DE102017108481A1 - Verfahren und System zum Überwachen einer Fahrzeug-Steuereinheit - Google Patents

Verfahren und System zum Überwachen einer Fahrzeug-Steuereinheit Download PDF

Info

Publication number
DE102017108481A1
DE102017108481A1 DE102017108481.9A DE102017108481A DE102017108481A1 DE 102017108481 A1 DE102017108481 A1 DE 102017108481A1 DE 102017108481 A DE102017108481 A DE 102017108481A DE 102017108481 A1 DE102017108481 A1 DE 102017108481A1
Authority
DE
Germany
Prior art keywords
control unit
watchdog component
watchdog
component
data transmission
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102017108481.9A
Other languages
English (en)
Inventor
Frank Ruppelt
Gururaj Virabadrannavar
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Valeo Schalter und Sensoren GmbH
Original Assignee
Valeo Schalter und Sensoren GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Valeo Schalter und Sensoren GmbH filed Critical Valeo Schalter und Sensoren GmbH
Priority to DE102017108481.9A priority Critical patent/DE102017108481A1/de
Publication of DE102017108481A1 publication Critical patent/DE102017108481A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1441Resetting or repowering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3027Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a bus
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3055Monitoring arrangements for monitoring the status of the computing system or of the computing system component, e.g. monitoring if the computing system is on, off, available, not available

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Überwachen einer Steuereinheit (10), insbesondere eines Mikrocontrollers, für eine Fahrzeug-Anwendung mittels einer über einen Datenübertragungspfad (14) mit der Steuereinheit (10) verbundenen steuereinheitsexternen Watchdog-Komponente (16), wobei diese Watchdog-Komponente (16) die Steuereinheit (10) in einen definierten Zustand versetzt, der einen Normalbetrieb der Steuereinheit (10) ermöglicht, wenn ein von einer Sendeeinheit (18) der Steuereinheit (10) über den Datenübertragungspfad (14) regelmäßig versandtes Kontrollsignal, welches den Normalbetrieb der Steuereinheit (10) anzeigt, bei der steuereinheitsexternen Watchdog-Komponente (16) ausbleibt. Es ist vorgesehen, dass die Steuereinheit (10) eine andere Watchdog-Komponente (24) aufweist, welche die Steuereinheit (10) ebenfalls in den definierten Zustand versetzt, wenn das von der Sendeeinheit regelmäßig auch an die andere Watchdog-Komponente (24) versandte Kontrollsignal bei dieser anderen Watchdog-Komponente (24) ausbleibt.Die Erfindung betrifft außerdem ein entsprechendes Computerprogrammprodukt und ein entsprechendes System (12) zum Überwachen einer derartigen Steuereinheit (10).

