DE102022205521A1 - Verfahren für einen Betrieb eines Steuergeräts eines Fahrzeuges - Google Patents

Verfahren für einen Betrieb eines Steuergeräts eines Fahrzeuges Download PDF

Info

Publication number
DE102022205521A1
DE102022205521A1 DE102022205521.7A DE102022205521A DE102022205521A1 DE 102022205521 A1 DE102022205521 A1 DE 102022205521A1 DE 102022205521 A DE102022205521 A DE 102022205521A DE 102022205521 A1 DE102022205521 A1 DE 102022205521A1
Authority
DE
Germany
Prior art keywords
error
scheduling
functional components
functional component
real
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022205521.7A
Other languages
English (en)
Inventor
Andre Vogel
Bernhard Plametzberger
Elisabeth Magerl
Georg Kuehberger
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102022205521.7A priority Critical patent/DE102022205521A1/de
Priority to PCT/EP2023/062263 priority patent/WO2023232401A1/de
Publication of DE102022205521A1 publication Critical patent/DE102022205521A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/805Real-time

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Die Erfindung betrifft ein Verfahren (100) für einen Betrieb eines Steuergeräts (10) eines Fahrzeuges (1), wobei das Steuergerät (10) wenigstens eine elektronische Verarbeitungseinheit (20) zur Ausführung von- wenigstens einer ersten Funktionskomponente (31) für eine Echtzeitfunktion für das Fahrzeug und- wenigstens einer zweiten Funktionskomponente (32) für zumindest eine weitere Funktion für das Fahrzeug (1) umfasst, und wobei durch ein Scheduling eine Reihenfolge der Ausführung der Funktionskomponenten (31,32) definiert wird, wobei die nachfolgenden Schritte vorgesehen sind:- Durchführen einer Überwachung (101) der wenigstens einen ersten Funktionskomponente (31) und der wenigstens einen zweiten Funktionskomponente (32),- Detektieren (102) eines Fehlers bei zumindest einer der Funktionskomponenten (31,32) anhand der Überwachung (101),- Initiieren (103) eines ersten Fehlerbetriebs (301), wenn der Fehler bei der wenigstens einen ersten Funktionskomponente (31) für die Echtzeitfunktion detektiert wird,- Initiieren (104) eines zweiten Fehlerbetriebs (302), wenn der Fehler bei der wenigstens einen zweiten Funktionskomponente (32) für die zumindest eine weitere Funktion detektiert wird, wobei sich der zweite Fehlerbetrieb (302) von dem ersten Fehlerbetrieb (301) unterscheidet und bei dem zweiten Fehlerbetrieb (302) eine Anpassung des Schedulings durchgeführt wird.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren für einen Betrieb eines Steuergeräts eines Fahrzeuges. Ferner bezieht sich die Erfindung auf ein Computerprogramm sowie ein System.
  • Stand der Technik
  • In Fahrzeugen und insbesondere Kraftfahrzeugen sind üblicherweise elektronische Steuergeräte zur Bereitstellung von Softwarefunktionen vorgesehen. Dabei kann ein Steuergerät wenigstens einen Mikrocontroller aufweisen, welcher nach einer Initialisierung zyklisch eine fest vorgegebene Liste von Software-Komponenten in einer bestimmten Reihenfolge durchläuft. Die Abarbeitung dieser Liste - ggf. auch die Liste selbst - ist im Allgemeinen auch als „Scheduling“ bekannt. Die Liste ist hierbei in jedem Zyklus dieselbe.
  • Es kann ferner vorgesehen sein, dass ein Teil der Software-Komponenten sicherheitsrelevant im Sinne der ISO 26262 ist. Hierbei ist es üblich, die sicherheitsrelevanten Software-Komponenten über eine Programmablaufkontrolle zu überwachen. Kommt es dann in einem Mikrocontroller zu einem Problem inner- oder außerhalb der sicherheitsrelevanten Software-Komponenten, welches die korrekte Abarbeitung der sicherheitsrelevanten Software-Komponenten beeinträchtigt, so würde durch die Programmablaufkontrolle eine Fehlerreaktion erfolgen. Diese kann bspw. eine Abschaltung aller sicherheitsrelevanten Software-Komponenten am Steuergerät, die von dem betroffenen Mikrocontroller gesteuert werden, umfassen. Die Fehlerreaktion wird hierbei herkömmlicherweise einheitlich ausgelöst sowohl bei Problemen, welche in einer sicherheitsrelevanten Software-Komponente entstehen, als auch bei Problemen, die außerhalb einer sicherheitsrelevanten Software-Komponente entstehen. Eine Unterscheidung basierend auf einem Ursprung des Problems findet daher nicht statt. Sobald die Fehlerreaktion erfolgt, ist durch die Abschaltung gewährleistet, dass das Steuergerät seine Nominalfunktion im Fahrzeugverbund nicht mehr ausübt. Dies wird auch als „fail passive“ Zustand bezeichnet. Dies ist insofern aus einer Sicherheitsperspektive unbedenklich, da die Nominalfunktion üblicherweise nicht notwendig ist, um einen sicheren Zustand des Fahrzeuges aufrecht zu erhalten.
  • Offenbarung der Erfindung
  • Gegenstand der Erfindung ist ein Verfahren mit den Merkmalen des Anspruchs 1, ein Computerprogramm mit den Merkmalen des Anspruchs 9 sowie ein System mit den Merkmalen des Anspruchs 10. Weitere Merkmale und Details der Erfindung ergeben sich aus den jeweiligen Unteransprüchen, der Beschreibung und den Zeichnungen. Dabei gelten Merkmale und Details, die im Zusammenhang mit dem erfindungsgemäßen Verfahren beschrieben sind, selbstverständlich auch im Zusammenhang mit dem erfindungsgemäßen Computerprogramm sowie dem erfindungsgemäßen System, und jeweils umgekehrt, so dass bezüglich der Offenbarung zu den einzelnen Erfindungsaspekten stets wechselseitig Bezug genommen wird bzw. werden kann.
  • Das erfindungsgemäße Verfahren dient einem Betrieb eines Steuergeräts eines Fahrzeuges. Hierbei ist insbesondere vorgesehen, dass das Steuergerät, vorzugsweise ein elektronisches Steuergerät, wenigstens eine elektronische Verarbeitungseinheit zur Ausführung von wenigstens einer ersten Funktionskomponente für wenigstens eine Echtzeitfunktion für das Fahrzeug, insbesondere eine sicherheitsrelevante Echtzeitfunktion und/oder eine autonome Fahrfunktion, und von wenigstens einer zweiten Funktionskomponente für zumindest eine weitere Funktion für das Fahrzeug umfasst. Die wenigstens eine erste Funktionskomponente kann somit auch als sicherheitsrelevante Funktionskomponente bezeichnet werden. Die autonome Fahrfunktion kann dazu ausgeführt sein, ein autonomes Fahren, insbesondere hochautonomes Fahren, des Fahrzeuges zu ermöglichen und/oder zu steuern. Bspw. kann die wenigstens eine autonome Fahrfunktion eine Funktion zur Detektion von Objekten in einer Umgebung des Fahrzeuges und/oder eine Funktion zur Lenkung umfassen. Die weitere Funktion kann dabei lediglich eine solche Funktion umfassen, welche nicht für ein autonomes Fahren benötigt wird. Grundsätzlich können hierbei mehrere erste Funktionskomponenten und mehrere zweite Funktionskomponenten vorgesehen sein. Das Fahrzeug ist bspw. ein Kraftfahrzeug, insbesondere ein Personenkraftfahrzeug oder ein Lastkraftfahrzeug.
  • Weiter kann durch ein Scheduling eine Reihenfolge der Ausführung der Funktionskomponenten definiert sein, also vorzugsweise sowohl der ersten als auch der zweiten Funktionskomponenten.
  • Es werden bei dem erfindungsgemäßen Verfahren bevorzugt die nachfolgenden Schritte durchgeführt, insbesondere automatisiert und/oder während des Betriebs des Steuergeräts, optional nacheinander oder in beliebiger Reihenfolge, wobei einzelne Schritte ggf. auch wiederholt durchgeführt werden können:
    • - Durchführen einer Überwachung der wenigstens einen ersten Funktionskomponente und der wenigstens einen zweiten Funktionskomponente, insbesondere durch eine Programmablaufkontrolle und/oder durch ein Empfangen eines Ergebnisses einer Überwachung der Programmablaufkontrolle,
    • - Detektieren eines Fehlers bei zumindest einer der Funktionskomponenten anhand der Überwachung, bspw. durch eine Auswertung des Ergebnisses der Überwachung,
    • - Initiieren eines ersten Fehlerbetriebs, wenn der Fehler bei der wenigstens einen ersten Funktionskomponente für die Echtzeitfunktion, insbesondere autonome Fahrfunktion, detektiert wird (oder ggf. auch dann, wenn die Echtzeitfunktion bzw. autonome Fahrfunktion deaktiviert ist),
    • - Initiieren eines zweiten Fehlerbetriebs, wenn der Fehler bei der wenigstens einen zweiten Funktionskomponente für die zumindest eine weitere Funktion detektiert wird (und vorzugsweise kein Fehler bei der wenigstens einen ersten Funktionskomponente für die Echtzeitfunktion bzw. autonome Fahrfunktion detektiert wird und/oder die Echtzeitfunktion bzw. autonome Fahrfunktion aktiv ist), wobei sich der zweite Fehlerbetrieb von dem ersten Fehlerbetrieb unterscheidet und/oder bei dem zweiten Fehlerbetrieb eine Anpassung des Schedulings durchgeführt wird und/oder bei dem zweiten Fehlerbetrieb, ggf. im Gegensatz zum ersten Fehlerbetrieb, die Echtzeitfunktion für das Fahrzeug weiterhin aktiv bleiben kann und/oder das Fahrzeug weiterhin zumindest teilweise autonom gefahren werden kann.
  • Die Verarbeitungseinheit kann z. B. ein Mikrocontroller sein. Das Steuergerät kann ein oder mehrere Verarbeitungseinheiten umfassen, um die Funktionskomponenten bereitzustellen. Die Funktionskomponenten können jeweils bspw. Software-Komponenten sein, welche durch die Verarbeitungseinheit bereitgestellt werden. Damit können die Funktionskomponenten z. B. Software-Prozesse und/oder Computerprogramme umfassen. Scheduling kann auch als Ablaufsteuerung bezeichnet werden. Die Echtzeitfunktion bzw. autonome Fahrfunktion kann eine hochverfügbarkeitsrelevante Echtzeitanwendung der Verarbeitungseinheit bzw. für das Fahrzeug sein.
  • Wenn der Fehler bei der ersten Funktionskomponente detektiert wird, heißt dies insbesondere, dass die erste Funktionskomponente durch den Fehler beeinträchtigt wird, sodass ein sicherer Zustand der Echtzeitfunktion nicht mehr möglich ist. Die Echtzeitfunktion kann eine Funktion für das Fahrzeug sein, welche in Echtzeit ausgeführt wird und/oder sicherheitsrelevant für den Zustand des Fahrzeuges ist. Wenn der Fehler bei der zweiten Funktionskomponente detektiert wird, heißt dies insbesondere, dass die zweite Funktionskomponente durch den Fehler beeinträchtigt wird, wobei dann ein sicherer Zustand der Echtzeitfunktion dennoch möglich sein kann.
  • Die Erfindung beruht insbesondere auf der Überlegung, dass bei modernen Fahrzeugen zumindest Teile einer Nominalfunktion eines Steuergeräts notwendig sein können, um den sicheren Zustand des Fahrzeuges aufrechtzuerhalten. Insbesondere bei Verarbeitungseinheiten bzw. Mikrocontrollern, welche Teilfunktionen für hochautonomes Fahren (HAF) bereitstellen, sind Teile der Nominalfunktion für den sicheren Zustand des Fahrzeuges erforderlich. Diese Teile können als die wenigstens eine erste Funktionskomponente bezeichnet werden. Nur bei schwerwiegenden Fehlern in der Verarbeitungseinheit, welche direkt die korrekte Ausführung der HAF-Funktionen beeinträchtigen können, kann eine Abschaltung der sicherheitsrelevanten ersten Funktionskomponenten am Steuergerät erwünscht sein. Fehler ohne zwingende Auswirkung auf die HAF Funktionen, also insbesondere der wenigstens einen zweiten Funktionskomponente, können hingegen zu einem Degradationsbetrieb der Verarbeitungseinheit führen, in welchem die HAF Funktionen so lange und so vollständig wie möglich ausgeführt werden. Dieser Zustand kann auch engl. „fail degraded“ bezeichnet werden. Herkömmlicherweise würden durch das Scheduling und der damit verbundenen Programmablaufkontrolle selbst dann sämtliche Funktionen, die am HAF beteiligt sind, beendet werden, wenn der ursächliche Fehler eindeutig auf zweite Funktionskomponenten ohne Beteiligung am HAF zurückzuführen ist. Dies kann ohne weitere Maßnahmen zu unerwünschtem oder möglicherweise zu sicherheitskritischem Verhalten auf der übergeordneten Steuergeräte- und Fahrzeugebene führen. Das vorgeschlagene Schedulingkonzept zum sicheren Degradationsbetrieb ermöglicht hingegen, dass trotz gewisser Fehler in einer Verarbeitungseinheit ein Weiterbetreib der HAF Funktionen unter gewissen, sicheren Randbedingungen zugelassen werden kann. Damit wird das Steuergerät vom ursprünglichen „fail passive“ System zu einem „fail degraded“ System verbessert. „fail passive“ bedeutet in diesem Zusammenhang insbesondere einen speziellen sicheren Zustand, in welchem die Nominalfunktion nicht aufrecht erhalten wird.
  • Das Scheduling wird bspw. durch ein Betriebssystem und/oder durch eine Verarbeitungseinheit und/oder durch eine weitere Komponente des Steuergeräts bereitgestellt. Im Allgemeinen wird als Scheduling die Ausführung von Funktionskomponenten gemäß einer vorgegebenen Reihenfolge verstanden, wobei die Reihenfolge durch eine Liste definiert sein kann, welche beim Scheduling abgearbeitet wird. Auch kann als Scheduling ggf. die Liste selbst verstanden werden. Nachfolgend soll insbesondere der Vorgang der Abarbeitung der Liste als Scheduling bezeichnet werden.
  • Das Scheduling kann im Normalbetrieb die Ausführung der Funktionskomponenten nach einer ersten Liste durchführen, welche sämtliche (ersten und zweiten) Funktionskomponenten umfassen kann. In anderen Worten werden bei diesem Scheduling sämtliche Funktionskomponenten der Verarbeitungseinheit in einer definierten Reihenfolge ausgeführt. Dieses Scheduling wird nachfolgend auch als ein reguläres Scheduling bezeichnet. Ebenfalls kann gemäß der Erfindung eine zweite Liste des Schedulings vorgesehen sein, welche weniger Funktionskomponenten als die erste Liste umfasst. Entsprechend werden bei dem Scheduling auch weniger Funktionskomponenten ausgeführt, wenn dabei die zweite Liste abgearbeitet wird. Hierbei sind bspw. nur noch solche Funktionskomponenten in der zweiten Liste vorgesehen, die zwingend für die HAF-Funktionen notwendig sind. Dieses Scheduling wird nachfolgend auch als ein Fallback-Scheduling bezeichnet. Darüber hinaus kann der Normalbetrieb (auch Nominalbetrieb bezeichnet) gegenüber einem ersten Fehlerbetrieb (auch „Fail Passive“ Modus bezeichnet) und einem zweiten Fehlerbetrieb (auch Limp Home Modus oder „Fail Degraded“ Modus bezeichnet) unterschieden werden. Während im Normalbetrieb das reguläre Scheduling durchgeführt wird, erfolgt bspw. im zweiten Fehlerbetrieb das Fallback-Scheduling.
  • Die Funktionskomponenten können jeweils als Softwarekomponenten ausgebildet sein. Die Überwachung und das Detektieren können z. B. ebenfalls durch wenigstens eine Softwarekomponente, also bspw. ein Computerprogramm, bereitgestellt werden. Bspw. kann eine spezifisch für das erfindungsgemäße Verfahren vorgesehene Softwarekomponente, vorzugsweise ein erfindungsgemäßes Computerprogramm, im Zusammenspiel mit einer Überwachungssoftware und einem Betriebssystem des Steuergeräts bzw. der Verarbeitungseinheit die Überwachung und das Detektieren ausführen. Damit kann zuverlässig erkannt werden, wenn eine Funktionskomponente das reguläre Scheduling blockiert.
  • Vorzugsweise kann vorgesehen sein, dass durch das Scheduling die auszuführenden Funktionskomponenten definiert werden, wobei das Scheduling als ein reguläres Scheduling während eines Normalbetriebs ausgeführt wird, und im zweiten Fehlerbetrieb als ein Fallback-Scheduling ausgeführt wird, wobei bei dem Fallback-Scheduling eine geringere Anzahl der (ersten und/oder zweiten) Funktionskomponenten (insbesondere nur die ersten Funktionskomponenten) ausgeführt wird (werden) als bei dem regulären Scheduling, und wobei die Anpassung des Schedulings den nachfolgenden Schritt umfassen kann:
    • - Wechsel von dem regulären Scheduling zu dem Fallback-Scheduling.
  • Es kann vorteilhafterweise vorgesehen sein, dass die auszuführenden (ersten und/oder zweiten) Funktionskomponenten durch eine erste Liste des Schedulings definiert sind, in welcher die auszuführenden Funktionskomponenten aufgelistet sind. Die Auflistung erfolgt vorzugsweise in der Reihenfolge, in welcher auch die Ausführung erfolgen soll. Neben dem üblichen regulären Scheduling, bei welchem bspw. sämtliche Funktionskomponenten in dieser ersten Liste enthalten sind, kann für das Fallback- Scheduling eine zweite Liste mit reduzierter Anzahl der Funktionskomponenten vorgesehen sein. Die zweite Liste kann dann nur die Funktionskomponenten, insbesondere die ersten Funktionskomponenten, umfassen, die zwingend für die Echtzeitfunktion bzw. autonome Fahrfunktion erforderlich sind. Der Wechsel von dem regulären zu dem Fallback-Scheduling kann dann z. B. dadurch erfolgen, dass anstelle der ersten die zweite Liste für das Scheduling abgearbeitet wird.
  • Ferner kann im Rahmen der Erfindung vorgesehen sein, dass sich der zweite Fehlerbetrieb von dem ersten Fehlerbetrieb zumindest dadurch unterscheidet, dass im ersten Fehlerbetrieb das reguläre Scheduling weiterhin durchgeführt wird. Somit kann es auch vorgesehen sein, dass im ersten Fehlerbetrieb weiterhin die erste Liste für das Scheduling verwendet wird, dahingegen beim zweiten Fehlerbetrieb die zweite Liste für das Scheduling verwendet wird. Eine Anpassung des Schedulings kann somit beim ersten Fehlerbetrieb nicht vorgesehen sein, dieses bleibt daher unverändert.
  • Ferner ist es denkbar, dass im ersten Fehlerbetrieb eine im Normalbetrieb und im zweiten Fehlerbetrieb zugelassene Auswirkung der Funktionskomponenten außerhalb der Verarbeitungseinheit verhindert wird, insbesondere dadurch, dass eine im Normalbetrieb durchgeführte hardwareseitige Ausgabe der Funktionskomponenten unterdrückt wird. In anderen Worten kann im ersten Fehlerbetrieb die Auswirkung, bspw. in der Form einer Ausgabe der Funktionskomponenten, unterdrückt werden. Dies kann deshalb notwendig sein, da das Scheduling unverändert bleibt und somit sämtliche Funktionskomponenten weiterhin ausgeführt werden. Allerdings bleiben die Funktionskomponenten - weil der Fehler detektiert wurde - durch die Unterdrückung der Ausgabe wirkungslos.
  • Es ist ferner denkbar, dass im zweiten Fehlerbetrieb ein Fallback-Scheduling durchgeführt wird, bei welchem sämtliche ersten Funktionskomponenten für die Echtzeitfunktion bzw. autonome Fahrfunktion weiterhin ausgeführt werden, und bei welchem zumindest eine der zweiten Funktionskomponenten für die zumindest eine weitere und von der Echtzeitfunktion bzw. autonomen Fahrfunktion abweichende Funktion ausgesetzt wird. Das Aussetzen kann auch als eine Form der Abschaltung der zweiten Funktionskomponenten bezeichnet werden. In dem ersten Fehlerbetrieb erfolgt diese Abschaltung vorzugsweise durch die Unterdrückung der Auswirkung, wie einer Ausgabe der Funktionskomponenten. In dem zweiten Fehlerbetrieb erfolgt diese Abschaltung insbesondere durch die Anpassung des Schedulings, durch welche das Aussetzen erfolgen kann.
  • Eine vollständige Abschaltung aller Funktionskomponenten wie vorzugsweise im ersten Fehlerbetrieb kann als „fail passive“ Zustand bezeichnet werden. Wenn bei dem Fahrzeug die Echtzeitfunktion bzw. autonome Fahrfunktion nicht aktiv ist, ist diese Nominalfunktion des Steuergeräts ggf. nicht notwendig, um einen sicheren Zustand des Fahrzeugs aufrecht zu halten. Somit kann für diesen Fall der erste Fehlerbetrieb verwendet werden. Dagegen kann es bei aktiver Echtzeitfunktion bzw. autonomer Fahrfunktion erforderlich sein, dass die ersten Funktionskomponenten weiter ausgeführt werden. Hierzu ist der zweite Fehlerbetrieb eine Möglichkeit, die Echtzeitfunktion bzw. autonome Fahrfunktion zumindest vorübergehend noch aktiv zu halten.
  • Vorteilhafterweise kann im Rahmen der Erfindung vorgesehen sein, dass das Initiieren des zweiten Fehlerbetriebs dann erfolgt, wenn sich das Fahrzeug in einem (aktiven) autonomen Fahrbetrieb befindet. Der zweite Fehlerbetrieb als Degradationsbetrieb der Verarbeitungseinheit kann vorsehen, dass die ersten Funktionskomponenten solange und vollständig wie möglich ausgeführt werden (auch „fail degraded“ bezeichnet).
  • Ein weiterer Vorteil kann im Rahmen der Erfindung erzielt werden, wenn im zweiten Fehlerbetrieb weiterhin die Überwachung und das Detektieren durchgeführt wird, und von dem zweiten Fehlerbetrieb in den ersten Fehlerbetrieb gewechselt wird, wenn ein Fehler bei der wenigstens einen ersten Funktionskomponente für die Echtzeitfunktion bzw. autonome Fahrfunktion detektiert wird. Somit ist gewährleistet, dass schwerwiegende Fehler, die direkt die korrekte Ausführung der Echtzeitfunktion bzw. autonomen Fahrfunktion beeinträchtigen, dann ggf. zu einem Wechsel in den ersten Fehlerbetrieb und somit zu einer Abschaltung der sicherheitsrelevanten Module am Steuergerät führen.
  • Beispielsweise kann es vorgesehen sein, dass eine Erkennung und Lokalisierung des Fehlers durchgeführt werden, um zu unterscheiden, ob der Fehler bei der ersten oder zweiten Funktionskomponente aufgetreten ist, wobei die Erkennung und Lokalisierung die Schritte der Durchführung der Überwachung und des Detektierens umfassen kann. Dabei kann eine Treibervorrichtung diese Erkennung und Lokalisierung verwenden und/oder durchführen, um in Abhängigkeit von der Erkennung und Lokalisierung das Initiieren der Fehlerbetriebe und/oder die Anpassung des Schedulings durchzuführen. Eine Fehlerreaktion selbst, also die Auswahl und/oder Initiierung des Fehlerbetriebs, kann zumindest teilweise über ein Zusammenspiel zwischen einem Betriebssystem und einer Treibervorrichtung, konkret z. B. einem Complex Device Driver (CDD), des Steuergeräts umgesetzt werden. Die Treibervorrichtung kann für die korrekte Fehlerreaktion folgende Informationen nutzen: Die Ursache des Fehlers und/oder eine Information, ob die Echtzeitfunktion bzw. autonome Fahrfunktion aktiv ist. Die Ursache des Fehlers kann bspw. über die Treibervorrichtung durch die Erkennung und Lokalisierung identifiziert werden. Die Information, ob die Echtzeitfunktion bzw. autonome Fahrfunktion aktiv ist oder nicht, kann die Treibervorrichtung bspw. von der Anwendersoftware über eine interne Software-Schnittstelle ermitteln. Die Treibervorrichtung kann daraufhin entsprechende APIs (Application Programming Interfaces) vom Betriebssystem aufrufen, um die Anpassung des Schedulings durchzuführen. Zudem kann optional über die Treibervorrichtung vorzugsweise sichergestellt werden, dass ohne ein explizites Rücksetzen der Fehlerreaktion die Verarbeitungseinheit nicht vom Fallback-Scheduling auf das reguläre Scheduling zurückgeht. Der Übergang vom Fehlerbetrieb zurück in den Nominalbetrieb kann dabei z. B. über einen externen Trigger erfolgen. Danach kann die Verarbeitungseinheit vorteilhafterweise erneut wiederholt während des Betriebs des Steuergeräts diverse Fehlerprüfungen durchführen, also die Überwachung und das Detektieren gemäß einem erfindungsgemäßen Verfahren ausführen. Dadurch kann sichergestellt werden, dass der ursächliche Fehler nicht mehr anliegt und die Verarbeitungseinheit in den gewohnten Nominalbetrieb gehen kann. Ansonsten kann wieder der Fehlerbetrieb ausgelöst werden
  • Ebenfalls Gegenstand der Erfindung ist ein Computerprogramm, insbesondere Computerprogrammprodukt, umfassend Befehle, die bei der Ausführung des Computerprogramms durch eine elektronische Treibervorrichtung diese veranlassen, die Schritte eines erfindungsgemäßen Verfahrens auszuführen. Damit bringt das erfindungsgemäße Computerprogramm die gleichen Vorteile mit sich, wie sie ausführlich mit Bezug auf ein erfindungsgemäßes Verfahren beschrieben worden sind.
    Die Treibervorrichtung kann bspw. als eine Datenverarbeitungsvorrichtung vorgesehen sein, welche das Computerprogramm ausführt. Somit kann die Treibervorrichtung wenigstens einen Prozessor zur Ausführung des Computerprogramms aufweisen. Auch kann ein nicht-flüchtiger Datenspeicher vorgesehen sein, in welchem das Computerprogramm hinterlegt und von welchem das Computerprogramm durch den Prozessor zur Ausführung ausgelesen werden kann.
  • Das Computerprogramm kann eine eigens für die Verfahrensschritte vorgesehene und in die Treibervorrichtung integrierte Softwarefunktion sein, um im Zusammenspiel mit einer bereits vorgesehenen Überwachungssoftware und einem Betriebssystem des Steuergeräts das erfindungsgemäße Verfahren bereitzustellen.
  • Ebenfalls Gegenstand der Erfindung kann ein computerlesbares Speichermedium sein, welches das erfindungsgemäße Computerprogramm umfasst. Das Speichermedium ist bspw. als ein Datenspeicher wie eine Festplatte und/oder ein nicht-flüchtiger Speicher und/oder eine Speicherkarte ausgebildet.
  • Darüber hinaus kann das erfindungsgemäße Verfahren auch als ein computerimplementiertes Verfahren ausgeführt sein.
  • Ebenfalls Gegenstand der Erfindung ist ein System zur Datenverarbeitung, insbesondere in der Form eines Steuergeräts, welches eingerichtet ist, das erfindungsgemäße Verfahren auszuführen. Damit bringt das erfindungsgemäße System die gleichen Vorteile mit sich, wie sie ausführlich mit Bezug auf ein erfindungsgemäßes Verfahren beschrieben worden sind. Vorteilhaft ist es zudem, wenn das System eine elektronische Treibervorrichtung aufweist, um die Anpassung des Schedulings durchzuführen, und/oder dass die Verarbeitungseinheit als ein Mikrocontroller ausgebildet ist, um abhängig von dem Scheduling die Funktionskomponenten auszuführen.
  • Weitere Vorteile, Merkmale und Einzelheiten der Erfindung ergeben sich aus der nachfolgenden Beschreibung, in der unter Bezugnahme auf die Zeichnungen Ausführungsbeispiele der Erfindung im Einzelnen beschrieben sind. Dabei können die in den Ansprüchen und in der Beschreibung erwähnten Merkmale jeweils einzeln für sich oder in beliebiger Kombination erfindungswesentlich sein. Es zeigen jeweils schematisch:
    • 1 einen Ablauf eines erfindungsgemäßen Verfahrens,
    • 2 ein erfindungsgemäßes System,
    • 3 einen Ablauf eines erfindungsgemäßen Verfahrens.
  • In den nachfolgenden Figuren werden für die gleichen technischen Merkmale auch von unterschiedlichen Ausführungsbeispielen die identischen Bezugszeichen verwendet.
  • In 1 sind die Verfahrensschritte eines erfindungsgemäßen Verfahrens 100 für einen Betrieb eines in 2 dargestellten Steuergeräts 10 eines Fahrzeuges 1 visualisiert. Dabei kann das Steuergerät 10 wenigstens eine elektronische Verarbeitungseinheit 20 zur Ausführung von wenigstens einer ersten Funktionskomponente 31 für eine Echtzeitfunktion bzw. autonome Fahrfunktion und wenigstens einer zweiten Funktionskomponente 32 für zumindest eine weitere Funktion für das Fahrzeug 1 umfassen. Die Funktionskomponenten 31,32 sind zusammengefasst auch mit dem Bezugszeichen 30 versehen. Grundsätzlich kann dabei durch ein Scheduling eine Reihenfolge der Ausführung der Funktionskomponenten 30 definiert werden.
  • Gemäß einem erfindungsgemäßen Verfahren 100 kann wiederholt und fortwährend während des Betriebs des Steuergeräts 10 ein Durchführen einer Überwachung 101 der wenigstens einen ersten Funktionskomponente 31 und der wenigstens einen zweiten Funktionskomponente 32 durchgeführt werden. Anhand der Überwachung 101 kann zudem wiederholt und fortwährend während des Betriebs des Steuergeräts 10 ein Detektieren 102 eines Fehlers bei zumindest einer der Funktionskomponenten 30 durchgeführt werden. Das Detektieren 102 hat dabei zur Folge, dass abhängig von der Detektion ein Fehlerbetrieb 301,302 ausgewählt und initiiert wird. So erfolgt ein Initiieren 103 eines ersten Fehlerbetriebs 301, wenn der Fehler bei der wenigstens einen ersten Funktionskomponente 31 für die Echtzeitfunktion bzw. autonome Fahrfunktion detektiert wird. Es erfolgt ferner ein Initiieren 104 eines zweiten Fehlerbetriebs 302, wenn der Fehler bei der wenigstens einen zweiten Funktionskomponente 32 für die zumindest eine weitere Funktion detektiert wird. Das Initiieren 104 des zweiten Fehlerbetriebs 302 kann zudem an wenigstens eine weitere Bedingung geknüpft sein, z. B., dass die Echtzeitfunktion bzw. autonome Fahrfunktion aktiv ist und/oder dass ein Fehler nicht zusätzlich noch bei der ersten Funktionskomponente 31 detektiert wurde. Dabei kann sich der zweite Fehlerbetrieb 302 von dem ersten Fehlerbetrieb 301 unterscheiden, bspw. zumindest dadurch, dass bei dem zweiten Fehlerbetrieb 302 eine Anpassung des Schedulings durchgeführt wird.
  • Das Scheduling kann die auszuführenden Funktionskomponenten 30 definieren und als ein reguläres Scheduling während eines Normalbetriebs 300 der Verarbeitungseinheit 20 bzw. des Steuergeräts 10 ausgeführt werden. Im zweiten Fehlerbetrieb 302 kann das Scheduling hingegen angepasst sein und als ein Fallback-Scheduling ausgeführt werden, bei welchem eine geringere Anzahl der Funktionskomponenten 30 ausgeführt wird als bei dem regulären Scheduling. Um die Anpassung des Schedulings zu ermöglichen, kann entsprechend ein Wechsel von dem regulären Scheduling zu dem Fallback-Scheduling vorgesehen sein. Im Gegenteil dazu kann bei dem ersten Fehlerbetrieb 301 das reguläre Scheduling weiterhin durchgeführt werden.
  • Um die Auswahl durchzuführen, ob der erste oder zweite Fehlerbetrieb 301,302 initiiert werden soll, kann eine Erkennung und Lokalisierung des Fehlers durchgeführt werden. Diese ermöglicht eine Unterscheidung, ob der Fehler bei der ersten 31 oder zweiten 32 Funktionskomponente aufgetreten ist. Die Erkennung und Lokalisierung kann dabei die Schritte der Durchführung der Überwachung 101 und des Detektierens 102 umfassen und durch eine Treibervorrichtung 40 verwendet und/oder durchgeführt werden.
  • In 2 ist schematisch ein Computerprogramm 50 dargestellt, welches durch eine elektronische Treibervorrichtung 40 ausgeführt werden kann, um die Erkennung und Lokalisierung und/oder die Verfahrensschritte auszuführen. Ferner ist in 2 ein erfindungsgemäßes System 10 zur Datenverarbeitung schematisch dargestellt. Das System 10 kann bspw. das Steuergerät 10 des Fahrzeuges 1 sein.
  • In 3 ist ein erfindungsgemäßes Verfahren 100 mit weiteren Einzelheiten beispielhaft dargestellt. Es kann vorgesehen sein, dass im Normalbetrieb 300 die in 2 dargestellte Verarbeitungseinheit 20 zunächst nach einem Boot- und Initialisierungsvorgang in einen zyklischen Betrieb schaltet, also das reguläre Scheduling durchgeführt wird. Unmittelbar danach kann die autonome Fahrfunktion, auch kurz HAF-Modus bezeichnet, grundsätzlich inaktiv sein, also eine HAF-Funktionen nicht am Fahrzeug 1 genutzt werden. Ferner kann während des Betriebs des Steuergeräts 10 kontinuierlich die Überwachung 101 und das Detektieren 102 durchgeführt werden, wobei dies auch als „Erkennen und Lokalisieren“ bezeichnet und durch die Treibervorrichtung 40 ausgeführt werden kann. In Abhängigkeit von dem Erkennen und Lokalisieren, aber auch von wenigstens einer weiteren Bedingung, kann entweder das Initiieren 103 des ersten Fehlerbetriebs 301 oder Initiieren 104 des zweiten Fehlerbetriebs 302 erfolgen. Die weitere Bedingung kann z. B. den Zustand der autonomen Fahrfunktion sein, also ob diese aktiviert 311 oder deaktiviert 310 ist. Die Fehlerbetriebe 301,302 können jeweils wieder durch einen Trigger 314 von außen in den Normalbetrieb 300 zurückgesetzt werden.
  • Der Pfeil 312 repräsentiert ein Aktivieren der autonomen Fahrfunktion, der Pfeil 313 repräsentiert ein Deaktivieren der autonomen Fahrfunktion. Wenn der HAF-Modus aktiviert werden soll, kann dies dem Steuergerät 10 z. B. durch ein Bussystem übermittelt werden. Die Umschaltung kann bspw. durch eine Software-Schnittstelle in der Anwendersoftware erfolgen. Der HAF-Modus muss hierbei nicht zwangsläufig als eigener Zustand in einem Zustandsautomaten der Verarbeitungseinheit 20 realisiert sein. Auch muss es aufgrund des HAF-Modus nicht zwangsläufig eine Änderung im Scheduling geben. Bspw. wird der HAF-Modus ausschließlich in einer Logik innerhalb der Anwendersoftware realisiert. Auch das Deaktivieren des HAF-Modus kann durch die Anwendersoftware erfolgen.
  • Wird nun anhand der Überwachung 101 ein Fehler detektiert, welcher auf eine bestimmte Funktionskomponente 30 lokalisierbar und eingrenzbar ist, kann eine Auswahl der verschiedenen Fehlerbetriebe 301,302 vorgesehen sein. Abhängig davon, ob aktuell ein HAF-Modus aktiv ist und wo der Fehler lokalisiert wurde, kann entsprechend die Auswahl des Fehlerbetriebs 301,302 erfolgen.
  • Konkret kann für den Fall, dass HAF aktiv 311 ist und der Fehler bei der wenigstens einen zweiten Funktionskomponente 32 für die weitere, nicht HAFrelevante Funktion lokalisiert wurde, der zweite Fehlerbetrieb 302 ausgewählt werden, andernfalls der erste Fehlerbetrieb 301. Der erste Fehlerbetrieb 301 kann hierbei der herkömmliche „fail passive“ Modus sein, in welchem sämtliche sicherheitsrelevanten Hardwareausgänge, welche von der Verarbeitungseinheit 20 angesteuert werden, in einen sicheren Zustand versetzt werden, also bspw. unterdrückt werden. Die Software kann im Übrigen hierbei wie im Normalbetrieb ausgeführt werden, es wird also ggf. auch das reguläre Scheduling weiterhin ausgeführt. Allerdings werden die Befehle der Funktionskomponenten 30 nicht mehr an die Hardware außerhalb der Verarbeitungseinheit 20 weitergegeben.
  • Dagegen kann im zweiten Fehlerbetrieb 302, auch Limp Home Modus bezeichnet, ein verändertes Fallback-Scheduling erfolgen. Damit kann im zweiten Fehlerbetrieb 302 ein „fail degraded“ Modus vorliegen, in dem weiterhin sämtliche HAF-Funktionalitäten im Fallback-Scheduling berechnet werden und die sicherheitsrelevanten Hardwareausgänge, die von der Verarbeitungseinheit 20 angesteuert werden, unverändert angesteuert werden. Sämtliche Funktionskomponenten 30, welche allerdings nicht relevant für HAF-Funktionen sind, können dann allerdings vom Fallback-Scheduling ausgenommen und daher nicht mehr berechnet werden. Dieser zweite Fehlerbetrieb 302ist insbesondere dann möglich, wenn der Fehler eindeutig lokalisierbar ist und auch sonst kein weiterer, grundlegender Fehler in der Verarbeitungseinheit 20 vorliegt. Bei weiteren, grundlegenden Fehlern, wie z. B. Temperaturfehlern, Spannungsfehlern oder unkorrigierbaren Speicherfehlern, kann die Verarbeitungseinheit 20 wie üblich in den ersten Fehlerbetrieb 301 oder einen anderen Fehlermodus schalten.
  • Die voranstehende Erläuterung der Ausführungsformen beschreibt die vorliegende Erfindung ausschließlich im Rahmen von Beispielen. Selbstverständlich können einzelne Merkmale der Ausführungsformen, sofern technisch sinnvoll, frei miteinander kombiniert werden, ohne den Rahmen der vorliegenden Erfindung zu verlassen.

Claims (11)

  1. Verfahren (100) für einen Betrieb eines Steuergeräts (10) eines Fahrzeuges (1), wobei das Steuergerät (10) wenigstens eine elektronische Verarbeitungseinheit (20) zur Ausführung von - wenigstens einer ersten Funktionskomponente (31) für eine Echtzeitfunktion für das Fahrzeug, und - wenigstens einer zweiten Funktionskomponente (32) für zumindest eine weitere Funktion für das Fahrzeug (1) umfasst, und wobei durch ein Scheduling eine Reihenfolge der Ausführung der Funktionskomponenten (31,32) definiert wird, wobei die nachfolgenden Schritte vorgesehen sind: - Durchführen einer Überwachung (101) der wenigstens einen ersten Funktionskomponente (31) und der wenigstens einen zweiten Funktionskomponente (32), - Detektieren (102) eines Fehlers bei zumindest einer der Funktionskomponenten (31,32) anhand der Überwachung (101), - Initiieren (103) eines ersten Fehlerbetriebs (301), wenn der Fehler bei der wenigstens einen ersten Funktionskomponente (31) für die Echtzeitfunktion detektiert wird, - Initiieren (104) eines zweiten Fehlerbetriebs (302), wenn der Fehler bei der wenigstens einen zweiten Funktionskomponente (32) für die zumindest eine weitere Funktion detektiert wird, wobei sich der zweite Fehlerbetrieb (302) von dem ersten Fehlerbetrieb (301) unterscheidet und bei dem zweiten Fehlerbetrieb (302) eine Anpassung des Schedulings durchgeführt wird.
  2. Verfahren (100) nach Anspruch 1, dadurch gekennzeichnet, dass durch das Scheduling die auszuführenden Funktionskomponenten (31,32) definiert werden, wobei das Scheduling als ein reguläres Scheduling während eines Normalbetriebs (300) ausgeführt wird, und im zweiten Fehlerbetrieb (302) als ein Fallback-Scheduling ausgeführt wird, wobei bei dem Fallback-Scheduling eine geringere Anzahl der Funktionskomponenten (31,32) ausgeführt wird als bei dem regulären Scheduling, und wobei die Anpassung des Schedulings den nachfolgenden Schritt umfasst: - Wechsel von dem regulären Scheduling zu dem Fallback-Scheduling.
  3. Verfahren (100) nach Anspruch 2, dadurch gekennzeichnet, dass sich der zweite Fehlerbetrieb (302) von dem ersten Fehlerbetrieb (301) dadurch unterscheidet, dass im ersten Fehlerbetrieb (301) das reguläre Scheduling weiterhin durchgeführt wird.
  4. Verfahren (100) nach Anspruch 2 oder 3, dadurch gekennzeichnet, dass im ersten Fehlerbetrieb (301) eine im Normalbetrieb (300) und im zweiten Fehlerbetrieb (302) zugelassene Auswirkung der Funktionskomponenten (31,32) außerhalb der Verarbeitungseinheit (20) verhindert wird, insbesondere dadurch, dass eine im Normalbetrieb (300) durchgeführte hardwareseitige Ausgabe der Funktionskomponenten (31,32) unterdrückt wird.
  5. Verfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass im zweiten Fehlerbetrieb (302) ein Fallback-Scheduling durchgeführt wird, bei welchem sämtliche ersten Funktionskomponenten (31) für die Echtzeitfunktion weiterhin ausgeführt werden, und bei welchem zumindest eine der zweiten Funktionskomponenten (32) für die zumindest eine weitere und von der Echtzeitfunktion abweichende Funktion ausgesetzt wird.
  6. Verfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Echtzeitfunktion als eine autonome Fahrfunktion ausgeführt ist, und dass das Initiieren (104) des zweiten Fehlerbetriebs (302) dann erfolgt, wenn sich das Fahrzeug (1) in einem autonomen Fahrbetrieb befindet.
  7. Verfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass im zweiten Fehlerbetrieb (302) weiterhin die Überwachung (101) und das Detektieren (102) durchgeführt wird, und von dem zweiten Fehlerbetrieb (302) in den ersten Fehlerbetrieb (301) gewechselt wird, wenn ein Fehler bei der wenigstens einen ersten Funktionskomponente (31) für die Echtzeitfunktion detektiert wird.
  8. Verfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eine Erkennung und Lokalisierung des Fehlers durchgeführt wird, um zu unterscheiden, ob der Fehler bei der ersten oder zweiten Funktionskomponente (31,32) aufgetreten ist, wobei die Erkennung und Lokalisierung die Schritte der Durchführung der Überwachung (101) und des Detektierens (102) umfasst, wobei eine Treibervorrichtung (40) die Erkennung und Lokalisierung verwendet und/oder durchführt, um in Abhängigkeit von der Erkennung und Lokalisierung das Initiieren (103,104) der Fehlerbetriebe (301,302) und/oder die Anpassung des Schedulings durchzuführen.
  9. Computerprogramm (50), umfassend Befehle, die bei der Ausführung des Computerprogramms (50) durch eine elektronische Treibervorrichtung (40) diese veranlassen, die Schritte des Verfahrens (100) nach einem der vorhergehenden Ansprüche auszuführen.
  10. System (10) zur Datenverarbeitung, insbesondere in der Form eines Steuergeräts (10), welches eingerichtet ist, das Verfahren (100) nach einem der Ansprüche 1 bis 8 auszuführen.
  11. System (10) nach Anspruch 10, dadurch gekennzeichnet, dass das System (10) eine elektronische Treibervorrichtung (40) aufweist, um die Anpassung des Schedulings durchzuführen, und dass die Verarbeitungseinheit (20) als ein Mikrocontroller ausgebildet ist, um abhängig von dem Scheduling die Funktionskomponenten (31,32) auszuführen.
DE102022205521.7A 2022-05-31 2022-05-31 Verfahren für einen Betrieb eines Steuergeräts eines Fahrzeuges Pending DE102022205521A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102022205521.7A DE102022205521A1 (de) 2022-05-31 2022-05-31 Verfahren für einen Betrieb eines Steuergeräts eines Fahrzeuges
PCT/EP2023/062263 WO2023232401A1 (de) 2022-05-31 2023-05-09 Verfahren für einen betrieb eines steuergeräts eines fahrzeuges

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022205521.7A DE102022205521A1 (de) 2022-05-31 2022-05-31 Verfahren für einen Betrieb eines Steuergeräts eines Fahrzeuges

Publications (1)

Publication Number Publication Date
DE102022205521A1 true DE102022205521A1 (de) 2023-11-30

Family

ID=86497588

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022205521.7A Pending DE102022205521A1 (de) 2022-05-31 2022-05-31 Verfahren für einen Betrieb eines Steuergeräts eines Fahrzeuges

Country Status (2)

Country Link
DE (1) DE102022205521A1 (de)
WO (1) WO2023232401A1 (de)

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3075997B1 (fr) * 2017-12-26 2020-01-10 Thales Calculateur electronique de mise en oeuvre d'au moins une fonction critique, dispositif electronique, procede et programme d'ordinateur associes

Also Published As

Publication number Publication date
WO2023232401A1 (de) 2023-12-07

Similar Documents

Publication Publication Date Title
DE60019038T2 (de) Intelligente Fehlerverwaltung
WO2006015945A2 (de) Verfahren, betriebssystem und rechengerät zum abarbeiten eines computerprogramms
DE10049441A1 (de) Verfahren zum Betrieb eines von einem Prozessor gesteuerten Systems
DE102013203358A1 (de) System und verfahren zum verifizieren der integrität eines sicherheitskritischen fahrzeugsteuerungssystems
WO2008040641A2 (de) Verfahren und vorrichtung zur fehlerverwaltung
EP2207097A1 (de) Verfahren und Vorrichtung zum Betreiben eines Steuergerätes
DE102016204713A1 (de) Ansteuervorrichtung
WO2006045754A1 (de) Verfahren, betriebssystem und rechengerät zum abarbeiten eines computerprogramms
EP1805617A1 (de) Verfahren zur abarbeitung eines computerprogramms auf einem computersystem
DE102005009813A1 (de) Elektronisches Steuerungssystem und -Verfahren mit Microcomputerüberwachungs-Unterdrückungsfunktion
DE102008004206A1 (de) Anordnung und Verfahren zur Fehlererkennung und -behandlung in einem Steuergerät in einem Kraftfahrzeug
DE102022205521A1 (de) Verfahren für einen Betrieb eines Steuergeräts eines Fahrzeuges
EP2228723B1 (de) Verfahren zur Fehlerbehandlung eines Rechnersystems
DE102013202961A1 (de) Verfahren zum Überwachen eines Stackspeichers in einem Betriebssystem eines Steuergeräts eines Kraftfahrzeuges
WO2007071590A1 (de) Verfahren zur erkennung einer versorgungsunterbrechung in einem datenspeicher und zur wiederherstellung des datenspeichers
EP1924914B1 (de) Datenverarbeitungssystem und betriebsverfahren dafür
WO2016206847A1 (de) Verfahren und vorrichtung zum absichern einer programmzählerstruktur eines prozessorsystems und zum überwachen der behandlung einer unterbrechungsanfrage
WO2007074056A2 (de) Fehlertolerantes prozessorsystem
EP2338111B1 (de) Verfahren und vorrichtung zum testen eines rechnerkerns in einer mindestens zwei rechnerkerne aufweisenden recheneinheit
EP3173928B1 (de) Verfahren und vorrichtung zum überprüfen eines komponentenfehlerbaums
DE102017208872A1 (de) Elektronische Steuereinheit
WO2017153411A1 (de) Verfahren zum betreiben eines steuergeräts für ein kraftfahrzeug
DE102018219700B4 (de) Steuervorrichtung
DE102017212560A1 (de) Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion
WO2022263416A1 (de) Steuerungssystem für mindestens ein empfangendes gerät in sicherheitskritischen anwendungen