DE102019209136A1 - Verfahren zur Absicherung einer Funktionsüberwachung eines Steuergeräts eines Fahrzeuges - Google Patents

Verfahren zur Absicherung einer Funktionsüberwachung eines Steuergeräts eines Fahrzeuges Download PDF

Info

Publication number
DE102019209136A1
DE102019209136A1 DE102019209136.9A DE102019209136A DE102019209136A1 DE 102019209136 A1 DE102019209136 A1 DE 102019209136A1 DE 102019209136 A DE102019209136 A DE 102019209136A DE 102019209136 A1 DE102019209136 A1 DE 102019209136A1
Authority
DE
Germany
Prior art keywords
function
error
error detection
vehicle
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102019209136.9A
Other languages
English (en)
Inventor
Udo Hallmann
Vadym Bulakhov
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Volkswagen AG
Original Assignee
Volkswagen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Volkswagen AG filed Critical Volkswagen AG
Priority to DE102019209136.9A priority Critical patent/DE102019209136A1/de
Publication of DE102019209136A1 publication Critical patent/DE102019209136A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W10/00Conjoint control of vehicle sub-units of different type or different function
    • B60W10/04Conjoint control of vehicle sub-units of different type or different function including control of propulsion units
    • B60W10/06Conjoint control of vehicle sub-units of different type or different function including control of propulsion units including control of combustion engines
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W10/00Conjoint control of vehicle sub-units of different type or different function
    • B60W10/18Conjoint control of vehicle sub-units of different type or different function including control of braking systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W10/00Conjoint control of vehicle sub-units of different type or different function
    • B60W10/20Conjoint control of vehicle sub-units of different type or different function including control of steering systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • B60W2050/041Built in Test Equipment [BITE]
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2420/00Indexing codes relating to the type of sensors based on the principle of their operation
    • B60W2420/40Photo, light or radio wave sensitive means, e.g. infrared sensors
    • B60W2420/403Image sensing, e.g. optical camera

Landscapes

  • Engineering & Computer Science (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Verfahren zur Absicherung einer Funktionsüberwachung eines Steuergeräts (2) eines Fahrzeuges (1),wobei die nachfolgenden Schritte durchgeführt werden:- Bereitstellen wenigstens einer Funktion (201) für das Fahrzeug (1) durch das Steuergerät (2),- Injizieren eines Fehlers (F) bei der bereitgestellten Funktion (201), um die Funktion (201) als eine fehlerhafte Funktion (201) auszuführen,- Durchführen einer Fehlererkennung (202) bei dem Steuergerät (2), um die ausgeführte Funktion (201) zu überwachen,- Auswerten der Fehlererkennung (202) in Abhängigkeit von der Injektion des Fehlers (F), um die Fehlererkennung (202) zu kontrollieren.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zur Absicherung einer Funktionsüberwachung eines Steuergeräts eines Fahrzeuges. Ferner bezieht sich die Erfindung auf ein System sowie ein Computerprogramm.
  • Es ist aus dem Stand der Technik bekannt, dass bei Fahrzeugen an vielen Steuergeräten hohe Sicherheitsanforderungen gestellt werden. Bspw. werden solche Steuergeräte nach ASIL D ausgelegt. Herkömmlicherweise wird daher ein 3-Ebenen-Sicherheitskonzept eingesetzt, um die Funktionen des Steuergeräts durch eine Fehlererkennung zu überwachen. Ebenfalls wird eine Programmablaufkontrolle zur Kontrolle der Fehlererkennung eingesetzt. Dabei wird geprüft, dass bestimmte Codestellen bei der Fehlererkennung aufgerufen werden.
  • In der DE 44 38 714 A1 ist ebenfalls die Verwendung von verschiedenen Ebenen offenbart, wobei eine Funktionsebene durch eine Überwachungsebene überwacht wird, und eine Kontrollebene die Überwachungsebene auf Basis einer Ablaufkontrolle kontrolliert.
  • In der DE 101 63 655 A1 werden Prüfdaten an ein Sicherheitsprogramm gegeben, um die Korrektheit der ermittelten Ausgangsdaten zu ermitteln.
  • Aus der US 5,880,568 A ist die Nutzung eines Watchdog bekannt.
  • Nachteilhaft bei den bekannten Lösungen ist, dass es zu einem Ausfall der Funktionsüberwachung kommen kann, ohne dass dies durch die Kontrolle der Fehlererkennung erkannt wird. So kann der Aufruf der Codestellen durch die Fehlererkennung auch dann möglich sein, wenn die Überwachung der Funktionen des Steuergeräts fehlerhaft ist.
  • Es ist daher eine Aufgabe der vorliegenden Erfindung, die voranstehend beschriebenen Nachteile zumindest teilweise zu beheben. Insbesondere ist es Aufgabe der vorliegenden Erfindung, eine verbesserte und zuverlässigere Fehlererkennung zu ermöglichen. Insbesondere soll daher eine Absicherung der Funktionsüberwachung vorgeschlagen werden.
  • Die voranstehende Aufgabe wird gelöst durch ein Verfahren mit den Merkmalen des Anspruchs 1, ein System mit den Merkmalen des Anspruchs 9 sowie durch ein Computerprogramm mit den Merkmalen des Anspruchs 11. Weitere Merkmale und Details der Erfindung ergeben sich aus den jeweiligen Unteransprüchen, der Beschreibung und den Zeichnungen. Dabei gelten Merkmale und Details, die im Zusammenhang mit dem erfindungsgemäßen Verfahren beschrieben sind, selbstverständlich auch im Zusammenhang mit dem erfindungsgemäßen System sowie dem erfindungsgemäßen Computerprogramm, und jeweils umgekehrt, so dass bezüglich der Offenbarung zu den einzelnen Erfindungsaspekten stets wechselseitig Bezug genommen wird bzw. werden kann.
  • Die Aufgabe wird insbesondere gelöst durch ein Verfahren zur Absicherung einer Funktionsüberwachung eines Steuergeräts eines Fahrzeuges.
  • Das Steuergerät kann dabei als sicherheitsrelevantes Steuergerät ausgeführt sein, also Funktionen bereitstellen, welche für den Betrieb des Fahrzeuges sicherheitsrelevant sind. Insbesondere können erhöhte Sicherheitsanforderungen an das Steuergerät gestellt werden, vorzugsweise nach einem ASIL- (Automotive Safety Integrity Level) Standard, bevorzugt ASIL D. Das Steuergerät beeinflusst und/oder steuert hierbei z. B. einen Betrieb des Fahrzeuges und/oder eine Anzeige von Informationen für den Betrieb des Fahrzeuges an einen Fahrer.
  • Bei dem erfindungsgemäßen Verfahren ist vorteilhafterweise vorgesehen, dass die nachfolgenden Schritte durchgeführt werden, vorzugsweise nacheinander oder in beliebiger Reihenfolge, wobei einzelne Schritte auch wiederholt durchgeführt werden können:
    • - Bereitstellen wenigstens einer Funktion, insbesondere mehrerer Funktionen, für das Fahrzeug durch das Steuergerät,
    • - Injizieren eines Fehlers bei der (wenigstens einen) bereitgestellten Funktion, um die Funktion (jeweils) als eine fehlerhafte Funktion auszuführen,
    • - Durchführen einer Fehlererkennung bei dem Steuergerät, um die (jeweilige) ausgeführte (fehlerhafte) Funktion zu überwachen,
    • - Auswerten der Fehlererkennung in Abhängigkeit von der Injektion des Fehlers, um die Fehlererkennung (insbesondere direkt) zu kontrollieren.
