Fahrzeugen, wobei
die Softwaremodule (3-5) in Steuergeräten (1) ablaufen,
die Steuergeräte (1, 8-14) und/oder die Softwaremodule (3-5) über ein Datenbussystem (7) Daten austauschen, wobei aus direkten Eingangsdaten und dazu redundanten indirekten Eingangsdaten durch eine Berechnungen bereinigte Eingangsdaten erzeugt werden,
dadurch gekennzeichnet, dass
aus den direkten und/oder den redundanten indirekten Eingangsdaten bereinigte Eingangsdaten für die Softwaremodule (3-5) bestimmt werden, wobei die bereinigten Eingangsdaten mittels einer Plausibilitätsprüfung ermittelt werden, die einerseits auf dem vorgegebenen Wertebereich der direkten Eingangsdaten und andererseits auf dem physikalischen Zusammenhang zwischen direkten und indirekten Eingangsdaten beruht.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass
die bereinigten Eingangsdaten in einem den Softwaremodulen (3-5) zugänglichem Speichermittel (6) abgelegt werden und
die Softwaremodule (3-5) mittels dieser bereinigten Eingangsdaten Ausgangsdaten erzeugen und diese ebenfalls in dem Speichermittel (6) abgelegt werden.
3. Verfahren nach Anspruch 1-2, dadurch gekennzeichnet, dass mit den im Speichermittel (6) abgelegten Daten eine Qualitätsbestimmung durchgeführt wird.
4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass bei der Qualitätsbestimmung der Daten jeweils ein Daten- Qualitätsattribut zugeordnet und in dem Speichermittel (6) abgelegt wird, das Informationen über die Qualität der Daten enthält.
5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass das Daten-Qualitätsattribut mittels der direkten und/oder indirekten Eingangsdaten ermittelt wird.
6. Verfahren nach Anspruch 5. dadurch gekennzeichnet, dass wenn nur ein direktes Eingangsdatum vorhanden ist, die indirekten Eingangsdaten zur Bestimmung des Daten-Qualitätsattributs herangezogen werden.
7. Verfahren nach Anspruch 5 bis 6, dadurch gekennzeichnet, dass die Bestimmung des Daten-Qualitätsattributs der bereinigten Eingangsdaten danach durchgeführt wird, ob bei Ermittlung der bereinigten Eingangsdaten,
mehrere direkte Eingangsdaten vorhanden sind und/oder
direkte und indirekte Eingangsdaten vorhanden sind und/oder
nur ein direktes Eingangsdatum vorhanden ist.
8. Verfahren nach Anspruch 4 bis 5, dadurch gekennzeichnet, dass die Bestimmung des Daten-Qualitätsattributs der Ausgangsdaten mittels der bereinigten Eingangsdaten erfolgt.
9. Verfahren nach Anspruch 4 bis 8, dadurch gekennzeichnet, dass mittels der im Speichermittel (6) abgelegten Daten- Qualitätsattribute eine Fehlerbehandlung durchgeführt wird.
10. Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass mittels der Fehlerbehandlung den jeweiligen Softwaremodulen (3-5) ein Softwaremodul-Qualitätsattribut zugewiesen und in dem Speichermittel (6) abgelegt wird.
11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass die Zuordnung des Softwaremodul-Qualitätsattributs für ein Softwaremodul (3-5) aufgrund der Daten-Qualitätsattribute der korrespondierenden Ein- und/oder Ausgangsdaten des Softwaremoduls (3-5) erfolgt.
12. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass die Bestimmung des Software-Qualitätsattributs für ein Softwaremodul (3-5) aufgrund einer unterschiedlichen Gewichtung der Daten-Qualitätsattribute der korrespondierenden Ein- und/oder Ausgangsdaten des Softwaremoduls (3-5) erfolgt.
13. Verfahren nach Anspruch 10 bis 12, dadurch gekennzeichnet, dass in Abhängigkeit des ermittelten Softwaremodul- Qualitätsattributs eines Softwaremoduls (3-5), eine Maßnahme zur Qualitätsverbesserung des Softwaremoduls (3-5) durchgeführt wird.
14. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dass die Maßnahme zur Qualitätsverbesserung mittels der Aktivierung einer Notlauffunktion des Softwaremoduls (3-5) erfolgt.
15. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dass die Maßnahme zur Qualitätsverbesserung mittels der Aktivierung eines redundant ausgelegten Steuergeräts (1,8-14) und/oder Softwaremoduls (3-5) erfolgt.
16. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dass die Maßnahme zur Qualitätsverbesserung mittels einer Deaktivierung des Steuergeräts (1, 8-14) und/oder Softwaremoduls (3-5) erfolgt.
17. Vorrichtung zur Durchführung des Verfahrens nach einem der vorhergehenden Ansprüche in einem Fahrzeug, wobei
Steuergeräte (1, 8-14) und/oder Softwaremodule (3-5) über ein Datenbussystem verbunden sind,
Softwaremodule (3-5) in Steuergeräten (1) ablaufen,
dadurch gekennzeichnet, dass
die Steuergeräte (1) ein Mittel zur Fehlerbehandlung (2) aufweisen, wobei die Mittel zur Fehlerbehandlung (2)
aus direkt und/oder indirekt redundanten Eingangsdaten für Softwaremodule (3-5) bereinigte Eingangsdaten bestimmen und
diese bereinigten Eingangsdaten in einem den Softwaremodulen (3-5) zugänglichem Speichermittel (6) ablegen, und wobei
die Softwaremodule (3-5) mittels dieser bereinigten Eingangsdaten Ausgangsdaten erzeugen und diese ebenfalls in dem Speichermittel (6) ablegen.
18. Vorrichtung nach Anspruch 17, dadurch gekennzeichnet, dass die Mittel zur Fehlerbehandlung (2) derart gestaltet sind, dass diese mit den im Speichermittel (6) abgelegten Daten eine Qualitätsbestimmung der Ein- und/oder Ausgangsdaten sowie der Softwaremodule (3-5) durchführen.
19. Vorrichtung nach Anspruch 18, dadurch gekennzeichnet, dass die Mittel zur Fehlerbehandlung (2) Mittel zum Qualitätsmanagement umfassen, die derart gestaltet sind, dass diese aufgrund der im Speichermittel (6) abgelegten Qualitätsattribute Maßnahmen zur Qualitätsverbesserung durchführen.
DE10142511A 2001-08-30 2001-08-30 Fehlerbehandlung von Softwaremodulen Expired - Fee Related DE10142511B4 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE10142511A DE10142511B4 (de) 2001-08-30 2001-08-30 Fehlerbehandlung von Softwaremodulen
US10/231,482 US6971047B2 (en) 2001-08-30 2002-08-30 Error handling of software modules

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10142511A DE10142511B4 (de) 2001-08-30 2001-08-30 Fehlerbehandlung von Softwaremodulen

Publications (2)

Publication Number Publication Date
DE10142511A1 true DE10142511A1 (de) 2003-04-03
DE10142511B4 DE10142511B4 (de) 2004-04-29

Family

ID=7697124

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10142511A Expired - Fee Related DE10142511B4 (de) 2001-08-30 2001-08-30 Fehlerbehandlung von Softwaremodulen

Country Status (2)

Country Link
US (1) US6971047B2 (de)
DE (1) DE10142511B4 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9617948B2 (en) 2012-03-16 2017-04-11 Iav Gmbh Ingenieurgesellschaft Auto Und Verkehr Method for optimizing an internal combustion engine
DE102019218718A1 (de) * 2019-12-02 2021-06-02 Volkswagen Aktiengesellschaft Steuerungssystem zur Steuerung eines Betriebs eines selbstfahrenden Fahrzeugs sowie Kraftfahrzeug

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7281166B1 (en) * 2003-05-29 2007-10-09 Sun Microsystems, Inc. User-customizable input error handling
US7472337B2 (en) 2005-03-22 2008-12-30 Cummins, Inc. Method and system for detecting faults in an electronic engine control module
US8291379B2 (en) * 2006-12-13 2012-10-16 International Business Machines Corporation Runtime analysis of a computer program to identify improper memory accesses that cause further problems
US9495278B2 (en) * 2006-12-27 2016-11-15 International Business Machines Corporation Dynamic discovery of data segments within instrumented code
DE102007033885A1 (de) * 2007-07-20 2009-01-22 Siemens Ag Verfahren zur transparenten Replikation einer Softwarekomponente eines Softwaresystems
US20090076628A1 (en) * 2007-09-18 2009-03-19 David Mark Smith Methods and apparatus to upgrade and provide control redundancy in process plants
US8301605B2 (en) * 2007-12-17 2012-10-30 International Business Machines Corporation Managing maintenance tasks for computer programs
US8881112B2 (en) * 2007-12-19 2014-11-04 International Business Machines Corporation Quality measure tool for a composite application
KR101047399B1 (ko) * 2008-10-31 2011-07-08 현대자동차일본기술연구소 하이브리드 차량의 클러치 특성 보정 방법
US8205118B2 (en) * 2009-07-23 2012-06-19 International Business Machines Corporation Software component self-scrubbing
US20110202995A1 (en) * 2010-02-16 2011-08-18 Honeywell International Inc. Single hardware platform multiple software redundancy

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19631309A1 (de) * 1996-08-02 1998-02-05 Teves Gmbh Alfred Mikroprozessoranordnung für ein Fahrzeug-Regelungssystem

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0415545B1 (de) * 1989-08-01 1996-06-19 Digital Equipment Corporation Verfahren zur Softwarefehlerbehandlung
DE4133268A1 (de) * 1991-10-08 1993-04-15 Bosch Gmbh Robert Vorrichtung zur steuerung der antriebsleistung eines fahrzeuges
US5671352A (en) * 1995-07-07 1997-09-23 Sun Microsystems, Inc. Error injection to a behavioral model
US6247169B1 (en) * 1996-11-04 2001-06-12 Sun Microsystems, Inc. Structured exception-handling methods, apparatus, and computer program products
DE19743463A1 (de) * 1997-10-01 1999-04-08 Itt Mfg Enterprises Inc Verfahren zur Fehlerkennung von Mikroprozessoren in Steuergeräten eines Kfz.
US6128773A (en) * 1997-10-01 2000-10-03 Hewlett-Packard Company Automatically measuring software complexity
US6161196A (en) * 1998-06-19 2000-12-12 Lucent Technologies Inc. Fault tolerance via N-modular software redundancy using indirect instrumentation
US6216237B1 (en) * 1998-06-19 2001-04-10 Lucent Technologies Inc. Distributed indirect software instrumentation
US6560720B1 (en) * 1999-09-09 2003-05-06 International Business Machines Corporation Error injection apparatus and method
DE10006206A1 (de) * 2000-02-11 2001-08-30 Daimler Chrysler Ag Elektronisches Steuersystem

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19631309A1 (de) * 1996-08-02 1998-02-05 Teves Gmbh Alfred Mikroprozessoranordnung für ein Fahrzeug-Regelungssystem

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9617948B2 (en) 2012-03-16 2017-04-11 Iav Gmbh Ingenieurgesellschaft Auto Und Verkehr Method for optimizing an internal combustion engine
DE102019218718A1 (de) * 2019-12-02 2021-06-02 Volkswagen Aktiengesellschaft Steuerungssystem zur Steuerung eines Betriebs eines selbstfahrenden Fahrzeugs sowie Kraftfahrzeug
CN112977468A (zh) * 2019-12-02 2021-06-18 大众汽车股份公司 用于控制自动驾驶的车辆的运行的控制系统以及机动车辆
US11472423B2 (en) 2019-12-02 2022-10-18 Volkswagen Aktiengesellschaft System for controlling a self-driving vehicle
DE102019218718B4 (de) 2019-12-02 2023-11-16 Volkswagen Aktiengesellschaft Steuerungssystem zur Steuerung eines Betriebs eines selbstfahrenden Fahrzeugs sowie Kraftfahrzeug

Also Published As

Publication number Publication date
DE10142511B4 (de) 2004-04-29
US6971047B2 (en) 2005-11-29
US20030060951A1 (en) 2003-03-27

Similar Documents

Publication Publication Date Title
EP3584140B1 (de) Verfahren und vorrichtung für die steuerung eines sicherheitsrelevanten vorganges, sowie fahrzeug
EP2719593B1 (de) Bremssystem und Verfahren zur Erzeugung einer Bremskraft
EP2099667B2 (de) Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems
DE10142511B4 (de) Fehlerbehandlung von Softwaremodulen
EP1521697B1 (de) Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems
DE102018113863A1 (de) Fehlerisolierung für ein Controller Area Network
DE102009046234A1 (de) Elektrisches Bremssystem, insbesondere elektromechanisches Bremssystem, Verfahren zum Betreiben eines elektrischen Bremssystems
DE102007042981B4 (de) Verfahren zum Betreiben eines aktiven Frontlenkungssystems mit einer Systemsicherheitsbetriebsart
EP3473512A1 (de) Funktionsmodul, steuereinheit für ein betriebsassistenzsystem und arbeitsvorrichtung
WO2005055056A1 (de) Laden von software-modulen
WO2020254120A1 (de) Einrichtung und verfahren zum ausführen zumindest einer fahrzeugfunktion für ein fahrzeug
WO2005003972A2 (de) Verfahren zu überprüfung der sicherheit und zuverlässigkeit softwarebasierter elektronischer systeme
DE102007046731B4 (de) Verfahren zur Ansteuerung eines Aktuators in einem Kraftfahrzeug
EP4003823B1 (de) Verfahren zum initialisieren eines kraftfahrzeugs
DE102006045153A1 (de) System und Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk
DE102019132428A1 (de) Funktionsorientierte Elektronik-Architektur
DE10359875A1 (de) Digitales Netzwerk für Kraftfahrzeuge
DE102019134872B4 (de) Verbesserung der Betriebsparameter eines Rechensystems im Fahrzeug
DE102017221968A1 (de) Verfahren zum Betreiben einer Lenkvorrichtung und Lenkvorrichtung
DE19545645A1 (de) Sicherheitskonzept für Steuereinheiten
DE102022211725A1 (de) Verfahren zur Überwachung von Schnittstellen zwischen einer Software-Applikation und einem Steuergerät
DE102016215487A1 (de) Fahrerassistenzsystem, Fortbewegungsmittel und Verfahren zur Überprüfung eines motorisch unterstützten Lenksystems
DE102022211737A1 (de) Verfahren zum Ermitteln von Regeln für eine Überwachungsvorrichtung
AT506439B1 (de) Redundantes bussystem
DE102022203259A1 (de) Verfahren und Vorrichtung zum Absichern von automatischen Fahrfunktionen eines Kraftfahrzeugs

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: DAIMLERCHRYSLER AG, 70327 STUTTGART, DE

8327 Change in the person/name/address of the patent owner

Owner name: DAIMLER AG, 70327 STUTTGART, DE

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20150303