WO2010046200A1 - Method for monitoring the functionality of an electronic module - Google Patents

Method for monitoring the functionality of an electronic module Download PDF

Info

Publication number
WO2010046200A1
WO2010046200A1 PCT/EP2009/062522 EP2009062522W WO2010046200A1 WO 2010046200 A1 WO2010046200 A1 WO 2010046200A1 EP 2009062522 W EP2009062522 W EP 2009062522W WO 2010046200 A1 WO2010046200 A1 WO 2010046200A1
Authority
WO
WIPO (PCT)
Prior art keywords
electronic
electronic component
comparator
test pattern
fpga
Prior art date
Application number
PCT/EP2009/062522
Other languages
German (de)
French (fr)
Inventor
Tobias Stumber
Dietmar Merten
Michael Smuda Von Trzebiatowski
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Publication of WO2010046200A1 publication Critical patent/WO2010046200A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1479Generic software techniques for error detection or fault masking
    • G06F11/1487Generic software techniques for error detection or fault masking using N-version programming
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • B60W2050/041Built in Test Equipment [BITE]

Definitions

  • the invention relates to a method for monitoring the functionality of an electronic component in a control unit, such a control unit and a computer program and a computer program product for carrying out the method.
  • Electronic control units are used in motor vehicles in various areas to control and / or regulate various processes. That is how it is
  • control devices in devices for driving state recognition known in which different sizes, such as.
  • the steering angle speed, but also optical signals or image signals are recorded and evaluated to detect a critical driving condition.
  • the publication DE 10 2005 057 267 A1 describes a method and a device for driving state recognition, in which the course of a signal characterizing the driving state is evaluated and in a typical course a signal characterizing the driving state is generated.
  • the device in this case has an electronic control unit, which consists essentially of components such as input circuit, computer and output circuit, wherein the individual components are connected for mutual data and information exchange with a bus system.
  • an electronic control unit which consists essentially of components such as input circuit, computer and output circuit, wherein the individual components are connected for mutual data and information exchange with a bus system.
  • a video camera is used, which is connected to the input circuit.
  • video-based driver assistance systems have a very high resource requirement due to the complexity of the environment. This is also reflected in the hardware used.
  • ISO 26262 is an intended ISO standard for automotive safety-related systems that defines a process framework and process model together with required activities and work products as well as applicable methods.
  • the implementation of the standard is intended to ensure the functional safety of an electronic system in motor vehicles.
  • hazard analysis and risk assessment method that identifies potentially dangerous situations based on the system description.
  • Each hazard is then classified with a safety requirement level from A to D or classified as non-safety relevant.
  • the level of injury, the frequency of the situation and the value of the situation by the driver must be estimated individually for each identified hazard.
  • the classification QM (quality managed) or ASIL (automotive safety integrity level) A to D can then be read for each hazard.
  • the standard addresses the protection of systems in the automotive sector, if it can come through a failure of the hardware or by software implementation errors in the technical sense to a hazard. Functional inadequacies, which, for example, result from inadequate detection of the surroundings, are not addressed by the standard. If necessary, these must be addressed via further measures outside the standard.
  • the software has a negligible error in understanding the standard if it is developed according to the processes of the standard. This safety concept shows the protection of E / E / PES systems in the sense of the standard. This protection is generally driven by the hardware.
  • errors are u.a. permanently random errors, such as a defective RAM cell, systematic errors, such as, for example, an incorrectly designed operating temperature, transient errors, such as, for example, a single event upset (bit dump). These errors can affect program and data.
  • the specifications are that the system under consideration is fail-safe, ie that switching off the system in the event of a fault is always safe. In addition, an error that leads to failure of any communication (fail-silent), also in the safe state.
  • the method according to the invention serves to monitor the operability of an electronic component in a motor vehicle.
  • a quantity relating to a driving state of the motor vehicle is supplied to the electronic module as an input signal for processing.
  • An output signal from the The electronic module is forwarded to an electronic processing unit in which the output signal is processed further with diverse software algorithms, the outputs of the diversified software algorithms being compared in a comparator.
  • two software algorithms are used whose outputs are compared in the comparator.
  • the control unit with the electronic component is used, for example, in a video-based driver assistance system in which a driving condition monitoring is performed.
  • the electronic module an image signal can be supplied as an input signal.
  • the electronic component which is designed, for example, as FPGA (field programmable gate array: locally modifiable logic module), can be monitored with a test coverage of, for example, more than 90%.
  • the electronic component is additionally supplied with a test pattern, which is processed in the electronic component.
  • the processed test pattern is then forwarded to the electronic processing unit.
  • the processed test pattern and the output signal can be processed separately in the electronic processing unit, for example a microcontroller.
  • test pattern verification In the electronic processing unit, a test pattern verification can be performed. A failure of the test pattern analysis regularly leads to an error.
  • the functionality of the comparator is monitored.
  • SCON safety controller
  • the described control unit for a motor vehicle is used in particular for carrying out a method of the type described above.
  • This has an electronic component, for example an FPGA, and an electronic processor, for example a microcontroller, wherein the electronic component is designed for receiving and processing a driving condition of the motor vehicle size and the electronic processing unit is designed for further processing of an output signal of the electronic component.
  • di- versitive software algorithms are used for further processing in the electronic processing unit.
  • a comparator is also provided which is adapted to compare outputs of the diversified software algorithms.
  • a safety device for monitoring the comparator for example a hardware-independent SCON, is provided.
  • the presented computer program comprises program code means for carrying out all the steps of a method described above when the computer program is executed on a computer or a corresponding computing unit, in particular in a control unit of the type described.
  • the computer program product comprises these program code means which are stored on a computer-readable data carrier in order to carry out all the steps of a presented method when the computer program is stored on a computer-readable data carrier
  • the presented method has, at least in some of the embodiments set out, a number of advantages.
  • a generic monitoring of the electronic component and thus an FPGA without the use of explicit hardware properties of the FPGA can be performed.
  • the use of divergent algorithms in the electronic arithmetic unit greatly simplifies the complex self-diagnosis of the arithmetic unit at a high level of abstraction. Therefore, even complex microcontrollers can be used in an ASIL-B control unit.
  • existing hardware concepts can be used for both QM and ASIL A / B.
  • Figure 1 shows a schematic representation of an embodiment of a control device.
  • Figure 2 shows a schematic representation of a hardware concept of a device for detecting the driving condition.
  • Figure 3 shows a block diagram of the structure of the software in a device for driving condition detection.
  • FIG. 4 shows the transition from an uncritical to a critical transient error.
  • FIG. 5 shows a system concept for a control unit for driving state detection.
  • FIG. 6 illustrates the detection of permanent FPGA errors.
  • FIG. 7 shows a possible comparator concept.
  • control unit 10 has an electronic
  • Module 12 in this case an FPGA, and an electronic processing unit 14, in this embodiment, a microcontroller on. Furthermore, a comparator 16 and a controller 18 for monitoring the comparator 16 are provided in the control unit 10. In the electronic module 12, an area 20 for storing an algorithm and a generator 22 for generating a test pattern is provided.
  • a first region 24 for a first algorithm, a second region 26 for a second algorithm, and a third region 28 for a test pattern verification are provided in the electronic unit 14.
  • An imager 30 passes captured image signals to the electronic device 12. In the data flow of the image signals before the processing by the electronic module 12 test pattern both before and after the relevant
  • Input image data The test patterns are processed by the module 12 without special treatment.
  • the result of the calculations can be stored in a block RAM (not shown) between the block 12 and the arithmetic unit 14. In this case, it is not relevant whether the module 12 and the computing unit 14 are separate or integrated components.
  • the results of the block 12 are processed separately according to image and test pattern in the arithmetic unit 14.
  • a test pattern verification compares the block 12 result of the test pattern with known setpoints.
  • the comparator 16 represents the single-point failure of the arithmetic unit 14. In this, the two diverse software channels are compared and given a detected equivalence on a vehicle bus 32. The comparator 16 is monitored by the hardware-independent SCON (safety controller).
  • FIG. 2 shows a schematic representation of a device for FahrSchser- recognition is shown.
  • This device designated by the reference numeral 50, includes a power port 52 which is connected to the electrical system of the
  • Vehicle (arrow 54), a controller 56, a nonvolatile memory (NVM) memory 58, an FPGA 60, an imager 62, a block memory 64 and a lens unit 70.
  • Incident light 72 is detected by the lens unit 70 and relayed to the imager 62.
  • the imager 62 passes image data to the FPGA 60, as indicated by arrow 74.
  • the FPGA 60 includes a logic unit 76, an embedded core 78 and an area 80 for storing the algorithms. Furthermore, the FPGA 60 is connected to the block memory 64, and the NVM memory 58. To the outside, the FPGA 60 communicates with an on-board CAN bus (double arrow 82) and via the controller 56 with another fieldbus system (double arrow 86), for example a FlexRay.
  • an on-board CAN bus double arrow 82
  • another fieldbus system double arrow 86
  • FIG. 3 shows a block diagram of the structure of the software used in a driving state identification device. External data is contained in a first block 100, in a second block the data and programs of the driver condition detection device and in a third block
  • Block 104 the output data.
  • the external data includes image sensor data 106 and vehicle sensor data 108.
  • the image sensor data 106 is passed to the FPGA 110, where image preprocessing and data reduction is performed (block 1 12).
  • a microcontroller 1 14 is further provided. This captures the image data of the FPGA 1 10 and performs object formation in the image plane (block 1 16).
  • the vehicle sensor data 108 is used in addition to the real object formation (block 1 18) and the state estimation (block 120).
  • the FPGA 1 10 in the context of the considered function thus serves the data reduction at the level of low-level image processing. From the point of view of the FPGA 1 10, every picture is completely new and without reference to previous pictures.
  • Transient errors in the data flow of the FPGA 1 10 correspond to the general sensor noise.
  • the processing of noisy input signals is a functional requirement for the algorithms.
  • the implemented security concept therefore focuses on the detection of permanent faults of the FPGA 1 10.
  • the algorithmic logic of the object formation is calculated in the microcontroller 14. In this case, not only a single image evaluation, as is the case with the FPGA 1 10 carried out. Due to the temporal correlation, it is not possible to neglect transient errors.
  • the detection of transient and permanent errors is addressed by the security concept.
  • FIG. 4 illustrates the transition from an uncritical to a critical transient error.
  • a two-dimensional image plane 150 is juxtaposed with a real environment 152.
  • a region 154 shows non-critical transient errors and a region 156 transient errors that must be detected.
  • An imager 158 generates the data of the image plane 150, which is converted into a real model or the real environment 152 and forwarded to a vehicle bus 160.
  • the amount of data is plotted against the information content per date 164.
  • FIG. 5 shows a possible system concept for a control unit that is used in a driving condition detection.
  • the illustration shows an imager, an FPGA 402, a RAM 404, a microcontroller 406 and a vehicle bus 408.
  • the FPGA 402 includes a test pattern 410 and a first algorithm 412.
  • a first algorithm 414 In the microcontroller 406, a first algorithm 414, a second algorithm 416, a test pattern verifier 418 and a comparator 420 are provided.
  • the data flow is, for example, one-channel from the imager 400 to the FPGA 402.
  • the data preprocessing takes place.
  • the result is stored in common memory of FPGA 402 and microcontroller 406, namely RAM 404.
  • microcontroller 406 calculates in microcontroller 406 two diverse algorithms the object data.
  • the results of the diverse algorithms are compared in the comparator 420.
  • the image data is expanded by defined and non-static test patterns 410, which are processed in the FPGA 402 without special treatment.
  • the result of the test pattern 410 is checked in the microcontroller 406.
  • a prerequisite is sufficient diversification of the algorithms on the basis of the same FPGA results, which allows preprocessing, and that sufficiently diverse algorithms on a faulty hardware do not come to the same result.
  • the advantage is that the basic hardware concept can be adopted.
  • Another advantage is the good recognition of systematic and random transient / permanent errors.
  • FIG. 6 illustrates the detection of permanent FPGA errors.
  • An imager outputs image data 452 to an FPGA 454.
  • a test pattern 456 is generated in this FPGA 454.
  • a test pattern verification takes place, so that a data record 460 with image data 452 and test pattern 456 is present.
  • the test patterns 456 at the beginning and at the end of each image allow complete test coverage of the FPGA 454 (pipelining in the FPGA).
  • the record 460 is forwarded (arrow 462).
  • the test pattern 456 at the beginning and at the end of the actual image ensures for the current cycle that there are no permanent errors.
  • the patterns are not constant, but are shuffled against each other each cycle.
  • the memory in the FPGA 454 is completely scanned.
  • the results are stored in blocks in the result list.
  • the position of the result block within the list is also rotated. The relevant memory area is thereby protected.
  • FIG. 7 shows a possible comparator concept.
  • the illustration shows a comparator 500 with two inputs, namely a channel A 502 and a channel B 504. It should be noted that in each multi-channel system, the comparison of the channels 502 and 504 is the only "single point of failure".
  • the illustration also shows a SCON 506, a cyclic redundancy check (CRC) 508, a message counter 510 and a vehicle bus 512.
  • CRC cyclic redundancy check
  • the SCON 506 sends a so-called challenge (arrow 514) and receives a response (arrow) 516). Depending on the outcome of the check, the SCON 506 sends an enable or disable to the
  • CRC cyclic redundancy check
  • Vehicle bus 512 (arrow 518).
  • stuck-at-1 permanent approval
  • the SCON 506 makes a request that must lead to a rejection. If the comparator 500 answers incorrectly, the SCON 506 gives the
  • Vehicle bus 512 not free (disable).

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Theoretical Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)
  • Traffic Control Systems (AREA)

Abstract

The invention relates to a method for monitoring the functionality of an electronic module (12). In the method, a quantity relating to a driving state of the motor vehicle is fed to the electronic module (12) as an input signal, and an output signal of the electronic module (12) is transferred to an electronic arithmetic unit (14) in which said output signal is processed using diverse software algorithms. The outputs of the diverse software algorithms are compared to each other in a comparator (16).

Description

Beschreibung description
Titeltitle
Verfahren zur Überwachung der Funktionsfähigkeit eines elektronischen BausteinsMethod for monitoring the functionality of an electronic component
Die Erfindung betrifft ein Verfahren zur Überwachung der Funktionsfähigkeit eines elektronischen Bausteins in einem Steuergerät, ein solches Steuergerät sowie ein Computerprogramm und ein Computerprogrammprodukt zur Durchfüh- rung des Verfahrens.The invention relates to a method for monitoring the functionality of an electronic component in a control unit, such a control unit and a computer program and a computer program product for carrying out the method.
Stand der TechnikState of the art
Elektronische Steuergeräte werden bei Kraftfahrzeugen in unterschiedlichen Be- reichen eingesetzt, um diverse Abläufe zu steuern und/oder zu regeln. So ist derElectronic control units are used in motor vehicles in various areas to control and / or regulate various processes. That is how it is
Einsatz von Steuergeräten in Vorrichtungen zur Fahrzustandserkennung bekannt, bei denen unterschiedliche Größen, wie bspw. die Lenkwinkelgeschwindigkeit, aber auch optische Signale bzw. Bildsignale aufgezeichnet und ausgewertet werden, um einen kritischen Fahrzustand zu erkennen.Use of control devices in devices for driving state recognition known in which different sizes, such as. The steering angle speed, but also optical signals or image signals are recorded and evaluated to detect a critical driving condition.
Die Druckschrift DE 10 2005 057 267 A1 beschreibt ein Verfahren und eine Vorrichtung zur Fahrzustandserkennung, bei denen der Verlauf eines den Fahrzustand charakterisierenden Signals ausgewertet und bei einem typischen Verlauf ein den Fahrzustand kennzeichnendes Signal erzeugt wird. Die Vorrichtung weist dabei eine elektronische Steuereinheit auf, die im wesentlichen aus Komponenten wie Eingangsschaltung, Rechner und Ausgangsschaltung besteht, wobei die einzelnen Komponenten zum gegenseitigen Daten- und Informationsaustausch mit einem Bussystem verbunden sind. Zur Erkennung von Fahrbahnrandmarkierungen wird eine Videokamera eingesetzt, die mit der Eingangsschaltung ver- bunden ist. Zu beachten ist jedoch, dass videobasierte Fahrerassistenzsysteme aufgrund der Komplexität der Umwelt einen äußerst hohen Ressourcenbedarf haben. Dies spiegelt sich auch in der verwendeten Hardware wider. Zum Einsatz kommen äußerst leistungsfähige automotive zertifizierte Bausteine, deren Komplexität es zunehmend schwierig macht, die Hardware im Rahmen einer neben den Applikationen laufenden Selbstdiagnose vollständig, d.h. mit einer Testabdeckung von bspw. mehr als 90%, zu überwachen. Auch die Überwachung von FPGAs im automobilen Umfeld ist bisher nicht zufriedenstellend gelöst.The publication DE 10 2005 057 267 A1 describes a method and a device for driving state recognition, in which the course of a signal characterizing the driving state is evaluated and in a typical course a signal characterizing the driving state is generated. The device in this case has an electronic control unit, which consists essentially of components such as input circuit, computer and output circuit, wherein the individual components are connected for mutual data and information exchange with a bus system. To detect lane markings, a video camera is used, which is connected to the input circuit. It should be noted, however, that video-based driver assistance systems have a very high resource requirement due to the complexity of the environment. This is also reflected in the hardware used. Extremely powerful automotive-certified components are being used whose complexity makes it increasingly difficult to monitor the hardware completely, ie with a test coverage of, for example, more than 90% in the context of self-diagnostics running alongside the applications. Also, the monitoring of FPGAs in the automotive environment has not been satisfactorily resolved.
Zur Gewährleistung der Funktionsfähigkeit der eingesetzten Steuergeräte sind unterschiedliche Vorgehensweisen bekannt. Dabei müssen Anforderungen an Hard- und Software formuliert werden, die einen sicheren Betrieb gestatten. Zur Vereinheitlichung der Entwicklungsprozesse und der Überwachung im Betrieb werden normierte Vorgehensweisen angestrebt.To ensure the functionality of the controllers used different approaches are known. Here, requirements for hardware and software must be formulated, which allow safe operation. To standardize the development processes and the monitoring during operation standardized procedures are aimed at.
Die ISO 26262 ist eine vorgesehene ISO-Norm für sicherheitsrelevante Systeme in Kraftfahrzeugen, die ein Prozess-Rahmenwerk und Vorgehensmodell zusammen mit geforderten Aktivitäten und Arbeitsprodukten sowie anzuwendenden Methoden definiert. Die Umsetzung der Norm soll die funktionale Sicherheit eines elektronischen Systems in Kraftfahrzeugen gewährleisten.ISO 26262 is an intended ISO standard for automotive safety-related systems that defines a process framework and process model together with required activities and work products as well as applicable methods. The implementation of the standard is intended to ensure the functional safety of an electronic system in motor vehicles.
Dabei wird eine Methode zur Gefahrenanalyse und Risikoabschätzung vorgeschlagen, bei der auf Grundlage der Systembeschreibung die möglicherweise gefährlichen Situationen identifiziert werden. Jede Gefahr wird dann mit einer Si- cherheitsanforderungsstufe von A bis D klassifiziert oder als nicht sicherheitsrelevant eingeordnet. Dazu muss für jede identifizierte Gefahr einzeln der Verletzungsgrad, die Häufigkeit der Situation und die Wertbarkeit der Situation durch den Fahrer abgeschätzt werden. Aus einer vorgegebenen Tabelle lässt sich dann für jede Gefahr die Einstufung QM (quality managed) oder ASIL (automotive sa- fety integrity level) A bis D ablesen.It proposes a hazard analysis and risk assessment method that identifies potentially dangerous situations based on the system description. Each hazard is then classified with a safety requirement level from A to D or classified as non-safety relevant. For this purpose, the level of injury, the frequency of the situation and the value of the situation by the driver must be estimated individually for each identified hazard. From a given table, the classification QM (quality managed) or ASIL (automotive safety integrity level) A to D can then be read for each hazard.
Mit steigendem ASIL steigen auch die Anforderungen an die Sicherheit, die in den nachfolgenden Teilen spezifiziert sind. An Gefahren der Klasse QM sind kei- ne Anforderungen gestellt, die über das übliche Qualitätsmanagement des Systemherstellers hinausgehen. Die Norm definiert konkrete Anforderungen an Software und Hardware, sowohl für die Entwicklungsprozesse als auch für das Fehlverhalten im Feld, und beein- flusst bereits heute die Anforderungen an die Systeme im Fahrzeug. Besonderes Augenmerk verdient die Erkennung von permanenten zufälligen bzw. systematischen Fehlern. Dabei werden Prozesse empfohlen und zum Teil quantitative Forderungen an Ausfallraten und Testabdeckungen für die verschiedenen Sicherheitsstufen vorgegeben.As ASIL increases, so does the safety requirements specified in the following sections. There are no requirements for class QM hazards that go beyond the usual quality management of the system manufacturer. The standard defines concrete requirements for software and hardware, both for the development processes and for the malfunction in the field, and already influences the requirements for the systems in the vehicle today. Particular attention must be paid to the detection of permanent random or systematic errors. Processes are recommended and, in some cases, quantitative requirements for failure rates and test covers for the various security levels are specified.