  • Im Gegensatz zu herkömmlichen Lösungen findet daher nicht (nur) eine indirekte Kontrolle wie eine Programmablaufkontrolle oder dergleichen statt, sondern es wird stattdessen die Funktionsfähigkeit der Fehlererkennung (d. h. auch der Fehlerüberwachung) kontinuierlich und/oder direkt kontrolliert. In anderen Worten kann die Funktionalität der Fehlererkennung direkt kontrolliert werden, um die Korrektheit der bereitgestellten Funktion des Steuergeräts zu überwachen und/oder mögliche Abweichungen zu erkennen.
  • Weiter kann es vorgesehen sein, dass die wenigstens eine Funktion sekundär, im Rahmen der Absicherung und Kontrolle, als fehlerhafte Funktion, und/oder primär, im regulären Betrieb, als korrekte Funktion ausgeführt wird. Es stellt dabei die Überwachung der korrekten Funktion durch die Fehlererkennung die primäre Aufgabe der Fehlererkennung dar, welche durch die Fehlerinjektion allerdings regelmäßig kontrolliert werden kann.
  • Die fehlerhafte Funktion kann zusätzlich zur korrekten Funktion vorgesehen sein, und/oder hat ggf. den einzigen Zweck, zur Kontrolle der Fehlererkennung zu dienen. Die fehlerhafte Funktion kann z. B. durch die Injektion des Fehlers in der Form einer vorgegebenen Eingabeinformation und/oder durch das Injizieren als ein Ersetzen eines Funktionsteils der Funktion bereitgestellt werden.
  • Es ist möglich, dass zumindest die Verfahrensschritte des Injizierens, des Durchführens der Fehlererkennung und des Auswertens der Fehlererkennung durch wenigstens ein (insbesondere erfindungsgemäßes) Computerprogramm und/oder durch eine Elektronik bereitgestellt werden. Des Weiteren kann auch die Steuergeräte-Funktion ggf. durch das oder ein weiteres Computerprogramm zumindest teilweise bereitgestellt sein.
  • Vorteilhaft ist es zudem, wenn das Fahrzeug als ein Kraftfahrzeug, insbesondere gleisloses Landkraftfahrzeug, zum Beispiel als ein Hybridfahrzeug, das eine Brennkraftmaschine und eine Elektromaschine zur Traktion umfasst oder als ein Elektrofahrzeug ausgebildet ist, vorzugsweise mit einem Hochvolt-Bordnetz und/oder einem Elektromotor. Insbesondere kann das Fahrzeug als ein Brennstoffzellenfahrzeug und/oder Personenkraftfahrzeug ausgebildet sein. Bevorzugt ist bei Ausführungsformen von Elektrofahrzeugen kein Verbrennungsmotor beim Fahrzeug vorgesehen, es wird dann ausschließlich durch elektrische Energie angetrieben.
  • Ferner kann im Rahmen der Erfindung vorgesehen sein, dass der Fehler für einen fehlerhaften Funktionsteil spezifisch ist, welcher bei dem Injizieren einen korrekten Funktionsteil der Funktion ersetzt, sodass vorzugsweise die fehlerhafte Funktion gemäß dem fehlerhaften Funktionsteil ausgeführt und/oder bei der Fehlererkennung überwacht wird, und vorzugsweise eine erfolgreiche Detektion des Fehlers durch die Fehlererkennung bei dem Auswerten kontrolliert wird. Die fehlerhafte Funktion kann damit als eine Modifikation und/oder Mutation der bereitgestellten Funktion ausgeführt sein. Bspw. ist es denkbar, dass das Injizieren in der Weise erfolgt, dass anstelle des korrekten Funktionsteils bei der Ausführung der Funktion der fehlerhafte Funktionsteil ausgeführt wird. Hierzu liegt z. B. der fehlerhafte Funktionsteil bereits vor, und es wird zum Injizieren dieser fehlerhafte Funktionsteil aktiviert und der korrekte Funktionsteil deaktiviert (also zwischen den Funktionsteilen umgeschaltet). Nach der Kontrolle der Fehlerkennung kann diese Umschaltung wieder rückgängig gemacht werden, also der korrekte Funktionsteil wieder aktiviert werden. In diesem Fall ist der Fehler z. B. dadurch für den fehlerhaften Funktionsteil spezifisch, dass das Injizieren das (ggf. softwaremäßige, bspw. durch unterschiedliche Programmabläufe bzw. Pfade ermöglichte) Umschalten auf den Fehler in der Form des fehlerhaften Funktionsteils umfasst. Es kann sich daher bei diesen Funktionsteilen um unterschiedliche Codeblöcke (oder Funktionsblöcke) oder dergleichen handeln. Alternativ oder zusätzlich kann der Fehler auch injiziert werden, ohne die Funktion selbst zu verändern. In diesem Fall kann die fehlerhafte Funktion z. B. dadurch ausgeführt werden, dass die Ausführung gemäß dem fehlerhaften Funktionsteil getriggert wird. Hierzu ist der Fehler z. B. dadurch für den fehlerhaften Funktionsteil spezifisch, dass der Fehler in der Form einer vorgegebenen Eingabeinformation der Funktion injiziert wird, welche die Ausführung entsprechend dem fehlerhaften Funktionsteil bewirkt. Durch das Injizieren des Fehlers kann auf diese Weise z. B. ein Fehlerfall bei der Funktion simuliert werden, indem bspw. die Eingabeinformation einer solchen Eingabeinformation entspricht, welche bei einem solchen Fehlerfall vorliegen würde. Dies wird nachfolgend anhand eines Beispiels noch weiter beschrieben.
