DE102021117947A1 - controlling a control device - Google Patents

controlling a control device Download PDF

Info

Publication number
DE102021117947A1
DE102021117947A1 DE102021117947.5A DE102021117947A DE102021117947A1 DE 102021117947 A1 DE102021117947 A1 DE 102021117947A1 DE 102021117947 A DE102021117947 A DE 102021117947A DE 102021117947 A1 DE102021117947 A1 DE 102021117947A1
Authority
DE
Germany
Prior art keywords
control device
watchdog
signal
malfunction
reset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021117947.5A
Other languages
German (de)
Inventor
Vito Magnanimo
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bayerische Motoren Werke AG
Original Assignee
Bayerische Motoren Werke AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke AG filed Critical Bayerische Motoren Werke AG
Priority to DE102021117947.5A priority Critical patent/DE102021117947A1/en
Publication of DE102021117947A1 publication Critical patent/DE102021117947A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0787Storage of error reports, e.g. persistent data storage, storage using memory protection

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Ein Verfahren zum Steuern einer Steuervorrichtung umfasst Schritte des Bestimmens einer Fehlfunktion der Steuervorrichtung; des Einstellens der Bereitstellung eines regelmäßigen Signals an einen externen Watchdog; des Speicherns von Diagnoseinformationen, die auf die Fehlfunktion hinweisen; und des Rücksetzens der Steuervorrichtung durch den externen Watchdog.A method for controlling a control device includes steps of determining a malfunction of the control device; ceasing to provide a periodic signal to an external watchdog; storing diagnostic information indicative of the malfunction; and resetting the controller by the external watchdog.

Description

Die vorliegende Erfindung betrifft eine Steuervorrichtung. Insbesondere betrifft die Erfindung die Steuerung der Steuervorrichtung im Fall einer Fehlfunktion.The present invention relates to a control device. In particular, the invention relates to the control of the control device in the event of a malfunction.

Eine Steuervorrichtung ist dazu eingerichtet, Daten entgegenzunehmen, zu verarbeiten und nach außen bereitzustellen. Insbesondere im Bereich der Fahrzeugsteuerung kann die Steuervorrichtung eine sicherheitsrelevante Aufgabe verrichten, die beispielsweise auf eine Bewegungssteuerung des Fahrzeugs in Längs- oder Querrichtung wirken kann. Dabei kann der Einfluss auch indirekt sein, beispielsweise wenn die Steuervorrichtung eine Positionsinformation des Fahrzeugs bestimmt, und eine bestimmte Position einer Steuerung des Fahrzeugs zugrunde gelegt wird.A control device is set up to receive data, process it and make it available to the outside. In particular in the area of vehicle control, the control device can perform a safety-related task, which can act, for example, on a movement control of the vehicle in the longitudinal or transverse direction. In this case, the influence can also be indirect, for example if the control device determines position information of the vehicle and a specific position is used as a basis for controlling the vehicle.

Zur Absicherung der Steuervorrichtung gegen eine Fehlfunktion kann ein Watchdog vorgesehen sein. Der Watchdog kann in Hardware oder in Software implementiert sein und umfasst einen Zeitgeber, der periodisch rückgesetzt wird, solange die Steuervorrichtung normal arbeitet. Tritt eine Fehlfunktion auf, beispielsweise ein Eintritt in eine Endlosschleife oder eine mathematische Ausnahme, so wird der Zeitgeber nicht mehr rückgesetzt, sodass er nach einer vorbestimmten Zeit abläuft. Daraufhin kann die Steuervorrichtung mittels eines externen Signals in einen vorbestimmten Zustand gebracht werden, beispielsweise mittels Rücksetzen.A watchdog can be provided to protect the control device against a malfunction. The watchdog can be implemented in hardware or in software and includes a timer that is periodically reset as long as the controller is operating normally. If a malfunction occurs, such as entering an infinite loop or a mathematical exception, the timer is no longer reset and expires after a predetermined time. The control device can then be brought into a predetermined state by means of an external signal, for example by means of a reset.

Informationen, die zu der Fehlfunktion geführt haben, können auf diese Weise jedoch verloren gehen, sodass sie für eine Fehleranalyse nicht mehr zur Verfügung stehen. Die Steuervorrichtung kann keine Möglichkeit oder nicht ausreichend Zeit haben, zwischen dem Auftreten der Fehlfunktion und dem Rücksetzen durch den Zeitgeber beispielsweise einen Prozessorstatus abzuspeichern, der für eine Post-mortem-Analyse entscheidend sein kann.However, information that led to the malfunction can be lost in this way, so that it is no longer available for error analysis. The control device may not have the opportunity, or may not have sufficient time, between the occurrence of the malfunction and the timer being reset, for example to store a processor status which can be decisive for a post-mortem analysis.

Eine der vorliegenden Erfindung zugrunde liegende Aufgabe besteht daher in der Angabe einer verbesserten Technik zur Steuerung einer Steuervorrichtung im Fall einer Fehlfunktion. Die Erfindung löst die Aufgabe mittels der Gegenstände der unabhängigen Ansprüche. Unteransprüche geben bevorzugte Ausführungsformen wieder.It is therefore an object of the present invention to provide an improved technique for controlling a control device in the event of a malfunction. The invention solves the problem by means of the subject matter of the independent claims. Subclaims reflect preferred embodiments.

Nach einem ersten Aspekt der vorliegenden Erfindung umfasst ein Verfahren zum Steuern einer Steuervorrichtung Schritte des Bestimmens einer Fehlfunktion der Steuervorrichtung; des Einstellens der Bereitstellung eines regelmäßigen Signals an einen externen Watchdog; des Speicherns von Diagnoseinformationen, die auf die Fehlfunktion hinweisen; und des Rücksetzens der Steuervorrichtung durch den externen Watchdog.According to a first aspect of the present invention, a method for controlling a control device includes the steps of determining a malfunction of the control device; ceasing to provide a periodic signal to an external watchdog; storing diagnostic information indicative of the malfunction; and resetting the controller by the external watchdog.

Erfindungsgemäß ist eine Zeitkonstante des externen Watchdogs derart bemessen, dass die Steuervorrichtung zwischen dem Auftreten der Fehlfunktion und dem Rücksetzen durch den externen Watchdog ausreichend Zeit hat, die Diagnoseinformationen abzuspeichern. Die Zeitkonstante definiert die Zeit zwischen einem Rücksetzen des Watchdogs und seinem Ablaufen, falls er nicht neu rückgesetzt wird. Durch die abgespeicherten Informationen kann im Nachhinein analysiert werden, wie es zu der Fehlfunktion kam und es können verbessert Maßnahmen ergriffen werden, um ein wiederholtes Auftreten der Fehlfunktion zu vermeiden.According to the invention, a time constant of the external watchdog is dimensioned in such a way that the control device has sufficient time between the occurrence of the malfunction and the reset by the external watchdog to store the diagnostic information. The time constant defines the time between a reset of the watchdog and its expiry if it is not reset again. The information stored can be used to analyze afterwards how the malfunction came about and improved measures can be taken to prevent the malfunction from occurring again.

Das regelmäßige Signal kann beispielsweise aus einer üblichen Ablaufsteuerung der Steuervorrichtung herausgegeben werden. Dabei kann das Signal zeitgesteuert oder ereignisgesteuert nach außen bereitgestellt werden. Wird die Verarbeitung von Daten aufgrund der Fehlfunktion unterbrochen, so kann die Bereitstellung des Signals automatisch ausgesetzt oder beendet werden. Die Fehlfunktion kann beispielsweise einen mathematischen Fehler (etwa „Division durch null“ oder „Not a Number“), eine überlange Verarbeitungsdauer für einen vorbestimmten Abschnitt von Programmcode oder die Verletzung einer vorbestimmten Bedingung umfassen. Die Bedingung kann beispielsweise die Einhaltung einer vorbestimmten Grenze für einen vorbestimmten Parameter umfassen. So kann die Plausibilität bereitgestellter Daten sichergestellt werden. Unter Umständen ist die Fehlfunktion derart schwerwiegend, dass mit einer Verarbeitung von Daten nicht fortgefahren werden kann. Dies kann etwa der Fall sein, wenn von der Verarbeitungseinrichtung erfasste Daten bereits vor der Verarbeitung implausibel sind.The regular signal can be issued, for example, from a conventional sequencer of the control device. The signal can be provided externally in a time-controlled or event-controlled manner. If the processing of data is interrupted due to the malfunction, the provision of the signal can be automatically suspended or terminated. The malfunction can include, for example, a mathematical error (such as "divide by zero" or "not a number"), an excessively long processing time for a predetermined section of program code, or the violation of a predetermined condition. The condition can include, for example, compliance with a predetermined limit for a predetermined parameter. In this way, the plausibility of the data provided can be ensured. Under certain circumstances, the malfunction is so serious that processing of data cannot be continued. This can be the case, for example, if data recorded by the processing device are already implausible before processing.

Der Watchdog kann von einer weiteren Steuervorrichtung umfasst sein, wobei die Steuervorrichtung während des Speicherns der Diagnoseinformationen alle Kommunikation mit der weiteren Steuervorrichtung einstellen kann. Insbesondere kann die Steuervorrichtung in einen stillen oder schweigsamen Modus („Silent Mode“) gebracht werden, in welchem sie weder kommuniziert noch auf eine externe Kommunikation reagiert. So kann einerseits sichergestellt werden, dass die Steuervorrichtung ungestört die Diagnoseinformationen abspeichert. Andererseits kann verhindert werden, dass durch die Steuervorrichtung bereitgestellte Informationen, die Produkt der Fehlfunktion sein können, von der weiteren Steuervorrichtung ausgewertet werden. Dadurch kann verhindert werden, dass der Fehler sich ausbreitet bzw. eine Wirkung außerhalb der Steuervorrichtung zeigt.The watchdog can be comprised by a further control device, wherein the control device can stop all communication with the further control device while the diagnostic information is being stored. In particular, the control device can be placed in a silent mode, in which it neither communicates nor responds to external communication. On the one hand, it can thus be ensured that the control device stores the diagnostic information undisturbed. On the other hand, information provided by the control device, which may be the product of the malfunction, can be prevented from being evaluated by the further control device. This can prevent the error from spreading or having an effect outside the control device.

Die Steuervorrichtung kann insbesondere zu verarbeitende Daten an die weitere Steuervorrichtung bereitstellen. Die Bereitstellung kann nur so lange erfolgen, wie keine Fehlfunktion aufgetreten ist. Nach Eintreten der Fehlfunktion wird bevorzugt der stille Modus aktiviert, sodass die weitere Steuervorrichtung keine zu verarbeitenden Daten mehr erhält.In particular, the control device can provide data to be processed to the further control device. Provision can only be made as long as no malfunction has occurred. After the malfunction has occurred, the silent mode is preferably activated, so that the further control device no longer receives any data to be processed.

Zusätzlich kann die weitere Steuervorrichtung ihr bereitgestellte, zu verarbeitende Daten ignorieren, sobald das regelmäßige Signal ausbleibt. Dazu kann das regelmäßige Signal durch die Steuervorrichtung in vorbestimmten maximalen Zeitabständen gegeben werden. Liegt das letzte Signal mehr als der Zeitabstand zurück, so kann die weitere Steuervorrichtung darauf schließen, dass in der Steuervorrichtung eine Fehlfunktion aufgetreten ist. Eine Verarbeitung möglicherweise noch eintreffender Daten kann verweigert werden. In einer Ausführungsform kann auch die Verarbeitung bereits übernommener Daten abgebrochen werden.In addition, the further control device can ignore data to be processed that has been made available to it as soon as the regular signal is absent. For this purpose, the regular signal can be given by the control device at predetermined maximum time intervals. If the last signal is more than the time interval ago, the additional control device can conclude that a malfunction has occurred in the control device. Processing of data that may still be received can be refused. In one embodiment, the processing of data that has already been accepted can also be aborted.

Unter bestimmten Umständen kann die Abspeicherung von Diagnoseinformationen nicht erforderlich sein. Ist die Steuervorrichtung in einem Serienprodukt eingesetzt, so kann beispielsweise zwischen einem Testbetrieb und einem Serienbetrieb unterschieden werden. Im Testbetrieb kann die Abspeicherung der Diagnoseinformationen gewünscht sein, während im Serienbetrieb darauf verzichtet werden kann.Under certain circumstances it may not be necessary to store diagnostic information. If the control device is used in a series product, a distinction can be made between test operation and series operation, for example. In test mode, it may be desirable to store the diagnostic information, while in series mode this can be dispensed with.

Wird bestimmt, dass auf das Speichern von Diagnoseinformationen verzichtet werden soll, kann die Steuervorrichtung durch den Watchdog zurückgesetzt werden, sobald das regelmäßige Signal ausbleibt. Insbesondere kann die Steuervorrichtung bereits rückgesetzt werden, wenn das Signal zeitgesteuert mit einer vorbestimmten Periode gegeben wird, solange die Steuervorrichtung normal arbeitet, und das letzte empfangene Signal mehr als eine Periode zurückliegt. Ob auf das Speichern von Diagnoseinformationen verzichtet werden soll, kann insbesondere durch die weitere Steuervorrichtung bestimmt werden, die den Watchdog umfasst. Dazu kann eine Konfigurationsinformation ausgelesen oder eine Betriebsbedingung bestimmt werden.If it is determined that diagnostic information should not be stored, the control device can be reset by the watchdog as soon as the regular signal is absent. In particular, the control device can already be reset when the signal is given in a time-controlled manner with a predetermined period, as long as the control device is operating normally and the last received signal is more than one period ago. Whether the storage of diagnostic information should be dispensed with can be determined in particular by the additional control device that includes the watchdog. For this purpose, configuration information can be read out or an operating condition can be determined.

In einer weiteren Ausführungsform kann das Rücksetzen der Steuervorrichtung nach dem Speichern der Diagnoseinformationen beschleunigt werden, indem die Steuervorrichtung eine Anforderung zum Rücksetzen an den Watchdog schickt und der Watchdog die Steuervorrichtung in Antwort auf die Anforderung rücksetzt. Auf diese Weise muss nicht auf ein Ablaufen eines Zeitgebers des Watchdogs gewartet werden, bevor die Steuervorrichtung rückgesetzt werden kann. Dieser Mechanismus kann zusätzlich zum ablaufenden Watchdog implementiert sein, sodass auch dann ein Rücksetzen der Steuervorrichtung sichergestellt sein kann, wenn der Mechanismus gestört ist. Eine Störung kann beispielsweise durch einen Kommunikationsfehler zwischen den Steuervorrichtungen oder einen Auswertungsfehler seitens der weiteren Steuervorrichtung auftreten.In another embodiment, the resetting of the controller after storing the diagnostic information can be expedited by the controller sending a reset request to the watchdog and the watchdog resetting the controller in response to the request. In this way, there is no need to wait for a watchdog timer to expire before the controller can be reset. This mechanism can be implemented in addition to the running watchdog, so that a reset of the control device can be ensured even if the mechanism is faulty. A fault can occur, for example, as a result of a communication error between the control devices or an evaluation error on the part of the additional control device.

Es ist bevorzugt, dass die Steuervorrichtung leistungsfähiger als die weitere Steuervorrichtung ist. Die weitere Steuervorrichtung hingegen kann zuverlässiger als die Steuervorrichtung sein. So können unterschiedlich leistungsfähige und zuverlässige Steuervorrichtungen zu einem verbessert leistungsfähigen und/oder zuverlässigen Verbund zusammengeschaltet werden.It is preferred that the control device is more powerful than the further control device. The further control device, on the other hand, can be more reliable than the control device. In this way, different powerful and reliable control devices can be interconnected to form an improved powerful and/or reliable network.

In einer Ausführungsform ist die Steuervorrichtung dazu eingerichtet, Trajektoriendaten bereitzustellen, und die weitere Steuervorrichtung ist dazu eingerichtet, die Trajektoriendaten zu validieren. Die Trajektoriendaten können sich auf Positionen oder eine Bewegung eines Fahrzeugs beziehen. Das Fahrzeug kann insbesondere ein Kraftfahrzeug umfassen. Das Validieren kann ein Bereitstellen von Steuersignalen umfassen, die dazu verwendet werden können, um das Kraftfahrzeug in Längs- oder Querrichtung zu steuern.In one embodiment, the control device is set up to provide trajectory data and the further control device is set up to validate the trajectory data. The trajectory data can relate to positions or a movement of a vehicle. The vehicle can in particular include a motor vehicle. Validating may include providing control signals that may be used to longitudinally or laterally steer the motor vehicle.

Die Trajektoriendaten können auf der Basis von Abtastungen eines Umfelds des Fahrzeugs bestimmt sein. Insbesondere können die Trajektoriendaten auf eine Position des Fahrzeugs hinweisen. Die Abtastungen können in Echtzeit vorliegen, wenn die Steuervorrichtungen an Bord des Fahrzeugs angebracht sind. In einer anderen Ausführungsform können die Abtastungen roh oder teilverarbeitet abgespeichert und zu einem späteren Zeitpunkt der Steuervorrichtung bereitgestellt werden. In noch einer weiteren Ausführungsform können die Abtastungen auch durch ein weiteres System bezüglich eines virtuellen Fahrzeugs simuliert werden.The trajectory data can be determined on the basis of scanning of an area surrounding the vehicle. In particular, the trajectory data can indicate a position of the vehicle. The samples may be real-time when the controllers are mounted onboard the vehicle. In another embodiment, the samples can be stored raw or partially processed and provided to the controller at a later time. In yet another embodiment, the samples may also be simulated by another system relative to a virtual vehicle.

Nach einem weiteren Aspekt der vorliegenden Erfindung umfasst eine Steuervorrichtung zur Bereitstellung von zu verarbeitenden Daten an eine weitere Steuervorrichtung eine erste Schnittstelle zur Bereitstellung eines Signals an einen externen Watchdog; eine zweite Schnittstelle zur Erfassung eines Rücksetzsignals, wobei die Steuervorrichtung dazu eingerichtet ist, sich in Antwort auf ein Rücksetzsignal rückzusetzen; und eine Verarbeitungseinrichtung, die dazu eingerichtet ist, ein regelmäßiges Signal an den externen Watchdog bereitzustellen; und im Fall einer selbsterkannten Fehlfunktion die Bereitstellung des Signals einzustellen und Diagnoseinformationen, die auf die Fehlfunktion hinweisen, abzuspeichern.According to a further aspect of the present invention, a control device for providing data to be processed to a further control device comprises a first interface for providing a signal to an external watchdog; a second interface for detecting a reset signal, wherein the control device is configured to reset itself in response to a reset signal; and a processing device configured to provide a regular signal to the external watchdog; and in the event of a self-detected malfunction, stop providing the signal and store diagnostic information indicative of the malfunction.

Die Steuervorrichtung kann dazu eingerichtet sein, ein hierin beschriebenes Verfahren ganz oder teilweise auszuführen. Dazu kann die Steuervorrichtung einen programmierbaren Mikrocomputer oder Mikrocontroller umfassen und das Verfahren kann in Form eines Computerprogrammprodukts mit Programmcodemitteln vorliegen. Das Computerprogrammprodukt kann auch auf einem computerlesbaren Datenträger abgespeichert sein. Merkmale oder Vorteile des Verfahrens können auf die Vorrichtung übertragen werden oder umgekehrt.The control device can be set up to carry out a method described herein in whole or in part. For this purpose, the control device can include a programmable microcomputer or microcontroller, and the method can be in the form of a computer program product with program code means. The computer program product can also be stored on a computer-readable data carrier. Features or advantages of the method can be transferred to the device or vice versa.

Der externe Watchdog ist bevorzugt in Hardware ausgeführt, sodass seine Funktion im Wesentlichen auf das Verwalten eines Zeitgebers beschränkt ist und eine Fehlfunktion aufgrund eines Verarbeitungsfehlers bezüglich einer anderen Steueraufgabe minimiert ist. Dabei kann der Watchdog von einer weiteren Steuervorrichtung umfasst sein. In einer Ausführungsform umfasst die weitere Steuervorrichtung einen Mikrocontroller, bei dem der Watchdog in Hardware ausgeführt ist, wobei jedoch bestimmte Parameter, insbesondere seine Zeitkonstante oder eine Aktivierung oder Deaktivierung, durch eine Verarbeitungseinrichtung der weiteren Steuervorrichtung beeinflusst werden können.The external watchdog is preferably embodied in hardware so that its function is essentially limited to managing a timer and a malfunction due to a processing error related to another control task is minimized. In this case, the watchdog can be encompassed by a further control device. In one embodiment, the additional control device includes a microcontroller in which the watchdog is implemented in hardware, although specific parameters, in particular its time constant or activation or deactivation, can be influenced by a processing device of the additional control device.

Das Rücksetzsignal wird seitens der Steuervorrichtung bevorzugt außerhalb einer üblichen Datenverarbeitung und auch außerhalb einer üblichen Kommunikation ausgewertet. Insbesondere kann das Rücksetzsignal eine übliche Verarbeitung unterbrechen und entweder das Einnehmen eines vorbestimmten, sicheren Zustands bewirken, oder das Abarbeiten eines vorbestimmten Programmcodes. Das Rücksetzsignal kann ein Reset-Signal oder eine Unterbrechung (interrupt) umfassen, insbesondere eine nicht maskierbare Unterbrechung (non-maskable interrupt, NMI). Der NMI wird üblicherweise beim Eintritt eines für den Betrieb der Steuervorrichtung katastrophalen Ereignisses gegeben.The reset signal is preferably evaluated by the control device outside of normal data processing and also outside of normal communication. In particular, the reset signal can interrupt normal processing and cause either a predetermined, safe state to be assumed or a predetermined program code to be processed. The reset signal may include a reset signal or an interrupt, particularly a non-maskable interrupt (NMI). The NMI is usually given when an event occurs which is catastrophic for the operation of the control device.

Nach noch einem weiteren Aspekt der vorliegenden Erfindung umfasst ein System eine hierin beschriebene Steuervorrichtung und eine weitere Steuervorrichtung, die einen Watchdog umfasst. Dabei ist die weitere Steuervorrichtung dazu eingerichtet, von der Steuervorrichtung bereitgestellte Daten zu verarbeiten. Insbesondere kann das System dazu eingerichtet sein, Trajektoriendaten zu bestimmen und zu verarbeiten.According to yet another aspect of the present invention, a system includes a controller as described herein and a further controller that includes a watchdog. In this case, the additional control device is set up to process data provided by the control device. In particular, the system can be set up to determine and process trajectory data.

Nach wieder einem weiteren Aspekt der vorliegenden Erfindung umfasst ein Fahrzeug ein hierin beschriebenes System.According to yet another aspect of the present invention, a vehicle includes a system as described herein.

Die Erfindung wird nun mit Bezug auf die beigefügten Zeichnungen genauer beschrieben, in denen:

  • 1 ein Fahrzeug mit einem System mit zwei Steuervorrichtungen;
  • 2 eine schematische Darstellung zweier Steuervorrichtungen; und
  • 3 ein Ablaufdiagramm eines Verfahrens;
illustriert.The invention will now be described in more detail with reference to the accompanying drawings, in which:
  • 1 a vehicle with a dual controller system;
  • 2 a schematic representation of two control devices; and
  • 3 a flowchart of a method;
illustrated.

1 zeigt ein Fahrzeug 100 mit einem an Bord angebrachten System 105, das eine erste Steuervorrichtung 110 und eine zweite Steuervorrichtung 115 umfasst. Die erste Steuervorrichtung 110 ist dazu eingerichtet, Trajektoriendaten des Fahrzeugs 100 zu bestimmen und an die zweite Steuervorrichtung 115 bereitzustellen. Die zweite Steuervorrichtung 115 ist dazu eingerichtet, die bereitgestellten Daten zu verarbeiten und insbesondere die Trajektoriendaten zu validieren. 1 FIG. 1 shows a vehicle 100 with an on-board system 105 comprising a first controller 110 and a second controller 115. FIG. First control device 110 is set up to determine trajectory data of vehicle 100 and provide it to second control device 115 . The second control device 115 is set up to process the data provided and in particular to validate the trajectory data.

Die erste Steuervorrichtung 110 kann auf Daten arbeiten, die aus einem Umfeld des Fahrzeugs 100 abgetastet sind. Dazu können an Bord des Fahrzeugs 100 einer oder mehrere Sensoren 120 vorgesehen sein, die insbesondere einen Radarsensor, eine Kamera, einen LiDAR-Sensor, ein Odometer oder eine Inertialplattform umfassen können. Die abgetasteten Daten können roh oder in teilverarbeiteter Form in einer Speichervorrichtung 125 zwischengespeichert werden. Dabei kann die Teilverarbeitung durch die erste Steuervorrichtung 110 oder eine andere Vorrichtung erfolgen.The first control device 110 can operate on data sampled from an environment of the vehicle 100 . For this purpose, one or more sensors 120 can be provided on board the vehicle 100, which can include in particular a radar sensor, a camera, a LiDAR sensor, an odometer or an inertial platform. The sampled data may be cached in a storage device 125 in raw or semi-processed form. In this case, the partial processing can be carried out by the first control device 110 or another device.

Die Steuervorrichtungen 110 und 115 sind bevorzugt mittels Schnittstellen miteinander verbunden. Die erste Steuervorrichtung 110 kann dazu eine erste Schnittstelle 130 umfassen, um der zweiten Steuervorrichtung 115 zu verarbeitende Daten, insbesondere Trajektoriendaten, bereitzustellen. Eine zweite Schnittstelle135 ist bevorzugt dazu vorgesehen, mit einem externen Watchdog 140 verbunden zu werden. Eine dritte Schnittstelle 145 ist dazu eingerichtet, ein Rücksetzsignal zu akzeptieren.The control devices 110 and 115 are preferably connected to one another by means of interfaces. For this purpose, the first control device 110 can comprise a first interface 130 in order to provide the second control device 115 with data to be processed, in particular trajectory data. A second interface 135 is preferably provided to be connected to an external watchdog 140 . A third interface 145 is set up to accept a reset signal.

Der Watchdog 140 ist in der vorliegenden Ausführungsform von der zweiten Steuervorrichtung 115 umfasst. Die zweite Steuervorrichtung 115 kann insbesondere eine Zeitkonstante des Watchdogs 140 beeinflussen. Der Watchdog 140 ist dazu eingerichtet, nach einer vorbestimmten Zeit, die durch die Zeitkonstante bestimmt ist, abzulaufen und ein Rücksetzsignal an die dritte Schnittstelle 145 der ersten Steuervorrichtung 110 bereitzustellen. Trifft vor dem Ablauf der vorbestimmten Zeit ein Signal von der zweiten Schnittstelle 145 ein, so kann der Zeitablauf neu gestartet werden.In the present embodiment, the watchdog 140 is included in the second control device 115 . The second control device 115 can in particular influence a time constant of the watchdog 140 . The watchdog 140 is set up to expire after a predetermined time, which is determined by the time constant, and to provide a reset signal to the third interface 145 of the first control device 110 . If a signal arrives from the second interface 145 before the predetermined time has elapsed, the time lapse can be restarted.

Beispielsweise kann die erste Steuervorrichtung 110 dazu eingerichtet sein, im Normalbetrieb im Sekundentakt Signale über die zweite Schnittstelle 135 an den Watchdog 140 bereitzustellen, und der Watchdog 140 kann ein Rücksetzsignal an die dritte Schnittstelle 145 der ersten Steuervorrichtung 110 bereitstellen, falls seit dem Eintreffen des letzten Watchdogsignals mehr als 8 Sekunden verstrichen sind. Ist das Ausbleiben des Watchdogsignals von der zweiten Schnittstelle 135 durch eine Fehlfunktion der ersten Steuervorrichtung 110 bedingt, so können ihr ca. 7 Sekunden zwischen dem Auftreten der Fehlfunktion und dem Eintreffen eines Rücksetzsignals verbleiben.For example, the first control device 110 can be set up to transmit signals via the second interface every second during normal operation 135 to provide the watchdog 140, and the watchdog 140 can provide a reset signal to the third interface 145 of the first control device 110 if more than 8 seconds have elapsed since the arrival of the last watchdog signal. If the absence of the watchdog signal from the second interface 135 is due to a malfunction in the first control device 110, it can have approximately 7 seconds between the occurrence of the malfunction and the arrival of a reset signal.

Es ist bevorzugt, dass die erste Steuervorrichtung 110 in der Lage ist, das Auftreten einer Fehlfunktion, die das Bereitstellen des Watchdogsignals über die zweite Schnittstelle 135 einstellt, behindert oder verzögert, selbst zu bestimmen. Daraufhin kann die erste Steuervorrichtung 110 Diagnoseinformationen, die mit dem Auftreten der Fehlfunktion in Zusammenhang stehen könnten, abspeichern, bevor ein Rücksetzsignal über die dritte Schnittstelle 145 eintrifft.It is preferred that the first control device 110 is able to determine itself the occurrence of a malfunction which stops, hinders or delays the provision of the watchdog signal via the second interface 135 . First control device 110 can then store diagnostic information that could be related to the occurrence of the malfunction before a reset signal arrives via third interface 145 .

In einer Ausführungsform kann die erste Steuervorrichtung 110 nach dem Speichern der Diagnoseinformationen eine Anforderung an die zweite Steuervorrichtung 115 bzw. den Watchdog 140 senden, ein Rücksetzsignal zu erhalten. Wird dieser Anforderung entsprochen, so kann es nicht erforderlich sein, auf das Ablaufen des Watchdogs 140 zu warten.In one embodiment, after storing the diagnostic information, the first control device 110 can send a request to the second control device 115 or the watchdog 140 to receive a reset signal. If this requirement is met, it may not be necessary to wait for the watchdog 140 to expire.

Das Rücksetzsignal kann dazu führen, dass die erste Steuervorrichtung 110 einen internen Zustand löscht und sich neu initialisiert. Insbesondere die Verarbeitung von Informationen zur Bereitstellung von Trajektoriendaten kann neu begonnen werden. Zwischenergebnisse, ein Prozessorzustand oder Werte von Variablen können auf vorbestimmte Werte rückgesetzt werden. Daten, die zum Auftreten der Fehlfunktion geführt haben, können verworfen werden, um ein erneutes Auftreten derselben Fehlfunktion zu vermeiden.The reset signal may cause the first controller 110 to clear an internal state and reinitialize itself. In particular, the processing of information for providing trajectory data can be restarted. Intermediate results, a processor state or values of variables can be reset to predetermined values. Data that caused the malfunction to occur can be discarded to prevent the same malfunction from occurring again.

Die zweite Steuervorrichtung 115 ist bevorzugt dazu eingerichtet, die von der ersten Steuervorrichtung 110 bereitgestellten Trajektoriendaten zu validieren. The second control device 115 is preferably set up to validate the trajectory data provided by the first control device 110 .

Dazu kann die zweite Steuervorrichtung 115 insbesondere Steuerinformationen bereitstellen, um eine Bewegung des Fahrzeugs 100 zu beeinflussen. Insbesondere können über eine Schnittstelle 150 Steuerinformationen für eine Längs- und/oder Quersteuerung des Fahrzeugs 100 bereitgestellt werden. Die Längssteuerung kann ein Bremssystem oder ein Antriebssystem umfassen; die Quersteuerung kann ein Lenksystem beinhalten.For this purpose, the second control device 115 can in particular provide control information in order to influence a movement of the vehicle 100 . In particular, control information for longitudinal and/or lateral control of vehicle 100 can be provided via an interface 150 . The longitudinal control may include a braking system or a propulsion system; lateral control may include a steering system.

2 zeigt eine schematische Darstellung zweier Steuervorrichtungen 110 und 115. Die Darstellung erfolgt nach Art eines Systemschnitts. Die erste Steuervorrichtung 110 umfasst eine erste Hardware 205, die insbesondere eine Verarbeitungseinrichtung in Form eines Mikrocomputers oder Mikrocontrollers umfassen kann. Die erste Hardware 205 kann durch eine erste Plattform Software 215 gesteuert werden, die ein Betriebssystem sowie gegebenenfalls eine Diensteschicht („Middleware“) umfassen kann. Ein erster Watchdog 220 umfasst in Software realisierte Funktionalität, um regelmäßig, insbesondere periodisch, über die zweite Schnittstelle 135 Signale an den externen Watchdog 140 bereitzustellen. Ebenfalls in Software realisiert ist eine Trajektorienplanung 225 zur Bereitstellung von zu verarbeitenden Trajektoriendaten an die zweite Steuervorrichtung 115. 2 shows a schematic representation of two control devices 110 and 115. The representation is in the form of a system section. The first control device 110 includes first hardware 205, which can include, in particular, a processing device in the form of a microcomputer or microcontroller. The first hardware 205 can be controlled by a first platform software 215, which can include an operating system and possibly a service layer (“middleware”). A first watchdog 220 includes functionality implemented in software in order to regularly, in particular periodically, provide signals to the external watchdog 140 via the second interface 135 . Also implemented in software is a trajectory planning 225 for providing trajectory data to be processed to the second control device 115.

Die zweite Steuervorrichtung 115 umfasst eine zweite Hardware 230, die einen zweiten Watchdog 235 umfasst, der bevorzugt zumindest teilweise in Hardware realisiert ist. Insbesondere umfasst der zweite Watchdog 235 bevorzugt einen Zähler 240, der mit einer vorbestimmten Geschwindigkeit dekrementiert werden kann. Wird ein Signal der ersten Steuervorrichtung 110 empfangen, so kann der Zähler 240 auf einen vorbestimmten Zählerstand zurückgesetzt werden. Erreicht der Zählerstand null, so kann das Rücksetzsignal an die dritte Schnittstelle 145 der ersten Steuervorrichtung 110 bereitgestellt werden. Optional kann das Rücksetzsignal auch durch ein Verarbeitungsprogramm auf der zweiten Steuervorrichtung 115 bereitgestellt werden. Insbesondere kann das Rücksetzsignal in Antwort auf eine entsprechende Anforderung der ersten Steuervorrichtung 110 über die erste Schnittstelle 130 bereitgestellt werden. Das regelmäßige Signal der ersten Steuervorrichtung 110 an den Watchdog 140 bzw. 235 kann auch Watchdog-Signal oder Herzschlag-Signal (Heartbeat) genannt werden.The second control device 115 includes second hardware 230, which includes a second watchdog 235, which is preferably implemented at least partially in hardware. In particular, the second watchdog 235 preferably comprises a counter 240 which can be decremented at a predetermined rate. If a signal is received from the first control device 110, the counter 240 can be reset to a predetermined count. If the count reaches zero, the reset signal can be provided to the third interface 145 of the first control device 110 . Optionally, the reset signal can also be provided by a processing program on the second control device 115 . In particular, the reset signal can be provided in response to a corresponding request from the first control device 110 via the first interface 130 . The regular signal from the first control device 110 to the watchdog 140 or 235 can also be referred to as a watchdog signal or heartbeat signal (heartbeat).

Ferner ist eine Trajektorienvalidierung 245 auf der zweiten Steuervorrichtung 115 in Software implementiert. Die Trajektorienvalidierung 245 kann Signale über die Schnittstelle 150 zur Steuerung des Fahrzeugs 100 bereitstellen.Furthermore, a trajectory validation 245 is implemented in software on the second control device 115 . The trajectory validation 245 can provide signals via the interface 150 to control the vehicle 100 .

3 zeigt ein Ablaufdiagramm eines Verfahrens 300, das auf einem System 105 ausgeführt werden kann, das erste und zweite Steuervorrichtungen 110 und 115 umfasst. Im oberen Bereich der Darstellung sind Verfahrensschritte dargestellt, die insbesondere der ersten Steuervorrichtung 110 zugerechnet werden können. Im unteren Bereich sind Verfahrensschritte dargestellt, die bevorzugt der zweiten Steuervorrichtung 115 zugerechnet werden können. Unterbrochene Linien symbolisieren eine Übermittlung von Informationen zwischen den Steuervorrichtungen 110 und 115. 3 1 shows a flowchart of a method 300 that may be performed on a system 105 that includes first and second controllers 110 and 115. FIG. Method steps are shown in the upper area of the illustration, which can be attributed in particular to the first control device 110 . Method steps that can preferably be assigned to the second control device 115 are shown in the lower area. Broken lines symbolize a transmission of information between the control devices 110 and 115.

In einem Schritt 305 kann ein Umfeld des Fahrzeugs 100 mittels der Sensoren 120 abgetastet werden. Alternativ können zuvor abgespeicherte Abtastungen oder teilverarbeitete Abtastungen aus der Speichervorrichtung 125 entnommen werden. In einem Schritt 310 können auf der Basis der bestimmten Informationen Trajektoriendaten bestimmt werden. In einem Schritt 315 kann bestimmt werden, ob bei der Bestimmung der Trajektoriendaten eine Fehlfunktion aufgetreten ist. Ist dies nicht der Fall, so kann ein Normalbetrieb weiterverfolgt werden. Dabei kann in einem Schritt 320 ein Heartbeat Signal an die zweite Steuervorrichtung 115 bereitgestellt werden. Außerdem können in einem Schritt 325 zuvor bestimmte Trajektoriendaten der zweiten Steuervorrichtung 115 bereitgestellt werden. Anschließend kann mit einem der Schritte 305 oder 310 fortgefahren werden, um kontinuierlich Trajektoriendaten bereitzustellen.In a step 305, the surroundings of vehicle 100 can be scanned using sensors 120. Alternatively, previously stored samples or partially processed samples can be retrieved from storage device 125 . In a step 310, trajectory data can be determined on the basis of the determined information. In a step 315 it can be determined whether a malfunction has occurred in the determination of the trajectory data. If this is not the case, normal operation can be continued. A heartbeat signal can be provided to the second control device 115 in a step 320 . In addition, previously determined trajectory data can be provided to the second control device 115 in a step 325 . Subsequently, one of the steps 305 or 310 can be continued in order to continuously provide trajectory data.

Seitens der zweiten Steuervorrichtung 115 können in einem Schritt 330 die bereitgestellten, zu verarbeitenden Trajektoriendaten empfangen werden. In einem Schritt 335 kann geprüft werden, ob das Heartbeat Signal empfangen wurde. Ist dies der Fall, so können die empfangenen Trajektoriendaten in einem Schritt 340 validiert werden. Auf der Basis der Trajektorienvalidierung 245 können Steuersignale zur Steuerung des Fahrzeugs 100 bereitgestellt werden.In a step 330, the second control device 115 can receive the provided trajectory data to be processed. In a step 335 it can be checked whether the heartbeat signal was received. If this is the case, the received trajectory data can be validated in a step 340. Control signals for controlling the vehicle 100 can be provided on the basis of the trajectory validation 245 .

Wurde im Schritt 335 bestimmt, dass über eine vorbestimmte Zeit lang kein Heartbeat Signal von der ersten Steuervorrichtung 110 empfangen wurde, so kann in einem Schritt 345 ein Rücksetzsignal an die erste Steuervorrichtung 110 bereitgestellt werden. Ein Empfangen weiterer Trajektoriendaten und/oder ein Validieren bereits empfangender Trajektoriendaten kann ausgesetzt werden, bis die erste Steuervorrichtung 110 rückgesetzt ist, neue Trajektoriendaten und ein neues Heartbeat Signal empfangen wurden. In einem Schritt 350 kann die erste Steuervorrichtung 110 rücksetzen.If it was determined in step 335 that no heartbeat signal was received from the first control device 110 for a predetermined time, then in a step 345 a reset signal can be provided to the first control device 110 . Receiving further trajectory data and/or validating trajectory data already received can be suspended until first control device 110 is reset, new trajectory data and a new heartbeat signal have been received. In a step 350, the first control device 110 can reset.

Sollte seitens der ersten Steuervorrichtung 110 im Schritt 315 eine Fehlfunktion bestimmt worden sein, so kann in einem Schritt 355 die Bereitstellung von Trajektoriendaten eingestellt werden. In einem Schritt 360 kann auch die Bereitstellung des Heartbeat Signals eingestellt werden. Außerdem kann jede weitere Kommunikation mit anderen Steuervorrichtungen oder Systemen beendet werden.If a malfunction has been determined by the first control device 110 in step 315, then in a step 355 the provision of trajectory data can be stopped. In a step 360, the provision of the heartbeat signal can also be set. In addition, any further communication with other controllers or systems may be terminated.

In einem Schritt 365 können Diagnoseinformationen gespeichert werden, die auf das Entstehen der Fehlfunktion hinweisen können. Diese Diagnoseinformationen können insbesondere Daten umfassen, die unmittelbar vor dem Auftreten der Fehlfunktion verarbeitet wurden. Ferner können ein Verarbeitungszustand, Variablenwerte oder andere Kenndaten der ersten Steuervorrichtung 110 abgespeichert werden.In a step 365, diagnostic information can be stored that can indicate the occurrence of the malfunction. This diagnostic information can, in particular, include data that was processed immediately before the malfunction occurred. Furthermore, a processing status, variable values or other characteristic data of the first control device 110 can be stored.

In einer Ausführungsform kann die erste Steuervorrichtung 110 schlicht warten, bis ein Rücksetzsignal vom externen Watchdog 140 eintrifft und die Verarbeitung von Informationen zu Trajektoriendaten neu begonnen werden kann. In einer optionalen Ausführungsform kann in einem Schritt 370 das Rücksetzsignal auch explizit angefordert werden. Die Anforderung kann seitens der zweiten Steuervorrichtung 115 in einem Schritt 375 empfangen werden. In der Folge kann das Rücksetzsignal im Schritt 345 bereitgestellt und seitens der ersten Steuervorrichtung 110 im Schritt 350 empfangen werden. Daraufhin kann die erste Steuervorrichtung 110 rücksetzen und die Verarbeitung von Informationen zu Trajektoriendaten neu beginnen.In one embodiment, the first control device 110 can simply wait until a reset signal arrives from the external watchdog 140 and the processing of information on trajectory data can be restarted. In an optional embodiment, in a step 370 the reset signal can also be requested explicitly. The request can be received by the second control device 115 in a step 375 . Subsequently, the reset signal can be provided in step 345 and received by the first control device 110 in step 350 . First control device 110 can then reset and begin processing information about trajectory data anew.

Bezugszeichenlistereference list

100100
Fahrzeugvehicle
105105
Systemsystem
110110
erste Steuervorrichtungfirst control device
115115
zweite Steuervorrichtungsecond control device
120120
Sensorsensor
125125
Speichervorrichtungstorage device
130130
erste Schnittstelle (Daten)first interface (data)
135135
zweite Schnittstelle (Watchdog)second interface (watchdog)
140140
Watchdogwatch dog
145145
dritte Schnittstelle (Rücksetzen)third interface (reset)
150150
Schnittstelle interface
205205
erste Hardwarefirst hardware
215215
erste Plattform Software (OS, Diensteschicht)first platform software (OS, service layer)
220220
erster Watchdogfirst watchdog
225225
Trajektorienplanungtrajectory planning
230230
zweite Hardwaresecond hardware
235235
zweiter Watchdogsecond watchdog
240240
Zählercounter
245245
Trajektorienvalidierung trajectory validation
300300
Verfahrenprocedure
305305
Umfeld abtastenscan the environment
310310
Trajektoriendaten bestimmendetermine trajectory data
315315
Fehlfunktion?malfunction?
320320
Heartbeat Signal bereitstellenProvide heartbeat signal
325325
Trajektoriendaten bereitstellenprovide trajectory data
330330
Trajektoriendaten empfangenTrajectory data received
335335
Heartbeat Signal empfangen?Heartbeat signal received?
340340
Trajektoriendaten validierenValidate trajectory data
345345
Rücksetzsignal bereitstellenProvide reset signal
350350
Rücksetzen auf RücksetzsignalReset on reset signal
355355
Bereitstellung Trajektoriendaten einstellenSet provision of trajectory data
360360
Hartbeat-Signal einstellenAdjust hardbeat signal
365365
Diagnoseinformationen speichernSave diagnostic information
370370
Rücksetzsignal anfordernRequest reset signal
375375
Anforderung Rücksetzsignal empfangenReset signal request received

Claims (12)

Verfahren (300) zum Steuern einer Steuervorrichtung (110), wobei das Verfahren folgende Schritte umfasst: - Bestimmen (315) einer Fehlfunktion der Steuervorrichtung (110); - Einstellen (360) der Bereitstellung eines regelmäßigen Signals an einen externen Watchdog (140); - Speichern (365) von Diagnoseinformationen, die auf die Fehlfunktion hinweisen; und - Rücksetzen der Steuervorrichtung (110) durch den externen Watchdog (140).Method (300) for controlling a control device (110), the method comprising the following steps: - determining (315) a malfunction of the control device (110); - setting (360) the provision of a regular signal to an external watchdog (140); - storing (365) diagnostic information indicative of the malfunction; and - Resetting the control device (110) by the external watchdog (140). Verfahren (300) nach Anspruch 1, wobei der Watchdog (140) von einer weiteren Steuervorrichtung (115) umfasst ist und die Steuervorrichtung (110) während des Speicherns der Diagnoseinformationen alle Kommunikation mit der weiteren Steuervorrichtung (115) einstellt.Method (300) according to claim 1 , wherein the watchdog (140) is comprised by a further control device (115) and the control device (110) stops all communication with the further control device (115) while the diagnostic information is being stored. Verfahren (300) nach Anspruch 2, wobei die Steuervorrichtung (110) zu verarbeitende Daten (325) an die weitere Steuervorrichtung (115) bereitstellt.Method (300) according to claim 2 , wherein the control device (110) provides data (325) to be processed to the further control device (115). Verfahren (300) nach Anspruch 3, wobei die weitere Steuervorrichtung (115) bereitgestellte, zu verarbeitende Daten ignoriert, sobald das regelmäßige Signal ausbleibt.Method (300) according to claim 3 , wherein the further control device (115) provided data to be processed ignored as soon as the regular signal is absent. Verfahren (300) nach einem der vorangehenden Ansprüche, wobei bestimmt wird, dass auf das Speichern von Diagnoseinformationen verzichtet werden soll; und die Steuervorrichtung (110) durch den Watchdog (140) zurückgesetzt (345) wird, sobald das regelmäßige Signal ausbleibt.The method (300) of any preceding claim, wherein determining not to store diagnostic information; and the controller (110) is reset (345) by the watchdog (140) as soon as the periodic signal is absent. Verfahren (300) nach einem der vorangehenden Ansprüche, wobei die Steuervorrichtung (110) nach dem Speichern der Diagnoseinformationen eine Anforderung (375) zum Rücksetzen an den Watchdog (140) schickt; und der Watchdog (140) die Steuervorrichtung (110) in Antwort auf die Anforderung rücksetzt (345).The method (300) of any preceding claim, wherein the controller (110) sends a reset request (375) to the watchdog (140) after storing the diagnostic information; and the watchdog (140) resets (345) the controller (110) in response to the request. Verfahren (300) nach einem der vorangehenden Ansprüche, wobei die Steuervorrichtung (110) leistungsfähiger, aber weniger zuverlässig als die weitere Steuervorrichtung (115) ist.Method (300) according to any one of the preceding claims, wherein the control device (110) is more efficient but less reliable than the further control device (115). Verfahren (300) nach einem der Ansprüche 3 bis 7, wobei die Steuervorrichtung (110) dazu eingerichtet ist, Trajektoriendaten bereitzustellen (325); und die weitere Steuervorrichtung (115) dazu eingerichtet ist, die Trajektoriendaten zu validieren (340).Method (300) according to any one of claims 3 until 7 , wherein the control device (110) is set up to provide trajectory data (325); and the further control device (115) is set up to validate (340) the trajectory data. Verfahren (300) nach Anspruch 8, wobei die Trajektoriendaten auf der Basis von Abtastungen (305) eines Umfelds eines Fahrzeugs (100) bestimmt sind.Method (300) according to claim 8 , wherein the trajectory data are determined on the basis of scans (305) of an environment of a vehicle (100). Steuervorrichtung (110) zur Bereitstellung von zu verarbeitenden Daten an eine weitere Steuervorrichtung (115), wobei die Steuervorrichtung (110) folgendes umfasst: - eine erste Schnittstelle (130) zur Bereitstellung eines Signals an einen externen Watchdog (140); - eine zweite Schnittstelle (135) zur Erfassung eines Rücksetzsignals, wobei die Steuervorrichtung (110) dazu eingerichtet ist, sich in Antwort auf ein Rücksetzsignal rückzusetzen; und - eine Verarbeitungseinrichtung, die dazu eingerichtet ist, ein regelmäßiges Signal an den externen Watchdog (140) bereitzustellen; und im Fall einer selbst erkannten Fehlfunktion die Bereitstellung des Signals einzustellen und Diagnoseinformationen, die auf die Fehlfunktion hinweisen, abzuspeichern.Control device (110) for providing data to be processed to a further control device (115), the control device (110) comprising the following: - A first interface (130) for providing a signal to an external watchdog (140); - a second interface (135) for detecting a reset signal, wherein the control device (110) is arranged to reset itself in response to a reset signal; and - A processing device which is set up to provide a regular signal to the external watchdog (140); and in the event of a self-detected malfunction, stop providing the signal and store diagnostic information that indicates the malfunction. System (105), umfassend eine Steuervorrichtung (110) nach Anspruch 10 und eine weitere Steuervorrichtung (115), die einen Watchdog (140) umfasst; wobei die weitere Steuervorrichtung (115) dazu eingerichtet ist, von der Steuervorrichtung (110) bereitgestellte Daten zu verarbeiten.System (105) comprising a control device (110) according to claim 10 and a further control device (115) comprising a watchdog (140); wherein the further control device (115) is set up to process data provided by the control device (110). Fahrzeug (100), umfassend ein System (105) nach Anspruch 11.Vehicle (100) comprising a system (105). claim 11 .
DE102021117947.5A 2021-07-12 2021-07-12 controlling a control device Pending DE102021117947A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102021117947.5A DE102021117947A1 (en) 2021-07-12 2021-07-12 controlling a control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021117947.5A DE102021117947A1 (en) 2021-07-12 2021-07-12 controlling a control device

Publications (1)

Publication Number Publication Date
DE102021117947A1 true DE102021117947A1 (en) 2023-01-12

Family

ID=84534103

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021117947.5A Pending DE102021117947A1 (en) 2021-07-12 2021-07-12 controlling a control device

Country Status (1)

Country Link
DE (1) DE102021117947A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AT515454A2 (en) 2013-03-14 2015-09-15 Fts Computertechnik Gmbh Method for handling errors in a central control unit and control unit
EP3085596A1 (en) 2015-04-20 2016-10-26 Autoliv Development AB A vehicle safety electronic control system
DE102015216086A1 (en) 2015-08-24 2017-03-02 Robert Bosch Gmbh Method and device for monitoring a state of an electronic circuit unit of a vehicle
DE102017210151A1 (en) 2017-06-19 2018-12-20 Zf Friedrichshafen Ag Device and method for controlling a vehicle module in response to a state signal

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AT515454A2 (en) 2013-03-14 2015-09-15 Fts Computertechnik Gmbh Method for handling errors in a central control unit and control unit
EP3085596A1 (en) 2015-04-20 2016-10-26 Autoliv Development AB A vehicle safety electronic control system
DE102015216086A1 (en) 2015-08-24 2017-03-02 Robert Bosch Gmbh Method and device for monitoring a state of an electronic circuit unit of a vehicle
DE102017210151A1 (en) 2017-06-19 2018-12-20 Zf Friedrichshafen Ag Device and method for controlling a vehicle module in response to a state signal

Similar Documents

Publication Publication Date Title
DE112018001402T5 (en) ELECTRONIC CONTROL DEVICE FOR VEHICLE
EP1337921B1 (en) Device for monitoring a processor
DE112016000264T5 (en) Safety control system and method for operating a safety control system
DE102014102582A1 (en) Fault-tolerant control system
DE102005048037A1 (en) Method for controlling / regulating at least one task
EP0418258A1 (en) Control unit for steering the rear wheels of a road service vehicle.
EP0610316A1 (en) Process and device for dealing with errors in electronic control devices.
WO2008040641A2 (en) Method and device for error management
DE102017218438A1 (en) Method and system for operating a vehicle
DE112018005815T5 (en) Control device and electronic control system for vehicles
DE102015202326A1 (en) Method for operating a data processing unit of a driver assistance system and data processing unit
DE102021117947A1 (en) controlling a control device
DE102022207598A1 (en) Method and control device for controlling an automated vehicle
EP1733284B1 (en) Control system for operating functions on interacting appliances
DE102021208459B4 (en) Method for authentic data transmission between control units in a vehicle, arrangement with control units, computer program and vehicle
EP1384122B1 (en) Method for controlling a component of a distributed safety-relevant system
DE102017219195B4 (en) PROCEDURE FOR ENSURE OPERATION OF A COMPUTER
DE102012212680A1 (en) Method and system for fault-tolerant control of actuators for a limited time based on pre-calculated values
EP3433682B1 (en) Safety controller and method for operating a safety controller
DE102020131998A1 (en) control of a motor vehicle
DE102018203359A1 (en) Method and device for monitoring a control system
EP3331740B1 (en) Method for operating a control device and diagnosis system
DE202023103290U1 (en) safety system for a machine
EP2919086B1 (en) System for secure control of machines, facilities or similar
DE112019005638T5 (en) Communication control device

Legal Events

Date Code Title Description
R163 Identified publications notified
R012 Request for examination validly filed