EP1886222A1 - Method for monitoring control devices - Google Patents

Method for monitoring control devices

Info

Publication number
EP1886222A1
EP1886222A1 EP06755061A EP06755061A EP1886222A1 EP 1886222 A1 EP1886222 A1 EP 1886222A1 EP 06755061 A EP06755061 A EP 06755061A EP 06755061 A EP06755061 A EP 06755061A EP 1886222 A1 EP1886222 A1 EP 1886222A1
Authority
EP
European Patent Office
Prior art keywords
event
monitoring
program
synchronous
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP06755061A
Other languages
German (de)
French (fr)
Inventor
Marco Gangi
Gerit Von Schwertfuehrer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of EP1886222A1 publication Critical patent/EP1886222A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/076Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/28Error detection; Error correction; Monitoring by checking the correct order of processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/86Event-based monitoring

Definitions

  • the present invention relates to a method for monitoring ECUs, a monitoring module for monitoring ECUs, a computer program with program code means and a computer program product with program code means.
  • Control unit monitoring usually takes place with a program sequence control for time-synchronized processes.
  • This program sequence check ensures that important parts of the program for the monitoring of the ECU are cycled in a defined time frame and in a defined sequence. Accordingly, the ECU monitoring is bound to a fixed schedule.
  • the invention relates to a method for carrying out a control unit monitoring, wherein a program sequence control for at least one event-synchronous process is implemented in the control unit monitoring.
  • the control unit monitoring is to be carried out in particular for a control unit which is designed to control, control, influence and the like of a system. It is provided that at least one event occurs for the system and / or within the system. Thus, the program flow control for the ECU monitoring is synchronized with the at least one event.
  • the ECU monitoring and the implemented program execution control can therefore an operation of the controller to be aligned, so that the control unit monitoring is performed in dependence and / or consideration of the at least one event.
  • Control units can be used in various mechatronic systems, such as commercial or commercial vehicles. These controllers can be used to control different systems for which the events occur and / or occur during operation. Thus, it is possible to consider various real operating conditions which may be characterized by the events in the ECU monitoring.
  • a program sequence check for at least one speed-synchronous process as a special event-synchronous process can be implemented in the control device monitoring.
  • the monitoring module according to the invention is designed for carrying out a control unit monitoring, wherein a program sequence control for at least one event-synchronous process is implemented in the control unit monitoring.
  • Program code means is designed to perform all the steps of the method according to the invention when the computer program is executed on a computer or in a corresponding arithmetic unit, in particular in the monitoring module according to the invention.
  • the computer program product according to the invention with program code means which are stored on a computer-readable data carrier carries out all steps of the method according to the invention when the computer program is executed on a computer or a corresponding computing unit, in particular in the monitoring module according to the invention.
  • FIG. 1 shows a schematic diagram of a program flow control for time-synchronous processes.
  • FIG. 2 shows a schematic representation of a diagram of a preferred embodiment of a program flow control for at least one event-synchronous process, which is implemented in a control device monitoring.
  • a program flow control 1 for time-synchronized processes is provided in conventional methods for monitoring the control unit.
  • the program flow control 1 in the present case comprises a task 3 (task), which comprises a plurality of processes 5, 1, 9, which are executed or executed in succession according to the program flow 2.
  • a first query 11 is first carried out as a function of a first control word: "MoCPFC_Set (checkword A)”. This is followed by an answer 13: “MoCPFC_Check ()”. Accordingly, in a further, in the course of the program flow 2 subsequent process 7 is a query 15, which is carried out in response to a second control word: "MoCPFC_Set (Checkword Z)", which is followed by a response 17 follows: “MoCPFC_Check ()”.
  • These queries 11, 15 and results of the responses 13, 17 are fed, as indicated by the curved arrows, to a file 19 "PFC state data for task". This file 19 contains a counter "MoCPFC_Counter”, question words “MoCPFC_Checkword”, checksums "MoCPFC Checksum” and partial answers
  • the program flow 2 reaches a final process 9 "MoCPFC”.
  • This final process 9 is terminated with a match 23 "MoCPFC End ()", between this match 23 and the file 19 as indicated by the curved double-headed arrow indicated, an exchange of information takes place.
  • this synchronization 23 is transferred from a file 25 for configuration data "PFC configuration data”, which is at the end of the program flow, start commands "MOCPFC_START_ID” and / or restart commands "MOCPFC_RESTART_ID”.
  • This program sequence check 1 ensures that important problem areas for the monitoring of the ECU are cyclically traversed in a defined time frame and in a defined sequence, here following the program flow 2.
  • a process 5, 7 or a program module is recognized as having been processed, if it is started correctly and terminated correctly.
  • a module frame for a process 5, 7 in the form of an initial processing, in this case a question 11, 15, and a finishing, in this case a response 13, 17, must satisfy the following conditions (A) to (D):
  • Each affected process 5, 7 or each affected module must be processed in a given time frame.
  • a processing of the program flow control 1 must be constantly active in order not to allow any errors within an editing grid.
  • a missing processing of one of the processes 5, 7 may not be replaced by a single or multiple processing of another process 7, 5 or module.
  • Control unit monitoring for time-synchronous processes requires that the program sections be executed in a time-synchronized manner and that reply messages are supplied to the database 19 in a time-synchronized and cyclical manner.
  • FIG. 2 shows a schematic illustration of a preferred embodiment of a program flow control 33 for time-synchronized processes 33, which is implemented in a control unit monitoring, for generating an answer from a time-synchronous sub-process 29 "t-snc sub-process A2" using a Plausible meter reading from an event-synchronous process 31 "n-sync. Process Al” within a program flow control 33.
  • an interruption 35 "interrupt” for an event-synchronous function part or event-synchronous process 31 an identifier "set flag” is set at the beginning 37 of a program code. Is at the end 39 of the
  • This counter is evaluated in the time-synchronous sub-process 29 or analyzed or evaluated. By comparing 41 a counter reading "check counter value" with event-dependent, applicable or applicable window limits, in the specific case with speed-dependent
  • window boundaries a plausibility 43 is carried out with respect to the count 41. These window boundaries must be applied or applied taking into account the expected call frequency of the event-synchronous process 31 and the time frame of the time-synchronous sub-process 29.
  • Answer 49 sent an answer for the event-synchronous function portion.
  • no reply contribution is sent, that is to say after debouncing An error reaction is executed.
  • the counter is reset to zero in the time-synchronous sub-process 29.
  • the presented method can be realized by deactivating event-synchronous processes 31, which contribute to the response 47 for the program execution control 33, by subsequent error reaction with debounced deactivation of an output stage of a control unit.
  • the defined error response mentioned above is a deactivation of a system to be controlled by the control unit after debouncing. In doing so, the system is transferred to a safe state.
  • a system may be an injection output stage for switching off an injection within a motor vehicle.
  • a result of the program flow control 33 enters as a partial answer in the question / answer communication with a monitoring module.
  • the method can be used with all control units in which a program sequence control is implemented for the control unit monitoring.

