DE102009045000A1 - Method and data output monitoring unit for ensuring data output from error-free data of a data processing unit to a data bus - Google Patents
Method and data output monitoring unit for ensuring data output from error-free data of a data processing unit to a data bus Download PDFInfo
- Publication number
- DE102009045000A1 DE102009045000A1 DE200910045000 DE102009045000A DE102009045000A1 DE 102009045000 A1 DE102009045000 A1 DE 102009045000A1 DE 200910045000 DE200910045000 DE 200910045000 DE 102009045000 A DE102009045000 A DE 102009045000A DE 102009045000 A1 DE102009045000 A1 DE 102009045000A1
- Authority
- DE
- Germany
- Prior art keywords
- data
- data processing
- processing unit
- unit
- monitoring unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0796—Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
- G06F11/0739—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
- Bus Control (AREA)
Abstract
Description
Stand der TechnikState of the art
Die vorliegende Erfindung bezieht sich auf ein Verfahren zur Sicherstellung einer Datenausgabe von fehlerfreien Daten einer Datenverarbeitungseinheit auf einen Datenbus gemäß Anspruch 1, eine Datenausgabeüberwachungseinheit gemäß Anspruch 6, ein Steuergerät gemäß Anspruch 7, sowie ein Computerprogrammprodukt gemäß Anspruch 8.The present invention relates to a method for ensuring data output from error-free data of a data processing unit to a data bus according to claim 1, a data output monitoring unit according to claim 6, a controller according to claim 7, and a computer program product according to claim 8.
Es gibt viele sicherheitskritische Anwendungen in Steuergeräten, die „Watch-Dog”-Mechanismen (d. h. Überwachungsmechanismen) nutzten. Hierbei wird ein unabhängiger Hardware-Baustein genutzt, der einen Haupt-Mikrocontroller (auch einfach als „Controller” bezeichnet) überwacht. Bei einer Fehlbedienung des Watch-Dog-Mechanismus durch den Controller wird z. B. der Mikrocontroller zurückgesetzt (d. h. ein Reset ausgeführt) oder eine durch den Mikrocontroller gesteuerte sicherheitskritische Funktion gesperrt (beispielsweise bei einem Mikrocontroller, der einen Airbag steuert wird die Auslösung unterdrückt).There are many safety-critical applications in ECUs that use watch-dog mechanisms (ie, monitoring mechanisms). In this case, an independent hardware module is used, which monitors a main microcontroller (also referred to simply as a "controller"). In an incorrect operation of the watch-dog mechanism by the controller is z. For example, if the microcontroller is reset (i.e., a reset is performed) or a safety-critical function controlled by the microcontroller is disabled (for example, in a microcontroller that controls an airbag, tripping is suppressed).
Bei zunehmender Vernetzung von Komponenten, die an einen einzigen Datenbus angeschlossen sind (z. B. bei Datenbussen, die in Fahrzeugen verbaut sind und eine Vielzahl von Sensoren und Steuereinheiten mit Daten versorgen) können aber diese Information, die von einem fehlerhaft arbeitenden Mikrocontroller auf den Datenbus gelegt werden, auch kritische Situationen auslösen. So kann zum Beispiel ein Datenpaket, das von einer fehlerhaft arbeitenden Airbag-Auslöseeinheit irrtümlich auf den Datenbus ausgegeben wird, bei einer anderen Einheit, die an diesen Datenbus angeschlossen ist, zu sicherheitskritischen Fehlverhalten führen. Beispielsweise kann ein fälschlich geschicktes Datenpaket dazu führen, dass ein Befehl zum Abschalten der Servo-Pumpe, der Benzin-Pumpe oder als Auslöse-Kommando für die Absetzung eines Notrufs ausgegeben wird, wobei alle die genannten Funktionen über einen gemeinsamen Datenbus wie den CAN-Bus im Fahrzeug angesteuert werden. Ebenso können Sensorwerte, die für einen korrekte Funktion des elektronischen Stabilisierungsprogramms (ESP) notwendig sind, über einen solchen gemeinsamen Datenbus verteilt werden, so dass auch eine Störung der Datenkommunikation durch einen fehlerhaft arbeitenden Mikrocontroller gravierende Folgen bei der ESP-Ansteuerung auftreten kann und somit eine Gefahr für die Fahrsicherheit des Fahrzeugs darstellt. Falls eine fehlerhaft arbeitende Einheit somit falsche Werte auf den Datenbus liefert, kann dies ernste Folgen haben und sogar zu Unfällen führen.However, as networking of components connected to a single data bus increases (eg, data busses installed in vehicles and providing data to a variety of sensors and controllers), this information, which may be transmitted from a malfunctioning microcontroller to the computer Data bus can be triggered, even critical situations. For example, a data packet that is erroneously output from the malfunctioning airbag trip unit to the data bus at another unit connected to that data bus may result in safety-critical misconduct. For example, a falsely sent data packet may result in a command to shut down the servo pump, the gasoline pump, or as a trigger command for issuing an emergency call, all of these functions being over a common data bus such as the CAN bus be controlled in the vehicle. Likewise, sensor values which are necessary for the correct functioning of the electronic stabilization program (ESP) can be distributed via such a common data bus, so that a disruption of the data communication by a malfunctioning microcontroller can also have serious consequences in the ESP control and thus a Danger to the driving safety of the vehicle. If a malfunctioning unit delivers incorrect values to the data bus, it can have serious consequences and even accidents.
Unabhängige Sicherheitshalbleiter, die beispielsweise in einem eigenen Gehäuse verbaut und verdrahtet sind, können die genannten Watch-Dog-Mechanismen realisieren, um aktiv eine sicherheitskritische Funktion freizuschalten. Bei dem Airbag-System kann ein solcher Sicherheitshalbleiter sogar separat eine Feuer- bzw. Auslöseentscheidung zur Auslösung des Airbags bestimmen, die neben einer guten und fehlerfreien Bedienung des Watch-Dog-Mechanismus durch den Mikrocontroller erfüllt sein muss, damit Airbag-Endstufen tatsächlich aktiviert bzw. „gefeuert” werden. Eine sogenannte „Enable”-Leitung wird dabei genutzt, um die Bestromung der Airbag-Endstufen über geeignete Hardware-Komponenten zu erlauben. Eine Auswertung der Datenkommunikation auf dem Datenbus zur Fehlererkennung wäre zwar prinzipiell möglich, jedoch ist üblicherweise die Semantik der Datenübertragung bzw. die Auswertung der Datenpakete auf den Datenbussen zu komplex, um bestimmte kritische Funktionen durch die Hardware-Komponenten rechtzeitig deaktivieren zu können.Independent security semiconductors, which are installed and wired, for example, in a separate housing, can realize the said watch-dog mechanisms in order to actively activate a safety-critical function. In the airbag system, such a safety semiconductor even separately determine a fire or triggering decision to trigger the airbag, which must be met in addition to a good and error-free operation of the watchdog mechanism by the microcontroller so that airbag power amplifiers actually activated or . "to be fired. A so-called "Enable" line is used to allow the energization of the airbag output stages via suitable hardware components. Although an evaluation of the data communication on the data bus for error detection would in principle be possible, however, the semantics of the data transmission or the evaluation of the data packets on the data buses is usually too complex to be able to deactivate timely certain critical functions by the hardware components.
Die
Offenbarung der ErfindungDisclosure of the invention
Vor diesem Hintergrund wird mit der vorliegenden Erfindung ein Verfahren, weiterhin eine Datenausgabeüberwachungseinheit, ein Steuergerät, das das Verfahren verwendet sowie schließlich ein entsprechendes Computerprogrammprodukt gemäß den unabhängigen Patentansprüchen vorgestellt. Vorteilhafte Ausgestaltungen ergeben sich aus den jeweiligen Unteransprüchen und der nachfolgenden Beschreibung.Against this background, the present invention provides a method, furthermore a data output monitoring unit, a control unit which uses the method and finally a corresponding computer program product according to the independent patent claims. Advantageous embodiments emerge from the respective subclaims and the following description.
Die vorliegende Erfindung schafft ein Verfahren zur Sicherstellung einer Datenausgabe von fehlerfreien Daten einer Datenverarbeitungseinheit auf einen Datenbus, wobei das Verfahren die folgenden Schritte aufweist:
- – Feststellen eines fehlerhaften Betriebs der Datenverarbeitungseinheit durch eine von der Datenverarbeitungseinheit unabhängige Überwachungseinheit; und
- – Sperren einer Ausgabe von Daten der Datenverarbeitungseinheit auf eine Mehrzahl von Datenleitungen eines Datenbusses, wenn die Überwachungseinheit den fehlerhaften Betrieb der Datenverarbeitungseinheit festgestellt hat.
- - detecting an erroneous operation of the data processing unit by an independent of the data processing unit monitoring unit; and
- - Disabling an output of data of the data processing unit on a plurality of data lines of a data bus, when the monitoring unit has detected the erroneous operation of the data processing unit.
Ferner schafft die vorliegende Erfindung eine Datenausgabeüberwachungseinheit zur Sicherstellung einer Datenausgabe von fehlerfreien Daten einer Datenverarbeitungseinheit auf einen Datenbus, wobei die Datenausgabeüberwachungseinheit die folgenden Merkmale aufweist:
- – eine Überwachungseinheit mit einer Schnittstelle zum Empfangen von Kontrolldaten von der Datenverarbeitungseinheit;
- – eine Weiterleitungseinheit zur Steuerung einer Weiterleitung von Daten der Datenverarbeitungseinheit, wobei die Weiterleitungseinheit ausgebildet ist, um die Daten der Datenverarbeitungseinheit nicht an eine Mehrzahl von Datenleitungen des Datenbusses weiterzugeben, wenn durch die Überwachungseinheit auf der Basis der von der Datenverarbeitungseinheit empfangenen Kontrolldaten ein fehlerhafter Betrieb der Datenverarbeitungseinheit festgestellt wurde.
- A monitoring unit having an interface for receiving control data from the data processing unit;
- A forwarding unit for controlling a forwarding of data of the data processing unit, wherein the forwarding unit is designed so as not to forward the data of the data processing unit to a plurality of data lines of the data bus, if the monitoring unit based on the control data received from the data processing unit indicates an erroneous operation of the data processing unit Data processing unit was detected.
Die vorliegende Erfindung schafft ferner ein Steuergerät, das ausgebildet ist, um die Schritte des erfindungsgemäßen Verfahrens durchzuführen, anzusteuern oder umzusetzen. Auch durch diese Ausführungsvariante der Erfindung in Form eines Steuergeräts kann die der Erfindung zugrunde liegende Aufgabe schnell und effizient gelöst werden.The present invention further provides a control device which is designed to carry out, to control or to implement the steps of the method according to the invention. Also by this embodiment of the invention in the form of a control device, the object underlying the invention can be achieved quickly and efficiently.
Unter einem Steuergerät kann vorliegend ein elektrisches Gerät verstanden werden, das Sensorsignale verarbeitet und in Abhängigkeit davon Steuersignale ausgibt. Das Steuergerät kann eine Schnittstelle aufweisen, die hard- und/oder softwaremäßig ausgebildet sein kann. Bei einer hardwaremäßigen Ausbildung können die Schnittstellen beispielsweise Teil eines sogenannten System-ASICs sein, der verschiedenste Funktionen des Steuergeräts beinhaltet. Es ist jedoch auch möglich, dass die Schnittstellen eigene, integrierte Schaltkreise sind oder zumindest teilweise aus diskreten Bauelementen bestehen. Bei einer softwaremäßigen Ausbildung können die Schnittstellen Softwaremodule sein, die beispielsweise auf einem Mikrocontroller neben anderen Softwaremodulen vorhanden sind.In the present case, a control device can be understood as meaning an electrical device which processes sensor signals and outputs control signals in dependence thereon. The control unit may have an interface, which may be formed in hardware and / or software. In the case of a hardware-based design, the interfaces can be part of a so-called system ASIC, for example, which contains various functions of the control unit. However, it is also possible that the interfaces are their own integrated circuits or at least partially consist of discrete components. In a software training, the interfaces may be software modules that are present, for example, on a microcontroller in addition to other software modules.
