DE102004022624A1 - Verfahren zur Überwachung eines Systems - Google Patents

Verfahren zur Überwachung eines Systems Download PDF

Info

Publication number
DE102004022624A1
DE102004022624A1 DE102004022624A DE102004022624A DE102004022624A1 DE 102004022624 A1 DE102004022624 A1 DE 102004022624A1 DE 102004022624 A DE102004022624 A DE 102004022624A DE 102004022624 A DE102004022624 A DE 102004022624A DE 102004022624 A1 DE102004022624 A1 DE 102004022624A1
Authority
DE
Germany
Prior art keywords
antw
answer
slaves
master
question
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102004022624A
Other languages
English (en)
Inventor
Per Hagman
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102004022624A priority Critical patent/DE102004022624A1/de
Priority to ES05102514T priority patent/ES2313212T3/es
Priority to DE502005005731T priority patent/DE502005005731D1/de
Priority to EP05102514A priority patent/EP1600831B1/de
Priority to CNB2005100717956A priority patent/CN100520655C/zh
Priority to US11/125,425 priority patent/US7689871B2/en
Publication of DE102004022624A1 publication Critical patent/DE102004022624A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Debugging And Monitoring (AREA)
  • Hardware Redundancy (AREA)
  • Computer And Data Communications (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Überwachung eines Systems (1) mit einem als Master (3) definierten Steuergerät und einer Anzahl als Slaves (5) definierten Steuergeräte durch ein Überwachungsmodul (7), bei dem auf eine Frage (11) von dem Master (3) und den Slaves (5) jeweils eine Antwort (13, 16) gegeben wird und eine auf Grundlage dieser Antworten (13, 16) bereitgestellte gemeinsame Antwort (17) von dem Überwachungsmodul (7) überpfrüft wird.

Description

  • Die Erfindung betrifft ein Verfahren zur Überwachung eines Systems, ein System mit mehreren Steuergeräten sowie ein Computerprogramm und ein entsprechendes Computerprogrammprodukt zur Durchführung des Verfahrens.
  • Stand der Technik
  • Steuergeräte, insbesondere Motorsteuergeräte, werden üblicherweise nach einem 3-Ebenen Konzept überwacht. In diesem Konzept spielt ein von einem Funktionsrechner abhängiges Überwachungsmodul eine zentrale Rolle. Das Überwachungsmodul überwacht einen Funktionsrechner durch eine Frage-Antwort-Kommunikation. Hierbei wird durch das Überwachungsmodul überprüft, ob Antworten des Funktionsrechners richtig sind und/oder ob sie zu einem richtigen Zeitpunkt eingetroffen sind.
  • Vor dem Hintergrund immer komplexer werdender Systeme mit einer Vielzahl an Steuergeräten besteht ein Bedarf an Verfahren, mit denen die Überwachung derartiger Systeme sowohl sicher als auch unter geringem Aufwand durchführbar ist.
  • Hierzu wird ein Verfahren mit den Merkmalen des Patentanspruchs 1, ein System mit den Merkmalen des Patentanspruchs 12, ein Computerprogramm mit den Merkmalen des Patentanspruchs 13 und ein Computerprogrammprodukt mit den Merkmalen des Patentanspruchs 14 vorgestellt.
  • Vorteile der Erfindung
  • Die Erfindung betrifft ein Verfahren zur Überwachung eines Systems mit einem als Master definierten Steuergerät und einer Anzahl als Slaves definierten Steuergeräten durch ein Überwachungsmodul, bei dem auf eine Frage von dem Master und den Slaves jeweils eine Antwort gegeben wird und eine auf Grundlage dieser Antworten bereitgestellte gemeinsame Antwort von dem Überwachungsmodul überprüft wird. Mit der Erfindung ist es möglich, Software, die innerhalb des Systems auf mehrere Steuergeräte aufgeteilt ist, einzelfehlersicher zu überwachen. Ein weiterer Vorteil ist, daß zur Durchführung dieses Verfahrens die Software in dem Überwachungsmodul und eine Frage-Antwort-Kommunikation, die bei herkömmlichen Verfahren zwischen dem Überwachungsmodul und einem Funktionsrechner stattfindet, unverändert bleiben.
  • Es ist vorzugsweise vorgesehen, daß die gemeinsame Antwort durch einen Algorhithmus ermittelt wird. Dabei werden die Antworten der Steuergeräte berücksichtigt. Das Überwachungsmodul wird in seiner Funktion nur indirekt durch das eigentliche Verfahren und den Algorhithmus beeinflußt. Da das Überwachungsmodul nur eine gemeinsame Antwort erhält, können mit dem Verfahren beliebig viele Steuergeräte in hoch komplexen Systemen überwacht werden.
  • In Ausgestaltung des Verfahrens ist vorgesehen, daß die insbesondere von dem Überwachungsmodul bereitgestellte Frage von jedem Steuergerät dahingehend überprüft wird, ob diese Frage richtig oder falsch ist. In Abhängigkeit dessen kann jedes Steuergerät eine richtige oder definiert falsche Antwort bereitstellen.
  • Die Antwort Antw auf eine richtige Frage wird in Abhängigkeit eines die Frage definierenden Frageidentifikationscodes Frage_Id und eines das Steuergerät definierenden Steuergeräteidentifikationscodes Steuerg_Id bereitgestellt. Die Antwort Antw lautet bspw: Antw = (Frage_Id + 1)·Steuerg_Id (1)
  • Somit ist eine genaue Zuordnung der Antworten Antw möglich. Bei den Steuergeräteidentifikationscodes Steuerg_Id handelt es sich sowohl für den Master als auch für die Slaves um individuell festgelegte Primzahlen.
  • In bevorzugter Ausführung der Erfindung ist vorgesehen, daß die gemeinsame Antwort unter Berücksichtigung einer als korrekt definierten und einer wahren Antwort jeweils eines der Steuergeräte bereitgestellt wird. Durch diesen Vergleich zwischen Ist-Werten und Soll-Werten ist es unter geringem Aufwand zuverlässig möglich, Fehler innerhalb des Systems zu erkennen und infolgedessen gegebenenfalls Maßnahmen zur Behebung derartiger Fehler zu ergreifen.
  • Die gemeinsame Antwort g_Antw hängt u. a. von einer definierten gemeinsamen Antwort g_Antw_d gemäß nachstehender Formel ab: g_Antw_d = M_Antw – Σ S_Antw_d (2)wobei M_Antw der Antwort des Masters und Σ S_Antw_d der Summe der als korrekt definierten Antworten der Slaves entspricht.
  • Die gemeinsame Antwort g_Antw wird bspw. gemäß der Formel: g_Antw = g_Antw_d + Σ S_Antw_w (3)in Abhängigkeit der definierten gemeinsamen Antwort g_Antw_d und einer Summe der wahren Antworten der Slaves Σ S_Antw_w berechnet.
  • Bei dieser Vorgehensweise wird zur Berechnung der gemeinsamen Antwort demnach in einem ersten Schritt die definierte gemeinsame Antwort g_Antw_d durch Subtraktion der als korrekt definierten Antworten der Slaves ΣS_Antw_d und der Masterantwort M_Antw bzw. der Antwort des Funktionsrechners definiert. In einem nächsten Schritt werden die empfangenen wahren Antworten der Slaves ΣS_Antw_w zu der definierten gemeinsamen Antwort g_Antw_d addiert. Falls die wahren Antworten der Slaves S_Antw_w korrekt sind, wird die gemeinsame Antwort g_Antw den Wert der Masterantwort M_Antw haben. Ob innerhalb des Systems ein Fehler vorhanden oder nicht vorhanden ist, kann durch das Überwachungsmodul nunmehr durch Überprüfung lediglich eines Wertes für die gemeinsame Antwort g_Antw bestimmt werden.
  • Es ist vorgesehen, daß die Fragen und Antworten zwischen dem Master, insbesondere des Funktionsrechners, innerhalb des Masters und den Slaves ausgetauscht werden. Das Überwachungsmodul ist von dieser eventuell umfangreichen Frage-Antwort-Kommunikation nicht betroffen. Während des Verfahrens gibt das Überwachungsmodul lediglich eine Frage aus und erhält nur eine Antwort darauf.
  • Bei Durchführung des Verfahrens ist bevorzugt vorgesehen, daß Antworten jeweils eines der Slaves durch jeweils einen Fehlerzähler innerhalb des Master geprüft werden. Dies bietet eine hohe Flexibilität innerhalb des Systems. Für einen konkreten Fall kann eingestellt werden, wie viele Antworten eines der Slaves bspw. zu spät ankommen dürfen, ohne daß das Überwachungsmodul dies bemerkt. Somit ist es möglich, daß kurzzeitige Störungen innerhalb eines Kommunikationsnetzes des Systems (Busstörungen), die zur Folge haben, daß Antworten des einen Slaves nicht rechtzeitig bei dem Master ankommen, nicht als Fehler innerhalb dieses Slaves interpretiert werden und somit innerhalb des Überwachungsmoduls keine Fehlerreaktionen hervorrufen. Mit Hilfe dieses Fehlerzählers innerhalb des Masters werden somit unnötige Fehlerreaktionen vermieden.
  • Das erfindungsgemäße System weist ein als ein Master definiertes Steuergerät und eine Anzahl als Slaves definierte Steuergeräte und ein Überwachungsmodul auf. Zur Überwachung dieses Systems ist vorgesehen, daß auf eine Frage der Master und die Slaves jeweils eine Antwort geben und das Überwachungsmodul eine auf Grundlage dieser Antworten bereitgestellte gemeinsame Antwort überprüft. Das System ist so ausgelegt, daß die Überwachung unabhängig von einer Anzahl der Steuergeräte überwacht werden kann.
  • Das erfindungsgemäße Computerprogramm mit Programmcodemitteln ist zur Durchführung aller Schritte des erfindungsgemäßen Verfahrens ausgelegt, wenn dieses Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit, insbesondere einem Steuergerät in dem erfindungsgemäßen System, durchgeführt wird.
  • Das erfindungsgemäße Computerprogrammprodukt mit Programmcodemitteln, die auf einem computerlesbaren Datenträger gespeichert sind, ist zur Durchführung des erfindungsgemäßen Verfahrens vorgesehen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit, insbesondere einem Steuergerät in dem erfindungsgemäßen System, durchgeführt wird.
  • Zeichnung
  • Ausführungsbeispiele der Erfindung sind in der Zeichnung dargestellt und werden in der nachfolgenden Beschreibung näher erläutert.
  • 1 zeigt in schematischer Darstellung eine bevorzugte Ausführungsform des erfindungsgemäßen Systems.
  • 2 zeigt einen ersten Aspekt einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens in einem schematischen Diagramm.
  • 3 zeigt einen weiteren Aspekt einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens in einem schematischen Diagramm.
  • Das in 1 dargestellte erfinduugsgemäße System 1 umfaßt mehrere Steuergeräte 3, 5. Hierbei ist eines der Steuergeräte bspw. als Motorsteuergerät ausgebildet und als Master 3 definiert. Innerhalb dieses Masters 3 befindet sich ein Überwachungsmodul 7 sowie ein Funktionsrechner 9. Aufgrund dieser Ausgestaltung besitzt der Master 3 innerhalb des gesamten Systems zumindest bei Durchführung des erfindungsgemäßen Verfahrens gegenüber den anderen Steuergeräten des Systems 1 eine übergeordnete Stellung und/oder Funktion. Der Übersicht wegen wird in der 1 nur ein weiteres als Slave 5 definiertes Steuergerät gezeigt, das System 1 kann jedoch eine beliebige Anzahl weiterer Steuergeräte bzw. Slaves 5 umfassen.
  • Es ist vorgesehen, daß auf sämtliche Slaves 5 eine Software zur Steuerung des Systems verteilt ist. Dabei enthalten die Slaves 5 Ebene-1-Module und Ebene-2-Module 14, die im Vergleich zu herkömmlichen Systemen in den Slaves 5 und nicht in dem Master 3 plaziert sind.
  • Der Master 3 umfaßt ebenfalls ein Ebene-2-Modul 15, das durch eine Frage-Antwort-Kommunikation durch das Überwachungsmodul 7 überwacht wird. Wie in den nachfolgenden 2 und 3 detaillierter gezeigt, werden mit Hilfe eines Algorithmus zur Durchführung des erfindungsgemäßen Verfahrens Fragen 11 an die Slaves 5 geleitet. Dabei werden diese Fragen 11 direkt von dem Überwachungsmodul 7 oder von dem Funktionsrechner 9 aus, wenn der Funktionsrechner 9 die Fragen 11 empfangen hat, an die Slaves 5 geschickt werden.