Abstract

The invention relates to a method for monitoring control devices, whereby a program flow control (33) for at least one event-synchronous process (31) is implemented into the control device monitoring. The inventive monitoring module is adapted to carry out a control device monitoring. The inventive module is characterized in that a program flow control (33) for at least one event-synchronous process (31) is implemented into the control device monitoring.

Description

Verfahren zur Steuergeräte-ÜberwachungControl device monitoring procedure
Die vorliegende Erfindung betrifft ein Verfahren zur Steuergeräte-Überwachung, ein Überwachungsmodul zur Steuergeräte-Überwachung, ein Computerprogramm mit Programmcodemitteln und ein Computerprogrammprodukt mit Programmcodemitteln .The present invention relates to a method for monitoring ECUs, a monitoring module for monitoring ECUs, a computer program with program code means and a computer program product with program code means.
Stand der TechnikState of the art
Eine Steuergeräte-Überwachung erfolgt üblicherweise mit einer Programmablaufkontrolle für zeitsynchrone Prozesse. Diese Programmablaufkontrolle stellt sicher, dass für die Steuergeräte-Überwachung wichtige Programmteile zyklisch in einem definierten Zeitraster und in einer definierten Reihenfolge durchlaufen werden. Demnach ist die Steuergeräte-Überwachung an ein zeitlich fest vorgegebenes Schema gebunden.Control unit monitoring usually takes place with a program sequence control for time-synchronized processes. This program sequence check ensures that important parts of the program for the monitoring of the ECU are cycled in a defined time frame and in a defined sequence. Accordingly, the ECU monitoring is bound to a fixed schedule.
Die DE 100 61 001 Al beschreibt ein Verfahren zur Steuerung von technischen Vorgängen. Dabei wird ein Steuerprogramm abgearbeitet, wobei das Steuerprogramm in mehrere Tasks unterteilt ist und jede Task mindestens einen Prozess umfasst. Einzelne Prozesse der Tasks werden hierbei in der Reihenfolge ihrer Abarbeitung gelistet. Ein während einer Abarbeitung des Steuerprogramms gespeicherter Prozessablauf ist somit vollständig reproduzierbar.DE 100 61 001 A1 describes a method for controlling technical processes. In this case, a control program is processed, wherein the control program is divided into several tasks and each task at least one process includes. Individual processes of the tasks are listed here in the order in which they are processed. A stored during a processing of the control program process flow is thus completely reproducible.
Vor diesem Hintergrund wird ein Verfahren mit den Merkmalen des Patentanspruchs 1, ein Überwachungsmodul mit den Merkmalen des Patentanspruchs 9, ein Computerprogramm mit den Merkmalen des Patentanspruchs 10 sowie ein Computerprogrammprodukt mit den Merkmalen des Patentanspruchs 11 vorgestellt.Against this background, a method with the features of claim 1, a monitoring module with the features of claim 9, a computer program with the features of claim 10 and a computer program product with the features of claim 11 is presented.
Vorteile der ErfindungAdvantages of the invention
Die Erfindung betrifft ein Verfahren zur Durchführung einer Steuergeräte-Überwachung, wobei in der Steuergeräte- Überwachung eine Programmablaufkontrolle für mindestens einen ereignissynchronen Prozess implementiert ist.The invention relates to a method for carrying out a control unit monitoring, wherein a program sequence control for at least one event-synchronous process is implemented in the control unit monitoring.
Mit diesem Verfahren ist es möglich, gängige zeitsynchrone Programmablaufkontrollen durch Implementierung der Programmablaufkontrolle für ereignissynchrone Prozesse in der Steuergeräte-Überwachung, die ein Schema zur Überwachung des Steuergeräts vorgeben kann, zu erweitern.With this method it is possible to extend common time-synchronous program execution controls by implementing the program flow control for event-synchronous processes in the ECU monitoring, which can specify a scheme for monitoring the control device.
Die Steuergeräte-Überwachung ist insbesondere für ein Steuergerät durchzuführen, das zur Regelung, Kontrolle, Beeinflussung und dergleichen eines Systems ausgebildet ist. Dabei ist vorgesehen, dass für das System und/oder innerhalb des Systems mindestens ein Ereignis eintritt. Somit erfolgt die Programmablaufkontrolle für die Steuergeräte-Überwachung synchron zu dem mindestens einen Ereignis. Die Steuergeräte-Überwachung und die implementierte Programmablaufkontrolle können demnach auf eine Funktionsweise des Steuergeräts ausgerichtet sein, so dass die Steuergeräte-Überwachung in Abhängigkeit und/oder Berücksichtigung des mindestens einen Ereignisses durchgeführt wird.The control unit monitoring is to be carried out in particular for a control unit which is designed to control, control, influence and the like of a system. It is provided that at least one event occurs for the system and / or within the system. Thus, the program flow control for the ECU monitoring is synchronized with the at least one event. The ECU monitoring and the implemented program execution control can therefore an operation of the controller to be aligned, so that the control unit monitoring is performed in dependence and / or consideration of the at least one event.
Steuergeräte können in unterschiedlichen mechatronischen Systemen, beispielsweise Kraft- oder Nutzfahrzeugen, zur Anwendung kommen. Mit diesen Steuergeräten können unterschiedliche Systeme, für die die Ereignisse während eines Betriebs eintreten und/oder ablaufen, gesteuert werden. Somit ist es möglich, verschiedene reale Betriebszustände, die durch die Ereignisse charakterisiert sein können, bei der Steuergeräte-Überwachung zu berücksichtigen .Control units can be used in various mechatronic systems, such as commercial or commercial vehicles. These controllers can be used to control different systems for which the events occur and / or occur during operation. Thus, it is possible to consider various real operating conditions which may be characterized by the events in the ECU monitoring.
In bevorzugter Ausführung kann in der Steuergeräte- Überwachung eine Programmablaufkontrolle für mindestens einen drehzahlsynchronen Prozess als spezieller ereignissynchroner Prozess implementiert sein.In a preferred embodiment, a program sequence check for at least one speed-synchronous process as a special event-synchronous process can be implemented in the control device monitoring.
Das erfindungsgemäße Überwachungsmodul ist zur Durchführung einer Steuergeräte-Überwachung ausgebildet, wobei in der Steuergeräte-Überwachung eine Programmablaufkontrolle für mindestens einen ereignissynchronen Prozess implementiert ist.The monitoring module according to the invention is designed for carrying out a control unit monitoring, wherein a program sequence control for at least one event-synchronous process is implemented in the control unit monitoring.
Das erfindungsgemäße Computerprogramm mitThe computer program according to the invention
Programmcodemitteln ist dazu ausgelegt, sämtliche Schritte des erfindungsgemäßen Verfahrens durchzuführen, wenn das Computerprogramm auf einem Computer oder in einer entsprechenden Recheneinheit, insbesondere in dem erfindungsgemäßen Überwachungsmodul, ausgeführt wird. Das erfindungsgemäße Computerprogrammprodukt mit Programmcodemitteln, die auf einem computerlesbaren Datenträger gespeichert sind, führt alle Schritte des erfindungsgemäßen Verfahrens durch, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit, insbesondere in dem erfindungsgemäßen Überwachungsmodul, ausgeführt wird.Program code means is designed to perform all the steps of the method according to the invention when the computer program is executed on a computer or in a corresponding arithmetic unit, in particular in the monitoring module according to the invention. The computer program product according to the invention with program code means which are stored on a computer-readable data carrier carries out all steps of the method according to the invention when the computer program is executed on a computer or a corresponding computing unit, in particular in the monitoring module according to the invention.
Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.Further advantages and embodiments of the invention will become apparent from the description and the accompanying drawings.
Es versteht sich, dass die voranstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.It is understood that the features mentioned above and those yet to be explained below can be used not only in the particular combination indicated, but also in other combinations or in isolation, without departing from the scope of the present invention.
Zeichnungdrawing
Die Erfindung ist anhand eines Ausführungsbeispiels in der Zeichnung schematisch dargestellt und wird im folgenden unter Bezugnahme auf die Zeichnung ausführlich beschrieben.The invention is illustrated schematically with reference to an embodiment in the drawing and will be described below in detail with reference to the drawings.
Figur 1 zeigt in schematischer Darstellung ein Diagramm zu einer Programmablaufkontrolle für zeitsynchrone Prozesse.FIG. 1 shows a schematic diagram of a program flow control for time-synchronous processes.