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zum Überwachen einer Steuereinheit für eine Fahrzeug-Anwendung mittels einer über einen Datenübertragungspfad mit der Steuereinheit verbundenen steuereinheitsexternen Watchdog-Komponente, wobei diese Watchdog-Komponente die Steuereinheit in einen definierten Zustand versetzt, der einen Normalbetrieb der Steuereinheit ermöglicht, wenn ein von einer Sendeeinheit der Steuereinheit über den Datenübertragungspfad regelmäßig versandtes Kontrollsignal, welches den Normalbetrieb der Steuereinheit anzeigt, bei der steuereinheitsexternen Watchdog-Komponente ausbleibt.
  • Die vorliegende Erfindung betrifft weiterhin ein entsprechendes Computerprogrammprodukt zur Durchführung des Verfahrens und ein System zum Überwachen einer Steuereinheit für eine Fahrzeug-Anwendung mit einer über einen Datenübertragungspfad mit der Steuereinheit verbundenen steuereinheitsexternen Watchdog-Komponente, wobei diese Watchdog-Komponente eingerichtet ist, die Steuereinheit in einen definierten Zustand zu versetzen, der einen Normalbetrieb dieser Steuereinheit ermöglicht, wenn ein von einer Sendeeinheit der Steuereinheit über den Datenübertragungspfad regelmäßig versandtes Kontrollsignal, welches den Normalbetrieb der Steuereinheit anzeigt, bei der steuereinheitsexternen Watchdog-Komponente ausbleibt.
  • Derartige Überwachungs- und Sicherheitsverfahren und -systeme mit externer Watchdog-Komponente sind für diverse Anwendungen bekannt. Im deutschsprachigen Wikipedia-Eintrag zum Thema Watchdog ist zu dessen Einsatz in Elektrotechnik und Informatik ausgeführt: „Im Speziellen werden Watchdogs in von Mikrocontrollern gesteuerten elektrischen Geräten eingesetzt, um einem Komplettausfall des Gerätes durch Softwareversagen über einen vom Watchdog initiierten RESET zuvorzukommen. Verhindert wird der RESET eines automatischen Mikrocomputersystems, indem die Software in regelmäßigen Abständen dem Watchdog mitteilt, dass sie noch ordnungsgemäß arbeitet.“
  • Bei Steuereinheiten für sicherheitsrelevante Fahrzeuganwendungen, wie beispielsweise Anwendungen in Verbindung mit Lenkung, Bremsen, etc., ist ein derartiges System mit externer Watchdog-Komponente in vielen Ländern vorgeschrieben.
  • Ausgehend von dem oben genannten Stand der Technik liegt der Erfindung somit die Aufgabe zugrunde, Maßnahmen anzugeben, die die Ausfallsicherheit der Steuereinheit für die Fahrzeuganwendung erhöht.
  • Die Lösung der Aufgabe erfolgt erfindungsgemäß durch die Merkmale der unabhängigen Ansprüche. Vorteilhafte Ausgestaltungen der Erfindung sind in den Unteransprüchen angegeben.
  • Erfindungsgemäß ist somit ein Verfahren zum Überwachen einer Steuereinheit, insbesondere eines Mikrocontrollers, für eine Fahrzeug-Anwendung mittels einer über einen Datenübertragungspfad mit der Steuereinheit verbundenen steuereinheitsexternen Watchdog-Komponente angegeben, bei dem diese Watchdog-Komponente die Steuereinheit in einen definierten Zustand versetzt, der einen Normalbetrieb der Steuereinheit ermöglicht, wenn ein von einer Sendeeinheit der Steuereinheit über den Datenübertragungspfad regelmäßig versandtes Kontrollsignal, welches den Normalbetrieb der Steuereinheit