DE102017223677A1 - Transmission control with integrated error injection - Google Patents
Transmission control with integrated error injection Download PDFInfo
- Publication number
- DE102017223677A1 DE102017223677A1 DE102017223677.9A DE102017223677A DE102017223677A1 DE 102017223677 A1 DE102017223677 A1 DE 102017223677A1 DE 102017223677 A DE102017223677 A DE 102017223677A DE 102017223677 A1 DE102017223677 A1 DE 102017223677A1
- Authority
- DE
- Germany
- Prior art keywords
- switch
- main switch
- sub
- activated
- malfunction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/26—Functional testing
- G06F11/261—Functional testing by simulating additional hardware, e.g. fault simulation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Test And Diagnosis Of Digital Computers (AREA)
Abstract
Die Erfindung betrifft ein Mittel (101) zur Steuerung einer technischen Vorrichtung; wobei das Mittel (101) ausgebildet ist, mindestens eine Fehlfunktion der Vorrichtung auszulösen. Das Mittel (101) weist mindestens einen Hauptschalter und mindestens einen Nebenschalter auf; wobei das Mittel (101) die Fehlfunktionen genau dann auslöst, wenn der Hauptschalter und der Nebenschalter aktiviert sind oder werden.The invention relates to a means (101) for controlling a technical device; wherein the means (101) is arranged to trigger at least one malfunction of the device. The means (101) comprises at least one main switch and at least one auxiliary switch; wherein the means (101) triggers the malfunctions just when the main switch and the sub-switch are or are activated.
Description
Die Erfindung betrifft ein Mittel nach dem Oberbegriff von Anspruch 1 und ein Verfahren nach Anspruch 8.The invention relates to an agent according to the preamble of claim 1 and a method according to claim 8.
Um die Fehlertoleranz technischer Systeme zu prüfen, ist aus dem Stand der Technik das Prinzip der Fehlerinjektion bekannt. Dieses ist etwa beschrieben in „Software-Fehlerinjektion“ (
Um sicherheitskritische Systeme mittels Fehlerinjektion zu testen, sind bisher zwei separate Systemvarianten erforderlich. Eine für die Fehlerinjektion verwendete Systemvariante weist spezielle Routinen auf, welche die Fehlerursachen und -zustände generieren. Aus Sicherheitsgründen dürfen aber nur Systeme ohne diese Routinen an Kunden ausgeliefert werden. Daher ist eine zweite Systemvariante erforderlich, welche diese Routinen nicht aufweist.In order to test safety-critical systems by means of error injection, two separate system variants have hitherto been required. A system variant used for the error injection has special routines which generate the causes and states of the errors. For security reasons, however, only systems without these routines may be delivered to customers. Therefore, a second system variant is required, which does not have these routines.
Ein entsprechender Prozess zur Erstellung und Anwendung von Fehlerinjektions-Softwareständen (FuSi-Releases) ist aufwendig in der Durchführung und hat Lücken, weil der Nachweis der funktionalen Identität von Serien-Releases zu den FuSi-Releases nur mit hohem Prüfaufwand möglich ist. Die Fehlerinjektionsfunktionalitäten werden mittels Präprozessorschalter in separat zu erstellende Softwarestände eingeblendet. Der Nachweis, dass diese Präprozessorschalter nur zusätzliche Manipulationsmöglichkeiten einblenden und nicht versehentlich auch sicherheitsrelevante Programmbestandteile wegkapseln, ist nur im Rahmen aufwendiger Überprüfungen möglich.A corresponding process for the creation and application of error injection software releases (FuSi releases) is complex in implementation and has gaps, because the proof of the functional identity of series releases to the FuSi releases is only possible with high testing costs. The error injection functionalities are displayed by means of a preprocessor switch in separately created software versions. The proof that these pre-processor switches only show additional manipulation possibilities and do not inadvertently encapsulate safety-relevant program components is only possible in the context of elaborate checks.
Der Erfindung liegt die Aufgabe zugrunde, die Prüfung von Steuergeräten mittels Fehlerinjektion zu vereinfachen.The invention has for its object to simplify the examination of control devices by means of error injection.
Diese Aufgabe wird gelöst durch ein Mittel nach Anspruch 1 und ein Verfahren nach Anspruch 8. Bevorzugte Weiterbildungen sind in den Unteransprüchen enthalten.This object is achieved by an agent according to claim 1 and a method according to claim 8. Preferred developments are contained in the subclaims.
Bei dem Mittel handelt es sich um ein Mittel zur Steuerung einer technischen Vorrichtung, d.h. um ein Steuergerät. Bei der Vorrichtung kann es sich um ein Fahrzeug, etwa einen Pkw oder ein Nkw, oder ein Teilsystem des Fahrzeugs handeln. Als Teilsystem kommen etwa das Getriebe, die Bremsen oder die Lenkung des Fahrzeugs infrage.The means is a means of controlling a technical device, i. to a control unit. The device may be a vehicle, such as a car or a commercial vehicle, or a subsystem of the vehicle. As subsystem come about the transmission, the brakes or the steering of the vehicle in question.
Das Mittel implementiert Routinen zur Fehlerinjektion, ist also ausgebildet, mindestens eine Fehlfunktion der Vorrichtung auszulösen.The means implements routines for error injection, so it is designed to trigger at least one malfunction of the device.
Erfindungsgemäß weist das Mittel mindestens einen Hauptschalter und mindestens einen Nebenschalter auf. Mittels des Hauptschalters und des Nebenschalter können Fehlfunktionen zu Testzwecken freigeschaltet werden.According to the invention, the means comprise at least one main switch and at least one auxiliary switch. By means of the main switch and the auxiliary switch malfunctions can be released for test purposes.
Bei dem Hauptschalter und dem Nebenschalter handelt es sich um Schalter mit jeweils genau zwei Zuständen: einem aktivierten Zustand und einem deaktivierten Zustand. Das Mittel löst die Fehlfunktion genau dann aus, wenn der Hauptschalter und der Nebenschalter aktiviert sind oder werden.The main switch and the sub-switch are switches with exactly two states: an activated state and a deactivated state. The means triggers the malfunction if and only if the main switch and the sub-switch are or are activated.
„Aktiviert sein“ eines Schalters bedeutet, dass der Schalter sich im aktivierten Zustand befindet. Ein Übergang des Schalters vom deaktivierten in den aktivierten Zustand wird hier mit „aktiviert werden“ bezeichnet.Being "activated" means that the switch is in the activated state. A transition of the switch from the deactivated to the activated state is referred to here as being "activated".
Der Hauptschalter und der Nebenschalter fungieren bieten eine Sicherung gegen ein unbeabsichtigtes Auslösen der Fehlfunktionen. Dadurch, dass neben dem Hauptschalter auch ein Nebenschalter vorhanden ist, ist die Sicherung redundant. Dies erlaubt es, ein Steuergerät mit Fehlerinjektionsfunktionalität in Serie zu verwenden. Die Notwendigkeit, separate Steuergeräte für Funktionsprüfung und Serieneinsatz zu entwickeln, entfällt.The main switch and the sub-switch provide a safeguard against unintentional triggering of the malfunction. The fact that in addition to the main switch and a sub-switch is present, the backup is redundant. This makes it possible to use a controller with error injection functionality in series. The need to develop separate ECUs for functional testing and series use is eliminated.
In einer bevorzugten Weiterbildung sind der Hauptschalter und/oder der Nebenschalter nach dem Einschalten und/oder dem Neustart des Mittels deaktiviert. Damit ist gewährleistet, dass der Hauptschalter und/oder der Nebenschalter sich nur dann im aktivierten Zustand befinden können, wenn sie durch ein gesondertes Ereignis oder eine gezielte Maßnahme aktiviert wurden.In a preferred development, the main switch and / or the sub-switch are deactivated after switching on and / or restarting the means. This ensures that the main switch and / or the sub-switch can only be in the activated state if they have been activated by a separate event or a specific measure.
Besonders bevorzugt wird eine Weiterbildung, bei der die Fehlfunktion durch einen Zustandsübergang des Hauptschalters ausgelöst. Die Fehlfunktion wird weiterbildungsgemäß genau dann ausgelöst, wenn der Hauptschalter aktiviert, d.h. von dem deaktivierten Zustand in den aktivierten Zustand überführt wird und der Nebenschalter bereits aktiviert ist, d.h. sich im aktivierten Zustand befindet. Das Mittel löst keine Fehlfunktion aus, wenn es keinen Zustandsübergang des Hauptschalters vom deaktivierten Zustand in den aktivierten Zustand detektiert hat. Die Auslösung findet auch dann nicht statt, wenn sowohl der Hauptschalter als auch der Nebenschalter aktiviert sind, aber kein Zustandsübergang detektiert wurde. Auf diese Weise wird verhindert, dass eine fehlerhafte Aktivierung des Hauptschalters, insbesondere beim Einschalten oder Neustart des Mittels, die Fehlfunktion auslöst.Particularly preferred is a development in which the malfunction is triggered by a state transition of the main switch. The malfunction is triggered according to further education exactly when the main switch is activated, i. is transferred from the deactivated state to the activated state and the sub-switch is already activated, i. is in the activated state. The means does not trigger a malfunction if it has not detected a state transition of the main switch from the deactivated state to the activated state. The trip does not take place even if both the main switch and the auxiliary switch are activated, but no state transition has been detected. In this way it is prevented that a faulty activation of the main switch, especially when switching on or restarting the agent, triggers the malfunction.
Der Hauptschalter und/oder der Nebenschalter sind in bevorzugten Weiterbildungen mittels Software, d.h. mittels eines Computerprogramms mit zugehörigen Daten, oder als physische Komponenten realisiert. Sind der Hauptschalter und/oder der Nebenschalter mittels Software realissiert, ist das Mittel ausgebildet, das entsprechende Computerprogramm auszuführen und die zugehörigen Daten zu lesen und zu schreiben. The main switch and / or the auxiliary switch are realized in preferred developments by means of software, ie by means of a computer program with associated data, or as physical components. If the main switch and / or the sub-switch realized by software, the means is designed to execute the corresponding computer program and to read and write the associated data.
Insbesondere können der Hauptschalter und/oder der Nebenschalter jeweils als Folge von einem oder mehreren Bits realisiert sein. In diesem Fall weist das Mittel mindestens ein Speichermedium auf, in dem die Folgen gespeichert sind.In particular, the main switch and / or the sub-switch can each be realized as a sequence of one or more bits. In this case, the means comprises at least one storage medium in which the sequences are stored.
Der Hauptschalter ist in einer bevorzugten Weiterbildung als Folge von mindestens zwei Bits realisiert. Genau eine Belegung dieser Folge mit Bitwerten entspricht dem aktivierten Zustand des Hauptschalters. Davon abweichende Belegungen entsprechen dem deaktivierten Zustand. Auf diese Weise wird das Risiko minimiert, dass der Hauptschalter durch Bitfehler in den aktivierten Zustand gelangt.The main switch is realized in a preferred embodiment as a result of at least two bits. Exact assignment of this sequence with bit values corresponds to the activated state of the main switch. Differing assignments correspond to the deactivated state. In this way, the risk is minimized that the main switch gets into the activated state by bit errors.
Ein erfindungsgemäßes Verfahren zur Steuerung der technischen Vorrichtung umfasst die Schritte
- - Prüfen eines Aktivierungszustands des Hauptschalters und des Nebenschalters; und
- - Auslösen der Fehlfunktion, wenn der Hauptschalter und der Nebenschalter aktiviert sind oder werden.
- - checking an activation state of the main switch and the sub-switch; and
- - Trigger the malfunction when the main switch and the sub-switch are or are activated.
Ein bevorzugtes Ausführungsbeispiel der Erfindung ist in
-
1 : ein System zur Fehlerinjektion.
-
1 : a system for error injection.
Das in
Über die Kalibriervorrichtung
Eine erste Aktivierungsroutine
Über den Start einer dritten Aktivierungsroutine
BezugszeichenlisteLIST OF REFERENCE NUMBERS
- 101101
- Steuergerätcontrol unit
- 103103
- Kalibriervorrichtungcalibration
- 105105
- Dateifile
- 107107
- Testingenieurtest engineer
- 109109
- erste Aktivierungsroutinefirst activation routine
- 111111
- zweite Aktivierungsroutinesecond activation routine
- 113113
- dritte Aktivierungsroutinethird activation routine
ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.