Die Norm adressiert die Absicherung von Systemen im automobilen Bereich, wenn es durch ein Versagen der Hardware oder durch Software- Implementierungsfehler im technischen Sinne zu einer Gefährdung kommen kann. Funktionale Unzulänglichkeiten, die bspw. durch unzureichende Umfelderfassung entstehen, werden nicht durch die Norm adressiert. Diese müssen ggf. über weitere Maßnahmen außerhalb der Norm adressiert werden. Die Software hat im Verständnis der Norm einen vernachlässigbar kleinen Fehler, wenn sie nach den Prozessen der Norm entwickelt wird. Dieses Sicherheitskonzept zeigt die Absicherung von E/E/PES-Systemen im Sinne der Norm. Diese Absicherung ist im allgemeinen durch die Hardware getrieben.The standard addresses the protection of systems in the automotive sector, if it can come through a failure of the hardware or by software implementation errors in the technical sense to a hazard. Functional inadequacies, which, for example, result from inadequate detection of the surroundings, are not addressed by the standard. If necessary, these must be addressed via further measures outside the standard. The software has a negligible error in understanding the standard if it is developed according to the processes of the standard. This safety concept shows the protection of E / E / PES systems in the sense of the standard. This protection is generally driven by the hardware.
Betrachtete Fehlerarten sind u.a. permanent zufällige Fehler, wie bspw. eine defekte RAM-Zelle, systematische Fehler, wie bspw. eine falsch ausgelegte Betriebstemperatur, transiente Fehler, wie bspw. ein Single Event Upset (Bit- Kipper). Diese Fehler können sich auf Programm und Daten auswirken.Considered types of errors are u.a. permanently random errors, such as a defective RAM cell, systematic errors, such as, for example, an incorrectly designed operating temperature, transient errors, such as, for example, a single event upset (bit dump). These errors can affect program and data.
Vorgaben sind, dass das betrachtete System ausfallsicher (fail-safe) ist, d.h., dass das Abschalten des Systems im Fehlerfall immer sicher ist. Zudem führt ein Fehler, der zum Ausbleiben jeder Kommunikation führt (fail-silent), ebenfalls in den sicheren Zustand.The specifications are that the system under consideration is fail-safe, ie that switching off the system in the event of a fault is always safe. In addition, an error that leads to failure of any communication (fail-silent), also in the safe state.
Offenbarung der ErfindungDisclosure of the invention
Das erfindungsgemäße Verfahren dient zur Überwachung der Funktionsfähigkeit eines elektronischen Bausteins in einem Kraftfahrzeug. Dabei wird dem elektro- nischen Baustein eine einen Fahrzustand des Kraftfahrzeugs betreffende Größe als Eingangssignal zur Verarbeitung zugeführt. Ein Ausgangssignal des elektro- nischen Bausteins wird an eine elektronische Recheneinheit weitergeleitet, in der das Ausgangssignal mit diversitären Softwarealgorithmen weiterverarbeitet wird, wobei die Ausgaben der diversitären Softwarealgorithmen in einem Komparator miteinander verglichen werden. Üblicherweise werden zwei Softwarealgorithmen eingesetzt, deren Ausgänge in dem Komparator miteinander verglichen werden.The method according to the invention serves to monitor the operability of an electronic component in a motor vehicle. In this case, a quantity relating to a driving state of the motor vehicle is supplied to the electronic module as an input signal for processing. An output signal from the The electronic module is forwarded to an electronic processing unit in which the output signal is processed further with diverse software algorithms, the outputs of the diversified software algorithms being compared in a comparator. Usually, two software algorithms are used whose outputs are compared in the comparator.
Ein fehlgeschlagener Vergleich führt zu einem Fehlerfall.A failed comparison leads to an error.
Hinreichend komplexe und diversitäre Algorithmen kommen nur auf fehlerfreier Hardware zu äquivalenten Ergebnissen. Somit übernehmen diversitäre Algorith- men auch die Funktion der Selbstdiagnose auf komplexer Hardware.Sufficiently complex and diverse algorithms only achieve equivalent results on error-free hardware. Thus, diverse algorithms also assume the function of self-diagnosis on complex hardware.
Das Steuergerät mit dem elektronischen Baustein kommt bspw. bei einem videobasierten Fahrerassistenzsystem zum Einsatz, bei dem eine Fahrzustandsüber- wachung durchgeführt wird. Bei dieser Anwendung kann dem elektronischen Baustein ein Bildsignal als Eingangssignal zugeführt werden. Hierbei kann der elektronische Baustein, der bspw. als FPGA (field programmable gate array: vor Ort modifizierbarer Logikbaustein) ausgebildet ist, mit einer Testabdeckung von bspw. mehr als 90% überwacht werden.The control unit with the electronic component is used, for example, in a video-based driver assistance system in which a driving condition monitoring is performed. In this application, the electronic module, an image signal can be supplied as an input signal. In this case, the electronic component, which is designed, for example, as FPGA (field programmable gate array: locally modifiable logic module), can be monitored with a test coverage of, for example, more than 90%.
In Ausgestaltung wird dem elektronischen Baustein zusätzlich ein Testmuster zugeführt, das in dem elektronischen Baustein verarbeitet wird. Das verarbeitete Testmuster wird dann an die elektronische Recheneinheit weitergeleitet. Dabei kann das verarbeitete Testmuster und das Ausgangssignal getrennt in der elektronischen Recheneinheit, bspw. ein Mikrocontroller, weiterverarbeitet werden.In an embodiment, the electronic component is additionally supplied with a test pattern, which is processed in the electronic component. The processed test pattern is then forwarded to the electronic processing unit. In this case, the processed test pattern and the output signal can be processed separately in the electronic processing unit, for example a microcontroller.
In der elektronischen Recheneinheit kann eine Testmusterverifikation durchgeführt werden. Ein Fehlschlagen der Testmusteranalyse führt regelmäßig zu einem Fehlerfall.In the electronic processing unit, a test pattern verification can be performed. A failure of the test pattern analysis regularly leads to an error.
In Ausgestaltung wird die Funktionsfähigkeit des Komparators überwacht. Hierzu wir bspw. ein in Hardware unabhängiger SCON (safety Controller) eingesetzt.In an embodiment, the functionality of the comparator is monitored. For example we use a hardware independent SCON (safety controller).
Das beschriebene Steuergerät für ein Kraftfahrzeug dient insbesondere zur Durchführung eines Verfahrens der vorstehend beschriebenen Art. Dieses weist einen elektronischen Baustein, bspw. ein FPGA, und eine elektronischen Recheneinheit, bspw. einen Mikrocontroller, auf, wobei der elektronische Baustein zur Aufnahme und zur Verarbeitung einer einen Fahrzustand des Kraftfahrzeugs betreffenden Größe ausgebildet ist und die elektronische Recheneinheit zur Weiterverarbeitung eines Ausgangssignal des elektronischen Bausteins ausgelegt ist. Bei der Weiterverarbeitung in der elektronischen Recheneinheit werden di- versitäre Softwarealgorithmen eingesetzt. Es ist weiterhin ein Komparator vorgesehen, der dafür ausgelegt ist, Ausgaben der diversitären Softwarealgorithmen miteinander zu vergleichen.The described control unit for a motor vehicle is used in particular for carrying out a method of the type described above. This has an electronic component, for example an FPGA, and an electronic processor, for example a microcontroller, wherein the electronic component is designed for receiving and processing a driving condition of the motor vehicle size and the electronic processing unit is designed for further processing of an output signal of the electronic component. For further processing in the electronic processing unit, di- versitive software algorithms are used. A comparator is also provided which is adapted to compare outputs of the diversified software algorithms.
In Ausgestaltung ist eine Sicherheitseinrichtung zur Überwachung des Kompara- tors, bspw. ein in Hardware unabhängiger SCON, vorgesehen.In a refinement, a safety device for monitoring the comparator, for example a hardware-independent SCON, is provided.
Das vorgestellte Computerprogramm umfasst Programmcodemittel, um alle Schritte eines vorstehend beschriebenen Verfahrens durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Rechen- einheit, insbesondere in einem Steuergerät der beschriebenen Art, ausgeführt wird.The presented computer program comprises program code means for carrying out all the steps of a method described above when the computer program is executed on a computer or a corresponding computing unit, in particular in a control unit of the type described.
Das Computerprogrammprodukt weist diese Programmcodemittel auf, die auf einem computerlesbaren Datenträger gespeichert sind, um alle Schritte eines vor- gestellten Verfahrens durchzuführen, wenn das Computerprogramm auf einemThe computer program product comprises these program code means which are stored on a computer-readable data carrier in order to carry out all the steps of a presented method when the computer program is stored on a computer-readable data carrier
Computer oder einer entsprechenden Recheneinheit, insbesondere in einem Steuergerät, wie dies vorstehend beschrieben ist, ausgeführt wird.Computer or a corresponding processing unit, in particular in a control device, as described above, is executed.
Das vorgestellte Verfahren weist, zumindest in einigen der dargelegten Ausfüh- rungen, eine Reihe von Vorteilen auf. So kann eine generische Überwachung des elektronischen Bausteins und damit eines FPGA ohne Verwendung expliziter Hardwareeigenschaften des FPGA durchgeführt werden. Die Verwendung diver- sitärer Algorithmen in der elektronischen Recheneinheit vereinfacht auf hohem Abstraktionsniveau die aufwendige Selbstdiagnose der Recheneinheit stark. Da- her können selbst komplexe MikroController in einem ASIL-B-Steuergerät eingesetzt werden. Außerdem können, wenn genügend Ressourcen vorhanden sind, bestehende Hardwarekonzepte sowohl für QM als auch für ASIL-A/B verwendet werden.The presented method has, at least in some of the embodiments set out, a number of advantages. Thus, a generic monitoring of the electronic component and thus an FPGA without the use of explicit hardware properties of the FPGA can be performed. The use of divergent algorithms in the electronic arithmetic unit greatly simplifies the complex self-diagnosis of the arithmetic unit at a high level of abstraction. Therefore, even complex microcontrollers can be used in an ASIL-B control unit. In addition, if there are enough resources, existing hardware concepts can be used for both QM and ASIL A / B.
Weitere Vorteile und Ausgestaltung der Erfindung ergeben sich aus der Beschreibung und den beiliegenden Zeichnungen. Es versteht sich, dass die voranstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, oh- ne den Rahmen der vorliegenden Erfindung zu verlassen.Further advantages and embodiment of the invention will become apparent from the description and the accompanying drawings. It is understood that the features mentioned above and those yet to be explained below can be used not only in the particular combination given, but also in other combinations or in isolation, without departing from the scope of the present invention.
Kurze Beschreibung der ZeichnungenBrief description of the drawings
Figur 1 zeigt in schematischer Darstellung eine Ausführungsform eines Steuer- geräts.Figure 1 shows a schematic representation of an embodiment of a control device.
Figur 2 zeigt in schematischer Darstellung ein Hardwarekonzept einer Vorrichtung zur Erkennung des Fahrzustands.Figure 2 shows a schematic representation of a hardware concept of a device for detecting the driving condition.
Figur 3 zeigt in einem Blockschaltbild den Aufbau der Software in einer Vorrichtung zur Fahrzustandserkennung.Figure 3 shows a block diagram of the structure of the software in a device for driving condition detection.
Figur 4 zeigt den Übergang von einem unkritischen zu einem kritischen transienten Fehler.FIG. 4 shows the transition from an uncritical to a critical transient error.
Figur 5 zeigt ein Systemkonzept für ein Steuergerät zur Fahrzustandserfassung.FIG. 5 shows a system concept for a control unit for driving state detection.
Figur 6 verdeutlicht die Detektion permanenter FPGA-Fehler.FIG. 6 illustrates the detection of permanent FPGA errors.
Figur 7 zeigt ein mögliches Komparatorkonzept.FIG. 7 shows a possible comparator concept.
Ausführungsformen der ErfindungEmbodiments of the invention
In Figur 1 ist eine Ausführung eines Steuergeräts, insgesamt mit der Bezugsziffer 10 bezeichnet, dargestellt. Dieses Steuergerät 10 weist einen elektronischen1 shows an embodiment of a control device, generally designated by the reference numeral 10 is shown. This control unit 10 has an electronic
Baustein 12, in diesem Fall ein FPGA, und eine elektronische Recheneinheit 14, in dieser Ausführung einen MikroController, auf. Weiterhin ist in dem Steuergerät 10 ein Komparator 16 und ein Controller 18 zur Überwachung des Komparators 16 gegeben. In dem elektronischen Baustein 12 ist ein Bereich 20 zum Ablegen eines Algorithmus und ein Generator 22 zum Erzeugen eines Testmusters vorgesehen.Module 12, in this case an FPGA, and an electronic processing unit 14, in this embodiment, a microcontroller on. Furthermore, a comparator 16 and a controller 18 for monitoring the comparator 16 are provided in the control unit 10. In the electronic module 12, an area 20 for storing an algorithm and a generator 22 for generating a test pattern is provided.
In der elektronischen Einheit 14 sind ein erster Bereich 24 für einen ersten Algo- rithmus, ein zweiter Bereich 26 für einen zweiten Algorithmus und ein dritter Bereich 28 für eine Testmusterverifikation vorgesehen.A first region 24 for a first algorithm, a second region 26 for a second algorithm, and a third region 28 for a test pattern verification are provided in the electronic unit 14.
Ein Bildgeber 30 gibt erfasste Bildsignale an den elektronischen Baustein 12 weiter. In den Datenfluss der Bildsignale werden vor der Bearbeitung durch den elektronischen Baustein 12 Testmuster sowohl vor als auch nach den relevantenAn imager 30 passes captured image signals to the electronic device 12. In the data flow of the image signals before the processing by the electronic module 12 test pattern both before and after the relevant
Bilddaten eingespeist. Die Testmuster werden ohne Sonderbehandlung durch den Baustein 12 verarbeitet. Das Ergebnis der Berechnungen kann in einem Block-RAM (nicht dargestellt) zwischen dem Baustein 12 und der Recheneinheit 14 abgelegt werden. Hierbei ist es nicht relevant, ob es sich bei dem Baustein 12 und der Recheneinheit 14 um getrennte oder integrierte Komponenten handelt.Input image data. The test patterns are processed by the module 12 without special treatment. The result of the calculations can be stored in a block RAM (not shown) between the block 12 and the arithmetic unit 14. In this case, it is not relevant whether the module 12 and the computing unit 14 are separate or integrated components.
Die Ergebnisse des Bausteins 12 werden getrennt nach Bild und Testmuster in der Recheneinheit 14 weiterverarbeitet. Eine Testmusterverifikation vergleicht das Baustein- 12 Ergebnis des Testmusters mit bekannten Sollwerten.The results of the block 12 are processed separately according to image and test pattern in the arithmetic unit 14. A test pattern verification compares the block 12 result of the test pattern with known setpoints.
Bei der dargestellten Ausführung verarbeiten zwei diversitäre Algorithmen dieIn the illustrated embodiment, two diverse algorithms process the
Berechnungen des elektronischen Bausteins 12 bezüglich des tatsächlichen Bildes. Der Komparator 16 stellt den Single point failure der Recheneinheit 14 dar. In diesem werden die beiden diversitären Softwarekanäle verglichen und bei festgestellter Äquivalenz auf einen Fahrzeugbus 32 gegeben. Der Komparator 16 wird dabei durch den in Hardware unabhängigen SCON (safety Controller) überwacht.Calculations of the electronic device 12 with respect to the actual image. The comparator 16 represents the single-point failure of the arithmetic unit 14. In this, the two diverse software channels are compared and given a detected equivalence on a vehicle bus 32. The comparator 16 is monitored by the hardware-independent SCON (safety controller).
In Figur 2 ist in schematischer Darstellung eine Vorrichtung zur Fahrzustandser- kennung dargestellt. Diese Vorrichtung, die mit der Bezugsziffer 50 bezeichnet ist, umfasst einen Leistungsanschluss 52, der mit dem elektrischen System des2 shows a schematic representation of a device for Fahrzustandser- recognition is shown. This device, designated by the reference numeral 50, includes a power port 52 which is connected to the electrical system of the
Fahrzeugs verbunden ist (Pfeil 54), einen Controller 56, einen NVM-Speicher 58 (non volatile memory: nichtflüchtiger Speicher), einen FPGA 60, einen Bildgeber 62, einen Blockspeicher 64 und eine Linseneinheit 70. Einfallendes Licht 72 wird von der Linseneinheit 70 erfasst und an den Bildgeber 62 weitergegeben. Der Bildgeber 62 gibt Bilddaten, wie mit Pfeil 74 verdeutlicht, an den FPGA 60 weiter.Vehicle (arrow 54), a controller 56, a nonvolatile memory (NVM) memory 58, an FPGA 60, an imager 62, a block memory 64 and a lens unit 70. Incident light 72 is detected by the lens unit 70 and relayed to the imager 62. The imager 62 passes image data to the FPGA 60, as indicated by arrow 74.
Der FPGA 60 umfasst eine Logikeinheit 76, einen eingebetteten Kern 78 und einen Bereich 80 zum Ablegen der Algorithmen. Weiterhin ist der FPGA 60 mit dem Blockspeicher 64, und dem NVM-Speicher 58 verbunden. Nach außen kommuniziert der FPGA 60 mit einem fahrzeugeigenen CAN-Bus (Doppelpfeil 82) und über den Controller 56 mit einem weiteren Feldbussystem (Doppelpfeil 86), bspw. ein FlexRay.The FPGA 60 includes a logic unit 76, an embedded core 78 and an area 80 for storing the algorithms. Furthermore, the FPGA 60 is connected to the block memory 64, and the NVM memory 58. To the outside, the FPGA 60 communicates with an on-board CAN bus (double arrow 82) and via the controller 56 with another fieldbus system (double arrow 86), for example a FlexRay.
In Figur 3 ist in einem Blockschaltbild der Aufbau der in einer Fahrzustandser- kennungsvorrichtung eingesetzten Software dargestellt. In einem ersten Block 100 sind externe Daten enthalten, in einem zweiten Block die Daten und Pro- gramme der Vorrichtung zur Fahrerszustandserkennung und in einem drittenFIG. 3 shows a block diagram of the structure of the software used in a driving state identification device. External data is contained in a first block 100, in a second block the data and programs of the driver condition detection device and in a third block
Block 104 die ausgegebenen Daten.Block 104, the output data.
Die externen Daten umfassen Bildsensordaten 106 und Fahrzeugsensordaten 108. Die Bildsensordaten 106 werden an den FPGA 1 10 weitergegeben, in dem eine Bildvorverarbeitung und Datenreduktion vorgenommen wird (Block 1 12). Innerhalb der Vorrichtung ist weiterhin einen MikroController 1 14 vorgesehen. Dieser erfasst die Bilddaten des FPGA 1 10 und führt eine Objektbildung in der Bildebene durch (Block 1 16). Die Fahrzeugsensordaten 108 werden zusätzlich zur realen Objektbildung (Block 1 18) und zur Zustandsschätzung (Block 120) heran- gezogen.The external data includes image sensor data 106 and vehicle sensor data 108. The image sensor data 106 is passed to the FPGA 110, where image preprocessing and data reduction is performed (block 1 12). Within the device, a microcontroller 1 14 is further provided. This captures the image data of the FPGA 1 10 and performs object formation in the image plane (block 1 16). The vehicle sensor data 108 is used in addition to the real object formation (block 1 18) and the state estimation (block 120).
Das FPGA 1 10 im Kontext der betrachteten Funktion dient somit der Datenreduktion auf Ebene der Low-Level-Bildverarbeitung. Aus Sicht des FPGA 1 10 ist daher jedes Bild vollständig neu und ohne Bezug auf vorangegangene Bilder.The FPGA 1 10 in the context of the considered function thus serves the data reduction at the level of low-level image processing. From the point of view of the FPGA 1 10, every picture is completely new and without reference to previous pictures.
Transiente Fehler im Datenfluss des FPGA 1 10 entsprechen dem allgemeinen Sensorrauschen. Die Verarbeitung verrauschter Eingangssignale ist eine funktionale Anforderung an die Algorithmik. Das verwirklichte Sicherheitskonzept konzentriert sich daher auf die Erkennung permanenter Fehler des FPGA 1 10. Die algorithmische Logik der Objektbildung wird in dem Mikrocontroller 1 14 berechnet. Hierbei wird nicht nur eine Einzelbildauswertung, wie dies beim FPGA 1 10 der Fall ist, durchgeführt. In Folge der zeitlichen Korrelation ist es nicht möglich, transiente Fehler zu vernachlässigen. Die Erkennung transienter und per- manenter Fehler ist durch das Sicherheitskonzept adressiert.Transient errors in the data flow of the FPGA 1 10 correspond to the general sensor noise. The processing of noisy input signals is a functional requirement for the algorithms. The implemented security concept therefore focuses on the detection of permanent faults of the FPGA 1 10. The algorithmic logic of the object formation is calculated in the microcontroller 14. In this case, not only a single image evaluation, as is the case with the FPGA 1 10 carried out. Due to the temporal correlation, it is not possible to neglect transient errors. The detection of transient and permanent errors is addressed by the security concept.
Figur 4 verdeutlicht den Übergang von einem unkritischen zu einem kritischen transienten Fehler. In der Darstellung ist eine zweidimensionale Bildebene 150 einer realen Umgebung 152 gegenübergestellt. Ein Bereich 154 zeigt unkritische transiente Fehler und ein Bereich 156 transiente Fehler, die erkannt werden müssen.FIG. 4 illustrates the transition from an uncritical to a critical transient error. In the illustration, a two-dimensional image plane 150 is juxtaposed with a real environment 152. A region 154 shows non-critical transient errors and a region 156 transient errors that must be detected.
Ein Bildgeber 158 erzeugt die Daten der Bildebene 150, die in ein reales Modell bzw. die reale Umgebung 152 überführt und an einen Fahrzeugbus 160 weiter- gegeben werden.An imager 158 generates the data of the image plane 150, which is converted into a real model or the real environment 152 and forwarded to a vehicle bus 160.
In Bezug zu den unterschiedlichen Ebenen ist die Datenmenge im Verhältnis zum Informationsgehalt pro Datum 164 aufgetragen. Zu erkennen ist das Anwachsen des Informationsgehalts 164 der Datenmenge 162 von der Bildebene 150 hin zu der realen Umgebung 152. In diesem Bereich liegen auch transienteRelative to the different levels, the amount of data is plotted against the information content per date 164. Evident is the growth of the information content 164 of the data set 162 from the image plane 150 to the real environment 152. In this area are also transient
Fehler 156 vor, die erkannt werden müssen.Error 156, which must be recognized.
In Figur 5 ist ein mögliches Systemkonzept für ein Steuergerät, dass bei einer Fahrzustandserfassung zum Einsatz kommt, wiedergegeben. Die Darstellung zeigt einen Bildgeber, einen FPGA 402, ein RAM 404, einen Mikrocontroller 406 und einen Fahrzeugbus 408.FIG. 5 shows a possible system concept for a control unit that is used in a driving condition detection. The illustration shows an imager, an FPGA 402, a RAM 404, a microcontroller 406 and a vehicle bus 408.
Der FPGA 402 weist ein Testmuster 410 und einen ersten Algorithmus 412 auf. In dem Mikrocontroller 406 sind ein erster Algorithmus 414, ein zweiter Algorith- mus 416, ein Testmusterverifikator 418 und ein Komparator 420 vorgesehen.The FPGA 402 includes a test pattern 410 and a first algorithm 412. In the microcontroller 406, a first algorithm 414, a second algorithm 416, a test pattern verifier 418 and a comparator 420 are provided.
Der Datenfluss ist bspw. einkanalig von dem Bildgeber 400 zu dem FPGA 402. In dem FPGA 402 findet die Datenvorverarbeitung statt. Das Ergebnis wird im gemeinsamen Speicher von FPGA 402 und Mikrocontroller 406, nämlich dem RAM 404, abgelegt. Auf Basis dieser Ergebnisse berechnen im Mikrocontroller 406 zwei diversitäre Algorithmen die Objektdaten. Die Ergebnisse der diversitären Algorithmen werden in dem Komparator 420 verglichen.The data flow is, for example, one-channel from the imager 400 to the FPGA 402. In the FPGA 402, the data preprocessing takes place. The result is stored in common memory of FPGA 402 and microcontroller 406, namely RAM 404. Based on these results, calculate in microcontroller 406 two diverse algorithms the object data. The results of the diverse algorithms are compared in the comparator 420.
In dem FPGA 402 werden die Bilddaten um definierte und nicht statische Test- muster 410 erweitert, die ohne Sonderbehandlung in dem FPGA 402 bearbeitet werden. Das Ergebnis der Testmuster 410 wird in dem MikroController 406 überprüft.In the FPGA 402, the image data is expanded by defined and non-static test patterns 410, which are processed in the FPGA 402 without special treatment. The result of the test pattern 410 is checked in the microcontroller 406.
Voraussetzung ist die hinreichende Diversifizierung der Algorithmen auf Basis gleicher FPGA-Ergebnisse, was eine Vorverarbeitung ermöglicht, und dass hinreichend diversitäre Algorithmen auf einer fehlerhaften Hardware nicht zum gleichen Ergebnis kommen. Von Vorteil ist, dass das Hardware-Grundkonzept übernommen werden kann. Weiterhin vorteilhaft ist die gute Erkennung systematischer und zufälliger transienter/permanenter Fehler.A prerequisite is sufficient diversification of the algorithms on the basis of the same FPGA results, which allows preprocessing, and that sufficiently diverse algorithms on a faulty hardware do not come to the same result. The advantage is that the basic hardware concept can be adopted. Another advantage is the good recognition of systematic and random transient / permanent errors.
In Figur 6 ist die Detektion permanenter FPGA-Fehler verdeutlicht. Ein Bildgeber gibt Bilddaten 452 an ein FPGA 454. In diesem FPGA 454 wird zusätzlich ein Testmuster 456 erzeugt. In einer Einheit 458 erfolgt eine Testmusterverifikation, so dass ein Datensatz 460 mit Bilddaten 452 und Testmuster 456 vorliegt. Die Testmuster 456 zu Beginn und am Ende jedes Bildes ermöglichen eine vollständige Testabdeckung des FPGA 454 (pipelining im FPGA). Der Datensatz 460 wird weitergeleitet (Pfeil 462).FIG. 6 illustrates the detection of permanent FPGA errors. An imager outputs image data 452 to an FPGA 454. In addition, a test pattern 456 is generated in this FPGA 454. In a unit 458, a test pattern verification takes place, so that a data record 460 with image data 452 and test pattern 456 is present. The test patterns 456 at the beginning and at the end of each image allow complete test coverage of the FPGA 454 (pipelining in the FPGA). The record 460 is forwarded (arrow 462).
Das Testmuster 456 am Anfang und am Ende des eigentlichen Bildes stellt für den aktuellen Zyklus sicher, dass keine permanenten Fehler vorliegen. Die Muster sind nicht konstant, sondern werden in jedem Zyklus gegeneinander vescho- ben. Der Speicher in dem FPGA 454 wird vollständig abgetastet. Die Ergebnisse werden blockweise in der Ergebnisliste abgelegt. Die Position des Ergebnisblocks innerhalb der Liste wird ebenfalls rotiert. Der relevante Speicherbereich ist dadurch abgesichert.The test pattern 456 at the beginning and at the end of the actual image ensures for the current cycle that there are no permanent errors. The patterns are not constant, but are shuffled against each other each cycle. The memory in the FPGA 454 is completely scanned. The results are stored in blocks in the result list. The position of the result block within the list is also rotated. The relevant memory area is thereby protected.
In Figur 7 ist ein mögliches Komparatorkonzept gezeigt. Die Darstellung zeigt einen Komparator 500 mit zwei Eingängen, nämlich einen Kanal A 502 und einen Kanal B 504. Zu beachten ist, dass in jedem mehrkanaligen System der Ver- gleich der Kanäle 502 und 504 der einzige "single point of failure" ist. Die Darstellung zeigt weiterhin einen SCON 506, einen CRC (cyclic redundancy check) 508, einen Nachrichtenzähler 510 und einen Fahrzeugbus 512. Zur Überprüfung des Komparators 500 sendet der SCON 506 eine sogenannte Challenge (Pfeil 514) und empfängt eine Antwort bzw. Response (Pfeil 516). Je nach Aus- gang der Überprüfung sendet der SCON 506 ein enable oder disable zu demFIG. 7 shows a possible comparator concept. The illustration shows a comparator 500 with two inputs, namely a channel A 502 and a channel B 504. It should be noted that in each multi-channel system, the comparison of the channels 502 and 504 is the only "single point of failure". The illustration also shows a SCON 506, a cyclic redundancy check (CRC) 508, a message counter 510 and a vehicle bus 512. To check the comparator 500, the SCON 506 sends a so-called challenge (arrow 514) and receives a response (arrow) 516). Depending on the outcome of the check, the SCON 506 sends an enable or disable to the
Fahrzeugbus 512 (Pfeil 518).Vehicle bus 512 (arrow 518).
Ein erster kritischer Fehlerfall, der sogenannte stuck-at-1 (permanente Zustimmung) muss erkannt werden. Der SCON 506 stellt eine Anfrage, die zur Ableh- nung führen muss. Antwortet der Komparator 500 falsch, gibt der SCON 506 denA first critical error case, the so-called stuck-at-1 (permanent approval) must be recognized. The SCON 506 makes a request that must lead to a rejection. If the comparator 500 answers incorrectly, the SCON 506 gives the
Fahrzeugbus 512 nicht frei (disable).Vehicle bus 512 not free (disable).
Unkritische Fälle sind eine permanente Ablehnung (stuck-at-O), da das System fail-safe ist. Weiterhin unkritisch ist ein transienter einmaliger Fehler, der in Be- zug zur Fehler-Latenzzeit und der Trägheit der angesteuerten Aktuatorik zu vernachlässigen ist. Uncritical cases are a permanent rejection (stuck-at-O) because the system is fail-safe. Also not critical is a transient single error, which is negligible in relation to the error latency and the inertia of the driven actuator.

Claims

Ansprüche claims
1 . Verfahren zur Überwachung der Funktionsfähigkeit eines elektronischen Bausteins (12) in einem Steuergerät (10), das in einem Kraftfahrzeug eingesetzt wird, wobei dem elektronisches Baustein (12) eine einen Fahrzustand des Kraftfahrzeugs betreffende Größe als Eingangssignal zur Verarbeitung zugeführt wird und ein Ausgangssignal des elektronischen Bausteins (12) an eine elektronische Recheneinheit (14) weitergeleitet wird, in der das Ausgangssignal mit diversitären Softwarealgorithmen (414, 416) weiterverarbeitet wird, und wobei die Ausgaben der diversitären Softwarealgorithmen (414, 416) in einem Komparator (16, 420, 500) miteinander verglichen werden.1 . Method for monitoring the operability of an electronic component (12) in a control unit (10) used in a motor vehicle, the electronic component (12) being supplied with a quantity relating to a driving condition of the motor vehicle as an input signal for processing and an output signal of the electronic component Block (12) is forwarded to an electronic processing unit (14), in which the output signal with further diversified software algorithms (414, 416) is further processed, and wherein the outputs of the diverse software algorithms (414, 416) in a comparator (16, 420, 500 ) are compared.
2. Verfahren nach Anspruch 1 , bei dem dem elektronischen Baustein (12) ein Bildsignal als Eingangssignal zugeführt wird.2. The method of claim 1, wherein the electronic component (12) an image signal is supplied as an input signal.
3. Verfahren nach Anspruch 1 oder 2, bei dem dem elektronischen Baustein3. The method of claim 1 or 2, wherein the electronic component
(12) zusätzlich ein Testmuster (410, 456) zu Verarbeitung zugeführt wird, das in dem elektronischen Baustein (12) verarbeitet wird und das verarbeitete Testmuster (410, 456) an die elektronische Recheneinheit (14) weitergeleitet wird.(12) additionally a test pattern (410, 456) is supplied for processing, which is processed in the electronic module (12) and the processed test pattern (410, 456) is forwarded to the electronic processing unit (14).
4. Verfahren nach Anspruch 3, bei dem in der elektronischen Recheneinheit (14) das verarbeitete Testmuster (410, 456) und das Ausgangssignal getrennt weiterverarbeitet werden.4. The method of claim 3, wherein in the electronic processing unit (14), the processed test pattern (410, 456) and the output signal are processed separately.
5. Verfahren nach Anspruch 4, bei dem in der elektronischen Recheneinheit5. The method of claim 4, wherein in the electronic processing unit
(14) eine Testmusterverifikation durchgeführt wird.(14) a test pattern verification is performed.
6. Verfahren nach einem der Ansprüche 1 bis 5, bei dem die Funktionsfähigkeit des Komparators (16, 420, 500) überwacht wird. 6. The method according to any one of claims 1 to 5, wherein the operability of the comparator (16, 420, 500) is monitored.
7. Steuergerät für ein Kraftfahrzeug, insbesondere zur Durchführung eines Verfahrens nach einem der Ansprüche 1 bis 6, mit einem elektronischen Baustein (12) und einer elektronischen Recheneinheit (14), wobei der elektronische Baustein (12) zur Aufnahme und zur Verarbeitung einer einen Fahrzu- stand des Kraftfahrzeugs betreffenden Größe ausgebildet ist und die elektronische Recheneinheit (14) zur Weiterverarbeitung eines Ausgangssignal des elektronischen Bausteins (12) ausgelegt ist, bei welcher diversitäre Softwarealgorithmen (414, 416) eingesetzt werden, und wobei ein Kompara- tor (16, 420, 500) vorgesehen ist, der dafür ausgelegt ist, Ausgaben der di- versitären Softwarealgorithmen miteinander zu vergleichen.7. Control device for a motor vehicle, in particular for carrying out a method according to one of claims 1 to 6, with an electronic component (12) and an electronic computing unit (14), wherein the electronic component (12) for receiving and processing a Fahrzu is designed to size of the motor vehicle and the electronic computing unit (14) is designed for further processing of an output signal of the electronic module (12), in which diverse software algorithms (414, 416) are used, and wherein a comparator (16, 420 , 500), which is designed to compare outputs of the di- versitive software algorithms with each other.
8. Steuergerät nach Anspruch 7, bei dem als elektronischer Baustein (12) ein FPGA (60, 1 10, 402, 456) dient.8. Control device according to claim 7, wherein as the electronic component (12) an FPGA (60, 1 10, 402, 456) is used.
9. Steuergerät nach Anspruch 7 oder 8, bei dem eine Sicherheitseinrichtung zur Überwachung des Komparators (16, 420, 500) vorgesehen ist.9. Control device according to claim 7 or 8, wherein a safety device for monitoring the comparator (16, 420, 500) is provided.
10. Computerprogramm mit Programmcodemitteln, um alle Schritte eines Verfahrens nach einem der Ansprüche 1 bis 6 durchzuführen, wenn das Com- puterprogramm auf einem Computer oder einer entsprechenden Recheneinheit, insbesondere in einem Steuergerät (10) nach einem der Ansprüche 7 bis 9, ausgeführt wird.10. Computer program with program code means to perform all the steps of a method according to one of claims 1 to 6, when the computer program on a computer or a corresponding processing unit, in particular in a control device (10) according to one of claims 7 to 9, is executed ,
1 1 . Computerprogrammprodukt mit Programmcodemitteln, die auf einem com- puterlesbaren Datenträger gespeichert sind, um alle Schritte eines Verfahrens nach einem der Ansprüche 1 bis 6 durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit, insbesondere in einem Steuergerät (10) nach einem der Ansprüche 7 bis 9, ausgeführt wird. 1 1. Computer program product with program code means which are stored on a computer-readable data carrier to carry out all the steps of a method according to one of claims 1 to 6, when the computer program is run on a computer or a corresponding computing unit, in particular in a control unit (10) according to one of the claims 7 to 9, is executed.
PCT/EP2009/062522 2008-10-22 2009-09-28 Method for monitoring the functionality of an electronic module WO2010046200A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE200810043089 DE102008043089A1 (en) 2008-10-22 2008-10-22 Method for monitoring the functionality of an electronic component
DE102008043089.7 2008-10-22

Publications (1)

Publication Number Publication Date
WO2010046200A1 true WO2010046200A1 (en) 2010-04-29

Family

ID=41314652

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2009/062522 WO2010046200A1 (en) 2008-10-22 2009-09-28 Method for monitoring the functionality of an electronic module

Country Status (2)

Country Link
DE (1) DE102008043089A1 (en)
WO (1) WO2010046200A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016203266A1 (en) * 2016-02-29 2017-08-31 Zf Friedrichshafen Ag Method for operating a display device and display device

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012200423A1 (en) * 2011-05-11 2012-11-15 Continental Automotive Gmbh Control module for an electric vacuum pump
CN105759763B (en) * 2016-04-01 2018-05-29 沈阳东软医疗系统有限公司 The control method and system of a kind of multi-leaf optical grating
DE102022211670A1 (en) 2022-11-04 2024-05-08 Robert Bosch Gesellschaft mit beschränkter Haftung Method for the early detection of faults of at least one electronic component mounted on a printed circuit board

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002032742A1 (en) * 2000-10-21 2002-04-25 Robert Bosch Gmbh Method for controlling a steer-by-wire system
WO2003056427A2 (en) * 2001-12-21 2003-07-10 Robert Bosch Gmbh Method and device for controlling the functional unit of a motor vehicle
DE10229342A1 (en) * 2002-06-29 2004-01-29 Robert Bosch Gmbh Graphics data-processing device for a screen in a car, e.g. for a tachometer, has an image data memory and a graphics controller
WO2007054275A2 (en) * 2005-11-12 2007-05-18 Diehl Aerospace Gmbh Method for monitoring the control of image representations
WO2008046686A1 (en) * 2006-10-19 2008-04-24 Robert Bosch Gmbh Method for operating a control device

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005057267A1 (en) 2005-12-01 2007-06-06 Robert Bosch Gmbh Inattentive driver condition recognizing method for vehicle`s driver assisting system, involves generating signal representing condition during existence of typical temporal flow of signals, which characteristically influence condition

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002032742A1 (en) * 2000-10-21 2002-04-25 Robert Bosch Gmbh Method for controlling a steer-by-wire system
WO2003056427A2 (en) * 2001-12-21 2003-07-10 Robert Bosch Gmbh Method and device for controlling the functional unit of a motor vehicle
DE10229342A1 (en) * 2002-06-29 2004-01-29 Robert Bosch Gmbh Graphics data-processing device for a screen in a car, e.g. for a tachometer, has an image data memory and a graphics controller
WO2007054275A2 (en) * 2005-11-12 2007-05-18 Diehl Aerospace Gmbh Method for monitoring the control of image representations
WO2008046686A1 (en) * 2006-10-19 2008-04-24 Robert Bosch Gmbh Method for operating a control device

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
KOPETZ H ED - KOPETZ H: "Chapter 6: fault tolerance", REAL-TIME SYSTEMS : DESIGN PRINCIPLES FOR DISTRIBUTED EMBEDDED APPLICATIONS; [KLUWER INTERNATIONAL SERIES IN ENGINEERING AND COMPUTER SCIENCE], NORWELL, MA : KLUWER ACADEMIC PUBL, US, 1 January 1998 (1998-01-01), USA, pages 119 - 143, XP002561456, ISBN: 978-0-7923-9894-3 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016203266A1 (en) * 2016-02-29 2017-08-31 Zf Friedrichshafen Ag Method for operating a display device and display device

Also Published As

Publication number Publication date
DE102008043089A1 (en) 2010-04-29

Similar Documents

Publication Publication Date Title
EP3709166B1 (en) Method and system for secure signal manipulation for testing integrated security functionalities
EP2447843B1 (en) Method for verifying an application program of an error-free memory-programmable control device and memory-programmable control device for carrying out the method
DE102017107284A1 (en) METHOD AND CONTROL DEVICE FOR MONITORING A PORTION NET OF A VEHICLE
EP3642716A1 (en) Device and method for controlling a vehicle module depending on a status signal
DE102018002156A1 (en) An improved control system and method for autonomous control of a motor vehicle
DE102017210156B4 (en) Device and method for controlling a vehicle module
DE102013203358A1 (en) Method for verifying integrity of sensitive vehicle control system, involves taking remedial action when fault is detected and resetting operation control module when fault is detected and remedial action is not taken
WO2010046200A1 (en) Method for monitoring the functionality of an electronic module
DE102017103724B4 (en) Device and method for controlling a sensor component of a safety system of an object, control system for an automotive vehicle and sensor component for a safety system of an automotive vehicle
DE102017105174B4 (en) Method for generating training data for monitoring a source of danger
EP1533505A2 (en) Method and apparatus for diagnosing failures in a control device for a vehicle combustion engine
DE102015202326A1 (en) Method for operating a data processing unit of a driver assistance system and data processing unit
EP3535965B1 (en) Method and device for monitoring an image sensor
EP1860565A1 (en) Method for performing a functional check of the control unit for a motor vehicle
EP3378006B1 (en) Method for loading of a secure memory image of a microcontroler and arrangement with a microcontroller
EP3470939B1 (en) Method and system for monitoring the security integrity of a security function provided by a security system
EP3470937A1 (en) Method and devices for monitoring the response time of a security function provided by a security system
DE102010026392B4 (en) Procedure for the safe parameterization of a safety device
DE102009012887B4 (en) Method for checking incorrect installation of vehicle sensors
EP3659032B1 (en) Method for operating a control unit, and device having an associated control unit
DE102017214610B4 (en) Method for checking at least one vehicle function and testing device
EP3789832B1 (en) Device and method for performing a safety function
EP2435915B1 (en) Reducing the response time in a system for monitoring a function computer
DE102019201708A1 (en) Apparatus and method for operating a system
DE102015221951A1 (en) Procedure for checking a monitoring function

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 09783481

Country of ref document: EP

Kind code of ref document: A1

122 Ep: pct application non-entry in european phase

Ref document number: 09783481

Country of ref document: EP

Kind code of ref document: A1