DE102021131252A1 - Die vorliegende Erfindung betrifft eine Steuereinheit für ein Fahrzeug sowie ein Fehlermanagementverfahren dafür - Google Patents

Die vorliegende Erfindung betrifft eine Steuereinheit für ein Fahrzeug sowie ein Fehlermanagementverfahren dafür Download PDF

Info

Publication number
DE102021131252A1
DE102021131252A1 DE102021131252.3A DE102021131252A DE102021131252A1 DE 102021131252 A1 DE102021131252 A1 DE 102021131252A1 DE 102021131252 A DE102021131252 A DE 102021131252A DE 102021131252 A1 DE102021131252 A1 DE 102021131252A1
Authority
DE
Germany
Prior art keywords
error
cluster
management cluster
platform
vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021131252.3A
Other languages
English (en)
Inventor
Jin Woo MOON
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hyundai AutoEver Corp
Original Assignee
Hyundai AutoEver Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hyundai AutoEver Corp filed Critical Hyundai AutoEver Corp
Publication of DE102021131252A1 publication Critical patent/DE102021131252A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0225Failure correction strategy
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0787Storage of error reports, e.g. persistent data storage, storage using memory protection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1438Restarting or rejuvenating
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1441Resetting or repowering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2556/00Input parameters relating to data
    • B60W2556/45External transmission of data to or from the vehicle
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/362Software debugging
    • G06F11/366Software debugging using diagnostics

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Transportation (AREA)
  • Human Computer Interaction (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Computer Hardware Design (AREA)
  • Mathematical Physics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Vorgeschlagen wird ein Verfahren zum Verwalten eines Fehlers einer Steuereinheit für ein Fahrzeug, wobei das Verfahren Folgendes umfasst: Sammeln eines Fehlers; Konvertieren des gesammelten Fehlers in eine Datenbank in einer Form, die für eine Diagnose und Fehlersuche erforderlich ist; und Ausführen eines Wiederherstellungsmechanismus durch Zusammenwirken eines Plattform-Zustandsmanagementclusters (PHM), eines Anweisungsmanagementclusters (SM) und eines Ausführungsmanagementclusters (EM), wobei das Sammeln des Fehlers Folgendes umfasst: das Sammeln eines Nutzerfehlers, der in einer Anwendung für ein Fahrzeug auftritt; das Sammeln eines Plattformfehlers, der in wenigstens einem von dem Plattform-Zustandsmanagementcluster (PHM), dem Anweisungsmanagementcluster (SM) und dem Ausführungsmanagementcluster (EM) auftritt; oder das Sammeln eines integrierten Fehlers in Abhängigkeit davon, ob ein Netzwerkmanagementcluster (NM), ein Zeitsynchronisationscluster (TS) und ein Persistenzcluster (PER) normal betrieben werden.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung betrifft eine Steuereinheit für ein Fahrzeug sowie ein Fehlermanagementverfahren dafür.
  • Stand der Technik
  • Eine Umgebung erfordert eine große Rechenleistung. Leistung und Kosteneffizienz sind wichtige Bauelemente, jedoch ist Hochleistungsrechnen (im Englischen High Performance Computing (HPC)) im Sicherheitsbereich mit verschiedenen Problemen konfrontiert. Um die Probleme zu lösen, ist es notwendig, die Technologie anzupassen, die die Steuereinheit (ECU) nicht nutzen kann, wobei es notwendig ist, den vollen Nutzen aus innovativen Technologien zu ziehen. Eine adaptive AUTomotive-Open-System-Architecture (AUTOSAR)-Plattform verwaltet die Ressourcen und die Kommunikation dynamisch, verteilt die Anwendungsprogramme und reduziert gleichzeitig den Aufwand für die Softwareentwicklung und -integration, und ermöglicht es einem Systemintegrator, die Software sorgfältig zu integrieren, um das Fehlerrisiko zu verringern und Sicherheit zu gewährleisten. Der dynamische Betrieb des Anwendungsprogramms wird durch die im Anwendungsprogramm-Manifest festgelegten Einschränkungen begrenzt. Die dynamische Zuweisung der Ressourcen und des Kommunikationspfads während der Ausführung ist nur mit einem definierten Verfahren innerhalb eines ausgebildeten Bereichs möglich. Die Implementierung der adaptiven Plattform von AUTOSAR beschränkt die dynamische Funktion in der Konfiguration der Software auf eine Vorbestimmung von Prozessen, eine dynamische Speicherbegrenzung auf eine Startphase, Ablaufsteuerungsrichtlinien zusätzlich zur prioritätsbasierten Ablaufsteuerung, eine feste Zuweisung von Prozessen für eine zentrale Recheneinheit (CPU), einen Zugriff auf eine bestehende Datei, eine Einschränkung der Nutzung der Adaptive-Plattform (AP)-Anwendungs-Programmier-Schnittstelle (API), und die Ausführung eines autorisierten Codes.
  • [Literatur zum Stand der Technik]
  • [Patentdokument]
    • Patentdokument 1: KR 10-2016-0076270 (veröffentlicht am 30. Juni 2016), mit dem Titel „Multicore System for Vehicle“
    • Patentdokument 2: KR 10-1584213 (registriert am 5. Januar 2016), mit dem Titel „Apparatus and Method of Setting Data Communication Flow in AUTOSAR Platform“
  • Zusammenfassung der Erfindung
  • Die vorliegende Erfindung wurde gemacht, um eine Steuereinheit für ein Fahrzeug bereitzustellen, die aktiv mit einem Fehler umgeht, sowie ein Fehlermanagementverfahren dafür.
  • Eine beispielhafte Ausführungsform der vorliegenden Erfindung stellt ein Verfahren zum Verwalten eines Fehlers einer Steuereinheit für ein Fahrzeug bereit, wobei das Verfahren umfasst: Sammeln des Fehlers; Konvertieren des gesammelten Fehlers in eine Datenbank in einer Form, die für eine Diagnose und Fehlersuche erforderlich ist; und Ausführen eines Wiederherstellungsmechanismus durch Zusammenwirken eines Plattform-Zustandsmanagementclusters (PHM), eines Anweisungsmanagementclusters (SM) und eines Ausführungsmanagementclusters (EM), wobei das Sammeln des Fehlers umfasst: Sammeln eines Nutzerfehlers, der in einer Anwendung für das Fahrzeug auftritt; Sammeln eines Plattformfehlers, der in wenigstens einem von dem Plattform-Zustandsmanagementcluster (PHM), dem Anweisungsmanagementcluster (SM) und dem Ausführungsmanagementcluster (EM) auftritt; oder Sammeln eines integrierten Fehlers in Abhängigkeit davon, ob ein Netzwerkmanagementcluster (NM), ein Zeitsynchronisationscluster (TS) und ein Persistenzcluster (PER) normal betrieben werden.
  • In der beispielhaften Ausführungsform kann das Verfahren weiterhin eine periodische Überwachung umfassen, ob der Fehler auftritt.
  • In der beispielhaften Ausführungsform kann der Fehler durch Verwendung eines lokalen Host-Verfahrens von ara::com erfasst werden.
  • In der beispielhaften Ausführungsform kann der Fehler durch ein Polling-Verfahren erfasst werden.
  • In der beispielhaften Ausführungsform kann das Sammeln des integrierten Fehlers Folgendes umfassen: Aufrufen einer Anwendungsprogrammierschnittstelle zur Überprüfung, ob der Netzwerkmanagementcluster, der Zeitsynchronisationscluster und der Persistenzcluster normal betrieben werden; und Prüfen einer Antwort auf den Aufruf.
  • In der beispielhaften Ausführungsform kann das Konvertieren der gesammelten Fehler in die Datenbank Folgendes umfassen: Klassifizieren des gesammelten Fehlers in einen Fehler für eine Diagnose, einen Fehler für die Fehlersuche oder einen Fehler für das Protokoll; und Konvertieren jedes der klassifizierten Fehler in die Datenbank.
  • In der beispielhaften Ausführungsform kann das Ausführen des Wiederherstellungsmechanismus Folgendes umfassen: Überwachen von Konfigurationen in Bezug auf eine Plattformabhängigkeit; und Ausführen eines Neustarts entsprechend einem Ergebnis des Überwachens oder Unterbrechen der Anwendung.
  • In der beispielhaften Ausführungsform kann der Wiederherstellungsmechanismus unter Verwendung der gesammelten Fehler- und Kundenspezifikations-Rückrufinformationen ausgeführt werden.
  • Eine weitere beispielhafte Ausführungsform der vorliegenden Erfindung stellt eine Steuereinheit für ein Fahrzeug bereit, wobei die Steuereinheit umfasst: eine Kommunikationseinrichtung, die ausgebildet ist, um eine Kommunikation mit einer externen Einrichtung durchzuführen; einen Speicher, der zum Speichern eines Fehlermanagers ausgebildet ist; und eine Mikro-Steuereinheit, die ausgebildet ist, um die Kommunikationseinrichtung und den Speicher zu steuern, und um den Fehlermanager anzusteuern, wobei der Fehlermanager ausgebildet ist, um: einen Nutzerfehler zu sammeln, der in einer Anwendung für ein Fahrzeug auftritt, einen Plattformfehler zu sammeln, der wenigstens in einem Plattform-Zustandsmanagementcluster (PHM), einem Anweisungsmanagementcluster (SM) oder einem Ausführungsmanagementcluster (EM) auftritt, oder um einen integrierten Fehler in Abhängigkeit davon zu sammeln, ob ein Netzwerkmanagementcluster (NM), ein Zeitsynchronisationscluster (TS) und ein Persistenzcluster (PER) normal betrieben werden; den gesammelten Fehler in eine Datenbank in einer Form zu konvertieren, die für eine Diagnose und Fehlersuche erforderlich ist; und einen Wiederherstellungsmechanismus durch Zusammenwirken mit dem Plattform-Zustandsmanagementcluster (PHM), dem Anweisungsmanagementcluster (SM) und dem Ausführungsmanagementcluster (EM) durchzuführen.
  • In der beispielhaften Ausführungsform kann der Fehlermanager durch eine adaptive AUTomotive Open System Architecture (AUTOSAR)-Anwendung implementiert sein.
  • In der beispielhaften Ausführungsform kann der Fehlermanager periodisch den Netzwerkmanagementcluster NM, den Zeitsynchronisationscluster TS und den Persistenzcluster PER überwachen.
  • In der beispielhaften Ausführungsform kann der Fehlermanager durch ara::api periodisch überwachen, ob wenigstens einer der Funktionscluster einen Fehler aufweist.
  • In der beispielhaften Ausführungsform kann der Fehlermanager Kundenspezifikations-Rückrufinformationen an eine ausfallsichere Nutzerlogik der Anwendung für das Fahrzeug übermitteln.
  • Die Steuereinheit für das Fahrzeug und das Fehlermanagementverfahren gemäß den beispielhaften Ausführungsformen der vorliegenden Erfindung umfassen den Fehlermanager, der den Fehler der Plattform sammelt/verwaltet und dabei den Fehler der Plattform aktiv verarbeitet.
  • Die vorangehende Zusammenfassung ist nur illustrativ und soll in keiner Weise einschränkend sein. Zusätzlich zu den oben beschriebenen illustrativen Aspekten, Ausführungsformen und Merkmalen werden weitere Aspekte, Ausführungsformen und Merkmale durch Bezugnahme auf die Zeichnungen und die folgende detaillierte Beschreibung deutlich.
  • Figurenliste
  • Die beigefügten Zeichnungen dienen der Veranschaulichung der vorliegenden beispielhaften Ausführungsform und stellen die beispielhaften Ausführungsformen zusammen mit der detaillierten Beschreibung dar. Die technischen Merkmale der vorliegenden beispielhaften Ausführungsform sind jedoch nicht auf eine bestimmte Zeichnung beschränkt, wobei die in jeder Zeichnung offenbarten Merkmale miteinander kombiniert werden können, um eine neue beispielhafte Ausführungsform zu bilden.
    • 1 ist ein Diagramm, das die Architektur einer adaptiven AUTomotive Open System Architecture (AUTOSAR)-Plattform zeigt.
    • 2 ist ein Diagramm, das ein Beispiel für eine Proxy-Skelett-Dienst-orientierte Kommunikation über SOME/IP-Kommunikation zeigt.
    • 3 ist ein Diagramm, das den Betrieb der adaptiven AUTOSAR-Plattform zeigt.
    • 4 ist ein Diagramm zur Veranschaulichung des Betriebs einer adaptiven AUTOSAR-Plattform gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung.
    • 5 ist ein Flussdiagramm, das ein Beispiel für ein Verfahren zum Betrieb eines Fehlermanagers einer Anwendung der adaptiven AUTOSAR-Plattform gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung darstellt.
    • 6 ist ein Diagramm, das ein Beispiel für eine elektronisches Steuereinheit 1000 für ein Fahrzeug gemäß der beispielhaften Ausführungsform der vorliegenden Erfindung zeigt.
  • Es versteht sich, dass die beigefügten Zeichnungen nicht unbedingt maßstabsgetreu sind und eine etwas vereinfachte Darstellung verschiedener Merkmale zeigen, die die Grundprinzipien der Erfindung veranschaulichen. Die spezifischen Konstruktionsmerkmale der vorliegenden Erfindung, wie sie hierin offenbart sind, einschließlich z. B. spezifischer Abmessungen, Ausrichtungen, Positionen und Formen, sind zum Teil durch die jeweilige beabsichtigte Anwendung und Einsatzumgebung bestimmt.
  • In den Figuren beziehen sich die Bezugszeichen auf die gleichen oder gleichwertige Teile der vorliegenden Erfindung in den verschiedenen Figuren der Zeichnung.
  • Detaillierte Beschreibung
  • Nachfolgend sind die Inhalte der vorliegenden Erfindung klar und detailliert beschrieben, so dass der Fachmann die vorliegende Erfindung unter Verwendung der Zeichnungen leicht umsetzen kann.
  • Die vorliegende Erfindung kann verschiedene Modifikationen und verschiedene Formen haben, und daher sind bestimmte beispielhafte Ausführungsformen in den Zeichnungen dargestellt und im Zusammenhang detailliert beschrieben. Es ist jedoch nicht beabsichtigt, die vorliegende Erfindung auf die spezifische offengelegte Form zu beschränken, wobei bevorzugt wird, dass die vorliegende Erfindung alle Modifikationen, Äquivalenzen oder Substitutionen umfasst, die im Geist und im technischen Umfang der vorliegenden Erfindung enthalten sind. Begriffe wie „erster“ und „zweiter“ können zur Beschreibung verschiedener Bauelemente verwendet werden, wobei aber die Bauelemente durch diese Begriffe nicht eingeschränkt sind.
  • Die Begriffe werden nur verwendet, um ein Bauelement von einem anderen Bauelement zu unterscheiden. Beispielsweise kann, ohne vom Anwendungsbereich der vorliegenden Erfindung abzuweichen, ein erstes Bauelement als zweites Bauelement bezeichnet sein, und in ähnlicher Weise kann ein zweites Bauelement auch als erstes Bauelement bezeichnet sein. Wenn ein Bauelement als „gekoppelt“ oder „verbunden mit“ einem anderen Bauelement bezeichnet ist, kann ein Bauelement direkt mit dem anderen Bauelement gekoppelt oder verbunden sein, es können aber auch dazwischenliegende Elemente vorhanden sein. Wird dagegen ein Bauelement als „direkt gekoppelt“ oder „direkt verbunden mit“ einem anderen Bauelement bezeichnet, so ist davon auszugehen, dass es keine dazwischenliegenden Elemente gibt.
  • Andere Ausdrücke wie „zwischen -“ und „genau zwischen -“ oder“ angrenzend an ~“ und „direkt an ~ angrenzend“, die eine Beziehung zwischen Bauelementen beschreiben, sollten in ähnlicher Weise interpretiert werden. Die in der vorliegenden Anmeldung verwendeten Begriffe werden nur zur Beschreibung bestimmter beispielhafter Ausführungsformen verwendet und sollen die vorliegende Erfindung nicht einschränken. Die in dieser Anmeldung verwendeten Begriffe in der Einzahl schließen die Begriffe in der Mehrzahl ein, es sei denn, sie haben im Kontext eindeutig entgegengesetzte Bedeutungen.
  • Die in der vorliegenden Anmeldung verwendeten Begriffe werden nur zur Beschreibung bestimmter beispielhafter Ausführungsformen verwendet und sollen die vorliegende Erfindung nicht einschränken. Singuläre Ausdrücke, die hier verwendet werden, schließen plurale Ausdrücke ein, es sei denn, sie haben im Kontext eindeutig entgegengesetzte Bedeutungen. In der vorliegenden Anmeldung sind die Begriffe „einschließlich“ und „aufweisend“ dazu bestimmt, das Vorhandensein der in der Beschreibung beschriebenen Merkmale, Zahlen, Schritte, Operationen, Bauelemente und Komponenten oder einer Kombination davon zu bezeichnen, und schließen die Möglichkeit des Vorhandenseins oder der Hinzufügung eines oder mehrerer anderer Merkmale, Zahlen, Schritte, Operationen, Bauelemente und Komponenten oder einer Kombination davon nicht von vornherein aus. Alle hierin verwendeten Begriffe, einschließlich technischer oder wissenschaftlicher Begriffe, haben die gleiche Bedeutung, wie sie vom Fachmann im Allgemeinen verstanden wird, sofern sie nicht anders definiert sind. Begriffe, die in allgemein gebräuchlichen Wörterbüchern definiert sind, sind so auszulegen, dass sie Bedeutungen haben, die mit denen im Kontext eines verwandten Fachgebiets übereinstimmen, wobei sie nicht in idealer oder übermäßig formaler Bedeutung ausgelegt werden sollen, es sei denn, sie sind in der vorliegenden Anmeldung eindeutig definiert.
  • 1 ist ein Diagramm, das die Architektur einer allgemeinen adaptiven AUTomotive Open System Architecture (AUTOSAR)-Plattform zeigt. Wie in 1 dargestellt, stellt die adaptive Plattform Funktionscluster und Basisdienste bereit.
  • Eine Softwarekomponente (SWC), die über eine Schnittstelle zur Basissoftware (BSW) formalisiert und definiert ist, ist eine Komponente der AUTOSAR-Architektur. Das BSW-Modul bietet grundlegende Standarddienste wie Buskommunikation, Speichermanagement, IO-Zugriff, Systeme und Diagnosedienste. Eine weitere Komponente von AUTOSAR ist eine Laufzeitumgebung (im Englischen Runtime Environment = RTE), die die Verbindung zwischen den SWCs oder eine Verbindung von den SWCs zur BSW steuert. Ein von AUTOSAR definierter Virtueller Funktionsbus (VFB) bietet eine konzeptionelle Grundlage für die Kommunikation zwischen den SWCs und dem BSW-Dienst. Die gesamte Kommunikation der SWC basiert auf dem VFB, und somit ist die SWC unabhängig von der ECU-Hardware. Dadurch kann die SWC in einem Projekt und auf einer Plattform wiederverwendet werden. Der VFB kann ausgeführt werden, indem er mit der für jede ECU entsprechend eingestellten BSW verbunden wird und eine speziell eingestellte RTE liefert.
  • Adaptive Anwendungen (AAs) werden auf der Basis einer AUTOSAR Laufzeit für eine Adaptive Anwendung (ARA) betrieben. Die ARA besteht aus einer Anwendungsprogrammierschnittstelle (API), die von einem Funktionscluster bereitgestellt wird, das zu einer Foundation oder Diensten gehört. Die Foundation stellt die grundlegenden Funktionen der Adaptiven Plattform (AP) und des Dienstes bereit. Alle adaptiven Anwendungen können andere adaptive Anwendungen mit Diensten versorgen.
  • Die adaptive Plattform umfasst einen funktionalen Cluster bzw. Funktionscluster zur Bereitstellung besserer Dienste. Zu den Funktionsclustern gehören ein Zeitmanagementcluster, ein Betriebssystemcluster, ein Ausführungsmanagementcluster, ein Persistenzcluster, ein Plattformzustandsmanagentcluster, ein Protokollierungs- und Verfolgungs-Cluster, ein Hardware-Beschleunigungs-Cluster und ein Kommunikationsmanagementcluster. Die Funktionscluster kommunizieren mit anderen Anwendungen über die API. Da nur die API-Implementierung definiert ist, ist der Grad der Implementierungsfreiheit des Funktionsclusters der adaptiven Plattform viel höher als der der BSW-Stapel-Implementierung, die die bestehende klassische Plattform ausgebildet.
  • Der Basisdienst umfasst einen SW-Konfigurationsmanagementdienst, einen Sicherheitsmanagementdienst und einen Diagnosedienst. Der Basisdienst kann über ara::com (im Englischen AUTOSAR Runtime for Adaptive Applications) mit Middleware-Charakter aufgerufen werden.
  • Die adaptive Plattform berücksichtigt Hardware, die von einer Maschine ausgeführt wird. Die Hardware wird durch den Einsatz verschiedener Technologien virtualisiert. Die Hardware umfasst eine oder mehrere Maschinen. Es wird nur eine AP-Instanz ausgeführt. Die Hardware besteht aus einem einzigen Chip oder mehreren Chips, auf denen die Maschinen untergebracht sind.
  • 2 ist ein Diagramm, das ein Beispiel für eine Proxy-Skelett-Dienst-orientierte Kommunikation über SOME/IP-Kommunikation zeigt. Der größte Unterschied zwischen der adaptiven AUTOSAR-Plattform und der klassischen Plattform besteht in dem Kommunikationsverfahren. Die meisten der bestehenden klassischen Plattformen basieren auf einer traditionellen signalorientierten Kommunikation. Dabei basiert die adaptive Plattform auf Service-orientierter Kommunikation (SOC). Die SOC ist das Kommunikationsverfahren, das einen benötigten Dienst dynamisch zwischen dem Skelett, d. h. dem Server, der den Dienst bereitstellt, und einem Proxy, d. h. einem Client, der den Dienst konsumiert, über die Dienstentdeckung und den skalierbaren serviceorientierten MiddlewarE over IP (SOME/IP) verbindet. Ein Fahrzeuganwendungsserver ist ein System, in das die adaptive AUTOSAR-Plattform eingebaut ist und das in der Lage ist, einen intelligenten Sensor und einen intelligenten Aktor über SOME/IP entsprechend der Verwendung einer Fahrzeuganwendung frei zu überwachen und zu steuern.
  • 3 ist ein Diagramm, das den Betrieb der allgemeinen adaptiven AUTOSAR-Plattform veranschaulicht.
  • Eine adaptive AUTOSAR-Anwendung 20 enthält einen Fehlermanager 21.
  • Der Fehlermanager 21 überwacht periodisch einen Fehler eines Netzwerkmanagements (NM), eines PER und eines ETC. Der Fehlermanager 21 prüft bei jedem Überwachungszyklus durch ara::api jedes Clusters, ob ein Fehler in den adaptiven AUTOSAR-Funktionsclustern 10 vorliegt.
  • Wenn ein unnormales Symptom gefunden wird, veranlasst der Fehlermanager 21 die adaptive AUTOSAR-Anwendung 30, eine Wiederherstellungsaktion durchzuführen, indem er das Plattform-Zustandsmanagement (PHM), das Anweisungsmanagement (SM) und das Ausführungsmanagement (EM) miteinander verknüpft. Dementsprechend wird die Fehleroperation abgeschlossen.
  • Das PHM führt eine Überwachungsfunktion aus. Das PHM führt eine Kontrollflussüberwachung und eine externe Überwachung durch. Die Alive-Überwachung überwacht, ob die periodische SWC periodisch gut ausgeführt wird. Eine Deadline-Überwachung überwacht, ob eine aperiodische SWC zwischen zwei gegebenen Punkten gut ausgeführt wird. Eine logische Überwachung überwacht, ob die Abfolge der SWC-Einheiten in einer vorgegebenen Reihenfolge ausgeführt wird. Eine Zustandskanalüberwachung überwacht externe Faktoren, die mit dem Zustand zusammenhängen.
  • Das PHM und das EM führen eine Fehlerlesefunktion aus. Eine Watchdog („Wachhund“)-Steuerung unterstützt den Hardware-Watchdog. Die Fehlerbehandlung verarbeitet den Fehler, nachdem der Fehler aufgetreten ist. Die Aktionen des PHM umfassen die Beendigung oder den Neustart der Anwendung, das Zurücksetzen der Plattforminstanz, den Hardware-Watchdog und eine Benachrichtigungsfunktion. Die Beendigung oder der Neustart der Anwendung bedeutet das Anhalten und den Neustart des SWC. Das Zurücksetzen der Plattforminstanz kann die Steuereinheit selbst zurücksetzen. Der Hardware-Watchdog unterstützt den Hardware-Watchdog. Die Benachrichtigungsfunktion führt eine Benachrichtigung durch, wenn ein entsprechendes Problem in der SWC auftritt, die die Sicherheitsrolle ausführt.
  • Das SM verwaltet den Zustand der Steuereinheit selbst, empfängt ein Ereignis von der adaptiven Plattform und der SWC, steuert das Ein- und Ausschalten eines Netzwerks durch Steuerung des NM und steuert das Herunterfahren und den Neustart des Systems.
  • Das EM ist für das Systemausführungsmanagement zuständig, einschließlich der Initialisierung der Plattform sowie des Starts und der Beendigung eines Anwendungsprogramms. Das EM arbeitet mit einem Betriebssystem zusammen und führt die Laufzeitplanung des Anwendungsprogramms durch. In der beispielhaften Ausführungsform kann der Überwachungszyklus festgelegt sein. Der Überwachungszyklus beträgt zum Beispiel 1 ms, 10 ms und 100 ms.
  • Das EM führt den Start und das Herunterfahren des Systems durch und steuert die Erzeugung eines Prozesses der adaptiven Plattform und der Anwendung nach dem Neustart, führt den Start und das Herunterfahren der SWC durch und steuert die Anwendung gemäß des SM.
  • Die allgemeine adaptive AUTOSAR-Plattform überwacht ein unnormales Symptom des Systems durch ein internes Modul, wie z. B. das PHM, das SM und das EM, und führt einen Neustart/Stopp der entsprechenden Anwendung durch, wenn das unnormale Symptom auftritt. Dies sind jedoch die Funktionen der jeweiligen Module, wobei der Prozess der Kombination der Funktionen zur Durchführung eines Wiederherstellungsvorgangs ab dem Punkt, an dem der Fehler im Wesentlichen auftritt, nicht enthalten ist.
  • Andererseits ergänzt die adaptive AUTOSAR-Plattform gemäß der beispielhaften Ausführungsform der vorliegenden Erfindung den nicht-implementierten Teil auf einem adaptiven AUTOSAR-Betriebssystem.
  • 4 ist ein Diagramm zur Veranschaulichung eines Betriebs einer adaptiven AUTOSAR-Plattform gemäß der beispielhaften Ausführungsform der vorliegenden Erfindung. Bezugnehmend auf 4 kann eine adaptive AUTOSAR-Anwendung 200 einen Fehlermanager 210 umfassen. Der Fehlermanager 210 kann eine Fehlersammeleinheit 211, eine Fehlernachbearbeitungseinheit 212 und eine nutzerdefinierte Systemwiederherstellungseinheit 212 umfassen.
  • Die Fehlersammeleinheit 211 kann einen Nutzerfehler, einen kombinierten Fehler und einen Plattformfehler sammeln. In der beispielhaften Ausführungsform kann der Nutzerfehler von einer Fahrzeuganwendung 310 übermittelt werden. In der beispielhaften Ausführungsform kann der kombinierte Fehler von einem Netzwerkmanagement (NM) 110, einem Zeitsynchronisationsmanagement (TS) 120 und einem Persistenzmanagement (PER) 130 des adaptiven AUTOSAR-Funktionsclusters 100 übertragen werden. In der beispielhaften Ausführungsform kann der Plattformfehler von einem Plattformzustandsmanagement (PHM) 140, einem Zustandsmanagement (SM) 150 und einem Ausführungsmanagement (EM) 160 des adaptiven AUTOSAR-Funktionsclusters 100 übertragen werden.
  • Die Fehlernachbearbeitungseinheit 212 kann eine Fehlerbehebungs-Datenbank (DB), eine Log-DB und eine Diagnose-DB enthalten. In der beispielhaften Ausführungsform kann die Fehlerbehebungs-DB an das PER 130 übertragen werden. In der beispielhaften Ausführungsform kann die Protokoll-DB an die Fahrzeuganwendung 310 übertragen werden.
  • In der beispielhaften Ausführungsform kann die Diagnose-DB an ein Diagnosemodul (DIAG) 170 übertragen werden.
  • Eine nutzerdefinierte Systemwiederherstellungseinheit 213 kann einen kundenspezifischen Rückruf enthalten. In der beispielhaften Ausführungsform kann der Kundenspezifikations-Rückruf an eine nutzerdefinierte Ausfall-Sicherheits-Logik 312 übertragen werden.
  • Der Fehlermanager 210 entspricht einer Anwendung des adaptiven AUTOSAR. Die Anwendung kann die folgenden Funktionen ausführen.
  • Erstens kann der Fehlermanager 210 über ara-APIs auf das PHM 140, das SM 150 bzw. das EM 160 zugreifen.
  • Zweitens kann der Fehlermanager 210 auf die API zugreifen, die in der Lage ist, zu lesen, ob das NM 110, der TS 120 und der PER 130 einen Fehler aufweisen.
  • Drittens ist der Fehlermanager 210 die adaptive AUTORSA-Anwendung und kann immer in der Einheit eines Prozesses ausgeführt werden.
  • Viertens kann der Fehlermanager 210 überwachen, ob ein Fehler über die definierte API während eines bestimmten Zeitraums auftritt. In der beispielhaften Ausführungsform kann der Zyklus 1 s, 1 µs, 1 ms und 1 ns betragen.
  • Wenn der Fehler auftritt, schaltet der Fehlermanager 210 die Zustände der aktuell betriebenen entsprechenden Anwendungen über den SM 150 in den Shutdown-Zustand, fordert den Shutdown-Vorgang für die aktuell betriebene Anwendung über den EM 160 an und führt eine Wiederherstellungsaktion in der entsprechenden Anwendung über den PHM 140 aus.
  • Wie oben beschrieben, kann die adaptive AUTOSAR-Plattform gemäß der beispielhaften Ausführungsform der vorliegenden Erfindung den Fehler auf der Grundlage des adaptiven AUTOSAR-Betriebssystems über den Fehlermanager 210 verarbeiten.
  • Im Allgemeinen stellt das adaptive AUTSAR die SW-Funktion zur Verfügung, die in der Lage ist, einen Fehler zu verarbeiten, wobei die Technologie, die in der Lage ist, einen tatsächlichen Fehler aktiv zu verarbeiten, ist in der Betriebssystem-Spezifikation enthalten nicht. Durch die Internalisierung und Verteilung des vorgenannten Teils auf die Ebenen kann eine stabile und gleichmäßige Qualität der SW in Massenproduktion hergestellt werden. Insbesondere die Fehlerverarbeitung ist ein wesentlicher Punkt im Entwicklungsbereich der Ebenen. Dementsprechend können verschiedene Anforderungen von Ebenen und Kunden gesammelt werden, wobei der Anwendungsbereich variiert werden kann.
  • In der beispielhaften Ausführungsform kann der Fehlermanager 210 periodisch überwachen, ob ein Fehler auftritt. Zum Beispiel prüft der Fehlermanager 210 bei jedem Überwachungszyklus durch ara::api jedes Clusters, ob ein Fehler in den adaptiven AUTOSAR-Funktionsclustermodulen vorliegt. In der beispielhaften Ausführungsform kann der Fehlerüberwachungszyklus vom Nutzer eingestellt werden.
  • Die Fehlersammeleinheit 211 kann das Senden und Empfangen unter Verwendung eines lokalen Host-Verfahrens von ara::com ausführen (die der Kommunikation in Form von IPC des POSIX-Betriebssystems ähnelt und üblicherweise mit einem gemeinsamen Speicher eingerichtet ist). In der beispielhaften Ausführungsform kann die Kommunikation durch ein Polling-Verfahren erfolgen. Dies kann die Belastung des Systems reduzieren.
  • In der beispielhaften Ausführungsform kann die Fehlersammeleinheit 211 einen in der Fahrzeuganwendung 300 aufgetretenen Nutzerfehler sammeln.
  • In der beispielhaften Ausführungsform kann die Fehlersammeleinheit 211 einen Plattformfehler erfassen, der in einem Funktionscluster (FC) des adaptiven AUTOSAR auftritt.
  • In der beispielhaften Ausführungsform kann die Fehlersammeleinheit 211 umfassende Fehler sammeln. Beispielsweise kann die Fehlersammeleinheit 211 eine API aufrufen, die in der Lage ist, zu prüfen, ob die NM 110, die TS 120 und die PER 130 normal betrieben werden, und eine Antwort darauf prüfen, und wenn die Antwort nicht angemessen ist, kann die Fehlersammeleinheit 211 feststellen, dass ein integrierter Fehler auftritt.
  • Die Fehlernachverarbeitungseinheit 212 kann die gesammelten Fehler in eine Datenbank in der für die Diagnose und Fehlersuche erforderlichen Form wie folgt umwandeln.
  • Die Fehler-DB für die Diagnose ist die auf einem Fehlercode, einer Beschreibung und einem Diagnoseparameter basierende Datenbank, die an ein Diagnosegerät übertragen wird. Ein Ausgabeformular kann eine Diagnosespezifikation enthalten.
  • Die Fehler-DB für die Analyse des Systems ist die Datenbank des Fehlers für die Fehlersuche. Die Fehler-DB kann zum Beispiel ein Fehlerprotokoll über das PER 130 speichern. Ein Ausgabeformular kann die Form eines DLT haben.
  • Die DB für das Protokoll ist die Datenbank in Form eines Protokolls, damit die Fahrzeuganwendung in der Lage ist, eine entsprechende Ausnahme zu verarbeiten. Ein Ausgabeformular kann in Form von printf vorliegen.
  • Die nutzerdefinierte Systemwiederherstellungseinheit 213 kann einen Wiederherstellungsmechanismus des adaptiven AUTOSAR enthalten, der während des Zusammenwirkens mit dem PHM 140, dem SM 150 und dem EM 160 ausgeführt wird. Die Wiederherstellungsmechanismen können nur die Elemente überwachen, die vollständig durch die Plattformabhängigkeit kontrolliert werden, und eine Reaktion (Wiederherstellungsfunktionen, wie z. B. Widerlegung und Anwendungsunterbrechung) ausführen.
  • In der beispielhaften Ausführungsform kann die nutzerdefinierte Systemwiederherstellungseinheit 213 einen Körperbereich einer Rückruffunktion, die von einem Kundenunternehmen definiert wurde, und den vorliegenden „nutzerdefinierten Systemwiederherstellungsbereich“ durch Rückruf in Form eines Funktionszeigers verbinden. In der beispielhaften Ausführungsform kann das Kundenunternehmen den Wiederherstellungsvorgang auf der Grundlage des gesammelten Fehlers und der vom Kundenunternehmen festgelegten Richtlinie direkt neu definieren und verwenden.
  • Beispielsweise ist eine Logik erforderlich, die überwacht, ob die PCI-Express-Schnittstelle ausfallsicher ist. Wenn das Kundenunternehmen die entsprechende Funktion nicht einstellen kann, weil die Überwachung nicht in einer Nutzerkonfiguration des PHM 140 des adaptiven AUTOSAR widergespiegelt wird, kann ein normaler Betrieb der PCI-Express-Schnittstelle nicht beobachtet werden. Durch den vorangegangenen Teil ist es möglich, eine Funktion zur direkten Überwachung der PCI-Express-Schnittstelle durch das Kundenunternehmen hinzuzufügen, wenn der entsprechende gesammelte Fehler auftritt. Die Ausfall-Sicherheitsbereich-Kontrolllogik ist in Form des CDD des klassischen AUTOSAR aufgebaut.
  • 5 ist ein Flussdiagramm, das ein Beispiel für ein Verfahren zum Betrieb des Fehlermanagers der Anwendung der adaptiven AUTOSAR-Plattform gemäß der beispielhaften Ausführungsform der vorliegenden Erfindung zeigt. Unter Bezugnahme auf die 3 bis 5 kann der Fehlermanager 210 (siehe 3) wie folgt arbeiten.
  • Der Fehlermanager 210 kann einen Fehler von wenigstens einem Funktionscluster oder einer anderen adaptiven Anwendung (S110) sammeln. Beispielsweise kann der Fehlermanager 210 das NM, das TS und das PER des Funktionsclusters regelmäßig überwachen und einen integrierten Fehler erfassen, einen Nutzerfehler von der Fahrzeuganwendung erfassen oder Plattformfehler erfassen, die vom PHM, dem SM und dem EM ausgegeben werden.
  • Der Fehlermanager 210 kann die gesammelten Nutzerfehler, integrierten Fehler, Plattformfehler und dergleichen in eine Datenbank (120) umwandeln. Beispielsweise kann der Fehlermanager 210 die Fehler zur Fehlersuche in eine Datenbank umwandeln, Fehlercodes, Beschreibungen und Diagnoseparameter, die an eine Diagnoseeinrichtung übertragen werden sollen, in eine Datenbank umwandeln oder die gesammelten Fehler in Form eines Protokolls in eine Datenbank umwandeln, so dass der gesammelte Fehler als Ausnahme in der Fahrzeuganwendung verarbeitet wird.
  • Der Fehlermanager 210 kann einen nutzerdefinierten Wiederherstellungsmechanismus der adaptiven AUTOSAR-Anwendung durch Zusammenwirken mit dem PHM, dem SM und dem EM wenigstens eines Funktionsclusters (S130) ausführen.
  • Die Schritte und/oder Vorgänge gemäß der vorliegenden Erfindung können in verschiedenen beispielhaften Ausführungsformen für verschiedene Epochen in unterschiedlicher Reihenfolge, parallel oder gleichzeitig ablaufen, wie es dem Fachmann verständlich ist. Je nach beispielhafter Ausführungsform kann ein Teil oder können die Gesamtheit der Schritte und/oder Operationen unter Verwendung von Befehlen implementiert oder ausgeführt werden, die in einem oder mehreren nicht temporären computerlesbaren Medien, einem Programm, einer interaktiven Datenstruktur und einem oder mehreren Prozessoren gespeichert sind, die einen Client und/oder einen Server steuern. Ein oder mehrere nicht temporäre computerlesbare Medien sind z. B. Software, Firmware, Hardware und/oder eine beliebige Kombination davon. Weiterhin kann die in der vorliegenden Beschreibung beschriebene Funktion des „Moduls“ durch Software, Firmware, Hardware und/oder eine beliebige Kombination davon implementiert sein.
  • 6 ist ein Diagramm, das ein Beispiel für eine elektronisches Steuereinheit 1000 für ein Fahrzeug gemäß der beispielhaften Ausführungsform der vorliegenden Erfindung zeigt. Bezug nehmend auf 6 kann eine elektronische Steuereinheit (ECU) 1000 für ein Fahrzeug eine Mikrosteuereinheit (MCU) 1100, einen Speicher 1200 und eine Kommunikationseinrichtung 1300 umfassen.
  • Die MCU 1100 kann so implementiert sein, dass sie den allgemeinen Betrieb der ECU 1000 für das Fahrzeug durchführt. Die MCU 1100 kann wenigstens ein Programm steuern, indem sie wenigstens einen Befehl ausführt. Zum Beispiel kann das wenigstens eine Programm die adaptive AUTOSAR-Anwendung umfassen, die unter Bezugnahme auf die 3 bis 5 beschrieben ist.
  • Die MCU 1100 kann eine Mehrzahl von Kernen enthalten. Die Mehrzahl der Kerne kann wenigstens einen Hauptkern und wenigstens einen Unterkern umfassen.
  • Der Speicher 1200 kann implementiert sein, um wenigstens ein Programm zu speichern. Der Speicher 1200 kann einen flüchtigen Speicher oder einen nichtflüchtigen Speicher umfassen. Der Speicher 1200 kann beispielsweise ein Speichermedium wie einen Schreib-Lese-Speicher (RAM), einen Statischen Schreib-Lese-Speicher (SRAM), einen Nur-Lese-Speicher (ROM), einen Programmierbaren Nur-Lese-Speicher (PROM), einen Elektrisch-Löschbaren-Programmierbaren Nur-Lese-Speicher (EEPROM), einen NAND-Flash-Speicher und einen NOR-Flash-Speicher umfassen.
  • Die Kommunikationseinrichtung 1300 dient als Schnittstelle, die eine Kommunikation mit der Außenseite der ECU 1000 für das Fahrzeug herstellen kann. Im Allgemeinen können für die Kommunikation mit der ECU 1000 für das Fahrzeug und der externen Einrichtung der ECU 1000 für das Fahrzeug eine Controller Area Network (CAN)-Kommunikation, eine Local Interconnect Network (LIN)-Kommunikation und eine Ethernet-Kommunikation verwendet werden.
  • Ein oder mehrere nicht-transitorische computerlesbare Medien und/oder Mittel zur Implementierung/Durchführung einer oder mehrerer Operationen/Schritte/Module der beispielhaften Ausführungsformen der vorliegenden Erfindung können Controller, einschließlich anwendungsspezifischer integrierter Schaltungen (ASICs), standardmäßiger integrierter Schaltungen und Mikrocontroller, die entsprechende Befehle ausführen, und/oder einen eingebetteten Controller, feldprogrammierbare Gate-Arrays (FPGAs), komplexe programmierbare Logikbausteine (CPLDs) und gleichwertige Einrichtungen davon umfassen, wobei aber die vorliegende Erfindung nicht darauf beschränkt ist.
  • Dabei sind die Inhalte der vorliegenden Erfindung lediglich die besonderen beispielhaften Ausführungsformen zur Umsetzung der Erfindung. Die vorliegende Erfindung umfasst nicht nur konkrete und praktisch anwendbare Mittel, sondern auch technische Ideen, die abstrakte und konzeptionelle Ideen sind, die in der Zukunft als Technologien genutzt werden können.
  • Dabei können die Ausführungsformen gemäß der vorliegenden Erfindung in Form von Programmanweisungen implementiert sein, die von Computern ausgeführt werden können, und können in computerlesbaren Medien aufgezeichnet werden. Die computerlesbaren Medien können Programmanweisungen, eine Datendatei, eine Datenstruktur oder eine Kombination davon enthalten. Computerlesbare Medien können zum Beispiel Computerspeichermedien und Kommunikationsmedien umfassen, ohne darauf beschränkt zu sein. Zu den Computerspeichermedien gehören sowohl flüchtige als auch nicht flüchtige, entfernbare und nicht entfernbare Medien, die in einem beliebigen Verfahren oder einer beliebigen Technologie zur Speicherung von Informationen, wie z. B. computerlesbaren Anweisungen, Datenstrukturen, Programmmodulen oder anderen Daten, eingesetzt werden. Zu den Computerspeichermedien gehören unter anderem RAM, ROM, EEPROM, Flash-Speicher oder andere Speichertechnologien, CD-ROM, Digital Versatile Disks (DVD) oder andere optische Plattenspeicher, Magnetkassetten, Magnetbänder, Magnetplattenspeicher oder andere magnetische Speichervorrichtungen oder jedes andere Medium, das zur Speicherung der gewünschten Informationen verwendet werden kann und auf das ein Computer zugreifen kann. Kommunikationsmedien verkörpern typischerweise computerlesbare Anweisungen, Datenstrukturen, Programmmodule oder andere Daten in einem modulierten Datensignal, wie z. B. einer Trägerwelle oder einem anderen Transportmechanismus, und umfassen alle Medien zur Informationsübertragung. Der Begriff „moduliertes Datensignal“ bezeichnet ein Signal, bei dem eine oder mehrere seiner Eigenschaften so eingestellt oder verändert werden, dass Informationen in dem Signal kodiert werden. Zu den Kommunikationsmedien gehören beispielsweise verdrahtete Medien wie ein verdrahtetes Netzwerk oder eine Direktverbindung sowie drahtlose Medien wie akustische, RF-, Infrarot- und andere drahtlose Medien. Kombinationen der oben genannten Medien sollten ebenfalls in den Bereich der computerlesbaren Medien fallen.
  • Wie oben beschrieben, wurden die beispielhaften Ausführungsformen in den Zeichnungen und in der Beschreibung beschrieben und dargestellt. Die beispielhaften Ausführungsformen wurden ausgewählt und beschrieben, um bestimmte Prinzipien der Erfindung und ihre praktische Anwendung zu erläutern und dadurch einen anderen Fachmann in die Lage zu versetzen, verschiedene beispielhafte Ausführungsformen der vorliegenden Erfindung sowie verschiedene Alternativen und Modifikationen davon herzustellen und zu verwenden. Wie aus der vorstehenden Beschreibung ersichtlich ist, sind bestimmte Aspekte der vorliegenden Erfindung nicht durch die besonderen Einzelheiten der hierin dargestellten Beispiele beschränkt, und es wird daher in Betracht gezogen, dass andere Modifikationen und Anwendungen oder Äquivalente davon für den Fachmann auf dem Gebiet auftreten werden. Viele Änderungen, Modifikationen, Variationen und andere Verwendungen und Anwendungen der vorliegenden Konstruktion werden jedoch für den Fachmann nach Betrachtung der Beschreibung und der beigefügten Zeichnungen offensichtlich werden. Alle derartigen Änderungen, Modifikationen, Variationen und sonstigen Verwendungen und Anwendungen, die nicht vom Geist und Umfang der Erfindung abweichen, gelten als durch die Erfindung abgedeckt, die nur durch die folgenden Ansprüche begrenzt ist.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • KR 1020160076270 [0002]
    • KR 101584213 [0002]

Claims (13)

  1. Verfahren zum Verwalten eines Fehlers einer Steuereinheit für ein Fahrzeug, wobei das Verfahren umfasst: Sammeln des Fehlers; Konvertieren des gesammelten Fehlers in eine Datenbank in einer Form, die für eine Diagnose und Fehlersuche erforderlich ist; und Ausführen eines Wiederherstellungsmechanismus durch Zusammenwirken eines Plattform-Zustandsmanagementclusters (PHM), eines Anweisungsmanagementclusters (SM) und eines Ausführungsmanagementclusters (EM), wobei das Sammeln des Fehlers umfasst: Sammeln eines Nutzerfehlers, der in einer Anwendung für das Fahrzeug auftritt; Sammeln eines Plattformfehlers, der in wenigstens einem von dem Plattform-Zustandsmanagementcluster (PHM), dem Anweisungsmanagementcluster (SM) und dem Ausführungsmanagementcluster (EM) auftritt; oder Sammeln eines integrierten Fehlers in Abhängigkeit davon, ob ein Netzwerkmanagementcluster (NM), ein Zeitsynchronisationscluster (TS) und ein Persistenzcluster (PER) normal betrieben werden.
  2. Verfahren nach Anspruch 1, weiterhin umfassend: periodisches Überwachen, ob der Fehler auftritt.
  3. Verfahren nach Anspruch 1 oder 2, wobei der Fehler unter Verwendung eines lokalen Hostverfahrens von ara::com erfasst wird.
  4. Verfahren nach einem der Ansprüche 1 bis 3, wobei der Fehler durch ein Polling-Verfahren erfasst wird.
  5. Verfahren nach einem der Ansprüche 1 bis 4, wobei das Sammeln des integrierten Fehlers enthält: Aufrufen einer Anwendungsprogrammierschnittstelle zur Überprüfung, ob der Netzwerkmanagementcluster (NM), der Zeitsynchronisationscluster (TS) und der Persistenzcluster (PER) normal betrieben werden; und Prüfen einer Antwort auf den Aufruf.
  6. Verfahren nach einem der Ansprüche 1 bis 5, wobei das Konvertieren des gesammelten Fehlers in die Datenbank enthält: Klassifizieren des gesammelten Fehlers in einen Fehler für eine Diagnose, einen Fehler für die Fehlersuche oder einen Fehler für das Protokoll; und Konvertieren jedes der klassifizierten Fehler in die Datenbank.
  7. Verfahren nach einem der Ansprüche 1 bis 6, wobei das Ausführen des Wiederherstellungsmechanismus enthält: Überwachen von Konfigurationen in Bezug auf eine Plattformabhängigkeit; und Ausführen eines Neustarts in Abhängigkeit von einem Ergebnis der Überwachung der Konfigurationen, oder Unterbrechen der Anwendung für das Fahrzeug.
  8. Verfahren nach einem der Ansprüche 1 bis 7, wobei der Wiederherstellungsmechanismus unter Verwendung der gesammelten Fehler und Kundenspezifikations-Rückrufinformationen ausgeführt wird.
  9. Steuereinheit für ein Fahrzeug, umfassend: eine Kommunikationseinrichtung, die ausgebildet ist, um eine Kommunikation mit einer externen Einrichtung durchzuführen; einen Speicher, der zum Speichern eines Fehlermanagers ausgebildet ist; und eine Mikro-Steuereinheit, die ausgebildet ist, um die Kommunikationseinrichtung und den Speicher zu steuern, und um den Fehlermanager anzusteuern, wobei der Fehlermanager ausgebildet ist, um: einen Nutzerfehler zu sammeln, der in einer Anwendung für ein Fahrzeug auftritt, einen Plattformfehler zu sammeln, der wenigstens in einem Plattform-Zustandsmanagementcluster (PHM), einem Anweisungsmanagementcluster (SM) oder einem Ausführungsmanagementcluster (EM) auftritt, oder um einen integrierten Fehler in Abhängigkeit davon zu sammeln, ob ein Netzwerkmanagementcluster (NM), ein Zeitsynchronisationscluster (TS) und ein Persistenzcluster (PER) normal betrieben werden; den gesammelten Fehler in eine Datenbank in einer Form zu konvertieren, die für eine Diagnose und Fehlersuche erforderlich ist; und einen Wiederherstellungsmechanismus durch Zusammenwirken mit dem Plattform-Zustandsmanagementcluster (PHM), dem Anweisungsmanagementcluster (SM) und dem Ausführungsmanagementcluster (EM) durchzuführen.
  10. Steuereinheit nach Anspruch 9, wobei der Fehlermanager durch eine adaptive AUTomotive Open System Architecture (AUTOSAR)-Anwendung implementiert ist.
  11. Steuereinheit nach Anspruch 9 oder 10, wobei der Fehlermanager weiterhin ausgebildet ist, um den Netzwerkmanagementcluster, den Zeitsynchronisationscluster und den Persistenzcluster periodisch zu überwachen.
  12. Steuereinheit nach einem der Ansprüche 9 bis 11, wobei der Fehlermanager weiterhin ausgebildet ist, um über ara::api periodisch zu überwachen, ob wenigstens einer der Funktionscluster einen Fehler aufweist.
  13. Steuereinheit nach einem der Ansprüche 9 bis 12, wobei der Fehlermanager weiterhin ausgebildet ist, um Kundenspezifikations-Rückrufinformationen an eine Nutzer-Ausfall-Sicherheits-Logik der Anwendung für das Fahrzeug zu übermitteln.
DE102021131252.3A 2020-12-15 2021-11-29 Die vorliegende Erfindung betrifft eine Steuereinheit für ein Fahrzeug sowie ein Fehlermanagementverfahren dafür Pending DE102021131252A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020200175369A KR102360725B1 (ko) 2020-12-15 2020-12-15 차량용 제어기 및 그것의 에러 관리 방법
KR10-2020-0175369 2020-12-15

Publications (1)

Publication Number Publication Date
DE102021131252A1 true DE102021131252A1 (de) 2022-06-15

Family

ID=80252736

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021131252.3A Pending DE102021131252A1 (de) 2020-12-15 2021-11-29 Die vorliegende Erfindung betrifft eine Steuereinheit für ein Fahrzeug sowie ein Fehlermanagementverfahren dafür

Country Status (4)

Country Link
US (1) US11951999B2 (de)
KR (1) KR102360725B1 (de)
CN (1) CN114637619A (de)
DE (1) DE102021131252A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115167194A (zh) * 2022-05-26 2022-10-11 中国第一汽车股份有限公司 一种车用autosar标准实时控制器复位启动时间优化方法、系统、设备和存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101584213B1 (ko) 2014-12-09 2016-01-11 현대오트론 주식회사 Autosar 플랫폼에서의 데이터 통신 흐름 설정 장치 및 방법
KR20160076270A (ko) 2014-12-22 2016-06-30 현대모비스 주식회사 차량용 멀티 코어 시스템

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006124130A1 (en) * 2005-03-31 2006-11-23 Energycs Method and system for retrofitting a full hybrid to be a plug-in hybrid
JP5310138B2 (ja) * 2009-03-13 2013-10-09 株式会社デンソー 車両制御システム
JP5063655B2 (ja) * 2009-09-18 2012-10-31 三菱電機株式会社 通信ゲートウェイ装置
KR101100894B1 (ko) * 2009-11-11 2012-01-02 숙 희 김 임베디드 장치의 오류검출 및 복구방법
KR102190663B1 (ko) * 2014-10-22 2020-12-14 현대자동차주식회사 오토사 기반의 소프트웨어 플랫폼 검증 장치 및 그 방법
KR101802858B1 (ko) * 2015-10-07 2017-11-29 주식회사 성우모바일 자동차용 통합데이터 처리 제어 시스템 및 방법
JP6551239B2 (ja) * 2016-01-06 2019-07-31 株式会社デンソー 車両用制御システム
JP6848392B2 (ja) * 2016-11-25 2021-03-24 株式会社デンソー 車両用制御システム
KR102309429B1 (ko) * 2017-03-20 2021-10-07 현대자동차주식회사 차량 및 그 제어 방법
KR102355424B1 (ko) * 2017-09-13 2022-01-26 현대자동차주식회사 차량용 중앙 처리 장치를 제어하는 워치독 회로의 신뢰성을 향상시키는 장치 및 방법
US10606678B2 (en) * 2017-11-17 2020-03-31 Tesla, Inc. System and method for handling errors in a vehicle neural network processor
JP7204443B2 (ja) * 2018-11-22 2023-01-16 日立Astemo株式会社 車両制御装置およびプログラム実行方法
KR102163762B1 (ko) * 2018-11-27 2020-10-08 현대오트론 주식회사 자율 주행 제어기의 에러 처리를 위한 방법
US20220038902A1 (en) * 2020-11-13 2022-02-03 Markus Dominik Mueck Technologies for radio equipment cybersecurity and multiradio interface testing

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101584213B1 (ko) 2014-12-09 2016-01-11 현대오트론 주식회사 Autosar 플랫폼에서의 데이터 통신 흐름 설정 장치 및 방법
KR20160076270A (ko) 2014-12-22 2016-06-30 현대모비스 주식회사 차량용 멀티 코어 시스템

Also Published As

Publication number Publication date
US11951999B2 (en) 2024-04-09
US20220185301A1 (en) 2022-06-16
KR102360725B1 (ko) 2022-02-08
CN114637619A (zh) 2022-06-17

Similar Documents

Publication Publication Date Title
DE102012215216B4 (de) Verbesserte Erfassung von Speicherauszugsdaten von Hardwareausfallmodi
DE60017457T2 (de) Verfahren zur isolierung eines fehlers in fehlernachrichten
DE112016003949T5 (de) Webbasierte programmierumgebung für eingebettete geräte
DE102011086530A1 (de) Mikroprozessorsystem mit fehlertoleranter Architektur
EP2620871A2 (de) Verfahren zur Konfiguration eines BIOS in einem Computersystem sowie Computerprogrammprodukt
DE102014002473A1 (de) System und verfahren zur erhöhung der lockstep-kern-verfügbarkeit
EP2513796B1 (de) Verfahren zum betreiben einer recheneinheit
DE102013218341A1 (de) Ersatzweise Verlagerung von Threads (Thread-Sparing) zwischen Berechnungskernen in einem Multithread-Prozessor
DE112013007300T5 (de) Speichersysteme mit adaptiver Löschcode-Generierung
DE102015107671A1 (de) Steuerung und Diagnose einer Steuerungs-Wakeup-Funktionalität
DE112013000330T5 (de) In-Situ-Neubewertung von Prozessoren
DE112016004678T5 (de) Verfahren zum Ausführen von Programmen in einem elektronischen System für Anwendungen mit funktionaler Sicherheit umfassend mehrere Prozessoren, entsprechendes System und Computerprogrammprodukt
DE112017003052T5 (de) Steuerungssystem mit einer verteilten dienstorientierten Architektur
EP1701266A1 (de) Testvorrichtung zur Überprüfung einer Stapelverarbeitung
DE102021131252A1 (de) Die vorliegende Erfindung betrifft eine Steuereinheit für ein Fahrzeug sowie ein Fehlermanagementverfahren dafür
DE102011007467A1 (de) Mehrkernige integrierte Mikroprozessorschaltung mit Prüfeinrichtung, Prüfverfahren und Verwendung
DE102020133748B4 (de) Fahrzeugsteuergerät mit synchronem treiber
EP1997007B1 (de) Verfahren und managementsystem zum konfigurieren eines informationssystems
DE102020213809A1 (de) Verfahren zum Betreiben eines Steuergeräts beim Testen einer Software des Steuergeräts und Verfahren zum Betreiben eines Testcomputers beim Testen einer Software eines Steuergeräts
DE102004051966A1 (de) Verfahren, Betriebssystem und Rechengerät zum Abarbeiten eines Computerprogramms
DE102010047954A1 (de) Formelle offline-Verifikation ausführbarer Modelle
DE102006054705A1 (de) Verfahren zum Betreiben einer Recheneinheit
DE102009028871A1 (de) Verfahren zum Überprüfen eines Speichers
DE102008048862A1 (de) Testmodul und Verfahren zum Testen einer O/R-Abbildungs-Middleware
EP2544090A1 (de) Computer Sytem, computerimplementiertes Verfahren und Computerprogrammprodukt zum bestimmen eines pessimistischen Zeitverhaltens eines Fehlertoleranzmechanismus

Legal Events

Date Code Title Description
R012 Request for examination validly filed