DE102006046399A1 - Verfahren und Vorrichtung zur Fehlerverwaltung - Google Patents

Verfahren und Vorrichtung zur Fehlerverwaltung Download PDF

Info

Publication number
DE102006046399A1
DE102006046399A1 DE102006046399A DE102006046399A DE102006046399A1 DE 102006046399 A1 DE102006046399 A1 DE 102006046399A1 DE 102006046399 A DE102006046399 A DE 102006046399A DE 102006046399 A DE102006046399 A DE 102006046399A DE 102006046399 A1 DE102006046399 A1 DE 102006046399A1
Authority
DE
Germany
Prior art keywords
component
status value
value
status
components
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102006046399A
Other languages
English (en)
Inventor
Mathias Bieringer
Alexander Schaefer
Philipp Woerz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102006046399A priority Critical patent/DE102006046399A1/de
Priority to PCT/EP2007/059973 priority patent/WO2008040641A2/de
Priority to US12/305,820 priority patent/US20100218047A1/en
Priority to CN200780036171.8A priority patent/CN101535960B/zh
Priority to EP07820411A priority patent/EP2078253A2/de
Priority to JP2009529666A priority patent/JP5319534B2/ja
Publication of DE102006046399A1 publication Critical patent/DE102006046399A1/de
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0267Fault communication, e.g. human machine interface [HMI]
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/22Safety or indicating devices for abnormal conditions
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24093Display, show place of error, fault

Abstract

Ein Verfahren zur Fehlerverwaltung in einem System (100) mit einer Mehrzahl von Komponenten (110, 120), wobei Fehlerzustände der Komponenten mittels Statuswerten (115, 125) anzeigbar sind, besteht darin, dass ein erster Statuswert (115) abhängig von einem Fehlerzustand einer ersten Komponente (110) und ein zweiter Statuswert (125) abhängig von einem Fehlerzustand einer zweiten Komponente (120) und abhängig von dem ersten Statuswert (115) bestimmt wird.

Description

  • Die Erfindung betrifft ein Verfahren zur Fehlerverwaltung gemäß dem Oberbegriff des Anspruchs 1, eine entsprechende Vorrichtung gemäß dem Oberbegriff von Anspruch 12, sowie ein entsprechendes Computerprogramm und ein Computerprogrammprodukt.
  • Stand der Technik
  • Die DE 197 31 116 A1 befasst sich mit einem Steuergerät für ein System. Das System ist mit Sensoren ausgestattet. Über Verbindungsleitungen können Messwerte der Sensoren zum Steuergerät hin übertragen werden. Das Steuersystem erhält somit Informationen über Zustände des Systems.
  • Die DE 103 02 054 A1 betrifft die Überprüfung von Komponenten einer Brennkraftmaschine. Jeder Komponente ist eine Diagnosefunktion zugeordnet, die jeweils über eine Schnittstelle mit einer zentralen Funktion kommuniziert.
  • Nachfolgend wird im Wesentlichen auf ein elektronisches Stabilitätsprogramm Bezug genommen, das beispielsweise im Automobilbereich eingesetzt werden kann. Das Verfahren oder die Vorrichtung sind jedoch nicht auf diese Anwendung beschränkt.
  • Im Elektronischen Stabilitätsprogramm (ESP; ESP = Elektronisches Stabilitätsprogramm) kommen verschiedene Hardwarekomponenten zum Einsatz. Unter dem Begriff Hardwarekomponente werden in diesem Zusammenhang Sensoren, Aktoren, Datenübertragungscontroller und Steuergerätekomponenten aller Art zusammengefasst. Bei den Datenübertragungscontrollern kann es sich beispielsweise um CAN oder Flex-Ray handeln. Unter die Steuergerätekomponenten fallen beispielsweise ROM, RAM, EEPROM oder A/D-Wandler.
  • Alle erwähnten Hardwarekomponenten sowie die Signale, die von den Hardwarekomponenten übertragen oder geliefert werden, werden während ihres Betriebes überwacht, um eventuelle Ausfälle zu erkennen. Ein aktueller Zustand einer Komponente oder eines Signales wird als Status bezeichnet. Mögliche Stati sind beispielsweise „gültig", „kurzzeitig ungültig", „nicht initialisiert" und „ungültig". Unter dem Status „nicht initialisiert" sind mehrere Stufen möglich.
  • Derzeit werden die Stati einzelner Komponenten von vielen Überwachungsalgorithmen dezentral bestimmt. Das bedeutet, dass die Überwachungsalgorithmen über das gesamte System, beispielsweise das ESP, verteilt sind. Die resultierenden Stati werden durch komplexe Logikteile ebenfalls verteilt ermittelt. Ebenfalls verteilt gelöst, das heißt an mehreren Stellen im System implementiert, ist eine Folgefehlervermeidung, durch die nicht-kausale Fehler unterdrückt werden, sowie eine Mehrfachfehlerbehandlung.
  • Diese Verteilung der Aufgaben und Verantwortlichkeiten erschwert erheblich eine Produktkonfiguration des Systems und eine Bearbeitung von Kundenprojekten. Darüber hinaus ist bei herkömmlichen Systemen ein Einsatz von Tools zur automatisierten Dokumentationsgenerierung in den drei angesprochenen Bereichen, der Ermittlung der resultierenden Stati, der Folgefehlervermeidung sowie der Mehrfachfehlerbehandlung, nicht möglich.
  • Es ist die Aufgabe der vorliegenden Erfindung, ein Verfahren sowie eine Vorrichtung zur verbesserten Fehlerverwaltung in einem System mit einer Mehrzahl von Komponenten sowie ein entsprechendes Computerprogramm und ein Computerprogrammprodukt zu schaffen.
  • Technische Aufgabe
  • Diese Aufgabe wird gemäß einem Verfahren nach Anspruch 1, einer Vorrichtung gemäß Anspruch 12 sowie einem Computerprogramm und einem Computerprogrammprodukt gemäß den Ansprüchen 14 und 15 gelöst.
  • Technische Lösung
  • Die vorliegende Erfindung schafft ein Verfahren zur Fehlerverwaltung in einem System mit einer Mehrzahl von Komponenten, wobei Fehlerzustände der Komponenten mittels Statuswerten anzeigbar sind. Dabei wird ein erster Statuswert abhängig von einem Fehlerzustand einer ersten Komponente und ein zweiter Statuswert abhängig von einem Fehlerzustand einer zweiten Komponente und abhängig von dem ersten Statuswert bestimmt.
  • Gemäß dem erfindungsgemäßen Verfahren sind Fehler innerhalb eines Gesamtsystems sehr schnell feststellbar, darstellbar und im gesamten System kommunizierbar.
  • Die vorliegende Erfindung schafft ferner eine Vorrichtung zur Fehlerverwaltung in einem System mit einer Mehrzahl von Komponenten, die alle Schritte des erfindungsgemäßen Verfahrens durchführt.
  • Das erfindungsgemäße Computerprogramm mit Programmcodemitteln ist dazu ausgelegt alle Schritte des erfindungsgemäßen Verfahrens durchzuführen, wenn dieses Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit, insbesondere einer erfindungsgemäßen Vorrichtung, durchgeführt wird.
  • Das erfindungsgemäße Computerprogrammprodukt mit Programmcodemitteln, die auf einem computerlesbaren Datenträger gespeichert sind, ist zur Durchführung des erfindungsgemäßen Verfahrens vorgesehen, wenn dieses Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit, insbesondere einer erfindungsgemäßen Vorrichtung, durchgeführt wird.
  • Ein wesentlicher Aspekt der Erfindung ist in einem so genannten Abhängigkeitsgraph darstellbar. (engl.: Failure Dependency Structure). Der Abhängigkeitsgraph beinhaltet und stellt die Abhängigkeiten zwischen den einzelnen überwachten Hardwarekomponenten und Signalen des Systems dar. Darüber hinaus beinhaltet der Abhängigkeitsgraph eine Zuordnung von Überwachungsalgorithmen zu den überwachten Hardwarekomponenten.
  • Vorteilhafte Wirkungen
  • Aufbauend hierauf ermöglicht der erfindungsgemäße Ansatz eine Sammlung aller Überwachungsergebnisse, die von Komponenten des Systems vorliegen und ermöglicht eine Ermittlung von resultierenden Hardwarekomponenten- und Signalstati. Ferner wird eine Erkennung von Folgefehlern ermöglicht, um unplausible Fehlerspeichereinträge zu unterdrücken. Ein solcher Vorgang wird auch als Folgefehlervermeidung bezeichnet. Auch wird eine Vorbereitung einer Mehrfachfehlerbehandlung ermöglicht.
  • Der erfindungsgemäße Ansatz bietet eine Reihe von implementierungsunabhängigen Vorteilen. Darunter fällt eine zentrale Sammlung aller von Überwachungsalgorithmen gemeldeten Fehler. Dadurch wird die Übersichtlichkeit des Systems stark erhöht. Die Abhängigkeiten, die in dem Abhängigkeitsgraph dargestellt werden, sind stark projektabhängig. Durch die zentrale Definition dieser Abhängigkeiten wird der Aufwand bei der Projektinitiierung und während des Projektverlaufs stark vermindert. In der Regel ändern sich die Anforderungen an das Gesamtsystem im Laufe der Produktentwicklung. Der Umfang der von diesen Änderungen betroffenen System- und Softwareteile ist sehr gering. Die Zentralisierung der Abhängigkeiten macht Analysen sehr viel einfacher und involviert wesentlich weniger Personen. Eine toolgestützte Analyse der Umsetzung der Hardwareabhängigkeiten wird durch die zentrale Definition der Abhängigkeiten stark vereinfacht bzw. ermöglicht. Die Produktkonfiguration wird deutlich erleichtert. Die Fehleranfälligkeit wird durch die toolgestützte Konfiguration stark reduziert.
  • Der erfindungsgemäße Ansatz bietet ferner eine Reihe von implementierungsrelevanten Vorteilen. So können sehr effiziente Algorithmen zum Einsatz kommen, um die Fehler weiterzuverarbeiten. Dadurch werden weniger von den sehr begrenzten Ressourcen ROM, RAM und Laufzeit bzw. Zykluszeit in einem Steuergerät verbraucht. Durch eine graphische Produktkonfiguration und automatische Code-Generierung wird die Fehleranfälligkeit reduziert und das Produkthandling stark vereinfacht.
  • Bevorzugte Ausgestaltungen der Erfindung sind Gegenstand der Unteransprüche.
  • Zweckmäßigerweise zeigen die Statuswerte an, ob ein von einer Komponente bereitstellbarer Wert gültig oder ungültig ist, wobei ein zweiter Statuswert derart bestimmt werden kann, dass der zweite Statuswert anzeigt, dass ein von der zweiten Komponente des Systems bereitstellbarer Wert ungültig ist, wenn der erste Statuswert, der von der ersten Komponente des Systems erhalten wurde, anzeigt, dass ein von der ersten Komponente bereitstellbarer Wert ungültig ist. Hiermit sind Statuswerte sehr schnell innerhalb des Systems kommunizierbar, wodurch insbesondere auch sicherheitsrelevante Statuswerte innerhalb eines Systems für sämtliche Komponenten bereitstellbar sind.
  • Es erweist sich als zweckmäßig, dass ein weiterer Statuswert abhängig von einem Fehlerzustand der weiteren Komponente und abhängig von dem ersten bzw. einem vorangehendem Statuswert bestimmt wird.
  • Gemäß einer besonders bevorzugten Ausgestaltung des erfindungsgemäßen Verfahrens weist das System eine virtuelle Komponente auf, wobei ein Fehlerzustand der virtuellen Komponente aus Statuswerten einer vorbestimmten der (realen) Komponenten gemäß einer Verknüpfungsvorschrift bestimmt wird, und ein virtueller Statuswert abhängig von dem Fehlerzustand der virtuellen Komponente und abhängig von dem ersten Statuswert bestimmt wird. Durch die Definition derartiger virtueller Komponenten und entsprechend zweckmäßiger Verknüpfungsvorschriften können Fehlerzustände in besonders effektiver Weise innerhalb des Systems kommuniziert werden.
  • Es erweist sich als zweckmäßig, dass ausgehend von dem ersten Statuswert jeder Statuswert, dessen Bestimmung von einem vorangegangenen Statuswert abhängt, nur ein einziges Mal bestimmt wird. Durch diese Maßnahme können Ressourcen innerhalb des Systems eingespart werden, ohne die Zuverlässigkeit bzw. Sicherheit des Systems zu beeinträchtigen.
  • Es erweist sich ferner als vorteilhaft, dass ein Statuswert, in Abhängigkeit von dem kein weiterer Statuswert bestimmt wird, ausgewertet wird, um festzustellen, welcher Statuswert, ausgehend von dem ersten Statuswert, als erstes angezeigt hat, dass ein von einer Komponente bereitstellbarer Wert ungültig ist, um so eine fehlerhafte Komponente zu bestimmen. Hierbei erweist es sich als besonders zweckmäßig, dass ein Teil des Systems, der die fehlerhafte Komponente aufweist, degradiert oder deaktiviert wird. Hiermit ist ein optimaler Betrieb insbesondere auch sicherheitsrelevanter Systeme trotz fehlerhafter Komponente gewährleistet.
  • Zweckmäßigerweise wird eine Information über die fehlerhafte Komponente gespeichert, wodurch Wartungs- oder Fehleranalysearbeiten erleichtert werden können.
  • Es erweist sich als vorteilhaft, dass die Fehlerzustände der Komponenten ermittelt werden, indem Überwachungsalgorithmen ausgeführt werden. Derartige Überwachungsalgorithmen sind auf der Grundlage eines erfindungsgemäßen Verfahrens besonders effektiv und schnell einsetzbar.
  • Vorteilhafterweise ist die Verknüpfungsvorschrift zur Bestimmung des Fehlerzustands einer virtuellen Komponente eine Und-Verknüpfung. Mit dieser Verknüpfung ist eine Fehlersuche in besonders effektiver Weise bewerkstelligbar.
  • Es erweist sich als zweckmäßig, dass die Statuswerte ferner anzeigen, ob ein von einer Komponente bereitstellbarer Wert kurzzeitig ungültig, oder ob eine Komponente nicht initialisiert ist, wobei der zweite Statuswert so bestimmt werden kann, dass dieser anzeigt, dass ein von der zweiten Komponente bereitstellbarer Wert ungültig ist, wenn ein erster Statuswert anzeigt, dass der von einer ersten Komponente bereitstellbare Wert kurzzeitig ungültig, oder die erste Komponente nicht initialisiert ist. Mittels dieser Maßnahmen können auch insbesondere kurzzeitige Ausfälle von Komponenten berücksichtigt werden.
  • Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und den beiliegenden Zeichnungen.
  • Es versteht sich, dass die vorstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
  • Die Erfindung ist anhand von Ausführungsbeispielen in den folgenden Zeichnungen schematisch dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnungen ausführlich beschrieben.
  • Kurze Beschreibung der Zeichnungen
  • 1 zeigt einen Abhängigkeitsgraph gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung; und
  • 2 zeigt einen weitern Abhängigkeitsgraph gemäß einer weiteren bevorzugten Ausführungsform der vorliegenden Erfindung.
  • Das erfindungsgemäße Verfahren sowie die erfindungsgemäße Vorrichtung können in Form eines Abhängigkeitsgraphen dargestellt werden. Der Abhängigkeitsgraph bildet dabei ein Sys tem mit einer Mehrzahl von Komponenten ab. Der Abhängigkeitsgraph beinhaltet alle überwachten Komponenten des Systems. Darunter werden zum einem alle Hardwarekomponenten des Systems, als auch von den Hardwarekomponenten gelieferten Signale verstanden. Die überwachten Komponenten werden im Abhängigkeitsgraph als Knoten dargestellt. Abhängigkeiten zwischen den Komponenten sind im Abhängigkeitsgraph durch Verbindungen zwischen den Knoten dargestellt.
  • Der Abhängigkeitsgraph ist gerichtet und antizyklisch. Gerichtet bedeutet, dass eine Verbindung zwischen zwei Knoten des Abhängigkeitsgraphen immer nur in einer Richtung durchlaufen wird. Wird ausgehend von einem beliebigen der Knoten beliebigen Verbindungen gefolgt, so gelangt man weder zum Ausgangsknoten zurück, noch wird einer der anderen Knoten mehr als einmal durchlaufen. Der Abhängigkeitsgraph ist also antizyklisch.
  • Die 1 und 2 zeigen Abhängigkeitsgraphen gemäß bevorzugten Ausführungsbeispielen der vorliegenden Erfindung. Die Knoten der gezeigten Abhängigkeitsgraphen sind als Ellipsen dargestellt, zwischen denen gerichtete Verbindungen bestehen. Ebenfalls dargestellt sind den jeweiligen Knoten zugeordnete Überwachungen, die untereinander priorisiert sein können.
  • 1 zeigt einen Abhängigkeitsgraph gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. Der Abhängigkeitsgraph bildet ein System 100 mit einer Mehrzahl von Komponenten ab.
  • Ein Fehlerzustand oder Verfügbarkeitszustand einer ersten Komponente 110 des Systems 100 kann mittels eines oder einer Mehrzahl von Überwachungsalgorithmen 111, 112, 113 bestimmt werden. Abhängig von dem Fehlerzustand der ersten Komponente 110 kann ein erster Statuswert 115 bestimmt und an eine zweite Komponente 120 übermittelt bzw. bereitgestellt werden. Im Betrieb kann die Komponente 110 ausgebildet sein, um einen Komponentenwert bereitzustellen. Bei dem Komponentenwert kann es sich beispielsweise um ein Sensorsignal, ein Steuersignal oder einen übertragenen Wert handeln. Abhängig von dem Fehlerzustand der Komponente 110, kann der bereitstellbare Komponentenwert, beispielsweise das Sensorsignal, gültig oder ungültig sein. Gemäß einem Ausführungsbeispiel kann der erste Statuswert 115 anzeigen, ob der von der ersten Komponente 110 bereitstellbare Wert gültig oder ungültig ist.
  • Ein Fehlerzustand der zweiten Komponente 120 des Systems 100 kann mittels eines oder einer Mehrzahl weiterer Überwachungsalgorithmen 121, 122 bestimmt werden. Abhängig von dem Fehlerzustand der zweiten Komponente 120 und abhängig von dem ersten Statuswert 115, der von der ersten Komponente bereitgestellt wird, kann ein zweiter Statuswert 125 bestimmt und bereitgestellt werden. Der zweite Statuswert 125 kann anzeigen, ob ein von der zweiten Komponente 120 bereitstellbarer Wert gültig oder ungültig ist. Indem der zweite Statuswert 125 auch abhängig von dem ersten Statuswert 115 bestimmt wird, kann der zweite Statuswert 125 derart bestimmt werden, das der zweite Statuswert 125 anzeigt, dass ein von der zweiten Komponente 120 bereitstellbarer Wert ungültig ist, wenn der erste Statuswert 115 anzeigt, dass ein von der ersten Komponente 110 bereitstellbarer Wert ungültig ist. Anders ausgedrückt, wird der zweite Statuswert 125 derart bestimmt, dass der zweite Statuswert 125 nur dann anzeigen kann, dass ein von der zweiten Komponente 120 bereitstellbarer Wert gültig ist, wenn der erste Statuswert 115 anzeigt, dass ein von der ersten Komponente 115 bereitstellbarer Wert gültig ist.
  • Ein Fehlerzustand einer dritten Komponente 130 des Systems 100 kann mittels eines oder einer Mehrzahl von Überwachungsalgorithmen 131, 132, 133 bestimmt werden. Abhängig von dem Fehlerzustand der dritten Komponente 130 und abhängig von dem zweiten Statuswert 125, kann ein dritter Statuswert 135 bestimmt und bereitgestellt werden. Der dritte Statuswert 135 kann anzeigen, dass ein von der dritten Komponente 130 bereitstellbarer Wert gültig oder ungültig ist. Indem der dritte Statuswert 135 abhängig von dem zweiten Statuswert 125 bestimmt wird, kann der dritte Statuswert 135 derart bestimmt werden, das der dritte Statuswert 135 anzeigt, dass ein von der dritten Komponente 130 bereitstellbarer Wert ungültig ist, wenn der zweite Statuswert 125 anzeigt, das ein von der zweiten Komponente 120 bereitstellbarer Wert ungültig ist.
  • Gemäß dem in 1 gezeigten Ausführungsbeispiel weist das System 100 eine weitere zweite Komponente 140 und eine weitere dritte Komponente 150 auf, die parallel zu der ersten und zweiten Komponente 120, 130 angeordnet sind. Der erste Statuswert 115 wird zusätzlich an die weitere zweite Komponente 140 bereitgestellt.
  • Ein Fehlerzustand der zweiten weiteren Komponente 140 des Systems 100 kann mittels einer Mehrzahl von Überwachungsalgorithmen 141, 142, 143 bestimmt werden. Abhängig von dem Fehlerzustand der zweiten weiteren Komponente 140 und abhängig von dem ersten Statuswert 115, der von der ersten Komponente bereitgestellt wird, kann ein zweiter weiterer Statuswert 145 bestimmt und bereitgestellt werden. Der zweite weitere Statuswert 145 kann anzeigen, ob ein von der zweiten weiteren Komponente 140 bereitstellbarer Wert gültig oder ungültig ist. Indem der zweite weitere Statuswert 145 abhängig von dem ersten Statuswert 115 bestimmt wird, kann der zweite weitere Statuswert 145 derart bestimmt werden, das der zweite weitere Statuswert 145 anzeigt, dass ein von der zweiten weiteren Komponente 140 bereitstellbarer Wert ungültig ist, wenn der erste Statuswert 115 anzeigt, das ein von der ersten Komponente 110 bereitstellbarer Wert ungültig ist.
  • Ein Fehlerzustand einer dritten weiteren Komponente 150 des Systems 100 kann mittels einer Mehrzahl von Überwachungsalgorithmen 151, 152, 153 bestimmt werden. Abhängig von dem Fehlerzustand der dritten weiteren Komponente 150 und abhängig von dem zweiten weiteren Statuswert 145, kann ein dritter weiterer Statuswert 155 bestimmt und bereitgestellt werden. Der dritte weitere Statuswert 155 kann anzeigen, ob ein von der dritten weiteren Komponente 150 bereitstellbarer Wert gültig oder ungültig ist. Indem der dritten weitere Statuswert 155 abhängig von dem zweiten weiteren Statuswert 145 bestimmt wird, kann der dritte weitere Statuswert 155 derart bestimmt werden, das der dritte weitere Statuswert 155 anzeigt, dass ein von der dritten weiteren Komponente 150 bereitstellbarer Wert ungültig ist, wenn der zweite weitere Statuswert 145 anzeigt, das ein von der zweiten weiteren Komponente 140 bereitstellbarer Wert ungültig ist.
  • Gemäß einem Ausführungsbeispiel wird ein Statuswert, dessen Bestimmung von einem vorangegangenen Statuswert abhängt, erst bestimmt, wenn der vorangegangene Statuswert bestimmt ist. Beispielsweise wird zuerst der erste Statuswert 115 bestimmt. Danach wird abhängig von dem ersten Statuswert 115 und dem Fehlerzustand der zweiten Komponente 120 der zweite Statuswert 125 bestimmt. Anschließend wird abhängig von dem zweiten Statuswert 125 und dem Fehlerzustand der dritten Komponente 130 der dritte Statuswert 135 bestimmt. Das erfindungsgemäße Verfahren zur Fehlerverwaltung kann mehrmals bzw. beliebig oft zeitlich nacheinander ausgeführt werden. Bei jeder Ausführung wird jeder Statuswert 115, 125, 135, 145, 155 nur ein einziges Mal bestimmt, bzw. muss jeder Statuswert nur ein einziges Mal bestimmt werden.
  • Gemäß einem Ausführungsbeispiel können die Statuswerte 135, 155, in Abhängigkeit von welchen kein weiterer Statuswert bestimmt wird (aber auch alle übrigen Statuswerte), ausgewertet werden, um eine fehlerhafte Komponente des Systems zu erkennen. Dies kann beispielsweise mit einer Auswerteeinrichtung (nicht gezeigt in den Figuren) erfolgen, die ausgebildet ist, um die Statuswerte 135, 155 zu empfangen und auszuwerten. Dabei kann festgestellt werden, ob und wenn ja welcher Statuswert als erster angezeigt hat, dass ein von einer Komponente bereitstellbarer Wert ungültig ist. Ein Teil des Systems 100, der die fehlerhafte Komponente aufweist, kann anschließend degradiert oder deaktiviert werden. Auch kann eine Information über die fehlerhafte Komponente, beispielsweise in einer Speichereinrichtung (nicht gezeigt in den Figuren) gespeichert werden.
  • Gemäß einem weiteren Ausführungsbeispiel können die Statuswerte ferner anzeigen, ob ein von einer Komponente bereitstellbarer Wert kurzzeitig ungültig oder ob eine Komponente nicht initialisiert ist. Zeigt beispielsweise der zweite Statuswert 125 an, dass ein von der zweiten Komponente 120 bereitstellbarer Wert kurzeitig ungültig ist oder dass die zweite Komponente 120 nicht initialisiert ist, so kann der dritte Statuswert 135 nicht anzeigen, dass ein von der dritten Komponente 130 bereitstellbarer Wert gültig ist, sondern zeigt an, das der von der dritten Komponente 130 bereitstellbare Wert ebenfalls ungültig ist.
  • Bei dem System 100 kann es sich beispielsweise um ein ESP handeln. Bei den Komponenten 110, 120, 130, 140, 150, kann es sich beispielsweise um Sensoren, Aktoren, Datenübertragungscontroller, Steuergerätekomponenten oder von solchen Komponenten übertragbare Signale handeln. Die Statuswerte können in beliebiger Form, beispielsweise in Form von Signalen, bereitgestellt werden, die von den abhängigen Komponenten empfangen werden können.
  • Der Knoten 110 kann beispielsweise einem Steuergerät ECU, der Knoten 120 einem A/D Wandler, der Knoten 130 einem Radgeschwindigkeitssensor VL, der Knoten 140 einem CAN und der Knoten 150 einem Gierratesensor zugeordnet sein. Dem Knoten 110 ist unter anderem eine Überwachung eines Totalausfalls 111, eine Überwachung des ROM 112 und eine Überwachung des RAM 113 zugeordnet. Dem Knoten 120 kann, unter anderem, eine Überwachung eines Totalausfalls 121 und eine Überwachung einer Einstreuung 122 zugeordnet sein. Dem Knoten 130 kann, unter anderem, eine Überwachung eines Totalausfalls 131, eine Überwachung eines Gradienten 132 und eine Überwachung eines Wertebereichs 133 zugeordnet sein. Dem Knoten 140 kann, unter anderem, eine Überwachung eines Totalausfalls 141, eine Überwachung einer Botschaft „1" 142 und eine Überwachung einer Botschaft „2" 143 zugeordnet sein. Dem Knoten 150 kann, unter anderem, eine Überwachung eines Totalausfalls 151, eine Überwachung eines Gradienten 152 und eine Überwachung eines Wertebereichs 153 zugeordnet sein.
  • Im Folgenden wird, anhand der in 1 gezeigten Prinzipdarstellung des Abhängigkeitsgraphen beschrieben, wie sich gemäß dem erfindungsgemäßen Ansatz die Aufgaben einer Ermittlung der resultierenden Hardware- und Signalstati, einer Folgefehlervermeidung sowie einer Vorbereitung einer Mehrfachfehlerbehandlung realisieren lassen.
  • Zuerst wird die Ermittlung der resultierenden Hardware- und Signalstati betrachtet. Bei der Ermittlung eines resultierenden Knotenstatus gibt es zwei Einflussfaktoren. Zum einen die Ergebnisse der Knoten-eigenen Überwachungen, zum anderen die Stati der Vorgängerknoten. Erkennt ein Überwachungsalgorithmus einen Fehler, so wird der zugehörige Knoten als ungültig markiert. Im gleichen Zuge werden alle sog. Kinder dieses Knoten, also alle Knoten, die durch Verfolgen der Verbindungen von diesem Knoten aus erreichbar sind, ebenfalls ungültig. Diese Vererbung des erkannten Fehlers an die sog. Kindsknoten wird als Fehlerpropagierung bezeichnet. Diese ist notwendig, da keines der Signale, die von der ausgefallenen Hardwarekomponente geliefert werden, mehr verwendet werden darf.
  • Beispielsweise ist eine Anbindung des Gierratensensors, dem der Knoten 150 zugeordnet ist, in einem bestimmten Projekt mittels des CAN-Protokolls, dem der Knoten 140 zugeordnet ist, realisiert. Wird der Ausfall des CAN-Controllers von der knoteneigenen Überwachung Totalausfall 141 erkannt, wird der Knoten 140, der dem CAN zugeordnet ist, als ungültig markiert. Weil der korrekte Empfang von Signalen des CAN-Busses nicht mehr gewährleistet ist, wird automatisch auch der Knoten 150, der der Gierrate zugeordnet ist, als ungültig markiert. Es erfolgt also eine Fehlerpropagierung.
  • Nun wird die Folgefehlervermeidung betrachtet. Wenn ein Fehler in einer überwachten Komponente erkannt wurde, erfolgt ein Eintrag in einen Fehlerspeicher (nicht gezeigt in den Figuren), um das Fehlerereignis rekonstruieren zu können. Dieser Fehlerspeicher kann beispielsweise zu einem späteren Zeitpunkt von einem Servicepersonal in einer Werkstatt analysiert werden. Um eine zielsichere und reibungslose Lokalisierung des defekten Bauteils zu ermöglichen – dies fällt unter das Stichwort „kleinste tauschbare Einheit" – darf der Fehlerspeicher nach Möglichkeit nur kausale Fehler und keine Folgefehler enthalten. Ein kausaler Fehler ist derjenige Fehler, der den eigentlichen Grund für einen Ausfall liefert. Ein Folgefehler ist ein Fehler, der auf Grund eines anderen Fehlers erkannt wird.
  • Zur Verdeutlichung lässt sich sagen, dass zur Ermittlung gültiger Signale Fehler propagiert werden müssen, wie oben in Bezug auf die Ermittlung der resultierenden Hardware- und Signalstati beschrieben ist. Bei der Befüllung des Fehlerspeichers müssen Fehler jedoch herausgefiltert werden.
  • Für die folgenden Beispiele wird angenommen, dass ein abhängiges Signal, beispielsweise der Gierrate (bei 150), Fehler liefert, wenn das vorausgesetzte Signal, bzw. die vorausgesetzte Komponente, beispielsweise der CAN (bei 140) defekt ist.
  • Bezug nehmend auf 1 zeigt das folgende Szenario ein einfaches Beispiel für einen Folgefehler innerhalb des Knotens 130. Eine Verbindung zu einem Radgeschwindigkeitssensor eines Fahrzeugs wird unterbrochen. Beispielsweise erfolgt ein Abriss eines Kabels, der durch die knoteneigene Überwachung Totalausfall 131 erkannt wird. Dadurch fällt die gemessene Radgeschwindigkeit innerhalb von 10 ms von 50 m/s abrupt auf 0 m/s ab. Der sich daraus ergebende Gradient des Signals von –5.000 m/s2 wird als unplausibel erkannt (Gradientenüberwachung 132). Der eigentliche Grund für den viel zu hohen Gradienten ist aber der Leitungsabriss.
  • Es kann jedoch auch zu Folgefehlern an verschiedenen Knoten kommen, die voneinander abhängig sind. Bezug nehmend auf 1 zeigt folgendes Szenario ein Beispiel für einen Folgefehler an unterschiedlichen Knoten. Beispielsweise erfolgt eine Einstreuung des A/D-Wandlers (120), was durch die Überwachung der Einstreuung (bei 122) erkannt wird. Weiterhin wird von der Überwachung des Radgeschwindigkeitssensors (bei 130) ein ungültiger Wert erkannt (bei 133), da durch die Einstreuung der gültige Wertebereich verlassen wird. Das überschreiten des zulässigen Wertebereichs 133 ist somit Folgefehler der Einstreuung am A/D-Wandler 122.
  • Folgefehler können aber auch vor dem kausalen Fehler auftreten. Beispielsweise fällt der CAN-Controller aus, wodurch das Gierratensignal, welches mittels des CAN übertragen wird, sehr schnell auf den Wert 0 abfällt. Die benötigte Zeit, um den Ausfall des CAN-Conrollers zu erkennen, ist deutlich größer als die Zeit zur Erkennung des Gradientenfehlers. Dadurch ist es möglich, dass der Folgefehler „fehlerhafter Gradient der Gierrate", der durch die entsprechende Überwachung 152 am Knoten Gierrate 150 erkannt wird, zeitlich vor dem kausalen Fehler „Ausfall des CAN-Controllers" erfolgt, der durch die entsprechende Überwachung 141 am Knoten CAN 140 erkannt wird.
  • 2 zeigt einen Abhängigkeitsgraphen, der ein weiteres Ausführungsbeispiel der vorliegenden Erfindung beschreibt. Gemäß diesem Ausführungsbeispiel ist das bereits anhand der 1 beschriebene System 100 um eine virtuelle Komponente 260 erweitert. Bei der virtuellen Komponente 260 handelt es sich nicht um eine reale Komponente sondern um eine virtuelle Komponente, die in den Abhängigkeitsgraphen aufgenommen wird, um die Fehlererkennung in dem System 100 zu verbessern.
  • Ein Fehlerzustand der virtuellen Komponente 260 kann mittels eines Überwachungsalgorithmus 261 bestimmt werden. Der Überwachungsalgorithmus kann Statuswerte einer vorbestimmten Auswahl der Komponenten 110, 120, 130, 140, 150 des Systems 100 gemäß einer Verknüpfungsvorschrift verknüpfen, um den Fehlerzustand der virtuellen Komponente 260 zu bestimmen. Beispielsweise könnte der Überwachungsalgorithmus 261 den Statuswert 135 der dritten Komponente 130 mit dem weiteren zweiten Statuswert 145 der weiteren zweiten Komponente 140 verknüpfen. Bei der Verknüpfungsvorschrift kann es sich um eine UND-Verknüpfung handeln. Ein virtueller Statuswert 265 wird abhängig von dem Fehlerzustand der virtuellen Komponente und, gemäß dem in 2 gezeigten Ausführungsbeispiel, abhängig von dem ersten Statuswert 115 bestimmt.
  • Der virtuellen Komponente 260 ist ein Knoten 260 des Abhängigkeitsgraphen zugeordnet. Dem Knoten 260 kann beispielsweise eine virtuelle Hardwarekomponente „3 Radgeschwindigkeiten" bzw. „3 Raddrehzahlsensoren" zugeordnet sein. In diesem Fall kann der Knoten 260 eine Überwachung 261 in Form einer Anzahl defekter Radgeschwindigkeiten aufweisen.
  • Nun wird die Vorbereitung einer Mehrfachfehlerbehandlung betrachtet. Wie bereits erwähnt, werden Hardwarekomponenten während des laufenden Betriebs überwacht und es werden im Falle eines erkannten Fehlers deren Stati entsprechend gesetzt. Diese Stati können von nachgelagerten Funktionalitäten genutzt werden, um Teile des Systems, beispielsweise des ESP, die diese Hardwarekomponenten verwenden, zu degradieren oder zu deaktivieren. Unter Degradation wird das Umschalten zwischen verschiedenen Algorithmen innerhalb einer Funktionalität von hoher zu niedriger Qualität, beispielsweise das Umschalten von der Nutzung von Messgrößen auf die Nutzung von Schätzgrößen, verstanden. Durch diese so genannte Fehlerbehandlung wird eine Fehlfunktion des Gesamtsystems auf Grund der fehlerhaften Hardwarekomponente vermieden.
  • Für den Fall, dass mehrere Fehler nacheinander oder gleichzeitig auftreten, muss eine so genannte einfache Mehrfachfehlerbehandlung durchgeführt werden. Dabei werden im Normalfall die einzelnen Ziel-Systemzustände verglichen und derjenige, in welchem keine der ausgefallenen Hardwarekomponenten verwendet wird, wird als neuer Ziel-Systemzustand ausgewählt. Als Grundlage dafür werden die Stati der einzelnen Hardwarekomponenten ermittelt.
  • Bei einigen Fehlerkombinationen ist die Verfügbarkeit der Hardwarekomponenten derart eingeschränkt, dass statt der eben beschriebenen einfachen eine erweiterte Mehrfachfehlerbehandlung durchgeführt werden muss. Dabei werden auch Teilsysteme deaktiviert, die nach der einfachen Mehrfachfehlerbehandlung noch mit Schätzgrößen arbeiten könnten.
  • Um die Weiterverarbeitung der erkannten Fehler zu vereinfachen, sollen Einfachfehler und Mehrfachfehler dieselbe Schnittstelle nutzen. Um diese Anforderung zu erfüllen, können so genannte virtuelle Hardwarekomponenten gebildet werden. Signalstati der virtuellen Hardwarekomponenten werden durch eine logische „und"-Verknüpfung einzelner Stati anderer Hardwarekomponenten gebildet.
  • Stellt das System 100 beispielsweise ein ESP dar und fällt beispielsweise im ESP der Gierratensensor aus, der dem Knoten 150 zugeordnet ist, so wird der Status des Gierratensensors auf „ungültig" gesetzt, wie es oben in Verbindung mit der Ermittlung der resultierenden Hardware- und Signalstati beschrieben ist. Fällt zusätzlich der Drehzahlsensor an einem der Räder aus, so wird dessen Status ebenfalls auf „ungültig" gesetzt. Wenn, wie in dem in 1 gezeigten Ausführungsbeispiel keine virtuelle Hardwarekomponente für diese Fehlerkombination existiert, wird ein Ziel-Systemzustand nur auf Basis der beiden Einzelstati ermittelt.
  • Fällt im ESP der Drehzahlsensor an einem der Räder aus, so wird sein Status auf „ungültig" gesetzt. Fallen zusätzlich noch die Drehzahlsensoren an zwei weiteren Rädern aus, so stehen dem ESP nicht mehr genug Informationen zur Verfügung, um sicher zu arbeiten. Daher wird der Signalstatus der virtuellen Hardwarekomponente 260 „3 Raddrehzahlsensoren" auf „ungültig" gesetzt. Diese Information wird von nachgelagerten Funktionalitäten genutzt, um das ESP zu deaktivieren, obwohl die Fahrzeuggeschwindigkeit theoretisch noch, in einer schlechteren Güte, berechnet werden könnte.
  • Die anhand der Figuren beschriebenen Ausführungsbeispiele sind beispielhaft gewählt. Abhängig von einem zu realisierendem System können Komponenten, weitere Komponenten und virtuelle Komponenten in beliebiger Anzahl und, im Rahmen eines gerichteten Abhängigkeitsgraphen, in beliebiger Verknüpfung untereinander angeordnet werden.
  • Die vorliegende Erfindung kann in Form von Software umgesetzt werden. Das erfindungsgemäße Verfahren bietet ein neues Konzept zur Konfiguration von Hardwareabhängigkeiten von dynamischen Systemen. Das erfindungsgemäße Konzept einer Failure Dependency Structure, ist zur zentralen Fehlerverwaltung in dynamischen Systemen geeignet. Der erfindungsgemäße Ansatz ist keineswegs auf die beschriebene Fahrdynamikregelung ESP beschränkt. Vielmehr ist der Einsatz in allen mechatronischen eingebetteten Systemen denkbar. Die beschriebenen Beispiele aus dem Einsatzbereich des ESP dienen lediglich der Erläuterung, beschränken aber in keiner Weise das Einsatzgebiet der Erfindung.

Claims (16)

  1. Verfahren zur Fehlerverwaltung in einem System (100) mit einer Mehrzahl von Komponenten, wobei Fehlerzustände der Komponenten mittels Statuswerten anzeigbar sind, dadurch gekennzeichnet, dass ein erster Statuswert (115) abhängig von einem Fehlerzustand einer ersten Komponente (110) und ein zweiter Statuswert (125) abhängig von einem Fehlerzustand einer zweiten Komponente (120) und abhängig von dem ersten Statuswert (115) bestimmt wird.
  2. Verfahren gemäß Anspruch 1, wobei die Statuswerte anzeigen, ob ein von einer Komponente bereitstellbarer Wert gültig oder ungültig ist und der zweite Statuswert (125) derart bestimmt wird, dass der zweite Statuswert anzeigt, dass ein von der zweiten Komponente (120) bereitstellbarer Wert ungültig ist, wenn der erste Statuswert (115) anzeigt, das ein von der ersten Komponente (110) bereitstellbarer Wert ungültig ist.
  3. Verfahren gemäß einem der vorstehenden Ansprüche, wobei das System (100) eine weitere Komponente (140) aufweist, dadurch gekennzeichnet, dass ein weiterer Statuswert (145) abhängig von einem Fehlerzustand der weiteren Komponente und abhängig von dem ersten Statuswert (115) bestimmt wird.
  4. Verfahren gemäß einem der vorstehenden Ansprüche, wobei das System (100) eine virtuelle Komponente (260) aufweist und ein Fehlerzustand der virtuellen Komponente aus Statuswerten einer vorbestimmten Auswahl der Komponenten (110, 120, 140) gemäß einer Verknüpfungsvorschrift bestimmt wird, und ein virtueller Statuswert (265) abhängig von dem Fehlerzustand der virtuellen Komponente und abhängig von dem ersten Statuswert (115) bestimmt wird.
  5. Verfahren gemäß einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass ausgehend von dem ersten Statuswert (115) jeder Statuswert (125, 145, 265), dessen Bestimmung von einem vorangegangenen Statuswert abhängt, nur ein einziges Mal bestimmt wird.
  6. Verfahren gemäß einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass ein Statuswert (135, 155, 265), in Abhängigkeit von dem kein weiterer Statuswert bestimmt wird, ausgewertet wird, um festzustellen, welcher Statuswert, ausgehend von dem ersten Statuswert (115), als erstes angezeigt hat, dass ein von einer Komponente bereitstellbarer Wert ungültig ist, um so eine fehlerhafte Komponente zu bestimmen.
  7. Verfahren gemäß Anspruch 6, dadurch gekennzeichnet, dass ein Teil des Systems (100), der die fehlerhafte Komponente aufweist, degradiert oder deaktiviert wird.
  8. Verfahren gemäß Anspruch 6, dadurch gekennzeichnet, dass eine Information über die fehlerhafte Komponente gespeichert wird.
  9. Verfahren gemäß einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass die Fehlerzustände der Komponenten (110, 120, 140, 260) ermittelt werden, indem Überwachungsalgorithmen (111, 112, 113, 121, 122, 141, 142, 143, 261) ausgeführt werden.
  10. Verfahren gemäß einem der Ansprüche 4 bis 9, dadurch gekennzeichnet, dass die Verknüpfungsvorschrift zur Bestimmung des Fehlerzustands der virtuellen Komponente (260) eine UND-Verknüpfung ist.
  11. Verfahren gemäß einem der Ansprüche 2 bis 10, wobei die Statuswerte ferner anzeigen, ob ein von einer Komponente bereitstellbarer Wert kurzzeitig ungültig oder ob eine Komponente nicht initialisiert ist, wobei der zweite Statuswert (125) so bestimmt wird, dass der zweite Statuswert anzeigt, dass ein von der zweiten Komponente (120) bereitstellbarer Wert ungültig ist, wenn der erste Statuswert (115) anzeigt, das der von der ersten Komponente (110) bereitstellbare Wert kurzzeitig ungültig oder die erste Komponente nicht initialisiert ist.
  12. Vorrichtung um alle Schritte eines Verfahrens gemäß einem der Ansprüche 1 bis 11 durchzuführen.
  13. Vorrichtung gemäß Anspruch 12, dadurch gekennzeichnet, dass es sich bei den Komponenten um Sensoren, Aktoren, Datenübertragungscontroller, Steuergerätekomponenten oder von solchen Komponenten übertragbare Signale handelt.
  14. Vorrichtung gemäß Anspruch 12, dadurch gekennzeichnet, dass es sich bei dem System um ein mechatronisch eingebettetes System handelt.
  15. Computerprogramm mit Programmcode-Mitteln, um alle Schritte eines Verfahrens gemäß einem der Ansprüche 1 bis 11 durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Rechnereinheit ausgeführt wird.
  16. Computerprogrammprodukt mit Programmcode-Mitteln, die auf einem computerlesbaren Datenträger gespeichert sind, um alle Schritte eines Verfahrens nach einem der Ansprüche 1 bis 11 durchzuführen, wenn das Computerprogrammprodukt auf einem Computer oder auf einer entsprechenden Rechnereinheit ausgeführt wird.
DE102006046399A 2006-09-29 2006-09-29 Verfahren und Vorrichtung zur Fehlerverwaltung Ceased DE102006046399A1 (de)

Priority Applications (6)

Application Number Priority Date Filing Date Title
DE102006046399A DE102006046399A1 (de) 2006-09-29 2006-09-29 Verfahren und Vorrichtung zur Fehlerverwaltung
PCT/EP2007/059973 WO2008040641A2 (de) 2006-09-29 2007-09-20 Verfahren und vorrichtung zur fehlerverwaltung
US12/305,820 US20100218047A1 (en) 2006-09-29 2007-09-20 Method and device for error management
CN200780036171.8A CN101535960B (zh) 2006-09-29 2007-09-20 用于故障管理的方法和装置
EP07820411A EP2078253A2 (de) 2006-09-29 2007-09-20 Verfahren und vorrichtung zur fehlerverwaltung
JP2009529666A JP5319534B2 (ja) 2006-09-29 2007-09-20 障害管理方法、および障害管理のための装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102006046399A DE102006046399A1 (de) 2006-09-29 2006-09-29 Verfahren und Vorrichtung zur Fehlerverwaltung

Publications (1)

Publication Number Publication Date
DE102006046399A1 true DE102006046399A1 (de) 2008-04-03

Family

ID=39134362

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102006046399A Ceased DE102006046399A1 (de) 2006-09-29 2006-09-29 Verfahren und Vorrichtung zur Fehlerverwaltung

Country Status (6)

Country Link
US (1) US20100218047A1 (de)
EP (1) EP2078253A2 (de)
JP (1) JP5319534B2 (de)
CN (1) CN101535960B (de)
DE (1) DE102006046399A1 (de)
WO (1) WO2008040641A2 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009020151A1 (de) * 2009-05-06 2010-11-11 Siemens Aktiengesellschaft Verfahren zur Ermittlung und Bewertung von Kenngrößen einer elektrischen Energieversorgung
WO2011000876A1 (de) * 2009-07-01 2011-01-06 Robert Bosch Gmbh Diagnoseverfahren zum durchführen einer diagnose eines systems
US9021305B2 (en) 2012-10-17 2015-04-28 International Business Machines Corporation Processing main cause errors and sympathetic errors in devices in a system
DE102022105248A1 (de) 2022-03-07 2023-09-07 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum bestimmen von obd-konformität eines ausgabesignals

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102404141B (zh) * 2011-11-04 2014-03-12 华为技术有限公司 一种告警抑制的方法及装置
CN104102551B (zh) * 2013-04-10 2017-06-06 北京中嘉时代科技有限公司 一种基于状态的应用监控与恢复算法与模型
FR3012098B1 (fr) * 2013-10-17 2017-01-13 Renault Sa Systeme et procede de controle de vehicule avec gestion de defauts
CN103674590B (zh) * 2013-11-09 2016-04-20 皖江新兴产业技术发展中心 半导体芯片全自动封装设备自动报警系统实现方法
US10089687B2 (en) * 2015-08-04 2018-10-02 Fidelity National Information Services, Inc. System and associated methodology of creating order lifecycles via daisy chain linkage
CN106559234B (zh) * 2015-09-28 2021-02-19 中兴通讯股份有限公司 控制消息发送方法及装置
US11568362B2 (en) * 2019-01-02 2023-01-31 International Business Machines Corporation Systems and methods for visualizing a trade life cycle and detecting discrepancies
US20200211110A1 (en) * 2019-01-02 2020-07-02 International Business Machines Corporation Systems and methods for visualizing a trade life cycle and detecting discrepancies

Family Cites Families (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4053752A (en) * 1975-09-15 1977-10-11 International Business Machines Corporation Error recovery and control in a mass storage system
DE3526671A1 (de) * 1985-07-25 1987-01-29 Man Technologie Gmbh Antriebsstrang fuer kraftfahrzeuge
DE3730110A1 (de) * 1987-09-08 1989-03-16 Siemens Ag Druckeinrichtung mit einem elektrothermisch betriebenen druckkopf
JPH05257676A (ja) * 1992-03-11 1993-10-08 Hitachi Ltd ステータス管理方法
GB2268292A (en) * 1992-06-16 1994-01-05 Ibm Error handling in a state-free system
US5335979A (en) * 1992-10-09 1994-08-09 Mitsubishi Denki Kabushiki Kaisha Control device for vehicle including anti-skid braking system and power steering control system
US5581690A (en) * 1993-06-29 1996-12-03 Digital Equipment Corporation Method and apparatus for preventing the use of corrupt data in a multiple disk raid organized storage system
SE510029C2 (sv) * 1995-10-03 1999-04-12 Volvo Ab Diagnossystem i ett driftsystem för motorer jämte en diagnosfunktionsmodul (DF-modul) i ett driftsystem för motorer
US5948107A (en) * 1997-05-28 1999-09-07 Intel Corporation Method of handling errors in complex inheritance hierarchies
DE19731116A1 (de) * 1997-07-19 1999-01-28 Bosch Gmbh Robert Steuergerät für ein System und Verfahren zum Betrieb eines Steuergerätes
JP2000295238A (ja) * 1999-04-06 2000-10-20 Canon Inc ワイヤレス通信装置、その通信制御方法および記憶媒体
JP2001209561A (ja) * 2000-01-27 2001-08-03 Mitsubishi Electric Corp 異常処理方式及び異常処理方法
ATE454605T1 (de) * 2000-02-03 2010-01-15 Honeywell Int Inc Vorrichtung und verfahren für ein höhenmesssystem
US6808041B2 (en) * 2000-02-11 2004-10-26 Delphi Technologies, Inc. Method and system for providing secondary vehicle directional control through braking
US6654909B1 (en) * 2000-06-30 2003-11-25 Intel Corporation Apparatus and method for protecting critical resources against soft errors in high performance microprocessors
IT1320553B1 (it) * 2000-07-25 2003-12-10 Magneti Marelli Spa Dispositivo di controllo di una frizione di un veicolo.
JP2002135410A (ja) * 2000-10-26 2002-05-10 Kddi Research & Development Laboratories Inc アクセスネットワークシステム
EP1206120A1 (de) * 2000-11-10 2002-05-15 GRETAG IMAGING Trading AG Verminderung von Artefakten bei reproduzierten Bildern
DE10059758A1 (de) * 2000-11-30 2002-06-20 Bosch Gmbh Robert Verfahren zum Empfangen von Daten
ATE321723T1 (de) * 2001-09-03 2006-04-15 Inventio Ag Situationsabhängige reaktion im falle einer störung im bereich einer türe eines aufzugsystems
US7120901B2 (en) * 2001-10-26 2006-10-10 International Business Machines Corporation Method and system for tracing and displaying execution of nested functions
US7159217B2 (en) * 2001-12-20 2007-01-02 Cadence Design Systems, Inc. Mechanism for managing parallel execution of processes in a distributed computing environment
US6882918B2 (en) * 2001-12-27 2005-04-19 Caterpillar Inc Electric drive management system and method
EP1367488B1 (de) * 2002-05-31 2006-04-26 Sap Ag Verfahren und Rechneranordnung für vernetzte Aufgabenverwaltung
JP4143366B2 (ja) * 2002-08-29 2008-09-03 東芝三菱電機産業システム株式会社 プラント制御システム
DE10302054B4 (de) * 2003-01-21 2018-10-25 Robert Bosch Gmbh Verfahren zum Betreiben einer Brennkraftmaschine
US7245995B2 (en) * 2003-02-19 2007-07-17 Robert Bosch Gmbh Fault-tolerant vehicle stability control
DE10309815A1 (de) * 2003-03-05 2004-09-23 Francotyp-Postalia Ag & Co. Kg Verfahren zum Datenaustausch zwischen Datenverarbeitungseinheiten
US7117119B2 (en) * 2003-08-01 2006-10-03 Invensys Systems, Inc System and method for continuous online safety and reliability monitoring
US7933794B2 (en) * 2003-10-30 2011-04-26 International Business Machines Corporation Method and system for active monitoring of dependency models
US7584382B2 (en) * 2004-02-19 2009-09-01 Microsoft Corporation Method and system for troubleshooting a misconfiguration of a computer system based on configurations of other computer systems
US8311697B2 (en) * 2004-07-27 2012-11-13 Honeywell International Inc. Impact assessment system and method for determining emergent criticality
CN1266628C (zh) * 2004-08-11 2006-07-26 北京四方继保自动化股份有限公司 电力自动化系统中关键应用模块的多备一的实现方法
DE102005009707A1 (de) * 2005-03-03 2006-09-07 Dr. Johannes Heidenhain Gmbh Modulares numerisches Steuergerät
US20060290200A1 (en) * 2005-06-24 2006-12-28 Davison Kent E Wheel-end mounted multipurpose acceleration sensing device
US8600605B2 (en) * 2006-01-30 2013-12-03 GM Global Technology Operations LLC Distributed diagnostics architecture

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009020151A1 (de) * 2009-05-06 2010-11-11 Siemens Aktiengesellschaft Verfahren zur Ermittlung und Bewertung von Kenngrößen einer elektrischen Energieversorgung
WO2011000876A1 (de) * 2009-07-01 2011-01-06 Robert Bosch Gmbh Diagnoseverfahren zum durchführen einer diagnose eines systems
US9021305B2 (en) 2012-10-17 2015-04-28 International Business Machines Corporation Processing main cause errors and sympathetic errors in devices in a system
US9026852B2 (en) 2012-10-17 2015-05-05 International Business Machines Corporation Processing main cause errors and sympathetic errors in devices in a system
US9361174B2 (en) 2012-10-17 2016-06-07 International Business Machines Corporation Processing main cause errors and sympathetic errors in devices in a system
US9959163B2 (en) 2012-10-17 2018-05-01 International Business Machines Corporation Processing main cause errors and sympathetic errors in devices in a system
DE102022105248A1 (de) 2022-03-07 2023-09-07 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum bestimmen von obd-konformität eines ausgabesignals

Also Published As

Publication number Publication date
JP5319534B2 (ja) 2013-10-16
WO2008040641A2 (de) 2008-04-10
CN101535960A (zh) 2009-09-16
EP2078253A2 (de) 2009-07-15
JP2010505165A (ja) 2010-02-18
CN101535960B (zh) 2014-12-03
WO2008040641A3 (de) 2008-08-28
US20100218047A1 (en) 2010-08-26

Similar Documents

Publication Publication Date Title
DE102006046399A1 (de) Verfahren und Vorrichtung zur Fehlerverwaltung
EP1600831B1 (de) Verfahren und Vorrichtung zur Überwachung mehrerer Steuergeräte mittels einer Frage-Antwort-Kommunikation
EP2534011B1 (de) Fahrzeug-sensor-knoten
DE19933086B4 (de) Verfahren und Vorrichtung zur gegenseitigen Überwachung von Steuereinheiten
DE102005014550B4 (de) Brake By-Wire Steuersystem
EP0610316B1 (de) Verfahren und vorrichtung zur fehlerbehandlung in elektronischen steuergeräten
DE10223880B4 (de) Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems
EP1040028B1 (de) Verfahren zur fehlererkennung von mikroprozessoren in steuergeräten eines kfz
EP1597643A1 (de) Vorrichtung und verfahren zur modellbasierten on-board-diagnose
EP2099667B2 (de) Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems
EP3661819B1 (de) Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium
DE19500188B4 (de) Schaltungsanordnung für eine Bremsanlage
DE102008009652A1 (de) Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor
EP1733284B1 (de) Ablaufsteuerung von funktionen auf miteinander wechselwirkenden geräten
EP3470937A1 (de) Verfahren und vorrichtungen zum überwachen der reaktionszeit einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
DE102017123910A1 (de) Verfahren und Vorrichtung zum Überwachen der Sicherheitsintegrität einer durch ein Sicherheitssystem bereitgestellten Sicherheitsfunktion
DE102012212680A1 (de) Verfahren und System zur fehlertoleranten Steuerung von Stellgliedern für eine begrenzte Zeit auf der Grundlage von vorberechneten Werten
EP1649373A2 (de) Verfahren und vorrichtung zur berwachung eines verteilten s ystems
DE102019203783B4 (de) Verfahren, Programm und System zur Verwendung von Signalqualitätsanforderungen im Rahmen von Sicherheitskonzepten
DE102019203775B4 (de) Verfahren und Vorrichtung zur Verwendung der Fehlerfortpflanzung
DE102006020793A1 (de) Schaltungsanordnung und Verfahren zum Betrieb einer Schaltungsanordnung
DE102011011224A1 (de) Steuergeräteanordnung
DE102005031724B4 (de) Verfahren und Vorrichtung zur Diagnose von elektronischen Systemen eines Kraftfahrzeugs
DE102016116751A1 (de) Bussystem zum Realisieren einer elektronischen Steuerung oder einer elektrischen Regelung sowie Fahrzeug
EP4187858A1 (de) Eine sekundärsteuereinheit für ein fahrzeug mit einer primärsteuereinheit und einem datenübertragungsweg

Legal Events

Date Code Title Description
R012 Request for examination validly filed

Effective date: 20130612

R016 Response to examination communication
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final