Von Vorteil ist auch ein Computerprogrammprodukt mit Programmcode, der auf einem maschinenlesbaren Träger wie einem Halbleiterspeicher, einem Festplattenspeicher oder einem optischen Speicher gespeichert ist und zur Durchführung und/oder Ansteuerung von Schritten des Verfahrens nach einem der vorstehend beschriebenen Ausführungsformen verwendet wird, wenn das Programm auf einem Steuergerät oder einer Datenverarbeitungsanlage ausgeführt wird.Also of advantage is a computer program product with program code which is stored on a machine-readable carrier such as a semiconductor memory, a hard disk memory or an optical memory and is used to perform and / or control steps of the method according to one of the embodiments described above, when the program a control unit or a data processing system is executed.
Die vorliegende Erfindung basiert auf der Kenntnis, dass eine schnelle Unterdrückung der Ausgabe von fehlerhaften Daten dadurch erreicht werden kann, dass die Überwachungseinheit die Ausgabe der (fehlerhaften) Daten der Datenverarbeitungseinheit unterdrücken kann, wenn sie eine fehlerhafte Arbeitsweise der Datenverarbeitungseinheit feststellt. Auf diese Weise kann sichergestellt werden, dass nach der Erkennung eines „crazy” Controllers (d. h. einer fehlerhaft arbeitenden Datenverarbeitungseinheit) keine weiteren Daten von diesem Controller mehr auf den Datenbus ausgegeben werden und weitere an den Datenbus angeschlossene Einheiten durch solche fehlerhaften Daten gestört werden.The present invention is based on the knowledge that a quick suppression of the output of erroneous data can be achieved by the supervisor unit being able to suppress the output of the (erroneous) data of the data processing unit when it detects an erroneous operation of the data processing unit. In this way, it can be ensured that after the recognition of a "crazy" controller (ie a malfunctioning data processing unit), no further data is output from this controller to the data bus and further units connected to the data bus are disturbed by such erroneous data.
Die vorliegende Erfindung bietet den Vorteil, dass durch eine einfache Weiterverwendung von bereits vorhandenen Überwachungsmechanismen eine deutliche Verbesserung der Sicherheit der Datenkommunikation auf dem Datenbus möglich ist. Schaltungstechnisch oder numerisch kann die vorliegende Erfindung sehr einfach umgesetzt werden.The present invention offers the advantage that a simple further use of already existing monitoring mechanisms makes it possible to significantly improve the security of the data communication on the data bus. Circuit technology or numerically, the present invention can be implemented very easily.
In einer weiteren Ausführungsform der vorliegenden Erfindung, bei der ein Schritt des Aktivierens eines Sicherheitsmittels eines Fahrzeugs durch die Datenverarbeitungseinheit vorgesehen ist, kann ferner ein Schritt des Überwachens der Aktivierung von dem Sicherheitsmittel durch die Überwachungseinheit vorgesehen sein, wobei im Schritt des Überwachens eine Aktivierung des Sicherheitsmittels durch die Überwachungseinheit unterdrückt wird, wenn die Überwachungseinheit einen fehlerhaften Betrieb der Datenverarbeitungseinheit festgestellt hat. Eine derartige Ausführungsform der vorliegenden Erfindung bietet den Vorteil, dass die Überwachung der Aktivierung des Sicherheitsmittels bereits besondere Maßnahmen erfordert, um eine Fehlauslösung des Sicherheitsmittels zu verhindern. Hierdurch kann auf bereits etablierte Ansätze zur Überwachung der fehlerfreien Funktion der den Datenbus ebenfalls verwendet werden können.In a further embodiment of the present invention, in which a step of activating a security device of a vehicle by the data processing unit is provided, a step of monitoring the activation of the security means by the monitoring unit may further be provided, wherein in the step of monitoring an activation of the security means is suppressed by the monitoring unit when the monitoring unit has detected a faulty operation of the data processing unit. Such an embodiment of the present invention has the advantage that the monitoring of the activation of the security means already requires special measures to prevent a false triggering of the security means. As a result, already established approaches for monitoring the error-free operation of the data bus can also be used.
Auch kann der Schritt des Sperrens unter Verwendung einer Mehrzahl von Treibereinheiten erfolgt, die ausgebildet sind, um je eine Datenleitung des Datenbusses mit Daten der Datenverarbeitungseinheit zu beaufschlagen, wobei im Schritt des Sperrens die Treibereinheiten beim Erkennen eines fehlerhaften Betriebs der Datenverarbeitungseinheit durch ein Sperr-Signal von der Überwachungseinheit in einen inaktiven Modus geschaltet werden, in welchem sie die Datenleitungen des Datenbusses nicht mit Daten der Datenverarbeitungseinheit beaufschlagen. Eine solche Ausführungsform der vorliegenden Erfindung bietet den Vorteil eines einfachen und gleichzeitigen Sperrens der Ausgabe von Daten von der Datenverarbeitungseinheit auf die Datenleitungen des Datenbusses. Auf diese Weise wird schlagartig eine Datenausgabe der Daten der Datenverarbeitungseinheit auf vorzugsweise alle Datenleitungen des Datenbusses unterbunden. Zugleich ist eine derartige Ausführungsform der vorliegenden Erfindung technisch sehr einfach realisierbar.Also, the step of locking may be performed using a plurality of driver units configured to each apply a data line of the data bus to data of the data processing unit, wherein in the step of disabling the driver units upon detection of erroneous operation of the data processing unit by a disable signal be switched by the monitoring unit in an inactive mode in which they do not act on the data lines of the data bus with data from the data processing unit. Such an embodiment of the present invention offers the advantage of simply and simultaneously inhibiting the output of data from the data processing unit to the data lines of the data bus. In this way, a data output of the data of the data processing unit is abruptly prevented on preferably all data lines of the data bus. At the same time, such an embodiment of the present invention is technically very easy to implement.
In einer weiteren Ausführungsform der Erfindung kann im Schritt des Überwachens die Aktivierung des Sicherheitsmittels durch das Beaufschlagen einer entsprechenden Treibereinheit mittels des Sperr-Signals von der Überwachungseinheit erfolgen. Eine solche Ausführungsform der vorliegenden Erfindung bietet den Vorteil, dass Signale bzw. ein Signal aus dem bereits bewährten Konzept der hochsicheren Überwachung einer Datenverarbeitungseinheit im Bereich der Fahrzeugtechnik auf einfache Art und Weise zu Unterdrückung einer Datenausgabe auf einen Fahrzeugdatenbus eingesetzt werden kann. Insbesondere dann, wenn beispielsweise eine Unterdrückung der Ansteuerung des Sicherheitsmittels eine Treibereinheit voraussetzt, die sich von weiteren den Treibereinheiten zur Unterdrückung der Ausgabe der Daten der Datenverarbeitungseinheit unterscheidet, kann durch das gemeinsame Sperr-Signal eine sehr elegante Mehrfachausnutzung des von der Überwachungseinheit ausgegeben Sperr-Signals erfolgen. In a further embodiment of the invention, in the step of monitoring, the activation of the security means by the action of a corresponding driver unit by means of the lock signal from the monitoring unit. Such an embodiment of the present invention has the advantage that signals or a signal from the already proven concept of highly secure monitoring of a data processing unit in the field of vehicle technology can be used in a simple manner to suppress data output to a vehicle data bus. In particular, if, for example, a suppression of the control of the security means requires a driver unit, which differs from further the driver units for suppressing the output of the data of the data processing unit, by the common lock signal, a very elegant multiple utilization of the output from the monitoring unit lock signal respectively.
Auch kann der Schritt des Feststellens auf der Basis einer Datenverarbeitungsaufgabe erfolgen, die der Datenverarbeitungseinheit von der Überwachungseinheit gestellt wird, wobei die Überwachungseinheit einen fehlerhaften Betrieb der Datenverarbeitungseinheit feststellt, wenn die von der Datenverarbeitungseinheit gelieferte Lösung der Datenverarbeitungsaufgabe nicht mit einem von der Überwachungseinheit erwarteten Ergebnis übereinstimmt. Durch eine solche Vorgehensweise kann ohne großen Aufwand und sehr schnell ein fehlerhafter Betrieb der Datenverarbeitungseinheit ohne Auswertung der Kommunikation auf dem Datenbus festgestellt werden.Also, the step of determining may be based on a data processing task performed by the data processing unit by the monitoring unit, wherein the monitoring unit determines erroneous operation of the data processing unit if the data processing task solution provided by the data processing unit does not match a result expected by the monitoring unit , By such an approach, a faulty operation of the data processing unit can be determined without much effort and very quickly without evaluating the communication on the data bus.
Die Erfindung wird nachstehend anhand der beigefügten Zeichnungen beispielhaft näher erläutert. Es zeigen:The invention will now be described by way of example with reference to the accompanying drawings. Show it:
Gleiche oder ähnliche Elemente können in den nachfolgenden Figuren durch gleiche oder ähnliche Bezugszeichen versehen sein, wobei auf eine wiederholte Beschreibung verzichtet wird. Ferner enthalten die Figuren der Zeichnungen, deren Beschreibung sowie die Ansprüche zahlreiche Merkmale in Kombination. Einem Fachmann ist dabei klar, dass diese Merkmale auch einzeln betrachtet werden oder sie zu weiteren, hier nicht explizit beschriebenen Kombinationen zusammengefasst werden können. Weiterhin ist die Erfindung in der nachfolgenden Beschreibung eventuell unter Verwendung von unterschiedlichen Maßen und Dimensionen erläutert, wobei eine Nennung dieser Maße und Dimensionen nicht dahingehend zu verstehen ist, dass die Erfindung auf diese Maße und Dimensionen eingeschränkt zu verstehen ist.The same or similar elements may be provided in the following figures by the same or similar reference numerals, wherein a repeated description is omitted. Furthermore, the figures of the drawings, the description and the claims contain numerous features in combination. It is clear to a person skilled in the art that these features are also considered individually or that they can be combined to form further combinations not explicitly described here. Furthermore, the invention in the following description may be explained using different dimensions and dimensions, wherein a mention of these dimensions and dimensions is not to be understood as meaning that the invention is limited to these dimensions and dimensions.
Um nun sicherzustellen, dass das Sicherheitsmittel
Ist dies nicht der Fall, kann die Auslösung des Sicherheitsmittels
Und nun sicherzustellen, dass keine Daten vom Mikrocontroller
Unter einer Treibereinheit
Zusammenfassen kann somit ausgeführt werden, dass wenn der Controller
Im Falle von einem „crazy”-Controller (d. h. einer fehlerhaft arbeitenden Danteverarbeitungseinheit), indiziert durch eine Fehlbedienung des Watch-Dog-Mechanismus des Sicherheitshalbleiters
ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.
Zitierte PatentliteraturCited patent literature
- DE 102005048037 A1 [0005] DE 102005048037 A1 [0005]
Claims (8)
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE200910045000 DE102009045000A1 (en) | 2009-09-25 | 2009-09-25 | Method and data output monitoring unit for ensuring data output from error-free data of a data processing unit to a data bus |
| PCT/EP2010/064103 WO2011036235A2 (en) | 2009-09-25 | 2010-09-24 | Method and data output monitoring unit for ensuring output of error-free data from a data processing unit to a data bus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE200910045000 DE102009045000A1 (en) | 2009-09-25 | 2009-09-25 | Method and data output monitoring unit for ensuring data output from error-free data of a data processing unit to a data bus |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| DE102009045000A1 true DE102009045000A1 (en) | 2011-03-31 |
Family
ID=43618192
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DE200910045000 Pending DE102009045000A1 (en) | 2009-09-25 | 2009-09-25 | Method and data output monitoring unit for ensuring data output from error-free data of a data processing unit to a data bus |
Country Status (2)
| Country | Link |
|---|---|
| DE (1) | DE102009045000A1 (en) |
| WO (1) | WO2011036235A2 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2025109077A1 (en) | 2023-11-22 | 2025-05-30 | Robert Bosch Gmbh | Method for preventing the execution of malicious code on a control device |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102005048037A1 (en) | 2005-10-07 | 2007-04-12 | Robert Bosch Gmbh | Method for controlling / regulating at least one task |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3211265C2 (en) * | 1982-03-26 | 1984-06-20 | Siemens AG, 1000 Berlin und 8000 München | Two-channel fail-safe microcomputer switchgear, especially for railway safety systems |
| DE3938501A1 (en) * | 1989-11-20 | 1991-05-23 | Siemens Ag | METHOD FOR OPERATING A MULTI-CHANNEL FAILSAFE COMPUTER SYSTEM AND DEVICE FOR IMPLEMENTING THE METHOD |
| DE4124987A1 (en) * | 1991-07-27 | 1993-01-28 | Bosch Gmbh Robert | SYSTEM FOR CONTROLLING SAFETY-RELEVANT SYSTEMS |
-
2009
- 2009-09-25 DE DE200910045000 patent/DE102009045000A1/en active Pending
-
2010
- 2010-09-24 WO PCT/EP2010/064103 patent/WO2011036235A2/en not_active Ceased
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102005048037A1 (en) | 2005-10-07 | 2007-04-12 | Robert Bosch Gmbh | Method for controlling / regulating at least one task |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2025109077A1 (en) | 2023-11-22 | 2025-05-30 | Robert Bosch Gmbh | Method for preventing the execution of malicious code on a control device |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2011036235A3 (en) | 2011-05-26 |
| WO2011036235A2 (en) | 2011-03-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE102012204176B4 (en) | System and method for bit error rate monitoring | |
| EP2823430B1 (en) | Electronic control system | |
| DE10057916C2 (en) | Control device for a restraint system in a motor vehicle | |
| WO2017108675A1 (en) | Monitoring and modifying motor vehicle functions in a motor vehicle | |
| DE102013208690A1 (en) | Method and device for detecting a polarity of a freewheeling diode, actuator circuit and safety device for a vehicle | |
| EP1401690A1 (en) | Method for actuating a component of a distributed security system | |
| DE10236080A1 (en) | Process flow control method, especially for use with a motor vehicle CAN bus automation system, wherein if a function unit is faulty it is prevented from communicating with the bus by disabling its bus driver | |
| WO2015010756A1 (en) | Method and electronic circuit assembly for the redundant signal processing of a safety-relevant application, motor vehicle brake system, motor vehicle having said motor vehicle brake system, and use of such an electronic circuit assembly | |
| WO2018065016A1 (en) | Communication data authentication device for a vehicle | |
| EP2610103A1 (en) | Method and apparatus for controlling an actuator and occupant protection system | |
| DE102012210233A1 (en) | Method and control unit for detecting an impact of a collision object on a vehicle | |
| DE102017011685A1 (en) | Method and device for processing alarm signals | |
| DE102011087063A1 (en) | Control computer system for controlling e.g. brake system of motor vehicle, has switching-off signal masking module arranged in path between emergency module and module to mask switching-of signal and integrated into circuit on substrate | |
| DE102009045000A1 (en) | Method and data output monitoring unit for ensuring data output from error-free data of a data processing unit to a data bus | |
| WO2016071034A1 (en) | Checking device for data preparation device | |
| EP3466019B1 (en) | Interface with interrupt for a vehicle | |
| DE10252990B3 (en) | Control unit for a motor vehicle occupant safety system, especially an airbag system, has additional AND gates in addition to dual controlling computers to ensure reliable detection and resetting of a faulty computer unit | |
| DE102015215847B3 (en) | Device and method for increasing the functional safety in a vehicle. | |
| DE102013202482A1 (en) | Error signal handling apparatus for use in electronic controller of heavy vehicle, has processing device outputting condition signal if error signal is received within given delay time, and otherwise omitting outputting of condition signal | |
| DE102019216342B3 (en) | Evaluation device for fault-tolerant evaluation of sensor signals for an engine control device of a motor vehicle steering system | |
| DE69911255T2 (en) | MICROPROCESSOR MODULE WITH RESETTING DEVICE AND METHOD THEREFOR | |
| DE10230485A1 (en) | Occupant protection device | |
| WO2008086925A1 (en) | Control device and method for controlling personal protection means | |
| DE102015203253A1 (en) | Safety circuit unit | |
| DE102015119611A1 (en) | Improving the diagnosability of fail-operational systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| R012 | Request for examination validly filed | ||
| R016 | Response to examination communication | ||
| R084 | Declaration of willingness to licence |