WO2018050491A1 - Überwachung von sicherheitsrelevanten funktionen durch eine nicht sichere recheneinheit - Google Patents

Überwachung von sicherheitsrelevanten funktionen durch eine nicht sichere recheneinheit Download PDF

Info

Publication number
WO2018050491A1
WO2018050491A1 PCT/EP2017/072240 EP2017072240W WO2018050491A1 WO 2018050491 A1 WO2018050491 A1 WO 2018050491A1 EP 2017072240 W EP2017072240 W EP 2017072240W WO 2018050491 A1 WO2018050491 A1 WO 2018050491A1
Authority
WO
WIPO (PCT)
Prior art keywords
secure
monitoring function
monitoring
computing unit
unit
Prior art date
Application number
PCT/EP2017/072240
Other languages
English (en)
French (fr)
Inventor
Frank Reichenbach
Original Assignee
Continental Automotive Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive Gmbh filed Critical Continental Automotive Gmbh
Priority to US16/333,313 priority Critical patent/US10963357B2/en
Publication of WO2018050491A1 publication Critical patent/WO2018050491A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/26Functional testing
    • G06F11/263Generation of test inputs, e.g. test vectors, patterns or sequences ; with adaptation of the tested hardware for testability with external testers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/26Functional testing
    • G06F11/261Functional testing by simulating additional hardware, e.g. fault simulation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software

Definitions

  • the invention relates to error monitoring for a complex arithmetic unit.
  • the invention relates to a STEU ⁇ er réelle with an error monitoring circuit, a vehicle, a method, a program element and a computer-readable medium.
  • Safety-critical computer programs such as those used in the automotive sector for example, have monitoring devices for protection against errors in the computing unit.
  • the error monitoring circuits monitor the executed programs and ensure that the arithmetic unit is functioning properly. If it is determined by the error monitoring circuit that an arithmetic unit is not performing the corresponding calculations as intended, the
  • Error monitoring circuit established a safe state.
  • watchdog circuits For this purpose, so-called watchdog circuits are used.
  • the watchdog circuits receive periodically a signal of the arithmetic unit.
  • the signals for the watchdog circuit must be e.g. take place in a predefined time window from the arithmetic unit to the watchdog circuit. If this is not the case, the watchdog circuit converts the arithmetic unit into a safe state and / or performs a reset. By resetting the circuit, the original parameters are restored and the program sequence can start anew.
  • the watchdog circuits require space on the circuits and are associated with costs.
  • a first aspect of the invention relates to a soupüberwa ⁇ monitoring circuit of a control device for a vehicle.
  • at least one arithmetic unit is a secure arithmetic unit, which has an operation of a monitoring function and monitoring of a monitoring function.
  • at least one arithmetic unit of the complex arithmetic unit can be a non-secure arithmetic unit, which has a monitoring function for monitoring the secure arithmetic unit.
  • the monitoring of the monitoring function of safe computing unit specifically changed the operation of the moni ⁇ monitoring function of safe computing unit cute to domestic failure in the monitoring function of the non-secure processing unit.
  • the induced errors can be, for example, the
  • the monitoring function of the non-secure arithmetic unit must recognize the induced errors in the operation of the monitoring function of the secure arithmetic unit and report this to the monitoring of the monitoring function of the secure arithmetic unit.
  • a non-secure arithmetic unit can take over the tasks of an external watchdog circuit.
  • the non-secure arithmetic unit monitors the secure arithmetic unit and ensures that it works properly. If the non-secure arithmetic unit detects an error on the secure arithmetic unit, the non-secure arithmetic unit can transfer the secure arithmetic unit to a safe state and / or restart the secure computing unit, which is also referred to as reset.
  • the special feature is that the secure processing unit in turn monitors the non-secure computing unit to make sure that the Matterwachungsfunktio ⁇ ality is given to the non-secure processing unit.
  • a complex arithmetic unit with at least two arithmetic units is provided, of which at least one arithmetic unit is a secure arithmetic unit and a second arithmetic unit can be used to monitor the secure arithmetic unit.
  • monitoring function As a fault monitoring circuit can be operated on the non-secure arithmetic unit, a program element having the functionality of a monitoring. This program ⁇ element is referred to as "monitoring function".
  • the operation of the monitoring function and the operation of monitoring the monitoring function can be done in a defined time window, ie the respective function must be operated in a predefined time window of the function to be monitored.
  • the operation of the function of the function to be monitored can take place up to a certain time, ie it starts a timer to run as soon as the monitoring function has been operated and until the timer expires, a new operation of the monitoring function must take place.
  • a third possibility is that the operation of the monitoring function does not consist of a pure heartbeat signal, but a task must be targeted, the results of the task to be monitored and the monitoring function are compared, ie the monitoring function and the function to be monitored lead the same Task off and the respective results must match. Subsequently, the first mentioned possibility is limited to prevent repetition.
  • the explanation of the invention takes place by way of example for all three possible implementations of the operation of the monitoring function in a predefined time window. It should be explicitly stated at this point, however, that the present invention can be implemented with all three possible reactions or any desired mixed forms from the three possible reactions.
  • the monitoring function expects a signal from the arithmetic unit to be monitored in previously defined, for example periodic time intervals. If the signal is sent in the defined time window, it can be assumed that the processing unit to be monitored is functioning correctly. If no signal is received from the computing unit to be monitored in the defined time window, it can be assumed that the monitored computing unit, in this case the secure computing unit, no longer performs its processes properly. In particular, it may be provided that in this case the monitoring function transfers the computing unit to be monitored to a safe state or restarts it by means of a reset.
  • At least two elements Pro ⁇ program running on the secure processing unit One element of the program will be referred to as "operation of the monitoring function.” This program element is used to surveil the ⁇ the monitoring function on the non-secure computing unit required signals m periodically defined intervals to supply.
  • the second program element is called "monitoring the monitoring function" and is used to monitor the monitoring function of the non-secure arithmetic unit
  • Monitoring the monitoring function of the safe arithmetic unit cyclically changes the operation of the monitoring function of the safe arithmetic unit
  • the induced errors can be, for example, the omission of the operation of the monitoring function or the timely operation of the monitoring function.
  • the monitoring function of the non-secure arithmetic unit must recognize the induced errors and must detect the detected errors in a defined reaction time via an information line or a bus
  • Monitoring the monitoring function of the secure arithmetic unit The feedback can be made, for example, via an error message monitoring function of the non-secure computer unit to the monitoring of the monitoring function of safe computing unit may be assumed that the monitoring function of the non-secure processing unit stops working ord ⁇ voltage according to.
  • the monitoring of the monitoring function converts the secure arithmetic unit into a safe state and / or restarts the safe arithmetic unit by a reset and thus resets the secure arithmetic unit to the original parameters.
  • the restart or the transfer of the secure computing unit in a safe state is typically after more than one error, so that the monitoring function of not secure computing unit can report the detected error monitoring the monitoring function on the secure computing unit.
  • a counter for counting the occurred error cases can be provided in the monitoring function and the monitoring of the monitoring function. When the counter exceeds a defined threshold value or a certain number of FEH ⁇ ler contactsn in a certain time breakdown occurred, restarting the secure processing unit or the placing in a safe condition occurs.
  • a counter it is possible to prevent the secure arithmetic unit from being restarted with every occurring error, in particular the induced errors.
  • the additionally required computing capacity for the invention on the two or more computing units can be kept very low.
  • the signals for the safe processing unit to be monitored accumulate at periodic intervals and thus do not require permanent computing power.
  • the monitoring of the monitoring function resources can be implemented gently, as this usually performs only the changes in the operation of the monitoring function and receives the error messages of the monitoring function.
  • safe and non-secure computing unit does not refer to the actual safety of the individual electrical components, but to the fact that the safe Computing unit and the program elements executed thereon, for example, in accordance with IS026262 (or other safety standards such as the IEC 61508) are certified and the requirements set in accordance with this standard are met. As a rule, the non-secure computing unit does not have certification according to IS026262.
  • the monitoring function of the non-secure arithmetic unit is not operated as expected in the previously defined time window by the operation of the monitoring function of the secure arithmetic unit, it is referred to as an error case.
  • Another error occurs when the monitoring function of the non-secure arithmetic unit does not recognize an error induced by the monitoring of the monitoring function of the secure arithmetic unit or not in the previously defined
  • Time window to the monitoring of the monitoring function of the secure processing unit reports back.
  • a further embodiment of the invention provides that the monitoring function of the non-secure arithmetic unit is executed, in the event of an error of the secure arithmetic unit, to detect the error and to report the error.
  • the monitoring function of the non-secure arithmetic unit can detect and report the errors on the secure arithmetic unit.
  • the operation of the monitoring function of the safe computing unit sends a signal to the monitoring function of the non-secure arithmetic unit at defined periodic intervals.
  • the monitoring function can assume an error in the program sequence of the safe processing unit.
  • the detected error can be detected by the monitoring function of the non-secure processing unit and ge ⁇ reports.
  • a further embodiment of the invention provides that in the event of a fault of the non-secure arithmetic unit, this is detected by monitoring the monitoring function of the secure arithmetic unit.
  • the non-secure computing ⁇ unit can no longer be monitored for errors.
  • Error monitoring of the non-secure arithmetic unit can be done by the secure arithmetic unit, ie by the arithmetic unit to be monitored.
  • the monitoring of the monitoring function of the secure computing unit alters the operation of the monitoring function of the secure computing unit in order to specifically induce errors in the monitoring function of the non-secure computing unit.
  • the monitoring function of the non-secure arithmetic unit must recognize the induced errors and report the detected errors to the monitoring of the monitoring function of the secure arithmetic unit.
  • the induced errors may be, for example, the failure of the operation or improper operation, for example, outside the time window.
  • a further embodiment of the invention provides that, in the event of a detected fault, the secure computing unit is transferred to a safe state. As soon as an error is detected, the safe computing unit can be transferred to a safe state.
  • the detected error can be detected both by the monitoring function of the non-secure arithmetic unit and by the monitoring of the monitoring function of the secure arithmetic unit.
  • the safe state describes a ground state in which the proper, safe operation of the
  • Control unit controlled components is guaranteed.
  • the restart or the transfer of the secure arithmetic unit to a safe state need not be forced after the first detected error case, it may be provided in particular that in the monitoring function and the monitoring of the monitoring function, a counter is provided for counting the occurred error cases. As soon as the counter exceeds a defined threshold value or a certain number of error cases has occurred within a certain period of time, the secure computing unit is restarted or transferred to a safe state.
  • a further embodiment of the invention provides that when a reported error, the secure computing unit is restarted.
  • the safe processing unit can be transferred to a safe state.
  • the safe state is established by a restart of the arithmetic unit. Restarting the secure arithmetic unit loads the original data and the program sequence on the secure arithmetic unit can begin again.
  • Another aspect of this invention relates to a vehicle having a controller described above and below.
  • the vehicle is, for example, a
  • a motor vehicle such as a car, bus or truck, or even a rail vehicle, a ship, an aircraft, such as a helicopter or airplane, or, for example, a bicycle.
  • the described control unit with at least two arithmetic units, of which at least one arithmetic unit is a secure arithmetic unit be installed in a vehicle.
  • the fault monitoring according to this invention can also be applied to many different controllers and electronic circuits. Even with non-safety-critical electronic circuits, this fault monitoring can be used.
  • the control unit can also be designed in the form of a PC, a mobile phone or a tablet.
  • Another aspect of the invention relates to a method for fault monitoring of a control device having two or more Re ⁇ chentician, wherein at least one arithmetic unit is a secure computing unit, and wherein at least one arithmetic unit is a non-secure arithmetic unit.
  • the method provides a targeted change in the operation of a monitoring function of the secure computing unit by monitoring a
  • Monitoring function of the secure computing unit before to induce a failure in the monitoring function of the non-secure arithmetic unit provides that the operation of the monitoring function of the non-secure computing unit takes place in a predefined time window by the operation of a monitoring function of the secure computing unit, including the targeted changes.
  • the induced errors may be, for example, the failure of the operation or improper operation, for example, outside the time window.
  • Further components of the method are: a monitoring of the secure arithmetic unit by the monitoring function of the do not secure the arithmetic unit, a detection of errors, report the detected induced error by the monitoring function of the non-secure arithmetic unit to the monitoring of the monitoring function of the secure arithmetic unit and establish a safe state of the secure arithmetic unit, in he ⁇ knew not induced errors by the monitoring function of not secure arithmetic unit or if the induced error is not detected by the monitoring function of the non-secure arithmetic unit.
  • the method for fault monitoring of a secure computing unit without an external watchdog circuit can be described as follows. To apply the method, a complex arithmetic unit with two or more arithmetic units is required. At least one of these arithmetic units is an IS026262 certified secure arithmetic unit.
  • the program elements for operating the monitoring function and monitoring the monitoring function are executed on the secure arithmetic unit.
  • the program element for monitoring the secure computing unit is executed on the non-secure arithmetic unit.
  • the method provides that the specific changes the actual operation of the monitoring ⁇ function of safe computing unit Per ⁇ program element monitor the monitoring function of the secure processing unit, so as to induce errors in the monitoring function of the non-secure processing unit, the induced errors are detected by the monitoring function and returned to the program element monitoring the monitoring function. If a response message from the non-secure arithmetic unit, the safe operation of the secure computing unit is given. If a non-induced error is detected by the monitoring function or an induced error is not detected, it can be assumed that the operation is no longer correct. Thus, the transfer of the secure processing unit in a secure State and / or will be restarted. By this method, a safe operation of the secure computing unit can be ensured without an external watchdog circuit is required.
  • Another aspect of the present invention relates to a program element that, when executed by a controller, directs the controller to perform the method described in the context of the present invention.
  • Another aspect of the present invention relates to a computer readable medium having stored thereon a computer program which, when executed by a controller, directs the controller to perform the method described in the context of the present invention.
  • Fig. 1 shows a control device with a Wegbergerwachungs ⁇ circuit by an external watchdog circuit.
  • FIG. 2 shows an error monitoring circuit for a control device according to an embodiment of the invention without an external watchdog circuit.
  • FIG. 3 shows a more detailed representation of a
  • Error monitoring circuit for a control device shows a flow chart for a method for fault monitoring according to an embodiment of the invention.
  • Fig. 5 shows a vehicle with a control unit with a
  • FIG. 6 shows a flowchart of a method for a
  • FIG. 1 shows a circuit 100 having a secure computing unit 110, a non-secure computing unit 130 and a watchdog circuit 150.
  • the secure computing unit 110 sends a periodic signal to the watchdog circuit 150 in a predefined time window.
  • Circuit 150 determines that the signal has not occurred within the previously defined time window, the watchdog circuit converts the secure computing unit 110 into a safe state and / or initiates an external reset of the secure computing unit 110.
  • the initial configuration of the secure arithmetic unit 110 is loaded and the program cycle starts again.
  • the external watchdog circuit 150 is additional space on the
  • Circuit 100 is needed, which in turn leads to higher costs.
  • Fig. 2 shows a circuit 200 with a secure computing ⁇ unit 110 and a non-secure computing unit 130.
  • the secure computing unit is monitored by the non-secure computing unit 130 110.
  • the non-secure arithmetic unit 130 and the secure arithmetic unit 110 assume the tasks of the watchdog circuit 150.
  • the secure arithmetic unit 110 is replaced by the non-secure arithmetic unit 130 monitored, this in turn is monitored by the secure computing ⁇ unit 110.
  • the two arithmetic units 110, 130 monitor each other.
  • FIG. 3 shows a detailed view of the structure according to FIG. 2.
  • the secure arithmetic unit 110 two program elements are executed. One program element is referred to as operating the monitoring function 120 and the other program element is referred to as monitoring the monitoring function 125. On the non-secure arithmetic unit 130 there is a program element, which is the monitoring function 135.
  • the monitoring function 135 on the non-secure arithmetic unit 130 together with the monitoring of the monitoring function 125, performs the tasks of the watchdog circuit 150 of FIG. 1.
  • the secure arithmetic unit 110 must send the signal for operating the monitoring function 120 to the monitoring function 135 in a predefined time window of the non-secure arithmetic unit 130. If the signal is not present, the non-secure computing unit 130 initiates the transfer of the secure computing unit 110 to a safe state and / or a reset of the secure computing unit 110 is performed.
  • a subsequently occurring error in the operation of the monitoring function 120 is selectively changed by monitoring the monitoring function 125 on the secure computing unit 110 in order to induce errors in the monitoring function 135 on the non-secure computing unit 130.
  • the induced errors must be detected by the monitoring function 135 on the non-secure computing unit 130 and returned to the monitoring of the monitoring function 125 on the secure computing unit 110. If there is no feedback by the monitoring function 135 on the non-secure arithmetic unit 130 in a predefined time window, it is assumed that the monitoring function 135 on the non-secure arithmetic unit 130 no longer functions properly.
  • the monitoring of the monitoring function 125 causes the safe computing unit 110 to be transferred to a safe state and / or the reset of the secure computing unit 110. This ensures that the functionality of a secure computing unit 110 is also present without an external watchdog circuit.
  • step 401 a targeted change of an operation of a monitoring function of the secure computing unit by monitoring a
  • Step 402 the operation of the monitoring function of the non-secure computing unit by the secure computing unit including the changed signal is described.
  • Step 403 is for monitoring the secure
  • step 404 the detected faults are signaled to the monitoring of the monitoring function of the secure processing unit, which is controlled by the Monitoring function of the non-secure computing unit were detected.
  • step 405 the production of a safe state of the secure computing unit for a detected not duziertem in ⁇ error by the monitoring function of the non-secure processing unit or not detection of the induced error by the monitoring function of the non-secure computing unit takes place.
  • FIG. 5 shows a vehicle 501 with a control unit 500 having an error monitoring circuit 200 according to the present invention.
  • the error monitoring circuit has a secure computing unit 110 and a non-secure computing unit 130 for monitoring the secure computing unit 110.
  • Fig. 6 is a flow chart in which the flow of the method of the present invention is explained in more detail. In particular, it can be seen from this how the individual decisions are handled in the event of a fault or how it is ensured that the secure operation of the secure computing unit is ensured.
  • the monitoring of the monitoring function alters the operation of the monitoring function.
  • the operation of the monitoring function then operates the monitoring function at periodic intervals. If the monitoring function is not operated, a safe state of the safe computing unit is established and / or a reset is carried out. If the monitoring function is operated correctly by operating the monitoring function, the monitoring function must detect the changes in the monitoring of the monitoring function in the operation of the monitoring function. If the monitoring function does not detect the errors, the safe state is established and / or the reset is carried out. If a fault is detected, it must be reported to the monitoring function become. If there is no message or if the message is displayed outside of the time window, the safe state is established and / or a reset is carried out. If the monitoring function served within the time window, the monitoring system has detected the error and reported, safe operation is ensured ge ⁇ .

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Ein erster Aspekt der Erfindung betrifft eine Fehlerüberwachungsschaltung (200) eines Steuergerätes (500) für ein Fahrzeug. Hierbei ist mindestens eine Recheneinheit eine sicherere Recheneinheit (110), welche eine Bedienung einer Überwachungsfunktion (120) und eine Überwachung einer Überwachungsfunktion (125) aufweist. Des Weiteren kann mindestens eine Recheneinheit der komplexen Recheneinheit eine nicht sicherere Recheneinheit (130) sein, welche eine Überwachungsfunktion (135) zur Überwachung der sicheren Recheneinheit (110) aufweist. Die Überwachung der Überwachungsfunktion (125) der sicheren Recheneinheit (110) verändert gezielt die Bedienung der Überwachungsfunktion (120) der sicheren Recheneinheit (110), um Fehler in die Überwachungsfunktion (135) der nicht sicheren Recheneinheit (130) zu induzieren. Die Überwachungsfunktion (135) der nicht sicheren Recheneinheit (130) muss die induzierten Fehler der Bedienung der Überwachungsfunktion (125) der sicheren Recheneinheit (110) erkennen und diese der Überwachung der Überwachungsfunktion (125) der sicheren Recheneinheit (110) melden.

Description

Beschreibung
Überwachung von sicherheitsrelevanten Funktionen durch eine nicht sichere Recheneinheit
Die Erfindung betrifft eine Fehlerüberwachung für eine komplexe Recheneinheit. Insbesondere betrifft die Erfindung ein Steu¬ ergerät mit einer Fehlerüberwachungsschaltung, ein Fahrzeug, ein Verfahren, ein Programmelement und ein computerlesbares Medium.
Sicherheitskritische Computerprogramme, wie sie zum Beispiel im Automobilbereich zum Einsatz kommen, weisen Überwachungseinrichtungen zum Schutz vor Fehlern in der Recheneinheit auf. Die Fehlerüberwachungsschaltungen überwachen die ausgeführten Programme und stellen sicher, dass die Recheneinheit korrekt funktioniert. Wird durch die Fehlerüberwachungsschaltung festgestellt, dass eine Recheneinheit nicht wie vorgesehen die entsprechenden Berechnungen durchführt, wird durch die
Fehlerüberwachungsschaltung ein sicherer Zustand hergestellt.
Hierfür werden unter anderem sogenannte Watchdog-Schaltungen verwendet. Die Watchdog-Schaltungen erhalten periodisch ein Signal der Recheneinheit. Die Signale für die Watchdog-Schaltung müssen z.B. in einem vorher definierten Zeitfenster von der Recheneinheit an die Watchdog-Schaltung erfolgen. Ist dies nicht der Fall, überführt die Watchdog-Schaltung die Recheneinheit in einen sicheren Zustand und / oder führt einen Reset aus. Durch den Reset der Schaltung werden die ursprünglichen Parameter wiederhergestellt und der Programmablauf kann vom neuem be- ginnen.
Die Watchdog-Schaltungen benötigen Platz auf den Schaltkreisen und sind mit Kosten verbunden.
Es ist die Aufgabe der Erfindung die Fehlerüberwachung für eine Recheneinheit sicherzustellen.
Diese Aufgabe wird durch die Gegenstände der unabhängigen Ansprüche gelöst . Ausführungsformen und Weiterbildungen sind den abhängigen Ansprüchen, der Beschreibung und den Figuren zu entnehmen .
Ein erster Aspekt der Erfindung betrifft eine Fehlerüberwa¬ chungsschaltung eines Steuergerätes für ein Fahrzeug. Hierbei ist mindestens eine Recheneinheit eine sichere Recheneinheit, welche eine Bedienung einer Überwachungsfunktion und eine Überwachung einer Überwachungsfunktion aufweist. Des Weiteren kann mindestens eine Recheneinheit der komplexen Recheneinheit eine nicht sichere Recheneinheit sein, welche eine Überwa- chungsfunktion zur Überwachung der sicheren Recheneinheit aufweist. Die Überwachung der Überwachungsfunktion der sicheren Recheneinheit verändert gezielt die Bedienung der Überwa¬ chungsfunktion der sicheren Recheneinheit, um Fehler in die Überwachungsfunktion der nicht sicheren Recheneinheit zu in- duzieren. Die induzierten Fehler können beispielsweise das
Ausfallen der Bedienung oder das nicht ordnungsgemäße Bedienen z.B. außerhalb des Zeitfensters sein. Die Überwachungsfunktion der nicht sicheren Recheneinheit muss die induzierten Fehler der Bedienung der Überwachungsfunktion der sicheren Recheneinheit erkennen und diese der Überwachung der Überwachungsfunktion der sicheren Recheneinheit melden.
Mit anderen Worten, kann eine nicht sichere Recheneinheit die Aufgaben einer externen Watchdog-Schaltung übernehmen. Die nicht sichere Recheneinheit überwacht die sichere Recheneinheit und stellt sicher, dass diese ordnungsgemäß funktioniert. Sollte die nicht sichere Recheneinheit einen Fehler auf der sicheren Recheneinheit feststellen, kann die nicht sichere Recheneinheit die sichere Recheneinheit in einen sicheren Zustand überführen und/oder die sichere Recheneinheit neu starten, was auch als Reset bezeichnet wird. Die Besonderheit liegt darin, dass die sichere Recheneinheit ihrerseits die nicht sichere Recheneinheit überwacht, um sicherzustellen, dass die Überwachungsfunktio¬ nalität der nicht sicheren Recheneinheit gegeben ist. Um die Fehlerüberwachung durchzuführen ist eine komplexe Recheneinheit mit mindestens zwei Recheneinheiten vorgesehen, wovon mindestens eine Recheneinheit eine sichere Recheneinheit ist und eine zweite Recheneinheit zur Überwachung der sicheren Recheneinheit dienen kann .
Als Fehlerüberwachungsschaltung kann auf der nicht sicheren Recheneinheit ein Programmelement betrieben werden, welches die Funktionalität einer Überwachung aufweist. Dieses Programm¬ element wird nachfolgend als „Überwachungsfunktion" bezeichnet.
Für die Bedienung der Überwachungsfunktion und für die Bedienung der Überwachung der Überwachungsfunktion sind prinzipiell drei verschiedene mögliche Umsetzungen gegeben. Als erstes kann die Bedienung der Überwachungsfunktion und die Bedienung der Überwachung der Überwachungsfunktion in einem definierten Zeitfenster erfolgen, d.h. die jeweilige Funktion muss in einer vorher definierten Zeitfenster von der zu überwachenden Funktion bedient werden. Als zweites kann die Bedienung der Funktion von der zu überwachenden Funktion bis zu einem bestimmten Zeitpunkt erfolgen, d.h. es beginnt ein Timer zu laufen sobald die Überwachungsfunktion bedient wurde und bis der Timer abläuft muss eine erneute Bedienung der Überwachungsfunktion erfolgen. Eine dritte Möglichkeit besteht darin, dass die Bedienung der Überwachungsfunktion nicht aus einem reinen Heartbeat Signal besteht, sondern eine Aufgabe gezielt gelöst werden muss, wobei die Ergebnisse der Aufgabe der zu überwachenden Funktion und der Überwachungsfunktion verglichen werden, d.h. die Überwachungsfunktion und die zu überwachende Funktion führen dieselbe Aufgabe aus und die jeweiligen Ergebnisse müssen übereinstimmen. Nachfolgend wird sich auch die erste genannte Möglichkeit beschränkt, um Wiederholungen vorzubeugen. Somit erfolgt die Erläuterung der Erfindung beispielhaft für alle drei möglichen Umsetzungen an der Bedienung der Überwachungsfunktion in einem vorher definierten Zeitfenster. Es sei an dieser Stelle aber explizit darauf hingewiesen, dass die vorliegende Erfindung mit allen drei möglichen Umsetzungen oder beliebigen Mischformen aus den drei möglichen Umsetzungen realisiert werden kann.
Die Überwachungsfunktion erwartet in vorher definierten, beispielsweise periodischen Zeitabständen ein Signal von der zu überwachenden Recheneinheit. Wird das Signal in dem definierten Zeitfenster gesendet, kann davon ausgegangen werden, dass die zu überwachende Recheneinheit korrekt funktioniert. Wird kein Signal von der zu überwachenden Recheneinheit in dem definierten Zeitfenster erhalten, kann davon ausgegangen werden, dass die zu überwachende, in diesem Fall die sichere Recheneinheit ihre Prozesse nicht mehr ordnungsgemäß ausführt. Es kann insbesondere vorgesehen sein, dass in diesem Fall die Überwachungsfunktion die zu überwachende Recheneinheit in einen sicheren Zustand überführt oder diese durch einen Reset neu startet.
Aufgrund der Tatsache, dass es nicht ausgeschlossen ist, dass die Überwachungsfunktion auf der nicht sicheren Recheneinheit ausfällt, kann diese durch die sichere Recheneinheit überwacht werden .
Um die Fehlerüberwachung gemäß der Erfindung sicherzustellen, werden auf der sicheren Recheneinheit mindestens zwei Pro¬ grammelemente ausgeführt. Das eine Programmelement wird nachfolgend mit „Bedienung der Überwachungsfunktion" bezeichnet. Dieses Programmelement dient dazu, die Überwa¬ chungsfunktion auf der nicht sicheren Recheneinheit mit den benötigten Signalen m periodischen definierten Abständen zu versorgen. Das zweite Programmelement wird als „Überwachung der Überwachungsfunktion" bezeichnet und dient der Überwachung der Überwachungsfunktion der nicht sicheren Recheneinheit. Die Überwachung der Überwachungsfunktion der sicheren Recheneinheit verändert zyklisch die Bedienung der Überwachungsfunktion der sicheren Recheneinheit. Hierdurch werden gezielt Fehler in der Überwachungsfunktion der nicht sicheren Recheneinheit induziert. Die induzierten Fehler können z.B. das Wegfallen der Bedienung der Überwachungsfunktion oder das nicht zeitgerechte Bedienen der Überwachungsfunktion sein. Die Überwachungsfunktion der nicht sicheren Recheneinheit muss die induzierten Fehler erkennen und muss die erkannten Fehler in einer definierten Reaktionszeit über eine Informationsleitung oder einen Bus an die Überwachung der Überwachungsfunktion der sicheren Recheneinheit zurückmelden. Die Rückmeldung kann beispielsweise über eine Fehlernachricht erfolgen. Unterbleibt die Rückmeldung der Überwachungsfunktion der nicht sicheren Recheneinheit an die Überwachung der Überwachungsfunktion der sicheren Recheneinheit, kann davon ausgegangen werden, dass die Überwachungsfunktion der nicht sicheren Recheneinheit nicht mehr ord¬ nungsgemäß funktioniert. Da es in diesem Fall wahrscheinlich ist, dass die Überwachungsfunktion der nicht sicheren Recheneinheit nicht mehr ordnungsgemäß funktioniert, kann der sichere Betrieb der sicheren Recheneinheit nicht mehr garantiert werden. In diesem Fall kann vorgesehen sein, dass die Überwachung der Überwachungsfunktion die sichere Recheneinheit in einen sicheren Zustand überführt und/oder die sichere Recheneinheit durch einen Reset neu startet und somit die sichere Recheneinheit auf die ursprünglichen Parameter zurücksetzt.
Der Neustart bzw. das Überführen der sicheren Recheneinheit in einen sicheren Zustand erfolgt typischer Weise nach mehr als einem Fehlerfall, sodass die Überwachungsfunktion der nicht sicheren Recheneinheit den erkannten Fehler der Überwachung der Überwachungsfunktion auf der sicheren Recheneinheit melden kann. Hierfür kann in der Überwachungsfunktion und der Überwachung der Überwachungsfunktion ein Zähler zum Zählen der aufgetretenen Fehlerfälle vorgesehen sein. Sobald der Zähler einen definierten Schwellwert überschreitet bzw. eine gewisse Anzahl von Feh¬ lerfällen in einer bestimmten Zeitpanne aufgetreten sind, erfolgt der Neustart der sicheren Recheneinheit oder die Überführung in einen sicheren Zustand. Durch Verwendung eines Zählers kann verhindert werden, dass die sichere Recheneinheit bei jedem auftretenden Fehler, insbesondere den induzierten Fehlern neu gestartet wird.
Durch den Wegfall der externen Watchdog-Schaltung kann Bauraum eingespart werden. Es werden keine zusätzlichen Komponenten benötigt, da die komplexe Recheneinheit im Regelfall bereits alle für die Überwachung erforderlichen Bestandteile aufweist. Auch die Kommunikationspfade zwischen den einzelnen Recheneinheiten sind im Regelfall bei einer komplexen Recheneinheit bereits gegeben.
Die für die Erfindung zusätzlich benötigten Rechenkapazitäten auf den zwei oder mehr Recheneinheiten können sehr gering gehalten werden. Die Signale für die zu überwachende sichere Recheneinheit fallen in periodischen Zeitabständen an und benötigen somit nicht dauerhaft Rechenleistung. Auch die Überwachung der Überwachungsfunktion kann Ressourcen schonend umgesetzt werden, da diese im Regelfall nur die Veränderungen der Bedienung der Überwachungsfunktion ausführt und die Fehler- nachrichten der Überwachungsfunktion erhält.
Die Begriffe „sichere" und„nicht sichere" Recheneinheit bezieht sich nicht auf die tatsächliche Sicherheit der einzelnen elektrischen Bauelemente, sondern darauf, dass die sichere Recheneinheit und die darauf ausgeführten Programmelemente beispielsweise gemäß IS026262 (oder anderen Sicherheitsnormen wie der IEC 61508) zertifiziert sind und die gemäß dieser Norm gesetzten Vorgaben erfüllt werden. Die nicht sichere Rechen- einheit weist im Regelfall keine Zertifizierung gemäß IS026262 auf .
Wird die Überwachungsfunktion der nicht sicheren Recheneinheit nicht wie erwartet in dem vorher definierten Zeitfenster von der Bedienung der Überwachungsfunktion der sicheren Recheneinheit bedient, wird von einem Fehlerfall gesprochen. Ein weiterer Fehlerfall liegt vor, wenn die Überwachungsfunktion der nicht sicheren Recheneinheit einen durch die Überwachung der Überwachungsfunktion der sicheren Recheneinheit induzierten Fehler nicht erkennt oder diesen nicht in dem vorher definierten
Zeitfenster an die Überwachung der Überwachungsfunktion der sicheren Recheneinheit zurückmeldet.
Eine weitere Ausführungsform der Erfindung sieht vor, dass die Überwachungsfunktion der nicht sicheren Recheneinheit ausgeführt ist, im Fehlerfall der sicheren Recheneinheit, den Fehler zu detektieren und den Fehler zu melden.
Die Überwachungsfunktion der nicht sicheren Recheneinheit kann die Fehler auf der sicheren Recheneinheit detektieren und diese melden. Die Bedienung der Überwachungsfunktion der sicheren Recheneinheit sendet in definierten periodischen Abständen ein Signal an die Überwachungsfunktion der nicht sicheren Recheneinheit. Sobald die Überwachungsfunktion das Signal nicht oder nicht wie gefordert erhält, kann die Überwachungsfunktion von einem Fehler im Programmablauf der sicheren Recheneinheit ausgehen. Der erkannte Fehler kann durch die Überwachungsfunktion der nicht sicheren Recheneinheit detektiert und ge¬ meldet werden. Eine weitere Ausführungsform der Erfindung sieht vor, dass die im Fehlerfall der nicht sicheren Recheneinheit, dieses durch die Überwachung der Überwachungsfunktion der sicheren Recheneinheit detektiert wird.
Durch einen Fehler der Überwachungsfunktion ist der sichere Betrieb der sicheren Recheneinheit nicht mehr gewährleistet.
Im Fall eines Fehlers in der Überwachungsfunktion auf der nicht sicheren Recheneinheit, kann auch die nicht sichere Rechen¬ einheit nicht mehr auf Fehler überwacht werden. Die
Fehlerüberwachung der nicht sicheren Recheneinheit kann hierbei durch die sichere Recheneinheit, also durch die zu überwachende Recheneinheit, geschehen. Hierzu verändert die Überwachung der Überwachungsfunktion der sicheren Recheneinheit die Bedienung der Überwachungsfunktion der sicheren Recheneinheit, um so gezielt Fehler in der Überwachungsfunktion der nicht sicheren Recheneinheit zu induzieren. Die Überwachungsfunktion der nicht sicheren Recheneinheit muss die induzierten Fehler erkennen und die erkannten Fehler der Überwachung der Überwachungsfunktion der sicheren Recheneinheit melden. Die induzierten Fehler können beispielsweise das Ausfallen der Bedienung oder das nicht ordnungsgemäße Bedienen z.B. außerhalb des Zeitfensters sein. Wird ein induzierter Fehler der Überwachung der Überwa- chungsfunktion der sicheren Recheneinheit nicht gemeldet, kann davon ausgegangen werden, dass die Überwachungsfunktion der nicht sicheren Recheneinheit nicht mehr ordnungsgemäß funk¬ tioniert. Dieses Fehlverhalten der nicht sicheren Recheneinheit kann durch die Überwachung der Überwachungsfunktion der sicheren Recheneinheit detektiert werden.
Eine weitere Ausführungsform der Erfindung sieht vor, dass bei einem detektierten Fehler die sichere Recheneinheit in einen sicheren Zustand überführt wird. Sobald ein Fehler detektiert ist, kann die sichere Recheneinheit in einen sicheren Zustand überführt werden. Der detektierte Fehler kann sowohl von der Überwachungsfunktion der nicht sicheren Recheneinheit, als auch von der Überwachung der Überwachungsfunktion der sicheren Recheneinheit detektiert werden. Der sichere Zustand beschreibt einen Grundzustand, im welchem der ordnungsgemäße, sichere Betrieb der von dem
Steuergerät gesteuerten Komponenten gewährleistet ist. Der Neustart bzw. das Überführen der sicheren Recheneinheit in einen sicheren Zustand muss nicht gezwungener Maßen nach dem ersten detektierten Fehlerfall erfolgen, es kann insbesondere vorgesehen sein, dass in der Überwachungsfunktion und der Überwachung der Überwachungsfunktion ein Zähler zum Zählen der aufgetretenen Fehlerfälle vorgesehen ist. Sobald der Zähler einen definierten Schwellwert überschreitet bzw. eine gewisse Anzahl von Fehlerfällen in einer bestimmten Zeitpanne aufgetreten ist, erfolgt der Neustart der sicheren Recheneinheit oder die Überführung in einen sicheren Zustand. Eine weitere Ausführungsform der Erfindung sieht vor, dass bei einem gemeldeten Fehler die sichere Recheneinheit neu gestartet wird .
Sobald ein Fehler gemeldet ist, kann die sichere Recheneinheit in einen sicheren Zustand überführt werden. In diesem Fall wird der sichere Zustand durch einen Neustart der Recheneinheit hergestellt. Durch den Neustart der sicheren Recheneinheit werden die ursprünglichen Daten geladen und der Programmablauf auf der sicheren Recheneinheit kann von neuem beginnen.
Ein weiterer Aspekt dieser Erfindung betrifft ein Fahrzeug mit einem oben und im Folgenden beschriebenen Steuergerät. Bei dem Fahrzeug handelt es sich beispielsweise um ein
Kraftfahrzeug, wie Auto, Bus oder Lastkraftwagen, oder aber auch um ein Schienenfahrzeug, ein Schiff, ein Luftfahrzeug, wie Helikopter oder Flugzeug, oder beispielsweise um ein Fahrrad.
In einer Ausführungsform der Erfindung kann das beschriebene Steuergerät mit mindestens zwei Recheneinheiten, wovon zumindest eine Recheneinheit eine sichere Recheneinheit ist, in einem Fahrzeug verbaut sein. Die Fehlerüberwachung gemäß dieser Erfindung kann auch auf vielen unterschiedlichen Steuergeräten und elektronischen Schaltungen eingesetzt werden. Auch bei nicht sicherheitskritischen elektronischen Schaltungen kann diese Fehlerüberwachung eingesetzt werden. Das Steuergerät kann auch in Form eines PCs, eines Mobiltelefons oder eines Tablets ausgeführt sein.
Ein weiterer Aspekt der Erfindung betrifft ein Verfahren für eine Fehlerüberwachung eines Steuergeräts mit zwei oder mehr Re¬ cheneinheit, wobei mindestens eine Recheneinheit eine sicherere Recheneinheit ist, und wobei mindestens eine Recheneinheit eine nicht sicherere Recheneinheit ist. Das Verfahren sieht ein gezieltes verändern einer Bedienung einer Überwachungsfunktion der sicheren Recheneinheit durch eine Überwachung einer
Überwachungsfunktion der sicheren Recheneinheit vor, um ein Fehler in der Überwachungsfunktion der nicht sicheren Recheneinheit zu induzieren. Des Weiteren sieht das Verfahren vor, dass das Bedienen der Überwachungsfunktion der nicht sicheren Recheneinheit in einem vorher definierten Zeitfenster durch die Bedienung einer Überwachungsfunktion der sicheren Recheneinheit inklusive der gezielten Veränderungen erfolgt. Die induzierten Fehler können beispielsweise das Ausfallen der Bedienung oder das nicht ordnungsgemäße Bedienen z.B. außerhalb des Zeitfensters sein. Weitere Bestandteile des Verfahren sind: eine Überwachung der sichern Recheneinheit durch die Überwachungsfunktion der nicht sichern Recheneinheit, eine Detektion von Fehlern, melden der detektierten induzierten Fehler durch die Überwachungsfunktion der nicht sichern Recheneinheit an die Überwachung der Überwachungsfunktion der sicheren Recheneinheit und herstellen eines sicheren Zustandes der sicheren Recheneinheit, bei er¬ kannten nicht induzierten Fehler durch die Überwachungsfunktion der nicht sicheren Recheneinheit oder bei nicht Erkennung des induzierten Fehlers durch die Überwachungsfunktion der nicht sicheren Recheneinheit.
Das Verfahren für eine Fehlerüberwachung einer sicheren Recheneinheit ohne eine externe Watchdog-Schaltung kann wie folgt beschrieben werden. Zum Anwenden des Verfahrens wird eine komplexe Recheneinheit mit zwei oder mehr Recheneinheit be- nötigt. Mindestens eine dieser Recheneinheiten ist ein gemäß IS026262 zertifizierte sichere Recheneinheit. Auf der sicheren Recheneinheit werden die Programmelemente zur Bedienung der Überwachungsfunktion und zur Überwachung der Überwachungsfunktion ausgeführt. Auf der nicht sicheren Recheneinheit wird das Programmelement für die Überwachung der sicheren Recheneinheit ausgeführt. Das Verfahren sieht vor, dass das Pro¬ grammelement Überwachung der Überwachungsfunktion der sicheren Recheneinheit die eigentliche Bedienung der Überwachungs¬ funktion der sicheren Recheneinheit gezielt verändert, um so Fehler in der Überwachungsfunktion der nicht sicheren Recheneinheit zu induzieren, werden die induzierten Fehler durch die Überwachungsfunktion erkannt und an das Programmelement Überwachung der Überwachungsfunktion zurückgemeldet. Erfolgt eine Rückmeldung der nicht sicheren Recheneinheit, ist der sichere Betrieb der sicheren Recheneinheit gegeben. Wird ein nicht induzierter Fehler durch die Überwachungsfunktion erkannt oder ein induzierter Fehler nicht erkannt, kann von einem nicht mehr ordnungsgemäßen Betrieb ausgegangen werden. Somit erfolgt die Überführung der sicheren Recheneinheit in einen sicheren Zustand und/oder wird neu gestartet. Durch dieses Verfahren kann ein sicherer Betrieb der sicheren Recheneinheit sichergestellt werden, ohne dass eine externe Watchdog-Schaltung erforderlich ist .
Ein weiterer Aspekt der vorliegenden Erfindung betrifft ein Programmelement, das, wenn es von einem Steuergerät ausgeführt wird, das Steuergerät anleitet, das im Kontext der vorliegenden Erfindung beschriebene Verfahren durchzuführen.
Ein weiterer Aspekt der vorliegenden Erfindung betrifft ein computerlesbares Medium, auf dem ein Computerprogramm gespeichert ist, das, wenn es von einem Steuergerät ausgeführt wird, das Steuergerät anleitet, das im Kontext der vorliegenden Erfindung beschriebene Verfahren durchzuführen.
Weitere Merkmale, Vorteile und Anwendungsmöglichkeiten der Erfindung ergeben sich aus der nachfolgenden Beschreibung der Ausführungsbeispiele und Figuren.
Die Figuren sind schematisch und nicht maßstabsgetreu. Sind in der nachfolgenden Beschreibung in verschiedenen Figuren die gleichen Bezugszeichen angegeben, so bezeichnen diese gleiche oder ähnliche Elemente. Fig. 1 zeigt ein Steuergerät mit einer Fehlerüberwachungs¬ schaltung durch eine externe Watchdog-Schaltung.
Fig. 2 zeigt eine Fehlerüberwachungsschaltung für ein Steuergerät gemäß einem Ausführungsbeispiel der Erfindung ohne eine externen Watchdog-Schaltung.
Fig. 3 zeigt eine detailliertere Darstellung einer
Fehlerüberwachungsschaltung für ein Steuergerät gemäß einem Ausführungsbeispiel . Fig. 4 zeigt ein Flussdiagram für ein Verfahren für eine Fehlerüberwachung gemäß einem Ausführungsbeispiel der Erfindung . Fig. 5 zeigt ein Fahrzeug mit einem Steuergerät mit einer
Fehlerüberwachungsschaltung gemäß einem Ausführungsbeispiel der Erfindung .
Fig. 6 zeigt ein Flussdiagram eines Verfahrens für eine
Fehlerüberwachung inklusiver Entscheidungspfade gemäß einem Ausführungsbeispiel der Erfindung.
Fig. 1 zeigt einen Schaltkreis 100 mit einer sicheren Recheneinheit 110, einer nicht sicheren Recheneinheit 130 und einer Watchdog-Schaltung 150. Die sichere Recheneinheit 110 sendet in einem vorher definierten Zeitfenster ein periodisches Signal an die Watchdog-Schaltung 150. Wird durch die Watchdog-Schaltung 150 festgestellt, dass das Signal nicht innerhalb des vorher definierten Zeitfensters erfolgt ist, überführt die Watch- dog-Schaltung die sichere Recheneinheit 110 in einen sicheren Zustand und/oder veranlasst einen externen Reset der sicheren Recheneinheit 110. Durch den Reset der sicheren Recheneinheit 110 wird die Ursprungskonfiguration der sicheren Recheneinheit 110 geladen und der Programmablauf beginnt von neuem. Durch die externe Watchdog-Schaltung 150 wird zusätzlich Raum auf dem
Schaltkreis 100 benötigt, was wiederum zu höheren Kosten führt.
Fig. 2 zeigt eine Schaltkreis 200 mit einer sicheren Rechen¬ einheit 110 und einer nicht sicheren Recheneinheit 130. In diesem Ausführungsbeispiel wird die sichere Recheneinheit 110 durch die nicht sichere Recheneinheit 130 überwacht. Hierbei übernehmen die nicht sichere Recheneinheit 130 und die sichere Recheneinheit 110 die Aufgaben der Watchdog-Schaltung 150. Die sichere Recheneinheit 110 wird durch die nicht sichere Recheneinheit 130 überwacht, diese wird wiederum die durch die sichere Rechen¬ einheit 110 überwacht. Mit anderen Worten überwachen sich die beiden Recheneinheiten 110, 130 gegenseitig. Sobald ein Fehler festgestellt wird, wird die sichere Re¬ cheneinheit 110 in einen sicheren Zustand überführt und/oder einen externen Reset der sicheren Recheneinheit 110 veranlasst. Durch den Reset der sicheren Recheneinheit 110 wird die Ur¬ sprungskonfiguration der sicheren Recheneinheit 110 geladen und der Programmablauf beginnt von neuem. Durch diese Integration der Funktionalität auf die beiden Recheneinheiten, kann eine externe Watchdog-Schaltung wegfallen. Hierdurch werden Kosten und Platz auf dem Schaltkreis 200 eingespart. Fig. 3 zeigt in eine detaillierte Ansicht für den Aufbau gemäß Fig. 2. In der sicheren Recheneinheit 110 werden zwei Programmelemente ausgeführt. Das eine Programmelement wird als Bedienung der Überwachungsfunktion 120 bezeichnet und das andere Programmelement wird als Überwachung der Überwachungsfunktion 125 bezeichnet. Auf der nicht sicheren Recheneinheit 130 ist ein Programmelement vorhanden, welches die Überwachungsfunktion 135 ist. Die Überwachungsfunktion 135 auf der nicht sicheren Recheneinheit 130 übernimmt zusammen mit der Überwachung der Überwachungsfunktion 125 die Aufgaben der Watchdog-Schaltung 150 aus Fig. 1. Die sichere Recheneinheit 110 muss in einem vorher definierten Zeitfenster das Signal zur Bedienung der Überwachungsfunktion 120 an die Überwachungsfunktion 135 der nicht sicheren Recheneinheit 130 senden. Unterbleibt das Signal, wird durch die nicht sichere Recheneinheit 130 das Überführen der sicheren Recheneinheit 110 in einen sicheren Zustand veranlasst und/oder ein Reset der sicheren Recheneinheit 110 durchgeführt.
Um auszuschließen, dass bei einem Fehler in der nicht sicheren Recheneinheit 130 ein anschließend auftretender Fehler in der sicheren Recheneinheit 110 zu einem Ausfall des Gesamtsystems führt, wird die Bedienung der Überwachungsfunktion 120 durch die Überwachung der Überwachungsfunktion 125 auf der sicheren Recheneinheit 110 gezielt verändert, um Fehler in der Über- wachungsfunktion 135 auf der nicht sicheren Recheneinheit 130 zu induzieren. Die induzierten Fehler müssen durch die Überwachungsfunktion 135 auf der nicht sicheren Recheneinheit 130 erkannt werden und an die Überwachung der Überwachungsfunktion 125 auf der sicheren Recheneinheit 110 zurückgemeldet werden. Erfolgt keine Rückmeldung durch die Überwachungsfunktion 135 auf der nicht sicheren Recheneinheit 130 in einem vorher definierten Zeitfenster, wird davon ausgegangen, dass die Überwachungsfunktion 135 auf der nicht sicheren Recheneinheit 130 nicht mehr ordnungsgemäß funktioniert. Somit veranlasst die Überwachung der Überwachungsfunktion 125 das Überführen der sicheren Recheneinheit 110 in einen sicheren Zustand und/oder den Reset der sicheren Recheneinheit 110. Somit wird sichergestellt, dass auch ohne eine externe Watchdog-Schaltung die Funktionalität einer sicheren Recheneinheit 110 gegeben ist.
Fig. 4 zeigt ein Flussdiagram für ein Verfahren gemäß einem Ausführungsbeispiel der Erfindung. In Schritt 401 wird eine gezielte Veränderung einer Bedienung einer Überwachungsfunktion der sicheren Recheneinheit durch eine Überwachung einer
Überwachungsfunktion der sicheren Recheneinheit beschrieben, um gezielt Fehler in der Überwachungsfunktion der nicht sicheren Recheneinheit zu induzieren. In Schritt 402 wird die Bedienung der Überwachungsfunktion der nicht sicheren Recheneinheit durch die sichere Recheneinheit inklusive des veränderten Signals beschrieben. Schritt 403 dient der Überwachung der sicheren
Recheneinheit durch die Überwachungsfunktion der nicht sichern Recheneinheit und der Detektion der Fehler. In Schritt 404 werden die detektierten Fehler an die Überwachung der Überwachungsfunktion der sicheren Recheneinheit gemeldet, welche durch die Überwachungsfunktion der nicht sichern Recheneinheit detektiert wurden. In Schritt 405 erfolgt die Herstellung eines sicheren Zustands der sicheren Recheneinheit bei erkanntem nicht in¬ duziertem Fehler durch die Überwachungsfunktion der nicht sicheren Recheneinheit oder bei nicht Erkennung der induzierten Fehler durch die Überwachungsfunktion der nicht sicheren Recheneinheit .
Fig. 5 zeigt ein Fahrzeug 501 mit einem Steuergerät 500 mit einer Fehlerüberwachungsschaltung 200 gemäß der vorliegenden Erfindung. Die Fehlerüberwachungsschaltung weist eine sichere Recheneinheit 110 und eine nicht sichere Recheneinheit 130, zur Überwachung der sicheren Recheneinheit 110 auf. Fig. 6 zeigt ein Flussdiagram in welchem der Ablauf des Verfahrens der vorliegenden Erfindung genauer erläutert wird. Insbesondere wird hieraus ersichtlich wie die einzelnen Entscheidungen im Fehlerfall behandelt werden bzw. wie sichergestellt wird, dass der sichere Betrieb der sicheren Recheneinheit gewährleistet ist.
Die Überwachung der Überwachungsfunktion verändert die Bedienung der Überwachungsfunktion. Die Bedienung der Überwachungsfunktion bedient daraufhin die Überwachungsfunktion in peri- odischen Zeitabständen. Erfolgt keine Bedienung der Überwachungsfunktion, wird ein sicherer Zustand der sicheren Recheneinheit hergestellt und/oder ein Reset durchgeführt. Bei korrekter Bedienung der Überwachungsfunktion durch die Bedienung der Überwachungsfunktion, muss die Überwachungsfunktion die Veränderungen der Überwachung der Überwachungsfunktion in der Bedienung der Überwachungsfunktion erkennen. Erkennt die Überwachungsfunktion nicht die Fehler, erfolgt die Herstellung des sicheren Zustandes und/oder der Reset. Bei erkanntem Fehler muss dieser der Überwachung der Überwachungsfunktion gemeldet werden. Erfolgt keine Meldung oder erfolgt die Meldung außerhalb des Zeitfensters, wird der sichere Zustand hergestellt und/oder ein Reset durchgeführt. Wurde die Überwachungsfunktion innerhalb des Zeitfensters bedient, hat die Überwachungsfunktion den Fehler erkannt und gemeldet, ist ein sicherer Betrieb ge¬ währleistet .

Claims

Patentansprüche
1. Steuergerät (500) mit einer internen Fehlerüberwa¬ chungsschaltung (200) für ein Fahrzeug, aufweisend:
eine sichere Recheneinheit (110), welche eine Bedienung einer Überwachungsfunktion (120) zur Überwachung der sicheren Recheneinheit (110) und eine Überwachung der Überwachungs¬ funktion (125) aufweist, und
eine nicht sicherere Recheneinheit (130), welche die Überwachungsfunktion (135) aufweist,
wobei die Überwachung der Überwachungsfunktion (125) der sicheren Recheneinheit (110) zum gezielten Verändern der Bedienung der Überwachungsfunktion (120) der sicheren Recheneinheit (110) ausgeführt ist, um so Fehler in der Überwa- chungsfunktion (135) der nicht sicheren Recheneinheit (130) zu induzieren, und
wobei die Überwachungsfunktion (135) der nicht sicheren Recheneinheit (130) ausgeführt ist, die induzierten Fehler der Bedienung der Überwachungsfunktion (120) der sicheren Re- cheneinheit (110) zu erkennen und die induzierten Fehler der Überwachung der Überwachungsfunktion (125) der sicheren Recheneinheit zu melden.
2. Steuergerät (500) gemäß Anspruch 1,
wobei ein Fehlerfall vorliegt,
wenn die Bedienung der Überwachungsfunktion (120) der sichereren Recheneinheit (110) die Überwachungsfunktion (135) der nicht sicheren Recheneinheit (130) nicht wie definiert bedient, oder
wenn die Überwachungsfunktion (135) der nicht sicheren
Recheneinheit (130) der Überwachung der Überwachungsfunktion (125) der sicheren Recheneinheit (110) nicht wie definiert die induzierten Fehler meldet.
3. Steuergerät (500) gemäß Anspruch 1 oder 2,
wobei die Überwachungsfunktion (135) der nicht sicheren Recheneinheit (130) ausgeführt ist, im Fehlerfall der sicheren Recheneinheit (110), den Fehler zu detektieren.
4. Steuergerät (500) gemäß einem der vorherigen Ansprüche, wobei die Überwachung der Überwachungsfunktion (125) der sicheren Recheneinheit (110) ausgeführt ist, im Fehlerfall der nicht sicheren Recheneinheit (130), den Fehler zu detektieren.
5. Steuergerät (500) gemäß einem der vorherigen Ansprüche, wobei die Fehlerüberwachungsschaltung (200) ausgeführt ist, bei einem gemeldeten Fehler der sicheren Recheneinheit (110) die sichere Recheneinheit (110) in einen sicheren Zustand zu überführen .
6. Steuergerät (500) gemäß einem der vorherigen Ansprüche, wobei die Fehlerüberwachungsschaltung (200) bei einem gemeldeten Fehler zum Durchführen eines Reset der sicheren Recheneinheit (110) ausgeführt ist.
7. Fahrzeug (501) mit einem Steuergerät (500) gemäß einem der Ansprüche 1 bis 6.
8. Verfahren zur Fehlerüberwachung eines Steuergeräts mit zwei oder mehr Recheneinheiten,
wobei mindestens eine Recheneinheit eine sicherere Re¬ cheneinheit ist, und
wobei mindestens eine Recheneinheit eine nicht sicherere Recheneinheit ist, das Verfahren weist folgende Schritte auf: gezieltes verändern (401) einer Bedienung einer Überwachungsfunktion der sicheren Recheneinheit durch eine Überwachung einer Überwachungsfunktion der sicheren Recheneinheit, um ein Fehler in einer Überwachungsfunktion der nicht sicheren Re- cheneinheit zu induzieren;
bedienen (402) einer Überwachungsfunktion der nicht sicheren Recheneinheit durch die Bedienung der Überwachungs¬ funktion der sicheren Recheneinheit inklusive der gezielt veränderten Inhalte;
Überwachung (403) der sichern Recheneinheit durch die Überwachungsfunktion der nicht sichern Recheneinheit und De- tektion von Fehlern;
melden (404) der detektierten induzierten Fehler durch die Überwachungsfunktion der nicht sichern Recheneinheit an die Überwachung der Überwachungsfunktion der sicheren Recheneinheit;
Herstellen (405) eines sicheren Zustands der sicheren Recheneinheit, bei erkanntem nicht induzierten Fehler durch die Überwachungsfunktion der nicht sicheren Recheneinheit oder bei nicht Erkennung des induzierten Fehlers durch die Überwa¬ chungsfunktion der nicht sicheren Recheneinheit.
9. Programmelement, das, wenn es auf einem Steuergerät mit zwei oder mehr Recheneinheiten ausgeführt wird, das Steuergerät anleitet, das Verfahren gemäß Anspruch 8 durchzuführen.
10. Computerlesbares Medium, auf dem ein Programmelement gemäß Anspruch 9 gespeichert ist.
PCT/EP2017/072240 2016-09-16 2017-09-05 Überwachung von sicherheitsrelevanten funktionen durch eine nicht sichere recheneinheit WO2018050491A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US16/333,313 US10963357B2 (en) 2016-09-16 2017-09-05 Fault monitoring for a complex computing unit

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102016217762.1 2016-09-16
DE102016217762.1A DE102016217762A1 (de) 2016-09-16 2016-09-16 Überwachung von sicherheitsrelevanten Funktionen durch eine nicht sichere Recheneinheit

Publications (1)

Publication Number Publication Date
WO2018050491A1 true WO2018050491A1 (de) 2018-03-22

Family

ID=59829355

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2017/072240 WO2018050491A1 (de) 2016-09-16 2017-09-05 Überwachung von sicherheitsrelevanten funktionen durch eine nicht sichere recheneinheit

Country Status (3)

Country Link
US (1) US10963357B2 (de)
DE (1) DE102016217762A1 (de)
WO (1) WO2018050491A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10963357B2 (en) 2016-09-16 2021-03-30 Vitesco Technologies GmbH Fault monitoring for a complex computing unit

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013017951A1 (de) * 2012-10-29 2014-04-30 Mando Corporation Elektronische Steuervorrichtung und Verfahren zum Überprüfen einer Rücksetzfunktion

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3728561C2 (de) * 1987-08-27 1997-08-21 Vdo Schindling Verfahren zur Überprüfung einer Überwachungseinrichtung für einen Mikroprozessor
DE4114999C2 (de) * 1991-05-08 2001-04-26 Bosch Gmbh Robert System zur Steuerung eines Kraftfahrzeuges
DE102011011755A1 (de) * 2011-02-18 2012-08-23 Conti Temic Microelectronic Gmbh Halbleiterschaltkreis und Verfahren in einem Sicherheitskonzept zum Einsatz in einem Kraftfahrzeug
JP5853691B2 (ja) * 2011-12-28 2016-02-09 アイシン・エィ・ダブリュ株式会社 車両用制御装置および方法
DE102012024818A1 (de) * 2012-03-06 2013-09-12 Conti Temic Microelectronic Gmbh Verfahren zur Verbesserung der funktionalen Sicherheit und Steigerung der Verfügbarkeit eines elektronischen Regelungssystems sowie ein elektronisches Regelungssystem
DE102012207215A1 (de) * 2012-04-30 2013-10-31 Robert Bosch Gmbh Verfahren und Vorrichtung zur Überwachung von Funktionen eines Rechnersystems, vorzugsweise eines Motorsteuersystems eines Kraftfahrzeuges
DE102016217762A1 (de) 2016-09-16 2018-04-12 Continental Automotive Gmbh Überwachung von sicherheitsrelevanten Funktionen durch eine nicht sichere Recheneinheit

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013017951A1 (de) * 2012-10-29 2014-04-30 Mando Corporation Elektronische Steuervorrichtung und Verfahren zum Überprüfen einer Rücksetzfunktion

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10963357B2 (en) 2016-09-16 2021-03-30 Vitesco Technologies GmbH Fault monitoring for a complex computing unit

Also Published As

Publication number Publication date
US10963357B2 (en) 2021-03-30
US20190243738A1 (en) 2019-08-08
DE102016217762A1 (de) 2018-04-12

Similar Documents

Publication Publication Date Title
DE102014102582B4 (de) Strategie für fehlertolerante Controller
DE60019038T2 (de) Intelligente Fehlerverwaltung
EP2550599B1 (de) Kontrollrechnersystem, verfahren zur steuerung eines kontrollrechnersystems, sowie verwendung eines kontrollrechnersystems
DE102018113625A1 (de) Fehlerinjektionstestvorrichtung und -verfahren
DE112016000264T5 (de) Sicherheitssteuersystem und Verfahren zum Betrieb eines Sicherheitssteuersystems
EP1952238B1 (de) Busmodul zum anschluss an ein bussystem sowie verwendung eines solchen busmoduls in einem as-i-bussystem
DE112010005400T5 (de) System für gegenseitige Überwachung von Mikrocomputern und ein Verfahren für gegenseitige Überwachung von Mikrocomputern
DE102011081477A1 (de) Stellwerksrechner
EP4292025A1 (de) Vorrichtungen und verfahren zur überwachung eines quantencomputers im betrieb
WO2002065289A1 (de) Automatische inbetriebnahme eines clustersystems nach einem heilbaren fehler
EP1807760B1 (de) Datenverarbeitungssystem mit variabler taktrate
EP2798495A2 (de) Verfahren zur zeitrichtigen zusammenführung von ergebnissen von periodisch arbeitenden edv-komponenten
WO2018050491A1 (de) Überwachung von sicherheitsrelevanten funktionen durch eine nicht sichere recheneinheit
WO2016049670A1 (de) Verteiltes echtzeitcomputersystem und zeitgesteuerte verteilereinheit
EP3526672A1 (de) Schaltung zur überwachung eines datenverarbeitungssystems
DE102008004206A1 (de) Anordnung und Verfahren zur Fehlererkennung und -behandlung in einem Steuergerät in einem Kraftfahrzeug
EP2013731B1 (de) Schaltungsanordnung und verfahren zum betrieb einer schaltungsanordnung
EP2279480B1 (de) Verfahren und system zum überwachen eines sicherheitsbezogenen systems
EP4063981A1 (de) Verfahren zum durchführen eines automatischen reparaturprozesses an zumindest einer funktionseinheit einer basiseinheit, sowie computerprogrammprodukt und reparatursystem
DE102017219195B4 (de) Verfahren zum gewährleisten eines betriebs eines rechners
EP3841439A1 (de) Automatisierungssystem zur überwachung eines sicherheitskritischen prozesses
WO2011113405A1 (de) Steuergeräteanordnung
EP3486825A1 (de) Verfahren und vorrichtung zum rechnergestützten bestimmen eines schweregrads einer festgestellten verletzung der integrität
EP3026514B1 (de) Automatisierungsanlage und verfahren zur externen steuerung eines selbsttestalgorithmus in einer dezentralen sicherheitseinrichtung
DE112017006135T5 (de) Ersetzungseinrichtung, informationsverarbeitungssystem und ersetzungsverfahren

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17764547

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 17764547

Country of ref document: EP

Kind code of ref document: A1