Zitierte Nicht-PatentliteraturCited non-patent literature
- L. Feinbube, D. Richter, S. Gerstenberg, P. Siegler, A. Haller, A. Bolze; Technische Berichte Nr. 109; Hasso-Plattner-Institut für Software-Systemtechnik; Universität Potsdam; 2016 [0002]Feinbube, D. Richter, S. Gerstenberg, P. Siegler, A. Haller, A. Bolze; Technical Reports No. 109; Hasso Plattner Institute for Software Systems Engineering; University of Potsdam; 2016 [0002]
Claims (8)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102017223677.9A DE102017223677A1 (en) | 2017-12-22 | 2017-12-22 | Transmission control with integrated error injection |
PCT/EP2018/082486 WO2019120888A1 (en) | 2017-12-22 | 2018-11-26 | Transmission control having integrated fault injection |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102017223677.9A DE102017223677A1 (en) | 2017-12-22 | 2017-12-22 | Transmission control with integrated error injection |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102017223677A1 true DE102017223677A1 (en) | 2019-06-27 |
Family
ID=64500381
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102017223677.9A Withdrawn DE102017223677A1 (en) | 2017-12-22 | 2017-12-22 | Transmission control with integrated error injection |
Country Status (2)
Country | Link |
---|---|
DE (1) | DE102017223677A1 (en) |
WO (1) | WO2019120888A1 (en) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102013101050A1 (en) * | 2013-02-01 | 2014-08-07 | Pilz Gmbh & Co. Kg | Safety switching device with safe power supply |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020120421A1 (en) * | 2001-02-27 | 2002-08-29 | Crawford Daniel A. | Controller having internal durability test cycle driver |
JP2017151785A (en) * | 2016-02-25 | 2017-08-31 | ルネサスエレクトロニクス株式会社 | Semiconductor device |
-
2017
- 2017-12-22 DE DE102017223677.9A patent/DE102017223677A1/en not_active Withdrawn
-
2018
- 2018-11-26 WO PCT/EP2018/082486 patent/WO2019120888A1/en active Application Filing
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102013101050A1 (en) * | 2013-02-01 | 2014-08-07 | Pilz Gmbh & Co. Kg | Safety switching device with safe power supply |
Non-Patent Citations (1)
Title |
---|
L. Feinbube, D. Richter, S. Gerstenberg, P. Siegler, A. Haller, A. Bolze; Technische Berichte Nr. 109; Hasso-Plattner-Institut für Software-Systemtechnik; Universität Potsdam; 2016 |
Also Published As
Publication number | Publication date |
---|---|
WO2019120888A1 (en) | 2019-06-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102017211433A1 (en) | Method for performing a functional test of a control unit in a hardware-in-the-loop test, HIL test, and HIL test bench and control unit | |
EP1860565B1 (en) | Method for performing a functional check of the control unit for a motor vehicle | |
DE3926377C2 (en) | Electronic control device for an internal combustion engine | |
DE102007006614A1 (en) | Application of a Distributed Diagnostic Architecture in AUTOSAR | |
EP3201774A1 (en) | Distributed real-time computer system and time-controlled distribution unit | |
DE102017223677A1 (en) | Transmission control with integrated error injection | |
DE102011117376A1 (en) | Method for transferring programmable data per electronic data transmission into control device of motor car, involves restoring full functionality of car by control device, and automating documentation per electronic data transmission | |
DE112013006981T5 (en) | Control system test equipment | |
DE102017220068A1 (en) | Method and on-board control unit for controlling and / or monitoring components of a rail vehicle | |
DE102009034242A1 (en) | Method for testing controller utilized for controlling e.g. brake lamp of lorry, involves automatically operating regulator to determine whether controller properly operates or not upon detected output signal | |
DE10228610A1 (en) | Method for testing of a control program running on a computer unit, especially an engine control unit, whereby a dynamic link is created between a bypass function and the control program so that computer data can be accessed | |
DE102020213809A1 (en) | Method for operating a control device when testing software in the control device and method for operating a test computer when testing software in a control device | |
DE102007062974A1 (en) | Signal processing device | |
DE102013201933A1 (en) | Method for checking software compatibility of control devices, involves completing review as correct, if software version identifiers of checked control devices are valid and equal, and/or both are considered as valid | |
DE102018217728A1 (en) | Method and device for estimating at least one performance indicator of a system | |
DE102018201710A1 (en) | Method and device for checking a function of a neural network | |
DE102007028721A1 (en) | Method for verifying function sequences of controller, involves forming development controller by controller in parallel manner, where controller has inlet and outlet, and development controller has finite state machine | |
DE102012015783A1 (en) | Method for diagnosing several vehicle components of motor car, involves actuating determined diagnostic unit by control device so that supplementary diagnosis data is provided to assigned vehicle component from diagnostic unit | |
EP3665027B1 (en) | Method and device for operating a touch-sensitive screen of a vehicle | |
DE102008018680A1 (en) | Method for supporting a safety-related system | |
DE102016013669A1 (en) | Method for operating a data communication system | |
DE102013004949B4 (en) | Troubleshooting device for troubleshooting electronic commissioning and / or testing of manufactured vehicles | |
WO2023156060A1 (en) | Method for automatically verifying request specifications of a technical process | |
Chen et al. | Concept and Prototyping of a Fault Management Framework for Automotive Safety Relevant Systems | |
DE102012222908A1 (en) | Method for controlling release and/or blocking of application functions in e.g. control apparatus of internal combustion engine of motor vehicle, involves storing diagnostic results in data format in matrix-like data structure |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R163 | Identified publications notified | ||
R012 | Request for examination validly filed | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |