DE102006045153A1 - System und Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk - Google Patents

System und Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk Download PDF

Info

Publication number
DE102006045153A1
DE102006045153A1 DE102006045153A DE102006045153A DE102006045153A1 DE 102006045153 A1 DE102006045153 A1 DE 102006045153A1 DE 102006045153 A DE102006045153 A DE 102006045153A DE 102006045153 A DE102006045153 A DE 102006045153A DE 102006045153 A1 DE102006045153 A1 DE 102006045153A1
Authority
DE
Germany
Prior art keywords
control unit
network
controller
code
destination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102006045153A
Other languages
English (en)
Inventor
Alfred Kuttenberger
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102006045153A priority Critical patent/DE102006045153A1/de
Priority to US11/901,814 priority patent/US20080077924A1/en
Priority to JP2007244569A priority patent/JP2008084315A/ja
Publication of DE102006045153A1 publication Critical patent/DE102006045153A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/23Pc programming
    • G05B2219/23004Build up program so that safety conditions are met, select most stable states
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/23Pc programming
    • G05B2219/23295Load program and data for multiple processors
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2637Vehicle, car, auto, wheelchair

Abstract

System und Verfahren zum Verteilen und Ausführen von Programmcode (P1, P2) in einem Steuergerätenetzwerk, bei dem wenigstens eines der Geräte (SG1) einen Defekt an seiner Hardware erkennen und seinen G2) in dem Netzwerk übertragen kann, wobei der übertragene Code (P1) auf dem Zielsteuergerät (SG2) ausführbar ist.

Description

  • Stand der Technik
  • Die vorliegende Erfindung betrifft ein System und ein Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk nach Anspruch 1 und 5.
  • Bislang werden zB in Kraftfahrzeugen Steuergeräte verbaut, welche entsprechend speziell vorgegebener und abgegrenzter Funktionen ausgelegt sind. Im normalen Betrieb laufen diese Geräte nur unter Teillast. Viele sind jedoch so bemessen, dass sie höhere (Spitzen)Lasten bewältigen könnten. Ferner sind viele dieser Geräte über ein Netzwerk zum Austausch von Daten miteinander verbunden. Dennoch kann ein solches System insgesamt unbrauchbar werden, wenn eines der Geräte zB auf Grund eines Hardwaredefekts ausfällt.
  • Aus der deutschen Offenlegungsschrift DE 100 27 006 ist ein System zum Steuern/Regeln der Betriebsabläufe in einem Kraftfahrzeug bekannt. Dieses weist einen zentralen Speicher auf, in dem alle dafür notwendigen Programme abgelegt sind. über Speicherzugriffe laden die Steuergeräte beim Start des Systems die benötigten Programme in ihren Arbeitsspeicher. Dies lässt zwar eine zentrale Verwaltung und Modifikation der einzelnen Funktionseinheiten des Fahrzeugs zu, schützt allerdings nicht vor deren potentiellen Versagen.
  • Offenbarung der Erfindung
  • Es ist Aufgabe der vorliegenden Erfindung, ein System und ein Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk bereitzustellen, das eine erhöhte Betriebssicherheit aufweist, das einfach zu realisieren und kostengünstig ist.
  • Diese Aufgabe wird durch ein System nach Anspruch 1 gelöst, bei dem wenigstens eines der Steuergeräte einen Defekt an seiner Hardware erkennen und seinen Code an wenigstens ein anderes Steuergerät in dem Netzwerk übertragen kann, wobei der übertragene Code auf dem Zielsteuergerät ausführbar ist.
  • Ein wesentlicher Punkt des erfindungsgemäßen Systems besteht dabei darin, dass gemeinsame Ressourcen des Netzwerks genutzt werden, um Ausfälle einzelner Geräte zu kompensieren. Programme des Quellgeräts können dabei auch auf mehrere verschiedene Zielgeräte verteilt werden. Dadurch entsteht eine hohe Versagenstoleranz des Systems bei hardwarebedingtem Komponentensausfall, womit die Funktionalität des Systems weiter gewährleistet wird. Da zudem keine redundanten Speicherteile bereitgehalten werden müssen, lassen sich die Kosten des Systems reduzieren.
  • Bevorzugte Weiterbildungen des erfindungsgemäßen Systems sind in den Unteransprüchen 2 bis 6 angegeben.
  • Danach ist in einer vorteilhaften Ausführungsform vorgesehen, dass das Quellsteuergerät im Vergleich zu den anderen Steuergeräten in dem Netzwerk eine hohe Sicherheitsrelevanz hat. So sind insbesondere die ECU(Electronic Control Unit)-Funktionen für Antiblockiersystem, Stabilitätssystem, aber auch für Personenrückhaltesystem (Airbag, Gurtstraffer) erfindungsgemäß abgesichert, um deren Funktionalität in jedem Fall weiter zu gewährleisten. Die Betriebssicherheit eines Fahrzeugs wird dadurch erheblich erhöht.
  • Ein Vorteil entsteht zudem, wenn das Quellsteuergerät zum Übermitteln eines reduzierten Programms an das Zielsteuergerät ausgebildet ist. Das reduzierte Programm kann dabei auf seine tatsächlich sicherheitskritischen Funktionen beschränkt sein, was weniger freie Ressourcen auf dem Zielgerät erfordert. Dadurch werden Programme nicht beeinträchtigt, die schon auf dem Zielgerät laufen bzw es können selbst geringe Ressourcen noch genutzt werden.
  • Ein weiterer Vorteil entsteht, wenn das Zielsteuergerät zum Abschalten von Programmen und/oder Programmteilen mit vergleichsweise niedriger Sicherheitsrelevanz ausgebildet ist. Das Abschalten kann sowohl auf dem Zielgerät bereits laufende und/oder darauf übertragene Programme und/oder Programmteile betreffen, während Programme mit hoher Sicherheitsrelevanz aktiviert bleiben bzw werden. Dadurch werden auf dem Zielgerät Ressourcen freigegeben bzw weniger zusätzliche Ressourcen angefordert, so dass möglichst viele sicherheitsrelevante Funktionen ausgeführt werden können.
  • Die schon genannte Aufgabe wird auch durch ein Verfahren nach Anspruch 7 gelöst, bei dem dann, wenn in einem Steuergerät ein Hardwaredefekt erkannt wird, dessen Code an wenigstens ein anderes Steuergerät in dem Netzwerk übertragen und der übertragene Code auf dem Zielsteuergerät ausgeführt wird.
  • Ein wesentlicher Punkt des erfindungsgemäßen Verfahrens besteht dabei darin, dass es besonders einfach aufgebaut und damit sicher ist. Da es auch auf üblichen Kommunikationsprotokollen in Bordnetzen wie zB dem CAN(Controller Area Network)-Bus aufsetzen kann, ist es zudem leicht zu implementieren und damit kostengünstig.
  • Bevorzugte Weiterbildungen des erfindungsgemäßen Verfahrens sind in den Unteransprüchen 6 bis 8 angegeben.
  • Danach ist in einer vorteilhaften Ausführungsform vorgesehen, dass zunächst festgestellt wird, ob das Zielsteuergerät freie Ressourcen zum Ausführen des Programmcodes hat, und wenn das der Fall ist, diese freien Ressourcen zum Ausführen des übertragenen Codes reserviert werden. Dadurch muss nicht für jedes ausfallgesicherte Steuergerät von vornherein ein Kommunikationspartner festgelegt werden. Durch die Feststellung freier Ressourcen lässt sich dagegen eine dynamische Verteilung von Programmen oder Programmteilen auf Steuergeräte im Netzwerk erzielen, die im Bedarfsfall geeignete Ressourcen aufweisen.
  • Ein Vorteil entsteht zudem, wenn ein im Vergleich zu seinem vollen Funktionsumfang reduziertes Programm von dem Quellsteuergerät an das Zielsteuergerät übertragen wird. Dadurch wird eine besonders hohe Belastung des Zielgeräts vermieden bzw können selbst noch geringe Ressourcen genutzt werden, ohne dass sicherheitsrelevante Kernfunktionen des Programms eingeschränkt sein müssen.
  • Ein weiterer Vorteil entsteht, wenn auf dem Zielsteuergerät Programme und/oder Programmteile mit vergleichsweise niedriger Sicherheitsrelevanz abgeschaltet werden. Dadurch kann das Zielgerät zur verdichteten Ausführung von Funktionen höchster Priorität genutzt werden, womit das Gesamtsystem besonders sicher wird.
  • Kurze Beschreibung der Zeichnungen
  • Das erfindungsgemäße System und Verfahren werden im folgenden anhand eines Ausführungsbeispiels mit zwei Steuergeräten näher erläutert. Gleiche oder gleichwirkende Teile sind mit gleichen Bezugszeichen versehen. Es zeigen:
  • 1 eine schematische Darstellung von zwei intakten Steuergeräten, die über ein Netzwerk miteinander verbunden sind, und
  • 2 die Anordnung der 1, bei der die Funktion eines defekten Steuergeräts von dem anderen Steuergerät abgebildet wird.
  • Ausführungsformen der Erfindung
  • Die 1 zeigt eine schematische Darstellung von zwei intakten Steuergeräten SG1 und SG2, die über ein Netzwerk 10 miteinander verbunden sind. Das Netzwerk 10 ist als Daten- und Programmbus ausgebildet, über den die Steuergeräte SG1 und SG2 untereinander Daten- und Softwareprogrammteile austauschen können. Das Steuergerät SG1 soll beispielhaft für den Betrieb eines Antiblockiersystems und das Gerät SG2 für die Motorsteuerung zuständig sein. Die Funktionalität dieser Anwendungen wird durch einen Programmcode P1 bzw 22 abgebildet, der auf dem jeweiligen Gerät SG1 bzw SG2 ausgeführt wird. Wird nun in dem Steuergerät SG1 ein Hardwaredefekt erkannt, so werden noch freie Rechnerressourcen in dem Gerät SG2 reserviert, der Programmcode P1 des Geräts SG1 über das Netzwerk 10 übermittelt und auf dem Gerät SG2 zur Ausführung gebracht.
  • Die 2 zeigt die Anordnung der 1, bei der die Funktion eines defekten Steuergeräts SG1 von dem anderen Steuergerät SG2 abgebildet wird. Der Programmcode P1 des Geräts SG1 wurde dabei an das Gerät SG2 übertragen und neben dem Code P2 zur Ausführung gebracht. Grundsätzlich können dabei von dem Steuergerät SG1 auch nur reduzierte Programme übermittelt werden, um die Programme auf dem Gerät SG2 nicht zu beeinträchtigen. Ferner können auch Programme oder Programmteile, die eine vergleichsweise niedrigere Priorität haben, auf dem Zielsteuergerät SG2 abgeschaltet und die Programme mit hoher Sicherheitsrelevanz aktiviert werden.
  • Dadurch lässt sich selbst bei Hardwaredefekten des besonders sicherheitsrelevanten Steuergeräts SG1 eine Restfunktion des Antiblockiersystems darstellen, was dessen Ausfalltoleranz und damit Betriebssicherheit erheblich erhöht. Durch die Verschiebung des Codes P1 von dem defekten Gerät SG1 auf das intakte Gerät SG2 müssen keine redundanten Speicherteile vorgehalten werden, wodurch sich die Kosten reduzieren lassen. Das erfindungsgemäße Verfahren setzt auf bekannten Kommunikationsmechanismen in Netzwerken auf und ist einfach zu implementieren, leicht wartbar und kostengünstig.

Claims (8)

  1. System zum Verteilen und Ausführen von Programmcode (P1, P2) in einem Steuergerätenetzwerk, bei dem wenigstens eines der Geräte (SG1) einen Defekt an seiner Hardware erkennen und seinen Code (P1) an wenigstens ein anderes Steuergerät (SG2) in dem Netzwerk übertragen kann, wobei der übertragene Code (P1) auf dem Zielsteuergerät (SG2) ausführbar ist.
  2. System nach Anspruch 1, bei dem das Quellsteuergerät (SG1) im Vergleich zu den anderen Steuergeräten (SG2) in dem Netzwerk eine hohe Sicherheitsrelevanz hat.
  3. System nach Anspruch 1 oder 2, bei dem das Quellsteuergerät (SG1) zum Übermitteln eines reduzierten Programms an das Zielsteuergerät (SG2) ausgebildet ist.
  4. System nach einem der vorstehenden Ansprüche, bei dem das Zielsteuergerät (SG2) zum Abschalten von Programmen und/oder Programmteilen mit vergleichsweise niedriger Sicherheitsrelevanz ausgebildet ist.
  5. Verfahren zum Verteilen und Ausführen von Programmcode (P1, P2) in einem Steuergerätenetzwerk, bei dem dann, wenn in einem Steuergerät (SG1) ein Hardwaredefekt erkannt wird, dessen Code (P1) an wenigstens ein anderes Steuergerät (SG2) in dem Netzwerk übertragen und der übertragene Code (P1) auf dem Zielsteuergerät (SG2) ausgeführt wird.
  6. Verfahren nach Anspruch 5, bei dem zunächst festgestellt wird, ob das Zielsteuergerät (SG2) freie Ressourcen zum Ausführen des Programmcodes (P1) hat, und wenn das der Fall ist, diese freien Ressourcen zum Ausführen des übertragenen Codes (P1) reserviert werden.
  7. Verfahren nach Anspruch 5 oder 6, bei dem ein im Vergleich zu seinem vollen Funktionsumfang reduziertes Programm von dem Quellsteuergerät (SG1) an das Zielsteuergerät (SG2) übertragen wird.
  8. Verfahren nach einem der Ansprüche 5 bis 7, bei dem auf dem Zielsteuergerät (SG2) Programme und/oder Programmteile mit vergleichsweise niedriger Sicherheitsrelevanz abgeschaltet werden.
DE102006045153A 2006-09-25 2006-09-25 System und Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk Withdrawn DE102006045153A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102006045153A DE102006045153A1 (de) 2006-09-25 2006-09-25 System und Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk
US11/901,814 US20080077924A1 (en) 2006-09-25 2007-09-18 System and method for distributing and executing program code in a control unit network
JP2007244569A JP2008084315A (ja) 2006-09-25 2007-09-21 制御装置ネットワークにおいてプログラムコードを分散して実行するシステムおよび方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102006045153A DE102006045153A1 (de) 2006-09-25 2006-09-25 System und Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk

Publications (1)

Publication Number Publication Date
DE102006045153A1 true DE102006045153A1 (de) 2008-04-03

Family

ID=39134089

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102006045153A Withdrawn DE102006045153A1 (de) 2006-09-25 2006-09-25 System und Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk

Country Status (3)

Country Link
US (1) US20080077924A1 (de)
JP (1) JP2008084315A (de)
DE (1) DE102006045153A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018210684A1 (de) * 2018-06-29 2020-01-02 Bayerische Motoren Werke Aktiengesellschaft Verfahren, Vorrichtung, Computerprogramm und Computerprogrammprodukt zum Codieren eines Steuergerätes eines Fahrzeuges und zum Überprüfen eines Steuergerätes eines Fahrzeuges

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010176422A (ja) * 2009-01-29 2010-08-12 Autonetworks Technologies Ltd 制御装置、制御システム及び制御方法
KR102626249B1 (ko) * 2018-06-12 2024-01-17 현대자동차주식회사 차량 및 그의 제어기 부하 최적화 방법

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06250869A (ja) * 1993-03-01 1994-09-09 Hitachi Ltd 分散制御システム
US6880101B2 (en) * 2001-10-12 2005-04-12 Dell Products L.P. System and method for providing automatic data restoration after a storage device failure
US7295511B2 (en) * 2002-06-13 2007-11-13 Utstarcom, Inc. System and method for packet data serving node load balancing and fault tolerance

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018210684A1 (de) * 2018-06-29 2020-01-02 Bayerische Motoren Werke Aktiengesellschaft Verfahren, Vorrichtung, Computerprogramm und Computerprogrammprodukt zum Codieren eines Steuergerätes eines Fahrzeuges und zum Überprüfen eines Steuergerätes eines Fahrzeuges
US11461169B2 (en) 2018-06-29 2022-10-04 Bayerische Motoren Werke Aktiengesellschaft Method and device for coding a controller of a vehicle and for checking a controller of a vehicle

Also Published As

Publication number Publication date
US20080077924A1 (en) 2008-03-27
JP2008084315A (ja) 2008-04-10

Similar Documents

Publication Publication Date Title
DE10223880B4 (de) Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems
EP3661819B1 (de) Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium
DE102007045398A1 (de) Integriertes Mikroprozessorsystem für sicherheitskritische Regelungen
DE102017100618A1 (de) Kontrollsystem für ein Kraftfahrzeug, Kraftfahrzeug, Verfahren zur Kontrolle eines Kraftfahrzeugs, Computerprogrammprodukt und computerlesbares Medium
DE19509150C2 (de) Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage
EP2099667B2 (de) Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems
DE102006008575B4 (de) Getriebestellvorrichtung, Kraftfahrzeugkomponente und Verfahren zur Herstellung eines Fail-Safe-Zustandes einer Getriebestellvorrichtung
WO2002074596A1 (de) Verfahren zur ansteuerung einer komponente eines verteilten sicherheitsrelevanten systems
EP0981467A2 (de) Verfahren zur manipulationssicheren konfigurierung eines kfz-steuergerätes sowie steuergerät
DE102005061393A1 (de) Verfahren zur Verteilung von Softwaremodulen
DE10142511B4 (de) Fehlerbehandlung von Softwaremodulen
DE102017218643A1 (de) Funktionsmodul, Steuereinheit für ein Betriebsassistenzsystem und Arbeitsvorrichtung
WO2008014940A1 (de) Steuergerät und verfahren zur steuerung von funktionen
DE102006045153A1 (de) System und Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk
DE102013021231A1 (de) Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät
EP3483033A1 (de) Verfahren und onboard-steuereinheit zum steuern und/oder überwachen von komponenten eines schienenfahrzeugs
DE102007046731B4 (de) Verfahren zur Ansteuerung eines Aktuators in einem Kraftfahrzeug
EP1894101A1 (de) Verfahren und vorrichtung zum überwachen eines unerlaubten speicherzugriffs einer rechenvorrichtung, insbesondere in einem kraftfahrzeug
DE102017212560A1 (de) Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion
EP1248965B1 (de) Verfahren zur verhinderung von fehlfunktionen in einem signalverarbeitenden system und prozessorsystem
DE102013201933A1 (de) Verfahren zur Überprüfung einer Software-Kompatibilität
DE102019134872B4 (de) Verbesserung der Betriebsparameter eines Rechensystems im Fahrzeug
WO2011113405A1 (de) Steuergeräteanordnung
DE102022203852A1 (de) Feststellbremsvorrichtung für ein Kraftfahrzeug
DE19702900C2 (de) Fehlersignalsteuerung für ein BUS-Leitungssystem zur Übertragung digitaler Daten zwischen Steuermodulen und einer Zentraleinheit

Legal Events

Date Code Title Description
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20110401