  • So ist es im Rahmen der Erfindung denkbar, dass das Injizieren dadurch erfolgt, dass eine Eingabeinformation für die Funktion digital und/oder physikalisch vorgegeben wird, wobei die Eingabeinformation für einen fehlerhaften Funktionsteil spezifisch sein kann, insbesondere einer Ausgabeinformation des fehlerhaften Funktionsteils entspricht, um den Fehler bei der Funktion bereitzustellen, insbesondere zu simulieren und/oder auszulösen. Es kann die bereitgestellte Funktion z. B. die Aufnahme und Verarbeitung von Kamerabildern bei dem Fahrzeug umfassen. Dies ist bspw. dann vorgesehen, wenn das Steuergerät als ein Verkehrsschilderkennungssteuergerät ausgeführt ist. Die von einer Kamera des Fahrzeuges zur weiteren Verarbeitung ausgegebenen digitalen Bilder können als erste Art der Eingabeinformation für die Funktion bzw. Ausgabeinformation des fehlerhaften Funktionsteils (im Beispiel also der Kamera) aufgefasst werden, das von der Kamera aufgenommene Abbild der Umgebung des Fahrzeuges ggf. als zweite Art der Eingabeinformation bzw. Ausgabeinformation. Ein Fehlerfall bei der Funktion kann dann vorteilhafterweise dadurch simuliert werden, und somit der Fehler injiziert werden, dass anstelle der korrekten digitalen Bilder gemäß der ersten Art eine fehlerhafte Eingabeinformation als der Fehler (digital) injiziert wird. Es kann sich hierbei um eine vorgegebene Bitmap handeln, welche z. B. für eine Ausgabeinformation der Kamera bei einem Pixelfehler der Kamera oder dergleichen spezifisch ist. In anderen Worten entspricht diese fehlerhafte Eingabeinformation der Eingabeinformation, welche auch bei einem Fehlerfall wie dem Pixelfehler oder dergleichen vorliegen würde. Es handelt sich dabei vorzugsweise um solche Fehlerfälle, welche nicht im regulären Betrieb erwartet werden (z. B. Regen wird regulär als Verschlechterung der Bildqualität der digitalen Bilder erwartet, der Pixelfehler und/oder ein Rauschen und/oder dergleichen hingegen ggf. nicht). Gemäß der zweiten Art kann z. B. ein Anzeigeelement wie ein Monitor oder dergleichen genutzt werden, um die fehlerhafte Eingabeinformation (kurzzeitig für die Kontrolle) an der Kamera anstelle der Umgebung auszugegeben. Hierzu wird bspw. ein optischer Pfad umgeschaltet, um anstelle der Umgebung das Abbild der fehlerhaften Eingabeinformation bei einem Kamerasensor der Kamera zu erzeugen. Das Anzeigeelement kann hierzu z. B. ebenfalls die Bitmap anzeigen, welche für den Fehlerfall spezifisch ist. Es sind gemäß dem vorgenannten Vorgehen somit Beispiele dafür beschrieben, dass bei dem Injizieren die Eingabeinformation für die Funktion digital oder physikalisch vorgegeben wird.
  • Bevorzugt kann im Rahmen der Erfindung vorgesehen sein, dass die ausgeführte Funktion eine redundante Verarbeitung durchführt, wobei vorzugsweise der Fehler nur bei einem Teil der redundanten Verarbeitung injiziert wird, um wenigstens ein fehlerfreies Funktionsergebnis parallel zu wenigstens einem fehlerhaften Funktionsergebnis zu erhalten. Es können somit zwei Verarbeitungsstränge vorgesehen sein, welche somit das Ergebnis der Funktion redundant erzeugen. Eine der Verarbeitungsstränge kann dann zur Injizierung des Fehlers genutzt werden, und somit einen fehlerhaften Funktionsteil bereitstellen. Da der andere Verarbeitungsstrang weiterhin fehlerfrei (korrekt) abläuft, kann weiterhin die Korrektheit der Funktion und/oder der fehlerfreie Betrieb des Fahrzeuges gewährleistet sein. Insbesondere wird bei der weiteren Verwendung des Funktionsergebnisses das Ergebnis verworfen, wenn festgestellt wird, dass die redundanten Funktionsergebnisse nicht übereinstimmen.
  • Außerdem kann es im Rahmen der Erfindung von Vorteil sein, dass das Auswerten der Fehlererkennung den nachfolgenden Schritt umfasst:
    • - Feststellen einer korrekten Fehlererkennung, wenn der injizierte Fehler durch die Fehlererkennung detektiert wird, und andernfalls Feststellen einer fehlerhaften Fehlererkennung.
    Es kann auf diese Weise insbesondere die Kontrolle der Fehlererkennung in direkter Weise ermöglicht werden, da bei einer fehlerhaften Fehlererkennung der Fehler nicht detektiert wird, und somit der korrekte Betrieb des Steuergeräts nicht mehr gewährleistet ist. Entsprechend kann bei Feststellen der fehlerhaften Fehlererkennung auch ggf. ein Abschalten des Steuergeräts und/oder eine Fehlerausgabe initiiert werden. Damit ist die Absicherung der Funktionsüberwachung zuverlässig möglich.
  • Es ist ferner denkbar, dass die Fehlererkennung zur Funktionsüberwachung wiederholt durchgeführt wird, und das Injizieren des Fehlers und das Auswerten der Fehlererkennung zur Absicherung der Funktionsüberwachung ebenfalls wiederholt mit geringerer Wiederholungsfrequenz durchgeführt wird als die Fehlererkennung. Damit ist gewährleistet, dass das Injizieren des Fehlers nicht den Betrieb des Fahrzeuges negativ oder signifikant beeinflusst.
  • Vorteilhafterweise kann bei der Erfindung vorgesehen sein, dass das Durchführen der Fehlererkennung zumindest die nachfolgenden Schritte umfasst:
    • - Ermitteln wenigstens einer Ergebnisinformation der ausgeführten Funktion,
    • - Durchführen eines Vergleichs der ermittelten Ergebnisinformation mit einer Vorgabe,
    • - Detektieren einer korrekten Funktion anhand des Vergleichs bei einer Übereinstimmung der Ergebnisinformation mit der Vorgabe, und andernfalls Detektieren des Fehlers bei der Funktion.
    Auf diese Weise kann z. B. eine Plausibilitätsprüfung der Ergebnisinformation durchgeführt werden, um die Korrektheit der Funktion zu kontrollieren.
  • Von weiterem Vorteil kann vorgesehen sein, dass die Funktion als eine sicherheitsrelevante Funktion des Fahrzeuges ausgeführt ist, welche anhand wenigstens einer Eingabeinformation wenigstens ein Funktionsergebnis ermittelt, wobei vorzugsweise das Fahrzeug anhand des Funktionsergebnisses gesteuert wird und/oder der Betrieb des Fahrzeuges angepasst wird, wobei alternativ oder zusätzlich das Steuergerät ausgebildet ist als:
    • - ein Bremssteuergerät, welches eine Bremsung des Fahrzeuges automatisch und/oder elektrisch durchführt, oder
    • - ein Lenkungssteuergerät, welches eine Lenkung des Fahrzeuges automatisch und/oder elektrisch durchführt, oder
    • - ein Verkehrsschilderkennungssteuergerät, um Verkehrszeichen automatisch anhand der Eingabeinformation in der Form von Kameraaufnahmen zu erkennen, oder
    • - ein Steuergerät zum Batteriemanagement einer Fahrzeugbatterie, oder
    • - ein Motorsteuergerät, um einen Motor des Fahrzeuges anhand eines gemessenen Moments des Motors anzusteuern.
  • Es kann ferner vorgesehen sein, dass die bereitgestellte Funktion zur Erstellung von wenigstens zwei redundanten Funktionsergebnissen ausgeführt ist, und bei dem Ermitteln des wenigstens einen Funktionsergebnisses wenigstens eines der wenigstens zwei redundanten Funktionsergebnisse ermittelt wird.
  • Ebenfalls Gegenstand der Erfindung ist ein System zur Absicherung einer Funktionsüberwachung eines Steuergeräts eines Fahrzeuges. Hierbei ist vorgesehen, dass das System eine Vorrichtung aufweist, insbesondere eine Datenverarbeitungsvorrichtung und vorzugsweise einen Computer, welche nachfolgende Mittel umfasst:
    • - Mittel zum Injizieren eines Fehlers bei einer durch das Steuergerät für das Fahrzeug bereitgestellten Funktion, um die Funktion als eine fehlerhafte Funktion auszuführen,
    • - Mittel zum Durchführen einer Fehlererkennung bei dem Steuergerät, um die ausgeführte Funktion zu überwachen,
    • - Mittel zum Auswerten der Fehlererkennung in Abhängigkeit von der Injektion des Fehlers, um die Fehlererkennung zu kontrollieren, insbesondere anhand eines Ergebnisses der Fehlererkennung, welches eine fehlerhafte Funktion indiziert.
    Damit bringt das erfindungsgemäße System die gleichen Vorteile mit sich, wie sie ausführlich mit Bezug auf ein erfindungsgemäßes Verfahren beschrieben worden sind. Zudem kann das System geeignet sein, ein erfindungsgemäßes Verfahren auszuführen.
  • Gemäß einem weiteren Vorteil kann vorgesehen sein, dass das System das Steuergerät umfasst, um die Funktion bereitzustellen und insbesondere regulär als eine korrekte Funktion auszuführen, und/oder dass das System zur Ausführung eines erfindungsgemäßen Verfahrens ausgebildet ist.
  • Ebenfalls Gegenstand der Erfindung ist ein Computerprogramm, insbesondere Computerprogrammprodukt, zur Absicherung einer Funktionsüberwachung eines Steuergeräts eines Fahrzeuges, umfassend Befehle, die bei der Ausführung des Computerprogramms durch eine Vorrichtung zur Datenverarbeitung diese veranlassen, die nachfolgenden Schritte auszuführen:
    • - Injizieren eines Fehlers bei einer durch das Steuergerät für das Fahrzeug bereitgestellten Funktion, um die Funktion als eine fehlerhafte Funktion auszuführen,
    • - Durchführen einer Fehlererkennung bei dem Steuergerät, um die ausgeführte Funktion zu überwachen,
    • - Auswerten der Fehlererkennung in Abhängigkeit von der Injektion des Fehlers, um die Fehlererkennung zu kontrollieren.
    Damit bringt das erfindungsgemäße Computerprogramm die gleichen Vorteile mit sich, wie sie ausführlich mit Bezug auf ein erfindungsgemäßes Verfahren und/oder erfindungsgemäßes System beschrieben worden sind. Es ist ferner denkbar, dass die Befehle dazu ausgeführt sind, das Injizieren und/oder das Durchführen und/oder Auswerten und/oder die weiteren Schritte gemäß einem erfindungsgemäßen Verfahren auszuführen.
  • Weitere Vorteile, Merkmale und Einzelheiten der Erfindung ergeben sich aus der nachfolgenden Beschreibung, in der unter Bezugnahme auf die Zeichnungen Ausführungsbeispiele der Erfindung im Einzelnen beschrieben sind. Dabei können die in den Ansprüchen und in der Beschreibung erwähnten Merkmale jeweils einzeln für sich oder in beliebiger Kombination erfindungswesentlich sein. Es zeigen:
    • 1 eine schematische Darstellung eines erfindungsgemäßen Systems,
    • 2 eine schematische Darstellung eines erfindungsgemäßen Verfahrens.
  • In den nachfolgenden Figuren werden für die gleichen technischen Merkmale auch von unterschiedlichen Ausführungsbeispielen die identischen Bezugszeichen verwendet.
  • In 1 ist schematisch ein erfindungsgemäßes System zur Absicherung einer Funktionsüberwachung eines Steuergeräts 2 eines Fahrzeuges 1 gezeigt. Dabei kann eine Vorrichtung 10 vorgesehen sein, welche insbesondere als eine Datenverarbeitungsvorrichtung und vorzugsweise als ein Computer ausgebildet ist. Die Vorrichtung 10 kann ferner aufweisen:
    • - ein Mittel 11 zum Injizieren eines Fehlers F bei einer durch das Steuergerät 2 für das Fahrzeug 1 bereitgestellten Funktion 201, um die Funktion 201 als eine fehlerhafte Funktion 201 auszuführen,
    • - ein Mittel 12 zum Durchführen einer Fehlererkennung 202 bei dem Steuergerät 2, um die ausgeführte Funktion 201 zu überwachen,
    • - ein Mittel 13 zum Auswerten der Fehlererkennung 202 in Abhängigkeit von der Injektion des Fehlers F, um die Fehlererkennung 202 zu kontrollieren.
  • Die vorbeschriebene Funktionalität ist in 1 weiter durch die Darstellung von Ebenen 201, 202, 203 visualisiert. In einer ersten Ebene 201 kann eine Funktionsebene vorgesehen sein, welche die Funktionen 201 des Steuergeräts 2 bereitstellt. Hierzu kann die Funktionsebene z. B. durch eine Steuergeräte-Software bereitgestellt sein. Entsprechend sind in der ersten Ebene 201 alle funktionalen Anforderungen umgesetzt und die notwendigen Softwaremodule integriert. Es kann vorgesehen sein, dass die kritischen Pfade dieser Ebene, welche zu einer Fehlfunktion führen können, in einer zweiten Ebene 202 überwacht werden. Diese zweite Ebene 202 kann somit die Fehlererkennung 202 umfassen. Durch eine dritte Ebene 203 kann hingegen die Fehlerinjektion 203 durchgeführt werden, insbesondere in die erste Ebene 201. Dabei kann die zweite Ebene 202 die injizierte Abweichung erkennen und ggf. an die dritte Ebene 203 melden, wie durch einen Pfeil von der Ebene 202 zur Ebene 203 veranschaulicht ist. Wenn die Abweichung gemeldet wird, kann die Korrektheit der Fehlererkennung 202 festgestellt werden. Andernfalls kann ggf. das Steuergerät 2 ausgeschaltet werden.
  • In 2 ist ein erfindungsgemäßes Verfahren zur Absicherung einer Funktionsüberwachung eines Steuergeräts 2 eines Fahrzeuges 1 schematisch visualisiert. Hierbei erfolgt gemäß einem ersten Verfahrensschritt 101 ein Bereitstellen wenigstens einer Funktion 201 für das Fahrzeug 1 durch das Steuergerät 2. Gemäß einem zweiten Verfahrensschritt 102 wird ein Injizieren eines Fehlers F bei der bereitgestellten Funktion 201 durchgeführt, um die Funktion 201 als eine fehlerhafte Funktion 201 auszuführen. Gemäß einem dritten Verfahrensschritt 103 erfolgt ein Durchführen einer Fehlererkennung 202 bei dem Steuergerät 2, um die ausgeführte Funktion 201 zu überwachen. Anschließend erfolgt gemäß einem vierten Verfahrensschritt 104 ein Auswerten der Fehlererkennung 202 in Abhängigkeit von der Injektion des Fehlers F, um die Fehlererkennung 202 zu kontrollieren.
  • Der Fehler F kann für einen fehlerhaften Funktionsteil spezifisch sein, welcher bei dem Injizieren einen korrekten Funktionsteil der Funktion 201 ersetzt, sodass vorzugsweise die fehlerhafte Funktion 201 gemäß dem fehlerhaften Funktionsteil ausgeführt und bei der Fehlererkennung 202 überwacht wird, und eine erfolgreiche Detektion des Fehlers F durch die Fehlererkennung 202 bei dem Auswerten kontrolliert wird. Das Injizieren kann z. B. dadurch erfolgen, dass eine Eingabeinformation für die Funktion 201 digital und/oder physikalisch vorgegeben wird, wobei die Eingabeinformation für einen fehlerhaften Funktionsteil spezifisch ist, insbesondere einer Ausgabeinformation des fehlerhaften Funktionsteils entspricht, um den Fehler F bei der Funktion 201 bereitzustellen, insbesondere zu simulieren und/oder auszulösen.
  • Es ist gemäß dem in 1 und 2 gezeigten Beispiel weiter möglich, dass die ausgeführte Funktion 201 eine redundante Verarbeitung durchführt, wobei der Fehler F nur bei einem Teil der redundanten Verarbeitung injiziert wird, um wenigstens ein fehlerfreies Funktionsergebnis E parallel zu wenigstens einem fehlerhaften Funktionsergebnis E zu erhalten.
  • Es ist ferner denkbar, dass das Steuergerät 2 als ein Bremssteuergerät ausgebildet ist, welches eine Bremsung des Fahrzeuges 1 automatisch und/oder elektrisch durchführt. Auch kann das Steuergerät 2 als ein Lenkungssteuergerät ausgeführt sein, welches eine Lenkung des Fahrzeuges 1 automatisch und/oder elektrisch durchführt, oder als ein Verkehrsschilderkennungssteuergerät ausgeführt sein, um Verkehrszeichen automatisch anhand der Eingabeinformation in der Form von Kameraaufnahmen zu erkennen. Ferner ist die Ausbildung des Steuergeräts 2 als ein Motorsteuergerät möglich, um einen Motor 3 des Fahrzeuges 1 anhand eines gemessenen Moments des Motors 3 anzusteuern.
  • Die voranstehende Erläuterung der Ausführungsformen beschreibt die vorliegende Erfindung ausschließlich im Rahmen von Beispielen. Selbstverständlich können einzelne Merkmale der Ausführungsformen, sofern technisch sinnvoll, frei miteinander kombiniert werden, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
  • Bezugszeichenliste
    • 1
    Fahrzeug
    2
    Steuergerät
    3
    Motor
    10
    Vorrichtung
    11,
    12, 13
    Mittel
    201
    erste Ebene, Funktion, Steuergerät-Software
    202
    zweite Ebene, Fehlererkennung
    203
    dritte Ebene, Fehlerinjektion
    E
    Funktionsergebnis
    F
    Fehler
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 4438714 A1 [0003]
    • DE 10163655 A1 [0004]
    • US 5880568 A [0005]

Claims (12)

  1. Verfahren zur Absicherung einer Funktionsüberwachung eines Steuergeräts (2) eines Fahrzeuges (1), wobei die nachfolgenden Schritte durchgeführt werden: - Bereitstellen wenigstens einer Funktion (201) für das Fahrzeug (1) durch das Steuergerät (2), - Injizieren eines Fehlers (F) bei der bereitgestellten Funktion (201), um die Funktion (201) als eine fehlerhafte Funktion (201) auszuführen, - Durchführen einer Fehlererkennung (202) bei dem Steuergerät (2), um die ausgeführte Funktion (201) zu überwachen, - Auswerten der Fehlererkennung (202) in Abhängigkeit von der Injektion des Fehlers (F), um die Fehlererkennung (202) zu kontrollieren.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der Fehler (F) für einen fehlerhaften Funktionsteil spezifisch ist, welcher bei dem Injizieren einen korrekten Funktionsteil der Funktion (201) ersetzt, sodass vorzugsweise die fehlerhafte Funktion (201) gemäß dem fehlerhaften Funktionsteil ausgeführt und bei der Fehlererkennung (202) überwacht wird, und eine erfolgreiche Detektion des Fehlers (F) durch die Fehlererkennung (202) bei dem Auswerten kontrolliert wird.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das Injizieren dadurch erfolgt, dass eine Eingabeinformation für die Funktion (201) digital und/oder physikalisch vorgegeben wird, wobei die Eingabeinformation für einen fehlerhaften Funktionsteil spezifisch ist, insbesondere einer Ausgabeinformation des fehlerhaften Funktionsteils entspricht, um den Fehler (F) bei der Funktion (201) bereitzustellen, insbesondere zu simulieren und/oder auszulösen.
  4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die ausgeführte Funktion (201) eine redundante Verarbeitung durchführt, wobei der Fehler (F) nur bei einem Teil der redundanten Verarbeitung injiziert wird, um wenigstens ein fehlerfreies Funktionsergebnis (E) parallel zu wenigstens einem fehlerhaften Funktionsergebnis (E) zu erhalten.
  5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Auswerten der Fehlererkennung den nachfolgenden Schritt umfasst: - Feststellen einer korrekten Fehlererkennung (202), wenn der injizierte Fehler (F) durch die Fehlererkennung (202) detektiert wird, und andernfalls Feststellen einer fehlerhaften Fehlererkennung (202).
  6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Fehlererkennung (202) zur Funktionsüberwachung wiederholt durchgeführt wird, und das Injizieren des Fehlers (F) und das Auswerten der Fehlererkennung (202) zur Absicherung der Funktionsüberwachung ebenfalls wiederholt mit geringerer Wiederholungsfrequenz durchgeführt wird als die Fehlererkennung.
  7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Durchführen der Fehlererkennung (202) zumindest die nachfolgenden Schritte umfasst: - Ermitteln wenigstens einer Ergebnisinformation der ausgeführten Funktion (201), - Durchführen eines Vergleichs der ermittelten Ergebnisinformation mit einer Vorgabe, - Detektieren einer korrekten Funktion (201) anhand des Vergleichs bei einer Übereinstimmung der Ergebnisinformation mit der Vorgabe, und andernfalls Detektieren des Fehlers (F) bei der Funktion (201).
  8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Funktion als eine sicherheitsrelevante Funktion (201) des Fahrzeuges (1) ausgeführt ist, welche anhand wenigstens einer Eingabeinformation wenigstens ein Funktionsergebnis (E) ermittelt, wobei vorzugsweise das Fahrzeug (1) anhand des Funktionsergebnisses (E) gesteuert wird und/oder der Betrieb des Fahrzeuges (1) angepasst wird, wobei bevorzugt das Steuergerät (2) ausgebildet ist als: - ein Bremssteuergerät, welches eine Bremsung des Fahrzeuges (1) automatisch und/oder elektrisch durchführt, oder - ein Lenkungssteuergerät, welches eine Lenkung des Fahrzeuges (1) automatisch und/oder elektrisch durchführt, oder - ein Verkehrsschilderkennungssteuergerät, um Verkehrszeichen automatisch anhand der Eingabeinformation in der Form von Kameraaufnahmen zu erkennen, oder - ein Motorsteuergerät, um einen Motor (3) des Fahrzeuges (1) anhand eines gemessenen Moments des Motors (3) anzusteuern.
  9. System zur Absicherung einer Funktionsüberwachung eines Steuergeräts (2) eines Fahrzeuges (1), aufweisend eine Vorrichtung (10), welche nachfolgende Mittel umfasst: - Mittel zum Injizieren eines Fehlers (F) bei einer durch das Steuergerät (2) für das Fahrzeug (1) bereitgestellten Funktion (201), um die Funktion (201) als eine fehlerhafte Funktion (201) auszuführen, - Mittel zum Durchführen einer Fehlererkennung (202) bei dem Steuergerät (2), um die ausgeführte Funktion (201) zu überwachen, - Mittel zum Auswerten der Fehlererkennung (202) in Abhängigkeit von der Injektion des Fehlers (F), um die Fehlererkennung (202) zu kontrollieren.
  10. System nach Anspruch 9, dadurch gekennzeichnet, dass das System das Steuergerät (2) umfasst, um die Funktion (201) bereitzustellen und insbesondere regulär als eine korrekte Funktion (201) auszuführen, wobei das System zur Ausführung eines Verfahrens nach einem der Ansprüche 1 bis 8 ausgebildet ist.
  11. Computerprogramm zur Absicherung einer Funktionsüberwachung eines Steuergeräts (2) eines Fahrzeuges (1), umfassend Befehle, die bei der Ausführung des Computerprogramms durch eine Vorrichtung (10) zur Datenverarbeitung diese veranlassen, die nachfolgenden Schritte auszuführen: - Injizieren eines Fehlers (F) bei einer durch das Steuergerät (2) für das Fahrzeug (1) bereitgestellten Funktion (201), um die Funktion (201) als eine fehlerhafte Funktion (201) auszuführen, - Durchführen einer Fehlererkennung (202) bei dem Steuergerät (2), um die ausgeführte Funktion (201) zu überwachen, - Auswerten der Fehlererkennung (202) in Abhängigkeit von der Injektion des Fehlers (F), um die Fehlererkennung (202) zu kontrollieren.
  12. Computerprogramm nach Anspruch 11, dadurch gekennzeichnet, dass die Befehle dazu ausgeführt sind, das Injizieren und/oder das Durchführen und/oder Auswerten gemäß einem Verfahren nach einem der Ansprüche 1 bis 8 auszuführen.
DE102019209136.9A 2019-06-25 2019-06-25 Verfahren zur Absicherung einer Funktionsüberwachung eines Steuergeräts eines Fahrzeuges Pending DE102019209136A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102019209136.9A DE102019209136A1 (de) 2019-06-25 2019-06-25 Verfahren zur Absicherung einer Funktionsüberwachung eines Steuergeräts eines Fahrzeuges

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019209136.9A DE102019209136A1 (de) 2019-06-25 2019-06-25 Verfahren zur Absicherung einer Funktionsüberwachung eines Steuergeräts eines Fahrzeuges

Publications (1)

Publication Number Publication Date
DE102019209136A1 true DE102019209136A1 (de) 2020-12-31

Family

ID=73747423

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019209136.9A Pending DE102019209136A1 (de) 2019-06-25 2019-06-25 Verfahren zur Absicherung einer Funktionsüberwachung eines Steuergeräts eines Fahrzeuges

Country Status (1)

Country Link
DE (1) DE102019209136A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102023201105A1 (de) 2023-02-10 2024-08-14 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Überprüfung einer auf einem Algorithmus des maschinellen Lernens basierenden Überwachungsfunktion

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4438714A1 (de) * 1994-10-29 1996-05-02 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs
DE10163655A1 (de) * 2001-12-21 2003-07-03 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung einer Funktionseinheit eines Kraftfahrzeugs
US20140019818A1 (en) * 2012-07-12 2014-01-16 Freescale Semiconductor System for testing error detection circuits

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4438714A1 (de) * 1994-10-29 1996-05-02 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs
US5880568A (en) * 1994-10-29 1999-03-09 Robert Bosch Gmbh Method and arrangement for controlling the drive unit of a vehicle
DE10163655A1 (de) * 2001-12-21 2003-07-03 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung einer Funktionseinheit eines Kraftfahrzeugs
US20140019818A1 (en) * 2012-07-12 2014-01-16 Freescale Semiconductor System for testing error detection circuits

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Norm ISO 26262-9 2018-12-00. Road vehicles - Functional safety - Part 9: Automotive safety integrity level (ASIL)-oriented and safety-oriented analyses. 38 S. *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102023201105A1 (de) 2023-02-10 2024-08-14 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Überprüfung einer auf einem Algorithmus des maschinellen Lernens basierenden Überwachungsfunktion

Similar Documents

Publication Publication Date Title
DE102017210156B4 (de) Vorrichtung und Verfahren zum Ansteuern eines Fahrzeugmoduls
DE112018006702T5 (de) Bestimmung der zuverlässigkeit von fahrzeugsteuerbefehlen unter verwendung eines abstimmungsmechanismus
DE10307342A1 (de) Vorrichtung und Verfahren zur modellbasierten On-Board-Diagnose
DE102008048952A1 (de) Vorrichtung und Verfahren zur Steuerung einer elektrischen Lenkung
DE102012111003A1 (de) Verfahren und Vorrichtung zum Beherrschen von Fehler von Motor-angetriebenem Hilfskraftlenkung-System
DE102020212277A1 (de) Verfahren und Vorrichtung zum Bestimmen einer Restnutzungsdauer basierend auf einer prädiktiven Diagnose von Komponenten eines elektrischen Antriebssystems mithilfe Verfahren künstlicher Intelligenz
DE102018217118B4 (de) Verfahren zum Erstellen einer Fehlerdiagnose eines Antriebsstrangs eines elektrisch betriebenen Kraftfahrzeugs und Kraftfahrzeug
WO2008014940A1 (de) Steuergerät und verfahren zur steuerung von funktionen
DE102012104322B4 (de) Verfahren und Vorrichtung zum Überprüfen von wenigstens zwei Recheneinheiten
DE102019209136A1 (de) Verfahren zur Absicherung einer Funktionsüberwachung eines Steuergeräts eines Fahrzeuges
DE3701714A1 (de) Verfahren und vorrichtung zur ueberwachung rechnergesteuerter stellglieder
DE102012209144A1 (de) Verfahren zur Überführung eines elektrischen Antriebsystems in einen sicheren Zustand und Anordnung zur Durchführung des Verfahrens
EP0596297B1 (de) Verfahren und Vorrichtung zur Überprüfung einer Überwachungseinheit von Motorsteuersystem
WO2010046200A1 (de) Verfahren zur überwachung der funktionsfähigkeit eines elektronischen bausteins
DE102009012887B4 (de) Verfahren zum Prüfen einer nicht korrekten Installation von Fahrzeugsensoren
DE102020203420B4 (de) Verfahren und Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall
DE102015214987B4 (de) Bestimmung eines defekten Bauteils eines Fahrzeugs
DE102018121270B4 (de) Diagnoseverfahren, Diagnosesystem und Kraftfahrzeug
DE102019203783B4 (de) Verfahren, Programm und System zur Verwendung von Signalqualitätsanforderungen im Rahmen von Sicherheitskonzepten
DE102017202587A1 (de) Verfahren zum Auswechseln einer Bremsflüssigkeit und Kraftfahrzeug
DE102020203058A1 (de) Automatisierte Zuverlässigkeitsprüfung einer infrastrukturseitigen Überwachungssensorik
EP3173928B1 (de) Verfahren und vorrichtung zum überprüfen eines komponentenfehlerbaums
DE102019107240A1 (de) Diagnoseverfahren, Diagnosesystem und Kraftfahrzeug
DE102019000715A1 (de) Verfahren zum Betreiben eines Systems, welches zumindest ein elektrisches Gerät und/oder zumindest einen Sensor umfasst, sowie Vorrichtung
DE102017204178A1 (de) Verfahren und Vorrichtung zur Absicherung der Funktionsfähigkeit eines Bedienelements einer Parkbremse

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication