[go: up one dir, main page]

DE10142511B4 - Fehlerbehandlung von Softwaremodulen - Google Patents

Fehlerbehandlung von Softwaremodulen Download PDF

Info

Publication number
DE10142511B4
DE10142511B4 DE10142511A DE10142511A DE10142511B4 DE 10142511 B4 DE10142511 B4 DE 10142511B4 DE 10142511 A DE10142511 A DE 10142511A DE 10142511 A DE10142511 A DE 10142511A DE 10142511 B4 DE10142511 B4 DE 10142511B4
Authority
DE
Germany
Prior art keywords
data
software module
quality
software
input data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE10142511A
Other languages
English (en)
Other versions
DE10142511A1 (de
Inventor
Christian-Michael Dipl.-Kaufm. Mayer
Oliver Rooks
Andreas Dr.-Ing. Schwarzhaupt
Gernot Dipl.-Ing. Spiegelberg
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mercedes Benz Group AG
Original Assignee
DaimlerChrysler AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DaimlerChrysler AG filed Critical DaimlerChrysler AG
Priority to DE10142511A priority Critical patent/DE10142511B4/de
Priority to US10/231,482 priority patent/US6971047B2/en
Publication of DE10142511A1 publication Critical patent/DE10142511A1/de
Application granted granted Critical
Publication of DE10142511B4 publication Critical patent/DE10142511B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1479Generic software techniques for error detection or fault masking
    • G06F11/1492Generic software techniques for error detection or fault masking by run-time replication performed by the application software

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Verfahren zur Fehlerbehandlung von Softwaremodulen (3-5) für redundant ausgelegte Systeme (15) in Fahrzeugen, wobei
– die Softwaremodule (3-5) in Steuergeräten (1) ablaufen,
– die Steuergeräte (1, 8-14) und/oder die Softwaremodule (3-5) über ein Datenbussystem (7) Daten austauschen,
dadurch gekennzeichnet,
– dass aus direkten und/oder redundanten indirekten Eingangsdaten bereinigte Eingangsdaten für die Softwaremodule (3-5) mittels einer Plausibilitätsprüfung ermittelt werden, die auf dem vorgegebenen Wertebereich für die jeweiligen direkten Eingangsdaten sowie des physikalischen Zusammenhangs zwischen direkten und indirekten Eingangsdaten beruht,
– dass mindestens ein Softwaremodul (3-5) mittels dieser bereinigten Eingangsdaten Ausgangsdaten erzeugt,
– dass aufgrund der Plausibilitätsprüfung den Ein- und/oder Ausgangsdaten eines Softwaremoduls Daten-Qualitätsattribute zugewiesen werden,
– dass mittels eines Fehlerbehandlungsmoduls (2) dem Softwaremodul ein Softwaremodul-Qualitätsattribut zugewiesen wird und
– dass mittels des Fehlerbehandlungsmoduls (2) in Abhängigkeit des Softwaremodul-Qualitätsattributs Maßnahmen zur Qualitätsverbesserung wie Aktivierung einer Notlauffunktion des Softwaremoduls oder Aktivierung eines redundant ausgelegten...

Description

  • Die Erfindung betrifft ein Verfahren zur Fehlerbehandlung von Softwaremodulen für redundant ausgelegte Systeme in Fahrzeugen.
  • Sicherheitsrelevante Systeme in Fahrzeugen wie beispielsweise „Steer-by-Wire"-Systeme, bei denen keine permanente mechanische bzw. hydraulische Verbindung zwischen dem Lenkrad und der lenkbaren Fahrzeugrädern besteht, oder „ESP"-Systeme, bei denen im fahrdynamischen Grenzbereich das Fahrverhalten des Fahrzeugs angepasst wird, müssen gegen Fehlerausfall besonders gesichert sein. Um die Ausfallsicherheit zu erhöhen werden diese Systeme redundant ausgelegt, so dass bei Ausfall beispielsweise eines Steuergerätes auf ein redundant ausgelegtes Steuergerät umgeschaltet werden kann. Zudem wird in diesen Systemen der Fehlerbehandlung eine große Bedeutung zugemessen. Da das Ziel solcher sicherheitsrelevanter Systeme sein muss möglichst lange lauffähig zu bleiben, unter Umständen auch mittels einer im System implementierten Notlauffunktion, wird oft auch der Begriff Qualitätsmanagement verwendet. Ein Fehler entspricht dann einer verminderten Qualität, da das System beispielsweise mittels der Notlauffunktion noch lauffähig ist, aber ein Fehler vorliegt.
  • In der DE 196 31 309 A1 wird eine Mikroprozessoranordnung für ein Fahrzeugs-Regelungssystem, die mehrere, untereinander durch Bussysteme verbundene, redundant ausgelegte Mikroprozessorsysteme aufweist, offenbart. Die Datenverarbeitung in den Mikroprozessoren dient Regelungssystemen wie Blockierschutz- und/oder Antriebsschlupfregelung sowie der Eingangssignal- Aufbereitung. Die symmetrisch redundanten Ausgangs- und/oder Zwischenergebnisse der Datenverarbeitung werden verglichen. Bei Abweichung wird das betreffende System abgeschalten. Zusätzlich werden die in diesen Mikroprozessorsystemen ablaufenden Datenverarbeitungen jeweils mit den Ergebnissen einer vereinfachten Datenverarbeitung verglichen und auf Plausibilität geprüft. Im Falle von Diskrepanzen kann bei funktionswesentlichen Daten, die nicht "sicherheitskritisch" sind, das Regelungssystem zeitweise aufrechterhalten werden.
  • Aus der EP 415 545 A2 ist ein Verfahren zur Fehlerbehandlung in Datenverarbeitungssystemen bekannt, in dem der Softwarefehler festgestellt, die Herkunft des Fehlers bestimmt und in Abhängigkeit der Herkunft des Fehlers Fehlermaßnahmen ergriffen werden. Probleme und Vorteile die bei redundanten Systemen gegeben sind, werden von dem Verfahren nicht berücksichtigt.
  • In der WO 00/18613 A1 ist ein Verfahren zur Fehlererkennung von Mikroprozessoren in Steuergeräten eines Kraftfahrzeugs offenbart, wobei ein Steuergerät mittels eines Datenbusses Daten senden und empfangen kann. Die vom Mikroprozessor des Steuergeräts ausgegebenen Signale werden mit vorgegebenen Signalmustern verglichen, wobei ein Fehler erkannt wird, wenn die von dem Mikroprozessor ausgegebenen Signale nicht mit einem der vorgegebenen Signalmuster übereinstimmen. Das Verfahren sieht aber keine weiteren Schritte zur Fehlerbehebung vor.
    •
  • Es ist nun die Aufgabe der vorliegenden Erfindung das eingangs beschriebene Verfahren derart weiterzubilden, dass eine Fehlerbehandlung auf redundant ausgelegte Systeme in Fahrzeugen optimiert wird, wobei Fehler erkannt und Fehlerbehandlungs-Maßnahmen eingeleitet werden. Zusätzlich soll die Fehlerbehandlung derart gestaltet sein, dass diese für mehrere softwaregesteuerte Applikationen, die auf einem Steuergerät laufen, anwendbar ist.
  • Diese Aufgabe wird erfindungsgemäß durch die Merkmale des Anspruchs 1 gelöst. Danach werden aus direkten und/oder redundanten indirekten Eingangsdaten für die Softwaremodule mittels einer Plausibilitätsprüfung bereinigte Eingangsdaten ermittelt, die auf dem vorgegebenen Wertebereich für die jeweiligen direkten Eingangsdaten sowie des physikalischen Zusammenhangs zwischen direkten und indirekten Eingangsdaten beruht. Zudem erzeugt mindestens ein Softwaremodul mittels dieser bereinigten Eingangsdaten Ausgangsdaten. Zudem werden aufgrund der Plausibilitätsprüfung den Ein- und/oder Ausgangsdaten eines Softwaremoduls Daten-Qualitätsattribute zugewiesen und mittels eines Fehlerbehandlungsmoduls wird dem Softwaremodul ein Softwaremodul-Qualitätsattribut zugewiesen. Zudem werden mittels des Fehlerbehandlungsmoduls in Abhängigkeit des Softwaremodul-Qualitätsattributs Maßnahmen zur Qualitätsverbesserung wie Aktivierung einer Notlauffunktion des Softwaremoduls oder Aktivierung eines redundant ausgelegten Softwaremoduls durchgeführt.
  • Die Softwaremodule laufen auf Steuergeräten und entsprechen damit softwaregesteuerten Applikationen, wie sie im Fahrzeug für beispielsweise „Steer-by-Wire"- oder „ESP"-Systeme Anwendung finden. Vorzugsweise laufen die Softwaremodule in einem Steuergerät ab. Es ist aber ebenso denkbar, dass eine softwaregesteuerte Applikation über mehrere Steuergeräte verteilt ist.
  • Die direkten Eingangsdaten sind identisch zu der vom Softwaremodul erwarteten Eingangsgröße. Die indirekten Eingangsdaten sind mit der vom Softwaremodul zu erwarteten Eingangsgröße aufgrund von Kennlinien und/oder Tabellen und/oder physikalischen Zustandsgleichungen korreliert, so dass mittels der Kenntnis der indirekten Eingangsgrößen eine Berechnung und eine Aussage über die Plausibilität bzw. über die Qualität der direkten Eingangsdaten möglich ist.
  • Die bereinigte Eingangsdaten werden mittels einer Plausibilitätsprüfung ermittelt, die einerseits auf den vorgegebenen Wertebereich der direkten Eingangsdaten und andererseits auf den physikalischen Zusammenhang zwischen direkten und indirekten Eingangsdaten beruht.
  • Durch Zuweisung von Daten-Qualitätsattributen und darauf aufbauend von Softwaremodul-Qualitätsattributen, welche Informationen über die aktuelle Qualität der Daten bzw. der Softwaremodule enthalten, wird der Zustand des Systems ermittelt. Mittels der Qualitätsattributs-Informationen können dann Qualitätsmanagement-Maßnahmen wie Aktivierung von Notlauffunktionen, Deaktivierung von Softwaremodulen, Aktivierung von redundanten Softwaremodulen initiiert werden.
  • Da die Ermittlung der bereinigten Eingangsdaten, das Zuweisen des Daten- und Softwaremodul-Qualitätsattributs sowie die Maßnahme zur Fehlerbehandlung außerhalb der Softwaremodule gelagert ist und die korrespondierenden Daten auf einem Speichermittel abgelegt sind, auf die die teilnehmenden Softwaremodule Zugriff haben, können softwaregesteuerte Applikationen bzw. Softwaremodule unabhängig von der Fehlerbehandlung entwickelt werden. Dies ist ein großer Vorteil, da im Allgemeinen Fehlerbehandlungsmodule für eine bestimmte softwaregesteuerte Applikation entwickelt werden und nur mit großem Aufwand an weitere Applikationen, die beispielsweise auf demselben Steuergerät laufen, angepasst werden können.
  • Durch die Trennung der Fehlerbehandlung von den eigentlichen softwaregesteuerten Applikationen wird eine höhere Transparenz in der Fehlerbehandlung erzielt. Dies ist insbesondere dann der Fall, wenn die softwaregesteuerten Applikation implizit voneinander abhängen.
  • Es gibt nun verschiedene Möglichkeiten, die Lehre der vorliegenden Erfindung in vorteilhafter Weise auszugestalten und weiterzubilden. Dazu ist einerseits auf die untergeordneten Ansprüche und andererseits auf die nachfolgende Erläuterung einer Ausführungsform zu verweisen. Es sollen auch die vorteilhaften Ausgestaltungen einbezogen sein, die sich aus einer beliebigen Kombination der Unteransprüche ergeben. In der Zeichnung ist eine Ausführungsform des erfindungsgemäßen Verfahrens und eine Vorrichtung dargestellt. Es zeigen jeweils in schematischer Darstellung,
  • 1 eine Vorrichtung zur Durchführung des erfindungsgemäßen Verfahrens,
  • 2 eine Übersicht einer Vorrichtung zur Durchführung des erfindungsgemäßen Verfahrens und
  • 3 ein Flussdiagramm zu Durchführung des erfindungsgemäßen Verfahrens
    •
  • Eine Übersicht der Vorrichtung ist in 2 dargestellt. In dem redundant ausgelegten System sind die teilnehmenden Komponenten 1, 8-14 über ein Datenbussystem 7 miteinander verbunden. Die teilnehmenden Komponenten 1, 8-14 bestehen vorzugsweise aus Steuergeräten, Sensoren und Aktoren. Die Komponenten 1, 8-14 stellen den weiteren Komponenten 1, 8-14 zur Verfügung und/oder verarbeiten Daten der weiteren Komponenten 1, 8-14. Aufgrund der Redundanz des Systems sind Komponenten mehrfach ausgelegt. Beispielweise ist nicht nur ein Sensor zur Messung der Geschwindigkeit vorhanden, sondern das System stellt mehrere Sensoren zur Messung der Geschwindigkeit zur Verfügung.
  • Der Datenbus 7 kann z.B. als FlexRay-Bus-, als optischer MOST- oder D2B-Bus oder als elektrischer CAN-Bus in einem Verkehrsmittel, insbesondere einem Fahrzeug, vorgesehen sein.
  • In l ist der schematische Aufbau der Komponente 1, die für ein Steuergerät steht, abgebildet. Das Steuergerät 1 verfügt über ein Fehlerbehandlungsmodul 2 und mehrere Softwaremodule 35. Das Fehlerbehandlungsmodul 2 sowie die Softwaremodule 3-5 entsprechen softwaregesteuerten Applikationen, die auf dem Steuergerät laufen. Die softwaregesteuerten Applikationen 2-5 tauschen Daten mit den Komponenten 1, 8-14 aus. Die Module 2-5 sind mit dem Speichermittel 6 verbunden. Das Speichermittel 6 ist vorzugsweise als Speichermittel der Komponente 1 ausgelegt.
  • Beispielhaft soll das Softwaremodul 3 eine softwaregesteuerte Applikation zur Längsdynamik-Regelung eines Fahrzeugs darstellen, wobei die Längsdynamik-Regelung die Längsbeschleunigung des Fahrzeugs regelt und der Sollwert der Längsbeschleunigung aSoll durch die Gaspedalstellung des Fahrers vorgegeben wird. Die softwaregesteuerte Applikation 3 benötigt als Eingangsgröße die aktuelle Längsbeschleunigung aAktuell des Fahrzeugs und ermittelt als Ausgangsgröße Stellwerte für die Motorsteuerung und/oder das Bremssystem.
  • Aufgrund der im redundanten System 15 vorhandenen Sensoren werden die direkten und indirekten Eingangsdaten auf dem Datenbus 7 zur Verfügung gestellt. So ermittelt beispielsweise das System 15 mittels der Komponenten 8-14 kontinuierlich drei Geschwindigkeitswerte v1, v2, v3, sowie drei Motordrehzahlwerte n1, n2, n3 und zwei Längsbeschleunigungswerte a1, a2, welche den aktuellen Zustand des Fahrzeugs bezüglich der Längsdynamik-Regelung beschreiben. Die direkten Eingangsdaten für das Softwaremodul 3 sind damit a1 sowie a2; den indirekten Eingangsdaten entsprechen v1, v2, v3, n1, n2, n3, da diese mit der Längsbeschleunigung des Fahrzeugs über eine physikalische Zustandsgleichung korreliert sind.
  • Anhand der in 3 dargestellten Flussdiagramms wird nun das erfindungsgemäße Verfahren erläutert:
  • Eingangsdaten:
  • Das Steuergerät 1 greift vom Datenbus 7 die für das Softwaremodul 2 bestimmten direkten und indirekten Eingangsdaten (v1, v2, v3, n1, n2, n3, a1, a2) ab.
  • Bereinigte Daten:
  • Von dem Fehlerbehandlungsmodul 2 werden bereinigte Eingangsdaten für das Softwaremodul 3 ermittelt. Das Softwaremodul 3 benötigt als Eingangsdatum die aktuelle Längsbeschleunigung des Fahrzeugs. Hierbei führt das Fehlerbehandlungsmodul eine Plausibilitätsprüfung durch, die einerseits auf dem vorgegebenen Wertebereich der direkten Eingangsdaten und andererseits auf dem physikalischen Zusammenhang zwischen direkten und indirekten Eingangsdaten beruht. Das Fehlerbehandlungsmodul 2 geht dabei folgendermaßen vor:
    Sind a1 und a2 vorhanden und liegen diese Werte nicht außerhalb des vorgegebenen Wertebereichs so wird das arithmetische Mittel für aAktuell als bereinigtes Eingangsdatum ermittelt. Liegen a1 oder a2 außerhalb des vorgegebenen Wertebereichs oder ist nur a1 oder nur a2 vorhanden, ermittelt das Fehlerbehandlungsmodul mittels der indirekten Daten (v1, v2, v3, n1, n2, n3) auf Basis einer physikalischen Zustandsgleichung den aktuellen Wert aAktuell. Liegen a1 und a2 außerhalb des Wertebereichs oder steht nur ein Eingangsdatum zur Verfügung, das außerhalb des Wertebereichs liegt und/oder stehen keine indirekten Daten für eine Plausibilitätsprüfung zur Verfügung wird kein bereinigtes Eingangsdatum für das Softwaremodul 3 ermittelt.
  • Aufgrund der Abweichungen vom Werterbereich bzw. das Fehlen von direkten Eingangsdaten kann auf die Funktionalität der entsprechenden Sensoren geschlossen und weitere Schritte unternommen werden.
  • Qualitätsbestimmung I:
  • Die Qualitätsbestimmung der bereinigten Eingangsdaten erfolgt in Abhängigkeit der direkten und/oder indirekten Eingangsdaten. Den bereinigten Eingangsdaten wird ein Daten-Qualitätsattribut zugeordnet, das die Qualität der Eingangsdaten widerspiegelt. Dieses Qualitätsattribut hat vier Qualitätsstufen „4", „2", „1", „0", ausgehend von hoher Qualität „4" bis niederer Qualität „0". So wird die Qualitästsstufe „4" vergeben, wenn a1 und a2 vorhanden und in dem vorgegebenen Wertebereich liegen. Die Qualitätsstufe „2" wird vergeben, wenn nur aufgrund der Hinzunahme der indirekten Eingangsdaten ein bereinigtes Eingangsdatum ermittelt wird. Sind ein oder mehrere direkte Eingangsdaten ausgefallen und es sind keine indirekten Eingangssignale zur Plausibilitätsprüfung vorhanden, dann wird die Qualitätsstufe „1" vergeben. Kann das Fehlerbehandlungsmodul keinen bereinigten Eingangswert ermitteln, wird die Qualitätsstufe „0" vergeben.
  • Speichermittel I:
  • Die bereinigten Eingangsdaten und korrespondierenden Daten-Qualitätsattribute werden in dem Speichermittel 6 abgelegt.
  • Modul:
  • Das Softwaremodul 3 liest aus dem Speichermittel 6 sein bereinigtes Eingangsdatum aAktuell. Die softwaregesteuerte Applikation zur Längsdynamikregelung 3 ermittelt nach Vergleich von aSoll und aAktuell ein Drehmoment zur Steuerung des Motors und/oder eine Sollverzögerung für das Bremssystem.
  • Ausgangsdaten:
  • Das Drehmoment und die Sollverzögerung stellen die Ausgangsdaten für das Softwaremodul 3 dar.
  • Speichermittel II:
  • Die Ausgangsdaten werden im Speichermittel 6 abgelegt und an den Datenbus 7 ausgegeben.
  • Qualitätsbestimmung II:
  • Die Qualitätsbestimmung der Ausgangsdaten erfolgt über die aktuellen eingehenden bereinigten Eingangsdaten. In diesem Fall wird vom Fehlerbehandlungsmodul 2 geprüft, ob aAktuell sich an das an die Motorsteuerung ausgegebene Drehmoment und/oder an die an das Bremssystem ausgegebene Sollverzögerung anpasst. Je nach Ergebnis wird ein Daten-Qualitätsattribut den Ausgangsdaten Drehmoment und/oder Sollwertverzögerung zugeordnet. Das Daten-Qualitätsattribut für die Ausgangsdaten ist ebenfalls vierstufig ausgelegt, wobei die Stufe „4" für „System folgt" und Stufe „0" für „System folgt nicht" steht. Die Qualitätsstufen „2", „1" sind nicht belegt. Eine Belegung aller vier Stufen könnte beispielsweise dadurch erfolgen, dass noch berücksichtigt wird in welcher Zeitspanne das System auf die Stellwerte bzw. die Ausgangsdaten reagiert.
  • Speichermittel III:
  • Die Daten-Qualitätsattribute werden ebenfalls in dem Speichermittel 6 abgelegt.
  • Qualitätsbestimmung des Moduls + Qualitätsmanagement:
  • Mittels der Daten-Qualitätsattribute wird nun von dem Fehlerbehandlungsmodul 2 dem Softwaremodul 3 eine Softwaremodul-Qualitätsattribut zugewiesen. Aufgrund dieses Softwaremodul-Qualitätsattributs werden dann in weiteren Schritten Maßnahmen zur Qualitätssicherung, also ein sogenanntes Fehler- bzw. Qualitätsmanagement durchgeführt. Somit stellt das Softwaremodul-Qualitätsattribut den Zustand der softwaregesteuerten Applikation dar. Die Zuweisung des Softwaremodul-Qualitätsattributs erfolgt über eine in dem Speichermittel 6 abgelegte Matrix. In dieser Matrix sind für die Softwaremodule 3-5 in Abhängigkeit der Qualität der korrespondierenden Ein- und/oder Ausgangsdaten, die resultierende Qualität des Softwaremoduls abgelegt, wobei bei Erstellung der Matrix die Daten-Qualitätsattribute unterschiedliche gewichtet werden. Entsprechend den Daten-Qualitätsattributen können auch für die Software-Qualitätsattribute vier Stufen vergeben werden. Das aktuell ermittelte Softwaremodul-Qualitätsattribute wird ebenfalls in dem Speichermittel 6 abgelegt. Die Matrix enthält zudem Informationen über das Qualitätsmanagement. Zu jedem Softwaremodul-Qualitätsattribut ist in der Matrix zudem die Maßnahme zur Qualitätsverbesserung hinterlegt. Beispielsweise steht für ein bestimmtes Softwaremodul 3-5 die Stufe „4" für „Optimaler Betrieb", die Stufe „2" für „Umschalten auf Notlauffunktion 1", die Stufe „1" für „Umschalten auf Notlauffunktion 2",die Stufe „0" für „Eigen-Deaktivierung sowie Aktivierung eines redundanten Softwaremoduls". Das Fehlerbehandlungsmodul 2 überwacht die Generierung der entsprechenden aktuellen Softwaremodul-Qualitätsattribute und leitet auch die Maßnahmen zur Qualitätssicherung ein. Es kann aber auch derart realisiert sein, dass die Softwaremodule sich selbst kontrollieren, indem diese die Qualitätsinformation im Speichermittel kontinuierlich abprüfen und mittels der in der Matrix abgelegten Informationen ihre Qualitätsmanagement-Maßnahmen selbst einleiten.
  • Das erfindungsgemäße Verfahren ist kontinuierlich durchzuführen. Nur so kann gewährleistet werden, dass die bereinigten Eingangsdaten und die Qualitätsattribute bzgl. der Daten und der Softwaremodule den aktuellen Systemzustand widerspiegeln. Das Fehlerbehandlungsmodul 2 übernimmt die an dem Softwaremodul 3 beispielhaft aufgezeigten Verfahrensschritte, ebenfalls für die im Steuergeräte 1 weiteren Softwaremodule 4-5, so dass die Fehlerbehandlung für die Softwaremodule 3-5 unabhängig von der eigentlichen softwaregesteuerten Applikation 3-5 des Steuergeräts 1 erfolgt.

Claims (8)

  1. Verfahren zur Fehlerbehandlung von Softwaremodulen (3-5) für redundant ausgelegte Systeme (15) in Fahrzeugen, wobei – die Softwaremodule (3-5) in Steuergeräten (1) ablaufen, – die Steuergeräte (1, 8-14) und/oder die Softwaremodule (3-5) über ein Datenbussystem (7) Daten austauschen, dadurch gekennzeichnet, – dass aus direkten und/oder redundanten indirekten Eingangsdaten bereinigte Eingangsdaten für die Softwaremodule (3-5) mittels einer Plausibilitätsprüfung ermittelt werden, die auf dem vorgegebenen Wertebereich für die jeweiligen direkten Eingangsdaten sowie des physikalischen Zusammenhangs zwischen direkten und indirekten Eingangsdaten beruht, – dass mindestens ein Softwaremodul (3-5) mittels dieser bereinigten Eingangsdaten Ausgangsdaten erzeugt, – dass aufgrund der Plausibilitätsprüfung den Ein- und/oder Ausgangsdaten eines Softwaremoduls Daten-Qualitätsattribute zugewiesen werden, – dass mittels eines Fehlerbehandlungsmoduls (2) dem Softwaremodul ein Softwaremodul-Qualitätsattribut zugewiesen wird und – dass mittels des Fehlerbehandlungsmoduls (2) in Abhängigkeit des Softwaremodul-Qualitätsattributs Maßnahmen zur Qualitätsverbesserung wie Aktivierung einer Notlauffunktion des Softwaremoduls oder Aktivierung eines redundant ausgelegten Softwaremoduls durchgeführt werden.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Zuordnung des Softwaremodul-Qualitätsattributs für das Softwaremodul (3-5) aufgrund der Daten-Qualitätsattribute der korrespondierenden Ein- und/oder Ausgangsdaten des Softwaremoduls (3-5) erfolgt.
  3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Bestimmung der Daten-Qualitätsattribute der bereinigten Eingangsdaten danach durchgeführt wird, ob bei Ermittlung der bereinigten Eingangsdaten, – mehrere direkte Eingangsdaten vorhanden sind und/oder – direkte und indirekte Eingangsdaten vorhanden sind und/oder – nur ein direktes Eingangsdatum vorhanden ist.
  4. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Bestimmung des Daten-Qualitätsattributs der Ausgangsdaten mittels der bereinigten Eingangsdaten erfolgt.
  5. Verfahren nach Anspruch 1, dadurch gekennzeichnet, – dass die Ausgangsdaten sowie die bereinigten Eingangsdaten in einem dem Softwaremodul (3-5) zugänglichem Speichermittel (6) abgelegt werden, wobei – mit den im Speichermittel (6) abgelegten Daten die Qualitätsbestimmung durchgeführt wird und – bei der Qualitätsbestimmung der Daten jeweils ein Daten-Qualitätsattribut zugeordnet und in dem Speichermittel (6) abgelegt wird, welches Informationen über die Qualität der Daten enthält.
  6. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das mittels des Fehlerbehandlungsmoduls (2) den jeweiligen Softwaremodulen (3-5) zugewiesene Softwaremodul-Qualitätsattribut in einem Speichermittel (6) abgelegt wird.
  7. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Bestimmung des Software-Qualitätsattributs für das Softwaremodul (3-5) aufgrund einer unterschiedlichen Gewichtung der Daten-Qualitätsattribute der korrespondierenden Ein- und/oder Ausgangsdaten des Softwaremoduls (3-5) erfolgt.
  8. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Maßnahme zur Qualitätsverbesserung mittels einer Deaktivierung des Steuergeräts (1, 8-14) und/oder Softwaremoduls (35) umfasst.
DE10142511A 2001-08-30 2001-08-30 Fehlerbehandlung von Softwaremodulen Expired - Fee Related DE10142511B4 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE10142511A DE10142511B4 (de) 2001-08-30 2001-08-30 Fehlerbehandlung von Softwaremodulen
US10/231,482 US6971047B2 (en) 2001-08-30 2002-08-30 Error handling of software modules

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10142511A DE10142511B4 (de) 2001-08-30 2001-08-30 Fehlerbehandlung von Softwaremodulen

Publications (2)

Publication Number Publication Date
DE10142511A1 DE10142511A1 (de) 2003-04-03
DE10142511B4 true DE10142511B4 (de) 2004-04-29

Family

ID=7697124

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10142511A Expired - Fee Related DE10142511B4 (de) 2001-08-30 2001-08-30 Fehlerbehandlung von Softwaremodulen

Country Status (2)

Country Link
US (1) US6971047B2 (de)
DE (1) DE10142511B4 (de)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7281166B1 (en) * 2003-05-29 2007-10-09 Sun Microsystems, Inc. User-customizable input error handling
US7472337B2 (en) 2005-03-22 2008-12-30 Cummins, Inc. Method and system for detecting faults in an electronic engine control module
US8291379B2 (en) * 2006-12-13 2012-10-16 International Business Machines Corporation Runtime analysis of a computer program to identify improper memory accesses that cause further problems
US9495278B2 (en) * 2006-12-27 2016-11-15 International Business Machines Corporation Dynamic discovery of data segments within instrumented code
DE102007033885A1 (de) * 2007-07-20 2009-01-22 Siemens Ag Verfahren zur transparenten Replikation einer Softwarekomponente eines Softwaresystems
US20090076628A1 (en) * 2007-09-18 2009-03-19 David Mark Smith Methods and apparatus to upgrade and provide control redundancy in process plants
US8301605B2 (en) * 2007-12-17 2012-10-30 International Business Machines Corporation Managing maintenance tasks for computer programs
US8881112B2 (en) * 2007-12-19 2014-11-04 International Business Machines Corporation Quality measure tool for a composite application
KR101047399B1 (ko) * 2008-10-31 2011-07-08 현대자동차일본기술연구소 하이브리드 차량의 클러치 특성 보정 방법
US8205118B2 (en) * 2009-07-23 2012-06-19 International Business Machines Corporation Software component self-scrubbing
US20110202995A1 (en) * 2010-02-16 2011-08-18 Honeywell International Inc. Single hardware platform multiple software redundancy
DE102012005197B3 (de) 2012-03-16 2013-06-13 Iav Gmbh Ingenieurgesellschaft Auto Und Verkehr Verfahren zur Optimierung einer Brennkraftmaschine
DE102019218718B4 (de) 2019-12-02 2023-11-16 Volkswagen Aktiengesellschaft Steuerungssystem zur Steuerung eines Betriebs eines selbstfahrenden Fahrzeugs sowie Kraftfahrzeug

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0415545A2 (de) * 1989-08-01 1991-03-06 Digital Equipment Corporation Verfahren zur Softwarefehlerbehandlung
DE19631309A1 (de) * 1996-08-02 1998-02-05 Teves Gmbh Alfred Mikroprozessoranordnung für ein Fahrzeug-Regelungssystem
WO2000018613A1 (de) * 1997-10-01 2000-04-06 Continental Teves Ag & Co. Ohg Verfahren zur fehlererkennung von mikroprozessoren in steuergeräten eines kfz

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4133268A1 (de) * 1991-10-08 1993-04-15 Bosch Gmbh Robert Vorrichtung zur steuerung der antriebsleistung eines fahrzeuges
US5671352A (en) * 1995-07-07 1997-09-23 Sun Microsystems, Inc. Error injection to a behavioral model
US6247169B1 (en) * 1996-11-04 2001-06-12 Sun Microsystems, Inc. Structured exception-handling methods, apparatus, and computer program products
US6128773A (en) * 1997-10-01 2000-10-03 Hewlett-Packard Company Automatically measuring software complexity
US6216237B1 (en) * 1998-06-19 2001-04-10 Lucent Technologies Inc. Distributed indirect software instrumentation
US6161196A (en) * 1998-06-19 2000-12-12 Lucent Technologies Inc. Fault tolerance via N-modular software redundancy using indirect instrumentation
US6560720B1 (en) * 1999-09-09 2003-05-06 International Business Machines Corporation Error injection apparatus and method
DE10006206A1 (de) * 2000-02-11 2001-08-30 Daimler Chrysler Ag Elektronisches Steuersystem

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0415545A2 (de) * 1989-08-01 1991-03-06 Digital Equipment Corporation Verfahren zur Softwarefehlerbehandlung
DE19631309A1 (de) * 1996-08-02 1998-02-05 Teves Gmbh Alfred Mikroprozessoranordnung für ein Fahrzeug-Regelungssystem
WO2000018613A1 (de) * 1997-10-01 2000-04-06 Continental Teves Ag & Co. Ohg Verfahren zur fehlererkennung von mikroprozessoren in steuergeräten eines kfz

Also Published As

Publication number Publication date
US20030060951A1 (en) 2003-03-27
DE10142511A1 (de) 2003-04-03
US6971047B2 (en) 2005-11-29

Similar Documents

Publication Publication Date Title
DE10243713B4 (de) Redundante Steuergeräteanordnung
DE10223880B4 (de) Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems
DE10142511B4 (de) Fehlerbehandlung von Softwaremodulen
WO2003052531A2 (de) Kraftfahrzeugsteuersystem und verfahren zur kraftfahrzeugsteuerung
DE10112514A1 (de) X-by-wire-System für ein Fahrzeug
EP2099667B2 (de) Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems
EP3661819B1 (de) Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium
EP1521697B1 (de) Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems
WO2008040641A2 (de) Verfahren und vorrichtung zur fehlerverwaltung
DE10331873A1 (de) Verfahren zur Überwachung verteilter Software
EP3473512A1 (de) Funktionsmodul, steuereinheit für ein betriebsassistenzsystem und arbeitsvorrichtung
EP1600831B1 (de) Verfahren und Vorrichtung zur Überwachung mehrerer Steuergeräte mittels einer Frage-Antwort-Kommunikation
DE102008009652A1 (de) Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor
DE102004047925B4 (de) Längsdynamiksteuervorrichtung für Kraftfahrzeuge
DE10357118A1 (de) Laden von Software-Modulen
WO2013113710A1 (de) Schaltungsanordnung in einem elektronischen steuergerät eines kraftfahrzeuges zur erkennung von fehlern
DE102012221277A1 (de) Fahrzeugsteuervorrichtung
EP0925484B1 (de) Verfahren und vorrichtung zur überwachung von sensoren in einem fahrzeug
WO2005003972A2 (de) Verfahren zu überprüfung der sicherheit und zuverlässigkeit softwarebasierter elektronischer systeme
WO2007025841A1 (de) Verfahren zur steuerung einer fahrzeug-antriebseinheit
DE102005061393A1 (de) Verfahren zur Verteilung von Softwaremodulen
DE102009027369A1 (de) Verfahren sowie System zur Ansteuerung von mindestens einem Aktuator
DE102007046706A1 (de) Steuervorrichtung für Fahrzeuge
DE10328059A1 (de) Verfahren und Vorrichtung zur Überwachung eines verteilten Systems
DE102020211541A1 (de) Verfahren zum Erkennen eines Stillstands eines Fahrzeugs

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: DAIMLERCHRYSLER AG, 70327 STUTTGART, DE

8327 Change in the person/name/address of the patent owner

Owner name: DAIMLER AG, 70327 STUTTGART, DE

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20150303