DE102021126122A1 - Fehlerdiagnoseschaltung und Verfahren zum Betreiben eines Gerätes - Google Patents

Fehlerdiagnoseschaltung und Verfahren zum Betreiben eines Gerätes Download PDF

Info

Publication number
DE102021126122A1
DE102021126122A1 DE102021126122.8A DE102021126122A DE102021126122A1 DE 102021126122 A1 DE102021126122 A1 DE 102021126122A1 DE 102021126122 A DE102021126122 A DE 102021126122A DE 102021126122 A1 DE102021126122 A1 DE 102021126122A1
Authority
DE
Germany
Prior art keywords
instruction
output
fault diagnosis
circuit
diagnosis circuit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021126122.8A
Other languages
English (en)
Inventor
Veit Kleeberger
Rafael Zalman
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Infineon Technologies AG
Original Assignee
Infineon Technologies AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Infineon Technologies AG filed Critical Infineon Technologies AG
Priority to DE102021126122.8A priority Critical patent/DE102021126122A1/de
Priority to US17/937,585 priority patent/US20230116822A1/en
Priority to CN202211220846.7A priority patent/CN115964217A/zh
Publication of DE102021126122A1 publication Critical patent/DE102021126122A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/28Testing of electronic circuits, e.g. by signal tracer
    • G01R31/282Testing of electronic circuits specially adapted for particular applications not provided for elsewhere
    • G01R31/2829Testing of circuits in sensor or actuator systems
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/28Testing of electronic circuits, e.g. by signal tracer
    • G01R31/317Testing of digital circuits
    • G01R31/3181Functional testing
    • G01R31/3185Reconfiguring for testing, e.g. LSSD, partitioning
    • G01R31/318533Reconfiguring for testing, e.g. LSSD, partitioning using scanning techniques, e.g. LSSD, Boundary Scan, JTAG
    • G01R31/318558Addressing or selecting of subparts of the device under test
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/28Testing of electronic circuits, e.g. by signal tracer
    • G01R31/317Testing of digital circuits
    • G01R31/31705Debugging aspects, e.g. using test circuits for debugging, using dedicated debugging test circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1608Error detection by comparing the output signals of redundant hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1608Error detection by comparing the output signals of redundant hardware
    • G06F11/1625Error detection by comparing the output signals of redundant hardware in communications, e.g. transmission, interfaces

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Electromagnetism (AREA)
  • Quality & Reliability (AREA)
  • Hardware Redundancy (AREA)

Abstract

Eine Fehlerdiagnoseschaltung (100) umfasst einen Signaleingang (102) zum Anschluss an eine Kommunikationsschnittstelle (110), ausgebildet zum Empfangen einer ersten Instruktion und einer zweiten Instruktion für ein Gerät (120). Eine Schaltung (106) ist ausgebildet, die erste Instruktion (104a) und die zweite Instruktion (104b) zu vergleichen und ein Fehlersignal auszugeben, wenn die erste Instruktion (104a) und die zweite Instruktion (104b) sich voneinander unterscheiden.

Description

  • Technisches Gebiet
  • Ausführungsbeispiele befassen sich mit Fehlerdiagnoseschaltungen und Verfahren zum Betreiben eines Gerätes mit Erkennung einer fehlerhaften Instruktion.
  • Hintergrund
  • Funktionale Sicherheit ist zu einem entscheidenden Aspekt der wachsenden Anzahl elektronischer Systeme im Auto geworden. Es ist angezeigt, die funktionale Sicherheit von Anfang an in den Entwurf eines elektronischen Produkts einzubeziehen und sie während des gesamten Systems aufrechtzuerhalten. Sichere Berechnungen sind in der Automobilelektronik erforderlich. Sichere Berechnungen werden herkömmlich entweder durch Redundanz auf Hardwareebene oder durch komplexe algorithmische Überlegungen auf Softwareebene erreicht. Diese beiden Ansätze haben jeweils ihre eigenen Nachteile.
  • Redundanz auf Hardware-Ebene kostet Fläche, verbraucht zusätzliche Energie und erhöht die thermische Belastung, was bei kleinen SoCs (z. B. Druck/TPMS-Sensoren), die mit einer Batterie betrieben werden müssen, oft nicht akzeptabel ist. Grund dafür ist, dass die gesamte Berechnung und somit auch deren unkritischer Teil blind doppelt ausgeführt und getaktet wird. Klassische Redundanz auf Software-Ebene erfordert zusätzliche Rechenzeit und kann sehr komplex sein. Der Softwareentwickler muss über fundierte Kenntnisse fehlertoleranter Architekturen verfügen, da er zum Beispiel dasselbe Ergebnis mit zwei unterschiedlichen Berechnungen erzielen muss, die darüber hinaus gegenseitig nicht für dieselben Fehler anfällig sein dürfen. Außerdem können einige Teile, wie der Vergleichsschritt der redundanten Berechnung, prinzipiell schwierig zu implementieren sein, ohne wiederum selbst eine Quelle für nichtidentifizierbare Fehler zu sein.
  • Zusammenfassung
  • Ein Ausführungsbeispiel einer Fehlerdiagnoseschaltung umfasst einen Signaleingang zum Anschluss an eine Kommunikationsschnittstelle, ausgebildet zum Empfangen einer ersten Instruktion und einer zweiten Instruktion für ein Gerät. Eine Schaltung ist ausgebildet, die erste Instruktion und die zweite Instruktion zu vergleichen und ein Fehlersignal auszugeben, wenn die erste Instruktion und die zweite Instruktion sich voneinander unterscheiden. Ein Vergleich der Instruktionen selbst ermöglicht es, eine die Instruktion selbst erzeugende Software beispielsweise ohne weitere Maßnahmen der Absicherung einfach doppelt oder mehrfach auszuführen. Dennoch können beispielsweise strahlungsinduzierte Bitfehler während der Berechnung der Instruktion oder auch während der Übertragung der Instruktion an das Gerät zuverlässig und hocheffizient nachgewiesen werden.
  • Ein dieselben Vorteile bietendes Verfahren zum Betreiben eines Gerätes umfasst das Empfangen einer an eine Adresse gerichteten ersten Instruktion von einem Datenbus und das Empfangen einer an die Adresse gerichteten zweiten Instruktion von dem Datenbus. Ferner erfolgt ein Vergleichen der ersten Instruktion und der zweiten Instruktion und ein Ausgeben eines Fehlersignals, wenn die erste Instruktion und die zweite Instruktion sich voneinander unterscheiden.
  • Figurenliste
  • Einige Beispiele von Vorrichtungen und/oder Verfahren werden nachfolgend bezugnehmend auf die beiliegenden Figuren lediglich beispielhaft näher erläutert. Es zeigen:
    • 1 ein Ausführungsbeispiel einer Fehlerdiagnoseschaltung;
    • 2 ein Ausführungsbeispiel einer Geräteanordnung mit einer Fehlerdiagnoseschaltung;
    • 3 ein Ausführungsbeispiel einer Geräteanordnung mit einer Fehlerdiagnoseschaltung und einem angetriebenen Getriebe;
    • 4 ein Beispiel für Eine Decoder-Schaltung in einer Fehlerdiagnoseschaltung;
    • 5 ein Ausführungsbeispiel eines Verfahrens zum Betreiben eines Gerätes; und
    • 6 ein Flussdiagramm eines Ausführungsbeispiel eines Verfahrens zum Betreiben eines Gerätes;
    • 7 eine Ausführungsbeispiel einer Schaltung mit sofortiger Weiterleitung der Instruktion; und
    • 8 ein Ausführungsbeispiel einer Schaltung mit Weiterleitung der Instruktion, falls kein Fehler diagnostiziert wurde.
  • Beschreibung
  • Einige Beispiele werden nun ausführlicher Bezug nehmend auf die beiliegenden Figuren beschrieben. Weitere mögliche Beispiele sind jedoch nicht auf die Merkmale dieser detailliert beschriebenen Ausführungsformen beschränkt. Diese können Modifikationen der Merkmale sowie Entsprechungen und Alternativen zu den Merkmalen aufweisen. Ferner soll die Terminologie, die hierin zum Beschreiben bestimmter Beispiele verwendet wird, nicht einschränkend für weitere mögliche Beispiele sein.
  • Gleiche oder ähnliche Bezugszeichen beziehen sich in der gesamten Beschreibung der Figuren auf gleiche oder ähnliche Elemente beziehungsweise Merkmale, die jeweils identisch oder auch in abgewandelter Form implementiert sein können, während sie die gleiche oder eine ähnliche Funktion bereitstellen. In den Figuren können ferner die Stärken von Linien, Schichten und/oder Bereichen zur Verdeutlichung übertrieben sein.
  • Wenn zwei Elemente A und B unter Verwendung eines „oder“ kombiniert werden, ist dies so zu verstehen, dass alle möglichen Kombinationen offenbart sind, d. h. nur A, nur B sowie A und B, sofern nicht im Einzelfall ausdrücklich anders definiert. Als alternative Formulierung für die gleichen Kombinationen kann „zumindest eines von A und B“ oder „A und/oder B“ verwendet werden. Das gilt Äquivalent für Kombinationen von mehr als zwei Elementen.
  • Wenn eine Singularform, z. B. „ein, eine“ und „der, die, das“ verwendet wird und die Verwendung nur eines einzelnen Elements weder explizit noch implizit als verpflichtend definiert ist, können weitere Beispiele auch mehrere Elemente verwenden, um die gleiche Funktion zu implementieren. Wenn eine Funktion im Folgenden als unter Verwendung mehrerer Elemente implementiert beschrieben ist, können weitere Beispiele die gleiche Funktion unter Verwendung eines einzelnen Elements oder einer einzelnen Verarbeitungsentität implementieren. Es versteht sich weiterhin, dass die Begriffe „umfasst“, „umfassend“, „aufweist“ und/oder „aufweisend“ bei deren Gebrauch das Vorhandensein der angegebenen Merkmale, Ganzzahlen, Schritte, Operationen, Prozesse, Elemente, Komponenten und/oder einer Gruppe derselben beschreiben, dabei aber nicht das Vorhandensein oder das Hinzufügen eines oder mehrerer anderer Merkmale, Ganzzahlen, Schritte, Operationen, Prozesse, Elemente, Komponenten und/einer Gruppe derselben ausschließen.
  • 1 zeigt ein Ausführungsbeispiel einer Fehlerdiagnoseschaltung 100.
  • Die Fehlerdiagnoseschaltung 100 umfasst einen Signaleingang 102 zum Anschluss an eine Kommunikationsschnittstelle 110. Die Fehlerdiagnoseschaltung 100 ist universell mit unterschiedlichsten Kommunikationsschnittstellen 110 betreibbar. Die Kommunikationsschnittstelle 110, über die die Fehlerdiagnoseschaltung 100 Instruktionen empfängt, kann also beispielsweise ein drahtgebundener Datenbus sein, wie in den 1-3 dargestellt. Alternativ dazu kann die Kommunikationsschnittstelle 110 beispielsweise auch eine beliebige drahtlose Schnittstelle sein, beispielsweise unter Verwendung von WLAN oder Bluetooth. Weitere Kommunikationsschnittstellen können lichtgebundene Kommunikation verwenden, sei es über faseroptische Systeme oder über sich frei ausbreitende optische Kommunikation im Vakuum oder in Luft.
  • Der Signaleingang ist ausgebildet zum Empfangen einer ersten Instruktion 104a und einer zweiten Instruktion 104b für ein Gerät, das in 1 nicht dargestellt ist und das beispielsweise an einem optionalen Signalausgang 108 der Fehlerdiagnoseschaltung 100 angeschlossen sein kann.
  • Eine Schaltung 106 innerhalb der Fehlerdiagnoseschaltung 100 vergleicht die erste Instruktion 104a und die zweite Instruktion 104b und gibt ein Fehlersignal aus, wenn die erste Instruktion 104a und die zweite Instruktion 104b sich voneinander unterscheiden. Mit der in 1 gezeigten Fehlerdiagnoseschaltung kann also überwacht werden, ob Instruktionen, die an ein bestimmtes Gerät gerichtet sind, fehlerfrei erstellt und übermittelt wurden, wenn diese redundant empfangen werden können. Insbesondere kann diese Überprüfung unmittelbar am zu steuernden Gerät erfolgen, sodass sowohl die Erzeugung der Instruktion mittels beispielsweise Software als auch der gesamte Kommunikationspfad bis zum steuernden Gerät dahingehend überwacht werden können, ob beispielsweise ein strahlungsinduzierter Bitfehler auftritt, der eine der beiden Instruktionen verändern würde. In diesem Fall wird zuverlässig erkannt, dass die Instruktion als korrumpiert gelten muss. Das in diesem Fall ausgegebene Fehlersignal kann weitere Maßnahmen auslösen, die anwendungsspezifisch festzulegen sind. Die Art des Fehlersignals und dessen Inhalt spielt dabei zunächst keine Rolle, solange klar ist, dass das Fehlersignal eine unzuverlässige Instruktion anzeigt.
  • Diese Art der Fehlerdiagnose ermöglicht es wiederum softwareseitig, also beim Erstellen der Instruktionen, funktionale Sicherheit einfach dadurch zu gewährleisten, dass der die Instruktion erzeugende Algorithmus zweimal hintereinander abgearbeitet wird. Aufwändige redundante Hardware oder redundante, möglicherweise sogar unterschiedliche Softwarealgorithmen zur Erreichung desselben Ziels können dadurch vermieden werden. Dies macht den Entwicklungsprozess für die Ansteuerung von Geräten erheblich effizienter, sowohl hinsichtlich der Zeit als auch hinsichtlich der Entwicklungs- und Betriebskosten.
  • Die Fehlerdiagnoseschaltung 100 ist darüber hinaus unabhängig von der Art und Weise, wie die Instruktionen für die Geräte erzeugt und codiert werden. Insbesondere muss die Fehlerdiagnoseschaltung 100 nicht wissen, wie die Instruktionen codiert sind, ob diese verschlüsselt oder im Klartext gesendet werden oder wie das Kommunikationsprotokoll aufgebaut ist.
  • Wichtig ist lediglich, dass die Fehlerdiagnoseschaltung 100 erkennt, dass Instruktionen an ein und dasselbe Gerät gesendet werden. Zu diesem Zweck wird gemäß einigen Ausführungsbeispielen, beispielsweise bei einer Bus-Kommunikation, die Adresse des Geräts verwendet, an welche die Instruktionen über den Datenbus gesendet werden. D. h., die Fehlerdiagnoseschaltung 100 identifiziert die an ein Gerät übermittelten Instruktionen mittels der Adresse, an die eine Instruktion enthaltende Nachrichten über den Datenbus gesendet werden. In diesen Fällen ist der Signaleingang 102 ausgebildet, die erste Instruktion 104a und die zweite Instruktion 104b von einem Datenbus 110 zu empfangen, wenn eine Adresse, an die die erste Instruktion 104a und die zweite Instruktion 104b gesendet ist, identisch ist. Ein Beispiel für einen geeigneten Adress-Decoder ist beispielsweise in 4 gezeigt.
  • Gemäß manchen Ausführungsbeispielen dient die Fehlerdiagnoseschaltung 100 lediglich zum Nachweis eines Fehlers, der mittels des Fehlersignals am Signalausgang 108 kommuniziert wird. Gemäß einigen weiteren Ausgangsbeispielen kann die Fehlerdiagnoseschaltung 100 auch zur Weiterleitung der Instruktionen verwendet werden. Zu diesem Zweck kann beispielsweise die erste Instruktion 104a am Signalausgang 108 ausgegeben werden, von welchen das Gerät die Instruktion erhält. Der Signalausgang 108 ist in dem Fall also ausgebildet, die erste Instruktion 104a für das Gerät auszugeben.
  • Die Ausgabe der ersten Instruktion 104a kann gemäß einigen Ausführungsbeispielen beispielsweise immer sofort erfolgen, d. h., sobald die erste Instruktion 104a am Signaleingang 102 empfangen wurde. Die Information, ob die Instruktion zuverlässig ist oder nicht, wird in diesem Fall erst nach dem Weiterleiten der ersten Instruktion 104a durch Vergleich mit der später empfangenen zweiten Instruktion 104b erhalten. Dies kann in Konstellationen, wo eine geringe Latenz bei der Ausführung der Instruktion erforderlich ist, von großem Vorteil sein, beispielsweise wenn das einmalige fehlerhafte Ausführen einer Instruktion keinen signifikanten Nachteil bedeutet. Ein Beispiel hierfür ist die Ansteuerung eines Elektromotors, der selbst ein großes Trägheitsmoment aufweist oder Geräte mit einem großen Trägheitsmoment antreibt. In diesem Fall wird aufgrund des hohen mechanischen Trägheitsmoments eine einmalige falsche Ansteuerung des Elektromotors das System nicht in einen kritischen Zustand versetzen können, da die Trägheit der bewegten Massen selbst für eine Stabilisierung des Systems sorgt. Trotzdem ist es wichtig, zu wissen, ob eine oder möglicherweise mehrere aufeinanderfolgende Instruktionen fehlerhaft waren, um auf eine Gefahr für den sicheren Betrieb schließen zu können und gegebenenfalls die erforderlichen Gegenmaßnahmen, wie abschalten des Elektromotors oder überführen des Elektromotors in einen sicheren Betriebszustand, einzuleiten.
  • In anderen Anwendungen kann es wichtig sein, dass lediglich nicht korrumpierte Instruktionen an das Gerät ausgegeben werden. In diesem Fall kann die erste Instruktion erst dann an das Gerät ausgegeben werden, wenn die erste Instruktion 104a und die zweite Instruktion 104b verglichen sind und einander entsprechen.
  • Wie bereits beschrieben, kann ein Ausführungsbeispiel der Fehlerdiagnoseschaltung 100 parallel zum steuernden Gerät an einen Datenbus 110 angeschlossen werden oder dieses kann als Interface zwischen den Datenbus 100 und das steuernde Gerät geschalten sein. Ein solches Ausführungsbeispiel zeigt 2. Die Fehlerdiagnoseschaltung 100 ist mit dem zu steuernden Gerät 120, dass vorliegend ein Aktuator ist, in einer Funktionseinheit bzw. Geräteanordnung 130 vereint. Lediglich der Vollständigkeit halber sind in 2 darüber hinaus eine CPU 140 mit einem Speicher 150 dargestellt, wobei in der CPU die erste und die zweite Instruktion für das Gerät 120 berechnet und diese über den Datenbus 110 an den Signaleingang 102 der Fehlerdiagnoseeinrichtung 100 übermittelt werden. Diese ist Teil der Geräteanordnung 130, sodass die Fehlerdiagnoseeinrichtung 100 die erste Instruktion 104a gemäß einer der im Vorhergehenden beschriebenen Implementierungsmöglichkeiten an das Gerät 120 weiterleiten kann. Die in 2 gezeigte Geräteanordnung 130 hat den Vorteil, dass beliebige Aktuatoren mittels der zusätzlichen kostengünstigen Hardware der Fehlerdiagnoseschaltung 100 erweitert werden können, sodass diese dadurch in Systemen eingesetzt werden können, die eine hohe funktionale Sicherheit voraussetzen. Die Kombination der Fehlerdiagnoseschaltung 100 mit dem Gerät 120 kann jedoch auch auf beliebige andere Art und Weise erfolgen. Beispielsweise können das Gerät 120 und die Fehlerdiagnoseschaltung 100 in einem zusätzlichen gemeinsamen Gehäuse angebracht werden, oder die Fehlerdiagnoseschaltung 100 kann in Form eines Zwischensteckers zwischen dem Datenbus 110 und dem Gerät 120 angeordnet sein. Sofern geometrisch möglich, kann die Fehlerdiagnoseschaltung 100 innerhalb des Gehäuses eines bestehenden Gerätes 120 angeordnet werden.
  • In allen Konstellationen ist es vorteilhaft, wenn das Gerät 120 bzw. der Aktuator mit einem Signaleingang zum Empfangen von Instruktionen für den Aktuator 120 ausgestattet ist, welcher mit einem Signalausgang 108 der Fehlerdiagnoseschaltung 100 gekoppelt ist.
  • 3 zeigt das Beispiel der Geräteanordnung der 2 am Beispiel eines stilisiert dargestellten Getriebes 210, das mittels des Aktuators 200 angesteuert wird. Da sich ansonsten die auf die Fehlerdiagnoseschaltung 100 und das Zusammenspiel mit dem Aktuator 200 beziehenden Merkmale nicht von denen unterscheiden, die bereits im Zusammenhang mit 2 beschrieben wurden, wird auf eine weitere detaillierte Beschreibung der 3 verzichtet.
  • 4 zeigt ein Beispiel für eine Decoder-Schaltung 430 innerhalb einer Fehlerdiagnoseschaltung. Die Decoder-Schaltung 430 enthält einen Adress-Decoder 432, der die Adresse, an die eine Nachricht auf dem Datenbus geschickt wurde, aus dem Datenstrom extrahiert.
  • Sie enthält ferner einen De- multiplexer 434, der beim ersten Auftreten der Adresse des Geräts die dazugehörige Instruktion an den ersten Flip-Flop 410 überträgt, und der beim darauffolgenden zweiten auftreten der Adresse des Geräts die dazugehörige Instruktion an den zweiten Flip- Flop 420 überträgt. Der erste Flip-Flop 410 und der zweite Flip-Flop 420 fungieren somit als erster Speicher 410 für die erste Instruktion 104a und als zweiter Speicher 420 für die zweite Instruktion 104b. Der Vergleich der beiden Instruktionen kann darauffolgend auf einfache Art und Weise in Hardware erfolgen und 4 belegt, dass die für diese Funktionalität erforderliche Hardware minimal ist. Die Decoder-Schaltung 430 ist also mit anderen Worten ausgebildet, bei einem ersten Empfangen einer Instruktion für eine Adresse des Gerätes 120 die Instruktion in den ersten Speicher 410 zu übertragen und bei einem darauffolgenden zweiten Empfangen einer Instruktion für die Adresse des Gerätes 120 die Instruktion in den zweiten Speicher 420 zu übertragen.
  • Der Vollständigkeit halber zeigen die 5 und 6 erneut schematisch Flussdiagramme, die das Verwenden der Fehlerdiagnoseschaltung 100 zum Betreiben eines Gerätes beschreiben.
  • 5 zeigt ein Ausführungsbeispiel eines Verfahrens zum Betreiben eines Gerätes, wobei sowohl die Schritte zum softwareseitigen Erzeugen der Instruktionen als auch die zum Überprüfen der Instruktionen dargestellt sind.
  • Auf Seiten der ein Gerät steuernden Hardware bzw. durch eine darauf laufende Software wird zunächst die erste Instruktion 504a erzeugt. Diese wird an die Fehlerdiagnoseschaltung 510 übermittelt und dort für den späteren Vergleich mit einer weiteren Instruktion gespeichert. Je nach Konfiguration der Fehlerdiagnoseschaltung 510 kann eine Kopie der ersten Instruktion 506a auch unmittelbar nach dem Empfang der ersten Instruktion 504a weitergeleitet werden. Ebenfalls auf Seiten der das Gerät steuernden Hardware wird die zweite Instruktion 504b erzeugt und an die Fehlerdiagnoseschaltung 510 übermittelt, die diese mit der ersten Instruktion 504a vergleicht und im Fall einer Abweichung ein Fehlersignal erzeugt. Abhängig von der Konfiguration kann auch erst jetzt bei erfolgreichem Vergleich eine Kopie der ersten Instruktion 506b ausgegeben werden. Das beschriebene Verfahren kann irgendwo im Datenflusspfad zwischen Steuerung und Gerät durchgeführt werden, beispielsweise auch direkt an der Steuerung oder direkt am Gerät.
  • 6 zeigt ein Flussdiagramm eines Ausführungsbeispiel eines Verfahrens zum Betreiben eines Gerätes, das sich auf die erforderlichen Schritte zum Betreiben des Gerätes konzentriert, in dem also anders als in 5 das Erzeugen der Instruktionen nicht dargestellt ist.
  • Wie bereits anhand von 5 beschrieben, umfasst das Verfahren zum Betreiben des Gerätes ein Empfangen 610 einer an eine Adresse gerichteten ersten Instruktion von einem Datenbus und ein Empfangen 620 einer an die Adresse gerichteten zweiten Instruktion von dem Datenbus. Das Verfahren umfasst ferner das Vergleichen 630 der ersten Instruktion und der zweiten Instruktion und ausgeben eines Fehlersignals, wenn die erste Instruktion und die zweite Instruktion sich voneinander unterscheiden.
  • Optional umfasst das Verfahren ferner das Ausgeben der ersten Instruktion an das Gerät, wenn die erste Instruktion und die zweite Instruktion einander entsprechen.
  • 7 zeigt ein Ausführungsbeispiel einer Schaltung mit sofortiger Weiterleitung der Instruktion. Diese Schaltung kann beispielsweise innerhalb einer Fehlerdiagnoseschaltung verwendet werden kann.
  • Dies stellt die Variante „Actuate-First“ dar, d.h. beim ersten Schreiben wird direkt die erste Instruktion an Signalausgang 720 (data out) weitergegeben. Der Signalausgang 720 ist somit ausgebildet, die erste Instruktion für das Gerät auszugeben, sobald die erste Instruktion für das Gerät am hier nicht gezeigten Signaleingang empfangen wurde. Zu Beginn der Signalverarbeitung bzw. nach einem Reset liegt am Ausgang des zyklischen Zählers 704 (cyclic counter) eine logische 1 an.
  • Beim ersten Schreiben der Instruktion auf einen Datenbus, das heißt beim Empfangen der ersten Instruktion an den data_in Eingängen des ersten Flip-Flops 702 (FF1) und des zweiten Flip-Flops 706 (FF2), wird die erste Instruktion in die beiden Flip-Flops 702 und 706 geschrieben, da das Signal wr_en (write enable), welches einen Schreibvorgang der Flip-Flops bewirkt, an Aktivierungseingängen EN der beiden Flip-Flops 702 und 706 einer logischen 1 entspricht. Das Signal wr_en liegt direkt am Aktivierungseingang EB des ersten Flip-Flops 702 an. Auch der Aktivierungseingang EB des zweiten Flip-Flops 706 sieht eine logische 1 von einem Ausgang eines UND Gatters 708, das das Ausgangssignal des zyklischen Zählers 704 mit dem Signal wr_en verknüpft.
  • Der Datenausgang 720 der Schaltung entspricht dem Datenausgang des zweiten Flip-Flops 706. Dadurch liegt die erste Instruktion nach dem ersten Schreiben am Datenausgang 720 vor.
  • Beim nächsten Takt wir der zyklischen Zähler 704 durch dessen Rückkopplung mit dem Wert 0 geupdatet. Beim zweiten Schreiben liegt am Ausgang des zyklischen Zählers 704 daher eine logische 0 an. Der zweite Flip-Flop 706 sieht keine logische 1 an seinem Aktivierungseingang EB, da der zyklische Zähler 704 jetzt auf 0 steht und das UND Gatter 708 daher eine 0 an dessen Ausgang erzeugt. Es wird bei diesem Takt daher nur der erste Flip-Flop 702 geschrieben.
  • Am Ausgang des XOR-Gatters 710 liegt am Ende dieses Taktes daher folglich eine logische 1 als ein Fehlersignal an, wenn der zweite Schreibzugriff ungleich dem ersten Schreibzugriff ist bzw. wenn die erste Instruktion nicht der zweiten Instruktion entspricht, da dann die Flip-Flops 702 und 706 unterschiedliche Instruktionen enthalten.
  • 8 zeigt ein Ausführungsbeispiel einer Schaltung mit verzögerter Weiterleitung der Instruktion, falls kein Fehler diagnostiziert wurde. Diese Schaltung kann beispielsweise innerhalb einer Fehlerdiagnoseschaltung verwendet werden kann.
  • 8 stellt also die Variante „Actuate-Last“ dar, d.h. erst beim zweiten Schreiben der Instruktion wird die erste oder die zweite Instruktion am Signalausgang 830 weitergegeben, sofern sich diese entsprechen. Somit ist der Signalausgang 830 ausgebildet, die erste Instruktion oder die zweite Instruktion für das Gerät nur dann auszugeben, wenn die erste Instruktion und die zweite Instruktion einander entsprechen.
  • Zu Beginn der Signalverarbeitung bzw. nach einem Reset liegt am Ausgang des zyklischen Zählers 802 eine logische 1 an.
  • Dadurch wird beim Empfangen der ersten Instruktion nur der erste Flip-Flop 804 (FFO) geschrieben, dessen Aktivierungseingang EB mit dem Ausgang eines ersten UND-Gatters 810 verbunden ist, das als Eingang zusätzlich zum Signal wr_en ein nicht-invertiertes Ausgangssignal des zyklischen Zählers 802 erhält.
  • Die UND-Gatter 812 und 814 hingegen, die mit den Aktivierungseingängen eines zweiten Flip-Flops 806 und eines dritten Flip-Flops 808 verbunden sind, erhalten als Eingang zusätzlich zum Signal wr_en ein invertiertes Ausgangssignal des zyklischen Zählers 802. Folglich werden beim ersten Schreiben bzw. beim Empfangen der ersten Instruktion die Flip-Flops 806 und 808 nicht beschrieben.
  • Nach dem Empfangen der ersten Instruktion wird der Ausgang des zyklischen Zählers 802 zu 0. Der Signalausgang hält nach dem Empfang der ersten Instruktion aus folgenden Gründen in der Regel das Fehlersignal des vorhergehenden Zyklus (ebenfalls bestehend aus dem empfangen einer ersten Instruktion und einer zweiten Instruktion). Der zweite Flip-Flop 806 und der dritte Flip-Flop 808 halten weiter die zweite Instruktion aus dem vorherigen Schreibezyklus. Am Ausgang des ersten XOR-Gatters 816 liegt wahrscheinlich eine 1 (da im Normalfall der Inhalt des ersten Flip-Flops 804 des aktuellen Schreibzyklus von dem Inhalt des zweiten Flip-Flops 806 aus dem Vorherigen Schreibzyklus abweicht). Dies wird jedoch durch das UND-Gatter 820 mit einem Signaleingang, der mit dem Ausgangssignal des zyklischen Zählers 802 verbunden ist (welcher wiederum 0 ist), zu einer 0 gegatet. Am Ausgang eines zweiten XOR-Gatters 818, das mit dem zweiten Flip-Flop 806 und dem dritten Flip-Flop 808 verbunden ist, liegt im Fall eines fehlerfreien vorherigen Zyklus eine 0 an. Damit ist das Fehlersignal am Ausgang des UND-Gatters 822 0.
  • Da nach dem Empfangen der ersten Instruktion der Ausgang des zyklischen Zählers 802 0 ist, wird beim Empfangen der zweiten Instruktion der zweite Flip-Flop 806 und der dritte Flip-Flop 808 mit der zweiten Instruktion beschrieben. Da der Datenausgang 830 dem Ausgang des dritten Flip-Flops 808 entspricht, wird die zweite Instruktion erst nach deren Empfang am Datenausgang 830 zur Verfügung gestellt, zeitgleich mit einem Fehlersignal, das deren Zuverlässigkeit angibt. Das Fehlersignal wird wie folgt erzeugt.
  • Nach dem zweiten Schreiben bzw. nach dem Empfangen der zweiten Instruktion ist der Ausgang des zyklischen Zählers 802 wieder 1. Der Ausgang des XOR-Gatters 816 ist im Gutfall 0, da dann die Daten im ersten Flip-Flop 804 denen im zweiten Flip Flop 806 entsprechen. Das Erzeugen eines Fehlersignals ist aktiv, da vom zyklischen Zähler eine 1 am UND-Gatter 820 anliegt und daher das andere Eingangssignal von dem XOR-Gatters 816 nicht gegated wird.
  • Der Ausgang des XOR-Gatters 816 ist folglich im Gutfall ebenfalls 0, sodass im Fall, dass die empfangene erste Instruktion der empfangenen zweite Instruktion entspricht, als Fehlersignal am Ausgang des UND-Gatters 822 eine 0 erzeugt wird. Derselben Logik folgend wird dort als Fehlersignal eine 1 ausgegeben, wenn dies nicht der Fall ist.
  • Die Ausführungsbeispiele erheben die Probleme der klassischen redundanten SW-Ausführung durch Eliminierung des SW-Komparators und Ersatz durch einen HW-basierten Aktuator-Pegelvergleichs. Ferner besteht anders als bei herkömmlichen Lösungen die Möglichkeit der Betätigung nach der ersten Berechnung und Auslösung eines Alarms bei abweichenden Ergebnissen.
  • Die beschriebenen Ausführungsbeispiele ermöglichen darüber hinaus eine Rationalisierung der SW-Entwicklung. Es besteht kein Bedarf an zusätzlicher SW-Entwicklung (z. B. für einen dedizierten sicheren Vergleicher zwischen den redundanten Ausführungsabläufen) - das Hauptprogramm wird einfach zweimal ausgeführt (mit demselben Auslöseschema). Die gleiche Alarmroutine (wie bei einem SW-Vergleicher) kann wiederverwendet werden. Ferner verbessern die Ausführungsbeispiel die Reaktionszeit. Der gesamte Programm- und Datenfluss für die Ansteuerung ist durch diesen Mechanismus geschützt (d.h. bis zur letzten HW-Ansteuerung). Die Implementierung ist skalierbar (kein hoher HW-Overhead wie bei vollständiger HW-Redundanz) - der Sicherheitsmechanismus kann nur für sicherheitsrelevante SW verwendet werden. Die Ausführungsbeispiele ermöglichen eine erhebliche Verringerung der HW-Zufallsfehlerziele für die Hauptrechnereinheit, da sie einen robusten und wirksamen Sicherheitsmechanismus am Ende der Betätigungskette bietet und damit auch einen zusätzlichen Schutz für nicht rechnende Elemente von der Rechnereinheit bis zur Betätigung).
  • Die Aspekte und Merkmale, die im Zusammenhang mit einem bestimmten der vorherigen Beispiele beschrieben sind, können auch mit einem oder mehreren der weiteren Beispiele kombiniert werden, um ein identisches oder ähnliches Merkmal dieses weiteren Beispiels zu ersetzen oder um das Merkmal in das weitere Beispiel zusätzlich einzuführen.
  • Beispiele können weiterhin ein Programm mit einem Programmcode zum Ausführen eines oder mehrerer der obigen Verfahren sein oder sich darauf beziehen, wenn das Programm auf einem Computer, einem Prozessor oder einer sonstigen programmierbaren Hardwarekomponente ausgeführt wird. Schritte, Operationen oder Prozesse von verschiedenen der oben beschriebenen Verfahren können also auch durch programmierte Computer, Prozessoren oder sonstige programmierbare Hardwarekomponenten ausgeführt werden. Beispiele können auch Programmspeichervorrichtungen, z. B. Digitaldatenspeichermedien, abdecken, die maschinen-, prozessor- oder computerlesbar sind und maschinenausführbare, prozessorausführbare oder computerausführbare Programme und Anweisungen codieren beziehungsweise enthalten. Die Programmspeichervorrichtungen können z.B. Digitalspeicher, magnetische Speichermedien wie beispielsweise Magnetplatten und Magnetbänder, Festplattenlaufwerke oder optisch lesbare Digitaldatenspeichermedien umfassen oder sein. Weitere Beispiele können auch Computer, Prozessoren, Steuereinheiten, programmierbare Logik-Arrays (PLAs = Programmable Logic Arrays), programmierbare Gate-Arrays (PGA = Programmable Gate Arrays), Grafikprozessoren, anwendungsspezifische integrierte Schaltungen, integrierte Schaltungen oder Ein-Chip-Systeme abdecken, die zum Ausführen der Schritte der oben beschriebenen Verfahren programmiert sind.
  • Es versteht sich ferner, dass die Offenbarung mehrerer, in der Beschreibung oder den Ansprüchen offenbarter Schritte, Prozesse, Operationen oder Funktionen nicht als zwingend in der beschriebenen Reihenfolge befindlich ausgelegt werden soll, sofern dies nicht im Einzelfall explizit angegeben oder aus technischen Gründen zwingend erforderlich ist. Daher wird durch die vorhergehende Beschreibung die Durchführung von mehreren Schritten oder Funktionen nicht auf eine bestimmte Reihenfolge begrenzt. Ferner kann bei weiteren Beispielen ein einzelner Schritt, eine einzelne Funktion, ein einzelner Prozess oder eine einzelne Operation mehrere Teilschritte, -funktionen, -prozesse oder -operationen einschließen und/oder in dieselben aufgebrochen werden.
  • Wenn einige Aspekte in den vorhergehenden Abschnitten im Zusammenhang mit einer Vorrichtung oder einem System beschrieben wurden, sind diese Aspekte auch als eine Beschreibung des entsprechenden Verfahrens zu verstehen. Dabei kann beispielsweise ein Block, eine Vorrichtung oder ein funktionaler Aspekt der Vorrichtung oder des Systems einem Merkmal, etwa einem Verfahrensschritt, des entsprechenden Verfahrens entsprechen. Entsprechend dazu sind Aspekte, die im Zusammenhang mit einem Verfahren beschrieben werden, auch als eine Beschreibung eines entsprechenden Blocks, eines entsprechenden Elements, einer Eigenschaft oder eines funktionalen Merkmals einer entsprechenden Vorrichtung oder eines entsprechenden Systems zu verstehen.
  • Die folgenden Ansprüche werden hiermit in die detaillierte Beschreibung aufgenommen, wobei jeder Anspruch als getrenntes Beispiel für sich stehen kann. Ferner ist zu beachten, dass - obwohl ein abhängiger Anspruch sich in den Ansprüchen auf eine bestimmte Kombination mit einem oder mehreren anderen Ansprüchen bezieht - andere Beispiele auch eine Kombination des abhängigen Anspruchs mit dem Gegenstand jedes anderen abhängigen oder unabhängigen Anspruchs umfassen können. Solche Kombinationen werden hiermit explizit vorgeschlagen, sofern nicht im Einzelfall angegeben ist, dass eine bestimmte Kombination nicht beabsichtigt ist. Ferner sollen auch Merkmale eines Anspruchs für jeden anderen unabhängigen Anspruch eingeschlossen sein, selbst wenn dieser Anspruch nicht direkt als abhängig von diesem anderen unabhängigen Anspruch definiert ist.

Claims (12)

  1. Fehlerdiagnoseschaltung (100), umfassend: einen Signaleingang (102) zum Anschluss an eine Kommunikationsschnittstelle (110), ausgebildet zum Empfangen einer ersten Instruktion (104a) und einer zweiten Instruktion (104b) für ein Gerät (120); und eine Schaltung (106), die ausgebildet ist, die erste Instruktion (104a) und die zweite Instruktion (104b) zu vergleichen und ein Fehlersignal auszugeben, wenn die erste Instruktion (104a) und die zweite Instruktion (104b) sich voneinander unterscheiden.
  2. Die Fehlerdiagnoseschaltung (100) nach Anspruch 1, ferner umfassend, einen Signalausgang (108), der ausgebildet ist, die erste Instruktion (104a) für das Gerät (120) auszugeben.
  3. Die Fehlerdiagnoseschaltung (100) nach Anspruch 2, wobei der Signalausgang (108) ausgebildet ist, die erste Instruktion (104a) oder die zweite Instruktion (104b) für das Gerät (120) nur dann auszugeben, wenn die erste Instruktion (104a) und die zweite Instruktion (104b) einander entsprechen.
  4. Die Fehlerdiagnoseschaltung (100) nach Anspruch 3, wobei der Signalausgang (108) ausgebildet ist, die erste Instruktion (104a) für das Gerät (120) auszugeben, sobald die erste Instruktion (104a) am Signaleingang (102) empfangen wurde.
  5. Die Fehlerdiagnoseschaltung (100) nach einem der vorhergehenden Ansprüche, wobei der Signaleingang (102) ausgebildet ist, die erste Instruktion (104a) und die zweite Instruktion (104b) von einem Datenbus (110) zu empfangen, wenn eine Adresse, an die die erste Instruktion (104a) und die zweite Instruktion (104b) gesendet ist, identisch ist.
  6. Die Fehlerdiagnoseschaltung (100) nach einem der vorhergehenden Ansprüche, umfassend: einen ersten Speicher (410) für die erste Instruktion (104a) und einen zweiten Speicher (420) für die zweite Instruktion (104b).
  7. Die Fehlerdiagnoseschaltung (100) nach Anspruch 6, ferner umfassend: Eine Decoder-Schaltung (430), die ausgebildet ist, bei einem ersten Empfangen einer Instruktion für eine Adresse des Gerätes (120) die Instruktion in den ersten Speicher (410) zu übertragen und bei einem darauffolgenden zweiten Empfangen einer Instruktion für die Adresse des Gerätes (120) die Instruktion in den zweiten Speicher (420) zu übertragen.
  8. Die Fehlerdiagnoseschaltung (100) nach einem der vorhergehenden Ansprüche, wobei das Gerät (120) ein Aktuator ist.
  9. Eine Geräteanordnung (130) mit einer Fehlerdiagnoseschaltung (100) gemäß einem der Ansprüche 1 bis 8.
  10. Die Geräteanordnung (130) gemäß Anspruch 9, ferner umfassend einen Aktuator (120) mit einem Signaleingang zum Empfangen von Instruktionen für den Aktuator (120), der mit einem Signalausgang (108) der Fehlerdiagnoseschaltung (100) gekoppelt ist.
  11. Ein Verfahren zum Betreiben eines Gerätes, umfassend: Empfangen (610) einer an eine Adresse gerichteten ersten Instruktion von einem Datenbus; Empfangen (620) einer an die Adresse gerichteten zweiten Instruktion von dem Datenbus; Vergleichen (630) der ersten Instruktion und der zweiten Instruktion und ausgeben eines Fehlersignals, wenn die erste Instruktion (104a) und die zweite Instruktion (104b) sich voneinander unterscheiden.
  12. Das Verfahren gemäß Anspruch 11, ferner umfassend: Ausgeben der ersten Instruktion an das Gerät (120), wenn die erste Instruktion (104a) und die zweite Instruktion (104b) einander entsprechen.
DE102021126122.8A 2021-10-08 2021-10-08 Fehlerdiagnoseschaltung und Verfahren zum Betreiben eines Gerätes Pending DE102021126122A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102021126122.8A DE102021126122A1 (de) 2021-10-08 2021-10-08 Fehlerdiagnoseschaltung und Verfahren zum Betreiben eines Gerätes
US17/937,585 US20230116822A1 (en) 2021-10-08 2022-10-03 Error diagnosis circuit and method for operating a device
CN202211220846.7A CN115964217A (zh) 2021-10-08 2022-10-08 错误诊断电路、设备布置和用于运行设备的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021126122.8A DE102021126122A1 (de) 2021-10-08 2021-10-08 Fehlerdiagnoseschaltung und Verfahren zum Betreiben eines Gerätes

Publications (1)

Publication Number Publication Date
DE102021126122A1 true DE102021126122A1 (de) 2023-04-13

Family

ID=85705263

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021126122.8A Pending DE102021126122A1 (de) 2021-10-08 2021-10-08 Fehlerdiagnoseschaltung und Verfahren zum Betreiben eines Gerätes

Country Status (3)

Country Link
US (1) US20230116822A1 (de)
CN (1) CN115964217A (de)
DE (1) DE102021126122A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120179336A1 (en) 2011-01-06 2012-07-12 Honda Motor Co., Ltd. Automatic vehicle door movement control system
WO2019152772A1 (en) 2018-02-02 2019-08-08 The Charles Stark Draper Laboratory, Inc. Systems and methods for policy execution processing

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220188632A1 (en) * 2020-12-16 2022-06-16 Micron Technology, Inc. Evolutionary Imitation Learning

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120179336A1 (en) 2011-01-06 2012-07-12 Honda Motor Co., Ltd. Automatic vehicle door movement control system
WO2019152772A1 (en) 2018-02-02 2019-08-08 The Charles Stark Draper Laboratory, Inc. Systems and methods for policy execution processing

Also Published As

Publication number Publication date
CN115964217A (zh) 2023-04-14
US20230116822A1 (en) 2023-04-13

Similar Documents

Publication Publication Date Title
DE3700986C2 (de) Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug
DE19927635B4 (de) Sicherheitsbezogenes Automatisierungsbussystem
DE10152235B4 (de) Verfahren zum Erkennen von Fehlern bei der Datenübertragung innerhalb eines CAN-Controllers und ein CAN-Controller zur Durchführung dieses Verfahrens
DE102011005800A1 (de) Kontrollrechnersystem, Verfahren zur Steuerung eines Kontrollrechnersystems, sowie Verwendung eines Kontrollrechnersystems
WO2014138767A1 (de) Verfahren zur behandlung von fehlern in einem zentralen steuergerät sowie steuergerät
DE102015003194A1 (de) Verfahren und Vorrichtung zum Handhaben von sicherheitskritischen Fehlern
WO2005101145A1 (de) Sicherheitssteuerung
DE102007042353A1 (de) Sicherheitsstrategie einer Koordination eines mechanischen und elektrischen Verriegelns für ein System einer aktiven Frontlenkung
EP3428748B1 (de) Verfahren und anordnung zum betrieb von zwei redundanten systemen
DE4326919A1 (de) Regelschaltung für Bremsanlagen mit ABS und/oder ASR
EP1811722A2 (de) Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht
EP1807760B1 (de) Datenverarbeitungssystem mit variabler taktrate
DE102017205832A1 (de) Verfahren zum Parametrieren eines Feldgeräts sowie parametrierbares Feldgerät
EP2075655B1 (de) Sicherheitssteuerung
DE102021126122A1 (de) Fehlerdiagnoseschaltung und Verfahren zum Betreiben eines Gerätes
EP2494488B1 (de) Verfahren zum ausführen von sicherheits-relevanten und nicht-sicherheits-relevanten softwarekomponenten auf einer hardwareplattform
DE102017103147A1 (de) Alarmabwicklungs-Schaltungsanordnung und Verfahren zur Abwicklung eines Alarms
EP2228723A1 (de) Verfahren zur Fehlerbehandlung eines Rechnersystems
EP2767877B1 (de) Steuerungs- und Datenübertragungssystem zum Übertragen von sicherheitsbezogenen Daten über einen Feldbus
DE102006020793A1 (de) Schaltungsanordnung und Verfahren zum Betrieb einer Schaltungsanordnung
WO2011113405A1 (de) Steuergeräteanordnung
AT507122B1 (de) Verfahren zum betrieb einer transaktionsbasierten ablaufsteuerung
EP4359933A1 (de) Steuereinrichtung sowie assistenzsystem für ein fahrzeug
DE102021206133A1 (de) Steuerungssystem für mindestens ein empfangendes Gerät in sicherheitskritischen Anwendungen
WO2023242154A1 (de) Verfahren zum überprüfen eines mehrere einzelkomponenten aufweisenden systems zum gemeinsamen durchführen einer funktion durch die mehreren einzelkomponenten

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication