DE102023004853A1 - Verfahren zur Fehlerbehebung von sicherheitsrelevanten mikrocontrollergesteuerten Anwendungen in einem Kraftfahrzeug, sicherheitsrelevanten Computerprogrammprodukt, sicherheitsrelevanten Mikrocontroller, sowie Kraftfahrzeug - Google Patents

Verfahren zur Fehlerbehebung von sicherheitsrelevanten mikrocontrollergesteuerten Anwendungen in einem Kraftfahrzeug, sicherheitsrelevanten Computerprogrammprodukt, sicherheitsrelevanten Mikrocontroller, sowie Kraftfahrzeug Download PDF

Info

Publication number
DE102023004853A1
DE102023004853A1 DE102023004853.4A DE102023004853A DE102023004853A1 DE 102023004853 A1 DE102023004853 A1 DE 102023004853A1 DE 102023004853 A DE102023004853 A DE 102023004853A DE 102023004853 A1 DE102023004853 A1 DE 102023004853A1
Authority
DE
Germany
Prior art keywords
microcontroller
measures
reset
motor vehicle
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102023004853.4A
Other languages
English (en)
Inventor
Chu Xiong
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mercedes Benz Group AG
Original Assignee
Mercedes Benz Group AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mercedes Benz Group AG filed Critical Mercedes Benz Group AG
Priority to DE102023004853.4A priority Critical patent/DE102023004853A1/de
Publication of DE102023004853A1 publication Critical patent/DE102023004853A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Beschrieben wird ein Verfahren zur Fehlerbehebung von mikrocontrollergesteuerten Anwendungen in einem Kraftfahrzeug, wobei ein Mikrocontroller einen Prozessor und einen nicht-flüchtigen computerlesbaren Speicher aufweist, in dem ein Computerprogrammprodukt geladen ist und von dem Prozessor ausgeführt wird, wobei eine Kontrolleinheit die ordnungsgemäße Funktion der Anwendung überwacht, wobei die Kontrolleinheit im Falle eines erkannten Fehlers in der Ausführung der Anwendung eine Rücksetzroutine für den Mikrocontroller einleitet, wobei die Rücksetzroutine eine kaskadierende Reihe von Maßnahmen zur Rücksetzung des Mikrokontrollers vorsieht, wobei die Maßnahmen wenigstens eine Rücksetzstufe enthalten, wobei nach jeder Rücksetzstufe die ordnungsgemäße Funktion des Mikrocontrollers geprüft wird, wobei bei Wiederherstellung der ordnungsgemäßen Funktion des Mikrocontrollers die kaskadierende Reihe von Maßnahmen zur Rücksetzung des Mikrocontrollers abgebrochen wird.

Description

  • Beschrieben werden ein Verfahren zur Fehlerbehebung von mikrocontrollergesteuerten Anwendungen in einem Kraftfahrzeug, ein Computerprogrammprodukt, ein Mikrokontroller sowie ein Kraftfahrzeug.
  • Verfahren zur Fehlerbehebung von mikrocontrollergesteuerten Anwendungen in einem Kraftfahrzeug, Computerprogrammprodukte, Mikrocontroller sowie Kraftfahrzeuge der eingangs genannten Art sind im Stand der Technik bekannt.
  • In einem modernen Kraftfahrzeug laufen eine große Vielzahl von unterschiedlichen Anwendungen zur Steuerung von Systemen und Funktionen des Kraftfahrzeugs. Aus Gründen der Sicherheit des Kraftfahrzeugs ist es notwendig, dass diese Systeme und Funktionen, und damit insbesondere die diese steuernden Anwendungen fehlerfrei funktionieren. Das mögliche Risiko von Systemfehlern wird im Automotive-Umfeld im Rahmen eines standardisierten Systems namens „ASIL“ klassifiziert. „ASIL“ steht für Automotive Safety Integrity Level. Es handelt sich dabei um ein Risikoklassifizierungssystem, das von der ISO 26262-Norm für die funktionale Sicherheit von Straßenfahrzeugen definiert wird. Die Norm definiert funktionale Sicherheit als „das Fehlen eines unzumutbaren Risikos aufgrund von Gefahren, die durch fehlerhaftes Verhalten von elektrischen oder elektronischen Systemen verursacht werden“. Es gibt vier ASIL-Level, die von der Norm identifiziert werden: ASIL A, ASIL B, ASIL C, ASIL D. ASIL A schreibt die niedrigsten Integritätsanforderungen an das Produkt vor und ASIL D die höchsten. Die Bestimmung von ASIL ist das Ergebnis einer Gefährdungsanalyse und Risikobewertung. Im Zusammenhang mit ISO 26262 wird eine Gefährdung auf der Grundlage der relativen Auswirkungen gefährlicher Wirkungen im Zusammenhang mit einem System bewertet, bereinigt um die relative Wahrscheinlichkeit, dass die Gefahr diese Auswirkungen manifestiert. Das heißt, jede Gefahr wird in Bezug auf die Schwere möglicher Verletzungen im Zusammenhang mit der Frage, wie viel Zeit ein Fahrzeug der Möglichkeit des Eintretens der Gefahr ausgesetzt ist, sowie der relativen Wahrscheinlichkeit, dass ein typischer Fahrer handeln kann, um die Verletzung zu verhindern, bewertet. Kurz gesagt, ASIL bezieht sich sowohl auf das Risiko als auch auf die risikoabhängigen Anforderungen.
  • Zur Risikominimierung ist es insbesondere bei sicherheitskritischen Anwendungen notwendig, die ordnungsgemäße Funktion solcher Anwendungen zu überwachen. Sollte eine entsprechende Anwendung fehlerhaft arbeiten, muss die Anwendung neu gestartet werden oder das entsprechende System abgeschaltet werden. Zum Neustart einer entsprechenden Anwendung werden herkömmlicherweise sämtliche Komponenten des Systems neu gestartet, d.h., das System wird stromlos gestellt und wieder bestromt, sodass das System sich neu initialisieren kann. Dies kostet jedoch eine geraume Zeit, in der die Funktion nicht zur Verfügung steht. Sollte diese Maßnahme nicht erfolgreich sein, wird in der Regel das System deaktiviert und eine Fehlermeldung ausgegeben.
  • In der US 2020/0278897 A1 werden Geräte, Methoden und Speichermedien im Zusammenhang mit integrierten Rechnern offenbart. Ausführungsformen umfassen eine integrierte Rechenplattform mit einer Vielzahl von System-on-Chips (SoCs), die einen lokalen Computercluster bilden; und einen Orchestrator, der auf einem der SoCs angeordnet ist und so angeordnet ist, dass er als Reaktion auf einen gemeldeten nicht behebbaren Fehler, der ein Herunterfahren oder teilweises Deaktivieren eines der SoCs erfordert, ausfallsichere Vorgänge orchestriert, um die Ausführung kritischer Arbeitslasten auf einem oder mehreren der verbleibenden vollständig betriebsbereiten SoCs. Auch andere Ausführungsformen werden beschrieben und beansprucht.
  • Durch die bekannten Sicherheitskonzepte werden bestimmte Funktionen oder bestimmte Komponenten im Fehlerfalle abgeschaltet, um die Sicherheit zu gewährleisten, so dass die Verfügbarkeit in einem solchen Fall in der Regel drastisch reduziert wird. Würde man die Verfügbarkeitsanforderungen priorisieren, könnten die Sicherheitsaspekte nicht sichergestellt werden.
  • Somit stellt sich die Aufgabe, Verfahren zur Fehlerbehebung von mikrocontrollergesteuerten Anwendungen in einem Kraftfahrzeug, Computerprogrammprodukte, Mikrocontroller sowie Kraftfahrzeuge der eingangs genannten Art dahingehend weiterzubilden, dass eine bessere Balance zwischen Sicherheit und Verfügbarkeit sichergestellt wird und geltende Normen trotzdem eingehalten werden.
  • Die Aufgabe wird gelöst durch ein Verfahren zur Fehlerbehebung von mikrocontrollergesteuerten Anwendungen in einem Kraftfahrzeug gemäß Anspruch 1, ein Computerprogrammprodukt gemäß dem nebengeordneten Anspruch 8, ein Mikrokontroller gemäß dem nebengeordneten Anspruch 9 sowie ein Kraftfahrzeug gemäß dem nebengeordneten Anspruch 10. Weiterführende Ausgestaltungen und Weiterbildungen sind Gegenstand der abhängigen Ansprüche.
  • Beschrieben wird ein Verfahren zur Fehlerbehebung von mikrocontrollergesteuerten Anwendungen in einem Kraftfahrzeug, wobei ein Mikrocontroller einen Prozessor und einen nicht-flüchtigen computerlesbaren Speicher aufweist, in dem ein Computerprogrammprodukt geladen ist und von dem Prozessor ausgeführt wird, wobei eine Kontrolleinheit die ordnungsgemäße Funktion der Anwendung überwacht, wobei die Kontrolleinheit im Falle eines erkannten Fehlers in der Ausführung der Anwendung eine Rücksetzroutine für den Mikrocontroller einleitet, wobei die Rücksetzroutine eine kaskadierende Reihe von Maßnahmen zur Rücksetzung des Mikrokontrollers vorsieht, wobei die Maßnahmen wenigstens eine Rücksetzstufe enthalten, wobei nach jeder Rücksetzstufe die ordnungsgemäße Funktion des Mikrocontrollers geprüft wird, wobei bei Wiederherstellung der ordnungsgemäßen Funktion des Mikrocontrollers die kaskadierende Reihe von Maßnahmen zur Rücksetzung des Mikrocontrollers abgebrochen wird.
  • Im Nachfolgenden werden die Begriffe „Rücksetzroutine“ und „Reset“ synonym verwendet.
  • Gemäß dem hier beschriebenen Verfahrens erfolgt zunächst kein Abschalten des Mikrocontrollers zum Erreichen eines sicheren Zustands, dem Rückfallzustand, während des Fehlerreaktionsprozesses. Vor dem Herunterfahren des Mikrocontrollers werden stattdessen verschiedene Stufen des Zurücksetzens versucht, um vorübergehende bzw. transiente Fehler zu beseitigen. Wenn der erste Versuch den Fehler nicht beheben kann, wird ein Zurücksetzen in der nächsten Stufe mit größerer Auswirkung auf die Verfügbarkeit versucht. Wenn der Fehler nach dem entsprechenden Zurücksetzen behoben ist und der Mikrocontroller nicht heruntergefahren werden muss, kann der Mikrocontroller normal weiterarbeiten.
  • Lediglich bei langanhaltenden Fehlern, die durch die kaskadierenden Rücksetzmaßnahmen nicht behoben werden können, ist ein Abschalten des Mikrocontrollers erforderlich.
  • Durch die kaskadierenden Maßnahmen wird eine maximale Verfügbarkeit der von dem Mikrocontroller gesteuerten Funktion oder Anwendung möglich, während der sichere Rückfallzustand noch rechtzeitig erreicht werden kann, ohne eine Verletzung der relevanten Sicherheitsziele gemäß geltender einzuhaltender Normen zu erzeugen.
  • Durch die Erkennung eines sicherheitsrelevanten Fehlers, bei dem „fehlerfrei“ als sicherer Zustand definiert ist, müssen bestimmte Komponenten innerhalb eines definierten Zeitintervalls abgeschaltet werden, insbesondere durch Abschaltung des Mikrocontrollers.
  • Wenn der Fehler nach dem entsprechenden Zurücksetzen behoben ist und der Mikrocontroller nicht heruntergefahren werden muss (kein sicherer Zustand erforderlich), kann der Mikrocontroller normal weiterarbeiten. Lediglich bei langanhaltenden Fehlern, die durch die kaskadierenden Rücksetzroutinen nicht behoben werden können, ist letztendlich ein Abschalten des Mikrocontrollers erforderlich.
  • Bei gleichzeitiger Abdeckung des Sicherheitsziels ermöglicht das Konzept der kaskadierende Rücksetzroutinen weiterhin die maximale Verfügbarkeit. Die Nichtverfügbarkeit bestimmter Funktionen des Fahrzeugs während der Fahrt wird reduziert. Das Fahrerlebnis der Kunden wird verbessert, ohne das Sicherheitsziel zu verletzen.
  • In einer ersten weiterführenden Ausgestaltung ist vorgesehen, dass die kaskadierende Reihe von Maßnahmen zur Rücksetzung des Microcontrollers von kurzfristig umsetzbaren Maßnahmen zu länger dauernden Maßnahmen abgestuft ist.
  • In einer Ausführungsform kann es die folgenden verschiedenen Reset-Stufen geben, geordnet nach Auswirkung und Dauer von geringer Auswirkung bis zu hoher Auswirkung, von kurzer Dauer bis zu langer Dauer: Mikrocontroller-Anwendungs-Reset, Mikrocontroller-System-Reset, warmer Mikrocontrollerneustart unter Strom („warm PORST“), kalter Mikrocontrollerneustart bei Unterbrechung der Stromzufuhr („cold PORST“) sowie Abschalten des Mikrocontrollers („MCU-Shutdown“). Jede Stufe des Zurücksetzens initialisiert einen bestimmten Bereich von Hardware-Elementen neu.
  • Gemäß einer weiterführenden Ausgestaltung ist für einige Fehlertypen oder für jeden Fehlertyp eine geeignete Rücksetzroutinen-Maßnahme für die erste Rücksetzstufe definiert. Wenn der erste Versuch den Fehler nicht beheben kann, wird die Rücksetzroutinen-Maßnahme der nächsten Stufe verwendet.
  • Unterschiedliche Fehler erfordern unterschiedliche Wiederherstellungsstrategien. Es gibt Fehler, die zum Beispiel nicht durch das Zurücksetzen der Mikrocontroller-Anwendung beseitigt werden können und ein Zurücksetzen des Mikrocontroller-Systems als Startpunkt erfordern.
  • In einer weiteren weiterführenden Ausgestaltung ist vorgesehen, dass die kaskadierende Reihe von Maßnahmen in einem Schritt ein Zurücksetzen des Computerprogrammprodukts vorsieht.
  • Durch das Zurücksetzen des Computerprogrammprodukts, also der Mikrocontroller-Anwendung, wird der kleinstmögliche Umfang von Hardware-Elementen neu initialisiert.
  • In einer weiteren weiterführenden Ausgestaltung ist vorgesehen, dass die kaskadierende Reihe von Maßnahmen in einem folgenden Schritt ein Zurücksetzen eines Betriebssystems des Mikrocontrollers vorsieht.
  • Durch das Zurücksetzen des Betriebssystems wird der nächstkleinstmögliche Umfang von Hardware-Elementen neu initialisiert.
  • In einer weiteren weiterführenden Ausgestaltung ist vorgesehen, dass die kaskadierende Reihe von Maßnahmen in einem folgenden Schritt einen Systemneustart unter Strom des Mikrocontrollers vorsieht.
  • Durch das Zurücksetzen des Mikrocontrollers unter Strom (MCU-Warm-Power-On-Reset - Warm PORST) wird der nächstkleinstmögliche Umfang von Hardware-Elementen neu initialisiert.
  • In einer weiteren weiterführenden Ausgestaltung ist vorgesehen, dass die kaskadierende Reihe von Maßnahmen in einem folgenden Schritt einen Systemneustart mit Stromunterbrechung des Mikrocontrollers vorsieht.
  • Durch das Zurücksetzen des Mikrocontrollers mit Stromunterbrechung (MCU-Cold-Power-On-Reset - Cold PORST) wird der komplette Umfang der Hardware-Elemente neu initialisiert.
  • In einer weiteren weiterführenden Ausgestaltung ist vorgesehen, dass die kaskadierende Reihe von Maßnahmen in einem folgenden Schritt ein Herunterfahren und Deaktivieren des Mikrocontrollers vorsieht.
  • Hierdurch kann eine von dem Mikrocontroller gesteuerte defekte Funktion deaktiviert werden und die Gefahren durch eine Fehlfunktion eliminiert werden.
  • In einer weiteren weiterführenden Ausgestaltung ist vorgesehen, dass ein erneutes Starten des Mikrocontrollers nach einem vorgegebenen Zeitintervall versucht wird.
  • Während der Mikrocontroller-Abschaltphase kann das System in dieser Ausgestaltung aufwachbar bleiben. Beim nächsten Aufwachereignis wird die Stromversorgung des Mikrocontrollers wieder aktiviert. Wenn der Fehler behoben ist, funktioniert der Mikrocontroller normal.
  • Gemäß einer weiterführenden Weiterbildung wird bei einem permanenten Fehler, der auch im nächsten Laufzyklus noch besteht, Mikrocontrollereinheit permanent heruntergefahren und deaktiviert. Der Fehler wird dann durch einen Service, zum Beispiel in einer Werkstatt, behoben, zum Beispiel durch ein erneutes Aufspielen des Computerprogrammprodukts und/oder des Betriebssystems oder durch Austausch des Mikrocontrollers.
  • Ein erster unabhängiger Gegenstand betrifft ein Computerprogrammprodukt, mit einem computerlesbaren Speichermedium, auf dem Befehle eingebettet sind, die, wenn sie von wenigstens einem Prozessor ausgeführt werden, bewirken, dass der wenigstens eine Prozessor dazu eingerichtet ist, das Verfahren der vorgenannten Art auszuführen.
  • Das Verfahren kann auf einem oder auf mehreren Prozessoren verteilt ausgeführt werden, sodass bestimmte Verfahrensschritte auf dem einen Prozessor und andere Verfahrensschritte auf wenigstens einem weiteren Prozessor ausgeführt werden, wobei berechnete Daten sofern notwendig zwischen den Prozessoren übermittelt werden können.
  • Ein weiterer unabhängiger Gegenstand betrifft einen Mikrocontroller mit einem Computerprogrammprodukt der vorgenannten Art.
  • Ein weiterer unabhängiger Gegenstand betrifft ein Kraftfahrzeug mit einem Mikrocontroller der zuvor beschriebenen Art.
  • Weitere Vorteile, Merkmale und Einzelheiten ergeben sich aus der nachfolgenden Beschreibung, in der - gegebenenfalls unter Bezug auf die Zeichnung - zumindest ein Ausführungsbeispiel im Einzelnen beschrieben ist. Gleiche, ähnliche und/oder funktionsgleiche Teile sind mit gleichen Bezugszeichen versehen.
  • Es zeigen schematisch:
    • 1 eine Draufsicht auf ein Kraftfahrzeug, sowie
    • 2 eine Zeitdiagramm mit einer hier beschriebenen Wiederherstellungsroutine.
  • 1 zeigt eine Draufsicht auf ein Kraftfahrzeug 2.
  • Das Kraftfahrzeug 2 weist einen Mikrocontroller 4 auf. Der Mikrocontroller 4 weist einen Prozessor 6 sowie einen nicht-flüchtigen Speicher 8 auf. In dem nicht-flüchtigen Speicher 8 sind ein Betriebssystem sowie ein Computerprogrammprodukt abgelegt.
  • Das Computerprogrammprodukt beinhaltet Anweisungen zum Ausführen einer oder mehrerer Funktionen, die von dem Mikrocontroller gesteuert werden. Hierzu lädt der Prozessor 6 nach einem Start, zum Beispiel einem Start des Kraftfahrzeugs 2 oder wenn die entsprechende Funktion benötigt wird (zum Beispiel ein Lademanagementsystem beim Laden eines Elektrofahrzeugs), zunächst das Betriebssystem und anschließend das Computerprogrammprodukt. Mithilfe der geladenen Softwarekomponenten kann der Mikrocontroller 4 dann die entsprechende Funktion bzw. Funktionen ausführen. Hierzu kann der Mikrocontroller 4 mit anderen Komponenten, zum Beispiel Aggregaten wie Motoren oder dergleichen, und/oder Leuchtmitteln usw. verbunden sein.
  • Das Kraftfahrzeug 2 weist desweiteren eine zentrale Kraftfahrzeugsteuerung 10 auf, die mit dem Mikrocontroller 4 verbunden ist. Die Kraftfahrzeugsteuerung 10 überwacht die ordnungsgemäße Funktion des Mikrocontrollers 4 über verschiedene Maßnahmen, zum Beispiel Pingen des Mikrocontrollers 4 und Überwachen der Rückmeldung, regelmäßiges Auslesen eines Fehlerspeichers innerhalb des Speichers 8 und dergleichen mehr.
  • Sollte der Mikrocontroller 4 nicht ordnungsgemäß reagieren oder funktionieren, kann die Kraftfahrzeugsteuerung 10 die in 2 im Detail beschriebenen kaskadierenden Maßnahmen zur Rücksetzung des Mikrocontrollers 4 vornehmen.
  • Viele Fehler von Mikrocontrollern sind transiente Fehler, die sich durch Zurücksetzen einzelner Systemkomponenten, zum Beispiel des Computerprogrammprodukts bzw. der Anwendung, beheben lassen. Nur wenige Fehler sind bedingt durch Hardwarefehler wie zum Beispiel defekte Speicherareale im Speicher 8 oder Defekte im Prozessor oder Leitungsfehler.
  • 2 zeigt ein Zeitdiagramm mit kaskadierenden Maßnahmen zur Rücksetzung des Mikrocontrollers 4 aus 1.
  • Sobald eine Fehlfunktion des Mikrocontrollers 4 („MCU“) festgestellt wird, wird diese einem Anwendungsreset unterzogen. Dies ist durch einen nach unten weisenden Strich signalisiert, der eine ASIL-Aktion symbolisiert, vorliegend dem Anwendungsreset. Nach dem Reset wird in einer Qualitätsmanagementmaßnahme QM, dargestellt durch einen aufwärtsweisenden Strich, geprüft, ob der Fehler weiterhin vorliegt.
  • Sollte der Anwendungsreset nicht ausreichen, wird zur nächsten Rücksetzkaskade eskaliert („MCU Systemreset“), bei dem das Betriebssystem des Mikrocontrollers 4, zurückgesetzt wird.
  • Sollte auch dies keinen Erfolg zeigen, wird innerhalb der Kaskade weitereskaliert („MCU Warmstart“) und ein Neustart des Mikrocontrollers 4 versucht, bei dem der Mikrocontroller 4 weiterhin bestromt bleibt. Ein solcher Warmstart kann mehrere Male versucht werden, solange ein maximal tolerierbares Fehlerbehandlungs-Zeitintervall FHTI nicht überschritten ist.
  • Sobald das tolerierbare Fehlerbehandlungs-Zeitintervall FHTI erreicht ist, wird der Mikrocontroller in einer finalen Eskalationsstufe („MCU herunterfahren“) heruntergefahren und vom Stromnetz genommen, wodurch ein sicherer Zustand „S“ erreicht ist.
  • Nach einer vorgegebenen stromlosen Zeit, in der Zwischenspeicherzustände, zum Beispiel in Cache-Speichern, gelöscht sind, kann ein erneuter Start des Mikrocontrollers 4 versucht werden. Sollte dieser erfolglos bleiben, wird der Mikrocontroller 4 permanent abgeschaltet und eine Fehlermeldung in der Kraftfahrzeugsteuerung 10 hinterlegt und gegebenenfalls im Kraftfahrzeug 2 über eine Mensch-Maschine-Schnittstelle ausgegeben. Der Fehler ist dann im Rahmen eines Service zu beheben, bei dem der Mikrocontroller 4 entweder ausgetauscht oder der Speicher 8 geflasht wird und dabei Betriebssystem und Computerprogrammprodukt neu installiert werden oder ein Update des Computerprogrammprodukts erfolgt.
  • Obwohl die Erfindung im Detail durch bevorzugte Ausführungsbeispiele näher illustriert und erläutert wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen. Es ist daher klar, dass eine Vielzahl von Variationsmöglichkeiten existiert. Es ist ebenfalls klar, dass beispielhaft genannte Ausführungsformen wirklich nur Beispiele darstellen, die nicht in irgendeiner Weise als Begrenzung etwa des Schutzbereichs, der Anwendungsmöglichkeiten oder der Konfiguration der Erfindung aufzufassen sind. Vielmehr versetzen die vorhergehende Beschreibung und die Figurenbeschreibung den Fachmann in die Lage, die beispielhaften Ausführungsformen konkret umzusetzen, wobei der Fachmann in Kenntnis des offenbarten Erfindungsgedankens vielfältige Änderungen, beispielsweise hinsichtlich der Funktion oder der Anordnung einzelner, in einer beispielhaften Ausführungsform genannter Elemente, vornehmen kann, ohne den Schutzbereich zu verlassen, der durch die Ansprüche und deren rechtliche Entsprechungen, wie etwa einer weitergehenden Erläuterung in der Beschreibung, definiert wird.
  • Bezugszeichenliste
    • 2
    Kraftfahrzeug
    4
    Mikrokontroller
    6
    Prozessor
    8
    Speicher
    10
    Kraftfahrzeugsteuerung
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 20200278897 A1 [0005]

Claims (10)

  1. Verfahren zur Fehlerbehebung von mikrocontrollergesteuerten Anwendungen in einem Kraftfahrzeug, wobei ein Mikrocontroller (4) einen Prozessor (6) und einen nicht-flüchtigen computerlesbaren Speicher (8) aufweist, in dem ein Computerprogrammprodukt geladen ist und von dem Prozessor (6) ausgeführt wird, wobei eine Kontrolleinheit (10) die ordnungsgemäße Funktion der Anwendung überwacht, wobei die Kontrolleinheit (10) im Falle eines erkannten Fehlers in der Ausführung der Anwendung eine Rücksetzroutine für den Mikrocontroller (4) einleitet, dadurch gekennzeichnet, dass die Rücksetzroutine eine kaskadierende Reihe von Maßnahmen zur Rücksetzung des Mikrocontrollers (4) vorsieht, wobei die Maßnahmen wenigstens eine Rücksetzstufe enthalten, wobei nach jeder Rücksetzstufe die ordnungsgemäße Funktion des Mikrocontrollers (4) geprüft wird, wobei bei Wiederherstellung der ordnungsgemäßen Funktion des Mikrocontrollers (4) die kaskadierende Reihe von Maßnahmen zur Rücksetzung des Mikrocontrollers (4) abgebrochen wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die kaskadierende Reihe von Maßnahmen zur Rücksetzung des Mikrocontrollers (4) von kurzfristig umsetzbaren Maßnahmen zu länger dauernden Maßnahmen abgestuft ist.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die kaskadierende Reihe von Maßnahmen in einem Schritt ein Zurücksetzen des Computerprogrammprodukts vorsieht.
  4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass die kaskadierende Reihe von Maßnahmen in einem folgenden Schritt ein Zurücksetzen eines Betriebssystems des Mikrocontrollers (4) vorsieht.
  5. Verfahren nach Anspruch 3 oder 4, dadurch gekennzeichnet, dass die kaskadierende Reihe von Maßnahmen in einem folgenden Schritt einen Systemneustart unter Strom des Mikrocontrollers (4) vorsieht.
  6. Verfahren nach einem der Ansprüche 3 bis 5, dadurch gekennzeichnet, dass die kaskadierende Reihe von Maßnahmen in einem folgenden Schritt einen Systemneustart mit Stromunterbrechung des Mikrocontrollers (4) vorsieht.
  7. Verfahren nach einem der Ansprüche 3 bis 6, dadurch gekennzeichnet, dass die kaskadierende Reihe von Maßnahmen in einem folgenden Schritt ein Herunterfahren und Deaktivieren des Mikrocontrollers (4) vorsieht.
  8. Computerprogrammprodukt, mit einem computerlesbaren Speichermedium (8), auf dem Befehle eingebettet sind, die, wenn sie von wenigstens einem Prozessor (6) ausgeführt werden, bewirken, dass der wenigstens eine Prozessor (6) dazu eingerichtet ist, das Verfahren nach einem der vorangegangenen Ansprüche auszuführen.
  9. Mikrocontroller (4) mit einem Computerprogrammprodukt nach Anspruch 8
  10. Kraftfahrzeug mit wenigstens einem Mikrocontroller (4) nach Anspruch 9.
DE102023004853.4A 2023-11-25 2023-11-25 Verfahren zur Fehlerbehebung von sicherheitsrelevanten mikrocontrollergesteuerten Anwendungen in einem Kraftfahrzeug, sicherheitsrelevanten Computerprogrammprodukt, sicherheitsrelevanten Mikrocontroller, sowie Kraftfahrzeug Pending DE102023004853A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102023004853.4A DE102023004853A1 (de) 2023-11-25 2023-11-25 Verfahren zur Fehlerbehebung von sicherheitsrelevanten mikrocontrollergesteuerten Anwendungen in einem Kraftfahrzeug, sicherheitsrelevanten Computerprogrammprodukt, sicherheitsrelevanten Mikrocontroller, sowie Kraftfahrzeug

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102023004853.4A DE102023004853A1 (de) 2023-11-25 2023-11-25 Verfahren zur Fehlerbehebung von sicherheitsrelevanten mikrocontrollergesteuerten Anwendungen in einem Kraftfahrzeug, sicherheitsrelevanten Computerprogrammprodukt, sicherheitsrelevanten Mikrocontroller, sowie Kraftfahrzeug

Publications (1)

Publication Number Publication Date
DE102023004853A1 true DE102023004853A1 (de) 2024-02-22

Family

ID=89808859

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102023004853.4A Pending DE102023004853A1 (de) 2023-11-25 2023-11-25 Verfahren zur Fehlerbehebung von sicherheitsrelevanten mikrocontrollergesteuerten Anwendungen in einem Kraftfahrzeug, sicherheitsrelevanten Computerprogrammprodukt, sicherheitsrelevanten Mikrocontroller, sowie Kraftfahrzeug

Country Status (1)

Country Link
DE (1) DE102023004853A1 (de)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200278897A1 (en) 2019-06-28 2020-09-03 Intel Corporation Method and apparatus to provide an improved fail-safe system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200278897A1 (en) 2019-06-28 2020-09-03 Intel Corporation Method and apparatus to provide an improved fail-safe system

Similar Documents

Publication Publication Date Title
DE102012109614B4 (de) Verfahren zum Wiederherstellen von Stapelüberlauf- oder Stapelunterlauffehlern in einer Softwareanwendung
DE112010005400T5 (de) System für gegenseitige Überwachung von Mikrocomputern und ein Verfahren für gegenseitige Überwachung von Mikrocomputern
DE112018002176T5 (de) Anormalitätsbestimmungsvorrichtung, Anormalitätsbestimmungsverfahren und Anormalitätsbestimmungsprogramm
DE102015003194A1 (de) Verfahren und Vorrichtung zum Handhaben von sicherheitskritischen Fehlern
EP2513796B1 (de) Verfahren zum betreiben einer recheneinheit
EP1854007A2 (de) Verfahren, betriebssysem und rechengerät zum abarbeiten eines computerprogramms
EP2207097A1 (de) Verfahren und Vorrichtung zum Betreiben eines Steuergerätes
EP1810139B1 (de) Verfahren, betriebssystem und rechengerät zum abarbeiten eines computerprogramms
DE102008004205A1 (de) Schaltungsanordnung und Verfahren zur Fehlerbehandlung in Echtzeitsystemen
EP1807760B1 (de) Datenverarbeitungssystem mit variabler taktrate
DE102013021231A1 (de) Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät
EP3557356A1 (de) Verfahren und automatisierungssystem zum sicheren automatischen betrieb einer maschine oder eines fahrzeugs
DE10392916T5 (de) Selbsttestsystem
EP1359485B1 (de) Steuer- und Überwachungssystem
DE102008004206A1 (de) Anordnung und Verfahren zur Fehlererkennung und -behandlung in einem Steuergerät in einem Kraftfahrzeug
DE102023004853A1 (de) Verfahren zur Fehlerbehebung von sicherheitsrelevanten mikrocontrollergesteuerten Anwendungen in einem Kraftfahrzeug, sicherheitsrelevanten Computerprogrammprodukt, sicherheitsrelevanten Mikrocontroller, sowie Kraftfahrzeug
EP1812853B1 (de) Verfahren, betriebssystem und rechengerät zum abarbeiten eines computerprogramms
DE102013202961A1 (de) Verfahren zum Überwachen eines Stackspeichers in einem Betriebssystem eines Steuergeräts eines Kraftfahrzeuges
DE112016007535T5 (de) Steuereinrichtung und verarbeitungsverfahren im falle einer fehlfunktion der steuereinrichtung
DE102020108987A1 (de) Verfahren, System, Computerprogramm und Speichermedium zum fehlertoleranten Betreiben eines Fahrzeugs
DE3751374T2 (de) Verfahren und Mechanismus zum unabhängigen Sicherstellungsmodustransfer für digitale Steuerprozessoren.
DE102017212560A1 (de) Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion
DE102018219700B4 (de) Steuervorrichtung
DE102019218074B4 (de) Steuerung eines Fahrerassistenzsystems eines Kraftfahrzeugs
WO2018050491A1 (de) Überwachung von sicherheitsrelevanten funktionen durch eine nicht sichere recheneinheit

Legal Events

Date Code Title Description
R230 Request for early publication