DE10331873B4 - Verfahren zur Überwachung verteilter Software - Google Patents

Verfahren zur Überwachung verteilter Software Download PDF

Info

Publication number
DE10331873B4
DE10331873B4 DE10331873.9A DE10331873A DE10331873B4 DE 10331873 B4 DE10331873 B4 DE 10331873B4 DE 10331873 A DE10331873 A DE 10331873A DE 10331873 B4 DE10331873 B4 DE 10331873B4
Authority
DE
Germany
Prior art keywords
module
slave
master module
control unit
master
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE10331873.9A
Other languages
English (en)
Other versions
DE10331873A1 (de
Inventor
Gerit Edler Von Schwertfuehrer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE10331873.9A priority Critical patent/DE10331873B4/de
Priority to US10/888,099 priority patent/US7801963B2/en
Publication of DE10331873A1 publication Critical patent/DE10331873A1/de
Application granted granted Critical
Publication of DE10331873B4 publication Critical patent/DE10331873B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Abstract

Es werden ein Verfahren zur Überwachung verteilter Software sowie ein Computerprogramm und ein Computerprogrammprodukt vorgestellt. Bei dem Verfahren kommt die Software verteilt auf einer Anzahl von Recheneinheiten zur Ausführung. Dabei ist einer der Recheneinheiten ein Master-Modul und den anderen Recheneinheiten jeweils ein Slave-Modul zugewiesen. Die Überwachung wird durch eine Kommunikation im Master-Slave-Betrieb zwischen dem Master-Modul und den Slave-Modulen durchgeführt.

Description

  • Die Erfindung betrifft ein Verfahren zur Überwachung verteilter Software sowie ein Steuergerät und ein Computerprogramm zur Durchführung des Verfahrens.
  • Stand der Technik
  • Es sind unterschiedliche Konzepte bekannt, mit denen ein Steuergerät einzelfehlersicher bzw. eigensicher gestaltet werden kann. Bekannte ESP/ABS-Steuergeräte bspw. überwachen im 2-Rechner-Konzept, wobei die Funktionssoftware auf einem zweiten, meist identischen Rechner parallel gerechnet wird und die Ergebnisse beider Rechner miteinander verglichen werden. Diese Methode gilt als eigensicher. Sie ist jedoch durch den Einsatz von zwei Rechnern teuer.
  • Aus der DE 100 65 118 A1 , der DE 10113 917 A1 und der DE 100 56 408 C1 sind bereits Verfahren zur Absicherung von Software bekannt, die auf mehreren Rechnern verteilt zur Ausführung kommt.
  • Aus der Druckschrift DE 44 38 714 A1 sind ein Verfahren und eine Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs bekannt. Bei diesen wird zur Leistungssteuerung lediglich ein Rechenelement zur Durchführung von Steuerungsfunktionen und Überwachungsfunktionen eingesetzt. Dafür sind in dem Rechenelement wenigstens 2 voneinander unabhängige Ebenen festgelegt, wobei eine erste Ebene die Steuerfunktionen und eine zweite Ebene die Überwachungsfunktionen durchführt.
  • Eine weitere bekannte, günstige Möglichkeit, die Eigensicherheit eines Steuergeräts zu erreichen, ist die Überwachung im 3-Ebenenkonzept. Bei diesem wird der zweite Rechner durch ein günstigeres Überwachungsmodul ersetzt.
  • Aktuelle Motorsteuergeräte überwachen EGAS-Systeme gemäß dem 3-Ebenenkonzept. Dabei besteht das Motorsteuergerät aus einem sogenannten Funktionsrechner und einem Überwachungsmodul, dem sogenannten Watchdog. Der Funktionsrechner und das Überwachungsmodul kommunizieren über eine Frage-Antwort-Kommunikation und besitzen getrennte Abschaltpfade. Beim 3-Ebenenkonzept bezeichnet die Ebene 1 die eigentliche Funktionssoftware, die für den Motorbetrieb erforderlich ist. Die Ebene 1 wird auf dem Funktionsrechner ausgeführt. In Ebene 2, die ebenfalls auf dem Funktionsrechner ausgeführt wird, werden anhand eines vereinfachten Motormodells ein zulässiges Moment mit einem Motor-Istmoment verglichen. Die Ebene 2 wird in einem durch die Ebene 3 abgesicherten Hardwarebereich durchgeführt. Bestandteil der Ebene 3 sind der Befehlstest, die Programmablaufkontrolle, der A/D-Wandler-Test sowie zyklische und vollständige Speichertests. Bei aktuellen EGAS-Systemen befindet sich die gesamte Funktions- und Überwachungssoftware in einem Steuergerät.
  • Zu beachten ist, dass mit zunehmender Anzahl von Steuergeräten im Fahrzeug der Bedarf an steuergeräteübergreifender Software zur intelligenten, gesamtheitlichen Regelung verschiedener Systeme steigt.
  • Vorteile der Erfindung
  • Bei dem erfindungsgemäßen Verfahren zur Überwachung verteilter Software, die auf einer Anzahl von mindestens einem Steuergerät zugeordneten Recheneinheiten zur Ausführung kommt, wird einer der Recheneinheiten ein Master-Modul und den anderen Recheneinheiten jeweils ein Slave-Modul zugewiesen. Zur Überwachung wird zwischen dem Master-Modul und den Slave-Modulen eine Kommunikation im Master-Slave-Betrieb durchgeführt. Durch die Anordnung der Slave-Module nacheinander und da die Antwort eines Slave-Moduls gleichzeitig die Frage für das nachfolgende Salve-Modul darstellt, wird ein besonders einfaches Verfahren zur Überwachung aller Slave-Module angegeben. Das Master-Modul muss jeweils nur die Antwort des letzten Slave-Modul auswerten, um eine Fehlerreaktion im Fehlerfall auszulösen.
  • Das erfindungsgemäße Verfahren stellt ein gekapseltes Überwachungskonzept für sicherheitsrelevante Software dar, die auf verschiedene, miteinander vernetzte Steuergeräte aufgeteilt ist. Durch das Überwachungskonzept werden sicherheitsrelevante Einzelfehler im System erkannt, so dass eine beherrschbare Fahrzeugreaktion sichergestellt werden kann.
  • Mit dem erfindungsgemäßen Verfahren kann somit die Einzelfehlersicherheit eines Systems mit sicherheitsrelevanter, verteilter Software gewährleistet werden. Es können diejenigen Fehler erkannt werden, deren Erkennung auch mit dem vorstehend beschriebenen 3-Ebenenkonzept für ein Steuergerät möglich ist. Wesentliche Vorteile des erfindungsgemäßen Verfahrens sind die Flexibilität bei Hard- und Software und die erreichte Hardware-Unabhängigkeit. Durch die Strukturierung der Softwaremodule nach dem Master-Slave-Prinzip sind die Slave-Module auf Steuergeräten auch ohne Überwachungsmodule einsetzbar.
  • Ein weiterer Vorteil besteht in der freien Verteilungsmöglichkeit der Ebene-1-Software innerhalb des Steuergeräteverbunds. Durch eine modulare Struktur der Ebene-2-Software und die geeignete Gestaltung der Slave-Module ist eine freie Konfigurierbarkeit möglich. Außerdem ist das erfindungsgemäße Konzept nicht an eine bestimmte Anzahl von Steuergeräten gebunden. Es kann 0 bis n Slave-Module überwachen.
  • Die Überwachung kann bspw. erfolgen, indem die Slave-Module auf eine Anfrage des Master-Moduls entsprechende Antworten an das Master-Modul zurücksenden und diese Antworten zur Überprüfung eines einwandfreien Betriebs ausgewertet werden. Im Fehlerfalle wird dann typischerweise durch das Master-Modul eine Fehlerreaktion eingeleitet.
  • In einer möglichen Ausgestaltung des Verfahrens stellt das Master-Modul eine einzige Frage, die von allen Slave-Modulen gelesen und entsprechend beantwortet wird. Hierbei ist vorteilhaft, dass nur ein geringer Zeitverzug gegeben ist, bis die Antworten sämtlicher Slave-Module vorliegen. Im Fehlerfall ist zu erkennen, welches Slave-Modul defekt ist, so dass eine Abschaltung des gesamten Systems gegebenenfalls vermieden werden kann.
  • Vorzugsweise erfolgt eine Kommunikation zwischen dem Master-Modul und dem zugeordneten Steuergerät.
  • Die Recheneinheiten können einem Steuergerät oder mehreren Steuergeräten zugeordnet sein. Das erfindungsgemäße Konzept ist somit auch bei innerhalb eines Steuergeräts auf verschiedene Recheneinheiten bzw. Prozessoren aufgeteilter Software anwendbar.
  • Das Master-Modul und/oder die Slave-Module weisen typischerweise einen fixen und einen variablen Bestandteil auf.
  • Das erfindungsgemäße Computerprogramm umfasst Programmcodemittel, um alle Schritte des vorstehend beschriebenen erfindungsgemäßen Verfahrens durchzuführen, wenn dieses auf einem Computer oder einer Recheneinheit, insbesondere einer Recheneinheit in einem Steuergerät, bspw. einem Motorsteuergerät, durchgeführt wird.
  • Das erfindungsgemäße Computerprogrammprodukt weist diese Programmcodemittel auf, die auf einem computerlesbaren Datenträger gespeichert sind.
  • Weiter Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.
  • Es versteht sich, dass die vorstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
  • Die Erfindung ist anhand von Ausführungsbeispielen in der Zeichnung schematisch Dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnung ausführlich beschrieben.
    • 1 zeigt in einer schematischen Darstellung eine mögliche Anwendung des erfindungsgemäßen Verfahrens.
    • 2 zeigt einen bevorzugten Aufbau eines Slave-Moduls.
    • 3 zeigt einen bevorzugten Aufbau eines Master-Moduls.
  • Der in 1 dargestellte Anwendungsfall dient zur Überwachung auf ungewollte Beschleunigung eines mit einem EGAS-System ausgerüsteten Fahrzeugs. Analog ist dieses Konzept auch anwendbar für eine Überwachung einer ungewollten Verzögerung. Bei Hybridfahrzeugen kann bspw. der Elektromotor in das Konzept mit einbezogen werden. Eine Reihe weiterer Anwendungsmöglichkeiten des Konzepts, wie bspw. ein Steuergeräteverbund mit Zentralsteuergerät, ein Steuergeräteverbund mit Steuergerät für Elektromotor und/oder Steuergerät für Batterie, eine Überwachung auf ungewollte Verzögerung analog oder ungewollte Beschleunigung oder Verbindung der Überwachung auf ungewollte Verzögerung und ungewollte Beschleunigung, wobei kein weiteres Master-Modul erforderlich ist, sind realisierbar.
  • In 1 befindet sich das Master-Modul der Ebene 2 für den Anwendungsfall der Überwachung einer ungewollten Beschleunigung im Motorsteuergerät. In jedes weitere Steuergerät, dass sicherheitsrelevante Software des Vortriebspfades enthält, wird ein Ebene-2-Slave-Modul integriert. Die Verteilung der Ebene-2-Module erfolgt nach funktionalen Gesichtspunkten analog zu der Verteilung der Funktionssoftware.
  • In der Figur sind schematisch ein erstes Steuergerät 10, ein zweites Steuergerät 12 und ein Motorsteuergerät 14 dargestellt. Den beiden Steuergeräten 10 und 12 ist jeweils ein Slave-Modul und dem Motorsteuergerät 14 ein Master-Modul zugewiesen.
  • In dem ersten Steuergerät 10 ist eine erste Ebene 16 dargestellt, in der sowohl eine Funktionalität 18 als auch eine Überwachung 20 des Slave-Moduls erfolgt.
  • In dem zweiten Steuergerät 12 ist ebenfalls eine erste Ebene 22 mit einer Funktionalität 24 und Überwachung 26 dargestellt.
  • Das Motorsteuergerät 14 ist über eine Endstufe 28 mit einem Motor 30 verbunden. In dem Motorsteuergerät bzw. in einem dem Motorsteuergerät zugeordneten Funktionsrechner 32 ist eine erste Ebene 34 wiedergegeben, in der eine Funktionalität 36 eines der beiden Steuergeräte 10, 12 und eine Überwachung 38 durch das Master-Modul abläuft. Des Weiteren ist das Motorsteuergerät 14 mit einem Überwachungsmodul 40 mit integrierter Hardware 42 verbunden. In einer weiteren ersten Ebene 44 wird die Funktionalität des Motorsteuergeräts 14 zur Ausführung gebracht. In einer zweiten Ebene 46 erfolgt die Überwachung dieser Funktionalität.
  • Bei dem Überwachungskonzept auf ungewollte Beschleunigung ist wichtig, dass eine abgesicherte Abschaltmöglichkeit der Motorendstufen vorliegt. Es muss sichergestellt werden, dass im Fehlerfall zu jedem Zeitpunkt die Möglichkeit besteht, die leistungserhöhende Verbrennung im Motor zu verhindern. Dies wird erreicht, indem das System zu Beginn einen Abschaltpfadtest durchführt. Jedes Slave-Modul fordert nach der Initialisierung von dem Master-Modul eine Abschaltung der Zündendstufe an Das Master-Modul reicht diese Abschaltanforderung an das Motorsteuergerät 14 weiter und lässt sich den korrekten Empfang bestätigen. Bestätigt das Motorsteuergerät 14 den Empfang der Abschaltanforderung, kann davon ausgegangen werden, dass diese im Betrieb auch umgesetzt werden kann.
  • Das Master-Modul schickt nun eine Freigabe an die Slave-Module und der reguläre Programmablauf kann beginnen. Alternativ ist auch denkbar, im Notfall bspw. die Kupplung zu öffnen, um kein überschüssiges Moment an die Antriebsräder gelangen zu lassen. Dieser Abschaltpfad ist als Alternative denkbar, wenn z.B. das Motorsteuergerät 14 von einem anderen Hersteller stammt, das den Abschaltpfad so nicht zulässt. Der reguläre Betrieb ist durch zwei Frage- bzw. Antwort-Kommunikationen gekennzeichnet:
    • Die erste Frage/Antwort-Kommunikation findet zwischen dem Master-Modul und dem Motorsteuergerät statt. Dabei bezeichnet Pfeil 48 die Frage und Pfeil 50 die Antwort. Durch diese Frage/Antwort-Kommunikation werden Hardwarefehler sowie ein fehlerhafter Programmablauf des Master-Moduls erkannt. Dies ist insbesondere wichtig, da eine eventuell eingehende Abschaltanforderung an das Motorsteuergerät 14 sicher weitergeleitet werden muss. Im Fehlerfall leitet das Motorsteuergerät 14 eine Fehlerreaktion ein.
  • Die zweite Frage/Antwortkommunikation findet zwischen dem Mastermodul und den Slave-Modulen statt. Dabei bezeichnet Pfeil 52 die Frage des Master-Moduls an das Slave-Modul des zweiten Steuergeräts 12 und Pfeil 54 die Antwort des Slave-Moduls des ersten Steuergeräts 10 an das Master-Modul des Motorsteuergeräts 14. Ein Doppelpfeil 56 verdeutlicht, dass die Frage des Slave-Moduls des ersten Steuergeräts 10 der Antwort des Slave-Moduls des zweiten Steuergeräts entspricht.
  • Diese zweite Kommunikation ist notwendig, um die Ebene 2 der verteilten Software zu kapseln. Entsprechend der anderen Frage/Antwort-Kommunikation hat diese die Aufgabe, Hardwarefehler bei den Slave-Modulen und unkorrektes Abarbeiten der einzelnen Module festzustellen. Die Antwort eines Slave-Moduls stellt gleichzeitig die Frage die das folgende Slave-Modul dar. Die Antwort des letzten Slave-Moduls wird vom Master-Modul ausgewertet. Im Fehlerfall leitet das Master-Modul eine Fehlerreaktion ein.
  • In 2 ist der prinzipielle Aufbau eines Slave-Moduls, insgesamt mit der Bezugsziffer 60 bezeichnet, dargestellt. Dieses besteht aus einem fixen Anteil 62 und einem variablen Anteil 64. Der feste Anteil 62 dient zur Absicherung der Speicherbereiche (RAM und ROM) 66, die von dem gesamten Slave-Modul benutzt werden (zyklischer Test im Betrieb, kompletter Rest im Nachlauf), sowie den Abschaltpfadtest 68 und die sendenden 70 und empfangenden 72 Module. Die einzelnen Module der Ebene 2 werden als „Plug-Ins“ in die Programmablaufkontrolle 74 sowie in den Befehlstest 76 integriert.
  • In 3 ist das Konzept eines Master-Moduls 80 dargestellt. Das Master-Modul 80 besteht ähnlich den Slave-Modulen aus einem fixen Anteil 82 und einem variablen Anteil 84. Auch ein empfangendes Modul 86 ist vorgesehen. Der Speichertest entspricht dem der Slave-Module. Zentraler Bestandteil ist das Master-Modul 80 an sich. In diesem Programmteil wird die Frage/Antwort-Kommunikation mit den Slave-Modulen ausgewertet sowie an der mit dem Motorsteuergerät teilgenommen. Zusätzlich können Module der Ebene 2 als „Plug Ins“ wie bei den Slave-Modulen integriert werden.
  • Die Überwachung der A/D-Wandler erfolgt in einem speziellen Ebene-2-Modul in dem Steuergerät, wo über einen A/D-Wandler sicherheitsrelevante Informationeneingelesen werden. Im Falle der Überwachung auf ungewollte Beschleunigung ist dies insbesondere das Steuergerät, wo die Spannungen des Pedalwertgebers bzw. des Fahrpedalmoduls eingelesen werden. Die Einbindung des Moduls erfolgt analog zu den anderen Ebene-2-Modulen entweder im Master-Modul oder in einer der Slave-Module nach dem „Plug In“-Prinzip. Der Test der eines A/D-Wandlers kann z.B. durch das Leerlauftestimpulsverfahren durchgeführt werden, bei den softwareseitig die Eingangsspannung eines AS-Kanals zyklisch auf Low gezogen wird.
  • Der Informationsaustausch der verschiedenen Steuergeräte erfolgt über eine eigensichere Verbindung wie z.B. CAN, TTT, TTCAN usw. Dadurch können die Kommunikationswege im Zeit- und im Wertebereich überwacht werden.
  • Mit der Frage übermittelt der Master bspw. seinen Fehlerzählerstand. Unterschreitet der Fehlerzählerstand einen gewissen Schwellwert, streut ein Slave-Modul eine falsche Antwort ein, um zu testen, ob sich bei der nächsten Frage vom Master der Fehlerzählerstand um den entsprechenden Wert erhöht. Ist dies nicht der Fall, ist das Master-Modul defekt und das Slave-Modul sendet fortwährend falsche Antworten, die durch die Verkettung mit der Frage/Antwort-Kommunikation zwischen Master und Motorsteuergerät zu einer Fehlerreaktion im Master-Steuergerät führen.
  • Das in der Erfindungsmeldung beschriebene Überwachungskonzept für auf verschiedene Steuergeräte aufgeteilte Software ist ebenso anwendbar auf die Aufteilung von Software innerhalb eines Steuergeräts auf verschiedene Recheneinheiten bzw. Prozessoren. Das Konzept gilt auch für eine Kombination von mehreren Prozessoren innerhalb eines Steuergeräts und die Aufteilung auf verschiedene Steuergeräte.
  • Ist bspw. die zu überwachende Software auf zwei Prozessoren eines Steuergeräts verteilt, steuert einer der beiden Prozessoren die Endstufen an und kommuniziert mit dem Überwachungsmodul. Diesem Prozessor wird das Master-Modul der Überwachung zugeordnet. Auf dem anderen Prozessor wird die Funktionalität des Slave-Moduls implementiert. Die Verteilung der Ebene-2-Module auf Master und Slave-Modul geschieht analog zur Funktionssoftware. Die Kommunikation zwischen Master-Modul und Slave-Modul kann, da steuergeräteintern, z.B. auch über eine SPI-Schnittstelle geschehen (analog zur Kommunikation Prozessor-Überwachungsmodul), je nach Hardwarekonfiguration. Die Überwachung von sicherheitsrelevanten Steuergerätekomponenten, bspw. eines A/D-Wandlers, geschieht je nach Hardwarekonfiguration innerhalb des Master-Moduls oder des Slave-Moduls.

Claims (10)

  1. Verfahren zur Überwachung verteilter Software, die auf einer Anzahl von mindestens einem Steuergerät (10, 12, 14) zugeordneten Recheneinheiten zur Ausführung kommt, wobei einer der Recheneinheiten ein Master-Modul (80) und den anderen Recheneinheiten jeweils ein Slave-Modul (60) zugewiesen wird und zur Überwachung zwischen dem Master-Modul (80) und den Slave-Modulen (60) eine Kommunikation im Master-Slave-Betrieb durchgeführt wird indem die Slave-Module (60) auf eine Anfrage des Master-Moduls (80) entsprechende Antworten an das Master-Modul (80) zurücksenden und diese Antworten zur Überprüfung eines einwandfreien Betriebs ausgewertet werden, dadurch gekennzeichnet, dass mindestens zwei Slave-Module nacheinander angeordnet sind, dass die Antwort eines Slave-Modul auf die Frage des Master-Modul gleichzeitig die Frage an das folgende Slave-Modul darstellt und dass die Antwort des letzten Slave-Modul von dem Master-Modul ausgewertet wird, um im Fehlerfall eine Fehlerreaktion auszulösen.
  2. Verfahren nach Anspruch 1, bei dem das Master-Modul (80) eine Frage stellt, die von allen Slave-Modulen (60) gelesen und entsprechend beantwortet wird.
  3. Verfahren nach einem der Ansprüche 1 bis 2, bei dem eine Kommunikation zwischen dem Master-Modul (80) und dem zugeordneten Steuergerät (14) erfolgt.
  4. Verfahren nach einem der Ansprüche 1 bis 3, bei dem die Recheneinheiten einem Steuergerät (10, 12, 14) zugeordnet sind.
  5. Verfahren nach einem der Ansprüche 1 bis 3, bei dem die Recheneinheiten mehreren Steuergeräten (19, 12, 14) zugeordnet sind.
  6. Verfahren nach einem der Ansprüche 1 bis 5, bei dem das Master-Modul (80) einen fixen Anteil (82) und einen variablen Anteil (84) umfasst.
  7. Verfahren nach einem der Ansprüche 1 bis 6, bei dem die Slave-Module jeweils einen fixen Anteil (62) und einen variablen Anteil (64) umfassen.
  8. Verfahren nach einem der Ansprüche 1 bis 7, bei dem das Master-Modul (80) im Fehlerfalle eine Fehlerreaktion einleitet.
  9. Computerprogramm mit Programmcodemitteln, um alle Schritte eines Verfahrens nach einem der Ansprüche 1 bis 8 durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit, insbesondere einer Recheneinheit in einem Steuergerät (10, 12, 14), durchgeführt wird.
  10. Computerprogrammprodukt mit Programmcodemitteln, die auf einem computerlesbaren Datenträger gespeichert sind, um ein Verfahren nach einem der Ansprüche 1 bis 8 durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit in einem Steuergerät (10, 12, 14) durchgeführt wird.
DE10331873.9A 2003-07-14 2003-07-14 Verfahren zur Überwachung verteilter Software Expired - Fee Related DE10331873B4 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE10331873.9A DE10331873B4 (de) 2003-07-14 2003-07-14 Verfahren zur Überwachung verteilter Software
US10/888,099 US7801963B2 (en) 2003-07-14 2004-07-08 Method for monitoring distributed software

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10331873.9A DE10331873B4 (de) 2003-07-14 2003-07-14 Verfahren zur Überwachung verteilter Software

Publications (2)

Publication Number Publication Date
DE10331873A1 DE10331873A1 (de) 2005-02-17
DE10331873B4 true DE10331873B4 (de) 2022-09-01

Family

ID=34071664

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10331873.9A Expired - Fee Related DE10331873B4 (de) 2003-07-14 2003-07-14 Verfahren zur Überwachung verteilter Software

Country Status (2)

Country Link
US (1) US7801963B2 (de)
DE (1) DE10331873B4 (de)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7814198B2 (en) 2007-10-26 2010-10-12 Microsoft Corporation Model-driven, repository-based application monitoring system
DE102005034602B4 (de) * 2005-07-25 2015-07-16 Robert Bosch Gmbh Verfahren zum Betreiben eines Kraftfahrzeugs mit einer Brennkraftmaschine, Computerprogramm-Produkt, elektrisches Speichermedium für eine Steuer- und/oder Regeleinrichtung sowie Steuer- und/oder Regeleinrichtung für ein Kraftfahrzeug
US7970892B2 (en) * 2007-06-29 2011-06-28 Microsoft Corporation Tuning and optimizing distributed systems with declarative models
US8230386B2 (en) * 2007-08-23 2012-07-24 Microsoft Corporation Monitoring distributed applications
US8099720B2 (en) 2007-10-26 2012-01-17 Microsoft Corporation Translating declarative models
US7974939B2 (en) * 2007-10-26 2011-07-05 Microsoft Corporation Processing model-based commands for distributed applications
JP4454672B2 (ja) * 2008-06-13 2010-04-21 三菱電機株式会社 監視制御回路を有する車載電子制御装置
WO2011072662A1 (de) * 2009-12-18 2011-06-23 Conti Temic Microelectronic Gmbh Überwachungsrechner in einem steuergerät
JP5348040B2 (ja) * 2010-03-25 2013-11-20 株式会社デンソー 車両通信システム及び電子制御装置
US8380392B2 (en) 2010-04-19 2013-02-19 GM Global Technology Operations LLC Method to ensure safety integrity of a microprocessor over a distributed network for automotive applications
DE102011011755A1 (de) * 2011-02-18 2012-08-23 Conti Temic Microelectronic Gmbh Halbleiterschaltkreis und Verfahren in einem Sicherheitskonzept zum Einsatz in einem Kraftfahrzeug
DE102012104322B4 (de) * 2012-05-18 2013-11-28 Avl Software And Functions Gmbh Verfahren und Vorrichtung zum Überprüfen von wenigstens zwei Recheneinheiten
DE102012010896A1 (de) * 2012-06-01 2013-12-05 Volkswagen Aktiengesellschaft Verfahren und Vorrichtung zum Überprüfen eines verteilten, automotiven Steuergerätesystems
US9156357B2 (en) * 2013-09-11 2015-10-13 GM Global Technology Operations LLC Controller for an electric motor, and a method thereof
DE102013021231A1 (de) 2013-12-13 2015-06-18 Daimler Ag Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät
CN103777613B (zh) * 2014-01-26 2016-08-24 广州广电运通金融电子股份有限公司 主从信息实时交互方法以及系统
CN105119376B (zh) * 2015-09-09 2017-08-22 许继集团有限公司 一种基于常规采样goose跳闸模式的采样实现方法及装置
JP6979630B2 (ja) * 2018-01-17 2021-12-15 パナソニックIpマネジメント株式会社 監視装置、監視方法及びプログラム
SE542584C2 (en) * 2018-10-08 2020-06-09 Scania Cv Ab Method and control device for configuring a modular vehicle
US11422792B2 (en) 2019-10-09 2022-08-23 Toyota Motor North America, Inc. Management of transport software updates
US11169795B2 (en) * 2019-10-09 2021-11-09 Toyota Motor North America, Inc. Management of transport software updates

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4438714A1 (de) 1994-10-29 1996-05-02 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs
DE10056408C1 (de) 2000-11-14 2002-03-07 Bosch Gmbh Robert Vorrichtung zur Überwachung eines Prozessors
DE10065118A1 (de) 2000-12-28 2002-07-04 Bosch Gmbh Robert System und Verfahren zur Steuerung und/oder Überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbundes
DE10113917A1 (de) 2001-03-21 2002-09-26 Bosch Gmbh Robert Verfahren und Vorrichtung zur Überwachung von Steuereinheiten

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE121208T1 (de) * 1990-01-30 1995-04-15 Johnson Service Co Vernetztes betriebsmittelverwaltungssystem.
US6144992A (en) * 1997-05-09 2000-11-07 Altiris, Inc. Method and system for client/server and peer-to-peer disk imaging
US6327668B1 (en) * 1998-06-30 2001-12-04 Sun Microsystems, Inc. Determinism in a multiprocessor computer system and monitor and processor therefor
US6826564B2 (en) * 2000-07-10 2004-11-30 Fastforward Networks Scalable and programmable query distribution and collection in a network of queryable devices
US7174482B2 (en) * 2001-05-04 2007-02-06 Honeywell International Inc. Process control bus monitoring and analysis
US8180921B2 (en) * 2001-06-19 2012-05-15 Intel Corporation Method and apparatus for load balancing
CN1297116C (zh) * 2002-04-30 2007-01-24 国际商业机器公司 主从分布式通信系统中本地同步的方法和设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4438714A1 (de) 1994-10-29 1996-05-02 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs
DE10056408C1 (de) 2000-11-14 2002-03-07 Bosch Gmbh Robert Vorrichtung zur Überwachung eines Prozessors
DE10065118A1 (de) 2000-12-28 2002-07-04 Bosch Gmbh Robert System und Verfahren zur Steuerung und/oder Überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbundes
DE10113917A1 (de) 2001-03-21 2002-09-26 Bosch Gmbh Robert Verfahren und Vorrichtung zur Überwachung von Steuereinheiten

Also Published As

Publication number Publication date
US20050044214A1 (en) 2005-02-24
US7801963B2 (en) 2010-09-21
DE10331873A1 (de) 2005-02-17

Similar Documents

Publication Publication Date Title
DE10331873B4 (de) Verfahren zur Überwachung verteilter Software
DE19742716C5 (de) Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten
EP1600831B1 (de) Verfahren und Vorrichtung zur Überwachung mehrerer Steuergeräte mittels einer Frage-Antwort-Kommunikation
EP1339571A1 (de) Steuergerät für ein rückhaltesystem in einem kraftfahrzeug
EP2513456A1 (de) Überwachungsrechner in einem steuergerät
EP2513455A1 (de) Überwachungskonzept in einem steuergerät
EP1053153B1 (de) Verfahren zur behandlung von fehlern in einem elektronischen bremssystem und zugehörige vorrichtung
DE102008009652A1 (de) Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor
DE102015200121A1 (de) Verfahren zum Überwachen eines Bordnetzes
DE102020212414A1 (de) Verfahren zum Überwachen eines Bordnetzes eines Kraftfahrzeugs
DE10331872A1 (de) Verfahren zur Überwachung eines technischen Systems
DE102018220605A1 (de) Kraftfahrzeugnetzwerk und Verfahren zum Betreiben eines Kraftfahrzeugnetzwerks
DE102009050692B4 (de) Sicherheits-Kommunikationssystem zur Signalisierung von Systemzuständen
DE102008052322B4 (de) Integriertes Limp Home System
WO2005001692A2 (de) Verfahren und vorrichtung zur überwachung eines verteilten systems
DE102013221580A1 (de) Kopplungsvorrichtung und Verfahren zum Betreiben einer Kopplungsvorrichtung
DE102010044280A1 (de) Vorrichtung und Verfahren zur Regelung eines Doppelkupplungsgetriebes
DE102012209144A1 (de) Verfahren zur Überführung eines elektrischen Antriebsystems in einen sicheren Zustand und Anordnung zur Durchführung des Verfahrens
EP2435915B1 (de) Verringerung der reaktionszeit in einem system zur überwachung eines funktionsrechners
DE102015203250A1 (de) Sicherheitsvorrichtung und Verfahren zum Überführen eines Aktorsystems in einen sicheren Zustand, Aktorsystem und Verfahren zum Betreiben eines Aktorsystems
WO2020064574A1 (de) Kraftfahrzeug-steuergerät mit redundanter spannungsversorgung und entsprechendes kraftfahrzeug
DE102010002468A1 (de) Verfahren zum Stillsetzen einer von einem Steuergerät betriebenen Funktionseinheit in einem Kraftfahrzeug
DE102020129130B3 (de) Verfahren und System zu einem Sicherheitskonzept einer Wechselstrombatterie
DE102020105909B4 (de) Verfahren zum Betreiben eines Bordnetzes und ein Bordnetz
DE3701681A1 (de) Verfahren zum bidirektionalen signalaustausch zwischen einem rechnersystem und einem abfrageterminal und rechnersystem dafuer

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
8125 Change of the main classification

Ipc: G06F 11/30 AFI20051017BHDE

R084 Declaration of willingness to licence
R084 Declaration of willingness to licence

Effective date: 20150114

R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee