DE102007040554B4 - Verteilte Sicherheitsprüfung für Arithmetik-Logik-Einheit - Google Patents

Verteilte Sicherheitsprüfung für Arithmetik-Logik-Einheit Download PDF

Info

Publication number
DE102007040554B4
DE102007040554B4 DE102007040554.7A DE102007040554A DE102007040554B4 DE 102007040554 B4 DE102007040554 B4 DE 102007040554B4 DE 102007040554 A DE102007040554 A DE 102007040554A DE 102007040554 B4 DE102007040554 B4 DE 102007040554B4
Authority
DE
Germany
Prior art keywords
control module
processor
arithmetic
request
logic unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE102007040554.7A
Other languages
English (en)
Other versions
DE102007040554A1 (de
Inventor
William R. Mayhew
David W. Wright
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GM Global Technology Operations LLC
Original Assignee
GM Global Technology Operations LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GM Global Technology Operations LLC filed Critical GM Global Technology Operations LLC
Publication of DE102007040554A1 publication Critical patent/DE102007040554A1/de
Application granted granted Critical
Publication of DE102007040554B4 publication Critical patent/DE102007040554B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0286Modifications to the monitored process, e.g. stopping operation or adapting control
    • G05B23/0289Reconfiguration to prevent failure, e.g. usually as a reaction to incipient failure detection
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0224Process history based detection method, e.g. whereby history implies the availability of large amounts of data
    • G05B23/0227Qualitative history assessment, whereby the type of data acted upon, e.g. waveforms, images or patterns, is not relevant, e.g. rule based assessment; if-then decisions
    • G05B23/0237Qualitative history assessment, whereby the type of data acted upon, e.g. waveforms, images or patterns, is not relevant, e.g. rule based assessment; if-then decisions based on parallel systems, e.g. comparing signals produced at the same time by same type systems and detect faulty ones by noticing differences among their responses
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Chemical & Material Sciences (AREA)
  • Chemical Kinetics & Catalysis (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Fahrzeugdiagnosesystem, umfassend: ein erstes Steuermodul (40), das einen ersten Prozessor (46) umfasst und das ein erstes Fahrzeugsubsystem (22) steuert; und ein zweites Steuermodul (42), das ein zweites Fahrzeugsubsystem (24) steuert und das die Funktionsweise des ersten Prozessors (46) des ersten Steuermoduls (40) validiert, dadurch gekennzeichnet, dass das zweite Steuermodul (42) dann, wenn es bestimmt, dass der erste Prozessor (46) des ersten Steuermoduls (40) fehlerhaft ist, das erste Steuermodul (40) abschaltet, wobei der erste Prozessor (46) eine Arithmetik-Logik-Einheit (48) umfasst und wobei das zweite Steuermodul (42) die Funktionsweise der Arithmetik-Logik-Einheit (48) des ersten Prozessors (46) validiert, wobei das zweite Steuermodul (42) eine arithmetische Anforderung an das erste Steuermodul (40) sendet, eine Rückmeldung auf die Anforderung von dem ersten Steuermodul (40) empfängt und eine fehlerhafte Arithmetik-Logik-Einheit (48) erfasst, wenn die Rückmeldung nicht gleich einem vorgegebenen Ergebnis ist, wobei das zweite Steuermodul (42) das Senden einer arithmetischen Anforderung an das erste Steuermodul (40) und das Empfangen einer Rückmeldung auf die Anforderung von dem ersten Steuermodul (40) wiederholt und wobei das zweite Steuermodul (42) eine fehlerhafte Arithmetik-Logik-Einheit (48) erfasst, wenn die Rückmeldung für eine vorgegebene Anzahl von Malen nicht gleich einem vorgegebenen Ergebnis ist, wobei das zweite Steuermodul (42) das erste Steuermodul (40) abschaltet, indem es die Spannungsversorgung (16) für das erste Steuermodul (40) durch Senden eines Signals an ein System abschaltet.

Description

  • GEBIET
  • Die vorliegende Erfindung bezieht sich auf Fahrzeugdiagnosesysteme und insbesondere auf ein Diagnosesystem zum Reduzieren von Steuermodulbetriebsfehlern.
  • HINTERGRUND
  • Die Aussagen in diesem Abschnitt liefern lediglich Hintergrundinformationen bezüglich der vorliegenden Offenbarung und stellen nicht unbedingt den Stand der Technik dar.
  • Leaphart, E. G. et al.: Survey of Software Failsafe Techniques for Safety-Critical Automotive Applications, SAE World Congress, 2005, S. 1–16, ISSN 0148-7191 beschreibt eine Programmablaufüberwachung in einem verteilten System. DE 10 2005 037 403 A1 erwähnt Abhilfemaßnahmen, die ergriffen werden, wenn eine Funktionsprüfung zu dem Ergebnis führt, dass ein spezifisches Register und/oder eine Arithmetik-Logik-Einheit unrichtig arbeitet. US 6,636,790 B1 beschreibt eine Benachrichtigung eines Fahrzeugeigentümers, dass sein Fahrzeug eine Wartung benötigt, sowie eine Ferneinstellung eines Fahrzeugdiagnosesystems.
  • Es ist eine Aufgabe der Erfindung ein Fahrzeugdiagnosesystem und ein Verfahren zum Erfassen einer fehlerhaften Arithmetik-Logik-Einheit (ALU) anzugeben, das zuverlässiger arbeitet und im Fehlerfall ein rasches Abschalten eines fehlerbehafteten Steuermoduls sicherstellt.
  • Die Aufgabe wird gelöst durch die Gegenstände der unabhängigen Ansprüche 1 und 9.
  • Um zunächst auf 1 Bezug zu nehmen, steuern ein oder mehrere Steuermodule 10 verschiedene Subsysteme eines Fahrzeugs. Ein Steuermodul 10 umfasst typischerweise einen Primärprozessor 12, der eine Arithmetik-Logik-Einheit (ALU) umfasst, die für eine breite Vielfalt arithmetischer Berechnungen Ergebnisse berechnen kann. Die berechneten Ergebnisse werden durch eine Software dazu verwendet, die verschiedenen elektrischen und/oder mechanischen Komponenten des Subsystems zu steuern.
  • Manche herkömmlichen Steuermodule 10 umfassen einen Sekundärprozessor 14. Der Zweck des Sekundärprozessors 14 besteht darin, eine Sicherheitsprüfung für die ALU des Primärprozessors 12 vorzusehen. Beispielsweise kann der Sekundärprozessor 14 periodisch eine arithmetische Anforderung zu dem Primärprozessor 12 übertragen. Der Primärprozessor 12 antwortet durch Übertragen eines berechneten Ergebnisses. Der Sekundärprozessor 14 vergleicht das berechnete Ergebnis mit einem erwarteten Ergebnis. Wenn das berechnete Ergebnis gleich dem erwarteten Ergebnis ist, bestimmt der Sekundärprozessor 14, dass die ALU des Primärprozessors 12 korrekt arbeitet. Andernfalls, wenn das berechnete Ergebnis nicht gleich dem erwarteten Ergebnis ist, wird die ALU des Primärprozessors 12 als fehlerhaft bestimmt. Der Sekundärprozessor 14 sperrt den Primärprozessor 12, indem er die Leistung für den Primärprozessor 12 von einer Leistungsversorgung 16 abschaltet.
  • Diese Art von Sicherheitsprüfung wird für die meisten eingebetteten Echtzeit-Steuersysteme gefordert. Das Bereitstellen eines Sekundärprozessors kommt zu den Gesamtkosten der Herstellung des Steuermoduls 10 hinzu.
  • ZUSAMMENFASSUNG
  • Demgemäß wird ein Fahrzeugdiagnosesystem geschaffen. Das System umfasst: ein erstes Steuermodul, das einen ersten Prozessor umfasst und das ein erstes Fahrzeugsubsystem steuert, und ein zweites Steuermodul, das ein zweites Fahrzeugsubsystem steuert und das die Funktionsweise des ersten Prozessors des ersten Steuermoduls validiert, wobei das zweite Steuermodul dann, wenn es bestimmt, dass der erste Prozessor des ersten Steuermoduls fehlerhaft ist, das erste Steuermodul abschaltet.
  • Ferner wird ein Verfahren zum Erfassen einer fehlerhaften Arithmetik-Logik-Einheit (ALU) eines ersten Steuermoduls durch ein zweites Steuermodul geschaffen. Das Verfahren umfasst: durch das zweite Steuermodul Übertragen einer arithmetischen Anforderung zu dem ersten Steuermodul, durch das zweite Steuermodul Empfangen einer Rückmeldung von dem ersten Steuermodul, die ein Ergebnis auf die arithmetische Anforderung umfasst, und durch das zweite Steuermodul Senden eines Signals zum Erzwingen eines Abschaltens des ersten Steuermoduls, wenn die Rückmeldung nicht gleich einem vorgegebenen Ergebnis ist.
  • Weitere Anwendungsgebiete werden aus der hier gegebenen Beschreibung deutlich. Selbstverständlich sind die Beschreibung und die spezifischen Beispiele lediglich zum Zweck der Veranschaulichung gedacht und nicht dazu gedacht, den Schutzumfang der vorliegenden Offenbarung zu begrenzen.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Die hier beschriebenen Zeichnungen sind lediglich zur Veranschaulichung gedacht und sollen den Schutzumfang der vorliegenden Offenbarung in keiner Weise begrenzen. In den Zeichnungen zeigen:
  • 1 einen Blockschaltplan eines Sicherheitsprüfsystems für eine Arithmetik-Logik-Einheit (ALU) eines Steuermoduls gemäß dem Stand der Technik;
  • 2 einen Blockschaltplan eines beispielhaften Fahrzeugs, das ein verteiltes ALU-Sicherheitsprüfsystem enthält;
  • 3 einen ausführlichen Blockschaltplan eines verteilten ALU-Sicherheitsprüfsystems;
  • 4 einen Ablaufplan, der ein Verfahren erläutert, das durch ein zweites Steuermodul des verteilten ALU-Sicherheitsprüfsystems ausgeführt wird; und
  • 5 einen Ablaufplan, der ein Verfahren erläutert, das durch ein erstes Steuermodul des verteilten ALU-Sicherheitsprüfsystems ausgeführt wird.
  • DETAILLIERTE BESCHREIBUNG
  • Die folgende Beschreibung ist dem Wesen nach lediglich beispielhaft und soll die Offenbarung, ihre Anwendung oder Verwendungen nicht einschränken. Selbstverständlich geben in den gesamten Zeichnungen entsprechende Bezugszeichen gleiche oder entsprechende Teile und Merkmale an. Der Begriff Modul, wie er hier verwendet wird, bezieht sich auf eine anwendungsspezifische integrierte Schaltung (ASIC), eine elektronische Schaltung, einen Prozessor (gemeinsam genutzt, zugeordnet oder für eine Gruppe) und einen Speicher, die ein oder mehrere Software- oder Firmwareprogramme ausführen, eine kombinatorische Logikschaltung und/oder andere geeignete Komponenten, die die beschriebene Funktionalität verschaffen.
  • In 2 umfasst nun ein Fahrzeug 20 einen Motor 22, ein Getriebe 24 und einen Drehmomentwandler 26. Der Motor 22 verbrennt ein Gemisch aus Luft und Kraftstoff in Zylindern (nicht gezeigt), um ein Antriebsdrehmoment zu erzeugen. Durch eine Drosselklappe 28 wird Luft in den Motor angesaugt. Der Drehmomentwandler 26 überträgt und vervielfacht das Drehmoment von dem Motor 22 zu dem Getriebe 24. Das Getriebe 24 umfasst einen oder mehrere Zahnradsätze, die das Drehmoment auf einer gewünschten Drehzahl basierend zu einem Antriebsstrang (nicht gezeigt) übertragen.
  • Das Fahrzeug 20 umfasst ferner zwei oder mehr Steuermodule, die verschiedene Subsysteme in dem Fahrzeug steuern. Der Prozessor eines Steuermoduls kann verwendet werden, um eine ALU-Sicherheitsprüfung an dem Prozessor des anderen Steuermoduls auszuführen, und umgekehrt. Wie beispielsweise in 2 gezeigt ist, steuert ein Motorsteuermodul 30 den Betrieb des Motors 22. Ein Getriebesteuermodul 32 steuert den Betrieb des Getriebes 24 und/oder des Drehmomentwandlers 26. Das Motorsteuermodul 30 und das Getriebesteuermodul 32 kommunizieren über ein Controller-Bereichsnetz (controller area network, CAN) 34. Wohlgemerkt können verschiedene Kommunikationsprotokolle verwendet werden, um die Kommunikation zwischen den Steuermodulen 30 und 32 zu vereinfachen. Das Getriebesteuermodul 32 führt die ALU-Sicherheitsprüfung für das Motorsteuermodul 30 aus und umgekehrt. Daher ist das ALU-Sicherheitsprüfsystem auf zwei oder mehr Steuermodule verteilt, wodurch sich ein Sekundärprozessor in jedem Steuermodul 30 und 32 erübrigt.
  • In 3 ist nun ein verteiltes ALU-Sicherheitssystem ausführlicher gezeigt. Ein erstes Steuermodul 40 kommuniziert elektronisch über ein Kommunikationsnetz 44 mit einem zweiten Steuermodul 42. Das erste Steuermodul 40 umfasst einen ersten Prozessor 46 und eine erste ALU 48. Das zweite Steuermodul 42 umfasst wenigstens einen zweiten Prozessor 52 und eine wenigstens eine zweite ALU 50. Das zweite Steuermodul 42 kann ein unabhängiges Sicherungssystem sein, das einen Sekundärprozessor (nicht gezeigt) zum Ausführen seiner eigenen ALU-Sicherheitsprüfung umfasst. In verschiedenen anderen Ausführungsformen stützt sich das zweite Steuermodul 42 auf das verteilte ALU-Sicherheitsprüfsystem, um die zweite ALU 50 zu diagnostizieren. Der Einfachheit der Erläuterung halber wird das zweite Steuermodul von 3 als Sicherungssystem erläutert.
  • Das erste Steuermodul 40 berechnet verschiedene arithmetische Ergebnisse, die ein erstes Fahrzeugsubsystem steuern. Das zweite Steuermodul 42 arbeitet ähnlich wie das erste Steuermodul 40 und steuert ein zweites Fahrzeugsubsystem. Das zweite Steuermodul 42 überträgt ein Anforderungssignal, das ein vorgegebenes Ergebnis zu einer vorgegebenen Gleichung, Formel und/oder Funktion anfordert. Das erste Steuermodul 40 berechnet das Ergebnis und überträgt die Antwort zu dem zweiten Steuermodul 42. Das zweite Steuermodul 42 vergleicht die Antwort mit einem vorgegebenen Ergebnis. Wenn das berechnete Ergebnis nicht gleich dem erwarteten Ergebnis ist, bestimmt das zweite Steuermodul 42 die erste ALU 48 als fehlerhaft.
  • Danach kann das zweite Steuermodul 42 die Spannungsversorgung für das erste Steuermodul 40 abschalten, was das erste Subsystem dazu zwingt, in einer Vorgabe-Betriebsart zu arbeiten. In verschiedenen Ausführungsformen kann das zweite Steuermodul 42 das erste Steuermodul 40 durch einen internen, jedoch unabhängigen Prozess in dem ersten Steuermodul 40 (nicht gezeigt) oder durch ein von dem ersten Steuermodul 40 getrenntes externes Verfahren abschalten, wie in 3 gezeigt ist. In verschiedenen anderen Ausführungsformen kann das zweite Steuermodul 42 dem ersten Steuermodul 40 ein Rücksetzen im Betrieb befehlen, wodurch das Rücksetzen des ersten Subsystems veranlasst wird.
  • 4 ist ein Ablaufplan, der ein Verfahren erläutert, das durch das zweite Steuermodul 42 des verteilten ALU-Sicherheitsprüfsystems ausgeführt wird. Das Verfahren kann periodisch abgewickelt werden, während das Fahrzeug 20 eingeschaltet ist. In verschiedenen anderen Ausführungsformen kann das Verfahren bei einer Initiierung durch eine externe Anforderung abgewickelt werden. Beispielsweise kann ein Fahrzeugtechniker ein Diagnosewerkzeug mit dem Fahrzeug verbinden und eine ALU-Validitätsprüfungsanforderung erzeugen, die das Verfahren einleitet.
  • Die Steuerung überträgt bei 100 eine Anforderung zum Berechnen einer vorgegebenen arithmetischen Operation. Die Steuerung empfängt bei 110 eine Antwort auf die Anforderung, die ein berechnetes Ergebnis umfasst. Die Steuerung vergleicht bei 120 das berechnete Ergebnis mit einem vorgegebenen erwarteten Ergebnis. Wenn das berechnete Ergebnis gleich dem erwarteten Ergebnis ist, bestimmt die Steuerung, dass die erste ALU korrekt arbeitet. Wenn das berechnete Ergebnis nicht gleich dem erwarteten Ergebnis ist, bestimmt die Steuerung die ALU-Funktionsweise des ersten Steuermoduls als fehlerhaft. Bei 130 wird ein Fehlerzähler inkrementiert. Wenn der Fehlerzähler bei 140 einen vorgegebenen Schwellenwert überschreitet, sperrt die Steuerung bei 150 das erste Steuermodul.
  • 5 ist ein Ablaufplan, der ein Verfahren erläutert, das durch das erste Steuermodul des verteilten ALU-Sicherheitsprüfsystems abgewickelt wird. Das Verfahren kann auf der von dem zweiten Steuermodul empfangenen Anforderung basierend eingeleitet werden. Die Steuerung empfangt bei 200 eine Anforderung zum Ausführen einer vorgegebenen Berechnung. Die Steuerung berechnet bei 210 auf der Grundlage der vorgegebenen Berechnung eine Antwort. Die Steuerung überträgt die vorgegebene Berechnung bei 220.
  • Sobald die ALU des ersten Steuermoduls als fehlerhaft bestimmt wird, kann ein Diagnosecode, der den Fehler angibt, gesetzt werden. In verschiedenen Ausführungsformen kann der Diagnosecode von einem Wartungstechniker über ein mit dem Fahrzeug verbundenes technisches Werkzeug abgerufen werden. In verschiedenen anderen Ausführungsformen kann der Diagnosecode drahtlos zu einem fernen Techniker übertragen werden. In verschiedenen weiteren Ausführungsformen kann über ein Armaturenbrett des Fahrzeugs ein hörbares oder sichtbares Warnsignal erzeugt werden, um dem Fahrer anzugeben, dass eine Fehlfunktion des Fahrzeugs eingetreten ist.

Claims (14)

  1. Fahrzeugdiagnosesystem, umfassend: ein erstes Steuermodul (40), das einen ersten Prozessor (46) umfasst und das ein erstes Fahrzeugsubsystem (22) steuert; und ein zweites Steuermodul (42), das ein zweites Fahrzeugsubsystem (24) steuert und das die Funktionsweise des ersten Prozessors (46) des ersten Steuermoduls (40) validiert, dadurch gekennzeichnet, dass das zweite Steuermodul (42) dann, wenn es bestimmt, dass der erste Prozessor (46) des ersten Steuermoduls (40) fehlerhaft ist, das erste Steuermodul (40) abschaltet, wobei der erste Prozessor (46) eine Arithmetik-Logik-Einheit (48) umfasst und wobei das zweite Steuermodul (42) die Funktionsweise der Arithmetik-Logik-Einheit (48) des ersten Prozessors (46) validiert, wobei das zweite Steuermodul (42) eine arithmetische Anforderung an das erste Steuermodul (40) sendet, eine Rückmeldung auf die Anforderung von dem ersten Steuermodul (40) empfängt und eine fehlerhafte Arithmetik-Logik-Einheit (48) erfasst, wenn die Rückmeldung nicht gleich einem vorgegebenen Ergebnis ist, wobei das zweite Steuermodul (42) das Senden einer arithmetischen Anforderung an das erste Steuermodul (40) und das Empfangen einer Rückmeldung auf die Anforderung von dem ersten Steuermodul (40) wiederholt und wobei das zweite Steuermodul (42) eine fehlerhafte Arithmetik-Logik-Einheit (48) erfasst, wenn die Rückmeldung für eine vorgegebene Anzahl von Malen nicht gleich einem vorgegebenen Ergebnis ist, wobei das zweite Steuermodul (42) das erste Steuermodul (40) abschaltet, indem es die Spannungsversorgung (16) für das erste Steuermodul (40) durch Senden eines Signals an ein System abschaltet.
  2. Fahrzeugdiagnosesystem nach Anspruch 1, bei dem das erste Steuermodul (40) eine arithmetische Anforderung empfängt, auf der Grundlage der Anforderung eine Rückmeldung berechnet und die Rückmeldung zu dem zweiten Steuermodul (42) überträgt.
  3. Fahrzeugdiagnosesystem nach Anspruch 1, bei dem das zweite Steuermodul (42) ein Abschalten des ersten Steuermoduls (40) vornimmt, indem es die Spannungsversorgung (16) für das erste Steuermodul (40) durch ein System außerhalb des ersten Steuermoduls (40) abschaltet.
  4. Fahrzeugdiagnosesystem nach Anspruch 1, bei dem das zweite Steuermodul (42) ein Rücksetzen des ersten Steuermoduls (40) im Betrieb befiehlt.
  5. Fahrzeugdiagnosesystem nach Anspruch 1, bei dem das zweite Steuermodul (42) einen Diagnosecode setzt, wenn der erste Prozessor (46) als fehlerhaft bestimmt wird.
  6. Fahrzeugdiagnosesystem nach Anspruch 1, bei dem das zweite Steuermodul (42) ein Signal zum Einschalten einer Anzeigeleuchte sendet, wenn der erste Prozessor (46) als fehlerhaft bestimmt wird.
  7. Fahrzeugdiagnosesystem nach Anspruch 1, bei dem das zweite Steuermodul (42) ein Signal zum Initiieren eines hörbaren Warnsig nals sendet, wenn der erste Prozessor (46) als fehlerhaft bestimmt wird.
  8. Fahrzeugdiagnosesystem nach Anspruch 1, bei dem das zweite Steuermodul (42) den Diagnosecode gemäß einem Drahtlosprotokoll zu einem entfernten Ort überträgt.
  9. Verfahren zum Erfassen einer fehlerhaften Arithmetik-Logik-Einheit (48) eines ersten Steuermoduls (40) durch ein zweites Steuermodul (42), das umfasst: durch das zweite Steuermodul (42), Übertragen einer arithmetischen Anforderung zu dem ersten Steuermodul (40); durch das zweite Steuermodul (42), Empfangen einer Antwort von dem ersten Steuermodul (40), die ein Ergebnis auf die arithmetische Anforderung umfasst; und durch das zweite Steuermodul (42), Senden eines Signals zum Erzwingen eines Abschaltens (12) der Stromversorgung des ersten Steuermoduls (40), wenn die Rückmeldung nicht gleich einem vorgegebenen Ergebnis ist, wobei das Verfahren ferner umfasst: durch das erste Steuermodul (40), Empfangen der arithmetischen Anforderung von dem zweiten Steuermodul (42); Berechnen einer Antwort auf der Grundlage der arithmetischen Anforderung; und Übertragen einer Rückmeldung, die die Antwort umfasst, zu dem zweiten Steuermodul (42), wobei das Verfahren ferner das Wiederholen des Übertragens und des Sendens für eine vorgegebene Anzahl von Malen umfasst, wobei das Senden eines Signals zum Abschalten des ersten Steuermoduls (40) erfolgt, wenn die Rückmeldung für eine vorgegebene Anzahl von Malen nicht gleich einem vorgegebenen Ergebnis ist.
  10. Verfahren nach Anspruch 9, das ferner das Betreiben des Fahrzeugs (20) in einer Vorgabe-Betriebsart, sobald das erste Steuermodul (40) abgeschaltet ist, umfasst.
  11. Verfahren nach Anspruch 9, das ferner das Setzen eines Diagnosecodes, wenn der erste Prozessor (46) als fehlerhaft bestimmt wird, umfasst.
  12. Verfahren nach Anspruch 9, das ferner das Senden eines Signals zum Einschalten einer Anzeigeleuchte, wenn die Rückmeldung nicht gleich einem vorgegebenen Ergebnis ist, umfasst.
  13. Verfahren nach Anspruch 9, das ferner das Senden eines Signals zum Initiieren eines hörbaren Warnsignals, wenn die Rückmeldung nicht gleich einem vorgegebenen Ergebnis ist, umfasst.
  14. Verfahren nach Anspruch 11, das ferner das Übertragen des Diagnosecodes gemäß einem Drahtlosprotokoll zu einem entfernten Ort umfasst.
DE102007040554.7A 2006-08-31 2007-08-28 Verteilte Sicherheitsprüfung für Arithmetik-Logik-Einheit Expired - Fee Related DE102007040554B4 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US84161006P 2006-08-31 2006-08-31
US60/841,610 2006-08-31
US11/758,762 US7933696B2 (en) 2006-08-31 2007-06-06 Distributed arithmetic logic unit security check
US11/758,762 2007-06-06

Publications (2)

Publication Number Publication Date
DE102007040554A1 DE102007040554A1 (de) 2008-04-17
DE102007040554B4 true DE102007040554B4 (de) 2018-04-05

Family

ID=39152950

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102007040554.7A Expired - Fee Related DE102007040554B4 (de) 2006-08-31 2007-08-28 Verteilte Sicherheitsprüfung für Arithmetik-Logik-Einheit

Country Status (3)

Country Link
US (1) US7933696B2 (de)
CN (1) CN101221444B (de)
DE (1) DE102007040554B4 (de)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8386101B2 (en) * 2007-11-07 2013-02-26 GM Global Technology Operations LLC Detecting program flow fault in torque security software for hybrid vehicle electric drive system
US20090125171A1 (en) * 2007-11-08 2009-05-14 Gm Global Technology Operations, Inc. Processor security diagnostics for hybrid vehicle electric motor control system
US8412425B2 (en) * 2009-02-12 2013-04-02 Eaton Corporation Transmission control module
DE102009026741A1 (de) * 2009-06-04 2011-02-03 Robert Bosch Gmbh Elektronisches Steuersystem und Verfahren zum Prüfen der korrekten Funktion einer Recheneinheit in einem elektronischen Steuersystem
EP2525064A4 (de) * 2010-01-15 2014-07-30 Toyota Motor Co Ltd System mit variablem ventilarbeitswinkel
US8831821B2 (en) 2010-12-17 2014-09-09 GM Global Technology Operations LLC Controller area network message transmission disable testing systems and methods
US8583305B2 (en) * 2011-03-31 2013-11-12 GM Global Technology Operations LLC System and method for detecting vehicle wake-up failure
US9122662B2 (en) 2011-06-01 2015-09-01 James Mason Faucett Processor safety test control systems and methods
AT515454A3 (de) * 2013-03-14 2018-07-15 Fts Computertechnik Gmbh Verfahren zur Behandlung von Fehlern in einem zentralen Steuergerät sowie Steuergerät
GB2528443B (en) 2014-07-21 2016-12-14 Ibm Checking arithmetic computations
EP3477649A1 (de) 2017-10-31 2019-05-01 Tecpharma Licensing AG Sicherheitskritische arzneimittelabgabeparameterbestimmung
JP7347380B2 (ja) * 2020-09-09 2023-09-20 トヨタ自動車株式会社 処理装置、通信システム、及び処理装置用プログラム

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6636790B1 (en) 2000-07-25 2003-10-21 Reynolds And Reynolds Holdings, Inc. Wireless diagnostic system and method for monitoring vehicles
DE102005037403A1 (de) 2004-08-13 2006-03-09 General Motors Corp., Detroit Verfahren zum Überprüfen der Funktionsfähigkeit der Arithmetik-Logik-Einheit (ALU) eines Steuermoduls

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4799159A (en) * 1985-05-30 1989-01-17 Honeywell Inc. Digital automatic flight control system with disparate function monitoring
US4964506A (en) * 1988-04-29 1990-10-23 Chrysler Corporation Pressure balanced pistons in an automatic transmission
GB2290891B (en) * 1994-06-29 1999-02-17 Mitsubishi Electric Corp Multiprocessor system
US5941612A (en) * 1996-05-17 1999-08-24 Kelsey-Hayes Company Method and apparatus for testing an ABS electronic control unit microprocessor
JP3166634B2 (ja) * 1996-11-07 2001-05-14 日産自動車株式会社 車両用制御装置の故障記憶装置
DE19844623A1 (de) * 1998-09-29 2000-03-30 Zahnradfabrik Friedrichshafen Verfahren zur Reduzierung der thermischen Belastung eines Automatgetriebes für ein Kraftfahrzeug in einem Notfahrbetrieb
DE19921846A1 (de) * 1999-05-11 2000-11-23 Bosch Gmbh Robert Diagnosetestvorrichtung mit portablem Prüfgerät für Kraftfahrzeuge
US6944779B2 (en) * 1999-07-14 2005-09-13 Visteon Global Technologies, Inc. Power management fault strategy for automotive multimedia system
US6367022B1 (en) * 1999-07-14 2002-04-02 Visteon Global Technologies, Inc. Power management fault strategy for automotive multimedia system
DE19957151B4 (de) * 1999-11-27 2006-06-01 Daimlerchrysler Ag Schaltvorrichtung
DE19964419B4 (de) * 1999-11-27 2008-11-20 Daimler Ag Schaltvorrichtung
JP2002158668A (ja) * 2000-11-17 2002-05-31 Denso Corp 車両用ネットワークシステムの異常検出装置
JP4399987B2 (ja) * 2001-01-25 2010-01-20 株式会社デンソー 車両統合制御におけるフェイルセーフシステム
EP1401690A1 (de) 2001-03-15 2004-03-31 Robert Bosch Gmbh Verfahren zur ansteuerung einer komponente eines verteilten sicherheitsrelevanten systems
ES2295456T3 (es) * 2001-12-11 2008-04-16 CONTINENTAL TEVES AG & CO. OHG Sistemas de ordenadores de control redundante, conjunto de ordenadores para aplicaciones criticas en vehiculos automoviles, asi como su uso.
JP3881901B2 (ja) * 2002-02-04 2007-02-14 ボッシュ株式会社 車両用故障診断システム
CN1472089A (zh) * 2002-08-02 2004-02-04 三菱电机株式会社 车辆用控制装置
JP4559858B2 (ja) * 2002-09-04 2010-10-13 ルーク ラメレン ウント クツプルングスバウ ベタイリグングス コマンディートゲゼルシャフト 無段伝動装置においてスリップ閉ループ制御を実施する方法および装置
EP1496435A1 (de) * 2003-07-11 2005-01-12 Yogitech Spa Gesicherte Mikrokontroller, Verfahren zum Entwurf eines gesichertes Mikrokontrollers, und Computerprogrammprodukt dafür
DE10331872A1 (de) 2003-07-14 2005-02-10 Robert Bosch Gmbh Verfahren zur Überwachung eines technischen Systems
KR100747303B1 (ko) * 2005-11-11 2007-08-07 현대자동차주식회사 하이브리드 차량의 페일 세이프티 제어 시스템

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6636790B1 (en) 2000-07-25 2003-10-21 Reynolds And Reynolds Holdings, Inc. Wireless diagnostic system and method for monitoring vehicles
DE102005037403A1 (de) 2004-08-13 2006-03-09 General Motors Corp., Detroit Verfahren zum Überprüfen der Funktionsfähigkeit der Arithmetik-Logik-Einheit (ALU) eines Steuermoduls

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
LEAPHART, E.G. (et al.): Survey of Software Failsafe Techniques for Safety-Critical Automotive Applications. In: SAE Technical Paper Series, 2005 SAE World Congress, 2005, S. 1-16. - ISSN 0148-7191

Also Published As

Publication number Publication date
CN101221444B (zh) 2013-03-06
DE102007040554A1 (de) 2008-04-17
US7933696B2 (en) 2011-04-26
US20080059016A1 (en) 2008-03-06
CN101221444A (zh) 2008-07-16

Similar Documents

Publication Publication Date Title
DE102007040554B4 (de) Verteilte Sicherheitsprüfung für Arithmetik-Logik-Einheit
DE102011014142A1 (de) Fahrzeugsteuervorrichtung für eine CAN-Kommunikation und Diagnoseverfahren hierfür
EP1600831B1 (de) Verfahren und Vorrichtung zur Überwachung mehrerer Steuergeräte mittels einer Frage-Antwort-Kommunikation
DE102017210859A1 (de) Verfahren zur Selbstüberprüfung von Fahrfunktionen eines autonomen oder teilautonomen Fahrzeuges
DE102010053565A1 (de) Selbsttestsysteme und Verfahren
DE102008003198A1 (de) Gesundheitszustand-Überwachungs- und Rücksetzverfahren und -Systeme für Fahrzeugeigene integrierte Einrichtungstreiberschaltkreise
DE102011082033A1 (de) Shift-By-Wire-System
DE102009044848A1 (de) Verfahren und Vorrichtung zum Bestätigen der Ausgabe von einem Sensor
EP0949122A2 (de) Für ein Kraftfahrzeug bestimmte Diagnose-Einrichtung und Verfahren zur Verminderung des Reparaturaufwandes bei Kraftfahrzeugen
DE102008048952A1 (de) Vorrichtung und Verfahren zur Steuerung einer elektrischen Lenkung
DE102007037616A1 (de) Verfahren und Anordnung zum Einfahren und Kalibrieren eines elektromechanischen Parkbremsensystem
DE102008034150A1 (de) Sicherheitsüberwachung mit Hilfe von Verbindungsleitungen zwischen Steuergeräten eines Kraftfahrzeugs
DE10321229B4 (de) Gegenkontrollierende Prozessoren für Antriebsstrangsteuerungssysteme, die eine dedizierte serielle Datenleitung verwenden
DE10120899B4 (de) Verfahren und Anordnung zur Überwachung und vom Ergebnis der Überwachung abhängigen Einstellung eines elektronisch-hydraulisch gesteuerten Fahrzeug-Automatgetriebes
WO2014161542A1 (de) Verfahren zur automatisierten inbetriebnahme eines getriebes eines kraftfahrzeuges
DE112014003279T5 (de) Verfahren, Systeme und Vorrichtungen zum Aufzeichnen und Übermitteln einer Identifikation von Information von Reifendrucküberwachungssensoren an ein Fahrzeug
EP1932699B1 (de) Verfahren zur Funktionsprüfung einer elektrischen Heizeinrichtung, insbesondere für ein Kraftfahrzeug
EP3649036B1 (de) Verfahren zum betrieb eines lenksystems und lenksystem
DE102012221277A1 (de) Fahrzeugsteuervorrichtung
EP1946976A2 (de) Erstes Steuergerät zur Bestimmung einer Gefährdung wenigstens eines Fahrzeuginsassen, zweites Steuergerät zur Ansteuerung eines elektromotorischen Gurtstraffers, Vorrichtung zur Ansteuerung eines elektromotorischen Gurtstraffers und Verfahren zur Ansteuerung eines elektromotorischen Gurtstraffers
DE102015113083B4 (de) Verfahren zum Auslösen eines Prüfungsprozesses bei einem Kupplungsaggregat, Kupplungsaggregat und Kraftfahrzeug
DE4302482B4 (de) Verfahren zur Prüfung eines elektronischen Steuergerätes mit Hilfe eines externen Diagnosegerätes
DE102006003147B4 (de) Verfahren zur Wiederherstellung der Kontrolle über eine sich fortwährend zurücksetzende Steuereinheit
DE102019203783B4 (de) Verfahren, Programm und System zur Verwendung von Signalqualitätsanforderungen im Rahmen von Sicherheitskonzepten
DE102015212702A1 (de) Verfahren zur Prüfung eines Zustandes eines Steuergerätes eines Kupplungsaktors

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8180 Miscellaneous part 1

Free format text: PFANDRECHT

8180 Miscellaneous part 1

Free format text: PFANDRECHT AUFGEHOBEN

8180 Miscellaneous part 1

Free format text: PFANDRECHT

8127 New person/name/address of the applicant

Owner name: GM GLOBAL TECHNOLOGY OPERATIONS LLC , ( N. D. , US

R081 Change of applicant/patentee

Owner name: GM GLOBAL TECHNOLOGY OPERATIONS LLC (N. D. GES, US

Free format text: FORMER OWNER: GM GLOBAL TECHNOLOGY OPERATIONS, INC., DETROIT, MICH., US

Effective date: 20110323

R018 Grant decision by examination section/examining division
R020 Patent grant now final
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee