DE102012207215A1 - Method and device for monitoring functions of a computer system, preferably an engine control system of a motor vehicle - Google Patents

Method and device for monitoring functions of a computer system, preferably an engine control system of a motor vehicle Download PDF

Info

Publication number
DE102012207215A1
DE102012207215A1 DE201210207215 DE102012207215A DE102012207215A1 DE 102012207215 A1 DE102012207215 A1 DE 102012207215A1 DE 201210207215 DE201210207215 DE 201210207215 DE 102012207215 A DE102012207215 A DE 102012207215A DE 102012207215 A1 DE102012207215 A1 DE 102012207215A1
Authority
DE
Germany
Prior art keywords
level
monitoring
safe mode
operated
arithmetic unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE201210207215
Other languages
German (de)
Inventor
Bernd Mueller
Carsten Gebauer
Volker Pitzal
Ruediger Deibert
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE201210207215 priority Critical patent/DE102012207215A1/en
Priority to PCT/EP2013/058382 priority patent/WO2013164224A2/en
Publication of DE102012207215A1 publication Critical patent/DE102012207215A1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/076Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Überwachung von Funktionen eines Rechnersystems, vorzugsweise eines Motorsteuersystems eines Kraftfahrzeuges, welches mindestens zwei Recheneinheiten (2, 3) aufweist, wobei wenigstens eine erste Recheneinheit (3) in einem abgesicherten Modus betrieben wird. Bei einem Verfahren, bei welchem die Unabhängigkeit zwischen überwachter Funktion und Überwachung gegeben ist, wird auf der in dem abgesicherten Modus betriebenen ersten Recheneinheit (3) eine Überwachungsebene (12) eines auf dem Rechnersystem (1) abgearbeiteten Rechenprogramms betrieben wird, welche eine Applikationsebene (11) des Rechenprogramms überwacht.The invention relates to a method for monitoring functions of a computer system, preferably an engine control system of a motor vehicle, which has at least two arithmetic units (2, 3), wherein at least one first arithmetic unit (3) is operated in a safe mode. In a method in which the independence between the monitored function and monitoring is given, a monitoring level (12) of a computer program (1) processed processing program is operated on the operated in the safe mode first computing unit (3), which an application level ( 11) of the computer program monitored.

Description

Stand der TechnikState of the art

Die Erfindung betrifft ein Verfahren zur Überwachung von Funktionen eines Rechnersystems, vorzugsweise eines Motorsteuersystems eines Kraftfahrzeuges, welches mindestens zwei Recheneinheiten aufweist, wobei wenigstens eine erste Recheneinheit in einem abgesicherten Modus betrieben wird.The invention relates to a method for monitoring functions of a computer system, preferably an engine control system of a motor vehicle, which has at least two arithmetic units, wherein at least one first arithmetic unit is operated in a safe mode.

In sicherheitstechnischen Anwendungen, insbesondere in Kraftfahrzeugen, ist es üblich, Funktionen des Rechenprogramms mit sicherheitsrelevanten Eigenschaften zu überwachen. Dazu werden speziell dafür vorgesehene Überwachungsfunktionen verwendet. Diese Überwachungsfunktionen plausibilisieren entweder die Ergebnisse der zu überwachenden Funktionen oder sie überprüfen kritische Ressourcen. Die Überwachungsfunktion selbst wird häufig als besonders wichtig und schützenswert eingestuft. Deshalb werden die Überwachungsfunktionen, wie beispielsweise in einem Dreiebenenkonzept, das bei der Motorsteuerung in Kraftfahrzeugen zur Anwendung kommt, selbst überwacht.In safety-related applications, in particular in motor vehicles, it is customary to monitor functions of the computer program with safety-relevant properties. For this purpose, specially provided monitoring functions are used. These monitoring functions either validate the results of the functions to be monitored or check critical resources. The monitoring function itself is often classified as particularly important and worthy of protection. Therefore, the monitoring functions are self-monitored, such as in a three-level concept used in engine control in automobiles.

Gemäß der DE 10 2005 037 230 A1 ist ein Verfahren zur Überwachung von Funktionen eines Rechnersystems mit wenigstens zwei Ausführungseinheiten bekannt, wobei zwischen wenigstens zwei Betriebsmodi der Ausführungseinheiten umgeschaltet wird und ein erster Betriebsmodus einem Vergleichsmodus entspricht, bei dem die beiden Ausführungseinheiten gleiche oder gleichartige Befehle, Programmsegmente oder Programme abarbeiten und Ausgangssignale der beiden Ausführungseinheiten miteinander verglichen werden und einem zweiten Betriebsmodus, der einen Performance-Modus entspricht, bei dem die Ausführungseinheiten unterschiedliche Befehle, Programmsegmente oder Programme parallel ausführen, und eine erste Funktion von einer zweiten Überwachungsfunktion überwacht wird. Die Überwachungsfunktion wird dabei im Vergleichsmodus auf mindestens zwei Ausführungseinheiten abgearbeitet. Dadurch wird die Überwachung weiter abgesichert. Allerdings ist dieses Verfahren nicht auf allen Rechnerarchitekturen durchführbar, da es eine Umschaltung zwischen den Betriebsmodi erfordert. According to the DE 10 2005 037 230 A1 a method for monitoring functions of a computer system having at least two execution units is known, wherein between at least two operating modes of the execution units is switched and a first operating mode corresponds to a comparison mode in which the two execution units execute the same or similar commands, program segments or programs and output signals of the two Execution units are compared and a second operating mode, which corresponds to a performance mode in which the execution units execute different commands, program segments or programs in parallel, and a first function is monitored by a second monitoring function. The monitoring function is executed in comparison mode on at least two execution units. This further safeguards the monitoring. However, this method is not feasible on all computer architectures, since it requires a switch between the operating modes.

Zukünftig sind insbesondere aufgrund der Gültigkeit der ISO 26262 verstärkte Sicherheitsanforderungen zu erfüllen. Diese Sicherheitsanforderungen beziehen sich auf die Unabhängigkeit und den Nachweis der Unabhängigkeit von überwachter Funktion und Überwachung.In the future, in particular due to the validity of the ISO 26262 to meet increased safety requirements. These safety requirements relate to the independence and demonstration of independence of monitored function and monitoring.

Offenbarung der ErfindungDisclosure of the invention

Der Erfindung liegt somit die Aufgabe zugrunde, ein Verfahren zur Überwachung von Funktionen eines Rechnersystems anzugeben, bei welchem die Unabhängigkeit zwischen überwachter Funktion und Überwachung gegeben ist und welches auf allgemeinen Rechnerarchitekturen ausführbar ist.The invention is thus based on the object of specifying a method for monitoring functions of a computer system, in which the independence between monitored function and monitoring is given and which is executable on general computer architectures.

Erfindungsgemäß wird die Aufgabe dadurch gelöst, dass auf der in dem abgesicherten Modus betriebenen ersten Recheneinheit eine Überwachungsebene eines auf dem Rechnersystem abgearbeiteten Rechenprogramms betrieben wird, welche eine Applikationsebene des Rechenprogramms überwacht. Dies hat den Vorteil, dass die Überwachungsebene auf einer anderen Recheneinheit abgearbeitet wird als die zu überwachenden Funktion in Form der Applikationsebene. Dadurch, dass die Überwachungsebene auf einer Recheneinheit abgearbeitet wird, welche in einem abgesicherten Modus betrieben wird, was bedeutet, dass die Funktionsweise der Recheneinheit auf ihre Betriebssicherheit überprüft wird, wird sichergestellt, dass die Überwachungsebene immer zuverlässig arbeitet. Gleichzeitig kann ein Nachweis der Unabhängigkeit von überwachter Funktion und Überwachung geführt werden. Darüber hinaus weist dieses Verfahren eine Multicore-Tauglichkeit auf, und es ist ein optimaler Umgang mit den gewählten Rechnerarchitekturen sichergestellt, wobei das Verfahren nicht auf ausgesuchte Rechnerarchitekturen beschränkt ist. According to the invention, the object is achieved by operating a monitoring level of a computer program executed on the computer system, which monitors an application level of the computer program, on the first computer operated in the safe mode. This has the advantage that the monitoring level is processed on a different arithmetic unit than the function to be monitored in the form of the application level. The fact that the monitoring level is processed on an arithmetic unit which is operated in a safe mode, which means that the functioning of the arithmetic unit is checked for operational safety, ensures that the monitoring level always operates reliably. At the same time, proof of independence of monitored function and monitoring can be provided. In addition, this method has a multi-core capability, and it ensures an optimal handling of the selected computer architectures, the method is not limited to selected computer architectures.

Vorteilhafterweise wird der abgesicherte Modus durch einen Lockstep-Betrieb oder einen fault-redundant-Betrieb realisiert. Dadurch kann dieses Verfahren auf einer allgemeinen Art von Rechnerarchitektur ausgeführt werden, da die Überwachungsebene immer auf einer abgesicherten Recheneinheit abgearbeitet wird und mindestens eine weitere Recheneinheit vorhanden ist, die nicht zwingend abgesichert werden muss, auf welcher beispielsweise die Funktionen der Applikationsebene bearbeitet werden. Durch die Absicherung der Überwachungsebene kann diese im erhöhten Maße als andere Teile des Rechenprogramms als vertrauenswürdig eingestuft werden.Advantageously, the secured mode is realized by a lockstep operation or a fault-redundant operation. As a result, this method can be executed on a general type of computer architecture, since the monitoring level is always processed on a secure computing unit and there is at least one further arithmetic unit that does not necessarily have to be protected on which, for example, the functions of the application level are processed. By securing the monitoring level, it can be considered more trustworthy than other parts of the computer program.

In einer Ausgestaltung wird das Rechenprogramm in, der Überwachungsebene angehörende Rechenprogrammteile und in, der Überwachungsebene nicht angehörende Rechenprogrammteile zerlegt, wobei insbesondere die zur Überwachungsebene gehörenden Rechenprogrammteile auf ihre Zugehörigkeit zur Überwachungsebene überprüft werden und nach der Bestätigung der Zugehörigkeit zur Überwachungsebene diese Rechenprogrammteile der Bearbeitung auf der in dem abgesicherten Modus betriebenen Recheneinheit zugewiesen werden. Durch diese Maßnahmen wird die Zuverlässigkeit der durch die Überwachungsebene ausgeführten Funktionen weiter erhöht und gewährleistet, dass diese Funktionen auf der ersten, in dem abgesicherten Modus betriebenen Recheneinheit bearbeitet werden. In one embodiment, the computer program is divided into, belonging to the monitoring level computing program parts and in the monitoring level not belonging computing program parts, in particular the belonging to the monitoring level computational program parts are checked for affiliation to the monitoring level and after confirming affiliation to the monitoring level of these computational program parts of processing on the be assigned in the safe mode operated computing unit. Through these measures, the reliability of the The functions performed by the monitoring level are further increased and ensured that these functions are processed on the first processing unit operated in the safe mode.

In einer Variante werden weitere sicherheitstechnisch relevante, zur Applikationsebene und/oder zu einer, die Überwachungsebene überwachenden Sicherheitsebene gehörende Rechenprogrammteile von der in dem abgesicherten Modus betriebenen Recheneinheit bearbeitet. Dies ist insbesondere immer dann von Vorteil, wenn die in dem abgesicherten Modus betriebene Recheneinheit durch die Funktionen der Überwachungsebene nicht voll ausgelastet ist. Um eine annähernd gleichmäßige Auslastung der ersten, in dem abgesicherten Modus betriebenen Recheneinheit und der zweiten Recheneinheit, die nicht abgesichert ist, zu erreichen, ist es vorteilhaft, wenn sicherheitstechnisch relevante Rechenprogrammteile der Applikationsebene und der Sicherheitsebene, welche die Überwachungsebene überwacht, ebenfalls auf der ersten Recheneinheit bearbeitet werden.In a variant, further safety-relevant computation program parts belonging to the application level and / or to a security level monitoring the monitoring level are processed by the arithmetic unit operated in the safe mode. This is particularly advantageous whenever the processing unit operated in the safe mode is not fully utilized by the functions of the monitoring level. In order to achieve an approximately uniform utilization of the first, operated in the safe mode computing unit and the second processing unit, which is not secured, it is advantageous if safety-relevant computational program parts of the application level and the security level, which monitors the monitoring level, also on the first Arithmetic unit to be processed.

In einer Weiterbildung werden die nicht zur Überwachungsebene gehörenden Rechenprogrammteile dahingehend unterteilt, ob diese von der Überwachungsebene überwacht werden oder nicht, wobei die nicht von der Überwachungsebene überwachten Rechenprogrammteile der zweiten Recheneinheit, welche keinen abgesicherten Modus aufweist, zur Bearbeitung zugeführt werden. Dadurch wird eine gute Trennung von überwachten und nicht überwachten Funktionen ermöglicht, da diese auf unterschiedlichen Recheneinheiten verarbeitet werden. Durch die Verteilung auf verschiedene Recheneinheiten wird eine räumliche Unabhängigkeit erzielt, da die Überwachung durch ein anderes Hardwareelement vorgenommen wird, als die Abarbeitung der überwachten Funktionen. In a further development, the computation program parts which do not belong to the monitoring level are subdivided into whether they are monitored by the monitoring level or not, wherein the computation program parts of the second arithmetic unit not monitored by the monitoring level, which does not have a safe mode, are supplied for processing. This allows a good separation of monitored and unmonitored functions, as they are processed on different arithmetic units. Spatial independence is achieved by the distribution to different arithmetic units since the monitoring is performed by a different hardware element than the execution of the monitored functions.

In einer weiteren Ausführungsform werden die zur Überwachungsebene gehörenden Rechenprogrammteile oder die sicherheitstechnisch relevanten, zu der Applikationsebene und/oder der Sicherheitsebene gehörenden Rechenprogrammteile zu jeweils mindestens einem Sicherheitsobjekt, vorzugsweise einem Laufzeitobjekt, zusammengefasst, welches von einem Betriebssystem verwaltet wird. Durch diese Zusammenfassung können die Sicherheitsobjekte über das Betriebssystem, welches die erste, im abgesicherten Modus arbeitende Recheneinheit betreibt, zum Ablauf gebracht werden. Durch eine geeignete Strategie des Betriebssystems, beispielsweise durch eine zeitgesteuerte Strategie, kann damit auch eine zeitliche Unabhängigkeit zwischen Überwachung und überwachtem Objekt sehr gut dargestellt werden.In a further embodiment, the computation program parts belonging to the monitoring level or the computation program parts belonging to the application level and / or the security level are combined into at least one security object, preferably a runtime object, which is managed by an operating system. This summary allows the security objects to be run via the operating system that runs the first secure unit operating in safe mode. By a suitable strategy of the operating system, for example by a time-controlled strategy, a temporal independence between monitoring and monitored object can be represented very well.

Vorteilhafterweise greift das mindestens eine Sicherheitsobjekt auf einen definierten, ausschließlich für das Sicherheitsobjekt vorgesehenen Speicherbereich der ersten, in dem abgesicherten Modus betriebenen Recheneinheit zu. Somit haben die Sicherheitsobjekte einen eigenen Speicherbereich, auf dem nur diese zugreifen können. Durch eine solche Speichergrenze wird die Unabhängigkeit zwischen Überwachung und überwachtem Objekt weiter erhöht. Advantageously, the at least one security object accesses a defined, exclusively for the security object provided storage area of the first, operated in the safe mode computing unit. Thus, the security objects have their own memory area, on which only these can access. Such a memory limit further increases the independence between monitoring and monitored object.

In einer Ausgestaltung wird der für das Sicherheitsobjekt vorgesehene Speicherbereich durch eine Speicherschutzeinheit abgesichert, wobei vorzugsweise sichergestellt wird, dass kein Rechenprogramm, was auf der zweiten Recheneinheit bearbeitet wird, auf den Speicherbereich zugreift. Durch die Sicherstellung, dass kein Rechenprogramm, was auf einer anderen Recheneinheit läuft, auf die Speicherbereiche der ersten Recheneinheit zugreifen kann, wird selbst in Anwesenheit von Fehlern auf der zweiten Recheneinheit garantiert, dass die Sicherheitsobjekte jederzeit ohne Beeinflussung bleiben. Dadurch werden eine außerordentlich große Verlässlichkeit und die Einflussfreiheit der zweiten Recheneinheit auf die in dem abgesicherten Modus arbeitende erste Recheneinheit dargestellt. In one embodiment, the memory area provided for the security object is protected by a memory protection unit, wherein it is preferably ensured that no computer program that is being processed on the second arithmetic unit accesses the memory area. By ensuring that no computer program that is running on another computer unit can access the memory areas of the first computer unit, it is guaranteed even in the presence of errors on the second computer unit that the security objects remain unaffected at all times. As a result, an extremely high degree of reliability and the freedom of influence of the second arithmetic unit are displayed on the first arithmetic unit operating in the safe mode.

In einer weiteren Ausgestaltung greift auf mindestens ein Element einer Überwachungsperipherie des Rechnersystems direkt nur die erste, in dem abgesicherten Modus betriebene Recheneinheit zu. Infolge dieser speziellen Anbindung der Peripherie wird der Einfluss der zweiten Recheneinheit auf die erste Recheneinheit bzw. die von dieser kontrollierten Elemente der Überwachungsperipherie weiter unterbunden, insbesondere immer dann, wenn diese in der Art an die erste Recheneinheit angebunden sind, dass sie von dieser konfiguriert und ausgelesen bzw. angesteuert werden. In a further refinement, at least one element of a monitoring periphery of the computer system directly accesses only the first computing unit operated in the safe mode. As a result of this special connection of the periphery, the influence of the second arithmetic unit on the first arithmetic unit or the elements of the monitoring periphery controlled by it is further suppressed, in particular whenever they are connected to the first arithmetic unit in such a way that they are configured by the latter be read out or controlled.

Eine Weiterbildung der Erfindung betrifft eine Vorrichtung zur Überwachung von Funktionen eines Rechnersystems, vorzugsweise eines Motorsteuersystems eines Kraftfahrzeuges, welches mindestens zwei Recheneinheiten aufweist, wobei wenigstens eine erste Recheneinheit in einem abgesicherten Modus betrieben wird. Bei einer Vorrichtung, bei welcher die Unabhängigkeit und der Nachweis der Unabhängigkeit von überwachter Funktion und Überwachung gegeben ist, sind Mittel vorhanden, welche auf der in dem abgesicherten Modus betriebenen ersten Recheneinheit eine Überwachungsebene eines auf dem Rechnersystem abgearbeiteten Rechenprogramms betreiben, welche eine Applikationsebene des Rechenprogramms überwacht. Dies hat den Vorteil, dass die Überwachungsebene auf einer anderen Recheneinheit bearbeitet wird als die zu überwachende Funktion in Form der Applikationsebene, wodurch die Unabhängigkeit zwischen überwachter Funktion und Überwachungsfunktion gegeben ist. Diese Trennung ist unabhängig von der verwendeten Rechnerarchitektur.A development of the invention relates to a device for monitoring functions of a computer system, preferably an engine control system of a motor vehicle, which has at least two arithmetic units, wherein at least one first arithmetic unit is operated in a safe mode. In a device in which the independence and the proof of independence of monitored function and monitoring is given, means are provided which operate on the operated in the safe mode first computing unit a monitoring level of processed on the computer system computer program, which is an application level of the computer program supervised. This has the advantage that the monitoring level is processed on a different arithmetic unit than the function to be monitored in the form of the application level, whereby the independence between monitored function and monitoring function given is. This separation is independent of the computer architecture used.

Vorteilhafterweise bildet die erste Recheneinheit in dem abgesicherten Modus mit einer dritten Recheneinheit ein Lockstep-Paar, wobei die erste und die dritte Recheneinheit die gleichen Programmabläufe verarbeiten, deren Ausgangssignale zur Fehlerüberwachung in einem Vergleicher ausgewertet werden. Diese Ausgestaltung ermöglicht eine konstruktiv einfache Überwachung der Überwachungsebene.Advantageously, the first arithmetic unit in the safe mode forms a lockstep pair with a third arithmetic unit, the first and the third arithmetic unit processing the same program sequences whose output signals are evaluated for error monitoring in a comparator. This embodiment allows a structurally simple monitoring of the surveillance level.

Die Erfindung lässt zahlreiche Ausführungsformen zu. Eine davon soll anhand der in der Zeichnung dargestellten Figuren näher erläutert werden.The invention allows numerous embodiments. One of them will be explained in more detail with reference to the figures shown in the drawing.

Es zeigt:It shows:

1: ein Ausführungsbeispiel der erfindungsgemäßen Vorrichtung 1 : An embodiment of the device according to the invention

2: ein Sicherheitskonzept für ein Motorsteuerungssystem eines Kraftfahrzeuges 2 : a safety concept for an engine control system of a motor vehicle

3: ein Ablaufdiagramm für das erfindungsgemäße Verfahren 3 : a flow chart for the method according to the invention

1 zeigt eine Rechnerarchitektur, wie sie in einem Motorsteuergerät eines Kraftfahrzeuges eingesetzt wird. Die Rechnerarchitektur ist als Mikroprozessor 1 ausgebildet und enthält drei als Rechnerkern bezeichneten Recheneinheiten 2, 3, 4. Die Recheneinheit 2 ist dabei direkt mit einem Systembus 5 verbunden, während die Recheneinheiten 3 und 4 über einen Vergleicher 6 an den Systembus 5 angebunden sind. Dabei wird die Recheneinheit 3 von der Recheneinheit 4 überwacht. Die Recheneinheiten 3 und 4 bilden dabei ein sogenanntes Lockstep-Paar innerhalb des Mikroprozessors 1. Die Verwendung eines solchen Lockstep-Paares schützt die auf diesem Lockstep-Paar ablaufende Software gegen Fehler in der Hardware eines Rechnerkerns. Dabei werden auf den Recheneinheiten 3 und 4 dieselben Programmschritte und Daten parallel zueinander abgearbeitet. Die Signale der beiden Recheneinheiten 3, 4 werden dann im Vergleicher 6 verglichen. Sobald einer der beiden beteiligten Recheneinheiten 3, 4 ein anderes Ergebnis als die Partnerrecheneinheit 3, 4 an den Vergleicher 6 liefert, wird dieses durch den Vergleicher 6 detektiert und ein entsprechendes Fehlersignal ausgelöst. Dieses Fehlersignal wird wiederum dazu verwendet, den sicheren Zustand des Mikroprozessors 1 herzustellen. 1 shows a computer architecture, as used in an engine control unit of a motor vehicle. The computer architecture is called a microprocessor 1 formed and contains three computer units designated as computer core 2 . 3 . 4 , The arithmetic unit 2 is directly with a system bus 5 connected while the arithmetic units 3 and 4 via a comparator 6 to the system bus 5 are connected. Thereby the arithmetic unit becomes 3 from the arithmetic unit 4 supervised. The computing units 3 and 4 form a so-called lockstep pair within the microprocessor 1 , The use of such a lockstep pair protects the software running on this lockstep pair against errors in the hardware of a computer core. It will be on the arithmetic units 3 and 4 The same program steps and data are processed in parallel. The signals of the two arithmetic units 3 . 4 then be in the comparator 6 compared. Once one of the two computing units involved 3 . 4 a different result than the partner calculation unit 3 . 4 to the comparator 6 This is done by the comparator 6 detected and triggered a corresponding error signal. This error signal is in turn used to determine the safe state of the microprocessor 1 manufacture.

Mittels des in 1 gezeigten Mikroprozessors 1 werden Motorsteuerungssysteme überwacht, welche ein Dreiebenenkonzept aufweisen. Das Dreiebenenkonzept, welches in 2 dargestellt ist, weist in einer ersten Applikationsebene 11 alle Applikationsfunktionalitäten der Motorsteuerung auf. In der Überwachungsebene 12 werden die Applikationsfunktionalitäten der Applikationsebene 11 durch Überwachungsfunktionen überwacht, während die Sicherheitsebene 13 wiederum die Funktionen der Überwachungsebene 12 überwacht. By means of in 1 shown microprocessor 1 Motor control systems are monitored, which have a three-level concept. The three-level concept, which in 2 is shown has in a first application level 11 All application functions of the engine control. In the surveillance level 12 become the application functionalities of the application level 11 monitored by monitoring functions while the security level 13 again the functions of the monitoring level 12 supervised.

In der, die Applikationsfunktionalitäten umfassenden Applikationsebene 11 läuft als besonders sicherheitstechnisch interessanter Teil die Berechnung des vom Motor zu stellenden Momentes ab. Dieses Moment beeinflusst die Beschleunigung des Fahrzeuges. Im sicherheitstechnisch einfachsten Fall ist nur ein zu hohes Moment als kritisch einzustufen und dieses ist von der zweiten Überwachungsebene 12 mittels der Überwachungsfunktionen zu detektieren. In etwas komplexeren Fällen ist beispielsweise auch ein zu kleines Moment schon als sicherheitsrelevant einzustufen und muss dann ebenfalls von der Überwachungsebene 12 festgestellt werden. In the, the application functionalities comprehensive application level 11 As a particularly safety-relevant part, the calculation of the torque to be set by the engine takes place. This moment affects the acceleration of the vehicle. In the simplest safety case, only too high a torque is critical and this is from the second level of monitoring 12 to detect by means of the monitoring functions. In somewhat more complex cases, too small a moment, for example, can be classified as safety-relevant and must then also be taken from the monitoring level 12 be determined.

In der Überwachungsebene 12 läuft die Überwachung dieses Momentes ab. Dies kann beispielsweise dadurch durchgeführt werden, dass die Überwachungsebene 12 ebenfalls ein Moment oder eine obere und/oder untere Schranke für das Moment berechnet und dann überprüft, ob das von der Applikationsebene 11 berechnete Moment mit dem in der Überwachungsebene 12 berechneten Moment übereinstimmt oder innerhalb tolerierter Schranken liegt. Eine andere Möglichkeit besteht darin, dass das von der Applikationsebene 11 berechnete Moment mit anderen Sensorsignalen, z.B. der Fahrerwunscherfassung, plausibilisiert wird. Es kann auch eine aus einem Kennfeld ermittelte Schranke verwendet werden. Falls die Überwachungsfunktionen der Überwachungsebene 12 feststellen, dass das von der Applikationsebene 11 berechnete Moment in sicherheitsrelevanter Weise falsch ist, dann kann sie geeignete Gegenmaßnahmen zur Herstellung eines sicheren Zustandes einleiten. Solche Gegenmaßnahmen bestehen beispielsweise in der Abschaltung, dem Auslösen eines Resets oder in der Limitierung des Momentes. In the surveillance level 12 the monitoring of this moment expires. This can for example be done by the monitoring level 12 also calculates a moment or an upper and / or lower bound for the moment and then checks if that from the application layer 11 calculated moment with that in the monitoring level 12 calculated moment or within tolerated limits. Another possibility is that of the application level 11 Calculated torque with other sensor signals, such as the driver request detection, plausibility. It can also be used a determined from a map barrier. If the monitoring functions of the monitoring level 12 notice that from the application level 11 calculated moment is wrong in a safety-relevant way, then it can initiate appropriate countermeasures to establish a safe state. Such countermeasures include, for example, the shutdown, the triggering of a reset or the limitation of the moment.

Die Sicherheitsebene 13 soll dabei die Funktionsfähigkeit und das tatsächliche Funktionieren der Überwachungsebene 12 überwachen. Nur wenn sichergestellt ist, dass die Überwachungsebene 12 tatsächlich auch funktioniert, kann man davon ausgehen, dass die durch die Überwachungsebene 12 implementierte Überwachung auch tatsächlich einen sicherheitskritischen Zustand verhindert. Das korrekte und fehlerfreie Funktionieren der Überwachungsebene 12 ist also für ein solches Sicherheitskonzept von großer Bedeutung. The security level 13 it should be the functionality and the actual functioning of the surveillance level 12 monitor. Only if it is ensured that the surveillance level 12 actually works, it can be assumed that by the surveillance level 12 Implemented monitoring actually prevents a safety-critical state. The correct and error-free functioning of the monitoring level 12 is therefore of great importance for such a security concept.

Aus diesem Grund werden die Überwachungsfunktionen der Überwachungsebene 12 auf dem Lockstep-Paar, bestehend aus den Recheneinheiten 3, 4, abgearbeitet. Die Software sieht die beiden Recheneinheiten 3, 4, welche in einem abgesicherten Modus arbeiten, dabei nur als einen Rechnerkern. Neben der Bildung eines Lockstep-Paares sind weitere Absicherungsmethoden der Recheneinheiten 3, 4 bekannt, wie beispielsweise eine fault-redundant-CPU oder gar eine TMR-Struktur (Triple Modular Redundancy). For this reason, the monitoring functions become the monitoring level 12 on the lockstep pair, consisting of the computing units 3 . 4 , finished. The software sees the two arithmetic units 3 . 4 , which work in a safe mode, only as one core. In addition to the formation of a lockstep pair, further hedging methods are the calculation units 3 . 4 known, such as a fault-redundant CPU or even a TMR structure (Triple Modular Redundancy).

Wenn die aus der Überwachungsebene 12 ablaufenden Überwachungsfunktionen auf diesem abgesicherten Lockstep-Paar 3, 4 abgearbeitet werden, dann ist diese Software der Überwachungsebene 12 in besonderem Maße geschützt. Ihr korrektes Funktionieren, selbst in Anwesenheit von Fehlern der zweiten Recheneinheit 2, kann vorausgesetzt werden. Insbesondere können sogar andere Absicherungsmaßnahmen, die beispielsweise in der Sicherheitsebene 13 vorhanden sind, und Fehler der Recheneinheiten 2, 3 entdecken sollen, reduziert, effizienter implementiert oder gar weggelassen werden. If the from the surveillance level 12 ongoing monitoring functions on this secured lockstep pair 3 . 4 be processed, then this software is the monitoring level 12 protected in a special way. Their correct functioning, even in the presence of errors of the second processing unit 2 , can be assumed. In particular, even other hedging measures, for example, in the security level 13 are present, and errors of the arithmetic units 2 . 3 discover, be reduced, implemented more efficiently or even omitted.

Die Zuordnung der als Rechenprogramm hinterlegten Software zum Ablauf auf den Recheneinheiten 2, 3, 4 kann dann entsprechend dem folgenden Ablaufdiagramm vorgenommen werden. Im Block 7 wird das auf dem Mikroprozessor 1 laufende Rechenprogramm in die verschiedenen bekannten drei Ebenen 11, 12, 13 zerlegt. Im Block 8 wird ein vorgegebener Rechenprogrammteil überprüft, ob dieser zur Überwachungsebene 12 des Sicherheitskonzeptes des Kraftfahrzeuges gehört. Ist dies der Fall, dann wird im Block 9 dieser Rechenprogrammteil dem Lockstep-Paar 3, 4 zur Bearbeitung zugewiesen. Gehört der untersuchte Rechenprogrammteil nicht zur Überwachungsebene 12, dann findet keine feste Zuordnung der abzuarbeitenden Rechenprogrammteile zu einer Recheneinheit 2 oder 3 statt (Block 10). The assignment of the software stored as a computer program for the execution on the arithmetic units 2 . 3 . 4 can then be made according to the following flowchart. In the block 7 will that be on the microprocessor 1 ongoing computer program in the various known three levels 11 . 12 . 13 disassembled. In the block 8th a predefined computer program part is checked, whether this to the monitoring level 12 the safety concept of the motor vehicle belongs. If this is the case, then in the block 9 this program part of the Lockstep pair 3 . 4 assigned for editing. Does the examined computer program part not belong to the monitoring level 12 , then finds no fixed assignment of the processing program parts to be processed to a computing unit 2 or 3 instead (block 10 ).

Darüber hinaus können außer der Überwachungsebene 12 weitere als sicherheitsrelevant oder sicherheitstechnisch besonders interessant eingestufte Rechenprogrammteile ebenfalls bewusst auf dem, in dem abgesicherten Modus arbeitenden Lockstep-Paar (Recheneinheit 3, 4) zum Ablauf gebracht werden. Zu diesen Rechenprogrammteilen können Rechenprogrammteile der Sicherheitsebene 13 aber auch ausgewählte Rechenprogrammteile der Applikationsebene 11, wie beispielsweise Diagnosen, gehören.In addition, beyond the surveillance level 12 other computer programs that are classified as particularly relevant for safety or security are also aware of the lockstep pair operating in the safe mode (arithmetic unit) 3 . 4 ) be brought to expiration. Calculation program parts of the security level can be added to these computer program parts 13 but also selected calculation program parts of the application level 11 , such as diagnoses.

Um auch aus Entwicklungssicht eine Vereinfachung zu erreichen, ist eine Zusammenfassung der im Block 7 der 3 abgespaltenen Rechenprogrammteile zu einem oder mehreren Sicherheitsobjekten möglich. Solche Sicherheitsobjekte können dann von einem einzigen Betriebssystem, welches die Recheneinheiten 3 und 4 betreibt, betrieben werden. Eine solche Bündelung aus Betriebssystemsicht ermöglicht eine Kombination des erfindungsgemäßen Verfahrens mit anderen Schutz- oder Kapselungsmechanismen. Durch eine geeignete Scheduling-Strategie, beispielsweise eine zeitgesteuerte Strategie, kann damit auch eine zeitliche Unabhängigkeit zwischen Überwachung und überwachtem Objekt sehr gut dargestellt und argumentiert werden. In diesem Fall werden die einzelnen Funktionen unabhängig von ihrer Zugehörigkeit zu den Ebenen 11, 12, 13 in Takte von 5 ms, 10ms usw. aufgeteilt. Dies ist besonders dann vorteilhaft, wenn funktionale Interrupts nicht auf der überwachten Recheneinheit 3 ausgeführt werden. Dies ermöglicht auch eine Aufteilung der Funktionen in die rechenprogrammtechnischen Funktionen, die nicht nur entlang zeitlicher Unterschiede sondern auch entlang der sicherheitstechnischen Relevanz verlaufen.In order to achieve a simplification from a development point of view, a summary of the in the block 7 of the 3 Split computational program parts to one or more security objects possible. Such security objects can then be handled by a single operating system, which has the computing units 3 and 4 operates, operated. Such bundling from the operating system perspective allows a combination of the method according to the invention with other protective or encapsulation mechanisms. By means of a suitable scheduling strategy, for example a time-controlled strategy, a temporal independence between monitoring and monitored object can thus also be very well represented and argued. In this case, the individual functions are independent of their affiliation to the levels 11 . 12 . 13 in intervals of 5 ms, 10ms, etc. divided. This is particularly advantageous when functional interrupts are not on the monitored arithmetic unit 3 be executed. This also allows a division of the functions into the computer program functions, which not only run along temporal differences but also along the safety-related relevance.

Ein besonderer Vorteil ist dann gegeben, wenn im Block 7 das Rechenprogramm nicht nur in Funktionen der Überwachungsebene 12 oder Funktionen, die nicht zur Überwachungsebene 12 gehörend, zerlegt wird, sondern wenn bei den nicht zur Überwachungsebene 12 gehörenden Rechenprogrammteilen noch eine weitere Zerlegung dahingehend stattfindet, ob ein gegebener Rechenprogrammteil durch die Überwachungsebene 12 überwacht wird oder nicht. Wenn eine Unabhängigkeit, beispielsweise in Form eines „Freedom from Interference“-Arguments, wie es in der Norm ISO 26262 gefordert ist, zwischen der Überwachung und dem überwachten Funktionen nachgewiesen werden soll, dann ist es vorteilhaft, die überwachten Funktionen, in diesem Fall die Funktionen, die nicht zum Rechenprogrammteil der Überwachungsebene 12 gehören, auf der unabhängigen zweiten Recheneinheit 2 ablaufen zu lassen. Diese räumliche Unabhängigkeit über die Verteilung auf mehrere Recheneinheiten 2, 3 stellt dabei ein zusätzliches Argument dar, da die Überwachung durch ein anderes Hardwareelement vorgenommen wird als die Abarbeitung der überwachten Funktionen. Dies ist insbesondere dann der Fall, wenn auf dem Lockstep-Paar (Recheneinheit 3, 4) nur die Überwachung selbst und/ oder die Überwachung der sicherheitsrelevanten Rechenprogrammteile der Ebene 13 abläuft. Damit ist sichergestellt, dass die applikationsnahen Funktionen der Applikationsebene 11 auf der Recheneinheit 2 durchgeführt werden.A special advantage is given when in the block 7 the computer program not only in functions of the monitoring level 12 or features that are not at the monitoring level 12 belonging, is decomposed, but if at the not to the surveillance level 12 belonging to the computer program parts still takes place a further decomposition to the effect whether a given part of the calculation program through the monitoring level 12 is monitored or not. If an independence, for example in the form of a "Freedom from Interference" argument, as in the Standard ISO 26262 is required to be demonstrated between the monitoring and the monitored functions, then it is advantageous to the monitored functions, in this case the functions that are not part of the program part of the monitoring level 12 belong on the independent second arithmetic unit 2 to expire. This spatial independence over the distribution to several computing units 2 . 3 represents an additional argument, since the monitoring is performed by a different hardware element than the execution of the monitored functions. This is especially the case when on the lockstep pair (arithmetic unit 3 . 4 ) only the monitoring itself and / or the monitoring of the security-related computation program parts of the level 13 expires. This ensures that the application-related functions of the application level 11 on the arithmetic unit 2 be performed.

Eine weitere Erweiterungsmöglichkeit des betrachteten Verfahrens besteht in der gezielten zusätzlichen Verwendung einer Speicherschutzeinheit in Form einer MPU (Memory Protection Unit). Dabei wird insbesondere eine zweistufige MPU, welche über eine zusätzliche Safety-MPU am Systembus 5 oder auf einer Slave-Seite des Mikroprozessors 1 realisiert werden kann, genutzt. Wenn die Sicherheitsobjekte einen eigenen Speicherbereich (beispielsweise in einem Flash, RAM, ROM) aufweisen, auf den nur diese Sicherheitsobjekte zugreifen dürfen, dann kann man diese Speichergrenze durch Programmierung der Sicherheitsschutzeinheit im Mikroprozessor 1 forcieren. Dies kann noch weiter verbessert werden, wenn man dies über die zweite Schicht der MPU oder der Safety-MPU realisiert. Dadurch kann garantiert werden, dass auf diesen speziell zu schützenden Speicherbereich keine Rechenprogramme, die auf der Recheneinheit 2 laufen, überhaupt zugreifen können, selbst in Anwesenheit von Rechenprogrammfehlern auf der Recheneinheit 2 oder weitgehend beliebigen Hardwarefehlern. Es kann dadurch in einer außerordentlich großen Verlässlichkeit die Einflussfreiheit der Recheneinheit 2 auf die abgesicherte Recheneinheit 3 dargestellt werden. A further possibility for expansion of the considered method consists in the targeted additional use of a memory protection unit in the form of an MPU (Memory Protection Unit). In particular, a two-stage MPU, which has an additional safety MPU on the system bus 5 or on a slave side of the microprocessor 1 can be realized, used. If the security objects have their own memory area (for example, in a flash, RAM, ROM) that only these security objects are allowed to access, then you can use this memory limit by programming the safety protection unit in the microprocessor 1 accelerate. This can be improved even further by realizing this via the second layer of the MPU or the Safety MPU. This can be guaranteed that on this memory area to be protected specifically no computer programs that rely on the computing unit 2 run, even at all, even in the presence of computer program errors on the arithmetic unit 2 or largely any hardware errors. It can thus in an extremely great reliability, the inefficiency of the arithmetic unit 2 on the secure computing unit 3 being represented.

Die Unabhängigkeit zwischen Überwachung und überwachter Funktion kann darüber hinaus noch weiter verbessert werden, wenn eine Überwachungsperipherie, beispielsweise in Form spezieller Sensoren, direkt an die Recheneinheit 3 angebunden wird, so dass diese Sensoren von der Recheneinheit 3 konfiguriert und ausgelesen oder angesteuert werden, ohne dass die Recheneinheit 2 einen Einfluss darauf hat. Dies stellt ein weiteres Argument für die Unabhängigkeit zwischen Überwachung und zu überwachendem Objekt dar. Dies gilt insbesondere auch für eine Ansteuerung des Abschaltpfades. Dieser kann dann gegebenenfalls sehr gut als redundant ansteuerbar dargestellt werden. The independence between monitoring and monitored function can also be further improved if a monitoring periphery, for example in the form of special sensors, directly to the computing unit 3 is connected so that these sensors from the arithmetic unit 3 be configured and read or controlled without the computing unit 2 has an influence on it. This represents a further argument for the independence between monitoring and the object to be monitored. This also applies, in particular, to triggering the shutdown path. This can then possibly very well be represented as redundant controllable.

Mittels des vorgeschlagenen Verfahrens werden die Unabhängigkeit und der Nachweis der Unabhängigkeit von überwachter Funktion und Überwachungsfunktion zuverlässig gewährleistet. Darüber hinaus ist dieses Verfahren multicoretauglich, wobei es für sehr allgemeine Rechnerarchitekturen einsetzbar ist. By means of the proposed method the independence and the proof of the independence of supervised function and monitoring function are reliably guaranteed. In addition, this method is multicore suitable, where it can be used for very general computer architectures.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • DE 102005037230 A1 [0003] DE 102005037230 A1 [0003]

Zitierte Nicht-PatentliteraturCited non-patent literature

  • ISO 26262 [0004] ISO 26262 [0004]
  • Norm ISO 26262 [0032] Standard ISO 26262 [0032]

Claims (11)

Verfahren zur Überwachung von Funktionen eines Rechnersystems, vorzugsweise eines Motorsteuersystems eines Kraftfahrzeuges, welches mindestens zwei Recheneinheiten (2, 3) aufweist, wobei wenigstens eine erste Recheneinheit (3) in einem abgesicherten Modus betrieben wird, dadurch gekennzeichnet, dass auf der in dem abgesicherten Modus betriebenen ersten Recheneinheit (3) eine Überwachungsebene (12) eines auf dem Rechnersystem (1) abgearbeiteten Rechenprogramms betrieben wird, welche eine Applikationsebene (11) des Rechenprogramms überwacht.Method for monitoring functions of a computer system, preferably an engine control system of a motor vehicle, which comprises at least two arithmetic units ( 2 . 3 ), wherein at least one first arithmetic unit ( 3 ) is operated in a safe mode, characterized in that on the operated in the safe mode first computing unit ( 3 ) a monitoring level ( 12 ) one on the computer system ( 1 ) processed processing program which an application level ( 11 ) of the computer program. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der abgesicherte Modus durch einen Lockstep-Betrieb oder einen fault-redundant-Betrieb realisiert wird. A method according to claim 1, characterized in that the safe mode is realized by a lockstep operation or a fault-redundant operation. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das Rechenprogramm in, der Überwachungsebene (12) angehörende Rechenprogrammteile und in, der Überwachungsebene (12) nicht angehörende Rechenprogrammteile zerlegt wird, wobei insbesondere die zur Überwachungsebene (12) gehörenden Rechenprogrammteile auf ihre Zugehörigkeit zur Überwachungsebene (12) überprüft werden und nach der Bestätigung der Zugehörigkeit zur Überwachungsebene (12) diese Rechenprogrammteile zur Bearbeitung der, in dem abgesicherten Modus betriebenen Recheneinheit (3) zugewiesen werden.Method according to claim 1 or 2, characterized in that the computer program in, the monitoring level ( 12 ) and in the monitoring level ( 12 ) are disassembled, in particular those relating to the surveillance level ( 12 ) belongs to their belonging to the monitoring level ( 12 ) and after confirmation of affiliation to the surveillance level ( 12 ) these computational program parts for processing the, operated in the safe mode computing unit ( 3 ) be assigned to. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass weitere sicherheitstechnisch relevante zur Applikationsebene (11) und/oder einer, die Überwachungsebene (12) überwachende Sicherheitsebene (13) gehörende Rechenprogrammteile von der in dem abgesicherten Modus betriebenen Recheneinheit (3) bearbeitet werden.A method according to claim 3, characterized in that further safety relevant to the application level ( 11 ) and / or one, the surveillance level ( 12 ) monitoring security level ( 13 ) belonging computing program parts of the operated in the safe mode computing unit ( 3 ) to be edited. Verfahren nach Anspruch 3 oder 4, dadurch gekennzeichnet, dass die nicht zur Überwachungsebene (12) gehörenden Rechenprogrammteile dahingehend unterteilt werden, ob diese von der Überwachungsebene (12) überwacht werden oder nicht, wobei die nicht von der Überwachungsebene (12) überwachten Rechenprogrammteile einer zweiten Recheneinheit (2), welche keinen abgesicherten Modus aufweist, zur Bearbeitung zugeführt werden.Method according to claim 3 or 4, characterized in that the non-monitoring level ( 12 ) are subdivided according to whether they are from the monitoring level ( 12 ) or not, not from the surveillance level ( 12 ) supervised arithmetic program parts of a second arithmetic unit ( 2 ), which does not have a safe mode, are supplied for processing. Verfahren nach mindestens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die zur Überwachungsebene (12) gehörenden Rechenprogrammteile oder die sicherheitstechnisch relevanten der Applikationsebene (11) und/oder der Sicherheitsebene (13) angehörenden Rechenprogrammteile zu jeweils mindestens einem Sicherheitsobjekt, vorzugsweise einem Laufzeitobjekt, zusammengefasst werden, welches von einem Betriebssystem verwaltet wird.Method according to at least one of the preceding claims, characterized in that the monitoring level ( 12 ) belonging to computer program parts or the safety-relevant application level ( 11 ) and / or the security level ( 13 ) belonging computing program parts to at least one security object, preferably a runtime object, which is managed by an operating system. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass das mindestens eine Sicherheitsobjekt auf einen definierten, ausschließlich für das Sicherheitsobjekt vorgesehenen Speicherbereich der ersten, in dem abgesicherten Modus betriebenen Recheneinheit (3) zugreift.A method according to claim 6, characterized in that the at least one security object to a defined, provided exclusively for the security object memory area of the first, operated in the safe mode computing unit ( 3 ) accesses. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass der für das mindestens eine Sicherheitsobjekt vorgesehene Speicherbereich durch eine Sicherheitsschutzeinheit abgesichert wird, wobei vorzugsweise sichergestellt wird, dass kein Rechenprogramm, was auf der zweiten Recheneinheit (2) bearbeitet wird, auf den Speicherbereich zugreift.Method according to Claim 7, characterized in that the memory area provided for the at least one security object is protected by a security protection unit, wherein it is preferably ensured that no computer program, which is stored on the second arithmetic unit ( 2 ), accesses the memory area. Verfahren nach mindestens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass auf mindestens ein Element einer Überwachungsperipherie des Rechnersystems (1) direkt nur die erste, in dem abgesicherten Modus arbeitende Recheneinheit (3) zugreift.Method according to at least one of the preceding claims, characterized in that at least one element of a monitoring periphery of the computer system ( 1 ) directly only the first, working in the safe mode computing unit ( 3 ) accesses. Vorrichtung zur Überwachung von Funktionen eines Rechnersystems, vorzugsweise eines Motorsteuersystems eines Kraftfahrzeuges, welches mindestens zwei Recheneinheiten (2, 3) aufweist, wobei wenigstens eine erste Recheneinheit (3) in einem abgesicherten Modus betrieben wird, dadurch gekennzeichnet, dass Mittel (1) vorhanden sind, welche auf der in dem abgesicherten Modus betriebenen ersten Recheneinheit (3) eine Überwachungsebene (12) eines auf dem Rechnersystem abgearbeiteten Rechenprogramms betreiben, welche eine Applikationsebene (11) des Rechenprogramms überwacht.Device for monitoring functions of a computer system, preferably an engine control system of a motor vehicle, which has at least two computing units ( 2 . 3 ), wherein at least one first arithmetic unit ( 3 ) is operated in a safe mode, characterized in that means ( 1 ), which are based on the first arithmetic unit operated in the safe mode ( 3 ) a monitoring level ( 12 ) operate a processed on the computer system computer program which an application level ( 11 ) of the computer program. Vorrichtung nach Anspruch 10, dadurch gekennzeichnet, dass die erste Recheneinheit (3) in dem abgesicherten Modus mit einer dritten Recheneinheit (4) ein Lockstep-Paar bildet, wobei die erste und die dritte Recheneinheit (3, 4), die gleichen Programmabläufe verarbeiten, deren Ausgangssignale zur Fehlerüberwachung in einem Vergleicher (6) ausgewertet werden.Apparatus according to claim 10, characterized in that the first arithmetic unit ( 3 ) in the safe mode with a third processor ( 4 ) forms a lockstep pair, wherein the first and the third arithmetic unit ( 3 . 4 ), process the same program sequences whose output signals for error monitoring in a comparator ( 6 ) be evaluated.
DE201210207215 2012-04-30 2012-04-30 Method and device for monitoring functions of a computer system, preferably an engine control system of a motor vehicle Withdrawn DE102012207215A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE201210207215 DE102012207215A1 (en) 2012-04-30 2012-04-30 Method and device for monitoring functions of a computer system, preferably an engine control system of a motor vehicle
PCT/EP2013/058382 WO2013164224A2 (en) 2012-04-30 2013-04-23 Method and device for monitoring functions of a computer system, preferably of an engine control system of a motor vehicle

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE201210207215 DE102012207215A1 (en) 2012-04-30 2012-04-30 Method and device for monitoring functions of a computer system, preferably an engine control system of a motor vehicle

Publications (1)

Publication Number Publication Date
DE102012207215A1 true DE102012207215A1 (en) 2013-10-31

Family

ID=48190954

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201210207215 Withdrawn DE102012207215A1 (en) 2012-04-30 2012-04-30 Method and device for monitoring functions of a computer system, preferably an engine control system of a motor vehicle

Country Status (2)

Country Link
DE (1) DE102012207215A1 (en)
WO (1) WO2013164224A2 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015082109A1 (en) * 2013-12-03 2015-06-11 Robert Bosch Gmbh Control device for a motor vehicle
US9733636B2 (en) 2013-06-26 2017-08-15 Mitsubishi Electric Corporation Remote unit and abnormality determining method therein
US9852093B2 (en) 2014-03-20 2017-12-26 Audi Ag Control device in a motor vehicle, a motor vehicle, and a method for operating a control device
DE102016214243A1 (en) 2016-08-02 2018-02-08 Zf Friedrichshafen Ag Monitoring a field-oriented control of an asynchronous machine
DE102016217762A1 (en) * 2016-09-16 2018-04-12 Continental Automotive Gmbh Monitoring of safety-related functions by a non-secure arithmetic unit
DE102016223879A1 (en) 2016-12-01 2018-06-07 Zf Friedrichshafen Ag Monitoring a field-oriented control of an asynchronous machine

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3129005B1 (en) 2021-11-10 2024-03-22 Vitesco Technologies Method and device for monitoring and controlling a vehicle engine

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005037230A1 (en) 2005-08-08 2007-02-15 Robert Bosch Gmbh Method and device for monitoring functions of a computer system

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006048169A1 (en) * 2006-10-10 2008-04-17 Robert Bosch Gmbh Method for monitoring the functionality of a controller
US20090183035A1 (en) * 2008-01-10 2009-07-16 Butler Michael G Processor including hybrid redundancy for logic error protection
DE102010042574B4 (en) * 2010-10-18 2017-11-16 Continental Automotive Gmbh Method for operating a microcontroller for an automobile and microcontroller

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005037230A1 (en) 2005-08-08 2007-02-15 Robert Bosch Gmbh Method and device for monitoring functions of a computer system

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ISO 26262
Norm ISO 26262

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9733636B2 (en) 2013-06-26 2017-08-15 Mitsubishi Electric Corporation Remote unit and abnormality determining method therein
WO2015082109A1 (en) * 2013-12-03 2015-06-11 Robert Bosch Gmbh Control device for a motor vehicle
CN105765541A (en) * 2013-12-03 2016-07-13 罗伯特·博世有限公司 Control device for a motor vehicle
US20160299839A1 (en) * 2013-12-03 2016-10-13 Robert Bosch Gmbh Control device for a motor vehicle
CN105765541B (en) * 2013-12-03 2018-12-14 罗伯特·博世有限公司 Controller for motor vehicle
US10657039B2 (en) * 2013-12-03 2020-05-19 Robert Bosch Gmbh Control device for a motor vehicle
US9852093B2 (en) 2014-03-20 2017-12-26 Audi Ag Control device in a motor vehicle, a motor vehicle, and a method for operating a control device
DE102016214243A1 (en) 2016-08-02 2018-02-08 Zf Friedrichshafen Ag Monitoring a field-oriented control of an asynchronous machine
DE102016217762A1 (en) * 2016-09-16 2018-04-12 Continental Automotive Gmbh Monitoring of safety-related functions by a non-secure arithmetic unit
US10963357B2 (en) 2016-09-16 2021-03-30 Vitesco Technologies GmbH Fault monitoring for a complex computing unit
DE102016223879A1 (en) 2016-12-01 2018-06-07 Zf Friedrichshafen Ag Monitoring a field-oriented control of an asynchronous machine

Also Published As

Publication number Publication date
WO2013164224A2 (en) 2013-11-07
WO2013164224A3 (en) 2013-12-27

Similar Documents

Publication Publication Date Title
EP2823430B1 (en) Electronic control system
DE102012207215A1 (en) Method and device for monitoring functions of a computer system, preferably an engine control system of a motor vehicle
DE102007045398A1 (en) Integrated microprocessor system for safety-critical regulations
DE102011086530A1 (en) Microprocessor system with fault-tolerant architecture
DE102006051434A1 (en) Method and system for performing function-specific memory checks in a vehicle-based control system
EP2907072B1 (en) Method for controlling separated running of linked program blocks and control device
DE112018005352T5 (en) INFORMATION PROCESSING DEVICE, MOVING DEVICE, METHOD AND PROGRAM
EP2099667B1 (en) Method for ensuring or maintaining the function of a complex complete safety-critical system
DE102016206630A1 (en) Method and device for avoiding manipulation of a data transmission
WO2019072840A1 (en) Apparatus for protecting diagnosis commands to a controller, and corresponding motor vehicle
DE102014014858A1 (en) Control device for a motor vehicle, motor vehicle and method for safely performing a function
EP3291094A1 (en) Processor system and method for monitoring processors
EP3341843B1 (en) Method and apparatus for monitoring a state of an electronic circuit unit of a vehicle
DE102013221098B4 (en) VEHICLE CONTROL UNIT
DE102013021231A1 (en) Method for operating an assistance system of a vehicle and vehicle control unit
DE102021208459B4 (en) Method for authentic data transmission between control units in a vehicle, arrangement with control units, computer program and vehicle
DE102013202961A1 (en) Method for monitoring stack memory in operating system of control unit of motor vehicle, involves carrying out predefined action if characteristic parameters of stack memory before and after execution of program codes are not identical
DE102019208729A1 (en) Procedure for ensuring and maintaining the function of a safety-critical overall system
EP3893113B1 (en) Monitoring of a component of a control system for a moving means
DE102018210733A1 (en) Method for monitoring at least one computing unit
EP2225640A1 (en) Method for identifying reciprocal influencing of software components
WO2017153411A1 (en) Method for operating a control device for a motor vehicle
DE102016217762A1 (en) Monitoring of safety-related functions by a non-secure arithmetic unit
DE102022203871A1 (en) control system
DE102013226872A1 (en) Method for operating a control unit of a motor vehicle and control unit for a motor vehicle

Legal Events

Date Code Title Description
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20141101