-
Die vorliegende Erfindung betrifft ein Verfahren zur Absicherung einer Funktionsüberwachung eines Steuergeräts eines Fahrzeuges. Ferner bezieht sich die Erfindung auf ein System sowie ein Computerprogramm.
-
Es ist aus dem Stand der Technik bekannt, dass bei Fahrzeugen an vielen Steuergeräten hohe Sicherheitsanforderungen gestellt werden. Bspw. werden solche Steuergeräte nach ASIL D ausgelegt. Herkömmlicherweise wird daher ein 3-Ebenen-Sicherheitskonzept eingesetzt, um die Funktionen des Steuergeräts durch eine Fehlererkennung zu überwachen. Ebenfalls wird eine Programmablaufkontrolle zur Kontrolle der Fehlererkennung eingesetzt. Dabei wird geprüft, dass bestimmte Codestellen bei der Fehlererkennung aufgerufen werden.
-
In der
DE 44 38 714 A1 ist ebenfalls die Verwendung von verschiedenen Ebenen offenbart, wobei eine Funktionsebene durch eine Überwachungsebene überwacht wird, und eine Kontrollebene die Überwachungsebene auf Basis einer Ablaufkontrolle kontrolliert.
-
In der
DE 101 63 655 A1 werden Prüfdaten an ein Sicherheitsprogramm gegeben, um die Korrektheit der ermittelten Ausgangsdaten zu ermitteln.
-
-
Nachteilhaft bei den bekannten Lösungen ist, dass es zu einem Ausfall der Funktionsüberwachung kommen kann, ohne dass dies durch die Kontrolle der Fehlererkennung erkannt wird. So kann der Aufruf der Codestellen durch die Fehlererkennung auch dann möglich sein, wenn die Überwachung der Funktionen des Steuergeräts fehlerhaft ist.
-
Es ist daher eine Aufgabe der vorliegenden Erfindung, die voranstehend beschriebenen Nachteile zumindest teilweise zu beheben. Insbesondere ist es Aufgabe der vorliegenden Erfindung, eine verbesserte und zuverlässigere Fehlererkennung zu ermöglichen. Insbesondere soll daher eine Absicherung der Funktionsüberwachung vorgeschlagen werden.
-
Die voranstehende Aufgabe wird gelöst durch ein Verfahren mit den Merkmalen des Anspruchs 1, ein System mit den Merkmalen des Anspruchs 9 sowie durch ein Computerprogramm mit den Merkmalen des Anspruchs 11. Weitere Merkmale und Details der Erfindung ergeben sich aus den jeweiligen Unteransprüchen, der Beschreibung und den Zeichnungen. Dabei gelten Merkmale und Details, die im Zusammenhang mit dem erfindungsgemäßen Verfahren beschrieben sind, selbstverständlich auch im Zusammenhang mit dem erfindungsgemäßen System sowie dem erfindungsgemäßen Computerprogramm, und jeweils umgekehrt, so dass bezüglich der Offenbarung zu den einzelnen Erfindungsaspekten stets wechselseitig Bezug genommen wird bzw. werden kann.
-
Die Aufgabe wird insbesondere gelöst durch ein Verfahren zur Absicherung einer Funktionsüberwachung eines Steuergeräts eines Fahrzeuges.
-
Das Steuergerät kann dabei als sicherheitsrelevantes Steuergerät ausgeführt sein, also Funktionen bereitstellen, welche für den Betrieb des Fahrzeuges sicherheitsrelevant sind. Insbesondere können erhöhte Sicherheitsanforderungen an das Steuergerät gestellt werden, vorzugsweise nach einem ASIL- (Automotive Safety Integrity Level) Standard, bevorzugt ASIL D. Das Steuergerät beeinflusst und/oder steuert hierbei z. B. einen Betrieb des Fahrzeuges und/oder eine Anzeige von Informationen für den Betrieb des Fahrzeuges an einen Fahrer.
-
Bei dem erfindungsgemäßen Verfahren ist vorteilhafterweise vorgesehen, dass die nachfolgenden Schritte durchgeführt werden, vorzugsweise nacheinander oder in beliebiger Reihenfolge, wobei einzelne Schritte auch wiederholt durchgeführt werden können:
- - Bereitstellen wenigstens einer Funktion, insbesondere mehrerer Funktionen, für das Fahrzeug durch das Steuergerät,
- - Injizieren eines Fehlers bei der (wenigstens einen) bereitgestellten Funktion, um die Funktion (jeweils) als eine fehlerhafte Funktion auszuführen,
- - Durchführen einer Fehlererkennung bei dem Steuergerät, um die (jeweilige) ausgeführte (fehlerhafte) Funktion zu überwachen,
- - Auswerten der Fehlererkennung in Abhängigkeit von der Injektion des Fehlers, um die Fehlererkennung (insbesondere direkt) zu kontrollieren.
-
Im Gegensatz zu herkömmlichen Lösungen findet daher nicht (nur) eine indirekte Kontrolle wie eine Programmablaufkontrolle oder dergleichen statt, sondern es wird stattdessen die Funktionsfähigkeit der Fehlererkennung (d. h. auch der Fehlerüberwachung) kontinuierlich und/oder direkt kontrolliert. In anderen Worten kann die Funktionalität der Fehlererkennung direkt kontrolliert werden, um die Korrektheit der bereitgestellten Funktion des Steuergeräts zu überwachen und/oder mögliche Abweichungen zu erkennen.
-
Weiter kann es vorgesehen sein, dass die wenigstens eine Funktion sekundär, im Rahmen der Absicherung und Kontrolle, als fehlerhafte Funktion, und/oder primär, im regulären Betrieb, als korrekte Funktion ausgeführt wird. Es stellt dabei die Überwachung der korrekten Funktion durch die Fehlererkennung die primäre Aufgabe der Fehlererkennung dar, welche durch die Fehlerinjektion allerdings regelmäßig kontrolliert werden kann.
-
Die fehlerhafte Funktion kann zusätzlich zur korrekten Funktion vorgesehen sein, und/oder hat ggf. den einzigen Zweck, zur Kontrolle der Fehlererkennung zu dienen. Die fehlerhafte Funktion kann z. B. durch die Injektion des Fehlers in der Form einer vorgegebenen Eingabeinformation und/oder durch das Injizieren als ein Ersetzen eines Funktionsteils der Funktion bereitgestellt werden.
-
Es ist möglich, dass zumindest die Verfahrensschritte des Injizierens, des Durchführens der Fehlererkennung und des Auswertens der Fehlererkennung durch wenigstens ein (insbesondere erfindungsgemäßes) Computerprogramm und/oder durch eine Elektronik bereitgestellt werden. Des Weiteren kann auch die Steuergeräte-Funktion ggf. durch das oder ein weiteres Computerprogramm zumindest teilweise bereitgestellt sein.
-
Vorteilhaft ist es zudem, wenn das Fahrzeug als ein Kraftfahrzeug, insbesondere gleisloses Landkraftfahrzeug, zum Beispiel als ein Hybridfahrzeug, das eine Brennkraftmaschine und eine Elektromaschine zur Traktion umfasst oder als ein Elektrofahrzeug ausgebildet ist, vorzugsweise mit einem Hochvolt-Bordnetz und/oder einem Elektromotor. Insbesondere kann das Fahrzeug als ein Brennstoffzellenfahrzeug und/oder Personenkraftfahrzeug ausgebildet sein. Bevorzugt ist bei Ausführungsformen von Elektrofahrzeugen kein Verbrennungsmotor beim Fahrzeug vorgesehen, es wird dann ausschließlich durch elektrische Energie angetrieben.
-
Ferner kann im Rahmen der Erfindung vorgesehen sein, dass der Fehler für einen fehlerhaften Funktionsteil spezifisch ist, welcher bei dem Injizieren einen korrekten Funktionsteil der Funktion ersetzt, sodass vorzugsweise die fehlerhafte Funktion gemäß dem fehlerhaften Funktionsteil ausgeführt und/oder bei der Fehlererkennung überwacht wird, und vorzugsweise eine erfolgreiche Detektion des Fehlers durch die Fehlererkennung bei dem Auswerten kontrolliert wird. Die fehlerhafte Funktion kann damit als eine Modifikation und/oder Mutation der bereitgestellten Funktion ausgeführt sein. Bspw. ist es denkbar, dass das Injizieren in der Weise erfolgt, dass anstelle des korrekten Funktionsteils bei der Ausführung der Funktion der fehlerhafte Funktionsteil ausgeführt wird. Hierzu liegt z. B. der fehlerhafte Funktionsteil bereits vor, und es wird zum Injizieren dieser fehlerhafte Funktionsteil aktiviert und der korrekte Funktionsteil deaktiviert (also zwischen den Funktionsteilen umgeschaltet). Nach der Kontrolle der Fehlerkennung kann diese Umschaltung wieder rückgängig gemacht werden, also der korrekte Funktionsteil wieder aktiviert werden. In diesem Fall ist der Fehler z. B. dadurch für den fehlerhaften Funktionsteil spezifisch, dass das Injizieren das (ggf. softwaremäßige, bspw. durch unterschiedliche Programmabläufe bzw. Pfade ermöglichte) Umschalten auf den Fehler in der Form des fehlerhaften Funktionsteils umfasst. Es kann sich daher bei diesen Funktionsteilen um unterschiedliche Codeblöcke (oder Funktionsblöcke) oder dergleichen handeln. Alternativ oder zusätzlich kann der Fehler auch injiziert werden, ohne die Funktion selbst zu verändern. In diesem Fall kann die fehlerhafte Funktion z. B. dadurch ausgeführt werden, dass die Ausführung gemäß dem fehlerhaften Funktionsteil getriggert wird. Hierzu ist der Fehler z. B. dadurch für den fehlerhaften Funktionsteil spezifisch, dass der Fehler in der Form einer vorgegebenen Eingabeinformation der Funktion injiziert wird, welche die Ausführung entsprechend dem fehlerhaften Funktionsteil bewirkt. Durch das Injizieren des Fehlers kann auf diese Weise z. B. ein Fehlerfall bei der Funktion simuliert werden, indem bspw. die Eingabeinformation einer solchen Eingabeinformation entspricht, welche bei einem solchen Fehlerfall vorliegen würde. Dies wird nachfolgend anhand eines Beispiels noch weiter beschrieben.
-
So ist es im Rahmen der Erfindung denkbar, dass das Injizieren dadurch erfolgt, dass eine Eingabeinformation für die Funktion digital und/oder physikalisch vorgegeben wird, wobei die Eingabeinformation für einen fehlerhaften Funktionsteil spezifisch sein kann, insbesondere einer Ausgabeinformation des fehlerhaften Funktionsteils entspricht, um den Fehler bei der Funktion bereitzustellen, insbesondere zu simulieren und/oder auszulösen. Es kann die bereitgestellte Funktion z. B. die Aufnahme und Verarbeitung von Kamerabildern bei dem Fahrzeug umfassen. Dies ist bspw. dann vorgesehen, wenn das Steuergerät als ein Verkehrsschilderkennungssteuergerät ausgeführt ist. Die von einer Kamera des Fahrzeuges zur weiteren Verarbeitung ausgegebenen digitalen Bilder können als erste Art der Eingabeinformation für die Funktion bzw. Ausgabeinformation des fehlerhaften Funktionsteils (im Beispiel also der Kamera) aufgefasst werden, das von der Kamera aufgenommene Abbild der Umgebung des Fahrzeuges ggf. als zweite Art der Eingabeinformation bzw. Ausgabeinformation. Ein Fehlerfall bei der Funktion kann dann vorteilhafterweise dadurch simuliert werden, und somit der Fehler injiziert werden, dass anstelle der korrekten digitalen Bilder gemäß der ersten Art eine fehlerhafte Eingabeinformation als der Fehler (digital) injiziert wird. Es kann sich hierbei um eine vorgegebene Bitmap handeln, welche z. B. für eine Ausgabeinformation der Kamera bei einem Pixelfehler der Kamera oder dergleichen spezifisch ist. In anderen Worten entspricht diese fehlerhafte Eingabeinformation der Eingabeinformation, welche auch bei einem Fehlerfall wie dem Pixelfehler oder dergleichen vorliegen würde. Es handelt sich dabei vorzugsweise um solche Fehlerfälle, welche nicht im regulären Betrieb erwartet werden (z. B. Regen wird regulär als Verschlechterung der Bildqualität der digitalen Bilder erwartet, der Pixelfehler und/oder ein Rauschen und/oder dergleichen hingegen ggf. nicht). Gemäß der zweiten Art kann z. B. ein Anzeigeelement wie ein Monitor oder dergleichen genutzt werden, um die fehlerhafte Eingabeinformation (kurzzeitig für die Kontrolle) an der Kamera anstelle der Umgebung auszugegeben. Hierzu wird bspw. ein optischer Pfad umgeschaltet, um anstelle der Umgebung das Abbild der fehlerhaften Eingabeinformation bei einem Kamerasensor der Kamera zu erzeugen. Das Anzeigeelement kann hierzu z. B. ebenfalls die Bitmap anzeigen, welche für den Fehlerfall spezifisch ist. Es sind gemäß dem vorgenannten Vorgehen somit Beispiele dafür beschrieben, dass bei dem Injizieren die Eingabeinformation für die Funktion digital oder physikalisch vorgegeben wird.
-
Bevorzugt kann im Rahmen der Erfindung vorgesehen sein, dass die ausgeführte Funktion eine redundante Verarbeitung durchführt, wobei vorzugsweise der Fehler nur bei einem Teil der redundanten Verarbeitung injiziert wird, um wenigstens ein fehlerfreies Funktionsergebnis parallel zu wenigstens einem fehlerhaften Funktionsergebnis zu erhalten. Es können somit zwei Verarbeitungsstränge vorgesehen sein, welche somit das Ergebnis der Funktion redundant erzeugen. Eine der Verarbeitungsstränge kann dann zur Injizierung des Fehlers genutzt werden, und somit einen fehlerhaften Funktionsteil bereitstellen. Da der andere Verarbeitungsstrang weiterhin fehlerfrei (korrekt) abläuft, kann weiterhin die Korrektheit der Funktion und/oder der fehlerfreie Betrieb des Fahrzeuges gewährleistet sein. Insbesondere wird bei der weiteren Verwendung des Funktionsergebnisses das Ergebnis verworfen, wenn festgestellt wird, dass die redundanten Funktionsergebnisse nicht übereinstimmen.
-
Außerdem kann es im Rahmen der Erfindung von Vorteil sein, dass das Auswerten der Fehlererkennung den nachfolgenden Schritt umfasst:
- - Feststellen einer korrekten Fehlererkennung, wenn der injizierte Fehler durch die Fehlererkennung detektiert wird, und andernfalls Feststellen einer fehlerhaften Fehlererkennung.
Es kann auf diese Weise insbesondere die Kontrolle der Fehlererkennung in direkter Weise ermöglicht werden, da bei einer fehlerhaften Fehlererkennung der Fehler nicht detektiert wird, und somit der korrekte Betrieb des Steuergeräts nicht mehr gewährleistet ist. Entsprechend kann bei Feststellen der fehlerhaften Fehlererkennung auch ggf. ein Abschalten des Steuergeräts und/oder eine Fehlerausgabe initiiert werden. Damit ist die Absicherung der Funktionsüberwachung zuverlässig möglich.
-
Es ist ferner denkbar, dass die Fehlererkennung zur Funktionsüberwachung wiederholt durchgeführt wird, und das Injizieren des Fehlers und das Auswerten der Fehlererkennung zur Absicherung der Funktionsüberwachung ebenfalls wiederholt mit geringerer Wiederholungsfrequenz durchgeführt wird als die Fehlererkennung. Damit ist gewährleistet, dass das Injizieren des Fehlers nicht den Betrieb des Fahrzeuges negativ oder signifikant beeinflusst.
-
Vorteilhafterweise kann bei der Erfindung vorgesehen sein, dass das Durchführen der Fehlererkennung zumindest die nachfolgenden Schritte umfasst:
- - Ermitteln wenigstens einer Ergebnisinformation der ausgeführten Funktion,
- - Durchführen eines Vergleichs der ermittelten Ergebnisinformation mit einer Vorgabe,
- - Detektieren einer korrekten Funktion anhand des Vergleichs bei einer Übereinstimmung der Ergebnisinformation mit der Vorgabe, und andernfalls Detektieren des Fehlers bei der Funktion.
Auf diese Weise kann z. B. eine Plausibilitätsprüfung der Ergebnisinformation durchgeführt werden, um die Korrektheit der Funktion zu kontrollieren.
-
Von weiterem Vorteil kann vorgesehen sein, dass die Funktion als eine sicherheitsrelevante Funktion des Fahrzeuges ausgeführt ist, welche anhand wenigstens einer Eingabeinformation wenigstens ein Funktionsergebnis ermittelt, wobei vorzugsweise das Fahrzeug anhand des Funktionsergebnisses gesteuert wird und/oder der Betrieb des Fahrzeuges angepasst wird, wobei alternativ oder zusätzlich das Steuergerät ausgebildet ist als:
- - ein Bremssteuergerät, welches eine Bremsung des Fahrzeuges automatisch und/oder elektrisch durchführt, oder
- - ein Lenkungssteuergerät, welches eine Lenkung des Fahrzeuges automatisch und/oder elektrisch durchführt, oder
- - ein Verkehrsschilderkennungssteuergerät, um Verkehrszeichen automatisch anhand der Eingabeinformation in der Form von Kameraaufnahmen zu erkennen, oder
- - ein Steuergerät zum Batteriemanagement einer Fahrzeugbatterie, oder
- - ein Motorsteuergerät, um einen Motor des Fahrzeuges anhand eines gemessenen Moments des Motors anzusteuern.
-
Es kann ferner vorgesehen sein, dass die bereitgestellte Funktion zur Erstellung von wenigstens zwei redundanten Funktionsergebnissen ausgeführt ist, und bei dem Ermitteln des wenigstens einen Funktionsergebnisses wenigstens eines der wenigstens zwei redundanten Funktionsergebnisse ermittelt wird.
-
Ebenfalls Gegenstand der Erfindung ist ein System zur Absicherung einer Funktionsüberwachung eines Steuergeräts eines Fahrzeuges. Hierbei ist vorgesehen, dass das System eine Vorrichtung aufweist, insbesondere eine Datenverarbeitungsvorrichtung und vorzugsweise einen Computer, welche nachfolgende Mittel umfasst:
- - Mittel zum Injizieren eines Fehlers bei einer durch das Steuergerät für das Fahrzeug bereitgestellten Funktion, um die Funktion als eine fehlerhafte Funktion auszuführen,
- - Mittel zum Durchführen einer Fehlererkennung bei dem Steuergerät, um die ausgeführte Funktion zu überwachen,
- - Mittel zum Auswerten der Fehlererkennung in Abhängigkeit von der Injektion des Fehlers, um die Fehlererkennung zu kontrollieren, insbesondere anhand eines Ergebnisses der Fehlererkennung, welches eine fehlerhafte Funktion indiziert.
Damit bringt das erfindungsgemäße System die gleichen Vorteile mit sich, wie sie ausführlich mit Bezug auf ein erfindungsgemäßes Verfahren beschrieben worden sind. Zudem kann das System geeignet sein, ein erfindungsgemäßes Verfahren auszuführen.
-
Gemäß einem weiteren Vorteil kann vorgesehen sein, dass das System das Steuergerät umfasst, um die Funktion bereitzustellen und insbesondere regulär als eine korrekte Funktion auszuführen, und/oder dass das System zur Ausführung eines erfindungsgemäßen Verfahrens ausgebildet ist.
-
Ebenfalls Gegenstand der Erfindung ist ein Computerprogramm, insbesondere Computerprogrammprodukt, zur Absicherung einer Funktionsüberwachung eines Steuergeräts eines Fahrzeuges, umfassend Befehle, die bei der Ausführung des Computerprogramms durch eine Vorrichtung zur Datenverarbeitung diese veranlassen, die nachfolgenden Schritte auszuführen:
- - Injizieren eines Fehlers bei einer durch das Steuergerät für das Fahrzeug bereitgestellten Funktion, um die Funktion als eine fehlerhafte Funktion auszuführen,
- - Durchführen einer Fehlererkennung bei dem Steuergerät, um die ausgeführte Funktion zu überwachen,
- - Auswerten der Fehlererkennung in Abhängigkeit von der Injektion des Fehlers, um die Fehlererkennung zu kontrollieren.
Damit bringt das erfindungsgemäße Computerprogramm die gleichen Vorteile mit sich, wie sie ausführlich mit Bezug auf ein erfindungsgemäßes Verfahren und/oder erfindungsgemäßes System beschrieben worden sind. Es ist ferner denkbar, dass die Befehle dazu ausgeführt sind, das Injizieren und/oder das Durchführen und/oder Auswerten und/oder die weiteren Schritte gemäß einem erfindungsgemäßen Verfahren auszuführen.
-
Weitere Vorteile, Merkmale und Einzelheiten der Erfindung ergeben sich aus der nachfolgenden Beschreibung, in der unter Bezugnahme auf die Zeichnungen Ausführungsbeispiele der Erfindung im Einzelnen beschrieben sind. Dabei können die in den Ansprüchen und in der Beschreibung erwähnten Merkmale jeweils einzeln für sich oder in beliebiger Kombination erfindungswesentlich sein. Es zeigen:
- 1 eine schematische Darstellung eines erfindungsgemäßen Systems,
- 2 eine schematische Darstellung eines erfindungsgemäßen Verfahrens.
-
In den nachfolgenden Figuren werden für die gleichen technischen Merkmale auch von unterschiedlichen Ausführungsbeispielen die identischen Bezugszeichen verwendet.
-
In 1 ist schematisch ein erfindungsgemäßes System zur Absicherung einer Funktionsüberwachung eines Steuergeräts 2 eines Fahrzeuges 1 gezeigt. Dabei kann eine Vorrichtung 10 vorgesehen sein, welche insbesondere als eine Datenverarbeitungsvorrichtung und vorzugsweise als ein Computer ausgebildet ist. Die Vorrichtung 10 kann ferner aufweisen:
- - ein Mittel 11 zum Injizieren eines Fehlers F bei einer durch das Steuergerät 2 für das Fahrzeug 1 bereitgestellten Funktion 201, um die Funktion 201 als eine fehlerhafte Funktion 201 auszuführen,
- - ein Mittel 12 zum Durchführen einer Fehlererkennung 202 bei dem Steuergerät 2, um die ausgeführte Funktion 201 zu überwachen,
- - ein Mittel 13 zum Auswerten der Fehlererkennung 202 in Abhängigkeit von der Injektion des Fehlers F, um die Fehlererkennung 202 zu kontrollieren.
-
Die vorbeschriebene Funktionalität ist in 1 weiter durch die Darstellung von Ebenen 201, 202, 203 visualisiert. In einer ersten Ebene 201 kann eine Funktionsebene vorgesehen sein, welche die Funktionen 201 des Steuergeräts 2 bereitstellt. Hierzu kann die Funktionsebene z. B. durch eine Steuergeräte-Software bereitgestellt sein. Entsprechend sind in der ersten Ebene 201 alle funktionalen Anforderungen umgesetzt und die notwendigen Softwaremodule integriert. Es kann vorgesehen sein, dass die kritischen Pfade dieser Ebene, welche zu einer Fehlfunktion führen können, in einer zweiten Ebene 202 überwacht werden. Diese zweite Ebene 202 kann somit die Fehlererkennung 202 umfassen. Durch eine dritte Ebene 203 kann hingegen die Fehlerinjektion 203 durchgeführt werden, insbesondere in die erste Ebene 201. Dabei kann die zweite Ebene 202 die injizierte Abweichung erkennen und ggf. an die dritte Ebene 203 melden, wie durch einen Pfeil von der Ebene 202 zur Ebene 203 veranschaulicht ist. Wenn die Abweichung gemeldet wird, kann die Korrektheit der Fehlererkennung 202 festgestellt werden. Andernfalls kann ggf. das Steuergerät 2 ausgeschaltet werden.
-
In 2 ist ein erfindungsgemäßes Verfahren zur Absicherung einer Funktionsüberwachung eines Steuergeräts 2 eines Fahrzeuges 1 schematisch visualisiert. Hierbei erfolgt gemäß einem ersten Verfahrensschritt 101 ein Bereitstellen wenigstens einer Funktion 201 für das Fahrzeug 1 durch das Steuergerät 2. Gemäß einem zweiten Verfahrensschritt 102 wird ein Injizieren eines Fehlers F bei der bereitgestellten Funktion 201 durchgeführt, um die Funktion 201 als eine fehlerhafte Funktion 201 auszuführen. Gemäß einem dritten Verfahrensschritt 103 erfolgt ein Durchführen einer Fehlererkennung 202 bei dem Steuergerät 2, um die ausgeführte Funktion 201 zu überwachen. Anschließend erfolgt gemäß einem vierten Verfahrensschritt 104 ein Auswerten der Fehlererkennung 202 in Abhängigkeit von der Injektion des Fehlers F, um die Fehlererkennung 202 zu kontrollieren.
-
Der Fehler F kann für einen fehlerhaften Funktionsteil spezifisch sein, welcher bei dem Injizieren einen korrekten Funktionsteil der Funktion 201 ersetzt, sodass vorzugsweise die fehlerhafte Funktion 201 gemäß dem fehlerhaften Funktionsteil ausgeführt und bei der Fehlererkennung 202 überwacht wird, und eine erfolgreiche Detektion des Fehlers F durch die Fehlererkennung 202 bei dem Auswerten kontrolliert wird. Das Injizieren kann z. B. dadurch erfolgen, dass eine Eingabeinformation für die Funktion 201 digital und/oder physikalisch vorgegeben wird, wobei die Eingabeinformation für einen fehlerhaften Funktionsteil spezifisch ist, insbesondere einer Ausgabeinformation des fehlerhaften Funktionsteils entspricht, um den Fehler F bei der Funktion 201 bereitzustellen, insbesondere zu simulieren und/oder auszulösen.
-
Es ist gemäß dem in 1 und 2 gezeigten Beispiel weiter möglich, dass die ausgeführte Funktion 201 eine redundante Verarbeitung durchführt, wobei der Fehler F nur bei einem Teil der redundanten Verarbeitung injiziert wird, um wenigstens ein fehlerfreies Funktionsergebnis E parallel zu wenigstens einem fehlerhaften Funktionsergebnis E zu erhalten.
-
Es ist ferner denkbar, dass das Steuergerät 2 als ein Bremssteuergerät ausgebildet ist, welches eine Bremsung des Fahrzeuges 1 automatisch und/oder elektrisch durchführt. Auch kann das Steuergerät 2 als ein Lenkungssteuergerät ausgeführt sein, welches eine Lenkung des Fahrzeuges 1 automatisch und/oder elektrisch durchführt, oder als ein Verkehrsschilderkennungssteuergerät ausgeführt sein, um Verkehrszeichen automatisch anhand der Eingabeinformation in der Form von Kameraaufnahmen zu erkennen. Ferner ist die Ausbildung des Steuergeräts 2 als ein Motorsteuergerät möglich, um einen Motor 3 des Fahrzeuges 1 anhand eines gemessenen Moments des Motors 3 anzusteuern.
-
Die voranstehende Erläuterung der Ausführungsformen beschreibt die vorliegende Erfindung ausschließlich im Rahmen von Beispielen. Selbstverständlich können einzelne Merkmale der Ausführungsformen, sofern technisch sinnvoll, frei miteinander kombiniert werden, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
-
Bezugszeichenliste
-
- 1
- Fahrzeug
- 2
- Steuergerät
- 3
- Motor
- 10
- Vorrichtung
- 11,
-
- 12, 13
- Mittel
- 201
- erste Ebene, Funktion, Steuergerät-Software
- 202
- zweite Ebene, Fehlererkennung
- 203
- dritte Ebene, Fehlerinjektion
- E
- Funktionsergebnis
- F
- Fehler
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 4438714 A1 [0003]
- DE 10163655 A1 [0004]
- US 5880568 A [0005]