DE102006045153A1 - System und Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk - Google Patents
System und Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk Download PDFInfo
- Publication number
- DE102006045153A1 DE102006045153A1 DE102006045153A DE102006045153A DE102006045153A1 DE 102006045153 A1 DE102006045153 A1 DE 102006045153A1 DE 102006045153 A DE102006045153 A DE 102006045153A DE 102006045153 A DE102006045153 A DE 102006045153A DE 102006045153 A1 DE102006045153 A1 DE 102006045153A1
- Authority
- DE
- Germany
- Prior art keywords
- control unit
- network
- controller
- code
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/23—Pc programming
- G05B2219/23004—Build up program so that safety conditions are met, select most stable states
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/23—Pc programming
- G05B2219/23295—Load program and data for multiple processors
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/26—Pc applications
- G05B2219/2637—Vehicle, car, auto, wheelchair
Abstract
System und Verfahren zum Verteilen und Ausführen von Programmcode (P1, P2) in einem Steuergerätenetzwerk, bei dem wenigstens eines der Geräte (SG1) einen Defekt an seiner Hardware erkennen und seinen G2) in dem Netzwerk übertragen kann, wobei der übertragene Code (P1) auf dem Zielsteuergerät (SG2) ausführbar ist.
Description
- Stand der Technik
- Die vorliegende Erfindung betrifft ein System und ein Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk nach Anspruch 1 und 5.
- Bislang werden zB in Kraftfahrzeugen Steuergeräte verbaut, welche entsprechend speziell vorgegebener und abgegrenzter Funktionen ausgelegt sind. Im normalen Betrieb laufen diese Geräte nur unter Teillast. Viele sind jedoch so bemessen, dass sie höhere (Spitzen)Lasten bewältigen könnten. Ferner sind viele dieser Geräte über ein Netzwerk zum Austausch von Daten miteinander verbunden. Dennoch kann ein solches System insgesamt unbrauchbar werden, wenn eines der Geräte zB auf Grund eines Hardwaredefekts ausfällt.
- Aus der deutschen Offenlegungsschrift
DE 100 27 006 ist ein System zum Steuern/Regeln der Betriebsabläufe in einem Kraftfahrzeug bekannt. Dieses weist einen zentralen Speicher auf, in dem alle dafür notwendigen Programme abgelegt sind. über Speicherzugriffe laden die Steuergeräte beim Start des Systems die benötigten Programme in ihren Arbeitsspeicher. Dies lässt zwar eine zentrale Verwaltung und Modifikation der einzelnen Funktionseinheiten des Fahrzeugs zu, schützt allerdings nicht vor deren potentiellen Versagen. - Offenbarung der Erfindung
- Es ist Aufgabe der vorliegenden Erfindung, ein System und ein Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk bereitzustellen, das eine erhöhte Betriebssicherheit aufweist, das einfach zu realisieren und kostengünstig ist.
- Diese Aufgabe wird durch ein System nach Anspruch 1 gelöst, bei dem wenigstens eines der Steuergeräte einen Defekt an seiner Hardware erkennen und seinen Code an wenigstens ein anderes Steuergerät in dem Netzwerk übertragen kann, wobei der übertragene Code auf dem Zielsteuergerät ausführbar ist.
- Ein wesentlicher Punkt des erfindungsgemäßen Systems besteht dabei darin, dass gemeinsame Ressourcen des Netzwerks genutzt werden, um Ausfälle einzelner Geräte zu kompensieren. Programme des Quellgeräts können dabei auch auf mehrere verschiedene Zielgeräte verteilt werden. Dadurch entsteht eine hohe Versagenstoleranz des Systems bei hardwarebedingtem Komponentensausfall, womit die Funktionalität des Systems weiter gewährleistet wird. Da zudem keine redundanten Speicherteile bereitgehalten werden müssen, lassen sich die Kosten des Systems reduzieren.
- Bevorzugte Weiterbildungen des erfindungsgemäßen Systems sind in den Unteransprüchen 2 bis 6 angegeben.
- Danach ist in einer vorteilhaften Ausführungsform vorgesehen, dass das Quellsteuergerät im Vergleich zu den anderen Steuergeräten in dem Netzwerk eine hohe Sicherheitsrelevanz hat. So sind insbesondere die ECU(Electronic Control Unit)-Funktionen für Antiblockiersystem, Stabilitätssystem, aber auch für Personenrückhaltesystem (Airbag, Gurtstraffer) erfindungsgemäß abgesichert, um deren Funktionalität in jedem Fall weiter zu gewährleisten. Die Betriebssicherheit eines Fahrzeugs wird dadurch erheblich erhöht.
- Ein Vorteil entsteht zudem, wenn das Quellsteuergerät zum Übermitteln eines reduzierten Programms an das Zielsteuergerät ausgebildet ist. Das reduzierte Programm kann dabei auf seine tatsächlich sicherheitskritischen Funktionen beschränkt sein, was weniger freie Ressourcen auf dem Zielgerät erfordert. Dadurch werden Programme nicht beeinträchtigt, die schon auf dem Zielgerät laufen bzw es können selbst geringe Ressourcen noch genutzt werden.
- Ein weiterer Vorteil entsteht, wenn das Zielsteuergerät zum Abschalten von Programmen und/oder Programmteilen mit vergleichsweise niedriger Sicherheitsrelevanz ausgebildet ist. Das Abschalten kann sowohl auf dem Zielgerät bereits laufende und/oder darauf übertragene Programme und/oder Programmteile betreffen, während Programme mit hoher Sicherheitsrelevanz aktiviert bleiben bzw werden. Dadurch werden auf dem Zielgerät Ressourcen freigegeben bzw weniger zusätzliche Ressourcen angefordert, so dass möglichst viele sicherheitsrelevante Funktionen ausgeführt werden können.
- Die schon genannte Aufgabe wird auch durch ein Verfahren nach Anspruch 7 gelöst, bei dem dann, wenn in einem Steuergerät ein Hardwaredefekt erkannt wird, dessen Code an wenigstens ein anderes Steuergerät in dem Netzwerk übertragen und der übertragene Code auf dem Zielsteuergerät ausgeführt wird.
- Ein wesentlicher Punkt des erfindungsgemäßen Verfahrens besteht dabei darin, dass es besonders einfach aufgebaut und damit sicher ist. Da es auch auf üblichen Kommunikationsprotokollen in Bordnetzen wie zB dem CAN(Controller Area Network)-Bus aufsetzen kann, ist es zudem leicht zu implementieren und damit kostengünstig.
- Bevorzugte Weiterbildungen des erfindungsgemäßen Verfahrens sind in den Unteransprüchen 6 bis 8 angegeben.
- Danach ist in einer vorteilhaften Ausführungsform vorgesehen, dass zunächst festgestellt wird, ob das Zielsteuergerät freie Ressourcen zum Ausführen des Programmcodes hat, und wenn das der Fall ist, diese freien Ressourcen zum Ausführen des übertragenen Codes reserviert werden. Dadurch muss nicht für jedes ausfallgesicherte Steuergerät von vornherein ein Kommunikationspartner festgelegt werden. Durch die Feststellung freier Ressourcen lässt sich dagegen eine dynamische Verteilung von Programmen oder Programmteilen auf Steuergeräte im Netzwerk erzielen, die im Bedarfsfall geeignete Ressourcen aufweisen.
- Ein Vorteil entsteht zudem, wenn ein im Vergleich zu seinem vollen Funktionsumfang reduziertes Programm von dem Quellsteuergerät an das Zielsteuergerät übertragen wird. Dadurch wird eine besonders hohe Belastung des Zielgeräts vermieden bzw können selbst noch geringe Ressourcen genutzt werden, ohne dass sicherheitsrelevante Kernfunktionen des Programms eingeschränkt sein müssen.
- Ein weiterer Vorteil entsteht, wenn auf dem Zielsteuergerät Programme und/oder Programmteile mit vergleichsweise niedriger Sicherheitsrelevanz abgeschaltet werden. Dadurch kann das Zielgerät zur verdichteten Ausführung von Funktionen höchster Priorität genutzt werden, womit das Gesamtsystem besonders sicher wird.
- Kurze Beschreibung der Zeichnungen
- Das erfindungsgemäße System und Verfahren werden im folgenden anhand eines Ausführungsbeispiels mit zwei Steuergeräten näher erläutert. Gleiche oder gleichwirkende Teile sind mit gleichen Bezugszeichen versehen. Es zeigen:
-
1 eine schematische Darstellung von zwei intakten Steuergeräten, die über ein Netzwerk miteinander verbunden sind, und -
2 die Anordnung der1 , bei der die Funktion eines defekten Steuergeräts von dem anderen Steuergerät abgebildet wird. - Ausführungsformen der Erfindung
- Die
1 zeigt eine schematische Darstellung von zwei intakten Steuergeräten SG1 und SG2, die über ein Netzwerk10 miteinander verbunden sind. Das Netzwerk10 ist als Daten- und Programmbus ausgebildet, über den die Steuergeräte SG1 und SG2 untereinander Daten- und Softwareprogrammteile austauschen können. Das Steuergerät SG1 soll beispielhaft für den Betrieb eines Antiblockiersystems und das Gerät SG2 für die Motorsteuerung zuständig sein. Die Funktionalität dieser Anwendungen wird durch einen Programmcode P1 bzw 22 abgebildet, der auf dem jeweiligen Gerät SG1 bzw SG2 ausgeführt wird. Wird nun in dem Steuergerät SG1 ein Hardwaredefekt erkannt, so werden noch freie Rechnerressourcen in dem Gerät SG2 reserviert, der Programmcode P1 des Geräts SG1 über das Netzwerk10 übermittelt und auf dem Gerät SG2 zur Ausführung gebracht. - Die
2 zeigt die Anordnung der1 , bei der die Funktion eines defekten Steuergeräts SG1 von dem anderen Steuergerät SG2 abgebildet wird. Der Programmcode P1 des Geräts SG1 wurde dabei an das Gerät SG2 übertragen und neben dem Code P2 zur Ausführung gebracht. Grundsätzlich können dabei von dem Steuergerät SG1 auch nur reduzierte Programme übermittelt werden, um die Programme auf dem Gerät SG2 nicht zu beeinträchtigen. Ferner können auch Programme oder Programmteile, die eine vergleichsweise niedrigere Priorität haben, auf dem Zielsteuergerät SG2 abgeschaltet und die Programme mit hoher Sicherheitsrelevanz aktiviert werden. - Dadurch lässt sich selbst bei Hardwaredefekten des besonders sicherheitsrelevanten Steuergeräts SG1 eine Restfunktion des Antiblockiersystems darstellen, was dessen Ausfalltoleranz und damit Betriebssicherheit erheblich erhöht. Durch die Verschiebung des Codes P1 von dem defekten Gerät SG1 auf das intakte Gerät SG2 müssen keine redundanten Speicherteile vorgehalten werden, wodurch sich die Kosten reduzieren lassen. Das erfindungsgemäße Verfahren setzt auf bekannten Kommunikationsmechanismen in Netzwerken auf und ist einfach zu implementieren, leicht wartbar und kostengünstig.
Claims (8)
- System zum Verteilen und Ausführen von Programmcode (P1, P2) in einem Steuergerätenetzwerk, bei dem wenigstens eines der Geräte (SG1) einen Defekt an seiner Hardware erkennen und seinen Code (P1) an wenigstens ein anderes Steuergerät (SG2) in dem Netzwerk übertragen kann, wobei der übertragene Code (P1) auf dem Zielsteuergerät (SG2) ausführbar ist.
- System nach Anspruch 1, bei dem das Quellsteuergerät (SG1) im Vergleich zu den anderen Steuergeräten (SG2) in dem Netzwerk eine hohe Sicherheitsrelevanz hat.
- System nach Anspruch 1 oder 2, bei dem das Quellsteuergerät (SG1) zum Übermitteln eines reduzierten Programms an das Zielsteuergerät (SG2) ausgebildet ist.
- System nach einem der vorstehenden Ansprüche, bei dem das Zielsteuergerät (SG2) zum Abschalten von Programmen und/oder Programmteilen mit vergleichsweise niedriger Sicherheitsrelevanz ausgebildet ist.
- Verfahren zum Verteilen und Ausführen von Programmcode (P1, P2) in einem Steuergerätenetzwerk, bei dem dann, wenn in einem Steuergerät (SG1) ein Hardwaredefekt erkannt wird, dessen Code (P1) an wenigstens ein anderes Steuergerät (SG2) in dem Netzwerk übertragen und der übertragene Code (P1) auf dem Zielsteuergerät (SG2) ausgeführt wird.
- Verfahren nach Anspruch 5, bei dem zunächst festgestellt wird, ob das Zielsteuergerät (SG2) freie Ressourcen zum Ausführen des Programmcodes (P1) hat, und wenn das der Fall ist, diese freien Ressourcen zum Ausführen des übertragenen Codes (P1) reserviert werden.
- Verfahren nach Anspruch 5 oder 6, bei dem ein im Vergleich zu seinem vollen Funktionsumfang reduziertes Programm von dem Quellsteuergerät (SG1) an das Zielsteuergerät (SG2) übertragen wird.
- Verfahren nach einem der Ansprüche 5 bis 7, bei dem auf dem Zielsteuergerät (SG2) Programme und/oder Programmteile mit vergleichsweise niedriger Sicherheitsrelevanz abgeschaltet werden.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102006045153A DE102006045153A1 (de) | 2006-09-25 | 2006-09-25 | System und Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk |
US11/901,814 US20080077924A1 (en) | 2006-09-25 | 2007-09-18 | System and method for distributing and executing program code in a control unit network |
JP2007244569A JP2008084315A (ja) | 2006-09-25 | 2007-09-21 | 制御装置ネットワークにおいてプログラムコードを分散して実行するシステムおよび方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102006045153A DE102006045153A1 (de) | 2006-09-25 | 2006-09-25 | System und Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102006045153A1 true DE102006045153A1 (de) | 2008-04-03 |
Family
ID=39134089
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102006045153A Withdrawn DE102006045153A1 (de) | 2006-09-25 | 2006-09-25 | System und Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk |
Country Status (3)
Country | Link |
---|---|
US (1) | US20080077924A1 (de) |
JP (1) | JP2008084315A (de) |
DE (1) | DE102006045153A1 (de) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102018210684A1 (de) * | 2018-06-29 | 2020-01-02 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren, Vorrichtung, Computerprogramm und Computerprogrammprodukt zum Codieren eines Steuergerätes eines Fahrzeuges und zum Überprüfen eines Steuergerätes eines Fahrzeuges |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010176422A (ja) * | 2009-01-29 | 2010-08-12 | Autonetworks Technologies Ltd | 制御装置、制御システム及び制御方法 |
KR102626249B1 (ko) * | 2018-06-12 | 2024-01-17 | 현대자동차주식회사 | 차량 및 그의 제어기 부하 최적화 방법 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH06250869A (ja) * | 1993-03-01 | 1994-09-09 | Hitachi Ltd | 分散制御システム |
US6880101B2 (en) * | 2001-10-12 | 2005-04-12 | Dell Products L.P. | System and method for providing automatic data restoration after a storage device failure |
US7295511B2 (en) * | 2002-06-13 | 2007-11-13 | Utstarcom, Inc. | System and method for packet data serving node load balancing and fault tolerance |
-
2006
- 2006-09-25 DE DE102006045153A patent/DE102006045153A1/de not_active Withdrawn
-
2007
- 2007-09-18 US US11/901,814 patent/US20080077924A1/en not_active Abandoned
- 2007-09-21 JP JP2007244569A patent/JP2008084315A/ja not_active Withdrawn
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102018210684A1 (de) * | 2018-06-29 | 2020-01-02 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren, Vorrichtung, Computerprogramm und Computerprogrammprodukt zum Codieren eines Steuergerätes eines Fahrzeuges und zum Überprüfen eines Steuergerätes eines Fahrzeuges |
US11461169B2 (en) | 2018-06-29 | 2022-10-04 | Bayerische Motoren Werke Aktiengesellschaft | Method and device for coding a controller of a vehicle and for checking a controller of a vehicle |
Also Published As
Publication number | Publication date |
---|---|
US20080077924A1 (en) | 2008-03-27 |
JP2008084315A (ja) | 2008-04-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE10223880B4 (de) | Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems | |
EP3661819B1 (de) | Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium | |
DE102007045398A1 (de) | Integriertes Mikroprozessorsystem für sicherheitskritische Regelungen | |
DE102017100618A1 (de) | Kontrollsystem für ein Kraftfahrzeug, Kraftfahrzeug, Verfahren zur Kontrolle eines Kraftfahrzeugs, Computerprogrammprodukt und computerlesbares Medium | |
DE19509150C2 (de) | Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage | |
EP2099667B2 (de) | Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems | |
DE102006008575B4 (de) | Getriebestellvorrichtung, Kraftfahrzeugkomponente und Verfahren zur Herstellung eines Fail-Safe-Zustandes einer Getriebestellvorrichtung | |
WO2002074596A1 (de) | Verfahren zur ansteuerung einer komponente eines verteilten sicherheitsrelevanten systems | |
EP0981467A2 (de) | Verfahren zur manipulationssicheren konfigurierung eines kfz-steuergerätes sowie steuergerät | |
DE102005061393A1 (de) | Verfahren zur Verteilung von Softwaremodulen | |
DE10142511B4 (de) | Fehlerbehandlung von Softwaremodulen | |
DE102017218643A1 (de) | Funktionsmodul, Steuereinheit für ein Betriebsassistenzsystem und Arbeitsvorrichtung | |
WO2008014940A1 (de) | Steuergerät und verfahren zur steuerung von funktionen | |
DE102006045153A1 (de) | System und Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk | |
DE102013021231A1 (de) | Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät | |
EP3483033A1 (de) | Verfahren und onboard-steuereinheit zum steuern und/oder überwachen von komponenten eines schienenfahrzeugs | |
DE102007046731B4 (de) | Verfahren zur Ansteuerung eines Aktuators in einem Kraftfahrzeug | |
EP1894101A1 (de) | Verfahren und vorrichtung zum überwachen eines unerlaubten speicherzugriffs einer rechenvorrichtung, insbesondere in einem kraftfahrzeug | |
DE102017212560A1 (de) | Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion | |
EP1248965B1 (de) | Verfahren zur verhinderung von fehlfunktionen in einem signalverarbeitenden system und prozessorsystem | |
DE102013201933A1 (de) | Verfahren zur Überprüfung einer Software-Kompatibilität | |
DE102019134872B4 (de) | Verbesserung der Betriebsparameter eines Rechensystems im Fahrzeug | |
WO2011113405A1 (de) | Steuergeräteanordnung | |
DE102022203852A1 (de) | Feststellbremsvorrichtung für ein Kraftfahrzeug | |
DE19702900C2 (de) | Fehlersignalsteuerung für ein BUS-Leitungssystem zur Übertragung digitaler Daten zwischen Steuermodulen und einer Zentraleinheit |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |
Effective date: 20110401 |