DE102013203358A1 - System und verfahren zum verifizieren der integrität eines sicherheitskritischen fahrzeugsteuerungssystems - Google Patents

System und verfahren zum verifizieren der integrität eines sicherheitskritischen fahrzeugsteuerungssystems Download PDF

Info

Publication number
DE102013203358A1
DE102013203358A1 DE201310203358 DE102013203358A DE102013203358A1 DE 102013203358 A1 DE102013203358 A1 DE 102013203358A1 DE 201310203358 DE201310203358 DE 201310203358 DE 102013203358 A DE102013203358 A DE 102013203358A DE 102013203358 A1 DE102013203358 A1 DE 102013203358A1
Authority
DE
Germany
Prior art keywords
control module
operation control
module
detected
processor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE201310203358
Other languages
English (en)
Inventor
Mark H. Costin
Ming Zhao
Paul A. Bauerle
Mahesh Balike
James T. Kurnik
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GM Global Technology Operations LLC
Original Assignee
GM Global Technology Operations LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GM Global Technology Operations LLC filed Critical GM Global Technology Operations LLC
Publication of DE102013203358A1 publication Critical patent/DE102013203358A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/3604Software analysis for verifying properties of programs
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/24Resetting means
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0062Adapting control system settings
    • B60W2050/0075Automatic parameter input, automatic initialising or calibrating means
    • B60W2050/0083Setting, resetting, calibration
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • B60W2050/041Built in Test Equipment [BITE]

Abstract

Ein Steuerungssystem gemäß den Prinzipien der vorliegenden Offenbarung umfasst ein Betriebssteuerungsmodul, ein Fehlerdetektionsmodul, ein Gegenmaßnahmenmodul und ein Rücksetzmodul. Das Betriebssteuerungsmodul steuert einen Betrieb eines Fahrzeugsystems. Das Fehlerdetektionsmodul detektiert einen Fehler im Betriebssteuerungsmodul, wenn das Betriebssteuerungsmodul einen Integritätstest nicht besteht. Das Gegenmaßnahmenmodul ergreift eine Gegenmaßnahme, wenn der Fehler detektiert wird. Das Rücksetzmodul setzt das Betriebssteuerungsmodul zurück, wenn der Fehler detektiert wird und die Gegenmaßnahme nicht ergriffen wird.

Description

  • QUERVERWEIS AUF VERWANDTE ANMELDUNGEN
  • Diese Anmeldung beansprucht den Nutzen der vorläufigen US-Anmeldung mit der Nummer 61/610,696, die am 14. März 2012 eingereicht wurde. Der Offenbarungsgehalt der vorstehenden Anmeldung ist hier durch Bezugnahme in seiner Gesamtheit mit aufgenommen.
  • GEBIET
  • Die vorliegende Offenbarung betrifft Systeme und Verfahren zum Verifizieren der Integrität eines sicherheitskritischen Fahrzeugsteuerungssystems.
  • HINTERGRUND
  • Die hier bereitgestellte Hintergrundbeschreibung dient dem Zweck einer allgemeinen Darstellung des Kontexts der Offenbarung. Die Arbeit der gegenwärtig genannten Erfinder, sofern sie in diesem Hintergrundabschnitt beschrieben ist, sowie Aspekte der Beschreibung, die zum Zeitpunkt des Einreichens nicht anderweitig als Stand der Technik ausgewiesen sind, werden weder explizit noch implizit als Stand der Technik gegen die vorliegende Offenbarung anerkannt.
  • Steuerungsmodule werden in einer Vielfalt von Systemen implementiert, um Daten zu verarbeiten und Steuerungssignale zu erzeugen. Steuerungsmodule verwenden in zunehmendem Maße digitale Prozessoren in Autos, Lastwägen, Flugzeugen und anderen Fahrzeugen, um sicherheitskritische Funktionen wie etwa das Bremsen und die Drehmomentausgabe von Kraftmaschinen zu steuern. Ein primärer Prozessor erzeugt Steuerungssignale auf der Grundlage von Signalen, die er von verschiedenen Sensoren und anderen Vorrichtungen empfängt, welche Betriebscharakteristika wie etwa die Kraftmaschinendrehzahl, die Temperatur, den Druck und das Übersetzungsverhältnis überwachen. Der primäre Prozessor verarbeitet Signalinformationen unter Verwendung einer arithmetischen Logikeinheit (ALU). Wenn ein Steuerungssignal als Folge einer defekten ALU verfälscht wird, kann der primäre Prozessor das System anweisen, eine falsche Maßnahme zu ergreifen.
  • Verfälschte Steuerungssignale können aus anderen Ausfällen und/oder Fehlern resultieren, die mit dem primären Prozessor und/oder anderen Komponenten des Steuerungsmoduls verbunden sind. Die Ausfälle und/oder Fehler können Hardwarefehler des Speichers mit wahlfreiem Zugriff (RAM), eine Verfälschung des RAM-Datenspeichers, Fehler im Festwertspeicher (ROM), Compilerfehler und/oder Programmzählerfehler umfassen. Herkömmliche Systeme verwenden oft einen sekundären Prozessor, der im Steuerungsmodul enthalten ist, um Fehler im primären Prozessor zu detektieren. Der sekundäre Prozessor verwendet eine ALU, um seine Fehlerdetektion durchzuführen, die unabhängig von der ALU ist, die vom primären Prozessor verwendet wird.
  • ZUSAMMENFASSUNG
  • Ein Steuerungssystem gemäß den Prinzipien der vorliegenden Offenbarung umfasst ein Betriebssteuerungsmodul, ein Fehlerdetektionsmodul, ein Gegenmaßnahmenmodul und ein Rücksetzmodul. Das Betriebssteuerungsmodul steuert einen Betrieb eines Fahrzeugsystems. Das Fehlerdetektionsmodul detektiert einen Fehler im Betriebssteuerungsmodul, wenn das Betriebssteuerungsmodul einen Integritätstest nicht besteht. Das Gegenmaßnahmenmodul ergreift eine Gegenmaßnahme, wenn der Fehler detektiert wird. Das Rücksetzmodul setzt das Betriebssteuerungsmodul zurück, wenn der Fehler detektiert wird und die Gegenmaßnahme nicht ergriffen wird.
  • Weitere Anwendungsgebiete der vorliegenden Offenbarung ergeben sich aus der hier nachstehend bereitgestellten genauen Beschreibung. Es versteht sich, dass die genaue Beschreibung und spezielle Beispiele nur zur Veranschaulichung gedacht sind und den Umfang der Offenbarung nicht einschränken sollen.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Die vorliegende Offenbarung wird anhand der genauen Beschreibung und der beiliegenden Zeichnungen vollständiger verstanden werden, in denen:
  • 1 ein Funktionsblockdiagramm eines beispielhaften Fahrzeugsystems gemäß den Prinzipien der vorliegenden Offenbarung ist;
  • 2 ein Funktionsblockdiagramm eines beispielhaften Steuerungssystems gemäß den Prinzipien der vorliegenden Offenbarung ist; und
  • 3 ein Flussdiagramm ist, das ein beispielhaftes Steuerungsverfahren gemäß den Prinzipien der vorliegenden Offenbarung darstellt.
  • GENAUE BESCHREIBUNG
  • Steuerungssysteme, die Fahrzeugsysteme wie etwa eine Kraftmaschine oder Fahrzeugbremsen steuern, können als Kraftfahrzeugsysteme mit Sicherheitsintegritätsstufe D (ASIL-D-Systeme) klassifiziert sein. ASIL-D-Steuerungssysteme können einen primären Prozessor, der ein Fahrzeugsystem steuert, und einen sekundären Prozessor, der die Integrität des primären Prozessors verifiziert, enthalten. Der sekundäre Prozessor kann Signale an den primären Prozessor senden und der primäre Prozessor kann entsprechende Signale an den sekundären Prozessor senden. Wenn der primäre Prozessor aufgrund eines Fehlers keine entsprechenden Signale an den sekundären Prozessor sendet, kann der sekundäre Prozessor eine Gegenmaßnahme ergreifen, etwa den primären Prozessor zurücksetzen und/oder den primären Prozessor in einen sichern Zustand überführen.
  • Steuerungssysteme, die Fahrzeugsysteme wie ein Differential mit einem elektronisch begrenzten Schlupf oder Anhängerbremsen steuern, können als Steuerungssysteme der Klasse ASIL-B klassifiziert sein. ASIL-B-Steuerungssysteme können einen Prozessor enthalten, der ein Fahrzeugsystem steuert, und einen Watchdog-Zeitgeber, der die Integrität des Prozessors verifiziert, indem er verifiziert, dass bestimmte Prozesse innerhalb eines Zeitfensters abgeschlossen werden. Das Verifizieren der Integrität eines Prozessors unter Verwendung eines Watchdog-Zeitgebers anstelle eines sekundären Prozessors kann Kosten reduzieren. Der Prozessor kann den Watchdog-Zeitgeber in einem vorbestimmten Intervall bedienen. Wenn der Prozessor den Watchdog-Zeitgeber aufgrund eines Fehlers, etwas eines Hängenbleibens, im vorbestimmten Intervall nicht bedient, setzt der Watchdog-Zeitgeber den Prozessor zurück. Das Fahrzeugsystem befindet sich in einem sicheren Zustand, wenn der Prozessor zurückgesetzt wird.
  • In einigen Fällen kann ein Prozessor mit dem Bedienen eines Watchdog-Zeitgebers fortfahren, selbst wenn ein Fehler verhindert, dass das System in einen sicheren Zustand übergeht. Zum Beispiel kann ein Fehler bewirken, dass der Prozessor eine Routine überspringt, die Anweisungen für eine Gegenmaßnahme enthält, und daher kann der Prozessor die Gegenmaßnahme nicht ergreifen. Dieses Problem kann vermieden werden, indem der Prozessor zurückgesetzt wird, sobald ein Fehler identifiziert wird. Dies kann jedoch bewirken, dass der Prozessor kontinuierlich zurückgesetzt wird, was verhindern kann, dass der Prozessor erneut geflasht wird, Fehlercodes aus dem Prozessor geholt werden und/oder Fehler im Prozessor gesucht werden.
  • Ein System und Verfahren gemäß den Prinzipien der vorliegenden Offenbarung kann einen Prozessor nur dann zurücksetzen, wenn sowohl ein Fehler detektiert wird, als auch keine Gegenmaßnahme ergriffen wird. Der Fehler kann detektiert werden, während ein Integritätstest durchgeführt wird, etwa ein Programmablaufüberwachungstest, ein Prüfsummentest, ein Stapelüberlauftest, ein Test der arithmetischen Logikeinheit oder ein Test von Konfigurationsregistern. Die Gegenmaßnahme kann umfassen, dass in einen sicheren Zustand übergegangen wird und/oder eine Wartungsanzeige aktiviert wird. Im sicheren Zustand kann der Prozessor die Betätigung eines Fahrzeugsystems einschränken oder ein Fahrzeugsystem deaktivieren. Der Prozessor kann zurückgesetzt werden, indem ein Rücksetzen direkt erzwungen wird oder der Prozessor angewiesen wird, das Bedienen eines Watchdog-Zeitgebers zu stoppen.
  • Ein System und Verfahren gemäß den Prinzipien der vorliegenden Offenbarung kann die Integrität eines Prozessors unter Verwendung eines Watchdog-Zeitgebers verifizieren, wobei Probleme vermieden werden, die typischerweise mit einem Watchdog-Zeitgeber verbunden sind, etwa diejenigen, die vorstehend erörtert sind. Das Zurücksetzen eines Prozessors, wenn ein Fehler detektiert wird und keine Gegenmaßnahme ergriffen wird, stellt sicher, dass der Prozessor in einen sicheren Zustand übergeht, wenn ein Fehler verhindert, dass der Prozessor dies ausführt. Das Zulassen, dass der Prozessor eine Gegenmaßnahme ergreift, bevor der Prozessor zurückgesetzt wird, verhindert, dass der Prozessor kontinuierlich zurückgesetzt wird.
  • Mit Bezug nun auf 1 umfasst ein Fahrzeugsystem 100 eine Kraftmaschine 102, ein Getriebe 104, ein Differential mit elektronisch begrenztem Schlupf (eLSD) 106 und Anhängerbremsen 108. Ein Kraftmaschinensteuerungsmodul 110 steuert die Kraftmaschine 102, ein Getriebesteuerungsmodul 112 steuert das Getriebe 104, ein eLSD-Steuerungsmodul 114 steuert das eLSD 106 und ein Anhängerbremsensteuerungsmodul 116 steuert die Anhängerbremsen 108. Das Kraftmaschinensteuerungsmodul 110, das Getriebesteuerungsmodul 112, das eLSD-Steuerungsmodul 114 und das Anhängerbremsensteuerungsmodul 116 kommunizieren miteinander unter Verwendung eines Fahrzeugbusses 118, etwa eines Controllerbereichsnetzwerkbusses (CAN-Busses).
  • Das Kraftmaschinensteuerungsmodul 110, das Getriebesteuerungsmodul 112, das eLSD-Steuerungsmodul 114 und das Anhängerbremsensteuerungsmodul 116 können eine Wartungsanzeige 120 beispielsweise unter Verwendung des Fahrzeugbusses 118 aktivieren. Die Wartungsanzeige 120 liefert eine visuelle Meldung (z. B. einen Text), eine akustische Meldung und/oder eine taktile Meldung (z. B. eine Vibration), die anzeigt, dass das Fahrzeugsystem 100 eine Wartung benötigt. Die Wartungsanzeige 120 kann aktiviert werden, wenn ein Fehler im Fahrzeugsystem 100 detektiert wird.
  • Mit Bezug nun auf 2 ist ein Beispiel des Anhängerbremsensteuerungsmoduls 116 in weiterem Detail gezeigt. Obwohl 2 das Anhängerbremsensteuerungsmodul 116 darstellt, können Merkmale des Anhängerbremsensteuerungsmoduls 116 im Kraftmaschinensteuerungsmodul 110, im Getriebesteuerungsmodul 112 und/oder im eLSD-Steuerungsmodul 114 von 1 enthalten sein. Zudem kann Fahrzeugsystem 100 von 1 Steuerungsmodule enthalten, die andere Fahrzeugteilsysteme wie etwa eine Lenkung, eine Federung oder ein Kraftstoffsystem steuern, und diese Steuerungsmodule können Merkmale des Anhängerbremsensteuerungsmoduls 116 enthalten.
  • Wie in 2 dargestellt ist, enthält das Anhängerbremsensteuerungsmodul 116 ein Betriebssteuerungsmodul 202, ein Fehlerdetektionsmodul 204, ein Gegenmaßnahmenmodul 206, ein Rücksetzmodul 208 und ein Watchdog-Zeitgebersystem 210. Das Watchdog-Zeitgebersystem 210 enthält ein Watchdog-Zeitgebermodul 212 und ein Watchdog-Zeitgebermodul 214, wobei eines oder beide von diesen Aufgaben durchführen können, die vom Watchdog-Zeitgebersystem 210 durchgeführt werden. Das Watchdog-Zeitgebermodul 212 ist in einen ersten Chip 216 zusammen mit dem Betriebssteuerungsmodul 202, dem Fehlerdetektionsmodul 204, dem Gegenmaßnahmenmodul 206 und dem Rücksetzmodul 208 integriert. Das Watchdog-Zeitgebermodul 214 ist in einen zweiten Chip 218 integriert, der vom ersten Chip 216 getrennt ist, so dass ein Fehler in einem der Chips 216, 218 nicht beide Watchdog-Zeitgebermodule 212, 214 beeinträchtigt.
  • Das Betriebssteuerungsmodul 202 speichert Anweisungen, holt sie und führt sie aus, um die grundlegenden arithmetischen, logischen und Eingabe/Ausgabe-Operationen durchzuführen, die am Steuern der Anhängerbremsen 108 beteiligt sind. Das Fehlerdetektionsmodul 204 führt eine Anzahl von Integritätstests durch, um die Integrität des Betriebssteuerungsmoduls 202 zu verifizieren. Die Integritätstests können einen Programmablaufüberwachungstest, einen Prüfsummentest, einen Stapelüberlauftest, einen Test der arithmetischen Logikeinheit (ALU-Test) und/oder einen Test von Konfigurationsregistern umfassen. Das Fehlerdetektionsmodul 204 detektiert einen Fehler, wenn das Betriebssteuerungsmodul 202 einen der Integritätstests nicht besteht. Zudem kann das Fehlerdetektionsmodul 204 einen Fehler detektieren, wenn das Watchdog-Zeitgebersystem 210 das Betriebssteuerungsmodul 202 kontinuierlich zurücksetzt. Das Fehlerdetektionsmodul 204 gibt ein Signal aus, das anzeigt, ob ein Fehler detektiert wird.
  • Der Programmablaufüberwachungstest stellt sicher, dass bestimmte Operationen in einer bestimmten Reihenfolge ausgeführt werden. Der Prüfsummentest verwendet eine Prüfsumme, um sicherzustellen, dass in einem Speicher gespeicherte Daten nicht verändert werden. Der Stapelüberlauftest stellt fest, ob der in einem Aufrufstapel verwendete Speicherbetrag größer als erwartet ist, was einen Stapelüberlauf verursacht. Der ALU-Test detektiert Fehler im Betriebssteuerungsmodul 202, die arithmetische und logische Operationen verfälschen. Der Test von Konfigurationsregistern bewertet Eingabe/Ausgabe-Konfigurationsregister (I/O-Konfigurationsregister) innerhalb des Betriebssteuerungsmoduls 202.
  • Das Gegenmaßnahmenmodul 206 ergreift eine Gegenmaßnahme, wenn das Fehlerdetektionsmodul 204 einen Fehler detektiert. Die Gegenmaßnahme kann das Überführen des Betriebssteuerungsmoduls 202 in einen sicheren Zustand und/oder das Aktivieren der Wartungsanzeige 120 umfassen. Im sicheren Zustand kann das Betriebssteuerungsmodul 202 eine Betätigung der Anhängerbremsen 108 begrenzen oder die Anhängerbremsen 108 deaktivieren. Andere Steuerungsmodule können andere Fahrzeugsysteme begrenzen oder deaktivieren, wenn sie sich im sicheren Zustand befinden. Zum Beispiel kann das Kraftmaschinensteuerungsmodul 110 die Erzeugung von Zündfunken, die Drosselklappenfläche und/oder die Kraftstoffzufuhrrate begrenzen, wenn sich das Kraftmaschinensteuerungsmodul 110 in einem sicheren Zustand befindet. Das Gegenmaßnahmenmodul 206 gibt ein Signal aus, das anzeigt, ob die Gegenmaßnahme ergriffen wurde.
  • Das Rücksetzmodul 208 setzt das Betriebssteuerungsmodul 202 zurück, wenn das Fehlerdetektionsmodul 204 einen Prozessorintegritätsfehler detektiert und das Gegenmaßnahmenmodul 206 keine Gegenmaßnahme ergreift. Das Rücksetzmodul 208 kann das Betriebssteuerungsmodul 202 zurücksetzen, wenn keine Gegenmaßnahme ergriffen wird und eine vorbestimmte Zeitspanne vergangen ist, nachdem ein Prozessorintegritätsfehler detektiert wurde. Das Rücksetzmodul 208 kann ein Rücksetzen des Ablaufs ausführen, um Aktionen, die vor dem Zurücksetzen ergriffen wurden, im Speicher zu bewahren. Das Rücksetzmodul 208 kann das Betriebssteuerungsmodul 202 aktiv zurücksetzen, indem es ein Rücksetzsignal an das Betriebssteuerungsmodul 202 sendet oder eine interne Rücksetzleitung umschaltet. Alternativ kann das Rücksetzmodul 208 das Betriebssteuerungsmodul 202 passiv zurücksetzen, indem es das Betriebssteuerungsmodul 202 anweist, das Bedienen des Watchdog-Zeitgebersystems 210 zu stoppen.
  • Das Betriebssteuerungsmodul 202 bedient das Watchdog-Zeitgebersystem 210 (z. B. das Watchdog-Zeitgebermodul 212 und/oder das Watchdog-Zeitgebermodul 214) mit einen vorbestimmten Intervall. Wenn das Betriebssteuerungsmodul 202 das Watchdog-Zeitgebersystem 210 nicht im vorbestimmten Intervall bedient, setzt das Watchdog-Zeitgebersystem 210 das Betriebssteuerungsmodul 202 zurück, indem es beispielsweise eine Rücksetzeitung umschaltet. Wenn das Rücksetzmodul 208 folglich das Betriebssteuerungsmodul 202 anweist, das Bedienen des Watchdog-Zeitgebersystems 210 zu stoppen und die vorbestimmte Zeitspanne abläuft, setzt das Watchdog-Zeitgebersystem 210 das Betriebssteuerungsmodul 202 zurück. Das Watchdog-Zeitgebermodul 212 kann eine interne Rücksetzleitung umschalten, und das Watchdog-Zeitgebermodul 214 kann eine externe Rücksetzleitung umschalten. Wenn bei den Watchdog-Zeitgebermodulen 212, 214 ein Konflikt darüber besteht, ob das Betriebssteuerungsmodul 202 zurückgesetzt werden soll, kann das Rücksetzmodul dominieren.
  • Das Betriebssteuerungsmodul 202, das Fehlerdetektionsmodul 204, das Gegenmaßnahmenmodul 206, das Rücksetzmodul 208 und das Watchdog-Zeitgebersystem 210 können separate Routinen zueinander parallel ausführen. Folglich kann ein Fehler im Betriebssteuerungsmodul 202 nicht verhindern, dass das Fehlerdetektionsmodul 204, das Gegenmaßnahmenmodul 206, das Rücksetzmodul 208 und das Watchdog-Zeitgebersystem 210 ihre jeweiligen Aufgaben durchführen. Zum Beispiel kann ein Fehler im Betriebssteuerungsmodul 202 nicht verhindern, dass das Fehlerdetektionsmodul 204 einen Prozessorintegritätsfehler detektiert oder verhindern, dass das Gegenmaßnahmenmodul 206 eine Gegenmaßnahme ergreift.
  • Das Betriebssteuerungsmodul 202 kann eine erste Routine mit einer ersten Schleifenrate bzw. Wiederholgeschwindigkeit (z. B. 12,5 Millisekunden) ausführen, um die Anhängerbremsen 108 zu steuern. Das Fehlerdetektionsmodul 204 kann eine zweite Routine mit einer zweiten Schleifenrate (z. B. 50 Millisekunden) ausführen, um die Integritätstests durchzuführen. Das Fehlerdetektionsmodul 204 kann die zweite Routine parallel zu der ersten Routine ausführen. Das Rücksetzmodul 208 kann eine dritte Routine mit einer dritten Schleifenrate (z. B. 6,25 Millisekunden) ausführen, um zu bestimmen, ob das Betriebssteuerungsmodul 202 zurückgesetzt werden soll. Das Rücksetzmodul 208 kann die dritte Routine parallel zu der ersten Routine ausführen.
  • Mit Bezug nun auf 3 beginnt ein Verfahren zum Verifizieren der Integrität eines Steuerungssystems, das ein Fahrzeugsystem steuert, bei 302. Das Steuerungssystem keinen einen Prozessor und einen Watchdog-Zeitgeber umfassen. Bei 304 führt das Verfahren eine Anzahl von Integritätstests am Prozessor durch. Die Integritätstests können einen Programmablaufüberwachungstest, einen Prüfsummentest, einen Stapelüberlauftest, einen Test der arithmetischen Logikeinheit (ALU-Test) und/oder einen Test von Konfigurationsregistern umfassen.
  • Bei 306 stellt das Verfahren fest, ob ein Prozessorintegritätsfehler detektiert wurde. Das Verfahren kann einen Prozessorintegritätsfehler detektieren, während einer der Integritätstests durchgeführt wird. Wenn ein Prozessorintegritätsfehler detektiert wird, fährt das Verfahren bei 308 fort. Andernfalls fährt das Verfahren bei 304 fort. Bei 308 ergreift das Verfahren eine Gegenmaßnahme. Die Gegenmaßnahme kann umfassen, dass das Steuerungssystem in einen sicheren Zustand überführt wird und/oder eine Wartungsanzeige aktiviert wird. Im sicheren Zustand kann das Steuerungssystem eine Betätigung des Fahrzeugsystems begrenzen oder das Fahrzeugsystem deaktivieren.
  • Bei 310 stellt das Verfahren fest, ob die Gegenmaßnahme ergriffen wurde. Das Verfahren kann feststellen, ob die Gegenmaßnahme innerhalb einer vorbestimmten Zeitspanne ergriffen wurde, nachdem ein Prozessorintegritätsfehler detektiert wurde. Wenn die Gegenmaßnahme ergriffen wurde, zum Beispiel innerhalb der vorbestimmten Zeitspanne, fährt das Verfahren bei 304 fort. Andernfalls fährt das Verfahren bei 312 fort. Bei 312 setzt das Verfahren den Prozessor zurück. Das Verfahren kann den Prozessor aktiv zurücksetzen. Alternativ kann das Verfahren den Prozessor passiv zurücksetzen, indem es sicherstellt, dass der Prozessor das Bedienen des Watchdog-Zeitgebers stoppt.
  • Die vorstehende Beschreibung dient nur der Veranschaulichung und ist keinesfalls dazu gedacht, die Offenbarung, ihre Anwendung oder Verwendungsmöglichkeiten einzuschränken. Die weit gefassten Lehren der Offenbarung können in einer Vielfalt von Formen implementiert werden. Obwohl diese Offenbarung spezielle Beispiele enthält, soll daher der tatsächliche Umfang der Offenbarung nicht darauf begrenzt sein, da sich bei einem Studium der Zeichnungen, der Beschreibung und der folgenden Ansprüche andere Modifikationen offenbaren werden. Der Klarheit halber werden in den Zeichnungen gleiche Bezugszeichen verwendet, um ähnliche Elemente zu bezeichnen. Bei der Verwendung hierin soll der Ausdruck mindestens eine von A, B und C so aufgefasst werden, dass er ein logisches (A oder B oder C) unter Verwendung eines nicht exklusiven logischen Oders bedeutet. Es versteht sich, dass ein oder mehrere Schritte in einem Verfahren in einer anderen Reihenfolge (oder gleichzeitig) ausgeführt werden können, ohne die Prinzipien der vorliegenden Offenbarung zu verändern.
  • Bei der Verwendung hierin kann der Begriff Modul eine anwendungsspezifische integrierte Schaltung (ASIC), eine elektronische Schaltung, eine kombinatorische Logikschaltung, ein im Feld programmierbares Gate Array (FPGA), einen Prozessor (gemeinsam genutzt, dediziert, oder Gruppe), der einen Code ausführt, andere geeignete Hardwarekomponenten, welche die beschriebene Funktionalität bereitstellen, oder eine Kombination aus einigen oder allen vorstehenden, etwa in einem System-on-Chip bezeichnen, ein Teil davon sein oder diese enthalten. Der Begriff Modul kann einen Speicher umfassen (gemeinsam genutzt, dediziert, oder Gruppe), der einen Code speichert, der vom Prozessor ausgeführt wird.
  • Der Begriff Code kann, so wie er vorstehend verwendet wird, Software, Firmware und/oder Microcode umfassen und kann Programme, Routinen, Funktionen, Klassen und/oder Objekte bezeichnen. Der Begriff gemeinsam genutzt bedeutet, so wie er vorstehend verwendet wird, dass ein Teil oder der gesamte Code von mehreren Modulen unter Verwendung eines einzigen (gemeinsam genutzten) Prozessors ausgeführt werden kann. Zudem kann ein Teil oder der gesamte Code von mehreren Modulen von einem einzigen (gemeinsam genutzten) Speicher gespeichert werden. Der Begriff Gruppe bedeutet, so wie er vorstehend verwendet wird, dass ein Teil oder der gesamte Code von einem einzigen Modul unter Verwendung einer Gruppe von Prozessoren ausgeführt werden kann. Zudem kann ein Teil oder der gesamte Code von einem einzigen Modul unter Verwendung einer Gruppe von Speichern gespeichert werden.
  • Die hier beschriebenen Vorrichtungen und Verfahren können von einem oder mehreren Computerprogrammen implementiert werden, die von einem oder mehreren Prozessoren ausgeführt werden. Die Computerprogramme enthalten von einem Prozessor ausführbare Anweisungen, die in einem nicht vorübergehenden konkreten computerlesbaren Medium gespeichert sind. Die Computerprogramme können auch gespeicherte Daten enthalten. Beispiele ohne Einschränkung des nicht vorübergehenden konkreten computerlesbaren Mediums sind nichtflüchtiger Speicher, magnetischer Massenspeicher und optischer Massenspeicher.

Claims (9)

  1. Verfahren, das umfasst, dass: der Betrieb eines Fahrzeugsystems unter Verwendung eines Betriebssteuerungsmoduls gesteuert wird; ein Fehler im Betriebssteuerungsmodul detektiert wird, wenn das Betriebssteuerungsmodul einen Integritätstest nicht besteht; eine Gegenmaßnahme ergriffen wird, wenn der Fehler detektiert wird; und das Betriebssteuerungsmodul zurückgesetzt wird, wenn der Fehler detektiert wird und die Gegenmaßnahme nicht ergriffen wird.
  2. Verfahren nach Anspruch 1, das ferner umfasst, dass das Betriebssteuerungsmodul zurückgesetzt wird, wenn das Betriebssteuerungsmodul ein Watchdog-Zeitgebermodul nicht in einem vorbestimmten Intervall bedient.
  3. Verfahren nach Anspruch 1, das ferner umfasst, dass das Betriebssteuerungsmodul zurückgesetzt wird, indem das Betriebssteuerungsmodul angewiesen wird, das Bedienen eines Watchdog-Zeitgebermoduls zu stoppen.
  4. Verfahren nach Anspruch 1, das ferner umfasst, dass das Betriebssteuerungsmodul zurückgesetzt wird, indem ein internes Rücksetzen ausgeführt wird.
  5. Verfahren nach Anspruch 1, wobei die Gegenmaßnahme umfasst, dass das Fahrzeugsystem deaktiviert wird.
  6. Verfahren nach Anspruch 1, wobei die Gegenmaßnahme umfasst, dass eine Wartungsanzeige aktiviert wird.
  7. Verfahren nach Anspruch 1, wobei der Integritätstest einen Programmablaufüberwachungstest, einen Prüfsummentest, einen Stapelüberlauftest, einen Test der arithmetischen Logikeinheit und einen Test von Konfigurationsregistern umfasst.
  8. Verfahren nach Anspruch 1, das ferner umfasst, dass das Fahrzeugsystem gesteuert wird, indem eine erste Routine ausgeführt wird, und der Integritätstest durchgeführt wird, indem eine zweite Routine parallel zu der ersten Routine ausgeführt wird.
  9. Verfahren nach Anspruch 8, das ferner umfasst, dass festgestellt wird, ob das Betriebssteuerungsmodul zurückgesetzt werden soll, indem eine dritte Routine parallel zu der ersten Routine ausgeführt wird.
DE201310203358 2012-03-14 2013-02-28 System und verfahren zum verifizieren der integrität eines sicherheitskritischen fahrzeugsteuerungssystems Withdrawn DE102013203358A1 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201261610696P 2012-03-14 2012-03-14
US61/610,696 2012-03-14
US13/461,056 US9058419B2 (en) 2012-03-14 2012-05-01 System and method for verifying the integrity of a safety-critical vehicle control system
US13/461,056 2012-05-01

Publications (1)

Publication Number Publication Date
DE102013203358A1 true DE102013203358A1 (de) 2013-09-19

Family

ID=49044147

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201310203358 Withdrawn DE102013203358A1 (de) 2012-03-14 2013-02-28 System und verfahren zum verifizieren der integrität eines sicherheitskritischen fahrzeugsteuerungssystems

Country Status (3)

Country Link
US (1) US9058419B2 (de)
CN (1) CN103309344B (de)
DE (1) DE102013203358A1 (de)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9207661B2 (en) * 2007-07-20 2015-12-08 GM Global Technology Operations LLC Dual core architecture of a control module of an engine
KR101470162B1 (ko) * 2013-05-30 2014-12-05 현대자동차주식회사 메모리 스택 사이즈 모니터링 방법
US9238465B1 (en) * 2014-10-13 2016-01-19 Ford Global Technologies, Llc Road emergency activation
DE102015202326A1 (de) * 2015-02-10 2016-08-11 Robert Bosch Gmbh Verfahren zum Betreiben einer Datenverarbeitungseinheit eines Fahrerassistenzsystems und Datenverarbeitungseinheit
US9672095B2 (en) * 2015-09-21 2017-06-06 Nxp Usa, Inc. Safety level specific error response scheme for mixed criticality systems
US9805526B2 (en) 2015-12-11 2017-10-31 The Boeing Company Fault monitoring for vehicles
US10018267B2 (en) 2016-03-11 2018-07-10 Ford Global Technologies, Llc Vehicle transmission control module reset detection and mitigation
JP6864992B2 (ja) * 2016-04-28 2021-04-28 日立Astemo株式会社 車両制御システム検証装置及び車両制御システム
JP6736980B2 (ja) * 2016-05-27 2020-08-05 オムロン株式会社 システムおよび半導体装置
JP6812737B2 (ja) * 2016-10-07 2021-01-13 オムロン株式会社 演算装置および制御装置
WO2018193449A1 (en) 2017-04-17 2018-10-25 Mobileye Vision Technologies Ltd. Secure system that includes driving related systems
JP6762281B2 (ja) * 2017-08-22 2020-09-30 日立オートモティブシステムズ株式会社 スタックオーバーフロー検知装置及び車両制御システム
EP3816741B1 (de) * 2019-10-31 2023-11-29 TTTech Auto AG Sicherheitsmonitor für erweiterte fahrerassistenzsysteme
CN114936047A (zh) * 2022-04-21 2022-08-23 江铃汽车股份有限公司 Ivi系统恢复出厂设置方法、系统、电子设备及存储介质

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5815730A (ja) * 1981-07-21 1983-01-29 Nippon Denso Co Ltd 車両用速度制御装置
JP2692497B2 (ja) * 1992-06-29 1997-12-17 株式会社デンソー 車両用乗員保護システムの故障検出装置
JP3135772B2 (ja) * 1993-12-27 2001-02-19 アスコ株式会社 車両用安全装置
JP3752022B2 (ja) 1995-08-25 2006-03-08 株式会社デンソー 故障診断機能付き電子制御装置
JPH11294252A (ja) * 1998-04-13 1999-10-26 Denso Corp 電子制御装置
US6625688B1 (en) 1999-05-10 2003-09-23 Delphi Technologies, Inc. Method and circuit for analysis of the operation of a microcontroller using signature analysis of memory
US6330499B1 (en) * 1999-07-21 2001-12-11 International Business Machines Corporation System and method for vehicle diagnostics and health monitoring
US20020045952A1 (en) 2000-10-12 2002-04-18 Blemel Kenneth G. High performance hybrid micro-computer
JP4391724B2 (ja) * 2001-06-08 2009-12-24 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング 車両の駆動シーケンス制御の監視方法及びその装置
US6775609B2 (en) * 2001-09-27 2004-08-10 Denso Corporation Electronic control unit for vehicle having operation monitoring function and fail-safe function
JP3967599B2 (ja) 2002-01-28 2007-08-29 株式会社デンソー 車両用電子制御装置
US7055060B2 (en) 2002-12-19 2006-05-30 Intel Corporation On-die mechanism for high-reliability processor
JP4223909B2 (ja) * 2003-09-24 2009-02-12 三菱電機株式会社 車載電子制御装置
JP4080980B2 (ja) * 2003-09-26 2008-04-23 三菱電機株式会社 電子制御装置
KR101230689B1 (ko) 2003-10-08 2013-02-07 콘티넨탈 테베스 아게 운트 코. 오하게 안전-임계 조정을 위한 집적 마이크로프로세서 시스템
DE102005037246A1 (de) 2005-08-08 2007-02-15 Robert Bosch Gmbh Verfahren und Vorrichtung zur Steuerung eines Rechnersystems mit wenigstens zwei Ausführungseinheiten und einer Vergleichseinheit
US7631245B2 (en) 2005-09-26 2009-12-08 Sandisk Il Ltd. NAND flash memory controller exporting a NAND interface
US7747897B2 (en) 2005-11-18 2010-06-29 Intel Corporation Method and apparatus for lockstep processing on a fixed-latency interconnect
DE102005055067A1 (de) 2005-11-18 2007-05-24 Robert Bosch Gmbh Vorrichtung und Verfahren zum Beheben von Fehlern bei einem wenigstens zwei Ausführungseinheiten mit Registern aufweisenden System
DE102006048169A1 (de) * 2006-10-10 2008-04-17 Robert Bosch Gmbh Verfahren zur Überwachung einer Funktionsfähigkeit einer Steuerung
US7671482B2 (en) * 2007-02-02 2010-03-02 Gm Global Technology Operations, Inc. Hydrogen powered vehicle refueling strategy
JP4433006B2 (ja) 2007-07-04 2010-03-17 株式会社デンソー マルチコアの異常監視装置
US9207661B2 (en) 2007-07-20 2015-12-08 GM Global Technology Operations LLC Dual core architecture of a control module of an engine
JP4776610B2 (ja) * 2007-11-26 2011-09-21 三菱電機株式会社 監視制御回路を有する車載電子制御装置
JP4525762B2 (ja) * 2008-02-04 2010-08-18 株式会社デンソー 車両用電子制御装置
JP4454672B2 (ja) * 2008-06-13 2010-04-21 三菱電機株式会社 監視制御回路を有する車載電子制御装置
JP4959818B2 (ja) * 2010-02-04 2012-06-27 三菱電機株式会社 電子制御装置
CN102221834B (zh) * 2010-04-19 2016-09-14 通用汽车环球科技运作有限责任公司 确保汽车应用分布式网络上微处理器的安全完整性的方法
JP2014035730A (ja) * 2012-08-10 2014-02-24 Hitachi Automotive Systems Ltd 車両用制御装置

Also Published As

Publication number Publication date
CN103309344B (zh) 2016-12-28
US9058419B2 (en) 2015-06-16
CN103309344A (zh) 2013-09-18
US20130246866A1 (en) 2013-09-19

Similar Documents

Publication Publication Date Title
DE102013203358A1 (de) System und verfahren zum verifizieren der integrität eines sicherheitskritischen fahrzeugsteuerungssystems
DE102018113625A1 (de) Fehlerinjektionstestvorrichtung und -verfahren
DE102008033675B4 (de) Dualkernarchitektur eines Steuermoduls eines Motors
DE102013216443A1 (de) Sicherheitssysteme und -verfahren mit zufälligen und mehreren Aufforderungs-Reaktions-Tests
EP3709166B1 (de) Verfahren und system zur sicheren signalmanipulation für den test integrierter sicherheitsfunktionalitäten
DE102016204713A1 (de) Ansteuervorrichtung
DE3336977A1 (de) Ausfallsicheres verfahren fuer einen fahrzeugcomputer
DE112013007664T5 (de) Überwachungseinheit, Steuersystem und Überwachungsprogramm
DE19902031A1 (de) Steuergerät zur Steuerung sicherheitskritischer Anwendungen
DE102008009652A1 (de) Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor
DE102015202326A1 (de) Verfahren zum Betreiben einer Datenverarbeitungseinheit eines Fahrerassistenzsystems und Datenverarbeitungseinheit
DE102019131865A1 (de) Verfahren und vorrichtung zur eigendiagnose der ram-fehlererkennungslogik eines antriebsstrangcontrollers
EP3535965B1 (de) Verfahren und vorrichtung zum überwachen eines bildsensors
EP2786162B1 (de) Verfahren zum feststellen eines fehlers in verbindungleitungen zwischen einer zentraleinheit und einer mehrzahl von voreinander unabhängigen elektronischen baueinheiten
DE102008034150A1 (de) Sicherheitsüberwachung mit Hilfe von Verbindungsleitungen zwischen Steuergeräten eines Kraftfahrzeugs
EP2902905B1 (de) Verfahren zur Überprüfung der Abarbeitung von Software
DE102012221277A1 (de) Fahrzeugsteuervorrichtung
DE102011007467A1 (de) Mehrkernige integrierte Mikroprozessorschaltung mit Prüfeinrichtung, Prüfverfahren und Verwendung
EP2182331A1 (de) Auslagerung einer Komponente mit Auswirkung auf die Sicherheitsfunktion aus dem sicherheitsrelevanten Bereich
DE102009001420A1 (de) Verfahren zur Fehlerbehandlung eines Rechnersystems
EP3311273A1 (de) Verfahren und vorrichtung zum absichern einer programmzählerstruktur eines prozessorsystems und zum überwachen der behandlung einer unterbrechungsanfrage
DE102006003147B4 (de) Verfahren zur Wiederherstellung der Kontrolle über eine sich fortwährend zurücksetzende Steuereinheit
DE102009028871A1 (de) Verfahren zum Überprüfen eines Speichers
EP3173928B1 (de) Verfahren und vorrichtung zum überprüfen eines komponentenfehlerbaums
EP1915687A1 (de) Verfahren und vorrichtung zur steuerung eines rechnersystems mit wenigstens zwei ausführungseinheiten

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee