DE102013208666A1 - Verfahren und Vorrichtung zur Absicherung eines Errorhandlers für eine Abarbeitung eines Computerprogramms auf einem Rechnersystem - Google Patents

Verfahren und Vorrichtung zur Absicherung eines Errorhandlers für eine Abarbeitung eines Computerprogramms auf einem Rechnersystem Download PDF

Info

Publication number
DE102013208666A1
DE102013208666A1 DE102013208666.0A DE102013208666A DE102013208666A1 DE 102013208666 A1 DE102013208666 A1 DE 102013208666A1 DE 102013208666 A DE102013208666 A DE 102013208666A DE 102013208666 A1 DE102013208666 A1 DE 102013208666A1
Authority
DE
Germany
Prior art keywords
signal
complementary
action
action signal
parameter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102013208666.0A
Other languages
English (en)
Inventor
Horst Kiebler
Ralf Brauchle
Herbert Fetzer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZF Friedrichshafen AG
Original Assignee
ZF Friedrichshafen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZF Friedrichshafen AG filed Critical ZF Friedrichshafen AG
Priority to DE102013208666.0A priority Critical patent/DE102013208666A1/de
Publication of DE102013208666A1 publication Critical patent/DE102013208666A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0763Error or fault detection not based on redundancy by bit configuration check, e.g. of formats or tags
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1497Details of time redundant execution on a single processing unit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Es wird ein Verfahren (350) zur Absicherung eines Errorhandlers für eine Abarbeitung eines Computerprogramms auf einem Rechnersystem (104) vorgestellt. Dabei weist das Rechnersystem (104) zumindest eine Recheneinheit (106) auf, wobei das Computerprogramm zumindest ein Laufzeitobjekt (210) aufweist. Das Verfahren weist auf einen Schritt des Einlesens (352) eines Überwachungssignals (214) des Laufzeitobjekts (210), wobei das Überwachungssignal (214) zumindest einen Parameter und zumindest einen hierzu komplementären Parameter aufweist, einen Schritt des Aufteilens (354) des Überwachungssignals (214) in ein den Parameter repräsentierendes Teilsignal (218) und ein den komplementären Parameter repräsentierendes komplementäres Teilsignal (220), einen Schritt des Bestimmens (356) eines ersten Maßnahmesignals (224) ansprechend auf das Teilsignal (218) unter Verwendung einer Verarbeitungsvorschrift (226) sowie Bestimmen (356) eines zweiten Maßnahmesignals (228) ansprechend auf das komplementäre Teilsignal (220) unter Verwendung der Verarbeitungsvorschrift (226), sowie einen Schritt des Vergleichens (358) des ersten Maßnahmesignals (224) und des zweiten Maßnahmesignals (228), wobei bei einem negativen Ergebnis des Vergleichs ein Rücksetzsignal (232) erzeugt wird, um den Errorhandler der Abarbeitung des Computerprogramms abzusichern, wobei ein negatives Ergebnis des Vergleichs erzeugt wird, wenn das erste Maßnahmesignal (224) und das zweite Maßnahmesignal (228) nicht in einer vorbestimmten Beziehung zueinanderstehen.

Description

  • Die vorliegende Erfindung bezieht sich auf ein Verfahren und eine Vorrichtung zur Absicherung eines Errorhandlers für eine Abarbeitung eines Computerprogramms auf einem Rechnersystem sowie ein entsprechendes Computer-Programmprodukt und ein Fahrzeugsteuergerät mit einer solchen Vorrichtung.
  • Bei der Entwicklung von Embedded-Software fordern die einschlägigen Normen einen modularen Aufbau des Programms in logische Einheiten beziehungsweise Module. Dies wird gefordert, weil die Zerlegung eines umfangreichen Programms in abgeschlossene Module mit definiertem Funktionsumfang die Gefahr von Fehlern beim Programmieren mutmaßlich verringert. Andererseits entstehen durch die Modularisierung beim späteren Betrieb der Software neue Risiken, die insbesondere dann beherrscht werden müssen, wenn spezifizierte Sicherheitsanforderungsstufen für sicherheitsrelevante Systeme in Kraftfahrzeugen, auch als ASIL abgekürzt für „Automotive Safety Integrity Level“ (gemäß ISO 26262) spezifiziert sind. Dazu gehört vor allem das Betriebssystem des Steuergerätes, welches in der Regel nicht für die Anforderungen der Funktionalen Sicherheit qualifiziert ist. Für das Steuergerät, das Betriebssystem des Steuergeräts, wie auch andere externe Komponenten, ist die Rückwirkungsfreiheit nachzuweisen und es sind Mechanismen zur Fehlerentdeckung, sogenannte Überwachungsfunktionen, vorzusehen. Die von den Überwachungsfunktionen entdeckten Hinweise auf Fehler, im Folgenden Fehlersymptome oder schlicht Symptome genannt, werden an einen Errorhandler weitergemeldet und von diesem zu einem Fehler qualifiziert. Der Errorhandler löst mit Qualifizierung des Symptoms zum Fehler entsprechende sicherheitsrelevante Maßnahmen bzw. Maßnahmesignale aus. Ein derartiger Errorhandler wird auch als Diagnostic Event Manager (DEM), Diagnoseverwaltung oder Error Management System (EMS) bezeichnet.
  • Zur Absicherung eines Errorhandlers kann ein weiterer vom Funktionsumfang stark reduzierter kleiner Errorhandler implementiert werden. Dabei weisen der eigentliche Errorhandler und der kleine Errorhandler eine vergleichbare Datenstruktur auf, um keine Fehldiagnosen zu erhalten. Dabei ist die Datenstruktur des Errorhandlers redundant in dem kleinen Errorhandler ausgeführt.
  • Die Schrift DE 10 2004 046 611 A1 offenbart ein Verfahren zur Abarbeitung eines Computerprogramms auf einem Computersystem. Bei der Ausführung eines mindestens ein Laufzeitobjekt umfassenden Computerprogramms, das auf einem Computersystem ausgeführt wird, können Fehler auftreten, die durch eine Fehlererkennungseinheit erkannt werden können. Um einen erkannten Fehler flexibel zu behandeln, wird vorgeschlagen, eine Fehlerbehandlungsroutine in Abhängigkeit von einer dem Laufzeitobjekt zugeordneten Kennung auszuwählen und die ausgewählte Fehlerbehandlungsroutine auszuführen.
  • Vor diesem Hintergrund schafft die vorliegende Erfindung ein verbessertes Verfahren zur Absicherung eines Errorhandlers für eine Abarbeitung eines Computerprogramms auf einem Rechnersystem, eine Vorrichtung zur Absicherung eines Errorhandlers für eine Abarbeitung eines Computerprogramms auf einem Rechnersystem sowie ein entsprechendes Computer-Programmprodukt gemäß den Hauptansprüchen. Vorteilhafte Ausgestaltungen ergeben sich aus den Unteransprüchen und der nachfolgenden Beschreibung.
  • Eine Nachricht kann mit einem digitalen Signal übertragen werden. Bei der Übertragung des digitalen Signals können Bitkipper das Signal verfälschen. Bitkipper können durch verschiedene äußere Einflüsse wie beispielsweise α-Strahlung bedingt sein. Um einen Übertragungsfehler zu erkennen und dadurch zu vermeiden, kann ein digitales Signal zusätzlich als ein zu dem digitalen Signal komplementäres digitales Signal übertragen werden. Bei einem Vergleich des ursprünglichen digitalen Signals mit dem komplementären digitalen Signal kann dann ein Symptom für einen Übertragungsfehler, also ein Fehlersymptom, erkannt werden. In einem zweiten Schritt kann das digitale Signal dazu verwendet werden, eine Symptombehandlung zu bestimmen. Ebenso kann das zu dem digitalen Signal komplementäre digitale Signal dazu verwendet werden eine weitere Symptombehandlung zu bestimmen. Durch eine voneinander unabhängige Bestimmung einer Symptombehandlung und einem Vergleich der beiden Ergebnisse kann eine sichere Abarbeitung einer Symptombehandlung durch Redundanz, wie dies beispielsweise für sicherheitsrelevante Systeme in Kraftfahrzeugen gefordert wird, erreicht werden. Bei einer Symptombehandlung handelt es sich insbesondere um die Durchführung einer oder mehrerer Maßnahmen, die auf das jeweilige Fehlersymptom zugeschnitten sind. Hierbei handelt es sich insbesondere um Sicherheitsmaßnahmen, mit dem Ziel, den zu Grunde liegenden Fehler unkritisch zu halten.
  • Das vorgestellte Verfahren erlaubt eine Absicherung von Überwachungsfunktionen und der zugehörigen Ersatzmaßnahmen gemäß den Safety-Normen (hier IS026262) mit deutlicher Erleichterung bei der Bedatung und Ermöglichung von zentralen Entprellzeiten sowie sehr einfachem Handling für den Anwender und Reduzierung von sporadischen Resets mit entsprechend aufwendiger Fehlersuche aufgrund von Fehlbedatungen.
  • Ein Verfahren zur Absicherung eines Errorhandlers für eine Abarbeitung eines Computerprogramms auf einem Rechnersystem, das zumindest eine Recheneinheit umfasst, wobei das Computerprogramm zumindest ein Laufzeitobjekt aufweist, umfasst die folgenden Schritte:
    Einlesen eines Überwachungssignals des Laufzeitobjekts, wobei das Überwachungssignal zumindest einen Parameter und zumindest einen hierzu komplementären Parameter aufweist;
    Aufteilen des Überwachungssignals in ein den Parameter repräsentierendes Teilsignal und ein den komplementären Parameter repräsentierendes komplementäres Teilsignal;
    Bestimmen eines ersten Maßnahmesignals ansprechend auf das den Parameter repräsentierende Teilsignal des Überwachungssignals unter Verwendung einer Verarbeitungsvorschrift sowie Bestimmen eines zweiten Maßnahmesignals ansprechend auf das den komplementären Parameter repräsentierende komplementäre Teilsignal des Überwachungssignals unter Verwendung der Verarbeitungsvorschrift, wobei das erste Maßnahmesignal und/oder das zweite Maßnahmesignal ein Nachrichtensignal repräsentiert, welches ausgebildet ist, eine Maßnahme und/oder eine Symptombehandlung zu initiieren; und
    Vergleichen des ersten Maßnahmesignals und des zweiten Maßnahmesignals, wobei bei einem negativen Ergebnis des Vergleichs ein Rücksetzsignal erzeugt wird, um den Errorhandler der Abarbeitung des Computerprogramms abzusichern, wobei das Rücksetzsignal dazu ausgebildet ist, dass ein Systemreset und/oder ein Notprogramm und/oder ein Rücksetzen der Funktion und/oder ein Reset initiiert wird, wobei ein negatives Ergebnis des Vergleichs erzeugt wird, wenn das erste Maßnahmesignal und das zweite Maßnahmesignal nicht in einer vorbestimmten Beziehung zueinanderstehen.
  • Ein Fahrzeug, insbesondere ein Kraftfahrzeug, kann ein Rechnersystem aufweisen. Das Rechnersystem kann als Steuergerät bezeichnet werden. Das Rechnersystem kann zumindest eine Recheneinheit aufweisen. Dabei kann unter einer Recheneinheit ein Prozessor oder eine CPU verstanden werden. Alternativ kann das Rechnersystem eine Mehrzahl von Recheneinheiten, insbesondere ein Vielfaches von zwei Recheneinheiten aufweisen. Auf dem Rechnersystem kann ein Computerprogramm ausgeführt werden.
  • Für ein Fehlersymptom einer Funktion oder eines Laufzeitobjekt des Computerprogramms kann eine Symptombehandlung sowie eine Absicherung der Symptombehandlung vorgesehen sein. Die Symptombehandlung kann von einem Errorhandler durchgeführt werden, wobei der Errorhandler eine hardwaretechnische Einrichtung oder alternativ ein Software-Modul sein kann.
  • Das Überwachungssignal kann zumindest einen Parameter und zumindest einen hierzu komplementären Parameter aufweisen. Das Laufzeitobjekt kann eine Funktionalität aufweisen, mit der ein lokales Fehlersymptom in dem Laufzeitobjekt erkannt werden kann. Das Laufzeitobjekt kann ein Überwachungssignal bereitstellen. Das Überwachungssignal des Laufzeitobjekts kann eine Information über das Laufzeitobjekt und über einen Fehler, eine Fehlerart, ein Fehlersymptom oder eine Prüfbedingung aufweisen. Dabei kann die Information als eine binär gespeicherte Information vorliegen. Dabei kann unter einem komplementären Parameter ein sogenanntes Einerkomplement des Parameters verstanden werden. Unter einem komplementären Parameter kann ein invertierter Parameter verstanden werden.
  • Das Überwachungssignal kann zumindest zwei Teilsignale aufweisen. So kann das Überwachungssignal ein erstes Teilsignal und ein zweites Teilsignal umfassen. Das erste Teilsignal und das komplementäre Teilsignal können in einem Speicher zwischengespeichert werden. Dabei können nicht benachbarte Speicherbereiche für das Teilsignal und das komplementäre Teilsignal gewählt werden. Der Speicherbereich kann ansprechend auf den Parameter und den komplementären Parameter gewählt werden.
  • Das Verfahren zur Absicherung eines Errorhandlers kann im Schritt des Bestimmens ein erstes Maßnahmesignal und ein zweites Maßnahmesignal bestimmen. Unter einem Maßnahmesignal kann ein Nachrichtensignal verstanden werden, welches von einem Modul derart interpretiert wird, dass eine Maßnahme ausgeführt werden kann. Die Maßnahme kann dazu geeignet sein eine Symptombehandlung durchzuführen.
  • Im Schritt des Vergleichens werden das erste Maßnahmesignal und das zweite Maßnahmesignal verglichen. Dabei wird überprüft, ob das erste Maßnahmesignal und das zweite Maßnahmesignal nicht in einer vorbestimmten Beziehung zueinanderstehen. Dabei kann die vorbestimmte Beziehung ein entsprechen des ersten Maßnahmesignals und des zweiten Maßnahmesignals bedeuten. Unter einem negativen Ergebnis kann dabei verstanden werden, wenn bei einem Vergleich eine falsche Aussage als Ergebnis erzeugt wird. Wenn die Symptombehandlung korrekt durchgeführt wird, und bei der Übertragung von Information kein Fehler, wie beispielsweise ein Bitkipper, aufgetreten ist, so können das erste Maßnahmesignal und das zweite Maßnahmesignal sich entsprechen.
  • Im Schritt des Vergleichens kann ein Rücksetzsignal erzeugt werden. Das Rücksetzsignal kann ein Zurücksetzen des Errorhandlers oder alternativ des Rechnersystems bedingen. Unter einem Zurücksetzen kann auch die Abschaltung des Rechnersystems oder alternativ eines Teilsystems des Rechnersystems verstanden werden. Das abgeschaltete Rechnersystem oder das abgeschaltete Teilsystem des Rechnersystems kann dann erneut gestartet werden.
  • Günstig ist es auch, wenn zwischen dem Bestimmen des ersten Maßnahmesignals und dem Bestimmen des zweiten Maßnahmesignals keine für die Symptombehandlung relevante Unterbrechung beispielsweise durch ein Betriebssystem erfolgt. Eine Unterbrechung kann beispielsweise zu einer Veränderung einer globalen Prüfbedingung führen. So kann eine Unterbrechung zwischen dem Bestimmen des ersten Maßnahmesignals und dem Bestimmen des zweiten Maßnahmesignals zu einem unterschiedlichen Ergebnis führen und somit einen Fehler hervorrufen oder zu einer Ausgabe eines Rücksetzsignals führen.
  • Günstig ist es auch, wenn in einer Ausführungsform im Schritt des Einlesens als der zumindest eine Parameter ein Fehlercode und als komplementärer Parameter ein zu dem Fehlercode komplementärer Fehlercode eingelesen wird. So kann der Fehlercode eine Information über das Laufzeitobjekt oder über einen Fehler des Laufzeitobjekts beziehungsweise einen Fehler, der bei der Ausführung des Laufzeitobjekts aufgetreten ist, bezeichnen. Vorteilhaft kann der als Parameter eingelesene Fehlercode Aufschluss über ein Fehlersymptom liefern.
  • Ferner kann im Schritt des Einlesens als der zumindest eine Parameter eine Fehlerart und/oder ein Symptom-Status und/oder ein Prüfbedingungsstatus eingelesen werden. Ferner kann im Schritt des Einlesens als der zumindest eine Parameter eine komplementäre Fehlerart und/oder ein komplementärer Symptom-Status und/oder ein komplementärer Prüfbedingungsstatus eingelesen werden. Durch die Übertragung eines Wertepaares aus einer Information und der dazu komplementären Information kann die Sicherheit der Übertragung erhöht werden beziehungsweise eine fehlerhafte Übertragung erkannt werden, die das Fehlersymptom verursachte.
  • Entsprechend einer Ausführungsform der vorliegenden Erfindung weist das Verfahren einen Schritt des Bildens eines komplementären Maßnahmesignals unter Verwendung des ersten Maßnahmesignals und Ausgeben des ersten Maßnahmesignals und des komplementären Maßnahmesignals auf. Dabei kann der Schritt des Bildens nach dem Schritt des Bestimmens und gleichzeitig parallel zu dem Schritt des Vergleichens oder alternativ nach dem Schritt des Vergleichens ausgeführt werden. Analog zum Einlesen des Parameters und des komplementären Parameters kann mit einem zu dem Maßnahmesignal komplementären Maßnahmesignal und einem Ausgeben oder Übertragen des Maßnahmesignals und des komplementären Maßnahmesignals die Übertragungssicherheit für das Maßnahmesignal verbessert werden. Ein Empfänger kann einfach und effizient das Maßnahmesignal mit dem komplementären Maßnahmesignal auf ein Fehlersymptom eines Übertragungsfehlers vergleichen. In einer Ausführungsform kann das zweite Maßnahmesignal dem komplementären Maßnahmesignal entsprechen.
  • In einer Ausführungsform kann das Verfahren einen Schritt des zyklischen Befehlssatztests umfassen. Der zyklische Befehlssatztest kann im Schritt des Einlesens ein vordefiniertes Überwachungssignal bereitstellen, wobei nach dem Schritt des Bildens eines komplementären Maßnahmesignals das ansprechend auf das vordefinierte Überwachungssignal gebildete erste Maßnahmesignal und das hierzu komplementäre Maßnahmesignal herausgefiltert werden, und im Schritt des zyklischen Befehlssatztests mit einer dem vordefinierten Überwachungssignal zugeordneten Testmaßnahme und komplementären Testmaßnahme verglichen wird. Dabei kann bei einem negativen Ergebnis ein Rücksetzsignal erzeugt werden. Der zyklische Befehlssatztest kann zusätzlich zu einem Mikrokontroller-Befehlssatztest der Recheneinheit durchgeführt werden. Dabei können in dem zyklischen Befehlssatztest die Verfahrensschritte oder die Befehle in der Reihenfolge gestestet werden, wie diese bei einem produktiven Einsatz des Verfahrens genutzt werden. Bei einem zyklischen Befehlssatztest kann sichergestellt werden, dass alle Verfahrensschritte oder Befehle getestet werden. Ein zyklischer Befehlssatztest kann unabhängig von einer Funktion oder einem Laufzeitobjekt sein. So kann ein zyklischer Befehlssatztest einen einzelnen Befehl testen. So kann unter einem zyklischen Befehlssatztest ein funktionaler Befehlssatztest verstanden werden.
  • Ferner kann in einer Ausführungsform im Schritt des Bestimmens das erste Maßnahmesignal und das zweite Maßnahmesignal unter Verwendung einer Filtervorschrift bestimmt werden. Die Filtervorschrift kann eine Anzahl des Auftretens eines Teilsignals beschreiben. Alternativ kann die Filtervorschrift ein Zeitintervall beschreiben, in der ein Laufzeitobjekt zu einem bestimmten Teilsignal führt, das heißt, ein Zeitintervall, in dem ein bestimmtes Fehlersymptom anliegt. In einer Ausführungsform kann die Filtervorschrift das Teilsignal direkt weiterleiten, insbesondere ohne eine Filterung. Dabei kann die Filtervorschrift für verschiedene Teilsignale oder alternativ Überwachungssignale unterschiedlich den Schritt des Bestimmens beeinflussen.
  • Günstig ist es auch, wenn in einer Ausführungsform im Schritt des Aufteilens das Teilsignal an einen ersten Speicherbereich des Rechnersystems und das komplementäre Teilsignal an einen zweiten Speicherbereich des Rechnersystems adressiert werden. Dabei können der adressierte erste Speicherbereich und der adressierte zweite Speicherbereich nicht benachbart sein. Insbesondere können eine dem ersten Teilsignal zugeordnete erste Speicheradresse und eine dem zweiten Teilsignal zugeordnete zweite Speicheradresse nicht benachbarte (also voneinander entfernte) physikalische Bereiche eines Speichers des Rechnersystems repräsentieren. Einem Teilsignal kann ein Fehlercode oder eine Konstante für einen Fehlercode zugeordnet werden. Einem komplementären Teilsignal kann ein komplementärer Fehlercode oder eine Konstante für einen komplementären Fehlercode zugeordnet werden. So können ein Teilsignal und ein komplementäres Teilsignal einen großen Nummernabstand aufweisen. Dabei können in einer Vorrichtung, in der das Verfahren ausgeführt wird, beziehungsweise in einem Speicher der Vorrichtung verschiedene Stack-Zellen, RAM-Zellen oder Adressbereiche verwendet werden.
  • In einer Ausführungsform kann im Schritt des Bestimmens zwischen dem Bestimmen des ersten Maßnahmesignals und dem Bestimmen des zweiten Maßnahmesignals eine Mehrzahl von Speicherzellen alloziert werden. Eine Allokation von Speicherzellen kann ein Speichern des ersten Maßnahmesignals oder des Teilsignals in einem nicht benachbarten Speicherbereich zu dem Speicherbereich, in dem das komplementäre Teilsignal oder das zweite Maßnahmesignal gespeichert ist, bedingen. Vorteilhaft können die zwei Teilschritte des Bestimmens verschiedene Speicherbereiche nutzen. Vorteilhaft kann ein „common cause“ verhindert werden.
  • Ferner kann im Schritt des Bestimmens das erste Maßnahmesignal und das zweite Maßnahmesignal aus einer vorgebbaren Menge von Maßnahmen repräsentierenden Maßnahmesignalen bestimmt werden. Die von dem Verfahren auszulösenden Maßnahmen können vordefiniert sein. So können vordefinierte Maßnahmesignale den vordefinierten Maßnahmen entsprechen. So kann die vorgebbare Menge von Maßnahmen limitiert sein. Verschiedene Fehlersymptome können zu einer gemeinsamen Maßnahme führen. So kann die Anzahl der unterschiedlichen Fehlersymptome größer als die Anzahl der unterschiedlichen Maßnahmesignale oder Maßnahmen sein.
  • Es wird eine Vorrichtung zur Absicherung eines Errorhandlers für eine Abarbeitung eines Computerprogramms auf einem Rechnersystem vorgestellt. Dabei umfasst das Rechnersystem zumindest eine Recheneinheit, wobei das Computerprogramm zumindest ein Laufzeitobjekt aufweist. Die Vorrichtung ist ausgebildet, in entsprechenden Einrichtungen ein Verfahren zur Absicherung eines Errorhandlers für eine Abarbeitung eines Computerprogramms auf einem Rechnersystem auszuführen Dabei weist die Vorrichtung die folgenden Merkmale auf:
    eine Einrichtung zum Einlesen eines Überwachungssignals des Laufzeitobjekts, wobei das Überwachungssignal zumindest einen Parameter und zumindest einen hierzu komplementären Parameter aufweist;
    eine Einrichtung zum Aufteilen des Überwachungssignals in ein den Parameter repräsentierendes Teilsignal und ein den komplementären Parameter repräsentierendes komplementäres Teilsignal;
    eine Einrichtung zum Bestimmen eines ersten Maßnahmesignals ansprechend auf das den Parameter repräsentierende Teilsignal des Überwachungssignals unter Verwendung einer Verarbeitungsvorschrift sowie Bestimmen eines zweiten Maßnahmesignals ansprechend auf das den komplementären Parameter repräsentierende komplementäre Teilsignal des Überwachungssignals unter Verwendung der Verarbeitungsvorschrift, wobei das erste Maßnahmesignal und/oder das zweite Maßnahmesignal ein Nachrichtensignal repräsentiert, welches ausgebildet ist, eine Maßnahme und/oder eine Fehlerbehandlung zu initiieren;
    eine Einrichtung zum Vergleichen des ersten Maßnahmesignals und des zweiten Maßnahmesignals, wobei bei einem negativen Ergebnis des Vergleichs ein Rücksetzsignal erzeugt wird, um den Errorhandler der Abarbeitung des Computerprogramms abzusichern, wobei das Rücksetzsignal dazu ausgebildet ist, dass ein Systemreset und/oder ein Notprogramm und/oder ein Rücksetzen der Funktion und/oder ein Reset initiiert wird, wobei ein negatives Ergebnis des Vergleichs erzeugt wird, wenn das erste Maßnahmesignal und das zweite Maßnahmesignal nicht in einer vorbestimmten Beziehung zueinanderstehen.
  • Dabei ist die Vorrichtung ausgebildet, die Schritte des Verfahrens zur Absicherung eines Errorhandlers für eine Abarbeitung eines Computerprogramms auf einem Rechnersystem in entsprechenden Einrichtungen auszuführen.
  • Unter einer Vorrichtung kann ein Steuergerät oder ein Rechnersystem, insbesondere eines Fahrzeugs, verstanden werden. Eine Vorrichtung kann ein elektrisches Gerät sein, das Sensorsignale verarbeitet und in Abhängigkeit davon Steuersignale ausgibt. Die Vorrichtung kann eine oder mehrere geeignete Schnittstelle aufweisen, die hard- und/oder softwaremäßig ausgebildet sein können. Bei einer hardwaremäßigen Ausbildung können die Schnittstellen beispielsweise Teil einer integrierten Schaltung sein, in der Funktionen der Vorrichtung umgesetzt sind. Die Schnittstellen können auch eigene, integrierte Schaltkreise sein oder zumindest teilweise aus diskreten Bauelementen bestehen. Bei einer softwaremäßigen Ausbildung können die Schnittstellen Softwaremodule sein, die beispielsweise auf einem Mikrocontroller neben anderen Softwaremodulen vorhanden sind. Die vorliegende Erfindung umfasst auch ein Fahrzeugsteuergerät mit einer solchen Vorrichtung.
  • Die Vorrichtung ist ausgebildet zur Absicherung von Überwachungsfunktionen und zugehöriger Maßnahmen beziehungsweise Ersatzmaßnahmen gemäß Safety-Normen, wie beispielsweise IS026262, mit deutlicher Erleichterung bei der Bedatung und Ermöglichung von zentralen Entprellzeiten sowie sehr einfachem Handling für den Anwender und Reduzierung von sporadischen Resets mit entsprechend aufwendiger Fehlersuche. Die Vorrichtung hat außerdem den Vorteil, dass bei Umdefinition der Fehlersymptome der Programmcode für die Absicherung des Errorhandlers unverändert bleiben kann und hierfür kein Umsetzungsaufwand anfällt.
  • Auch ist es günstig, wenn durch eine teilweise Verdoppelung der Datenablage in der Einrichtung zum Bestimmen, beziehungsweise im Errorhandler-Kern, und den parallelen Aufruf durch Überwachung von zwei Parametern, das heißt einem Parameter und einem komplementären Parameter oder alternativ zwei Fehlercodes, wird der identische Programmcode zweimal ausgeführt, sowie durch eine Einrichtung zum zyklischen Befehlssatztesten, beziehungsweise eine sogenannte Level 2’-Funktion, kann die korrekte Ausführung des Programmcodes sichergestellt werden. Dabei fällt vorteilhaft nur einmal Umsetzungsaufwand an. Von zeitlichem Vorteil ist, wenn nur noch einmal Fehlercodes angelegt werden müssen. Durch lokal eingrenzbare Änderungen kann der Testaufwand reduziert werden. Vorteilhaft kann die Kommunikationskomplexität verringert werden.
  • Von Vorteil ist auch ein Computerprogrammprodukt mit Programmcode, der auf einem maschinenlesbaren Träger wie einem Halbleiterspeicher, einem Festplattenspeicher oder einem optischen Speicher gespeichert sein kann und zur Durchführung des Verfahrens nach einer der vorstehend beschriebenen Ausführungsformen verwendet wird, wenn das Programm auf einem Computer oder einer Vorrichtung ausgeführt wird.
  • Die Erfindung wird anhand der beigefügten Zeichnungen beispielhaft näher erläutert. Es zeigen:
  • 1 eine schematische Darstellung eines Fahrzeugs mit einer Vorrichtung zur Absicherung eines Errorhandlers gemäß einem Ausführungsbeispiel der vorliegenden Erfindung;
  • 2 ein Blockschaltbild einer Vorrichtung zur Absicherung eines Errorhandlers für eine Abarbeitung eines Computerprogramms auf einem Rechnersystem gemäß einem Ausführungsbeispiel der vorliegenden Erfindung;
  • 3 ein Ablaufdiagramm eines Verfahrens zur Absicherung eines Errorhandlers für eine Abarbeitung eines Computerprogramms auf einem Rechnersystem gemäß einem Ausführungsbeispiel der vorliegenden Erfindung;
  • 4 ein Ablaufdiagramm eines Verfahrens gemäß einem Ausführungsbeispiel der vorliegenden Erfindung; und
  • 5 ein Blockdiagramm einer Vorrichtung gemäß einem Ausführungsbeispiel der vorliegenden Erfindung.
  • In der nachfolgenden Beschreibung bevorzugter Ausführungsbeispiele der vorliegenden Erfindung werden für die in den verschiedenen Figuren dargestellten und ähnlich wirkenden Elemente gleiche oder ähnliche Bezugszeichen verwendet, wobei auf eine wiederholte Beschreibung dieser Elemente verzichtet wird.
  • 1 zeigt eine schematische Darstellung eines Kraftfahrzeugs 100 mit einer Vorrichtung 102 zur Absicherung eines Errorhandlers gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. Das Kraftfahrzeug 100 weist ein Rechnersystem 104 auf. Bei dem Rechnersystem 104 kann es sich dabei in einem Ausführungsbeispiel um ein Steuergerät, insbesondere ein Fahrzeugsteuergerät, handeln. Das Rechnersystem 104 weist zumindest eine Rechnereinheit 106 sowie einen Speicher 108 auf. In einem nicht gezeigten Ausführungsbeispiel weist das Rechnersystem 104 zumindest zwei Rechnereinheiten 106 auf. In diesem Fall kann auch von einem Mehrkern-Rechner oder von einem Rechnersystem 104 mit einer Mehrkern-CPU gesprochen werden. Das Rechnersystem 104 ist ausgebildet, ein Computerprogramm auszuführen. Das Computerprogramm weist zumindest ein Laufzeitobjekt auf. Unter einem Laufzeitobjekt kann dabei eine Funktion oder ein Programmmodul verstanden werden. Das Laufzeitobjekt wird überwacht und ein entsprechendes Überwachungssignal bereitgestellt. Die Vorrichtung 102 ist ausgebildet, unter Verwendung des Überwachungssignals den Errorhandler abzusichern. Die Vorrichtung 102 wird in der folgenden 2 detaillierter beschrieben.
  • In einem Ausführungsbeispiel handelt es sich bei dem Rechnersystem 104 um ein Getriebesteuergerät. Ferner handelt es sich in einem anderen Ausführungsbeispiel bei dem Rechnersystem 104 um ein Steuergerät für eine Lenkung des Fahrzeugs 100, oder für ein Fahrwerk des Kraftfahrzeugs 100 oder allgemein um ein Steuergerät für eine spezifische Fahrzeug-Komponente.
  • 2 zeigt ein Blockschaltbild einer Vorrichtung 102 zur Absicherung eines Errorhandlers für eine Abarbeitung eines Computerprogramms auf einem Rechnersystem 104 gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. Bei der Vorrichtung 102 kann es sich um die bereits in 1 gezeigte Vorrichtung 102 handeln. Dabei weist das Computerprogramm zumindest ein Laufzeitobjekt 210 auf. Die Vorrichtung ist ausgebildet, in entsprechenden Einrichtungen ein Verfahren zur Absicherung eines Errorhandlers für eine Abarbeitung eines Computerprogramms auf einem Rechnersystem auszuführen.
  • Die Vorrichtung 102 weist eine Einrichtung zum Einlesen 212 eines Überwachungssignals 214 des Laufzeitobjekts 210 auf. Unter der Einrichtung zum Einlesen 212 kann eine Schnittstelle 212 verstanden werden. Das Überwachungssignal 214 weist zumindest einen Parameter und zumindest einen hierzu komplementären Parameter auf. Weiterhin weist die Vorrichtung 102 eine Einrichtung zum Aufteilen 216 des Überwachungssignals 214 in ein den Parameter repräsentierendes Teilsignal 218 und ein den komplementären Parameter repräsentierendes komplementäres Teilsignal 220 auf. Die Einrichtung zum Aufteilen 216 kann als Splitter 216 bezeichnet werden. Die Einrichtung zum Aufteilen 216 ist verbunden mit einer Einrichtung zum Bestimmen 222. Unter der Einrichtung zum Bestimmen 222 kann insbesondere ein Kern des Errorhandlers verstanden werden. Die Einrichtung zum Bestimmen 222 bestimmt ein erstes Maßnahmesignal 224 ansprechend auf das den Parameter repräsentierende Teilsignal 218 des Überwachungssignals 214 unter Verwendung einer Verarbeitungsvorschrift 226. In einem zweiten Teilschritt bestimmt die Einrichtung zum Bestimmen 222 ein zweites Maßnahmesignal 228 ansprechend auf das den komplementären Parameter repräsentierende komplementäre Teilsignal 220 des Überwachungssignals 214 unter Verwendung der Verarbeitungsvorschrift 226.
  • Das erste Maßnahmesignal 224 sowie das zweite Maßnahmesignal 228 repräsentieren dabei ein Nachrichtensignal, welches derart ausgestaltet ist, eine Maßnahme oder eine Symptombehandlung zu initiieren. Das von der Einrichtung zum Bestimmen 222 bestimmte erste Maßnahmesignal 224 und das zweite Maßnahmesignal 228 werden in einer Einrichtung zum Vergleichen 230 miteinander verglichen. Die Einrichtung zum Vergleichen 230 kann in einer Kurzform auch als Vergleicher 230 bezeichnet werden. Bei einem negativen Ergebnis des Vergleichs wird ein Rücksetzsignal 232 erzeugt. Die Einrichtung zum Vergleichen 230 gibt ein negatives Ergebnis, wenn das erste Maßnahmesignal 224 und das zweite Maßnahmesignal 228 nicht in einer vorbestimmten Beziehung zueinanderstehen. In einem Ausführungsbeispiel sollen das erste Maßnahmesignal 224 und das zweite Maßnahmesignal 228 übereinstimmen. In einem Ausführungsbeispiel soll das zweite Maßnahmesignal 228 komplementär zu dem ersten Maßnahmesignal 224 sein. Die Einrichtung zum Vergleichen 230 überprüft die Ergebnisse der Einrichtung zum Bestimmen 222.
  • Die folgenden Einrichtungen stellen optionale Weiterentwicklungen der Einrichtung 102 zur Absicherung eines Errorhandlers für eine Abarbeitung eines Computerprogramms auf einem Rechnersystem dar.
  • Je nach Ausführungsbeispiel kann das Rücksetzsignal 232 unterschiedlich ausgebildet sein. Das Rücksetzsignal kann einen Systemreset, ein Notprogramm ein Rücksetzen des Laufzeitobjekts, ein Rücksetzen einer Funktion, einen Neustart einer hardwaretechnischen Komponente oder allgemein einen Reset bewirken.
  • Die Einrichtung zum Einlesen 212, die Einrichtung zum Aufteilen 216, die Einrichtung zum Bestimmen 222 sowie die Einrichtung zum Vergleichen 230 können in einem Ausführungsbeispiel als softwaretechnische Module auf dem Rechnersystem 104 ausgeführt werden.
  • In einem Ausführungsbeispiel wird in der Einrichtung zum Bestimmen 222 das erste Maßnahmesignal 224 sowie das zweite Maßnahmesignal 228 unter Verwendung einer Filtervorschrift 234 bestimmt. Die Filtervorschrift kann bewirken, dass ein Maßnahmesignal erzeugt wird, wenn ein Fehlersymptom wiederholt auftritt. Dabei kann als Filterschwelle beispielsweise ein Zeitintervall genutzt werden. Das Zeitintervall kann eine Zeitdauer beschreiben, in der ein Fehlersymptom anliegen muss, um ein entsprechendes Maßnahmesignal zu bestimmen. Eine alternative Filtervorschrift 234 kann auf eine vorbestimmte Anzahl von Fehlersymptommeldungen filtern. In einem Ausführungsbeispiel wird in der Einrichtung zum Bestimmen 222 das erste Maßnahmesignal 224 sowie das zweite Maßnahmesignal 228 unter Verwendung einer vorgegebenen Menge von Maßnahmen repräsentierenden Maßnahmesignalen 236 bestimmt.
  • In einem Ausführungsbeispiel ist die Einrichtung zum Bestimmen 222 mit einer Einrichtung zur Allokation von Speicherzellen 238 verbunden. Zwischen dem Bestimmen des ersten Maßnahmesignals 224 und dem Bestimmen des zweiten Maßnahmesignals 228 alloziert die Einrichtung zur Allokation von Speicherzellen 238 eine vordefinierte Anzahl von Speicherzellen.
  • In einem Ausführungsbeispiel ist die Einrichtung zum Bestimmen 222 mit einer Einrichtung zum Bilden 240 eines komplementären Maßnahmesignals 242 verbunden. Die Einrichtung zum Bilden 240 vergleicht das erste Maßnahmesignal 224 sowie das zweite Maßnahmesignal 228 und bildet ein zu dem ersten Maßnahmesignal 224 komplementäres Maßnahmesignal 242.
  • In einem Ausführungsbeispiel weist die Vorrichtung 102 eine Einrichtung zum Filtern 244 sowie eine Einrichtung zum zyklischen Befehlssatztesten in 246 auf. Die Einrichtung zum zyklischen Befehlssatztesten 246 ist ausgebildet zumindest ein vordefiniertes Überwachungssignal an der Einrichtung zum Einlesen 212 bereitzustellen, wobei das Ergebnis in Form eines ersten Maßnahmesignals 224 sowie eines komplementären Maßnahmesignals 242 in der Einrichtung zum Filtern 244 herausgefiltert wird und der Einrichtung zum zyklischen Befehlssatztesten 246 wieder zur Verfügung gestellt wird dort wird das Ergebnis mit dem erwarteten Ergebnis verglichen und bei einer Abweichung ein Rücksetzsignal 232 ausgegeben.
  • 3 zeigt ein Ablaufdiagramm eines Verfahrens 350 zur Absicherung eines Errorhandlers für eine Abarbeitung eines Computerprogramms auf einem Rechnersystem gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. Das Verfahren kann auf einer Vorrichtung, wie sie in den Figuren 1 und 2 als Vorrichtung 102 gezeigt ist, ausgeführt werden. Das Computerprogramm weist zumindest ein Laufzeitobjekt auf. Das Laufzeitobjekt ist mit einem Errorhandler verbunden, wobei zur Laufzeit des Laufzeitobjekts oder nach Beendigung der Ausführung des Laufzeitobjekts ein Überwachungssignal 214 bereitgestellt wird. In einem Schritt des Einlesens 352 wird das Überwachungssignal 214 des Laufzeitobjekts eingelesen. Das Überwachungssignal weist zumindest einen Parameter und zumindest einen hierzu komplementären Parameter auf. Der Schritt des Einlesens 352 wird gefolgt von einem Schritt des Aufteilens 354 des Überwachungssignals 214 in ein den Parameter repräsentierendes Teilsignal 218 und ein den komplementären Parameter repräsentierendes komplementäres Teilsignal 220. der Schritt des Aufteilens 354 wird gefolgt von einem Schritt des Bestimmens 356. Im Schritt des Bestimmens 356 wird ein erstes Maßnahmesignal 218 ansprechend auf das Teilsignal 218 sowie ein zweites Maßnahmesignal 228 ansprechend auf das komplementäre Teilsignal 220 bestimmt. Das Maßnahmesignal 218 kann als ein Nachrichtensignal 218 für eine Maßnahme bezeichnet werden. Das Maßnahmesignal ist ausgebildet, eine Maßnahme und/oder eine Symptombehandlung zu initiieren. Ein Schritt des Vergleichens 358 vergleicht das erste Maßnahmesignal 224 und das zweite Maßnahmesignal 228. Es wird überprüft ob das erste Maßnahmesignal 224 wie das zweite Maßnahmesignal 228 in einer vorbestimmten Beziehung zueinanderstehen. Wenn das erste Maßnahmesignal 224 und das zweite Maßnahmesignal 228 nicht in einer vorbestimmten Beziehung zueinanderstehen, wird ein negatives Ergebnis des Vergleichs erzeugt und ein Rücksetzsignal 232 ausgegeben.
  • 4 zeigt ein Ablaufdiagramm eines Verfahrens 350 gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. Bei dem Verfahren 350 kann es sich um das bereits in 3 gezeigte Verfahren 350 handeln. So kann das Verfahren 250 auf eine entsprechenden in 1 sowie 2 gezeigten Vorrichtung ausgeführt werden. Die Schritte 352, 354, 356 sowie 358 des Verfahrens 350 entsprechen dem bereits in 3 beschriebenen Schritten, das heißt dem Schritt des Einlesens 352, im Schritt des Aufteilens 354, dem Schritt des Bestimmens 156 sowie im Schritt des Vergleichens 358.
  • Ferner wird in einem Ausführungsbeispiel im Schritt des Aufteilens 354 das Teilsignal 218 und das komplementäre Teilsignal 220 in einem Speicher zwischengespeichert. Der Schritt des Bestimmens 356 kann zweimal hintereinander aufgerufen werden, um bei einem ersten Aufruf ansprechend auf das Teilsignal 218 ein erstes Maßnahmesignal 224 und bei einem zweiten Aufruf ansprechend auf das komplementäre Teilsignal 220 ein zweites Maßnahmesignal 228 zu bestimmen. In einem derartigen Ausführungsbeispiel wird eine Redundanz bei dem Bestimmen eines Maßnahmesignals erzeugt.
  • In einem Ausführungsbeispiel wird parallel zu dem Schritt des Bestimmens 356 ein Schritt des Allozierens 460 ausgeführt. Zwischen dem Bestimmen des ersten Maßnahmesignals ansprechend auf das Teilsignal 218 und dem Bestimmen des zweiten Maßnahmesignals ansprechend auf das komplementäre Teilsignal 220 wird im Schritt des Allozierens ein Speicherbereich alloziert. Durch die Allokation von Speicherzellen zwischen den beiden Teilschritten des Schritts des Bestimmens 356 können Fehler im Speicher oder andere hardwaremäßig vorliegende Fehler besser erkannt oder alternativ vermieden werden.
  • In einem Ausführungsbeispiel wird In einem Schritt des Bildens 462 eines komplementären Maßnahmesignals 242 ein zu dem ersten Maßnahmesignal 224 komplementäres Maßnahmesignal 242 gebildet. Der Schritt des Bildens 462 wird in einem Ausführungsbeispiel parallel zu dem Schritt des Vergleichens 358 ausgeführt. in einem Ausführungsbeispiel wird der Schritt des Bildens 462 nach dem Schritt des Vergleichens 358 ausgeführt. Alternativ wird in einem Ausführungsbeispiel der Schritt des Bildens 462 vor dem Schritt des Vergleichens 358 ausgeführt.
  • In einem nicht gezeigten Ausführungsbeispiel folgt auf den Schritt des Bildens 462 eines komplementären Maßnahmesignals 242 ein Schritt des Ausführens einer Maßnahme, wobei der Schritt des Ausführens einer Maßnahme in einem ersten Teilschritt die korrekte Übertragung des ersten Maßnahmesignals 224 durch einen Vergleich mit dem komplementären Maßnahmesignals 242 überprüft, um dann entsprechend dem ersten Maßnahmesignal eine entsprechende Maßnahme auszuführen. Ein Vergleich eines Signals mit einem hierzu komplementären Signal ist durch einen bitweisen Vergleich möglich, wobei sich die Bits der beiden Signale, das heißt, des Signals und dem hierzu komplementären Signal, immer unterscheiden müssen. Hierbei steht das Signal für die bereits beschriebenen Teilsignale bzw. Maßnahmesignalen und das komplementäre Signal für eines der bereits beschriebenen komplementären Teilsignale bzw. komplementären Maßnahmesignalen.
  • In einem Ausführungsbeispiel stellt ein Schritt des zyklischen Befehlssatztestens 464 ein vordefiniertes Überwachungssignal dem Schritt des Einlesens 352 bereit. Die nach einem Durchlaufen der Schritte des Verfahrens 350, das heißt dem Schritt des Einlesens 352 im Schritt des Aufteilens 354 dem Schritt des Bestimmens 356 sowie dem Schritt des Vergleichens 358 bereitgestellte erste Maßnahmesignal 224 sowie das hierzu komplementäre Maßnahmesignal 242 werden in einem Schritt des Filterns 466 herausgefiltert und dem Schritt des zyklischen Befehlssatztestens 464 zugeführt. Dort wird das Maßnahmesignal 224 sowie das komplementäre Maßnahmesignal 242 mit einem dem vordefinierten Überwachungssignal zugeordneten Testsignal verglichen und bei einer fehlenden Übereinstimmung ein entsprechendes Rücksetzsignal 232 ausgegeben.
  • In einem Ausführungsbeispiel kann im Schritt des Einlesens 352 als der zumindest eine Parameter ein Fehlercode beziehungsweise als komplementärer Parameter ein komplementärer Fehlercode eingelesen werden. Alternativ oder zusätzlich kann im Schritt des Einlesens 352 als Parameter eine Fehlerart, ein Symptom-Status oder ein Prüfbedingungsstatus eingelesen werden. Zu dem eingelesenen Parameter kann in einem Ausführungsbeispiel immer ein komplementärer Parameter eingelesen werden, wie beispielsweise eine komplementäre Fehlerart, ein komplementärer Symptom-Status oder ein komplementärer Prüfbedingungsstatus. Wenn das Überwachungssignal 214 ein digitales Signal darstellt, kann auch unter dem Parameter ein digitales Signal verstanden werden. So unterscheiden sich auch der Parameter und der hierzu komplementäre Parameter bitweise.
  • In einem Ausführungsbeispiel kann im Schritt des Bestimmens 356 das erste Maßnahmesignal 224 sowie das zweite Maßnahmesignal 228 ansprechend auf eine Filtervorschrift erfolgen. Die Filtervorschrift kann eine Zeitspanne, eine Anzahl von wiederholten Maßnahmesignalen oder alternativ eine spezielle Kombination von Maßnahmesignalen definieren. Dabei kann die Filtervorschrift in Abhängigkeit des Maßnahmesignals verschieden sein.
  • In einem Ausführungsbeispiel wird im Schritt des Aufteilens 354 das Teilsignal 218 in einen ersten Speicherbereich adressiert und das komplementäre Teilsignal 220 in einen zweiten Speicherbereich adressiert. Die Speicherbereiche können dabei Bereiche des in 1 oder in 2 dargestellten Speichers repräsentieren. Insbesondere sind in einem Ausführungsbeispiel der erste Speicherbereich und der zweite Speicherbereich nicht benachbarte physikalische Speicherbereiche des Speichers. Zwischen dem ersten Speicherbereich und dem zweiten Speicherbereich können in einem Ausführungsbeispiel eine Mehrzahl von Speicherzellen alloziert werden.
  • Die im Schritt des Bestimmens 356 bestimmten Maßnahmesignale 224, 228 sind in einem Ausführungsbeispiel ein Teil einer vordefinierten Menge von Maßnahmesignalen. Dabei repräsentiert ein Maßnahmesignal eine Maßnahme.
  • Gemäß einem Ausführungsbeispiel entspricht der Vergleichstest 358 einer doppelten Rechnung ohne diversitäre Programmierung. Er entdeckt nicht, wenn ein bestimmter Befehl oder eine bestimmte globale Variable nicht funktioniert, wobei dies durch den zyklischen Befehlssatztest 464 überprüft wird.
  • Gemäß einem Ausführungsbeispiel wird zu jedem für die funktionale Sicherheit relevanten Fehlercode ein komplementärer und identisch bedateter Fehlercode eingeführt. Der Fehlercode und der komplementäre Fehlercode werden jeweils mit möglichst großem Nummern-Abstand angelegt, damit im Errorhandler bei den Fehlercode-spezifischen Variablen jeweils andere Stack- bzw. RAM-Zellen verwendet werden. Im Schritt des Aufteilens 354 können die Parameter ‚Symptom‘ und ‚Prüfbedingung‘ gegen ihre Komplemente geprüft, im Fehlerfall ein Rücksetzsignal ausgegeben beziehungsweise ein Reset ausgelöst werden. Der Schritt des Aufteilens 354 lenkt das Überwachungssignal 214 auf zwei Aufrufe des Schritts des Bestimmens 356. Dabei sind in einem Ausführungsbeispiel der Schritt des Aufteilens 354 und der Schritt des Bestimmens 356 – indirekt – durch eine Programmablaufkontrolle abgesichert, weil sie unmittelbar im Aufruf der Funktion des Errorhandlers ablaufen und diese Funktion ist in einem Ausführungsbeispiel sowohl in den Überwachungsfunktionen als auch im Befehlssatztest durch die Programmablaufkontrolle abgesichert.
  • In einem Ausführungsbeispiel sind die für die funktionale Sicherheit relevanten Fehlercodes im Fehlercode-Bereich „wild“ verteilt, das heißt, die Fehlercodes sind in nicht zusammenhängenden Adressbereichen (Speicherblöcken, Speicherbereichen) eines Speichers abgelegt. Die Duplikate beziehungsweise komplementären Fehlercodes aber sollten in einem zusammenhängenden Adressbereich (Speicherblock, Speicherbereich) abgelegt werden. Zwischen dem Adressbereich für die Fehlercodes und dem Adressbereich für die komplementären Fehlercodes können ein paar, also mehr als eine Stackspeicherzellen alloziert sein, beispielsweise ein paar ui32-Werte (ui32 = 32 bit unsigned integer). Dabei sind die komplementären Parameter derart bedatet, dass diese nach außen beispielsweise für eine Werkstatt oder einen Kundendienstservice, nicht sichtbar sind.
  • In einem Ausführungsbeispiel entspricht der Vergleicher beziehungsweise der Schritt des Vergleichens 358 einem Safety-RAM-Test. Eine Alternative zum ereignisgetriggerten Vergleich wäre, dass man dem Vergleicher die ASIL-relevanten Fehlercodes bekannt macht (z.B. per Bedatungstabelle) und der Vergleich zyklisch und angebunden an die Programmablaufkontrolle stattfindet und in jedem Zyklus alle ASIL-Fehlercode-Paare geprüft werden. Vorteilhaft werden so Fehlersymptome schneller gefunden, das heißt nicht erst, wenn ein Fehlercode aufgerufen wird. Nachteil: Vergleicher (bzw. Bedatung) muss angepasst werden, wenn weitere Fehler ASIL-relevant werden.
  • 5 zeigt ein Blockdiagramm einer Vorrichtung 102 gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. Bei der Vorrichtung kann es sich um ein Ausführungsbeispiel der bereits in 2 beschriebenen Vorrichtung 102 handeln. Die Vorrichtung 102 ist ausgebildet, ein Verfahren zur Absicherung eines Errorhandlers für eine Abarbeitung eines Computerprogramms auf einem Rechnersystem, wie es beispielsweise in 3 und 4 beschrieben ist, auszuführen.
  • Die Vorrichtung weist eine Einrichtung zum Aufteilen 216, eine Einrichtung zum Bestimmen 222, eine Einrichtung zum Vergleichen 230, sowie eine Einrichtung zum Bilden 240 eines komplementären Maßnahmesignals auf.
  • In einem Ausführungsbeispiel wird die Einrichtung zum Aufteilen 216 als Splitter 216, die Einrichtung zum Bestimmen 222 als Errorhandler-Kern, die Einrichtung zum Vergleichen 230 als Vergleicher sowie die Einrichtung zum Bilden 240 als Einrichtung zur Bildung einer komplementären Konstante einer Maßnahme bezeichnet. Die Einrichtung zum Aufteilen 216 ist verbunden mit einer Einrichtung zur Überwachung 568. Auf dieser kann eine ASIL-B/-C-Überwachungsfunktion mit oder ohne lokale Filterung ausgeführt werden. Die Einrichtung zur Überwachung 568 kann beispielsweise eine Sensorüberwachung leisten, die zyklisch ausgeführt wird.
  • Eine Einrichtung zum zyklischen Befehlssatztesten 246 ist mit dem Ausgang der Einrichtung zum Bilden 240 und dem Eingang der Einrichtung zum Aufteilen 216 verbunden. Der Ausgang der Einrichtung zum Bilden 240 ist mit einer Komponente 570 zum Ausführen einer Maßnahme verbunden. Weiterhin ist die Einrichtung zum zyklischen Befehlssatztesten 246 mit einer Einrichtung zur Programmablaufkontrolle 572 verbunden.
  • In einem Ausführungsbeispiel ist die Fehlersymptomerkennung zweigeteilt. Die Fehlersymptomerkennung findet implizit im Aufruf der Errorhandler-Bibliothek 574 aus der Einrichtung zur Überwachung 568, das heißt einer Überwachungsfunktion, statt. Die Symptombehandlung findet statt durch den Splitter 216, zweimaligen Aufruf des Errorhandler-Kerns 222, jeweiliges Zwischenspeichern der Ergebnisse, anschließendes Vergleichen der Ergebnisse in dem Vergleicher 230. Andererseits dient auch die Einrichtung zum zyklischen Befehlssatztesten 246, auch als zyklisch laufende Level 2’-Funktion 246 bezeichnet, und die wiederum selbst die Errorhandler-Bibliothek 574 aufruft, zur Fehlersymptomerkennung. In einem Ausführungsbeispiel kann jedes der beiden Teile für sich die korrekte Funktion des Errorhandler-Kerns 222 nicht sicher nachweisen, beide Teile in Kombination dagegen sehr wohl. Die Redundanz wird dabei in ein und derselben Recheneinheit erzeugt durch zweifaches Ausführen ein und desselben Errorhandlings mit zwei unterschiedlichen, aber gleich bedateteten Parametern beziehungsweise komplementären Parametern oder in einem konkreten Ausführungsbeispiel mit zwei unterschiedlichen, aber gleich bedateteten Fehlercodes. Das Besondere hierbei ist, dass die zwei Fehlercodes numerisch weit auseinanderliegen, das heißt, einen physikalisch beabstandeten Speicherbereich adressieren, um hierüber den Errorhandler-Kern 222 zu zwingen, weit auseinanderliegende RAM-Zellen – wie beispielswiese Fehlerfilter – bei der Bearbeitung der beiden Fehlercodes zu verwenden. Ein Paar aus Fehlercode und komplementärem Fehlercode sind in jeder sicherheitsrelevanten Überwachungsfunktion und auch in der Level 2‘-Funktion fest im Programmspeicher hinterlegt und werden der Errorhandler-Bibliothek 574 zur Laufzeit mitgeteilt.
  • In einem Ausführungsbeispiel sorgt der Splitter 216 dafür, dass ein Errrorhandler-Aufruf zu einem definierten Fehlercode beziehungsweise Parameter kurz hintereinander zweimal durchgeführt wird. Dabei prüft der Vergleicher 230, ob die zwei zeitlich getrennt voneinander ausgeführten Errorhandler-Aufrufe zum funktional identischen Ergebnis führen. Dadurch kann überprüft werden, ob bei einem der beiden Aufrufe eine Fehlfunktion des Prozessors aufgrund von Alpha-Teilchen (α-Strahlung) oder anderen zufälligen nicht reproduzierbaren Störungen vorgelegen hat.
  • In einem Ausführungsbeispiel provoziert die Einrichtung zum zyklischen Befehlssatztesten 246 zyklisch Aufrufe des Errorhandler-Kerns 222. Die erwarteten Reaktionen auf diese Aufrufe sind fest als Programmcode hinterlegt, beispielsweise sind offline gerechnete Ergebnisse als Testvektoren hinterlegt, und können dann nach dem Aufruf überprüft werden. So kann mit dieser Vorgehensweise sichergestellt werden, dass alle relevanten Prozessorbefehle mit diesem Modul auf korrekte Funktion überprüft werden können.
  • In einem Ausführungsbeispiel handelt es sich bei der gezeigten Einrichtung zum Bilden 240 um eine stark vereinfachte Darstellung. So ist in einem Ausführungsbeispiel die Einrichtung zum Bilden 240 ein Teil des Splitters 216, das heißt, mit jedem der zwei zeitlich voneinander unabhängigen Errorhandler-Aufrufe werden einmal die Maßnahme und das andere Mal die Komplemente der Maßnahmen gebildet. So wird eine Unabhängigkeit beziehungsweise Zweikanaligkeit umgesetzt. Nur wenn beide Kanäle zum gleichen Ergebnis gekommen sind, führt die nachfolgend Software beziehungsweise Einrichtung keinen Reset aus.
  • Die beschriebenen und in den Figuren gezeigten Ausführungsbeispiele sind nur beispielhaft gewählt. Unterschiedliche Ausführungsbeispiele können vollständig oder in Bezug auf einzelne Merkmale miteinander kombiniert werden. Auch kann ein Ausführungsbeispiel durch Merkmale eines weiteren Ausführungsbeispiels ergänzt werden.
  • Ferner können erfindungsgemäße Verfahrensschritte wiederholt sowie in einer anderen als in der beschriebenen Reihenfolge ausgeführt werden.
  • Umfasst ein Ausführungsbeispiel eine „und/oder“ Verknüpfung zwischen einem ersten Merkmal und einem zweiten Merkmal, so kann dies so gelesen werden, dass das Ausführungsbeispiel gemäß einer Ausführungsform sowohl das erste Merkmal als auch das zweite Merkmal und gemäß einer weiteren Ausführungsform entweder nur das erste Merkmal oder nur das zweite Merkmal aufweist.
  • Bezugszeichenliste
    • 100
    Fahrzeug
    102
    Vorrichtung
    104
    Rechnersystem
    106
    Recheneinheit
    108
    Speicher
    210
    Laufzeitobjekt
    212
    Einrichtung zum Einlesen
    214
    Überwachungssignal
    216
    Einrichtung zum Aufteilen
    218
    Teilsignal
    220
    komplementäres Teilsignal
    222
    Einrichtung zum Bestimmen
    224
    erstes Maßnahmesignal
    226
    Verarbeitungsvorschrift
    228
    zweites Maßnahmesignal
    230
    Einrichtung zum Vergleichen
    232
    Rücksetzsignal
    234
    Filtervorschrift
    236
    Menge von Maßnahmesignalen
    238
    Einrichtung zur Allokation von Speicherzellen
    240
    Einrichtung zum Bilden
    242
    komplementäres Maßnahmesignal
    244
    Einrichtung zum Filtern
    246
    Einrichtung zum zyklischen Befehlssatztesten
    350
    Verfahren
    352
    Schritt des Einlesens
    354
    Schritt des Aufteilens
    356
    Schritt des Bestimmens
    358
    Schritt des Vergleichens
    460
    Schritt des Allozierens
    462
    Schritt des Bildens
    464
    Schritt des zyklischen Befehlssatztestens
    466
    Schritt des Filterns
    568
    Einrichtung zur Überwachung
    570
    Komponente zum Ausführen einer Maßnahme
    572
    Einrichtung zur Programmablaufkontrolle
    574
    Errorhandler-Bibliothek
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102004046611 A1 [0004]
  • Zitierte Nicht-Patentliteratur
    • ISO 26262 [0002]
    • IS026262 [0007]
    • IS026262 [0028]

Claims (12)

  1. Verfahren (350) zur Absicherung eines Errorhandlers für eine Abarbeitung eines Computerprogramms auf einem Rechnersystem (104), das zumindest eine Recheneinheit (106) umfasst, wobei das Computerprogramm zumindest ein Laufzeitobjekt (210) aufweist, wobei das Verfahren (350) die folgenden Schritte aufweist: Einlesen (352) eines Überwachungssignals (214) des Laufzeitobjekts (210), wobei das Überwachungssignal (214) zumindest einen Parameter und zumindest einen hierzu komplementären Parameter aufweist; Aufteilen (354) des Überwachungssignals (214) in ein den Parameter repräsentierendes Teilsignal (218) und ein den komplementären Parameter repräsentierendes komplementäres Teilsignal (220); Bestimmen (356) eines ersten Maßnahmesignals (224) ansprechend auf das den Parameter repräsentierende Teilsignal (218) des Überwachungssignals (214) unter Verwendung einer Verarbeitungsvorschrift (226) sowie Bestimmen (356) eines zweiten Maßnahmesignals (228) ansprechend auf das den komplementären Parameter repräsentierende komplementäre Teilsignal (220) des Überwachungssignals (214) unter Verwendung der Verarbeitungsvorschrift (226), wobei das erste Maßnahmesignal (224) und/oder das zweite Maßnahmesignal (228) ein Nachrichtensignal repräsentiert, welches ausgebildet ist, eine Maßnahme und/oder eine Symptombehandlung zu initiieren; und Vergleichen (358) des ersten Maßnahmesignals (224) und des zweiten Maßnahmesignals (228), wobei bei einem negativen Ergebnis des Vergleichs ein Rücksetzsignal (232) erzeugt wird, um den Errorhandler der Abarbeitung des Computerprogramms abzusichern, wobei das Rücksetzsignal (232) dazu ausgebildet ist, dass ein Systemreset und/oder ein Notprogramm und/oder ein Rücksetzen der Funktion und/oder ein Reset initiiert wird, wobei ein negatives Ergebnis des Vergleichs erzeugt wird, wenn das erste Maßnahmesignal (224) und das zweite Maßnahmesignal (228) nicht in einer vorbestimmten Beziehung zueinanderstehen.
  2. Verfahren (350) gemäß Anspruch 1, dadurch gekennzeichnet, dass im Schritt des Einlesens (352) als der zumindest eine Parameter ein Fehlercode und als komplementärer Parameter ein zu dem Fehlercode komplementärer Fehlercode eingelesen wird.
  3. Verfahren (350) gemäß einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass im Schritt des Einlesens als der zumindest eine Parameter eine Fehlerart und/oder ein Symptom-Status und/oder ein Prüfbedingungsstatus eingelesen wird.
  4. Verfahren (350) gemäß einem der vorangegangenen Ansprüche, gekennzeichnet durch einen Schritt des Bildens (462) eines komplementären Maßnahmesignals (242) unter Verwendung des ersten Maßnahmesignals (224) und/oder des zweiten Maßnahmesignals (228) und Ausgeben des ersten Maßnahmesignals (224) und des komplementären Maßnahmesignals (228), wobei der Schritt des Bildens (462) nach dem Schritt des Bestimmens (356) und gleichzeitig parallel zu dem Schritt des Vergleichens (358) oder alternativ nach dem Schritt des Vergleichens (358) ausgeführt wird.
  5. Verfahren (350) gemäß Anspruch 4, gekennzeichnet durch einen Schritt des zyklischen Befehlssatztestens (464), der im Schritt des Einlesens (352) ein vordefiniertes Überwachungssignal bereitstellt, wobei nach dem Schritt des Bildens (462) eines komplementären Maßnahmesignals (242) das ansprechend auf das vordefinierte Überwachungssignal gebildete erste Maßnahmesignal (224) und das hierzu komplementäre Maßnahmesignal (228) herausgefiltert werden, und im Schritt des zyklischen Befehlssatztests (464) das erste Maßnahmesignal (224) und das hierzu komplementäre Maßnahmesignal (242) mit einer dem vordefinierten Überwachungssignal zugeordneten Testmaßnahme und komplementären Testmaßnahme verglichen wird, wobei bei einem negativen Ergebnis ein Rücksetzsignal (232) erzeugt wird.
  6. Verfahren (350) gemäß einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass im Schritt des Bestimmens (356) das erste Maßnahmesignal (224) und das zweite Maßnahmesignal (228) unter Verwendung einer Filtervorschrift (234) bestimmt werden.
  7. Verfahren (350) gemäß einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass im Schritt des Aufteilens (354) das Teilsignal (218) an einen ersten Speicherbereich des Rechnersystems (104) und das komplementäre Teilsignal (220) an einen zweiten Speicherbereich des Rechnersystems (104) adressiert werden, wobei der adressierte erste Speicherbereich und der adressierte zweite Speicherbereich nicht benachbart sind, insbesondere eine dem ersten Teilsignal (218) zugeordnete erste Speicheradresse und eine dem komplementären Teilsignal (220) zugeordnete zweite Speicheradresse nicht benachbarte physikalische Bereiche eines Speichers (108) des Rechnersystems (104) repräsentieren.
  8. Verfahren (350) gemäß einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass im Schritt des Bestimmens (356) zwischen dem Bestimmen des ersten Maßnahmesignals (224) und dem Bestimmen des zweiten Maßnahmesignals (228) eine Mehrzahl von Speicherzellen alloziert werden.
  9. Verfahren (350) gemäß einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass im Schritt des Bestimmens (356) das erste Maßnahmesignal (224) und das zweite Maßnahmesignal (228) aus einer vorgebbaren Menge von Maßnahmen repräsentierenden Maßnahmesignalen (236) bestimmt werden.
  10. Vorrichtung (102) zur Absicherung eines Errorhandlers für eine Abarbeitung eines Computerprogramms auf einem Rechnersystem (104), das zumindest eine Recheneinheit (106) umfasst, wobei das Computerprogramm zumindest ein Laufzeitobjekt (210) aufweist, wobei die Vorrichtung (102) ausgebildet ist, in entsprechenden Einrichtungen ein Verfahren (350) zur Absicherung eines Errorhandlers für eine Abarbeitung eines Computerprogramms auf einem Rechnersystem (104) auszuführen, wobei die Vorrichtung (102) die folgenden Merkmale aufweist: eine Einrichtung zum Einlesen (212) eines Überwachungssignals (214) des Laufzeitobjekts (210), wobei das Überwachungssignal (214) zumindest einen Parameter und zumindest einen hierzu komplementären Parameter aufweist; eine Einrichtung zum Aufteilen (216) des Überwachungssignals (214) in ein den Parameter repräsentierendes Teilsignal (218) und ein den komplementären Parameter repräsentierendes komplementäres Teilsignal (220); eine Einrichtung zum Bestimmen (222) eines ersten Maßnahmesignals (224) ansprechend auf das den Parameter repräsentierende Teilsignal (218) des Überwachungssignals (214) unter Verwendung einer Verarbeitungsvorschrift (226) sowie Bestimmen eines zweiten Maßnahmesignals (228) ansprechend auf das den komplementären Parameter repräsentierende komplementäre Teilsignal (220) des Überwachungssignals (214) unter Verwendung der Verarbeitungsvorschrift (226), wobei das erste Maßnahmesignal (224) und/oder das zweite Maßnahmesignal (228) ein Nachrichtensignal repräsentiert, welches ausgebildet ist, eine Maßnahme und/oder eine Symptombehandlung zu initiieren; eine Einrichtung zum Vergleichen (230) des ersten Maßnahmesignals (224) und des zweiten Maßnahmesignals (228), wobei bei einem negativen Ergebnis des Vergleichs ein Rücksetzsignal (232) erzeugt wird, um den Errorhandler der Abarbeitung des Computerprogramms abzusichern, wobei das Rücksetzsignal (232) dazu ausgebildet ist, dass ein Systemreset und/oder ein Notprogramm und/oder ein Rücksetzen der Funktion und/oder ein Reset initiiert wird, wobei ein negatives Ergebnis des Vergleichs erzeugt wird, wenn das erste Maßnahmesignal (224) und das zweite Maßnahmesignal (228) nicht in einer vorbestimmten Beziehung zueinanderstehen.
  11. Computer-Programmprodukt mit Programmcode zur Durchführung des Verfahrens (350) nach einem der Ansprüche 1 bis 9 zur Absicherung eines Errorhandlers für eine Abarbeitung eines Computerprogramms auf einem Rechnersystem (104), wenn das Computer-Programmprodukt auf einer Vorrichtung (102) ausgeführt wird.
  12. Fahrzeugsteuergerät mit einer Vorrichtung gemäß Anspruch 10.
DE102013208666.0A 2013-05-13 2013-05-13 Verfahren und Vorrichtung zur Absicherung eines Errorhandlers für eine Abarbeitung eines Computerprogramms auf einem Rechnersystem Pending DE102013208666A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102013208666.0A DE102013208666A1 (de) 2013-05-13 2013-05-13 Verfahren und Vorrichtung zur Absicherung eines Errorhandlers für eine Abarbeitung eines Computerprogramms auf einem Rechnersystem

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102013208666.0A DE102013208666A1 (de) 2013-05-13 2013-05-13 Verfahren und Vorrichtung zur Absicherung eines Errorhandlers für eine Abarbeitung eines Computerprogramms auf einem Rechnersystem

Publications (1)

Publication Number Publication Date
DE102013208666A1 true DE102013208666A1 (de) 2014-11-13

Family

ID=51787571

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102013208666.0A Pending DE102013208666A1 (de) 2013-05-13 2013-05-13 Verfahren und Vorrichtung zur Absicherung eines Errorhandlers für eine Abarbeitung eines Computerprogramms auf einem Rechnersystem

Country Status (1)

Country Link
DE (1) DE102013208666A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004008901A1 (de) * 2004-02-24 2005-09-15 Giesecke & Devrient Gmbh Sichere Ergebniswertberechnung
DE102004046611A1 (de) 2004-09-25 2006-03-30 Robert Bosch Gmbh Verfahren zur Abarbeitung eines Computerprogramms auf einem Computersystem

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004008901A1 (de) * 2004-02-24 2005-09-15 Giesecke & Devrient Gmbh Sichere Ergebniswertberechnung
DE102004046611A1 (de) 2004-09-25 2006-03-30 Robert Bosch Gmbh Verfahren zur Abarbeitung eines Computerprogramms auf einem Computersystem

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
IS026262
ISO 26262
KOEPERNIK, Dr. J. u.a.: Funktionale Sicherheit in der Entwicklung von Fahrwerks und Fahrerassistenz-Systemen: Fokus Systemarchitektur. Vector Congress, 7./8. Oktober 2008 *

Similar Documents

Publication Publication Date Title
DE102018113625A1 (de) Fehlerinjektionstestvorrichtung und -verfahren
EP2513796B1 (de) Verfahren zum betreiben einer recheneinheit
DE102013203358A1 (de) System und verfahren zum verifizieren der integrität eines sicherheitskritischen fahrzeugsteuerungssystems
DE112010005400T5 (de) System für gegenseitige Überwachung von Mikrocomputern und ein Verfahren für gegenseitige Überwachung von Mikrocomputern
WO2008040641A2 (de) Verfahren und vorrichtung zur fehlerverwaltung
EP3709166B1 (de) Verfahren und system zur sicheren signalmanipulation für den test integrierter sicherheitsfunktionalitäten
DE112015002210T5 (de) Motorsteuervorrichtung
EP2099667B1 (de) Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems
EP1639465B1 (de) Verfahren zur überwachung des programmlaufs in einem mikro-computer
DE102008009652A1 (de) Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor
DE102019131865A1 (de) Verfahren und vorrichtung zur eigendiagnose der ram-fehlererkennungslogik eines antriebsstrangcontrollers
DE102017011685A1 (de) Verfahren und Vorrichtung zur Verarbeitung von Alarmsignalen
EP1860565A1 (de) Verfahren zur Funktionsprüfung eines Steuergeräts für ein Kraftfahrzeug
DE102008004206A1 (de) Anordnung und Verfahren zur Fehlererkennung und -behandlung in einem Steuergerät in einem Kraftfahrzeug
DE102012221277A1 (de) Fahrzeugsteuervorrichtung
DE102011007467A1 (de) Mehrkernige integrierte Mikroprozessorschaltung mit Prüfeinrichtung, Prüfverfahren und Verwendung
DE102009001420A1 (de) Verfahren zur Fehlerbehandlung eines Rechnersystems
DE102013208666A1 (de) Verfahren und Vorrichtung zur Absicherung eines Errorhandlers für eine Abarbeitung eines Computerprogramms auf einem Rechnersystem
DE102020209228A1 (de) Verfahren zum Überwachen wenigstens einer Recheneinheit
DE102017219195B4 (de) Verfahren zum gewährleisten eines betriebs eines rechners
DE102015211458A1 (de) Verfahren und Vorrichtung zum Absichern einer Programmzählerstruktur eines Prozessorsystems und zum Überwachen der Behandlung einer Unterbrechungsanfrage
DE112018002612T5 (de) Fahrzeugsteuervorrichtung
DE19545645A1 (de) Sicherheitskonzept für Steuereinheiten
DE102018210733A1 (de) Verfahren zum Überwachen wenigstens einer Recheneinheit
DE102023125500A1 (de) Steuervorrichtung und steuerverfahren

Legal Events

Date Code Title Description
R163 Identified publications notified
R012 Request for examination validly filed