  • Zum Austausch der Fragen 11 und von darauf basierenden Antworten 13 ist zwischen dem Master 3 und den Slaves 5 ein Kommunikationsmedium vorhanden. Dieses ist bspw. als CAN-Bus (Controller Area Network) ausgebildet. Es ist vorgesehen, daß das Überwachungsmodul 7 keine direkte Verbindung zu den Slaves 5 aufweist, weshalb die Fragen 11 von dem Funktionsrechner 9 weitergeleitet werden. Die Kommunikation zwischen dem Master 3 und den Slaves 5 findet somit unter Ausschluß des Überwachungsmoduls 7 innerhalb des gestrichelten Bereichs 20 statt.
  • Bei Durchführung des erfindungsgemäßen Verfahrens wird innerhalb der Ebene-2-Module 14 in den Slaves 5 auf Grundlage der Frage 11 eine Antwort 13 berechnet und an den Master 5 zurückgesandt. Zusätzlich wird innerhalb des Ebene-2-Moduls 15 des Masters 3 eine Antwort 16 berechnet. Zur Überwachung des Systems 1 erhält das Überwachungsmodul 7 auf Grundlage der Antworten 13 und 16 nur eine gemeinsame Antwort 17. Aufgrund dieser einen gemeinsamen Antwort 17 ist es möglich, daß Vorhandensein eines Fehlers des Systems 1, das eine beliebige Anzahl an Steuergeräten 3, 5 aufweisen kann, einzelfehlersicher zu bestimmen und eine entsprechende Maßnahme zur Behebung dieses mindestens einen Fehlers zu ergreifen.
  • Das erfindungsgemäße System ist somit derart ausgebildet, daß das Überwachungsmodul 7 bei Durchführung des erfindungsgemäßen Verfahrens lediglich den Master 3 wahrnimmt, die Slaves 5 sind auch bei beliebig großer Anzahl für das Überwachungsmodul 7 nicht existent. Demnach kann zur Durchführung des erfindungsgemäßen Verfahrens eine herkömmliche Überwachungssoftware des Überwachungsmoduls 7 beibehalten werden. Alles was sich in dem System 1 außerhalb des gestrichelten Bereichs 20 befindet muß somit nicht verändert werden.
  • 2 zeigt links in schematischer Darstellung ein Diagramm zum Weiterleiten 201 einer der vorstehend erwähnten Fragen. Ausgehend von einer Existenz 203 einer Frage N erfolgt eine Übersendung 205 der durch einen Frageidentifikationscode Frage_Id(N) ergänzten Frage N an jeweils einen der insgesamt k Slaves i.
  • In der 2 rechts ist in schematischer Darstellung ein Diagramm zur Berechnung 207 einer Antwort 213, 215 auf die Frage innerhalb des Ebene-2-Moduls eines der Slaves i dargestellt. Die in Empfang 209 genommene Frage wird zunächst auf Korrektheit 211 überprüft. Das Überwachungsmodul kann NFrage verschiedene Fragen N stellen. Korrekte Fragen N weisen demnach gültige Werte zwischen Null und (NF rage-1) auf. Nach Prüfung auf Korrektheit 211 jeweils einer der Fragen ist vorgesehen, daß der Slave i eine korrekte Antwort 213 berechnet. Diese korrekte Antwort 213 wird in einem abschließenden Schritt 217 an den Master gesandt. Falls sich aufgrund der Prüfung auf Korrektheit 211 ergeben sollte, daß die Frage nicht korrekt ist, so erstellt der Slave i eine definiert falsche Antwort 215, die ebenfalls in dem abschließenden Schritt 217 an den Master gesandt wird.
  • Bei der Berechnung 207 der Antworten 213, 215 ist vorgesehen, daß jeder der k Slaves i zu jeder Frage nur einmal antwortet, somit ist gewährleistet, daß jeder sicherheitsrelevante Einzelfehler entdeckt wird. Grundlage dessen ist, daß jeder der k Slaves i einen eigenen Steuergeräteidentifikationscode Steuerg_Id(i) aufweist. Bei diesem Steuergeräteidentifikationscode Steuerg_Id(i) handelt es sich z. B. um eine Primzahl. Die korrekte Antwort 213 wird vorzugsweise durch die Formel: Antw = (Frage_Id(N) + 1)·Steuerg_Id(i) (1)beschrieben. Diese korrekte Antwort Antw hängt des weiteren von dem für jede Frage N definierten Frageidentifikationscode Frage_Id(N) ab. Somit ist es möglich, eine Art eines Fehlers auf Grundlage des Frageidentifikationscodes Frage_Id(N) und dessen Herkunft über den Steuergeräteidentifikationscode Steuerg_Id(i) einzelfehlersicher zu bestimmen. Bei eventuellem Vorhandensein eines Fehlers stellt der Slave i dem Master auch auf eine korrekte Frage die korrekte Antwort 213 mit jedoch einem falschen Wert bereit.
  • Die Frage wird zusammen mit dem Frageidentifikationscode Frage_Id(N) an die Slaves weitergeleitet. Diesen Frageidentifikationscode Frage_Id senden die Slaves zusammen mit der Antwort an den Master weiter. Dies gewährleistet, daß der Master weiß, welcher Frage eine Antwort entspricht.
  • 3 zeigt in einem schematischen Diagramm Details zur Berechnung 301 einer gemeinsamen Antwort, die auf den Antworten von k Slaves i und der Antwort des Masters basiert. Hierbei wird in einem ersten Schritt 303 eine definierte gemeinsame Antwort g_Antw_d gemäß der Formel: g Antw_d = M_Antw – ΣS_Antw_d(i) (2)mit der Antwort des Masters M_Antw und der Summe der als korrekt definierten Antworten der k Slaves i ΣS_Antw_d(i) bereitgestellt. Diese definierte gemeinsame Antwort g_Antw_d wird in einem zweiten Schritt 319 zur Bestimmung der eigentlichen, wahren gemeinsamen Antwort g_Antw berücksichtigt.
  • Es ist vorgesehen, daß dieser zweite Schritt 319 für sämtliche k Slaves i durchgeführt wird. Falls der Slave i gemäß einem ersten Teilschritt 307 aktiv ist, empfängt der Master von diesem Slave i bei einem Antwortempfangschritt 307 eine neue, wahre Antwort S_Antw_w(i). Ein Vorhandensein einer wahren Antwort S_Antw_w(i) wird in einem Existenzschritt 309 überprüft. Ist die Antwort S_Antw_w(i) eingetroffen, so erfolgen in einem linken Zweig die beiden W-Prüfschritte 311, 313. Falls von dem Slave i keine Antwort eintrifft, so erfolgen innerhalb eines rechten Zweigs die beiden F-Prüfschritte 315, 317.
  • Bei dem ersten W-Prüfschritt 311 wird für jeden Slave i der Wert eines Fehlerzählers S_Z(i) auf Richtigkeit überprüft. Ist dies der Fall, so wird in dem zweiten W-Prüfschritt 315 die gemeinsame Antwort g_Antw berechnet. Dabei wird zu einem bereits vorhandenen Wert für die gemeinsame Antwort g_Antw(i) für jeden einzelnen Slave i ein Wert für die wahre Antwort dieses Slaves i S_Antw_w(i) hinzuaddiert, so daß für einen jeweils aktuellen, von i abhängigen Wert der gemeinsamen Anwort folgendes gilt: g_Antw(i) = g_Antw(i-1) + S_Antw_w(i)
  • Des weitern wird ein Wert des Fehlerzählers S_Z(i) um 1 verringert.
  • Die eigentliche, wahre gemeinsame Antwort g_Antw ergibt sich insgesamt aus der im ersten Schritt 303 berechneten definierten gemeinsamen Antwort g_Antw_d und der Summe sämtlicher k Antworten S_Antw_w(i) aller k Slaves i: g_Antw = g_Antw_d + ΣS_Antw_w(i) (3)nach Einsetzen der Formel (2) ergibt dies: g_Antw = M_Antw – ΣS_Antw_d(i) + ΣS_Antw_w(i).
  • Falls das System fehlerfrei arbeitet, so entspricht die Summe der als korrekt definierten Antworten der k Slaves i ΣS_Antw_d(i) als Sollwert der Summe der wahren Antworten ΣS_Antw_w(i) als Istwert. Dies bedeutet jedoch, daß die gemeinsame Antwort g_Antw der Antwort M_Antw des Masters entspricht. Dies ist das einzige von dem Überwachungsmodul zu überprüfende Kriterium.
  • In dem F-Prüfschritt 315 rechts wird für den Fall, daß der Slave i keine Antwort bereitstellt, ein aktueller Wert der gemeinsamen Antwort g_Antw(i) nach folgender Formel, mit S_Antw_d(i) als definierter Antwort des Slaves i, berechnet: g_Antw(i) = g_Antw(i-1) + s_Antw_d(i)·(Frage_Id+1).
  • Für jeden Slave i gibt es einen Fehlerzähler S_Z(i) und eine maximale Anzahl an Fehlern, die zu spät oder gar nicht ankommen dürfen. Wenn eine Antwort von einem der k Slaves i bei einer Berechnung der gemeinsamen Antwort g_Antw bei dem ersten F-Prüfschritt 315 nicht angekommen ist, wird der Fehlerzähler S_Z(i) um 3 inkrementiert. Solange der Fehlerzähler für den Slave i nicht den zulässigen Maximalwert übersteigt, wird die richtige Antwort S_Antw_w (i) des Slaves i zur gemeinsamen Antwort g_Antw addiert.
  • Wenn eine Antwort des Slaves i zu spät ankommt und der entsprechende Fehlerzähler S_Z(i) einen höheren Wert als erlaubt aufweist, wird die richtige Antwort S_Antw_w(i) nicht zu der gemeinsamen Antwort g_Antw addiert. Infolgedessen wird das Überwachungsmodul eine falsche Antwort erhalten.
  • Wenn eine Antwort des Slaves i S_Antw_w(i) zum richtigen Zeitpunkt ankommt, wird innerhalb des zweiten W-Prüfschritts 313 der Wert des entsprechenden Fehlerzählers S_Z(i) um 1 dekrementiert. Der niedrigste Wert des Fehlerzählers S_Z(i) ist Null. Wenn der Wert des Fehlerzählers S_Z(i) den maximal zulässigen Wert überstiegen hat, muß der Fehlerzähler S_Z(i) wieder den Wert Null erreichen, bevor eine Antwort wieder zu spät ankommen darf.
  • Für den Fehlerzähler betrage ein Maximalwert bspw. S_Z(i) = 6, falls nun eine Slaveantwort S_Antw_w(i) zu spät ankommt, wird der Fehlerzähler S_Z(i) um 3 inkrementiert, d.h. S_Z(i) = 3. Wenn die nächste Antwort zum richtigen Zeitpunkt ankommt, wird S_Z(i) um 1 verringert, so daß S_Z(i) = 2. Für den Fall, daß eine dritte Antwort zu spät ankommt, darf die korrekte Slaveantwort nicht hinzugefügt werden, da der Fehlerzähler noch nicht den Wert Null erreicht hat, nachdem eine Slaveantwort zum richtigen Zeitpunkt angekommen ist. D. h., die Bedingung, daß S_Z(i) größer als ein Maximalwert ist, muß nicht das einzige Kriterium für einen maximal zulässigen Wert sein.
  • Die Erfindung ist bspw. für eine Anwendung zur Überwachung einer ungewollten Beschleunigung eines Fahrzeugs geeignet. Dabei ist das Motorsteuergerät als Master definiert. Die Slaves bestehen mit Ausnahme des Motorsteuergeräts aus Steuergeräten, die die sicherheitsrelevante Software für die Beschleunigung enthalten. Die Erfindung ist jedoch auch auf andere Systeme anwendbar, in denen eine Überwachung auf einer ähnlichen Frage-Antwort-Kommunikation basiert.

Claims (14)

  1. Verfahren zur Überwachung eines Systems (1) mit einem als Master (3) definierten Steuergerät und einer Anzahl als Slaves (5) definierten Steuergeräten durch ein Überwachungsmodul (7), bei dem auf eine Frage (11) von dem Master (3) und den Slaves (5) jeweils eine Antwort (13, 16, 213, 215) gegeben wird und eine auf Grundlage dieser Antworten (13, 16, 213, 215) bereitgestellte gemeinsame Antwort (17, 313) von dem Überwachungsmodul (7) überprüft wird.
  2. Verfahren nach Anspruch 1, bei dem die gemeinsame Antwort (17, 313) durch einen Algorithmus (301) ermittelt wird.
  3. Verfahren nach Anspruch 1 oder 2, bei dem die Frage (11, 203, 209) von jedem Steuergerät (3, 5) dahingehend überprüft wird, ob diese richtig oder falsch ist, und die Antwort (13, 16, 213, 215) in Abhängigkeit dessen ermittelt wird.
  4. Verfahren nach Anspruch 3, bei dem die Antwort auf eine richtige Frage (11) in Abhängigkeit eines die Frage (11) defnierenden Frageidentifikationscodes und eines das Steuergerät (3, 5) definierenden Steuergeräteidentifikationscodes bereitgestellt wird.
  5. Verfahren nach Anspruch 4, bei dem die Antwort Antw auf eine richtige Frage gemäß der Formel: Antw = (Frage_Id + 1)·Steuerg_Id (1) mit dem Frageidentifikationscode Frage_Id und dem Steuergeräteidentifikationscode Steuerg_Id ermittelt wird.
  6. Verfahren nach einem der vorstehenden Ansprüche, bei dem die gemeinsame Antwort (17, 313) unter Berücksichtigung einer als korrekt definierten und einer wahren Antwort (13, 16) jeweils eines der Steuergeräte (3, 5) bereitgestellt wird.
  7. Verfahren nach Anspruch 6, bei dem eine definierte gemeinsame Antwort (309) in Abhängigkeit einer Antwort (16) des Masters (3) und einer Summe der als korrekt definierten Antworten (13, 213, 215) der Slaves (5) bereitgestellt wird.
  8. Verfahren nach Anspruch 6 oder 7, bei dem die definierte gemeinsame Antwort g_Antw_d gemäß der Formel: g_Antw_d = M_Antw – ΣS_Antw_d (2)mit der Antwort M_Antw des Masters (3) und der Summe der als korrekt definierten Antworten ΣS_Antw_d der Slaves (5) ermittelt wird.
  9. Verfahren nach einem der Ansprüche 6 bis 8, bei dem die gemeinsame Antwort g_Antw gemäß der Formel: g_Antw = g_Antw_d + ΣS_Antw_w (3)unter Berücksichtigung einer Summe der wahren Antworten ΣS_Antw_w der Slaves (5) ermittelt wird.
  10. Verfahren nach einem der vorstehenden Ansprüche, bei dem die Fragen (11) und Antworten (13) zwischen dem Master und den Slaves ausgetauscht werden.
  11. Verfahren nach einem der vorstehenden Ansprüche, bei dem Antworten (13, 16, 213, 215) jeweils eines der Slaves (5) durch jeweils einen Fehlerzähler innerhalb des Masters (3) geprüft werden.
  12. System mit einem als Master (3) definierten Steuergerät und einer Anzahl als Slaves (5) definierten Steuergeräte sowie einem Überwachungsmodul, bei dem zur Überwachung vorgesehen ist, daß auf eine Frage (11) von dem Master (3) und den Slaves (5) jeweils eine Antwort (13, 16, 213, 215) geben und das Überwachungsmodul (7) eine auf Grundlage dieser Antworten (13, 16, 213, 215) bereitgestellte gemeinsame Antwort (7, 313) überprüft.
  13. Computerprogramm mit Programmcodemitteln, um alle Schritte eines Verfahrens nach einem der Ansprüche 1 bis 11 durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit, insbesondere einem Steuergerät (3, 5) in einem System (1) nach Anspruch 12, durchgeführt wird.
  14. Computerprogrammprodukt mit Programmcodemitteln, die auf einem computerlesbaren Datenträger gespeichert sind, um ein Verfahren nach einem der Ansprüche 1 bis 11 durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit (9), insbesondere einem Steuergerät (3, 5) in einem System (1) nach Anspruch 12, durchgeführt wird.
DE102004022624A 2004-05-07 2004-05-07 Verfahren zur Überwachung eines Systems Withdrawn DE102004022624A1 (de)

Priority Applications (6)

Application Number Priority Date Filing Date Title
DE102004022624A DE102004022624A1 (de) 2004-05-07 2004-05-07 Verfahren zur Überwachung eines Systems
ES05102514T ES2313212T3 (es) 2004-05-07 2005-03-30 Procedimiento y dispositivo para la suspension de varias unidades de control por medio de una comunicacion pregunta-respuesta.
DE502005005731T DE502005005731D1 (de) 2004-05-07 2005-03-30 Verfahren und Vorrichtung zur Überwachung mehrerer Steuergeräte mittels einer Frage-Antwort-Kommunikation
EP05102514A EP1600831B1 (de) 2004-05-07 2005-03-30 Verfahren und Vorrichtung zur Überwachung mehrerer Steuergeräte mittels einer Frage-Antwort-Kommunikation
CNB2005100717956A CN100520655C (zh) 2004-05-07 2005-04-30 用于监测一个系统的方法
US11/125,425 US7689871B2 (en) 2004-05-07 2005-05-09 Method for monitoring a system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102004022624A DE102004022624A1 (de) 2004-05-07 2004-05-07 Verfahren zur Überwachung eines Systems

Publications (1)

Publication Number Publication Date
DE102004022624A1 true DE102004022624A1 (de) 2005-12-08

Family

ID=34939092

Family Applications (2)

Application Number Title Priority Date Filing Date
DE102004022624A Withdrawn DE102004022624A1 (de) 2004-05-07 2004-05-07 Verfahren zur Überwachung eines Systems
DE502005005731T Active DE502005005731D1 (de) 2004-05-07 2005-03-30 Verfahren und Vorrichtung zur Überwachung mehrerer Steuergeräte mittels einer Frage-Antwort-Kommunikation

Family Applications After (1)

Application Number Title Priority Date Filing Date
DE502005005731T Active DE502005005731D1 (de) 2004-05-07 2005-03-30 Verfahren und Vorrichtung zur Überwachung mehrerer Steuergeräte mittels einer Frage-Antwort-Kommunikation

Country Status (5)

Country Link
US (1) US7689871B2 (de)
EP (1) EP1600831B1 (de)
CN (1) CN100520655C (de)
DE (2) DE102004022624A1 (de)
ES (1) ES2313212T3 (de)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009000165A1 (de) * 2009-01-13 2010-07-15 Zf Lenksysteme Gmbh Verfahren zum Betreiben einer Hilfskraftlenkung
US8380392B2 (en) 2010-04-19 2013-02-19 GM Global Technology Operations LLC Method to ensure safety integrity of a microprocessor over a distributed network for automotive applications
DE102012104322A1 (de) * 2012-05-18 2013-11-21 Avl Software And Functions Gmbh Verfahren und Vorrichtung zum Überprüfen von wenigstens zwei Recheneinheiten
DE102012010896A1 (de) * 2012-06-01 2013-12-05 Volkswagen Aktiengesellschaft Verfahren und Vorrichtung zum Überprüfen eines verteilten, automotiven Steuergerätesystems
US9268953B2 (en) 2014-01-24 2016-02-23 GM Global Technology Operations LLC Method of performing microprocessor ALU integrity test over a distributed asynchronous serial communication network for ASIL-D level safety critical applications
DE102015100746B4 (de) * 2014-01-24 2017-10-05 GM Global Technology Operations LLC (n. d. Ges. d. Staates Delaware) System und verfahren zum verifizieren der integrität eines ersten moduls in einem fahrzeug unter verwendung eines zweiten moduls in dem fahrzeug
US10838795B2 (en) 2012-07-05 2020-11-17 Infineon Technologies Ag Monitoring circuit with a signature watchdog

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5348040B2 (ja) * 2010-03-25 2013-11-20 株式会社デンソー 車両通信システム及び電子制御装置
DE102010041003A1 (de) 2010-09-20 2012-03-22 Sb Limotive Company Ltd. Verfahren zum Überwachen von mindestens zwei Mikrocontrollern
CN102289504B (zh) * 2011-08-21 2014-05-21 中国海洋大学 基于网络的监测信息通用查询软件系统及设计方法
US9946614B2 (en) * 2014-12-16 2018-04-17 At&T Intellectual Property I, L.P. Methods, systems, and computer readable storage devices for managing faults in a virtual machine network
KR101945425B1 (ko) 2015-11-27 2019-02-07 주식회사 엘지화학 배터리 팩 상태 병렬 모니터링 장치
CN106059855B (zh) * 2016-06-17 2019-05-28 湖南中车时代通信信号有限公司 判断互联双方故障的方法
KR101988558B1 (ko) * 2017-06-07 2019-06-12 현대오트론 주식회사 멀티 코어를 갖는 마이크로콘트롤러 유닛을 감시하는 감시장치 및 그것의 동작 방법
US11036573B2 (en) * 2019-05-16 2021-06-15 Ford Global Technologies, Llc Control processor unit (CPU) error detection by another CPU via communication bus
US10936397B2 (en) * 2019-05-23 2021-03-02 Ford Global Technologies, Llc Hybrid control module status communication system and method

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19826131A1 (de) * 1998-06-12 1999-12-16 Bosch Gmbh Robert Elektrisches Bremssystem für ein Kraftfahrzeug
US6292718B2 (en) * 1999-01-28 2001-09-18 International Business Machines Corp. Electronic control system
DE19958825A1 (de) * 1999-12-07 2001-06-13 Zeiss Carl Jena Gmbh Verfahren zur Kontrolle eines Steuerungssystems
DE10065118A1 (de) * 2000-12-28 2002-07-04 Bosch Gmbh Robert System und Verfahren zur Steuerung und/oder Überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbundes
DE10205809A1 (de) * 2001-06-08 2002-12-12 Bosch Gmbh Robert Verfahren und Vorrichtung zur Überwachung der Steuerung von Betriebsabläufen bei einem Fahrzeug
DE10162853C1 (de) * 2001-12-17 2003-06-05 Iav Gmbh Kraftfahrzeugsteuersystem und Verfahren zur Kraftfahrzeugsteuerung
US7263632B2 (en) * 2003-05-07 2007-08-28 Microsoft Corporation Programmatic computer problem diagnosis and resolution and automated reporting and updating of the same

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009000165A1 (de) * 2009-01-13 2010-07-15 Zf Lenksysteme Gmbh Verfahren zum Betreiben einer Hilfskraftlenkung
US8380392B2 (en) 2010-04-19 2013-02-19 GM Global Technology Operations LLC Method to ensure safety integrity of a microprocessor over a distributed network for automotive applications
DE102012104322A1 (de) * 2012-05-18 2013-11-21 Avl Software And Functions Gmbh Verfahren und Vorrichtung zum Überprüfen von wenigstens zwei Recheneinheiten
DE102012104322B4 (de) * 2012-05-18 2013-11-28 Avl Software And Functions Gmbh Verfahren und Vorrichtung zum Überprüfen von wenigstens zwei Recheneinheiten
DE102012010896A1 (de) * 2012-06-01 2013-12-05 Volkswagen Aktiengesellschaft Verfahren und Vorrichtung zum Überprüfen eines verteilten, automotiven Steuergerätesystems
US10838795B2 (en) 2012-07-05 2020-11-17 Infineon Technologies Ag Monitoring circuit with a signature watchdog
US9268953B2 (en) 2014-01-24 2016-02-23 GM Global Technology Operations LLC Method of performing microprocessor ALU integrity test over a distributed asynchronous serial communication network for ASIL-D level safety critical applications
DE102015100746B4 (de) * 2014-01-24 2017-10-05 GM Global Technology Operations LLC (n. d. Ges. d. Staates Delaware) System und verfahren zum verifizieren der integrität eines ersten moduls in einem fahrzeug unter verwendung eines zweiten moduls in dem fahrzeug

Also Published As

Publication number Publication date
EP1600831B1 (de) 2008-10-22
DE502005005731D1 (de) 2008-12-04
US7689871B2 (en) 2010-03-30
US20050268178A1 (en) 2005-12-01
CN100520655C (zh) 2009-07-29
CN1694026A (zh) 2005-11-09
EP1600831A1 (de) 2005-11-30
ES2313212T3 (es) 2009-03-01

Similar Documents

Publication Publication Date Title
EP1600831B1 (de) Verfahren und Vorrichtung zur Überwachung mehrerer Steuergeräte mittels einer Frage-Antwort-Kommunikation
DE112010001370B4 (de) Signalübertragungsvorrichtung für einen Aufzug
DE19742716C2 (de) Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten
DE102004009359B4 (de) Elektronische Steuereinheit zur Überwachung eines Mikrocomputers
DE102011120872B4 (de) Verfahren zur Nachrichtenübertragungs-Deaktivierungsprüfung eines Controllerbereichsnetzes
DE10331873A1 (de) Verfahren zur Überwachung verteilter Software
DE102006046399A1 (de) Verfahren und Vorrichtung zur Fehlerverwaltung
DE102010041003A1 (de) Verfahren zum Überwachen von mindestens zwei Mikrocontrollern
WO2006133865A1 (de) Dynamische priorisierung von prüfschritten in der werkstattdiagnose
EP1479003B1 (de) Verfahren und vorrichtung zur steuerung einer funktionseinheit eines kraftfahrzeugs
DE10142511B4 (de) Fehlerbehandlung von Softwaremodulen
DE102008034150A1 (de) Sicherheitsüberwachung mit Hilfe von Verbindungsleitungen zwischen Steuergeräten eines Kraftfahrzeugs
DE10331872A1 (de) Verfahren zur Überwachung eines technischen Systems
EP3499324B1 (de) Verfahren zur modularen verifikation einer konfiguration eines geräts
EP1733284B1 (de) Ablaufsteuerung von funktionen auf miteinander wechselwirkenden geräten
WO2005001692A2 (de) Verfahren und vorrichtung zur überwachung eines verteilten systems
DE102017220068A1 (de) Verfahren und Onboard-Steuereinheit zum Steuern und/oder Überwachen von Komponenten eines Schienenfahrzeugs
EP3143506B1 (de) Verfahren und system zum zuweisen einer steuerberechtigung zu einem rechner
DE102012212680A1 (de) Verfahren und System zur fehlertoleranten Steuerung von Stellgliedern für eine begrenzte Zeit auf der Grundlage von vorberechneten Werten
DE102013213402A1 (de) Mikrocontroller mit mindestens zwei Kernen
DE102012209445A1 (de) Verfahren und Kommunikationssystem zur sicheren Datenübertragung
EP2435915B1 (de) Verringerung der reaktionszeit in einem system zur überwachung eines funktionsrechners
DE19545645A1 (de) Sicherheitskonzept für Steuereinheiten
DE10252109B4 (de) Verfahren zur Parametrierung
DE102022200291A1 (de) Verfahren zum Überwachen eines elektronischen Systems

Legal Events

Date Code Title Description
R005 Application deemed withdrawn due to failure to request examination

Effective date: 20110509