anzeigt, bei der steuereinheitsexternen Watchdog-Komponente ausbleibt. Dabei ist vorgesehen, dass die Steuereinheit eine andere Watchdog-Komponente aufweist, welche die Steuereinheit ebenfalls in den definierten Zustand versetzt, wenn das von der Sendeeinheit regelmäßig auch an die andere Watchdog-Komponente versandte Kontrollsignal bei dieser anderen Watchdog-Komponente ausbleibt. Durch diese zusätzliche Watchdog-Schaltung mit der anderen Watchdog-Komponente wird die Ausfallsicherheit der Steuereinheit für die Fahrzeuganwendung erhöht.
  • Die Sendeeinheit ist insbesondere ein Watchdog-Managermodul oder Teil eines Watchdog- Managermoduls.
  • Gemäß einer bevorzugten Ausgestaltung der Erfindung wird zumindest ein Abschnitt des Datenübertragungspfades von einem Bussystem gebildet, wobei die Steuereinheit insbesondere einen Kommunikationstreiber (Communication Driver) für das Bussystem aufweist. Das Bussystem ist insbesondere ein Fahrzeug-Bussystem.
  • Dabei ist insbesondere vorgesehen, dass das Bussystem ein SPI-System ist und der Kommunikationstreiber als ein als SPI-Handler-Driver bezeichneter SPI-Kommunikationstreiber ausgebildet ist.
  • Gemäß einer weiteren bevorzugten Ausgestaltung der Erfindung ist vorgesehen, dass die andere Watchdog-Komponente in einem steuereinheitsinternen anderen Abschnitt des Datenübertragungspfades zwischen der Sendeeinheit und dem Kommunikationstreiber angeordnet ist. Der andere Abschnitt ist also ein von dem durch das Bussystem gebildeten Abschnitt unterschiedlicher Abschnitt.
  • Gemäß noch einer weiteren bevorzugten Ausgestaltung der Erfindung ist vorgesehen, dass der definierte Zustand der Steuereinheit ein Anfangszustand dieser Steuereinheit ist. Dies ist der übliche Zustand, in den eine Watchdog-Komponente eine durch sie überwachte Steuereinheit bei Ausbleiben des Kontrollsignals versetzt.
  • Dabei ist insbesondere vorgesehen, dass das Versetzen der Steuereinheit in den Anfangszustand mittels eines RESETs erfolgt, der als Restart oder als Hardware-RESET oder als Kaltstart durch die eine und/oder die andere Watchdog-Komponente initiiert ausgeführt wird.
  • In diesem Zusammenhang ist bevorzugt vorgesehen, dass die anderen Watchdog-Komponente oder eine andere im anderen Abschnitt des Datenübertragungspfades verschaltete Kontrolleinheit anhand des Auftretens bzw. Ausbleibens des Kontrollsignals in einem vorgegebenen Zeitfenster überprüft, ob der von der steuereinheitsexternen Watchdog-Komponente initiierte RESET erwartungsgemäß erfolgt ist. Dieser Aufbau kann somit zur Überprüfung des Bus-Systems, insbesondere des Kommunikationstreibers, bezüglich der Watchdog-Funktion genutzt werden. Ist der RESET nicht erwartungsgemäß erfolgt, so liegt eine Störung im Bus-System, insbesondere im Kommunikationstreiber vor. Der RESET muss dann anschließend über die andere Watchdog-Komponente 24 initiiert erfolgen. Das Zeitfenster ΔT, mittels dessen das Erfolgen des RESETS überprüft wird, ist dabei weiter als die Periodendauer T des regelmäßig abgegebenen Kontrollsignals (ΔT > T).
  • Gemäß einer bevorzugten Ausführungsform der Erfindung ist vorgesehen, dass ein Teil der Steuereinheit, der die andere Watchdog-Komponente und die Sendeeinheit umfasst, ein definiertes Sicherheitsniveau bezüglich einer Norm für sicherheitsrelevante elektrische/elektronische Systeme in Kraftfahrzeugen, insbesondere das ASIL-B Niveau des ASIL (Automotive Safety Integrity Level) Sicherheits-Klassifikationsschemas, aufweist. Die entsprechende durch die andere Watchdog-Komponente gebildete Watchdog-Schaltung ist in diesem Teil der Steuereinheit lokalisiert und weist das besagte Sicherheits-Niveau auf. Selbst wenn nun die Watchdog-Schaltung mit der steuereinheitsexternen Watchdog-Komponente - aus welchen Gründen auch immer - diesem Sicherheits-Niveau nicht genügt, so ist immer eine Watchdog-Schaltung vorhanden, die diesem Niveau, also insbesondere dem ASIL-B Niveau, genügt. Einer der möglichen Gründe dafür, dass die Watchdog-Schaltung mit der steuereinheitsexternen Watchdog-Komponente dem besagten Sicherheits-Niveau nicht genügt, ist beispielsweise der, dass das beteiligte Bussystem und insbesondere der Kommunikationstreiber für das Bussystem dem Sicherheits-Niveau nicht genügt, also insbesondere nicht das ASIL-B Niveau erreicht.
  • Bei dem Computerprogrammprodukt ist vorgesehen, dass dieses Programmteile umfasset, die in der Steuereinheit geladen zur Durchführung des vorstehend genannten Verfahrens eingerichtet sind.
  • Erfindungsgemäß ist weiterhin ein System zum Überwachen einer Steuereinheit, insbesondere eines Mikrocontrollers, für eine Fahrzeug-Anwendung mit einer über einen Datenübertragungspfad mit der Steuereinheit verbundenen steuereinheitsexternen Watchdog-Komponente vorgesehen. Dabei ist diese Watchdog-Komponente eingerichtet, die Steuereinheit in einen definierten Zustand zu versetzen, der einen Normalbetrieb dieser Steuereinheit ermöglicht, wenn ein von einer Sendeeinheit der Steuereinheit über den Datenübertragungspfad regelmäßig versandtes Kontrollsignal, welches den Normalbetrieb der Steuereinheit anzeigt, bei der steuereinheitsexternen Watchdog-Komponente ausbleibt. Es ist vorgesehen, dass die Steuereinheit eine andere Watchdog-Komponente aufweist, welche ebenfalls eingerichtet ist, die Steuereinheit in den definierten Zustand zu versetzen, wenn das von der Sendeeinheit regelmäßig auch an die andere Watchdog-Komponente versandte Kontrollsignal bei dieser anderen Watchdog-Komponente ausbleibt.
  • Gemäß einer bevorzugten Ausführungsform des erfindungsgemäßen Systems ist vorgesehen, dass dieses System ein Bussystem, insbesondere ein SPI-System, umfasst, das zumindest einen Abschnitt des Datenübertragungspfades bildet. , Die Steuereinheit weist insbesondere einen Kommunikationstreiber (Communication Driver) für das Bussystem auf. Dabei ist insbesondere vorgesehen, dass das Bussystem ein SPI-System ist und der Kommunikationstreiber als ein als SPI-Handler-Driver bezeichneter SPI-Kommunikationstreiber ausgebildet ist.
  • Nachfolgend wird die Erfindung unter Bezugnahme auf die anliegende Zeichnung anhand einer bevorzugten Ausführungsform näher erläutert.
  • Es zeigt die
    • 1 ein System zum Überwachen einer Steuereinheit für eine Fahrzeug-Anwendung mit einer Watchdog-Komponente gemäß einer bevorzugten Ausführungsform der Erfindung.
  • Die 1 zeigt eine Prinzipdarstellung einer Steuereinheit 10 für eine (nicht gezeigte) Kraftfahrzeug-Anwendung sowie eines Systems 12 zum Überwachen dieser Steuereinheit 10. Eine solche Steuereinheit 10 wird oft auch als Controller oder Steuergerät bezeichnet, wobei die hier gezeigte Steuereinheit als Mikrocontroller (µC) ausgebildet ist. Das System 12 zum Überwachen der Steuereinheit 10 weist eine über einen Datenübertragungspfad 14 mit der Steuereinheit 10 verbundene steuereinheitsexterne Watchdog-Komponente 16 auf. Die Steuereinheit 10 weist eine Sendeeinheit 18 auf, die ein Kontrollsignal, im Englischen auch „Heartbeat“ genannt, periodisch erzeugt und über den Datenübertragungspfad 14 an die steuereinheitsexterne Watchdog-Komponente 16 übersendet. Die Sendeeinheit 18 ist dabei Teil eines Watchdog-Managermoduls. Das Kontrollsignal zeigt der steuereinheitsexternen Watchdog-Komponente 16 einen Normalbetrieb der Steuereinheit 10 an. Wenn dieses von der Steuereinheit 10 über den Datenübertragungspfad 14 regelmäßig versandte Kontrollsignal von der Watchdog-Komponente 16 nicht mehr empfangen wird, also wenn dieses Signal ausbleibt, sendet die steuereinheitsexterne Watchdog-Komponente 16 ein RESET-Signal über einen entsprechende Signalpfad, der zum Beispiel ebenfalls vom Datenübertragungspfad 14 gebildet wird, an die Steuereinheit 10, sodass diese in einen Anfangszustand oder einen anderen wohldefinierten Zustand, der einen Normalbetrieb ermöglicht, versetzt wird. Ein Teil des Datenübertragungspfades 14 wird von einem Bussystem 20, genauer gesagt einem SPI-System, gebildet. Dieser Teil ergibt sich zwischen einem Kommunikationstreiber 22 der Steuereinheit 10 und der steuereinheitsexterne Watchdog-Komponente 16. Der Kommunikationstreiber 22 eines solchen SPI-Systems wird auch als SPI-Kommunikationstreiber oder kurz SDI-Treiber (engl. SDI-Driver/SDI-Handler-Driver) bezeichnet. Die hier gezeigte steuereinheitsexterne Watchdog-Komponente 16 arbeitet beispielsweise als sogenannter Fenster-Watchdog (Window-Watchdog).
  • Bei Steuereinheiten 10 für sicherheitsrelevante Fahrzeuganwendungen, wie beispielsweise Anwendungen in Verbindung mit Lenkung, Bremsen, etc., ist ein derartiges System 10 mit externer Watchdog-Komponente 16 in vielen Ländern vorgeschrieben. Eine typische sicherheitsrelevante Kraftfahrzeuganwendung ist ein Fahrerassistenzsystem.
  • Das System 12 umfasst weiterhin eine steuereinheitsinterne andere Watchdog-Komponente 24, welche die Steuereinheit 10 ebenfalls in den Anfangszustand oder einen anderen einen Normalbetrieb ermöglichenden wohldefinierten Zustand versetzt, wenn das von der Signaleinheit 18 regelmäßig an diese andere Watchdog-Komponente 26 versandte Kontrollsignal, welches einen Normalbetrieb der Steuereinheit anzeigt, ausbleibt. Mit anderen Worten weist die Steuereinheit 10 diese andere Watchdog-Komponente 24 also selbst auf. Die andere Watchdog-Komponente 24 ist im gezeigten Beispiel in einem steuereinheitsinternen anderen Abschnitt 26 des Datenübertragungspfades 14 zwischen der Sendeeinheit 18 und dem Kommunikationstreiber 22 verschaltet.
  • Die Komponenten von Steuereinheiten 10 für sicherheitsrelevante Fahrzeuganwendungen werden bezüglich ihres Sicherheitsniveaus klassifiziert. Eine derartige Klassifikation erfolgt beispielsweise gemäß ASIL (Automotive Safety Integrity Level), einem Sicherheits-Klassifikationsschema welches insbesondere in der Norm ISO 26262 festgelegt ist.
  • Zumindest ein Teil 28 der Steuereinheit 10, nämlich der der die andere Watchdog-Komponente 24 und die Sendeeinheit 18 umfasst, weist ein definiertes Sicherheitsniveau bezüglich einer Norm für sicherheitsrelevante elektrische/ elektronische Systeme in Kraftfahrzeugen auf. Im vorliegenden Fall ist dies das ASIL-B Sicherheitsniveau gemäß der erwähnten ASIL Klassifikation. Ein so ausgestalteter Teil 28 der Steuereinheit kann auch als ASIL B-Modul bezeichnet werden.
  • Eine falsche Watchdog-Auslösung aufgrund systematischer Ausfälle im SPI-Handler-Driver, im Folgenden auch einfach SPI-Modul genannt, kann zu Verletzungen des Sicherheitsziels führen. Aufgrund des falschen Triggers erzeugt das externe Watchdog-Modul 16 kein RESET-Signal. Ohne die gezeigten zusätzlichen Maßnahmen würde die Steuereinheit (der Controller) 10 trotz Fehlfunktionen weiter arbeiten.
  • Die zusätzlichen Maßnahmen sorgen nun dafür, dass ein Watchdog RESET auch im Falle von solchen systematischen Ausfällen im SPI-Handler-Driver 22 gewährleistet wird, die zu falschen Watchdog-Triggern führen können.
  • Der Hauptvorteil der Ausgestaltung der 1 ist, dass nun ein QM-Watchdog-Kommunikationsmodul (kurz: QM-Modul) verwendet werden kann, um eine Watchdog-Überwachung durchzuführen. Mit dem QM-Watchdog-Kommunikationsmodul werden die Entwicklungskosten des Projekts reduziert.
  • Mittels des gezeigten Aufbaus mit den beiden Watchdog-Schaltungen ist es möglich, eine Plausibilitätsprüfung der Watchdog-Schaltung mit der externen Watchdog-Komponente 16 durchzuführen. Dies erfolgt über eine redundante Erkennung eines Ausfalls mittels der Watchdog-Schaltung mit dem anderen Watchdog-Modul.
  • Der gezeigte Aufbau kann auch zur Überprüfung des SPI-Systems, insbesondere des SPI-Handler-Drivers, bezüglich der Watchdog-Funktion genutzt werden. Dazu erfolgt ein von der anderen Watchdog-Komponente 24 potentiell initiierter RESET später als ein von der externen Watchdog-Komponente 16 initiierter RESET und die anderen Watchdog-Komponente 24 oder eine andere im anderen Abschnitt 26 des Datenübertragungspfades 14 verschaltete Kontrolleinheit (hier nicht gezeigt) überprüft anhand des Auftretens bzw. Ausbleibens des Kontrollsignals in einem Zeitfenster, ob der von der externen Watchdog-Komponente 16 initiierte RESET erwartungsgemäß erfolgt ist. Ist er nicht erfolgt, so liegt eine Störung im SPI-System, insbesondere im SDI-Treiber vor. Der RESET muss also über die andere Watchdog-Komponente 24 initiiert erfolgen. Das Zeitfenster ΔT, mittels dessen das Erfolgen des RESETS überprüft wird, ist dabei weiter als die Periodendauer T des periodisch abgegebenen Kontrollsignals ( Δ T > T ) .
    Figure DE102017108481A1_0001
  • Bezugszeichenliste
  • Steuereinheit 10
    System 12
    Datenübertragungspfad 14
    steuereinheitsexterne Watchdog-Komponente 16
    Sendeeinheit 18
    Bussystem 20
    Kommunikationstreiber 22
    andere Watchdog-Komponente 24
    Abschnitt des Datenübertragungspfads 26
    Teil der Steuereinheit 28

Claims (10)

  1. Verfahren zum Überwachen einer Steuereinheit (10), insbesondere eines Mikrocontrollers, für eine Fahrzeug-Anwendung mittels einer über einen Datenübertragungspfad (14) mit der Steuereinheit (10) verbundenen steuereinheitsexternen Watchdog-Komponente (16), wobei diese Watchdog-Komponente (16) die Steuereinheit (10) in einen definierten Zustand versetzt, der einen Normalbetrieb der Steuereinheit (10) ermöglicht, wenn ein von einer Sendeeinheit (18) der Steuereinheit (10) über den Datenübertragungspfad (14) regelmäßig versandtes Kontrollsignal, welches den Normalbetrieb der Steuereinheit (10) anzeigt, bei der steuereinheitsexternen Watchdog-Komponente (16) ausbleibt, dadurch gekennzeichnet, dass die Steuereinheit (10) eine andere Watchdog-Komponente (24) aufweist, welche die Steuereinheit (10) ebenfalls in den definierten Zustand versetzt, wenn das von der Sendeeinheit regelmäßig auch an die andere Watchdog-Komponente (24) versandte Kontrollsignal bei dieser anderen Watchdog-Komponente (24) ausbleibt.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass zumindest ein Abschnitt des Datenübertragungspfades (14) von einem Bussystem (20) gebildet wird, wobei die Steuereinheit insbesondere einen Kommunikationstreiber (22) für das Bussystem (20) aufweist.
  3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass das Bussystem (20) ein SPI-System ist und dass der Kommunikationstreiber (22) als ein als SPI-Treiber bezeichneter SPI-Kommunikationstreiber ausgebildet ist.
  4. Verfahren nach Anspruch 2 oder 3, dadurch gekennzeichnet, dass die andere Watchdog-Komponente (24) in einem steuereinheitsinternen anderen Abschnitt (26) des Datenübertragungspfades (14) zwischen der Sendeeinheit (18) und dem Kommunikationstreiber (22) angeordnet ist.
  5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass der definierte Zustand der Steuereinheit (10) ein Anfangszustand dieser Steuereinheit (10) ist.
  6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass das Versetzen der Steuereinheit (10) in den Anfangszustand mittels eines RESETs erfolgt, der als Restart oder als Hardware-RESET oder als Kaltstart durch die eine und/oder die andere Watchdog-Komponente (16, 24) initiiert ausgeführt wird.
  7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die anderen Watchdog-Komponente (24) oder eine andere im anderen Abschnitt (26) des Datenübertragungspfades (14) verschaltete Kontrolleinheit anhand des Auftretens/Ausbleibens des Kontrollsignals in einem vorgegebenen Zeitfenster überprüft, ob der von der steuereinheitsexternen Watchdog-Komponente (16) initiierte RESET erwartungsgemäß erfolgt ist.
  8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass ein Teil (28) der Steuereinheit (10), der die andere Watchdog-Komponente (24) und die Sendeeinheit (18) umfasst, ein definiertes Sicherheitsniveau bezüglich einer Norm für sicherheitsrelevante elektrische/elektronische Systeme in Kraftfahrzeugen, insbesondere das ASIL-B Niveau, aufweist.
  9. Computerprogrammprodukt umfassend Programmteile, die in der Steuereinheit (10) geladen zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 7 eingerichtet sind.
  10. System (12) zum Überwachen einer Steuereinheit (10), insbesondere eines Mikrocontrollers, für eine Fahrzeug-Anwendung mit einer über einen Datenübertragungspfad (14) mit der Steuereinheit (10) verbundenen steuereinheitsexternen Watchdog-Komponente (16), wobei diese Watchdog-Komponente (16) eingerichtet ist, die Steuereinheit (10) in einen definierten Zustand zu versetzen, der einen Normalbetrieb dieser Steuereinheit (10) ermöglicht, wenn ein von einer Sendeeinheit (18) der Steuereinheit (10) über den Datenübertragungspfad (14) regelmäßig versandtes Kontrollsignal, welches den Normalbetrieb der Steuereinheit (10) anzeigt, bei der steuereinheitsexternen Watchdog-Komponente (16) ausbleibt, dadurch gekennzeichnet, dass die Steuereinheit (10) eine andere Watchdog-Komponente (24) aufweist, welche ebenfalls eingerichtet ist, die Steuereinheit (10) in den definierten Zustand zu versetzen, wenn das von der Sendeeinheit (18) regelmäßig auch an die andere Watchdog-Komponente (24) versandte Kontrollsignal bei dieser anderen Watchdog-Komponente (24) ausbleibt.
DE102017108481.9A 2017-04-21 2017-04-21 Verfahren und System zum Überwachen einer Fahrzeug-Steuereinheit Pending DE102017108481A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102017108481.9A DE102017108481A1 (de) 2017-04-21 2017-04-21 Verfahren und System zum Überwachen einer Fahrzeug-Steuereinheit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017108481.9A DE102017108481A1 (de) 2017-04-21 2017-04-21 Verfahren und System zum Überwachen einer Fahrzeug-Steuereinheit

Publications (1)

Publication Number Publication Date
DE102017108481A1 true DE102017108481A1 (de) 2018-10-25

Family

ID=63714214

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017108481.9A Pending DE102017108481A1 (de) 2017-04-21 2017-04-21 Verfahren und System zum Überwachen einer Fahrzeug-Steuereinheit

Country Status (1)

Country Link
DE (1) DE102017108481A1 (de)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013216444A1 (de) * 2012-08-28 2014-03-06 GM Global Technology Operations, LLC (n.d. Ges. d. Staates Delaware) Aktive Sicherheitssysteme von Fahrzeugen mit Graphikmikroprozessoren

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013216444A1 (de) * 2012-08-28 2014-03-06 GM Global Technology Operations, LLC (n.d. Ges. d. Staates Delaware) Aktive Sicherheitssysteme von Fahrzeugen mit Graphikmikroprozessoren

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
„Watchdog". In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 24. Juli 2016, 12:53 UTC. URL: https://de.wikipedia.org/w/index.php?title=Watchdog&oldid=156411066 [abgerufen am 23. November 2017] *
TIWARI, Shyam Sunder: Dual Watchdog Timers Improve Embedded Performance. 18.09.2000. URL: http://www.electronicdesign.com/digital-ics/dual-watchdog-timers-improve-embedded-performance, archiviert durch https://web.archive.org am 24.07.2014 [abgerufen am 01. Dezember 2017] *

Similar Documents

Publication Publication Date Title
DE102004009359B4 (de) Elektronische Steuereinheit zur Überwachung eines Mikrocomputers
DE102011014142A1 (de) Fahrzeugsteuervorrichtung für eine CAN-Kommunikation und Diagnoseverfahren hierfür
EP3709166B1 (de) Verfahren und system zur sicheren signalmanipulation für den test integrierter sicherheitsfunktionalitäten
DE102008004205A1 (de) Schaltungsanordnung und Verfahren zur Fehlerbehandlung in Echtzeitsystemen
DE102014213206B4 (de) Steueranordnung für sicherheitsrelevante Aktoren
EP2203795B1 (de) Fahrzeug-steuereinheit mit einem versorgungspannungsüberwachten mikrocontroller sowie zugehöriges verfahren
EP3526672A1 (de) Schaltung zur überwachung eines datenverarbeitungssystems
DE102013021231A1 (de) Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät
WO2008068189A1 (de) Verfahren zum softwaremässigen aktualisieren einer elektronischen einrichtung, insbesondere des auslösers von niederspannungs-leistungsschaltern
DE102008004206A1 (de) Anordnung und Verfahren zur Fehlererkennung und -behandlung in einem Steuergerät in einem Kraftfahrzeug
DE102017108481A1 (de) Verfahren und System zum Überwachen einer Fahrzeug-Steuereinheit
DE102016106572A1 (de) Verfahren zum betreiben eines steuergeräts für ein fahrzeug, steuergerät, betriebssystem, kraftfahrzeug
DE102004033263B4 (de) Steuer-und Regeleinheit
DE102004051991A1 (de) Verfahren, Betriebssystem und Rechengerät zum Abarbeiten eines Computerprogramms
DE112016007535T5 (de) Steuereinrichtung und verarbeitungsverfahren im falle einer fehlfunktion der steuereinrichtung
DE102007041847A1 (de) Steuergerät und Verfahren zur Ansteuerung von Personenschutzmitteln
DE10252990B3 (de) Steuereinheit zur Auslösung eines Insassenschutzmittels in einem Kraftfahrzeug und Verfahren zur Überwachung der ordnungsgemäßen Funktion einer vorzugsweise solchen Steuereinheit
WO2006136189A1 (de) Verfahren und vorrichtung zum überwachen eines unerlaubten speicherzugriffs einer rechenvorrichtung, insbesondere in einem kraftfahrzeug
DE102020108987A1 (de) Verfahren, System, Computerprogramm und Speichermedium zum fehlertoleranten Betreiben eines Fahrzeugs
DE10029141A1 (de) Verfahren zur Fehlerüberwachung eines Speicherinhalts mittels Prüfsummen sowie Mikrocontroller mit einem prüfsummengesicherten Speicherbereich
DE112016006679T5 (de) Steuerungsvorrichtung und Recovery-Verarbeitungsverfahren für Steuerungsvorrichtung
DE102017219195B4 (de) Verfahren zum gewährleisten eines betriebs eines rechners
EP1366416A1 (de) Fehlertolerante Rechneranordnung und Verfahren zum Betrieb einer derartigen Anordnung
DE102015215847B3 (de) Vorrichtung und Verfahren zur Erhöhung der funktionalen Sicherheit in einem Fahrzeug.
DE102018217728A1 (de) Verfahren und Vorrichtung zum Schätzen von mindestens einer Leistungskennzahl eines Systems

Legal Events

Date Code Title Description
R163 Identified publications notified
R012 Request for examination validly filed