WO2023232401A1 - Method for operating a control device of a vehicle - Google Patents

Method for operating a control device of a vehicle Download PDF

Info

Publication number
WO2023232401A1
WO2023232401A1 PCT/EP2023/062263 EP2023062263W WO2023232401A1 WO 2023232401 A1 WO2023232401 A1 WO 2023232401A1 EP 2023062263 W EP2023062263 W EP 2023062263W WO 2023232401 A1 WO2023232401 A1 WO 2023232401A1
Authority
WO
WIPO (PCT)
Prior art keywords
error
scheduling
functional components
functional component
real
Prior art date
Application number
PCT/EP2023/062263
Other languages
German (de)
French (fr)
Inventor
Andre Vogel
Bernhard Plametzberger
Elisabeth Magerl
Georg Kuehberger
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Publication of WO2023232401A1 publication Critical patent/WO2023232401A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/805Real-time

Definitions

  • a control device can have at least one microcontroller, which, after initialization, cyclically runs through a predetermined list of software components in a specific order.
  • the processing of this list possibly also the list itself - is generally known as “scheduling”.
  • the list is the same in every cycle.
  • the functional components to be executed are defined by the scheduling, the scheduling being carried out as a regular scheduling during normal operation, and in the second error mode being carried out as a fallback scheduling, with a smaller number of the (first and/or second) functional components (in particular only the first functional components) are (are) executed than in regular scheduling, and wherein the adjustment of the scheduling can include the following step:
  • fallback scheduling is carried out, in which all first functional components for the real-time function or autonomous driving function continue to be executed, and in which at least one of the second functional components for the at least one further and of the real-time function or . autonomous driving function is exposed to a different function.
  • the suspension can also be referred to as a form of switching off the second functional components.
  • this shutdown is preferably carried out by suppressing the effect, such as an output of the functional components.
  • this shutdown takes place in particular by adjusting the scheduling, through which the suspension can take place.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

The invention relates to a method (100) for operating a control device (10) of a vehicle (1), wherein the control device (10) comprises at least one electronic processing unit (20) for executing at least one first functional component (31) for a real-time function for the vehicle, and at least one second functional component (32) for at least one further function for the vehicle (1), and wherein an order for the execution of the functional components (31, 32) is defined via scheduling, wherein the following steps are provided: carrying out a monitoring (101) of the at least one first functional component (31) and the at least one second functional component (32); detecting (102) an error in at least one of the functional components (31, 32) based on the monitoring (101); initiating (103) a first error mode (301) if the error is detected in the at least one first functional component (31) for the real-time function; initiating (104) a second error mode (302) if the error is detected in the at least one second function component (32) for the at least one further function, wherein the second error mode (302) differs from the first error mode (301) and the scheduling is adapted in the second error mode (302).

Description

Beschreibung Description
Titel title
Verfahren für einen Betrieb eines
Figure imgf000003_0001
eines
Figure imgf000003_0002
Procedure for operating a
Figure imgf000003_0001
one
Figure imgf000003_0002
Die vorliegende Erfindung betrifft ein Verfahren für einen Betrieb eines Steuergeräts eines Fahrzeuges. Ferner bezieht sich die Erfindung auf ein Computerprogramm sowie ein System. The present invention relates to a method for operating a control device of a vehicle. The invention further relates to a computer program and a system.
Stand der Technik State of the art
In Fahrzeugen und insbesondere Kraftfahrzeugen sind üblicherweise elektronische Steuergeräte zur Bereitstellung von Softwarefunktionen vorgesehen. Dabei kann ein Steuergerät wenigstens einen Mikrocontroller aufweisen, welcher nach einer Initialisierung zyklisch eine fest vorgegebene Liste von Software- Komponenten in einer bestimmten Reihenfolge durchläuft. Die Abarbeitung dieser Liste - ggf. auch die Liste selbst - ist im Allgemeinen auch als „Scheduling“ bekannt. Die Liste ist hierbei in jedem Zyklus dieselbe. In vehicles and in particular motor vehicles, electronic control devices are usually provided to provide software functions. A control device can have at least one microcontroller, which, after initialization, cyclically runs through a predetermined list of software components in a specific order. The processing of this list - possibly also the list itself - is generally known as “scheduling”. The list is the same in every cycle.
Es kann ferner vorgesehen sein, dass ein Teil der Software- Komponenten sicherheitsrelevant im Sinne der ISO 26262 ist. Hierbei ist es üblich, die sicherheitsrelevanten Software-Komponenten über eine Programmablaufkontrolle zu überwachen. Kommt es dann in einem Mikrocontroller zu einem Problem inner- oder außerhalb der sicherheitsrelevanten Software-Komponenten, welches die korrekte Abarbeitung der sicherheitsrelevanten Software-Komponenten beeinträchtigt, so würde durch die Programmablaufkontrolle eine Fehlerreaktion erfolgen. Diese kann bspw. eine Abschaltung aller sicherheitsrelevanten Software- Komponenten am Steuergerät, die von dem betroffenen Mikrocontroller gesteuert werden, umfassen. Die Fehlerreaktion wird hierbei herkömmlicherweise einheitlich ausgelöst sowohl bei Problemen, welche in einer sicherheitsrelevanten Software- Komponente entstehen, als auch bei Problemen, die außerhalb einer sicherheitsrelevanten Software-Komponente entstehen. Eine Unterscheidung basierend auf einem Ursprung des Problems findet daher nicht statt. Sobald die Fehlerreaktion erfolgt, ist durch die Abschaltung gewährleistet, dass das Steuergerät seine Nominalfunktion im Fahrzeugverbund nicht mehr ausübt. Dies wird auch als „fail passive“ Zustand bezeichnet. Dies ist insofern aus einer Sicherheitsperspektive unbedenklich, da die Nominalfunktion üblicherweise nicht notwendig ist, um einen sicheren Zustand des Fahrzeuges aufrecht zu erhalten. It can also be provided that some of the software components are safety-relevant within the meaning of ISO 26262. It is common practice to monitor the safety-relevant software components via a program flow control. If a problem occurs in a microcontroller inside or outside the safety-relevant software components, which impairs the correct processing of the safety-relevant software components, an error reaction would be triggered by the program flow control. This can, for example, include switching off all safety-relevant software components on the control unit that are controlled by the affected microcontroller. The error response is conventionally triggered uniformly both for problems that arise in a safety-relevant software component and for problems that arise outside of a safety-relevant software component. A distinction based on an origin of the problem therefore does not take place. As soon as the error reaction occurs, the shutdown ensures that the control unit no longer performs its nominal function in the vehicle network. This is also referred to as a “fail passive” state. This is harmless from a safety perspective since the nominal function is usually not necessary to maintain a safe condition of the vehicle.
Offenbarung der Erfindung Disclosure of the invention
Gegenstand der Erfindung ist ein Verfahren mit den Merkmalen des Anspruchs 1 , ein Computerprogramm mit den Merkmalen des Anspruchs 9 sowie ein System mit den Merkmalen des Anspruchs 10. Weitere Merkmale und Details der Erfindung ergeben sich aus den jeweiligen Unteransprüchen, der Beschreibung und den Zeichnungen. Dabei gelten Merkmale und Details, die im Zusammenhang mit dem erfindungsgemäßen Verfahren beschrieben sind, selbstverständlich auch im Zusammenhang mit dem erfindungsgemäßen Computerprogramm sowie dem erfindungsgemäßen System, und jeweils umgekehrt, so dass bezüglich der Offenbarung zu den einzelnen Erfindungsaspekten stets wechselseitig Bezug genommen wird bzw. werden kann. The subject of the invention is a method with the features of claim 1, a computer program with the features of claim 9 and a system with the features of claim 10. Further features and details of the invention result from the respective subclaims, the description and the drawings. Features and details that are described in connection with the method according to the invention naturally also apply in connection with the computer program according to the invention and the system according to the invention, and vice versa, so that reference is always made to each other with regard to the disclosure of the individual aspects of the invention can.
Das erfindungsgemäße Verfahren dient einem Betrieb eines Steuergeräts eines Fahrzeuges. Hierbei ist insbesondere vorgesehen, dass das Steuergerät, vorzugsweise ein elektronisches Steuergerät, wenigstens eine elektronische Verarbeitungseinheit zur Ausführung von wenigstens einer ersten Funktionskomponente für wenigstens eine Echtzeitfunktion für das Fahrzeug, insbesondere eine sicherheitsrelevante Echtzeitfunktion und/oder eine autonome Fahrfunktion, und von wenigstens einer zweiten Funktionskomponente für zumindest eine weitere Funktion für das Fahrzeug umfasst. Die wenigstens eine erste Funktionskomponente kann somit auch als sicherheitsrelevante Funktionskomponente bezeichnet werden. Die autonome Fahrfunktion kann dazu ausgeführt sein, ein autonomes Fahren, insbesondere hochautonomes Fahren, des Fahrzeuges zu ermöglichen und/oder zu steuern. Bspw. kann die wenigstens eine autonome Fahrfunktion eine Funktion zur Detektion von Objekten in einer Umgebung des Fahrzeuges und/oder eine Funktion zur Lenkung umfassen. Die weitere Funktion kann dabei lediglich eine solche Funktion umfassen, welche nicht für ein autonomes Fahren benötigt wird. Grundsätzlich können hierbei mehrere erste Funktionskomponenten und mehrere zweite Funktionskomponenten vorgesehen sein. Das Fahrzeug ist bspw. ein Kraftfahrzeug, insbesondere ein Personenkraftfahrzeug oder ein Lastkraftfahrzeug. The method according to the invention is used to operate a control unit of a vehicle. In particular, it is provided that the control device, preferably an electronic control device, has at least one electronic processing unit for executing at least a first functional component for at least one real-time function for the vehicle, in particular a safety-relevant real-time function and/or an autonomous driving function, and at least one second functional component for at least one further function for the vehicle. The at least one first functional component can therefore also be referred to as a safety-relevant functional component. The autonomous driving function can be designed to enable and/or control autonomous driving, in particular highly autonomous driving, of the vehicle. For example, the at least one autonomous driving function may include a function for detecting objects in an environment of the vehicle and/or a steering function. The Further functions can only include a function that is not required for autonomous driving. In principle, several first functional components and several second functional components can be provided here. The vehicle is, for example, a motor vehicle, in particular a passenger vehicle or a truck.
Weiter kann durch ein Scheduling eine Reihenfolge der Ausführung der Funktionskomponenten definiert sein, also vorzugsweise sowohl der ersten als auch der zweiten Funktionskomponenten. Furthermore, an order of execution of the functional components can be defined by scheduling, i.e. preferably both the first and the second functional components.
Es werden bei dem erfindungsgemäßen Verfahren bevorzugt die nachfolgenden Schritte durchgeführt, insbesondere automatisiert und/oder während des Betriebs des Steuergeräts, optional nacheinander oder in beliebiger Reihenfolge, wobei einzelne Schritte ggf. auch wiederholt durchgeführt werden können: In the method according to the invention, the following steps are preferably carried out, in particular automatically and/or during operation of the control device, optionally one after the other or in any order, whereby individual steps can also be carried out repeatedly if necessary:
Durchführen einer Überwachung der wenigstens einen ersten Funktionskomponente und der wenigstens einen zweiten Funktionskomponente, insbesondere durch eine Programmablaufkontrolle und/oder durch ein Empfangen eines Ergebnisses einer Überwachung der Programmablaufkontrolle, Carrying out monitoring of the at least one first functional component and the at least one second functional component, in particular through a program flow control and/or by receiving a result of a monitoring of the program flow control,
Detektieren eines Fehlers bei zumindest einer der Funktionskomponenten anhand der Überwachung, bspw. durch eine Auswertung des Ergebnisses der Überwachung, Detecting an error in at least one of the functional components based on the monitoring, for example by evaluating the result of the monitoring,
Initiieren eines ersten Fehlerbetriebs, wenn der Fehler bei der wenigstens einen ersten Funktionskomponente für die Echtzeitfunktion, insbesondere autonome Fahrfunktion, detektiert wird (oder ggf. auch dann, wenn die Echtzeitfunktion bzw. autonome Fahrfunktion deaktiviert ist), Initiating a first error operation when the error is detected in the at least one first functional component for the real-time function, in particular autonomous driving function (or possibly also when the real-time function or autonomous driving function is deactivated),
Initiieren eines zweiten Fehlerbetriebs, wenn der Fehler bei der wenigstens einen zweiten Funktionskomponente für die zumindest eine weitere Funktion detektiert wird (und vorzugsweise kein Fehler bei der wenigstens einen ersten Funktionskomponente für die Echtzeitfunktion bzw. autonome Fahrfunktion detektiert wird und/oder die Echtzeitfunktion bzw. autonome Fahrfunktion aktiv ist), wobei sich der zweite Fehlerbetrieb von dem ersten Fehlerbetrieb unterscheidet und/oder bei dem zweiten Fehlerbetrieb eine Anpassung des Schedulings durchgeführt wird und/oder bei dem zweiten Fehlerbetrieb, ggf. im Gegensatz zum ersten Fehlerbetrieb, die Echtzeitfunktion für das Fahrzeug weiterhin aktiv bleiben kann und/oder das Fahrzeug weiterhin zumindest teilweise autonom gefahren werden kann. Initiating a second error operation when the error is detected in the at least one second functional component for the at least one further function (and preferably no error is detected in the at least one first functional component for the real-time function or autonomous driving function and / or the real-time function or autonomous Driving function is active), wherein the second error operation differs from the first error operation and / or an adjustment of the scheduling is carried out in the second error operation and / or in the second Error operation, possibly in contrast to the first error operation, the real-time function for the vehicle can remain active and / or the vehicle can continue to be driven at least partially autonomously.
Die Verarbeitungseinheit kann z. B. ein Mikrocontroller sein. Das Steuergerät kann ein oder mehrere Verarbeitungseinheiten umfassen, um die Funktionskomponenten bereitzustellen. Die Funktionskomponenten können jeweils bspw. Software-Komponenten sein, welche durch die Verarbeitungseinheit bereitgestellt werden. Damit können die Funktionskomponenten z. B. Software- Prozesse und/oder Computerprogramme umfassen. Scheduling kann auch als Ablaufsteuerung bezeichnet werden. Die Echtzeitfunktion bzw. autonome Fahrfunktion kann eine hochverfügbarkeitsrelevante Echtzeitanwendung der Verarbeitungseinheit bzw. für das Fahrzeug sein. The processing unit can e.g. B. be a microcontroller. The control device can include one or more processing units to provide the functional components. The functional components can each be, for example, software components that are provided by the processing unit. This means that the functional components can e.g. B. include software processes and/or computer programs. Scheduling can also be referred to as flow control. The real-time function or autonomous driving function can be a high-availability-relevant real-time application of the processing unit or for the vehicle.
Wenn der Fehler bei der ersten Funktionskomponente detektiert wird, heißt dies insbesondere, dass die erste Funktionskomponente durch den Fehler beeinträchtigt wird, sodass ein sicherer Zustand der Echtzeitfunktion nicht mehr möglich ist. Die Echtzeitfunktion kann eine Funktion für das Fahrzeug sein, welche in Echtzeit ausgeführt wird und/oder sicherheitsrelevant für den Zustand des Fahrzeuges ist. Wenn der Fehler bei der zweiten Funktionskomponente detektiert wird, heißt dies insbesondere, dass die zweite Funktionskomponente durch den Fehler beeinträchtigt wird, wobei dann ein sicherer Zustand der Echtzeitfunktion dennoch möglich sein kann. If the error is detected in the first functional component, this means in particular that the first functional component is affected by the error, so that a safe state of the real-time function is no longer possible. The real-time function can be a function for the vehicle that is executed in real time and/or is safety-relevant for the state of the vehicle. If the error is detected in the second functional component, this means in particular that the second functional component is affected by the error, in which case a safe state of the real-time function may still be possible.
Die Erfindung beruht insbesondere auf der Überlegung, dass bei modernen Fahrzeugen zumindest Teile einer Nominalfunktion eines Steuergeräts notwendig sein können, um den sicheren Zustand des Fahrzeuges aufrechtzuerhalten. Insbesondere bei Verarbeitungseinheiten bzw. Mikrocontrollern, welche Teilfunktionen für hochautonomes Fahren (HAF) bereitstellen, sind Teile der Nominalfunktion für den sicheren Zustand des Fahrzeuges erforderlich. Diese Teile können als die wenigstens eine erste Funktionskomponente bezeichnet werden. Nur bei schwerwiegenden Fehlern in der Verarbeitungseinheit, welche direkt die korrekte Ausführung der HAF- Funktionen beeinträchtigen können, kann eine Abschaltung der sicherheitsrelevanten ersten Funktionskomponenten am Steuergerät erwünscht sein. Fehler ohne zwingende Auswirkung auf die HAF Funktionen, also insbesondere der wenigstens einen zweiten Funktionskomponente, können hingegen zu einem Degradationsbetrieb der Verarbeitungseinheit führen, in welchem die HAF Funktionen so lange und so vollständig wie möglich ausgeführt werden. Dieser Zustand kann auch engl. „fail degraded“ bezeichnet werden. Herkömmlicherweise würden durch das Scheduling und der damit verbundenen Programmablaufkontrolle selbst dann sämtliche Funktionen, die am HAF beteiligt sind, beendet werden, wenn der ursächliche Fehler eindeutig auf zweite Funktionskomponenten ohne Beteiligung am HAF zurückzuführen ist. Dies kann ohne weitere Maßnahmen zu unerwünschtem oder möglicherweise zu sicherheitskritischem Verhalten auf der übergeordneten Steuergeräte- und Fahrzeugebene führen. Das vorgeschlagene Schedulingkonzept zum sicheren Degradationsbetrieb ermöglicht hingegen, dass trotz gewisser Fehler in einer Verarbeitungseinheit ein Weiterbetreib der HAF Funktionen unter gewissen, sicheren Randbedingungen zugelassen werden kann. Damit wird das Steuergerät vom ursprünglichen „fail passive“ System zu einem „fail degraded“ System verbessert, „fail passive“ bedeutet in diesem Zusammenhang insbesondere einen speziellen sicheren Zustand, in welchem die Nominalfunktion nicht aufrecht erhalten wird. The invention is based in particular on the consideration that in modern vehicles, at least parts of a nominal function of a control device may be necessary in order to maintain the safe condition of the vehicle. Particularly in the case of processing units or microcontrollers that provide partial functions for highly autonomous driving (HAF), parts of the nominal function are required for the safe state of the vehicle. These parts can be referred to as the at least one first functional component. Only in the event of serious errors in the processing unit, which can directly affect the correct execution of the HAF functions, can the system be switched off safety-relevant first functional components on the control unit are desirable. However, errors without a compelling impact on the HAF functions, i.e. in particular the at least one second functional component, can lead to a degradation operation of the processing unit, in which the HAF functions are executed for as long and as completely as possible. This condition can also be English. “fail degraded”. Traditionally, scheduling and the associated program flow control would terminate all functions that are involved in the HAF, even if the causal error can clearly be traced back to second functional components not involved in the HAF. Without further measures, this can lead to undesirable or possibly safety-critical behavior at the higher control unit and vehicle level. The proposed scheduling concept for safe degradation operation, on the other hand, enables continued operation of the HAF functions under certain, safe boundary conditions despite certain errors in a processing unit. This improves the control unit from the original “fail passive” system to a “fail degraded” system; in this context, “fail passive” means in particular a special safe state in which the nominal function is not maintained.
Das Scheduling wird bspw. durch ein Betriebssystem und/oder durch eine Verarbeitungseinheit und/oder durch eine weitere Komponente des Steuergeräts bereitgestellt. Im Allgemeinen wird als Scheduling die Ausführung von Funktionskomponenten gemäß einer vorgegebenen Reihenfolge verstanden, wobei die Reihenfolge durch eine Liste definiert sein kann, welche beim Scheduling abgearbeitet wird. Auch kann als Scheduling ggf. die Liste selbst verstanden werden. Nachfolgend soll insbesondere der Vorgang der Abarbeitung der Liste als Scheduling bezeichnet werden. The scheduling is provided, for example, by an operating system and/or by a processing unit and/or by another component of the control device. In general, scheduling is understood to be the execution of functional components according to a predetermined order, whereby the order can be defined by a list, which is processed during scheduling. The list itself can also be understood as scheduling. In particular, the process of processing the list will be referred to below as scheduling.
Das Scheduling kann im Normalbetrieb die Ausführung der Funktionskomponenten nach einer ersten Liste durchführen, welche sämtliche (ersten und zweiten) Funktionskomponenten umfassen kann. In anderen Worten werden bei diesem Scheduling sämtliche Funktionskomponenten der Verarbeitungseinheit in einer definierten Reihenfolge ausgeführt. Dieses Scheduling wird nachfolgend auch als ein reguläres Scheduling bezeichnet Ebenfalls kann gemäß der Erfindung eine zweite Liste des Schedulings vorgesehen sein, welche weniger Funktionskomponenten als die erste Liste umfasst. Entsprechend werden bei dem Scheduling auch weniger Funktionskomponenten ausgeführt, wenn dabei die zweite Liste abgearbeitet wird. Hierbei sind bspw. nur noch solche Funktionskomponenten in der zweiten Liste vorgesehen, die zwingend für die HAF-Funktionen notwendig sind. Dieses Scheduling wird nachfolgend auch als ein Fallback-Scheduling bezeichnet. Darüber hinaus kann der Normalbetrieb (auch Nominalbetrieb bezeichnet) gegenüber einem ersten Fehlerbetrieb (auch „Fail Passive“ Modus bezeichnet) und einem zweiten Fehlerbetrieb (auch Limp Home Modus oder „Fail Degraded“ Modus bezeichnet) unterschieden werden. Während im Normalbetrieb das reguläre Scheduling durchgeführt wird, erfolgt bspw. im zweiten Fehlerbetrieb das Fallback-Scheduling. During normal operation, the scheduling can carry out the execution of the functional components according to a first list, which can include all (first and second) functional components. In other words, with this scheduling, all functional components of the processing unit are executed in a defined order. This Scheduling is also referred to below as regular scheduling. According to the invention, a second list of scheduling can also be provided, which includes fewer functional components than the first list. Accordingly, fewer functional components are executed during scheduling when the second list is processed. For example, only those functional components that are absolutely necessary for the HAF functions are included in the second list. This scheduling is also referred to below as fallback scheduling. In addition, normal operation (also referred to as nominal operation) can be distinguished from a first error operation (also referred to as “Fail Passive” mode) and a second error operation (also referred to as Limp Home mode or “Fail Degraded” mode). While regular scheduling is carried out in normal operation, fallback scheduling takes place, for example, in second error operation.
Die Funktionskomponenten können jeweils als Softwarekomponenten ausgebildet sein. Die Überwachung und das Detektieren können z. B. ebenfalls durch wenigstens eine Softwarekomponente, also bspw. ein Computerprogramm, bereitgestellt werden. Bspw. kann eine spezifisch für das erfindungsgemäße Verfahren vorgesehene Softwarekomponente, vorzugsweise ein erfindungsgemäßes Computerprogramm, im Zusammenspiel mit einer Überwachungssoftware und einem Betriebssystem des Steuergeräts bzw. der Verarbeitungseinheit die Überwachung und das Detektieren ausführen. Damit kann zuverlässig erkannt werden, wenn eine Funktionskomponente das reguläre Scheduling blockiert. The functional components can each be designed as software components. Monitoring and detecting can e.g. B. can also be provided by at least one software component, for example a computer program. For example, a software component specifically intended for the method according to the invention, preferably a computer program according to the invention, can carry out the monitoring and detection in interaction with monitoring software and an operating system of the control device or the processing unit. This makes it possible to reliably detect when a functional component blocks regular scheduling.
Vorzugsweise kann vorgesehen sein, dass durch das Scheduling die auszuführenden Funktionskomponenten definiert werden, wobei das Scheduling als ein reguläres Scheduling während eines Normalbetriebs ausgeführt wird, und im zweiten Fehlerbetrieb als ein Fallback-Scheduling ausgeführt wird, wobei bei dem Fallback-Scheduling eine geringere Anzahl der (ersten und/oder zweiten) Funktionskomponenten (insbesondere nur die ersten Funktionskomponenten) ausgeführt wird (werden) als bei dem regulären Scheduling, und wobei die Anpassung des Schedulings den nachfolgenden Schritt umfassen kann: Preferably, it can be provided that the functional components to be executed are defined by the scheduling, the scheduling being carried out as a regular scheduling during normal operation, and in the second error mode being carried out as a fallback scheduling, with a smaller number of the (first and/or second) functional components (in particular only the first functional components) are (are) executed than in regular scheduling, and wherein the adjustment of the scheduling can include the following step:
Wechsel von dem regulären Scheduling zu dem Fallback-Scheduling. Es kann vorteilhafterweise vorgesehen sein, dass die auszuführenden (ersten und/oder zweiten) Funktionskomponenten durch eine erste Liste des Schedulings definiert sind, in welcher die auszuführenden Funktionskomponenten aufgelistet sind. Die Auflistung erfolgt vorzugsweise in der Reihenfolge, in welcher auch die Ausführung erfolgen soll. Neben dem üblichen regulären Scheduling, bei welchem bspw. sämtliche Funktionskomponenten in dieser ersten Liste enthalten sind, kann für das Fallback- Scheduling eine zweite Liste mit reduzierter Anzahl der Funktionskomponenten vorgesehen sein. Die zweite Liste kann dann nur die Funktionskomponenten, insbesondere die ersten Funktionskomponenten, umfassen, die zwingend für die Echtzeitfunktion bzw. autonome Fahrfunktion erforderlich sind. Der Wechsel von dem regulären zu dem Fallback-Scheduling kann dann z. B. dadurch erfolgen, dass anstelle der ersten die zweite Liste für das Scheduling abgearbeitet wird. Switch from regular scheduling to fallback scheduling. It can advantageously be provided that the (first and/or second) functional components to be executed are defined by a first list of the scheduling, in which the functional components to be executed are listed. The listing is preferably done in the order in which execution should take place. In addition to the usual regular scheduling, in which, for example, all functional components are contained in this first list, a second list with a reduced number of functional components can be provided for fallback scheduling. The second list can then only include the functional components, in particular the first functional components, which are absolutely necessary for the real-time function or autonomous driving function. The change from regular to fallback scheduling can then e.g. This can be done, for example, by processing the second list for scheduling instead of the first.
Ferner kann im Rahmen der Erfindung vorgesehen sein, dass sich der zweite Fehlerbetrieb von dem ersten Fehlerbetrieb zumindest dadurch unterscheidet, dass im ersten Fehlerbetrieb das reguläre Scheduling weiterhin durchgeführt wird. Somit kann es auch vorgesehen sein, dass im ersten Fehlerbetrieb weiterhin die erste Liste für das Scheduling verwendet wird, dahingegen beim zweiten Fehlerbetrieb die zweite Liste für das Scheduling verwendet wird. Eine Anpassung des Schedulings kann somit beim ersten Fehlerbetrieb nicht vorgesehen sein, dieses bleibt daher unverändert. Furthermore, it can be provided within the scope of the invention that the second error operation differs from the first error operation at least in that regular scheduling continues to be carried out in the first error operation. It can therefore also be provided that in the first error operation the first list is still used for scheduling, whereas in the second error operation the second list is used for scheduling. An adjustment of the scheduling cannot be provided for the first error operation; this therefore remains unchanged.
Ferner ist es denkbar, dass im ersten Fehlerbetrieb eine im Normalbetrieb und im zweiten Fehlerbetrieb zugelassene Auswirkung der Funktionskomponenten außerhalb der Verarbeitungseinheit verhindert wird, insbesondere dadurch, dass eine im Normalbetrieb durchgeführte hardwareseitige Ausgabe der Funktionskomponenten unterdrückt wird. In anderen Worten kann im ersten Fehlerbetrieb die Auswirkung, bspw. in der Form einer Ausgabe der Funktionskomponenten, unterdrückt werden. Dies kann deshalb notwendig sein, da das Scheduling unverändert bleibt und somit sämtliche Funktionskomponenten weiterhin ausgeführt werden. Allerdings bleiben die Funktionskomponenten - weil der Fehler detektiert wurde - durch die Unterdrückung der Ausgabe wirkungslos. Furthermore, it is conceivable that in the first error mode an effect of the functional components outside the processing unit that is permitted in normal operation and in the second error mode is prevented, in particular by suppressing a hardware output of the functional components carried out in normal operation. In other words, in the first error operation, the effect, for example in the form of an output of the functional components, can be suppressed. This may be necessary because the scheduling remains unchanged and all functional components continue to be executed. However, they remain Functional components - because the error was detected - become ineffective due to the suppression of the output.
Es ist ferner denkbar, dass im zweiten Fehlerbetrieb ein Fallback-Scheduling durchgeführt wird, bei welchem sämtliche ersten Funktionskomponenten für die Echtzeitfunktion bzw. autonome Fahrfunktion weiterhin ausgeführt werden, und bei welchem zumindest eine der zweiten Funktionskomponenten für die zumindest eine weitere und von der Echtzeitfunktion bzw. autonomen Fahrfunktion abweichende Funktion ausgesetzt wird. Das Aussetzen kann auch als eine Form der Abschaltung der zweiten Funktionskomponenten bezeichnet werden. In dem ersten Fehlerbetrieb erfolgt diese Abschaltung vorzugsweise durch die Unterdrückung der Auswirkung, wie einer Ausgabe der Funktionskomponenten. In dem zweiten Fehlerbetrieb erfolgt diese Abschaltung insbesondere durch die Anpassung des Schedulings, durch welche das Aussetzen erfolgen kann. It is also conceivable that in the second error mode, fallback scheduling is carried out, in which all first functional components for the real-time function or autonomous driving function continue to be executed, and in which at least one of the second functional components for the at least one further and of the real-time function or . autonomous driving function is exposed to a different function. The suspension can also be referred to as a form of switching off the second functional components. In the first error mode, this shutdown is preferably carried out by suppressing the effect, such as an output of the functional components. In the second error mode, this shutdown takes place in particular by adjusting the scheduling, through which the suspension can take place.
Eine vollständige Abschaltung aller Funktionskomponenten wie vorzugsweise im ersten Fehlerbetrieb kann als „fail passive“ Zustand bezeichnet werden. Wenn bei dem Fahrzeug die Echtzeitfunktion bzw. autonome Fahrfunktion nicht aktiv ist, ist diese Nominalfunktion des Steuergeräts ggf. nicht notwendig, um einen sicheren Zustand des Fahrzeugs aufrecht zu halten. Somit kann für diesen Fall der erste Fehlerbetrieb verwendet werden. Dagegen kann es bei aktiver Echtzeitfunktion bzw. autonomer Fahrfunktion erforderlich sein, dass die ersten Funktionskomponenten weiter ausgeführt werden. Hierzu ist der zweite Fehlerbetrieb eine Möglichkeit, die Echtzeitfunktion bzw. autonome Fahrfunktion zumindest vorübergehend noch aktiv zu halten. A complete shutdown of all functional components, as is preferable in the first error operation, can be referred to as a “fail passive” state. If the real-time function or autonomous driving function is not active in the vehicle, this nominal function of the control unit may not be necessary to maintain a safe condition of the vehicle. Thus, the first error operation can be used for this case. On the other hand, when the real-time function or autonomous driving function is active, it may be necessary for the first functional components to continue to be executed. For this purpose, the second error operation is a possibility of keeping the real-time function or autonomous driving function active, at least temporarily.
Vorteilhafterweise kann im Rahmen der Erfindung vorgesehen sein, dass das Initiieren des zweiten Fehlerbetriebs dann erfolgt, wenn sich das Fahrzeug in einem (aktiven) autonomen Fährbetrieb befindet. Der zweite Fehlerbetrieb als Degradationsbetrieb der Verarbeitungseinheit kann vorsehen, dass die ersten Funktionskomponenten solange und vollständig wie möglich ausgeführt werden (auch „fail degraded“ bezeichnet). Ein weiterer Vorteil kann im Rahmen der Erfindung erzielt werden, wenn im zweiten Fehlerbetrieb weiterhin die Überwachung und das Detektieren durchgeführt wird, und von dem zweiten Fehlerbetrieb in den ersten Fehlerbetrieb gewechselt wird, wenn ein Fehler bei der wenigstens einen ersten Funktionskomponente für die Echtzeitfunktion bzw. autonome Fahrfunktion detektiert wird. Somit ist gewährleistet, dass schwerwiegende Fehler, die direkt die korrekte Ausführung der Echtzeitfunktion bzw. autonomen Fahrfunktion beeinträchtigen, dann ggf. zu einem Wechsel in den ersten Fehlerbetrieb und somit zu einer Abschaltung der sicherheitsrelevanten Module am Steuergerät führen. Advantageously, it can be provided within the scope of the invention that the second error operation is initiated when the vehicle is in (active) autonomous ferry operation. The second error operation as a degradation operation of the processing unit can provide that the first functional components are executed as long and completely as possible (also referred to as “fail degraded”). A further advantage can be achieved within the scope of the invention if monitoring and detection continue to be carried out in the second error mode and a change is made from the second error mode to the first error mode if an error occurs in the at least one first functional component for the real-time function or autonomous driving function is detected. This ensures that serious errors that directly affect the correct execution of the real-time function or autonomous driving function may then lead to a switch to the first error mode and thus to a shutdown of the safety-relevant modules on the control unit.
Beispielsweise kann es vorgesehen sein, dass eine Erkennung und Lokalisierung des Fehlers durchgeführt werden, um zu unterscheiden, ob der Fehler bei der ersten oder zweiten Funktionskomponente aufgetreten ist, wobei die Erkennung und Lokalisierung die Schritte der Durchführung der Überwachung und des Detektierens umfassen kann. Dabei kann eine Treibervorrichtung diese Erkennung und Lokalisierung verwenden und/oder durchführen, um in Abhängigkeit von der Erkennung und Lokalisierung das Initiieren der Fehlerbetriebe und/oder die Anpassung des Schedulings durchzuführen. Eine Fehlerreaktion selbst, also die Auswahl und/oder Initiierung des Fehlerbetriebs, kann zumindest teilweise über ein Zusammenspiel zwischen einem Betriebssystem und einer Treibervorrichtung, konkret z. B. einem Complex Device Driver (CDD), des Steuergeräts umgesetzt werden. Die Treibervorrichtung kann für die korrekte Fehlerreaktion folgende Informationen nutzen: Die Ursache des Fehlers und/oder eine Information, ob die Echtzeitfunktion bzw. autonome Fahrfunktion aktiv ist. Die Ursache des Fehlers kann bspw. über die Treibervorrichtung durch die Erkennung und Lokalisierung identifiziert werden. Die Information, ob die Echtzeitfunktion bzw. autonome Fahrfunktion aktiv ist oder nicht, kann die Treibervorrichtung bspw. von der Anwendersoftware über eine interne Software-Schnittstelle ermitteln. Die Treibervorrichtung kann daraufhin entsprechende APIs (Application Programming Interfaces) vom Betriebssystem aufrufen, um die Anpassung des Schedulings durchzuführen. Zudem kann optional über die Treibervorrichtung vorzugsweise sichergestellt werden, dass ohne ein explizites Rücksetzen der Fehlerreaktion die Verarbeitungseinheit nicht vom Fallback-Scheduling auf das reguläre Scheduling zurückgeht. Der Übergang vom Fehlerbetrieb zurück in den Nominalbetrieb kann dabei z. B. über einen externen Trigger erfolgen. Danach kann die Verarbeitungseinheit vorteilhafterweise erneut wiederholt während des Betriebs des Steuergeräts diverse Fehlerprüfungen durchführen, also die Überwachung und das Detektieren gemäß einem erfindungsgemäßen Verfahren ausführen. Dadurch kann sichergestellt werden, dass der ursächliche Fehler nicht mehr anliegt und die Verarbeitungseinheit in den gewohnten Nominalbetrieb gehen kann. Ansonsten kann wieder der Fehlerbetrieb ausgelöst werden For example, it can be provided that detection and localization of the error are carried out in order to distinguish whether the error occurred in the first or second functional component, wherein the detection and localization can include the steps of carrying out monitoring and detecting. A driver device can use and/or carry out this detection and localization in order to initiate the error operations and/or adapt the scheduling depending on the detection and localization. An error reaction itself, i.e. the selection and/or initiation of the error operation, can at least partially occur via an interaction between an operating system and a driver device, specifically e.g. B. a Complex Device Driver (CDD) of the control unit can be implemented. The driver device can use the following information for the correct error response: The cause of the error and/or information as to whether the real-time function or autonomous driving function is active. The cause of the error can be identified, for example, via the driver device through detection and localization. The driver device can determine the information as to whether the real-time function or autonomous driving function is active or not, for example, from the user software via an internal software interface. The driver device can then call appropriate APIs (Application Programming Interfaces) from the operating system to carry out the scheduling adjustment. In addition, it can optionally be ensured via the driver device that the processing unit does not switch from fallback scheduling to that without explicitly resetting the error response regular scheduling declines. The transition from error operation back to nominal operation can e.g. B. via an external trigger. The processing unit can then advantageously carry out various error checks repeatedly during operation of the control device, i.e. carry out monitoring and detection according to a method according to the invention. This can ensure that the causal error is no longer present and the processing unit can return to normal nominal operation. Otherwise the error operation can be triggered again
Ebenfalls Gegenstand der Erfindung ist ein Computerprogramm, insbesondere Computerprogrammprodukt, umfassend Befehle, die bei der Ausführung des Computerprogramms durch eine elektronische Treibervorrichtung diese veranlassen, die Schritte eines erfindungsgemäßen Verfahrens auszuführen. Damit bringt das erfindungsgemäße Computerprogramm die gleichen Vorteile mit sich, wie sie ausführlich mit Bezug auf ein erfindungsgemäßes Verfahren beschrieben worden sind. The invention also relates to a computer program, in particular a computer program product, comprising commands which, when the computer program is executed by an electronic driver device, cause it to carry out the steps of a method according to the invention. The computer program according to the invention thus brings with it the same advantages as have been described in detail with reference to a method according to the invention.
Die Treibervorrichtung kann bspw. als eine Datenverarbeitungsvorrichtung vorgesehen sein, welche das Computerprogramm ausführt. Somit kann die Treibervorrichtung wenigstens einen Prozessor zur Ausführung des Computerprogramms aufweisen. Auch kann ein nicht-flüchtiger Datenspeicher vorgesehen sein, in welchem das Computerprogramm hinterlegt und von welchem das Computerprogramm durch den Prozessor zur Ausführung ausgelesen werden kann. The driver device can, for example, be provided as a data processing device that executes the computer program. The driver device can therefore have at least one processor for executing the computer program. A non-volatile data memory can also be provided in which the computer program is stored and from which the computer program can be read by the processor for execution.
Das Computerprogramm kann eine eigens für die Verfahrensschritte vorgesehene und in die Treibervorrichtung integrierte Softwarefunktion sein, um im Zusammenspiel mit einer bereits vorgesehenen Überwachungssoftware und einem Betriebssystem des Steuergeräts das erfindungsgemäße Verfahren bereitzustellen. The computer program can be a software function specifically intended for the method steps and integrated into the driver device in order to provide the method according to the invention in interaction with already provided monitoring software and an operating system of the control device.
Ebenfalls Gegenstand der Erfindung kann ein computerlesbaresThe invention can also include a computer-readable
Speichermedium sein, welches das erfindungsgemäße Computerprogramm umfasst. Das Speichermedium ist bspw. als ein Datenspeicher wie eine Festplatte und/oder ein nicht-flüchtiger Speicher und/oder eine Speicherkarte ausgebildet. Be a storage medium that includes the computer program according to the invention. The storage medium is, for example, a data storage device such as a Hard drive and / or a non-volatile memory and / or a memory card.
Darüber hinaus kann das erfindungsgemäße Verfahren auch als ein computerimplementiertes Verfahren ausgeführt sein. In addition, the method according to the invention can also be implemented as a computer-implemented method.
Ebenfalls Gegenstand der Erfindung ist ein System zur Datenverarbeitung, insbesondere in der Form eines Steuergeräts, welches eingerichtet ist, das erfindungsgemäße Verfahren auszuführen. Damit bringt das erfindungsgemäße System die gleichen Vorteile mit sich, wie sie ausführlich mit Bezug auf ein erfindungsgemäßes Verfahren beschrieben worden sind. Vorteilhaft ist es zudem, wenn das System eine elektronische Treibervorrichtung aufweist, um die Anpassung des Schedulings durchzuführen, und/oder dass die Verarbeitungseinheit als ein Mikrocontroller ausgebildet ist, um abhängig von dem Scheduling die Funktionskomponenten auszuführen. The invention also relates to a system for data processing, in particular in the form of a control device, which is set up to carry out the method according to the invention. The system according to the invention therefore brings with it the same advantages as have been described in detail with reference to a method according to the invention. It is also advantageous if the system has an electronic driver device in order to carry out the adjustment of the scheduling and/or that the processing unit is designed as a microcontroller in order to execute the functional components depending on the scheduling.
Weitere Vorteile, Merkmale und Einzelheiten der Erfindung ergeben sich aus der nachfolgenden Beschreibung, in der unter Bezugnahme auf die Zeichnungen Ausführungsbeispiele der Erfindung im Einzelnen beschrieben sind. Dabei können die in den Ansprüchen und in der Beschreibung erwähnten Merkmale jeweils einzeln für sich oder in beliebiger Kombination erfindungswesentlich sein. Es zeigen jeweils schematisch: Further advantages, features and details of the invention emerge from the following description, in which exemplary embodiments of the invention are described in detail with reference to the drawings. The features mentioned in the claims and in the description can be essential to the invention individually or in any combination. They show schematically:
Fig. 1 einen Ablauf eines erfindungsgemäßen Verfahrens, 1 shows a sequence of a method according to the invention,
Fig. 2 ein erfindungsgemäßes System, 2 shows a system according to the invention,
Fig. 3 einen Ablauf eines erfindungsgemäßen Verfahrens. Fig. 3 shows a sequence of a method according to the invention.
In den nachfolgenden Figuren werden für die gleichen technischen Merkmale auch von unterschiedlichen Ausführungsbeispielen die identischen Bezugszeichen verwendet. In the following figures, identical reference numerals are used for the same technical features of different exemplary embodiments.
In Figur 1 sind die Verfahrensschritte eines erfindungsgemäßen Verfahrens 100 für einen Betrieb eines in Figur 2 dargestellten Steuergeräts 10 eines Fahrzeuges 1 visualisiert. Dabei kann das Steuergerät 10 wenigstens eine elektronische Verarbeitungseinheit 20 zur Ausführung von wenigstens einer ersten Funktionskomponente 31 für eine Echtzeitfunktion bzw. autonome Fahrfunktion und wenigstens einer zweiten Funktionskomponente 32 für zumindest eine weitere Funktion für das Fahrzeug 1 umfassen. Die Funktionskomponenten 31 ,32 sind zusammengefasst auch mit dem Bezugszeichen 30 versehen. Grundsätzlich kann dabei durch ein Scheduling eine Reihenfolge der Ausführung der Funktionskomponenten 30 definiert werden. 1 shows the method steps of a method 100 according to the invention for operating a control device 10 shown in FIG Vehicle 1 visualized. The control device 10 can include at least one electronic processing unit 20 for executing at least a first functional component 31 for a real-time function or autonomous driving function and at least a second functional component 32 for at least one further function for the vehicle 1. The functional components 31, 32 are also collectively provided with the reference number 30. In principle, an order of execution of the functional components 30 can be defined by scheduling.
Gemäß einem erfindungsgemäßen Verfahren 100 kann wiederholt und fortwährend während des Betriebs des Steuergeräts 10 ein Durchführen einer Überwachung 101 der wenigstens einen ersten Funktionskomponente 31 und der wenigstens einen zweiten Funktionskomponente 32 durchgeführt werden. Anhand der Überwachung 101 kann zudem wiederholt und fortwährend während des Betriebs des Steuergeräts 10 ein Detektieren 102 eines Fehlers bei zumindest einer der Funktionskomponenten 30 durchgeführt werden. Das Detektieren 102 hat dabei zur Folge, dass abhängig von der Detektion ein Fehlerbetrieb 301 ,302 ausgewählt und initiiert wird. So erfolgt ein Initiieren 103 eines ersten Fehlerbetriebs 301 , wenn der Fehler bei der wenigstens einen ersten Funktionskomponente 31 für die Echtzeitfunktion bzw. autonome Fahrfunktion detektiert wird. Es erfolgt ferner ein Initiieren 104 eines zweiten Fehlerbetriebs 302, wenn der Fehler bei der wenigstens einen zweiten Funktionskomponente 32 für die zumindest eine weitere Funktion detektiert wird. Das Initiieren 104 des zweiten Fehlerbetriebs 302 kann zudem an wenigstens eine weitere Bedingung geknüpft sein, z. B., dass die Echtzeitfunktion bzw. autonome Fahrfunktion aktiv ist und/oder dass ein Fehler nicht zusätzlich noch bei der ersten Funktionskomponente 31 detektiert wurde. Dabei kann sich der zweite Fehlerbetrieb 302 von dem ersten Fehlerbetrieb 301 unterscheiden, bspw. zumindest dadurch, dass bei dem zweiten Fehlerbetrieb 302 eine Anpassung des Schedulings durchgeführt wird. According to a method 100 according to the invention, monitoring 101 of the at least one first functional component 31 and the at least one second functional component 32 can be carried out repeatedly and continuously during the operation of the control device 10. Based on the monitoring 101, a detection 102 of an error in at least one of the functional components 30 can also be carried out repeatedly and continuously during the operation of the control device 10. The result of the detection 102 is that an error operation 301, 302 is selected and initiated depending on the detection. A first error operation 301 is initiated 103 when the error is detected in the at least one first functional component 31 for the real-time function or autonomous driving function. A second error operation 302 is also initiated 104 when the error is detected in the at least one second functional component 32 for the at least one further function. The initiation 104 of the second error operation 302 can also be linked to at least one further condition, e.g. B. that the real-time function or autonomous driving function is active and/or that an error was not additionally detected in the first functional component 31. The second error operation 302 can differ from the first error operation 301, for example at least in that an adjustment of the scheduling is carried out in the second error operation 302.
Das Scheduling kann die auszuführenden Funktionskomponenten 30 definieren und als ein reguläres Scheduling während eines Normalbetriebs 300 der Verarbeitungseinheit 20 bzw. des Steuergeräts 10 ausgeführt werden. Im zweiten Fehlerbetrieb 302 kann das Scheduling hingegen angepasst sein und als ein Fallback-Scheduling ausgeführt werden, bei welchem eine geringere Anzahl der Funktionskomponenten 30 ausgeführt wird als bei dem regulären Scheduling. Um die Anpassung des Schedulings zu ermöglichen, kann entsprechend ein Wechsel von dem regulären Scheduling zu dem Fallback-Scheduling vorgesehen sein. Im Gegenteil dazu kann bei dem ersten Fehlerbetrieb 301 das reguläre Scheduling weiterhin durchgeführt werden. The scheduling can define the functional components 30 to be executed and be carried out as regular scheduling during normal operation 300 of the processing unit 20 or the control device 10. In the Second error operation 302, however, the scheduling can be adapted and executed as a fallback scheduling, in which a smaller number of the functional components 30 are executed than in the regular scheduling. In order to enable the scheduling to be adjusted, a change from regular scheduling to fallback scheduling can be provided. On the contrary, in the first error operation 301, regular scheduling can continue to be carried out.
Um die Auswahl durchzuführen, ob der erste oder zweite Fehlerbetrieb 301 ,302 initiiert werden soll, kann eine Erkennung und Lokalisierung des Fehlers durchgeführt werden. Diese ermöglicht eine Unterscheidung, ob der Fehler bei der ersten 31 oder zweiten 32 Funktionskomponente aufgetreten ist. Die Erkennung und Lokalisierung kann dabei die Schritte der Durchführung der Überwachung 101 und des Detektierens 102 umfassen und durch eine Treibervorrichtung 40 verwendet und/oder durchgeführt werden. In order to make the selection as to whether the first or second error operation 301, 302 should be initiated, detection and localization of the error can be carried out. This enables a distinction to be made as to whether the error occurred in the first 31 or second 32 functional component. The detection and localization can include the steps of carrying out monitoring 101 and detecting 102 and can be used and/or carried out by a driver device 40.
In Figur 2 ist schematisch ein Computerprogramm 50 dargestellt, welches durch eine elektronische Treibervorrichtung 40 ausgeführt werden kann, um die Erkennung und Lokalisierung und/oder die Verfahrensschritte auszuführen. Ferner ist in Figur 2 ein erfindungsgemäßes System 10 zur Datenverarbeitung schematisch dargestellt. Das System 10 kann bspw. das Steuergerät 10 des Fahrzeuges 1 sein. A computer program 50 is shown schematically in FIG. 2, which can be executed by an electronic driver device 40 in order to carry out the detection and localization and/or the method steps. Furthermore, a system 10 according to the invention for data processing is shown schematically in FIG. The system 10 can be, for example, the control unit 10 of the vehicle 1.
In Figur 3 ist ein erfindungsgemäßes Verfahren 100 mit weiteren Einzelheiten beispielhaft dargestellt. Es kann vorgesehen sein, dass im Normalbetrieb 300 die in Figur 2 dargestellte Verarbeitungseinheit 20 zunächst nach einem Boot- und Initialisierungsvorgang in einen zyklischen Betrieb schaltet, also das reguläre Scheduling durchgeführt wird. Unmittelbar danach kann die autonome Fahrfunktion, auch kurz HAF-Modus bezeichnet, grundsätzlich inaktiv sein, also eine HAF-Funktionen nicht am Fahrzeug 1 genutzt werden. Ferner kann während des Betriebs des Steuergeräts 10 kontinuierlich die Überwachung 101 und das Detektieren 102 durchgeführt werden, wobei dies auch als „Erkennen und Lokalisieren“ bezeichnet und durch die Treibervorrichtung 40 ausgeführt werden kann. In Abhängigkeit von dem Erkennen und Lokalisieren, aber auch von wenigstens einer weiteren Bedingung, kann entweder das Initiieren 103 des ersten Fehlerbetriebs 301 oder Initiieren 104 des zweiten Fehlerbetriebs 302 erfolgen. Die weitere Bedingung kann z. B. den Zustand der autonomen Fahrfunktion sein, also ob diese aktiviert 311 oder deaktiviert 310 ist. Die Fehlerbetriebe 301 ,302 können jeweils wieder durch einen Trigger 314 von außen in den Normalbetrieb 300 zurückgesetzt werden. In Figure 3, a method 100 according to the invention is shown as an example with further details. It can be provided that in normal operation 300 the processing unit 20 shown in FIG. 2 initially switches to cyclic operation after a boot and initialization process, i.e. regular scheduling is carried out. Immediately afterwards, the autonomous driving function, also known as HAF mode for short, can generally be inactive, i.e. HAF functions cannot be used on vehicle 1. Furthermore, monitoring 101 and detecting 102 can be carried out continuously during operation of the control device 10, whereby this can also be referred to as “detection and localization” and can be carried out by the driver device 40. Depending on the recognition and localization, but also on at least one further condition, either the initiation 103 of the first error operation 301 or initiation 104 of the second error operation 302. The further condition can e.g. B. the state of the autonomous driving function, i.e. whether it is activated 311 or deactivated 310. The error operations 301, 302 can each be reset to normal operation 300 from outside by a trigger 314.
Der Pfeil 312 repräsentiert ein Aktivieren der autonomen Fahrfunktion, der Pfeil 313 repräsentiert ein Deaktivieren der autonomen Fahrfunktion. Wenn der HAF- Modus aktiviert werden soll, kann dies dem Steuergerät 10 z. B. durch ein Bussystem übermittelt werden. Die Umschaltung kann bspw. durch eine Software-Schnittstelle in der Anwendersoftware erfolgen. Der HAF-Modus muss hierbei nicht zwangsläufig als eigener Zustand in einem Zustandsautomaten der Verarbeitungseinheit 20 realisiert sein. Auch muss es aufgrund des HAF-Modus nicht zwangsläufig eine Änderung im Scheduling geben. Bspw. wird der HAF- Modus ausschließlich in einer Logik innerhalb der Anwendersoftware realisiert. Auch das Deaktivieren des HAF-Modus kann durch die Anwendersoftware erfolgen. Arrow 312 represents activating the autonomous driving function, arrow 313 represents deactivating the autonomous driving function. If the HAF mode should be activated, this can be done to the control unit 10, for example. B. be transmitted by a bus system. The switchover can take place, for example, through a software interface in the user software. The HAF mode does not necessarily have to be implemented as a separate state in a state machine of the processing unit 20. There does not necessarily have to be a change in scheduling due to the HAF mode. For example, the HAF mode is implemented exclusively in logic within the user software. The HAF mode can also be deactivated using the user software.
Wird nun anhand der Überwachung 101 ein Fehler detektiert, welcher auf eine bestimmte Funktionskomponente 30 lokalisierbar und eingrenzbar ist, kann eine Auswahl der verschiedenen Fehlerbetriebe 301 ,302 vorgesehen sein. Abhängig davon, ob aktuell ein HAF-Modus aktiv ist und wo der Fehler lokalisiert wurde, kann entsprechend die Auswahl des Fehlerbetriebs 301 ,302 erfolgen. If an error is now detected based on the monitoring 101, which can be localized and limited to a specific functional component 30, a selection of the different error operations 301, 302 can be provided. Depending on whether a HAF mode is currently active and where the error was located, the error mode 301, 302 can be selected accordingly.
Konkret kann für den Fall, dass HAF aktiv 311 ist und der Fehler bei der wenigstens einen zweiten Funktionskomponente 32 für die weitere, nicht HAF- relevante Funktion lokalisiert wurde, der zweite Fehlerbetrieb 302 ausgewählt werden, andernfalls der erste Fehlerbetrieb 301 . Der erste Fehlerbetrieb 301 kann hierbei der herkömmliche „fail passive“ Modus sein, in welchem sämtliche sicherheitsrelevanten Hardwareausgänge, welche von der Verarbeitungseinheit 20 angesteuert werden, in einen sicheren Zustand versetzt werden, also bspw. unterdrückt werden. Die Software kann im Übrigen hierbei wie im Normalbetrieb ausgeführt werden, es wird also ggf. auch das reguläre Scheduling weiterhin ausgeführt. Allerdings werden die Befehle der Funktionskomponenten 30 nicht mehr an die Hardware außerhalb der Verarbeitungseinheit 20 weitergegeben. Dagegen kann im zweiten Fehlerbetrieb 302, auch Limp Home Modus bezeichnet, ein verändertes Fallback-Scheduling erfolgen. Damit kann im zweiten Fehlerbetrieb 302 ein „fail degraded“ Modus vorliegen, in dem weiterhin sämtliche HAF-Funktionalitäten im Fallback-Scheduling berechnet werden und die sicherheitsrelevanten Hardwareausgänge, die von der Verarbeitungseinheit 20 angesteuert werden, unverändert angesteuert werden. Sämtliche Funktionskomponenten 30, welche allerdings nicht relevant für HAF-Funktionen sind, können dann allerdings vom Fallback-Scheduling ausgenommen und daher nicht mehr berechnet werden. Dieser zweite Fehlerbetrieb 302ist insbesondere dann möglich, wenn der Fehler eindeutig lokalisierbar ist und auch sonst kein weiterer, grundlegender Fehler in der Verarbeitungseinheit 20 vorliegt. Bei weiteren, grundlegenden Fehlern, wie z. B. Temperaturfehlern, Spannungsfehlern oder unkorrigierbaren Speicherfehlern, kann die Verarbeitungseinheit 20 wie üblich in den ersten Fehlerbetrieb 301 oder einen anderen Fehlermodus schalten. Specifically, in the event that HAF is active 311 and the error in the at least one second functional component 32 has been localized for the further, non-HAF-relevant function, the second error mode 302 can be selected, otherwise the first error mode 301. The first error mode 301 can be the conventional “fail passive” mode, in which all safety-relevant hardware outputs, which are controlled by the processing unit 20, are put into a safe state, that is, for example, suppressed. The software can also be run as in normal operation, meaning that regular scheduling will continue to be carried out if necessary. However, the commands of the functional components 30 are no longer passed on to the hardware outside the processing unit 20. In contrast, in the second error mode 302, also known as Limp Home mode, a changed fallback scheduling can take place. This means that in the second error mode 302 there can be a “fail degraded” mode in which all HAF functionalities continue to be calculated in fallback scheduling and the safety-relevant hardware outputs that are controlled by the processing unit 20 are controlled unchanged. However, all functional components 30, which are not relevant for HAF functions, can then be excluded from fallback scheduling and therefore no longer be calculated. This second error operation 302 is possible in particular if the error can be clearly localized and there is no other fundamental error in the processing unit 20. If there are other, fundamental errors, such as: B. temperature errors, voltage errors or uncorrectable memory errors, the processing unit 20 can switch to the first error mode 301 or another error mode as usual.
Die voranstehende Erläuterung der Ausführungsformen beschreibt die vorliegende Erfindung ausschließlich im Rahmen von Beispielen. Selbstverständlich können einzelne Merkmale der Ausführungsformen, sofern technisch sinnvoll, frei miteinander kombiniert werden, ohne den Rahmen der vorliegenden Erfindung zu verlassen. The above explanation of the embodiments describes the present invention solely in terms of examples. Of course, individual features of the embodiments can, if technically sensible, be freely combined with one another without departing from the scope of the present invention.

Claims

Ansprüche Expectations
1 . Verfahren (100) für einen Betrieb eines Steuergeräts (10) eines Fahrzeuges (1), wobei das Steuergerät (10) wenigstens eine elektronische Verarbeitungseinheit (20) zur Ausführung von wenigstens einer ersten Funktionskomponente (31) für eine Echtzeitfunktion für das Fahrzeug, und wenigstens einer zweiten Funktionskomponente (32) für zumindest eine weitere Funktion für das Fahrzeug (1) umfasst, und wobei durch ein Scheduling eine Reihenfolge der Ausführung der Funktionskomponenten (31 ,32) definiert wird, wobei die nachfolgenden Schritte vorgesehen sind: 1 . Method (100) for operating a control device (10) of a vehicle (1), wherein the control device (10) has at least one electronic processing unit (20) for executing at least a first functional component (31) for a real-time function for the vehicle, and at least a second functional component (32) for at least one further function for the vehicle (1), and wherein an order of execution of the functional components (31, 32) is defined by scheduling, the following steps being provided:
Durchführen einer Überwachung (101) der wenigstens einen ersten Funktionskomponente (31) und der wenigstens einen zweiten Funktionskomponente (32), Detektieren (102) eines Fehlers bei zumindest einer der Funktionskomponenten (31 ,32) anhand der Überwachung (101), Initiieren (103) eines ersten Fehlerbetriebs (301), wenn der Fehler bei der wenigstens einen ersten Funktionskomponente (31) für die Echtzeitfunktion detektiert wird, Carrying out monitoring (101) of the at least one first functional component (31) and the at least one second functional component (32), detecting (102) an error in at least one of the functional components (31, 32) based on the monitoring (101), initiating (103 ) a first error operation (301), when the error is detected in the at least one first functional component (31) for the real-time function,
Initiieren (104) eines zweiten Fehlerbetriebs (302), wenn der Fehler bei der wenigstens einen zweiten Funktionskomponente (32) für die zumindest eine weitere Funktion detektiert wird, wobei sich der zweite Fehlerbetrieb (302) von dem ersten Fehlerbetrieb (301) unterscheidet und bei dem zweiten Fehlerbetrieb (302) eine Anpassung des Schedulings durchgeführt wird. Verfahren (100) nach Anspruch 1 , dadurch gekennzeichnet, dass durch das Scheduling die auszuführenden Funktionskomponenten (31 ,32) definiert werden, wobei das Scheduling als ein reguläres Scheduling während eines Normalbetriebs (300) ausgeführt wird, und im zweiten Fehlerbetrieb (302) als ein Fallback-Scheduling ausgeführt wird, wobei bei dem Fallback-Scheduling eine geringere Anzahl der Funktionskomponenten (31 ,32) ausgeführt wird als bei dem regulären Scheduling, und wobei die Anpassung des Schedulings den nachfolgenden Schritt umfasst: Initiating (104) a second error operation (302) when the error is detected in the at least one second functional component (32) for the at least one further function, the second error operation (302) being different from the first error operation (301) and at the second error operation (302) an adjustment of the scheduling is carried out. Method (100) according to claim 1, characterized in that the functional components (31, 32) to be executed are defined by the scheduling, the scheduling being carried out as a regular scheduling during normal operation (300), and in the second error operation (302) as a fallback scheduling is carried out, wherein in the fallback scheduling a smaller number of the functional components (31, 32) are executed than in the regular scheduling, and wherein the adjustment of the scheduling comprises the following step:
Wechsel von dem regulären Scheduling zu dem Fallback- Scheduling. Verfahren (100) nach Anspruch 2, dadurch gekennzeichnet, dass sich der zweite Fehlerbetrieb (302) von dem ersten Fehlerbetrieb (301) dadurch unterscheidet, dass im ersten Fehlerbetrieb (301) das reguläre Scheduling weiterhin durchgeführt wird. Verfahren (100) nach Anspruch 2 oder 3, dadurch gekennzeichnet, dass im ersten Fehlerbetrieb (301) eine im Normalbetrieb (300) und im zweiten Fehlerbetrieb (302) zugelassene Auswirkung der Funktionskomponenten (31 ,32) außerhalb der Verarbeitungseinheit (20) verhindert wird, insbesondere dadurch, dass eine im Normalbetrieb (300) durchgeführte hardwareseitige Ausgabe der Funktionskomponenten (31 ,32) unterdrückt wird. Verfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass im zweiten Fehlerbetrieb (302) ein Fallback-Scheduling durchgeführt wird, bei welchem sämtliche ersten Funktionskomponenten (31) für die Echtzeitfunktion weiterhin ausgeführt werden, und bei welchem zumindest eine der zweiten Funktionskomponenten (32) für die zumindest eine weitere und von der Echtzeitfunktion abweichende Funktion ausgesetzt wird. Verfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Echtzeitfunktion als eine autonome Fahrfunktion ausgeführt ist, und dass das Initiieren (104) des zweiten Fehlerbetriebs (302) dann erfolgt, wenn sich das Fahrzeug (1) in einem autonomen Fährbetrieb befindet. Verfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass im zweiten Fehlerbetrieb (302) weiterhin die Überwachung (101) und das Detektieren (102) durchgeführt wird, und von dem zweiten Fehlerbetrieb (302) in den ersten Fehlerbetrieb (301) gewechselt wird, wenn ein Fehler bei der wenigstens einen ersten Funktionskomponente (31) für die Echtzeitfunktion detektiert wird. Verfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eine Erkennung und Lokalisierung des Fehlers durchgeführt wird, um zu unterscheiden, ob der Fehler bei der ersten oder zweiten Funktionskomponente (31 ,32) aufgetreten ist, wobei die Erkennung und Lokalisierung die Schritte der Durchführung der Überwachung (101) und des Detektierens (102) umfasst, wobei eine Treibervorrichtung (40) die Erkennung und Lokalisierung verwendet und/oder durchführt, um in Abhängigkeit von der Erkennung und Lokalisierung das Initiieren (103,104) der Fehlerbetriebe (301 ,302) und/oder die Anpassung des Schedulings durchzuführen. Computerprogramm (50), umfassend Befehle, die bei der Ausführung des Computerprogramms (50) durch eine elektronische Treibervorrichtung (40) diese veranlassen, die Schritte des Verfahrens (100) nach einem der vorhergehenden Ansprüche auszuführen. System (10) zur Datenverarbeitung, insbesondere in der Form eines Steuergeräts (10), welches eingerichtet ist, das Verfahren (100) nach einem der Ansprüche 1 bis 8 auszuführen. System (10) nach Anspruch 10, dadurch gekennzeichnet, dass das System (10) eine elektronische Treibervorrichtung (40) aufweist, um die Anpassung des Schedulings durchzuführen, und dass die Verarbeitungseinheit (20) als ein Mikrocontroller ausgebildet ist, um abhängig von dem Scheduling die Funktionskomponenten (31 ,32) auszuführen. Switch from regular scheduling to fallback scheduling. Method (100) according to claim 2, characterized in that the second error operation (302) differs from the first error operation (301) in that the regular scheduling continues to be carried out in the first error operation (301). Method (100) according to claim 2 or 3, characterized in that in the first error mode (301) an effect of the functional components (31, 32) outside the processing unit (20) permitted in normal operation (300) and in the second error mode (302) is prevented , in particular in that a hardware output of the functional components (31, 32) carried out in normal operation (300) is suppressed. Method (100) according to one of the preceding claims, characterized in that in the second error mode (302) a fallback scheduling is carried out, in which all first functional components (31) for the real-time function continue to be executed, and in which at least one of the second functional components (32) for which at least one further function that deviates from the real-time function is suspended. Method (100) according to one of the preceding claims, characterized in that the real-time function is implemented as an autonomous driving function, and that the initiation (104) of the second error operation (302) takes place when the vehicle (1) is in an autonomous ferry operation located. Method (100) according to one of the preceding claims, characterized in that in the second error mode (302) monitoring (101) and detection (102) continue to be carried out, and from the second error mode (302) to the first error mode (301) is changed when an error is detected in the at least one first functional component (31) for the real-time function. Method (100) according to one of the preceding claims, characterized in that a detection and localization of the error is carried out in order to distinguish whether the error occurred in the first or second functional component (31, 32), the detection and localization being the Steps for carrying out the monitoring (101) and the detecting (102), wherein a driver device (40) uses and/or carries out the detection and localization in order to initiate (103,104) the error operations (301) depending on the detection and localization. 302) and/or to adjust the scheduling. Computer program (50), comprising instructions which, when the computer program (50) is executed by an electronic driver device (40), cause the latter to carry out the steps of the method (100) according to one of the preceding claims. System (10) for data processing, in particular in the form of a control device (10), which is set up to carry out the method (100) according to one of claims 1 to 8. System (10) according to claim 10, characterized in that the system (10) has an electronic driver device (40) to carry out the adjustment of the scheduling and that the processing unit (20) is designed as a microcontroller to operate depending on the scheduling to execute the functional components (31, 32).
PCT/EP2023/062263 2022-05-31 2023-05-09 Method for operating a control device of a vehicle WO2023232401A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102022205521.7A DE102022205521A1 (en) 2022-05-31 2022-05-31 Method for operating a control unit of a vehicle
DE102022205521.7 2022-05-31

Publications (1)

Publication Number Publication Date
WO2023232401A1 true WO2023232401A1 (en) 2023-12-07

Family

ID=86497588

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2023/062263 WO2023232401A1 (en) 2022-05-31 2023-05-09 Method for operating a control device of a vehicle

Country Status (2)

Country Link
DE (1) DE102022205521A1 (en)
WO (1) WO2023232401A1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190196927A1 (en) * 2017-12-26 2019-06-27 Thales Programmable electronic computer in an avionics environment for implementing at least one critical function and associated electronic device, method and computer program

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190196927A1 (en) * 2017-12-26 2019-06-27 Thales Programmable electronic computer in an avionics environment for implementing at least one critical function and associated electronic device, method and computer program

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
"ISO 26262-8:2011 Road vehicles -- Functional safety -- Part 8: Supporting processes", 15 November 2011 (2011-11-15), pages 1 - 48, XP009501916, Retrieved from the Internet <URL:https://www.iso.org/standard/51364.html> *
AUTOSAR: "Overview of Functional Safety Measures in AUTOSAR AUTOSAR CP Release 4.3.0", AUTOSAR STANDARD RELEASES, 30 November 2016 (2016-11-30), pages 1 - 96, XP055894030, Retrieved from the Internet <URL:https://www.autosar.org/fileadmin/user_upload/standards/classic/4-3/AUTOSAR_EXP_FunctionalSafetyMeasures.pdf> [retrieved on 20220221] *
CHOI JUNCHUL HINOMK2@IRIS SNU AC KR ET AL: "Optimization of Fault-Tolerant Mixed-Criticality Multi-Core Systems with Enhanced WCRT Analysis", ACM TRANSACTIONS ON DESIGN AUTOMATION OF ELECTRONIC SYSTEMS, ACM, NEW YORK, NY, US, vol. 24, no. 1, 21 December 2018 (2018-12-21), pages 1 - 26, XP058682182, ISSN: 1084-4309, DOI: 10.1145/3275154 *
SUKUMARAN NAIR ARUN ET AL: "TaskMUSTER: a comprehensive analysis of task parameters for mixed criticality automotive systems", SADHANA, SPRINGER INDIA, NEW DELHI, vol. 47, no. 1, 31 December 2021 (2021-12-31), XP037652924, ISSN: 0256-2499, [retrieved on 20211231], DOI: 10.1007/S12046-021-01778-Y *

Also Published As

Publication number Publication date
DE102022205521A1 (en) 2023-11-30

Similar Documents

Publication Publication Date Title
DE10049441B4 (en) Method of operating a system controlled by a processor
WO2006015945A2 (en) Method, operating system, and computing device for processing a computer program
WO2008040641A2 (en) Method and device for error management
EP2207097A1 (en) Method and device for operating a control device
DE102013113296A1 (en) Redundant computing architecture
EP1810139B1 (en) Method, operating system and computing element for running a computer program
WO2008065059A1 (en) Method for ensuring or maintaining the function of a complex complete safety-critical system
DE102007056218A1 (en) Method for the treatment of transient errors in real-time systems, in particular in control units of motor vehicles
DE102005009813A1 (en) Electronic control system and method with microcomputer monitoring suppression function
DE102008004206A1 (en) Error e.g. transient error, detecting and handling arrangement for control device in motor vehicle, has arithmetic units informing result of inherent error diagnosis to monitoring unit that controls arithmetic units in dependence of result
DE102011053580A1 (en) METHOD FOR OPERATING AN ELECTRIC AUXILIARY POWER STEERING
DE102004046611A1 (en) Method for processing a computer program on a computer system
EP2228723B1 (en) Method for error treatment of a computer system
WO2023232401A1 (en) Method for operating a control device of a vehicle
DE102013202961A1 (en) Method for monitoring stack memory in operating system of control unit of motor vehicle, involves carrying out predefined action if characteristic parameters of stack memory before and after execution of program codes are not identical
DE102004046288A1 (en) Method for processing a computer program on a computer system
EP1812853A2 (en) Method, operating system and computing element for running a computer program
EP3311273A1 (en) Method and apparatus for protecting a program counter structure of a processor system and for monitoring the handling of an interrupt request
WO2007074056A2 (en) Error-tolerant processor system
EP2338111B1 (en) Method and device for testing a computer core in a processor comprising at least two computer cores
DE102014112946A1 (en) Electronic control unit and electronic power steering system using them
DE102017212560A1 (en) Method for fail-safe performance of a safety-related function
WO2022263416A1 (en) Control system for at least one receiving device in safety-critical applications
EP1774417B1 (en) Method and device for monitoring the running of a control program on an arithmetic processing unit
WO2017153411A1 (en) Method for operating a control device for a motor vehicle

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 23725693

Country of ref document: EP

Kind code of ref document: A1