Figur 2 zeigt in schematischer Darstellung ein Diagramm einer bevorzugten Ausgestaltung einer Programmablaufkontrolle für mindestens einen ereignissynchronen Prozeß, die in einer Steuergeräte-Überwachung implementiert ist. Bei herkömmlichen Verfahren zur Steuergeräte-Überwachung ist eine Programmablaufkontrolle 1 für zeitsynchrone Prozesse vorgesehen. Diese folgt einem in dem Diagramm aus Figur 1 durch eine gestrichelte mäanderförmige Linie dargestellten Programmfluss 2, der nach einem zeitlich vorgegebenen Schema abläuft. Die Programmablaufkontrolle 1 umfasst im vorliegenden Fall eine Aufgabe 3 (Task) , die mehrere Prozesse 5, 1, 9 umfasst, die gemäß dem Programmfluss 2 nacheinander durchlaufen bzw. abgearbeitet werden.Figure 2 shows a schematic representation of a diagram of a preferred embodiment of a program flow control for at least one event-synchronous process, which is implemented in a control device monitoring. In conventional methods for monitoring the control unit, a program flow control 1 for time-synchronized processes is provided. This follows a program flow 2 represented in the diagram of FIG. 1 by a dashed meander-shaped line, which runs according to a timed pattern. The program flow control 1 in the present case comprises a task 3 (task), which comprises a plurality of processes 5, 1, 9, which are executed or executed in succession according to the program flow 2.
In einem ersten Prozess 5 wird zunächst in Abhängigkeit eines ersten Kontrollworts eine erste Abfrage 11 durchgeführt: "MoCPFC_Set (Checkword A) ". Darauf erfolgt eine Antwort 13: "MoCPFC_Check () " . Entsprechend erfolgt in einem weiteren, im Laufe des Programmflusses 2 nachfolgenden Prozesses 7 eine Abfrage 15, die in Abhängigkeit eines zweiten Kontrollworts durchgeführt wird: "MoCPFC_Set (Checkword Z)", worauf entsprechend eine Antwort 17 folgt: "MoCPFC_Check () " . Diese Abfragen 11, 15 sowie Ergebnisse der Antworten 13, 17 werden, wie durch die gebogenen Pfeile angedeutet, einer Datei 19 "PFC State data for task" zugeführt. Diese Datei 19 enthält einen Zähler "MoCPFC_Counter", Frageworte "MoCPFC_Checkword", Checksummen "MoCPFC Checksum" sowie TeilantwortenIn a first process 5, a first query 11 is first carried out as a function of a first control word: "MoCPFC_Set (checkword A)". This is followed by an answer 13: "MoCPFC_Check ()". Accordingly, in a further, in the course of the program flow 2 subsequent process 7 is a query 15, which is carried out in response to a second control word: "MoCPFC_Set (Checkword Z)", which is followed by a response 17 follows: "MoCPFC_Check ()". These queries 11, 15 and results of the responses 13, 17 are fed, as indicated by the curved arrows, to a file 19 "PFC state data for task". This file 19 contains a counter "MoCPFC_Counter", question words "MoCPFC_Checkword", checksums "MoCPFC Checksum" and partial answers
"MoCPFC PartResp" . Informationen für diese Datei 19 werden aus einem zusätzlichen Modul 21 "MoCCom Co proc()" zugeführt ."MoCPFC PartResp". Information for this file 19 is supplied from an additional module 21 "MoCCom Co proc ()".
Zum Abschluss der Abfrage 3 erreicht der Programmfluss 2 einen abschließenden Prozess 9 "MoCPFC". Dieser abschließende Prozess 9 wird mit einem Abgleich 23 "MoCPFC End ( ) " beendet, wobei zwischen diesem Abgleich 23 und der Datei 19, wie durch den gebogenen Doppelpfeil angedeutet, ein Austausch von Informationen erfolgt. Des weiteren werden diesem Abgleich 23 aus einer Datei 25 für Konfigurationsdaten "PFC configuration data", die am Ende des Programmflusses steht, Startbefehle "MOCPFC_START_ID" und/oder Neustartbefehle "MOCPFC_RESTART_ID" übergeben. Des weiteren erfolgt, wie durch den gebogenen Doppelpfeil angedeutet, zwischen dem Abgleich 23 und einer Datei 27 "MoCCom data", die Abfragenroutinen wie beispielsweise "MoCCom_stQueryNew", "MoCCom_Query" enthält, ein Austausch von Informationen.At the conclusion of the query 3, the program flow 2 reaches a final process 9 "MoCPFC". This final process 9 is terminated with a match 23 "MoCPFC End ()", between this match 23 and the file 19 as indicated by the curved double-headed arrow indicated, an exchange of information takes place. Furthermore, this synchronization 23 is transferred from a file 25 for configuration data "PFC configuration data", which is at the end of the program flow, start commands "MOCPFC_START_ID" and / or restart commands "MOCPFC_RESTART_ID". Furthermore, as indicated by the curved double-headed arrow, there is an exchange of information between the match 23 and a file 27 "MoCCom data" containing query routines such as "MoCCom_stQueryNew", "MoCCom_Query".
Diese Programmablaufkontrolle 1 stellt sicher, dass für die Steuergeräte-Überwachung wichtige Problemteile zyklisch in einem definierten Zeitraster und in einer definierten Reihenfolge, hier dem Programmfluss 2 folgend, durchlaufen werden. Ein Prozess 5, 7 bzw. ein Programmmodul ist als abgearbeitet erkannt, wenn es korrekt begonnen und korrekt beendet wird. Hierbei muss ein Modulrahmen für einen Prozess 5, 7 in Form einer Anfangsbearbeitung, in diesem Fall einer Frage 11, 15, und einer Endbearbeitung, in diesem Fall einer Antwort 13, 17, den nachfolgenden Bedingungen (A) bis (D) genügen:This program sequence check 1 ensures that important problem areas for the monitoring of the ECU are cyclically traversed in a defined time frame and in a defined sequence, here following the program flow 2. A process 5, 7 or a program module is recognized as having been processed, if it is started correctly and terminated correctly. Here, a module frame for a process 5, 7 in the form of an initial processing, in this case a question 11, 15, and a finishing, in this case a response 13, 17, must satisfy the following conditions (A) to (D):
(A) Jeder betroffene Prozess 5, 7 bzw. jedes betroffene Modul muss in einem vorgegebenen Zeitraster abgearbeitet werden. Eine Abarbeitung der Programmablaufkontrolle 1 muss ständig aktiv sein, um keine Fehler innerhalb eines Bearbeitungsrasters zu erlauben.(A) Each affected process 5, 7 or each affected module must be processed in a given time frame. A processing of the program flow control 1 must be constantly active in order not to allow any errors within an editing grid.
(B) Eine fehlende Abarbeitung eines der Prozesse 5, 7 darf durch eine ein- oder mehrfache Abarbeitung eines anderen Prozesses 7, 5 bzw. Moduls nicht ersetzt werden können.(B) A missing processing of one of the processes 5, 7 may not be replaced by a single or multiple processing of another process 7, 5 or module.
(C) Fehler innerhalb eines Programmablaufs wichtiger Programmteile müssen zu einer definierten Fehlerreaktion führen . (D) Die Programmablaufkontrolle 1 muss bei unterschiedlichen Fragen 11, 15 zu unterschiedlichen Antworten 13, 17 führen, um zu verhindern, dass eine einmalig korrekt durchlaufene Ablaufkontrolle ständig zur richtigen Antwort führt. Des weiteren muss eine Absicherung eines Speichers (ROM) in einem festgelegten Bereich gesondert erfolgen, um zu gewährleisten, dass ein Programmcode zwischen der Anfangs- und Endbearbeitung von Programmmodulen richtig ist.(C) Errors within a program sequence of important program parts must lead to a defined error reaction. (D) The program flow control 1 must lead to different answers 13, 17 in the case of different questions 11, 15 in order to prevent a once-correctly executed flow control from constantly leading to the correct answer. Further, memory (ROM) protection must be done separately in a specified area to ensure that program code between program module start and finish is correct.
Durch eine modulspezifische Festlegung von individuellen Modulerkennungen und deren ständiger, zyklischer Verarbeitung zur Bildung von Teilantworten auf Fragen eines separaten Hardware-Überwachungsmoduls können die voranstehend genannten Bedingungen bzw. Forderungen (A),By a module-specific determination of individual module identifications and their continuous, cyclical processing for the formation of partial answers to questions of a separate hardware monitoring module, the above-mentioned conditions or requirements (A),
(B) und (C) erfüllt werden. Ein Einbinden gestellter Fragen in die Programmablaufkontrolle 1 zur Antwortbildung erfüllt die letzte Forderung (D) .(B) and (C) are met. Including asked questions in the program flow control 1 for answer formation fulfills the last requirement (D).
Die Steuergeräte-Überwachung für zeitsynchrone Prozesse, wie in Figur 1 gezeigt, setzt voraus, dass die Programmteile zeitsynchron abgearbeitet und Antwortbeiträge zeitsynchron und zyklisch an die Datenbank 19 geliefert werden.Control unit monitoring for time-synchronous processes, as shown in FIG. 1, requires that the program sections be executed in a time-synchronized manner and that reply messages are supplied to the database 19 in a time-synchronized and cyclical manner.
Figur 2 zeigt in schematischer Darstellung eine bevorzugte Ausführungsform einer Programmablaufkontrolle 33 für zeitsynchrone Prozesse 33, die in eine Steuergeräte- Überwachung implementiert ist, zu einer Generierung eines Antwortbeitrags aus einem zeitsynchronen Sub-Prozess 29 "t- snc Sub-Prozess A2" unter Verwendung eines plausiblen Zählerstands aus einem ereignissynchronen Prozess 31 "n- sync. Prozess Al" innerhalb einer Programmablaufkontrolle 33. Ausgehend von einer Unterbrechung 35 "Interrupt" für einen ereignissynchronen Funktionsteil bzw. ereignissynchronen Prozess 31 wird am Anfang 37 eines Programmcodes eine Kennung "set Flag" gesetzt. Ist am Ende 39 desFIG. 2 shows a schematic illustration of a preferred embodiment of a program flow control 33 for time-synchronized processes 33, which is implemented in a control unit monitoring, for generating an answer from a time-synchronous sub-process 29 "t-snc sub-process A2" using a Plausible meter reading from an event-synchronous process 31 "n-sync. Process Al" within a program flow control 33. Starting from an interruption 35 "interrupt" for an event-synchronous function part or event-synchronous process 31, an identifier "set flag" is set at the beginning 37 of a program code. Is at the end 39 of the
Programmcodes des ereignissynchronen Prozesses 31 diese Kennung immer noch gesetzt, wird ein Zähler inkrementiert "increase counter" und die Kennung anschließend wieder zurückgesetzt "reset flag".Program codes of the event-synchronous process 31, this identifier is still set, a counter is incremented "increase counter" and the identifier then reset again "reset flag".
Dieser Zähler wird in den zeitsynchronen Sub-Prozess 29 evaluiert bzw. analysiert oder bewertet. Durch Vergleich 41 eines Zählerstands "check counter value" mit ereignisabhängigen, applizierbaren bzw. anwendbaren Fenstergrenzen, im speziellen Fall mit drehzahlabhängigenThis counter is evaluated in the time-synchronous sub-process 29 or analyzed or evaluated. By comparing 41 a counter reading "check counter value" with event-dependent, applicable or applicable window limits, in the specific case with speed-dependent
Fenstergrenzen, wird eine Plausibilisierung 43 hinsichtlich des Zählerstandes 41 durchgeführt. Diese Fenstergrenzen müssen unter Berücksichtigung der erwarteten Aufrufhäufigkeit des ereignissynchronen Prozesses 31 und des Zeitrasters des zeitsynchronen Sub-Prozesses 29 appliziert bzw. angewandt werden.Window boundaries, a plausibility 43 is carried out with respect to the count 41. These window boundaries must be applied or applied taking into account the expected call frequency of the event-synchronous process 31 and the time frame of the time-synchronous sub-process 29.
Nach der Plausibilisierung 43 erfolgt, wie in Figur 1 bereits vorgestellt, eine Abfrage 45 nach einem Kontrollwort "MoCPFC_Set (Checkword Z)" sowie eine entsprechende Antwort 47 "MoCPFC Check ()". Danach kann ein Zurücksetzen 49 "reset counter" des Zählerstands erfolgen. Falls der ereignissynchrone Zählerstand bezogen auf einen Arbeitspunkt, in diesem Fall der Drehzahl, plausibel ist, wird aus dem zeitsynchronen Sub-Prozess 29 gemäß derAfter the plausibility check 43, as already presented in FIG. 1, a query 45 for a check word "MoCPFC_Set (Checkword Z)" and a corresponding answer 47 "MoCPFC check ()" takes place. Thereafter, a reset 49 "reset counter" of the meter reading can take place. If the event-synchronous counter reading is plausible with respect to an operating point, in this case the rotational speed, the time-synchronous sub-process 29 is calculated according to the
Antwort 49 ein Antwortbeitrag für den ereignissynchronen Funktionsanteil gesendet. Bei einem unplausiblen Zählerstand bezogen auf den Arbeitspunkt wird kein Antwortbeitrag gesendet, d.h. nach einer Entprellung wird eine Fehlerreaktion ausgeführt. Nach dem Senden des Antwortbeitrags wird der Zähler im zeitsynchronen Sub- Prozess 29 wieder auf Null gesetzt.Answer 49 sent an answer for the event-synchronous function portion. In the case of an implausible counter reading relative to the operating point, no reply contribution is sent, that is to say after debouncing An error reaction is executed. After sending the response contribution, the counter is reset to zero in the time-synchronous sub-process 29.
Das vorgestellte Verfahren ist durch Deaktivierung von ereignissynchronen Prozessen 31, die einen Beitrag zu der Antwort 47 für die Programmablaufkontrolle 33 liefern, durch anschließende Fehlerreaktion bei entprellter Deaktivierung einer Endstufe eines Steuergeräts realisierbar.The presented method can be realized by deactivating event-synchronous processes 31, which contribute to the response 47 for the program execution control 33, by subsequent error reaction with debounced deactivation of an output stage of a control unit.
Bei der voranstehend erwähnten definierten Fehlerreaktion handelt es sich um eine nach einer Entprellung durchgeführten Deaktivierung eines durch das Steuergerät zu steuernden Systems . Hierbei wird das System in einen sicheren Zustand überführt. In einer möglichen Ausführungsform kann es sich bei einem derartigen System um eine Einspritzendstufe zur Abschaltung einer Einspritzung innerhalb eines Kraftfahrzeugs handeln.The defined error response mentioned above is a deactivation of a system to be controlled by the control unit after debouncing. In doing so, the system is transferred to a safe state. In one possible embodiment, such a system may be an injection output stage for switching off an injection within a motor vehicle.
Eine ordnungsgemäße Ausführung von Programmteilen der Steuergeräte-Überwachung wird für verschiedene Steuergeräte mit dem sogenannten MISR-Checksummen-Verfahren überwacht. Ein Ergebnis der Programmablaufkontrolle 33 geht als Teilantwort in die Frage-/Antwort-Kommunikation mit einem Überwachungsmodul ein.Proper execution of program parts of the ECU monitoring is monitored for various ECUs with the so-called MISR checksum method. A result of the program flow control 33 enters as a partial answer in the question / answer communication with a monitoring module.
Das Verfahren kann bei allen Steuergeräten eingesetzt werden, bei denen für die Steuergeräte-Überwachung eine Programmablaufkontrolle implementiert ist. The method can be used with all control units in which a program sequence control is implemented for the control unit monitoring.

Claims

Ansprüche claims
1. Verfahren zur Durchführung einer Steuergeräte- Überwachung, wobei in der Steuergeräte-Überwachung eine Programmablaufkontrolle (33) für mindestens einen ereignissynchronen Prozess (31) implementiert ist.A method for performing a controller monitoring, wherein in the controller monitoring a program flow control (33) for at least one event synchronous process (31) is implemented.
2. Verfahren nach Anspruch 1, für ein Steuergerät, das zur Steuerung eines Systems, für das mindestens ein2. The method of claim 1, for a control device that is used to control a system for at least one
Ereignis eintritt, ausgebildet ist, wobei die Steuergeräte- Überwachung synchron zu dem mindestens einen Ereignis durchgeführt wird.Event occurs, is formed, wherein the ECU monitoring is performed synchronously to the at least one event.
3. Verfahren nach Anspruch 1 oder 2, bei dem in dem ereignissynchronen Prozess (31) am Anfang (37) eines Programmcodes eine Kennung gesetzt wird, und bei dem die Kennung am Ende (39) des Programmcodes überprüft wird, und, falls die Kennung gesetzt ist, ein Zähler inkrementiert und die Kennung anschließend wieder zurückgesetzt wird.3. The method of claim 1 or 2, wherein in the event synchronous process (31) at the beginning (37) of a program code is set an identifier, and in which the identifier at the end (39) of the program code is checked, and if the identifier is set, a counter is incremented and the identifier is subsequently reset.
4. Verfahren nach Anspruch 3, bei dem der Zähler in mindestens einem zeitsynchronen Sub-Prozess (29) evaluiert wird.4. The method of claim 3, wherein the counter is evaluated in at least one time-synchronous sub-process (29).
5. Verfahren nach Anspruch 4, bei dem ereignisabhängige Fenstergrenzen unter Berücksichtigung einer zu erwartenden Aufrufhäufigkeit des mindestens einen ereignissynchronen Prozesses (31) und einem Zeitraster des mindestens einen zeitsynchronen Sub-Prozesses (29) appliziert werden.5. The method of claim 4, wherein the event-dependent window boundaries taking into account an expected call frequency of at least one event-synchronous Process (31) and a time grid of at least one time-synchronous sub-process (29) are applied.
6. Verfahren nach Anspruch 5, bei dem ein Zählerstand mit ereignisabhängigen Fenstergrenzen verglichen und eine6. The method of claim 5, wherein a count compared with event-dependent window boundaries and a
Plausibilitätsprüfung (43) durchgeführt wird, wobei in Abhängigkeit eines Ergebnisses der Plausibilitätsprüfung (43) ein Antwortbeitrag für einen ereignissynchronen Prozess (31) gesendet oder eine Fehlerreaktion ausgeführt wird.Plausibility check (43) is performed, depending on a result of the plausibility check (43) sent an answer to an event-synchronous process (31) or an error response is performed.
7. Verfahren nach Anspruch 6, bei dem der Zähler nach Senden des Antwortbeitrags auf Null gesetzt wird.7. The method of claim 6, wherein the counter is set to zero after sending the response contribution.
8. Verfahren nach einem der voranstehenden Ansprüche, bei dem in der Steuergeräte-Überwachung eine Programmablaufkontrolle (33) für mindestens einen drehzahlsynchronen Prozess implementiert ist.8. The method according to any one of the preceding claims, wherein in the control device monitoring a program flow control (33) is implemented for at least one speed-synchronous process.
9. Überwachungsmodul, das zur Durchführung einer9. Monitoring module used to carry out a
Steuergeräte-Überwachung ausgebildet ist, wobei in der Steuergeräte-Überwachung eine Programmablaufkontrolle (33) für mindestens einen ereignissynchronen Prozess (31) implementiert ist.ECU monitoring is formed, wherein in the ECU monitoring a program flow control (33) for at least one event-synchronous process (31) is implemented.
10. Computerprogramm mit Programmcodemitteln, um alle Schritte eines Verfahrens nach einem der Ansprüche 1 bis 8 durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit, insbesondere in einem Überwachungsmodul nach Anspruch 9, ausgeführt wird.10. Computer program with program code means to perform all the steps of a method according to any one of claims 1 to 8, when the computer program on a computer or a corresponding processing unit, in particular in a monitoring module according to claim 9, is executed.
11. Computerprogrammprodukt mit Programmcodemitteln, die auf einem computerlesbaren Datenträger gespeichert sind, um alle Schritte eines Verfahrens nach einem der Ansprüche 1 bis 8 durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit, insbesondere in einem Überwachungsmodul nach Anspruch 9, ausgeführt wird. A computer program product comprising program code means stored on a computer readable medium for carrying out all the steps of a method according to any one of claims 1 to perform 8, when the computer program on a computer or a corresponding processing unit, in particular in a monitoring module according to claim 9, is executed.
EP06755061A 2005-05-09 2006-05-08 Method for monitoring control devices Withdrawn EP1886222A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE200510021986 DE102005021986A1 (en) 2005-05-09 2005-05-09 Control device monitoring procedure
PCT/EP2006/062113 WO2006120174A1 (en) 2005-05-09 2006-05-08 Method for monitoring control devices

Publications (1)

Publication Number Publication Date
EP1886222A1 true EP1886222A1 (en) 2008-02-13

Family

ID=36914926

Family Applications (1)

Application Number Title Priority Date Filing Date
EP06755061A Withdrawn EP1886222A1 (en) 2005-05-09 2006-05-08 Method for monitoring control devices

Country Status (5)

Country Link
US (1) US8806443B2 (en)
EP (1) EP1886222A1 (en)
CN (1) CN100565462C (en)
DE (1) DE102005021986A1 (en)
WO (1) WO2006120174A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013205581A1 (en) 2013-03-28 2014-10-02 Lemförder Electronic GmbH Method and monitoring device for sequence control of at least one process for a control device

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007015369A1 (en) * 2006-12-29 2008-07-03 Endress + Hauser Gmbh + Co. Kg Critical functions logical program flow monitoring method for use in measuring device of automation and processing control technique, involves storing actually lying identification symbols as predecessor signature for monitoring cycle
DE102016203852A1 (en) 2016-03-09 2017-09-14 Robert Bosch Gmbh Method for operating a control device for a motor vehicle

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2793993B2 (en) * 1990-04-05 1998-09-03 株式会社ゼクセル Program runaway detection method in microcomputer
US5408650A (en) * 1993-06-29 1995-04-18 Digital Equipment Corporation Memory analysis system for dynamically displaying memory allocation and de-allocation events associated with an application program
US5768152A (en) * 1996-08-28 1998-06-16 International Business Machines Corp. Performance monitoring through JTAG 1149.1 interface
US6076026A (en) * 1997-09-30 2000-06-13 Motorola, Inc. Method and device for vehicle control events data recording and securing
DE19946031A1 (en) 1999-09-25 2001-03-29 Bosch Gmbh Robert Control-program-based control internal combustion engine fuel-injection timing, involves dividing control program into several tasks for carrying out at precisely defined times
DE10061001B4 (en) 2000-12-08 2005-05-04 Robert Bosch Gmbh Method and control unit for controlling technical processes in a motor vehicle, and storage element and control program therefor
US7448025B2 (en) * 2000-12-29 2008-11-04 Intel Corporation Qualification of event detection by thread ID and thread privilege level
US6754854B2 (en) * 2001-06-04 2004-06-22 Motorola, Inc. System and method for event monitoring and error detection
US7412693B2 (en) * 2004-03-05 2008-08-12 Sun Microsystems, Inc. Method and apparatus for determining frequency of execution for compiled methods within a virtual machine
US7974793B2 (en) * 2007-08-31 2011-07-05 Siemens Industry, Inc. Systems, and/or devices to control the synchronization of diagnostic cycles and data conversion for redundant I/O applications

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2006120174A1 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013205581A1 (en) 2013-03-28 2014-10-02 Lemförder Electronic GmbH Method and monitoring device for sequence control of at least one process for a control device

Also Published As

Publication number Publication date
CN101171575A (en) 2008-04-30
CN100565462C (en) 2009-12-02
US8806443B2 (en) 2014-08-12
US20090254200A1 (en) 2009-10-08
WO2006120174A1 (en) 2006-11-16
DE102005021986A1 (en) 2006-11-16

Similar Documents

Publication Publication Date Title
EP2619667A1 (en) Method for monitoring at least two microcontrollers
WO2008040641A2 (en) Method and device for error management
EP1479003B1 (en) Method and device for controlling the functional unit of a motor vehicle
EP0886823B1 (en) Method of checking the operability of a computing unit
DE19509150A1 (en) Method of controlling vehicle brake units
WO2012143217A1 (en) Control device having a digital interface
WO2006120174A1 (en) Method for monitoring control devices
DE102009051720A1 (en) Commissioning procedure
DE3926377C2 (en) Electronic control device for an internal combustion engine
DE102008039564A1 (en) Method for processing tasks and system with a first and a second control device
DE102010041437A1 (en) Checking functions of a control system with components
EP2387660B1 (en) Method for performing a number of injections
WO2005001692A2 (en) Method and device for monitoring a distributed system
EP1733284A2 (en) Control system for operating functions on interacting appliances
DE102020213323A1 (en) Data processing network for data processing
DE102012004925B4 (en) Method for starting up a function of a component of a vehicle and corresponding component, compound of components and vehicle
EP1894790B1 (en) Method for synchronising networked control devices
EP2013731A1 (en) Circuit arrangement, and method for the operation of a circuit arrangement
DE10146781B4 (en) Method and device for monitoring the activation of an actuating element
EP1832057B1 (en) Process for compilation of error entries
WO2023066624A1 (en) Data processing network for performing data processing
DE10228064B4 (en) Method, real-time computing device and initialization program for Teilinitialisierung a run on the computing device computer program
DE102020215332A1 (en) Method for performing a computation on two different computational units
DE102018123410A1 (en) Method and device for monitoring an engine control
DE10038772A1 (en) Process and device for processing process steps

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20071210

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC NL PL PT RO SE SI SK TR

17Q First examination report despatched

Effective date: 20080530

DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20160715