[go: up one dir, main page]

DE102024203383A1 - Verfahren und ein System zur Aktivierung einer sicherheitsrelevanten Funktion eines Fahrzeuges - Google Patents

Verfahren und ein System zur Aktivierung einer sicherheitsrelevanten Funktion eines Fahrzeuges

Info

Publication number
DE102024203383A1
DE102024203383A1 DE102024203383.9A DE102024203383A DE102024203383A1 DE 102024203383 A1 DE102024203383 A1 DE 102024203383A1 DE 102024203383 A DE102024203383 A DE 102024203383A DE 102024203383 A1 DE102024203383 A1 DE 102024203383A1
Authority
DE
Germany
Prior art keywords
asil
control units
control unit
safety
test
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102024203383.9A
Other languages
English (en)
Inventor
Peter Schneider
Heiko Freienstein
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102024203383.9A priority Critical patent/DE102024203383A1/de
Priority to US19/173,383 priority patent/US20250319888A1/en
Priority to CN202510453148.9A priority patent/CN120817085A/zh
Publication of DE102024203383A1 publication Critical patent/DE102024203383A1/de
Pending legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/021Means for detecting failure or malfunction
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • B60W2050/041Built in Test Equipment [BITE]

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Verfahren und System (100) zur Aktivierung einer sicherheitsrelevanten Funktion eines Fahrzeuges, das Fahrzeug und/oder das System (100) aufweisend n ASIL-Steuergeräte (300), mindestens ein zu überwachendes Steuergerät (302) und ein Funktionssteuergerät (304).

Description

  • Die Erfindung betrifft ein Verfahren und ein System zur Aktivierung einer sicherheitsrelevanten Funktion eines Fahrzeuges.
  • Stand der Technik
  • In der heutigen Automobilbranche spielen diverse Steuergeräte eine entscheidende Rolle für die Sicherheit, Leistungsfähigkeit und Funktionalität von Fahrzeugen, beispielsweise Robotik-Fahrzeugen oder Kraftfahrzeugen, insbesondere Kraftfahrzeugen mit Funktionen zur Automatisierung oder Teilautomatisierung der Fahraufgabe. Diese Steuergeräte realisieren eine Vielzahl von sicherheitsrelevanten Funktionen, die oft mit einem ASIL (Automotive Safety Integrity Level) klassifiziert sind.
  • Steuergeräte, welche sicherheitsrelevante Funktionen realisieren, sog. ASIL-Steuergeräte, sind durch eine Reihe aufwändiger interner Maßnahmen abgesichert, die darauf abzielen, potenzielle Hardware- oder Softwarefehler zu erkennen und zu kontrollieren. Dabei werden spezifische Sicherheitsziele umgesetzt, um gefährliche Fehlfunktionen zu vermeiden oder zu kontrollieren, und zwar in verschiedenen Fahrzeugsystemen wie beispielhaft dem ESP-System, dem Airbag-System, den Radar- und Video-ADAS-Systemen sowie dem Electronic-Power-Steering-System. Diese Sicherheitsziele reichen von der Vermeidung fehlerhafter automatisierter Bremsvorgänge bis hin zur Gewährleistung, dass Airbags nur in Crash-Szenarien ausgelöst werden.
  • Die Sicherheit und Integrität dieser ASIL-Steuergeräte werden durch eine Vielzahl von Sicherheitsmaßnahmen gewährleistet, die in die Software und Hardware, typischerweise als in Software implementierte sicherheitsrelevante Überwachungsfunktionen, integriert sind. Insbesondere wird die korrekte Ausführung sicherheitsrelevanter Softwarefunktionen während der Laufzeit durch anwendungsagnostische Maßnahmen in der Basis-Software und spezialisierte Hardwareelemente innerhalb der ASIL-Steuergeräte überprüft. Zu diesen Maßnahmen gehören unter anderem das Program-flow-checking, redundantes Rechnen mit anschließendem Ergebnisvergleich, die Verwendung von Checksummen und Error-correction-codes sowie das Monitoring von Compute-Ressourcen und die Laufzeitüberwachung einzelner Softwareprozesse.
  • Diese ASIL-Steuergeräte können auch als „sichere“ Recheneinheit verstanden werden, wobei man unter einer sicheren Recheneinheit eine Recheneinheit versteht, die eine vergleichsweise hohe Sicherheitsanforderungsstufe (z.B. ASIL-A/B/C/D) aufweist, beziehungsweise die eine starke Unabhängigkeit von einer zu überwachenden Einheit aufweist, insbesondere derart, dass potenziell gefährliche Fehler in der zu überwachenden Recheneinheit nicht gleichzeitig auch zu gefährlichen Fehlfunktionen in der „sicheren“ Recheneinheit führen.
  • Aus der Druckschrift DE 10 2008 043 089 A1 ist ein Verfahren zur Überwachung der Funktionsfähigkeit eines elektronischen Bausteins bekannt, bei welchem dem elektronischen Baustein eine einen Fahrzustand des Kraftfahrzeugs betreffende Größe als Eingangssignal zugeführt und ein Ausgangssignal des elektronischen Bausteins an eine elektronische Recheneinheit weitergeleitet wird, in der dieses Ausgangssignal mit diversitären Softwarealgorithmen weiterverarbeitet wird. Die Ausgaben der diversitären Softwarealgorithmen werden anschließend in einem Komparator miteinander verglichen.
  • Es ist eine Aufgabe der Erfindung, ein verbessertes Verfahren und/oder ein System zur Überwachung und/oder Aktivierung einer sicherheitsrelevanten Funktion eines Fahrzeuges anzugeben.
  • Die Aufgabe wird gelöst durch ein Verfahren gemäß den Merkmalen des Patentanspruchs 1. Die Aufgabe wird gelöst durch ein System gemäß den Merkmalen des Patentanspruchs 12.
  • Offenbarung der Erfindung
  • Gemäß einem ersten Aspekt wird vorgeschlagen, ein Verfahren zur Überwachung und/oder Aktivierung und/oder Nicht-Aktivierung einer sicherheitsrelevanten Funktion eines Fahrzeuges, das Fahrzeug aufweisend n ASIL-Steuergeräte, mindestens ein zu überwachendes Steuergerät (QM-Steuergerät) und ein Funktionssteuergerät, wobei n ≥ 2, das Verfahren aufweisend die Schritte:
    • Bereitstellen von Test- und/oder Konfigurationsdaten durch ein erstes der n ASIL-Steuergeräte an mindestens ein weiteres der n-1 ASIL-Steuergeräte und an das mindestens eine Steuergerät;
    • Verarbeiten der bereitgestellten Test- und/oder Konfigurationsdaten durch das mindestens eine Steuergerät zum Erzeugen mindestens einer Diagnosebotschaft;
    • Bereitstellen der mindestens einen, erzeugten Diagnosebotschaft zumindest an das erste der n ASIL-Steuergeräte und das mindestens eine weitere der n-1 ASIL-Steuergeräte durch das mindestens eine Steuergerät;
    • Überprüfen der mindestens einen, erzeugten Diagnosebotschaft, insbesondere unter Verwendung der bereitgestellten Test- und/oder Konfigurationsdaten, durch das erste der n ASIL-Steuergeräte und das mindestens eine weitere der n-1 ASIL-Steuergeräte zum Bereitstellen eines Prüfungsergebnisses;
    • Bereitstellen jeweils mindestens eines Bestätigungssignals durch das erste der n ASIL-Steuergeräte und das mindestens eine weitere der n-1 ASIL-Steuergeräte auf Basis des Prüfungsergebnisses an das Funktionssteuergerät;
    • Überprüfen, durch das Funktionssteuergerät, eines Erhalts und eines Status des jeweils bereitgestellten Bestätigungssignals; und
    • Übermitteln von Nutzdaten des mindestens einen Steuergerätes an das Funktionssteuergerät und Aktivieren der sicherheitsrelevanten Funktion auf Basis der übermittelten Nutzdaten, wenn alle Bestätigungssignale erhalten wurden und in Abhängigkeit eines jeweiligen Status des jeweiligen Prüfungsergebnisses, beispielsweise wenn der Status aller bereitgestellten Bestätigungssignale „OK“ ist, oder Nicht-Aktivieren der sicherheitsrelevanten Funktion auf Basis der übermittelten Nutzdaten, wenn mindestens ein Bestätigungssignal nicht erhalten wurde oder in Abhängigkeit des jeweiligen Status des jeweiligen Prüfungsergebnisses, beispielsweise wenn der Status mindestens eines der bereitgestellten Bestätigungssignale „nicht OK“ ist.
  • Das zu überwachende Steuergerät, auch QM-Steuergerät genannt, ist vorzugsweise ein Steuergerät ohne Sicherheitsgarantien bzgl. einer korrekten Funktionsweise. Ein Funktionssteuergerät kann ggf. auch gleichzeitig als ASIL-Steuergerät ausgebildet sein und kann damit Teil eines Überwachungsverbunds sein. Das Funktionssteuergerät ist vorzugsweise ein Gerät, das Daten des QM-Steuergerätes nutzt, um beispielsweise aktiv sicherheitsrelevante Funktionen, zum Beispiel eine automatisierte Fahrfunktion, zu kontrollieren.
  • Das Prüfungsergebnis kann beispielsweise einen Status „OK/NOK“ aufweisen. Dies sind jedoch nur beispielhafte Ausführungen wie ein Prüfungsergebnis angezeigt werden kann. Das Prüfungsergebnis kann beispielsweise auch als ein Status „Fehlerfrei/Fehler“ oder als eine komplexere Status-Information, die beispielsweise mehr als zwei Zustandsinformationen aufweist, bestehen oder mehrere Formate kombinieren. Beispielhaft könnte eine Prüfungsergebnis sein: „OK seit Zeitraum X“; „nicht OK seit Zeitraum Y“ oder "nicht OK bzgl. Diagnose 1; oder „OK bzgl. Diagnose 2“; oder „OK bzgl. Diagnose 3“; oder „nicht OK bzgl. Diagnose 4“; usw.
  • Es versteht sich, dass die erfindungsmäßen Schritte sowie weitere optionale Schritte nicht notwendigerweise in der aufgezeigten Reihenfolge ausgeführt werden müssen, sondern auch in einer anderen Reihenfolge ausgeführt werden können. Ferner können weitere Zwischenschritte vorgesehen sein. Die einzelnen Schritte können zudem einen oder mehrere Unterschritte umfassen, ohne dass hierdurch der Umfang des erfindungsgemäßen Verfahrens verlassen wird.
  • Gemäß einem zweiten Aspekt wird vorgeschlagen, ein System zur Überwachung und/oder Aktivierung und/oder Nicht-Aktivierung einer sicherheitsrelevanten Funktion eines Fahrzeuges, das System aufweisend n ASIL-Steuergeräte, mindestens ein zu überwachendes Steuergerät und ein Funktionssteuergerät, wobei n ≥ 2,
    wobei ein erstes der n ASIL-Steuergeräte dazu eingerichtet ist, Test- und/oder Konfigurationsdaten an mindestens ein weiteres der n-1 ASIL-Steuergeräte und an das mindestens eine Steuergerät bereitzustellen;
    wobei das mindestens eine Steuergerät dazu eingerichtet ist, die bereitgestellten Test- und/oder Konfigurationsdaten zum Erzeugen mindestens einer Diagnosebotschaft zu verarbeiten; und die mindestens eine, erzeugte Diagnosebotschaft zumindest an das erste der n ASIL-Steuergeräte und das mindestens eine weitere der n-1 ASIL-Steuergeräte bereitzustellen;
    wobei das erste der n ASIL-Steuergeräte (auch ASIL-SG) und das mindestens eine weitere der n-1 ASIL-Steuergeräte jeweils dazu eingerichtet sind, die mindestens eine, erzeugte Diagnosebotschaft, insbesondere unter Verwendung der bereitgestellten Test- und/oder Konfigurationsdaten, zum Bereitstellen eines Prüfungsergebnisses zu überprüfen, und jeweils mindestens eine Bestätigungssignal auf Basis des Prüfungsergebnisses an das Funktionssteuergerät bereitzustellen;
    wobei das Funktionssteuergerät dazu eingerichtet ist, einen Erhalt und einen Status des jeweils bereitgestellten Bestätigungssignals zu überprüfen;
    wobei das mindestens eine Steuergerät (auch QM-SG) dazu eingerichtet ist, Nutzdaten an das Funktionssteuergerät zu übermitteln, und wobei das Funktionssteuergerät dazu eingerichtet ist, die sicherheitsrelevante Funktion auf Basis der übermittelten Nutzdaten zu aktivieren, wenn alle Bestätigungssignale erhalten wurden und in Abhängigkeit eines jeweiligen Status des jeweiligen Prüfungsergebnisses, beispielsweise wenn ein Status aller bereitgestellten Bestätigungssignale „OK“ ist, oder die sicherheitsrelevante Funktion auf Basis der übermittelten Nutzdaten nicht zu aktivieren, wenn mindestens ein Bestätigungssignal nicht erhalten wurde oder in Abhängigkeit des jeweiligen Status des jeweiligen Prüfungsergebnisses, beispielsweise, wenn der Status mindestens eines der bereitgestellten Bestätigungssignale „nicht OK“ ist.
  • Die für das Verfahren gemachten Ausführungen gelten für das System entsprechend. Dabei versteht es sich, dass sprachliche Abwandlungen von verfahrensmäßig formulierten Merkmalen nach sprachüblicher Praxis für das System umformulierbar sind, ohne dass derartige Formulierungen explizit hier aufgeführt werden müssen.
  • In einem weiteren Aspekt wird ein Fahrzeug beansprucht, dass mindestens ein solches System aufweist. Das Fahrzeug kann ein PKW (Personenkraftwagen), insbesondere ein Auto, das für den Transport von Personen konzipiert ist, wie eine Limousine, ein Kombi, ein SUV, und/oder ein Cabrio sein. Das Fahrzeug kann ein LKW (Lastkraftwagen) sein. Lastkraftwagen werden für den Transport von Gütern verwendet und sind in verschiedenen Größen und Konfigurationen vorhanden, darunter Sattelzugmaschinen, Planen-LKW, Kipper, Tankwagen usw. Das Fahrzeug kann ein Bus sein, der dem Transport von Passagieren auf öffentlichen oder privaten Routen dient, und unterschiedliche Kapazitäten haben kann, beispielsweise von einem Kleinbus bis hin zu einem (Mehr-) Gelenkbus. Das Fahrzeug kann ein Motorrad, also ein zweirädriges Fahrzeug, sein, das von einer oder zwei Personen betrieben wird. Das Fahrzeug kann ein e-Bike sein. Das Fahrzeug kann ein Zug bzw. ein Schienenfahrzeug sein. Das Fahrzeug kann ein Flugzeug bzw. ein Luftfahrzeug sein, das für den Transport von Passagieren und/oder Fracht in der Luft konzipiert ist. Das Fahrzeug kann ein Schiff oder ein Boot, allgemein ein Wasserfahrzeug sein, beispielsweise Segelboote, Motorboote, Frachtschiffe, Kreuzfahrtschiffe, Fähren usw., das für den Transport von Personen und/oder Gütern über Wasser verwendet wird. Das sind nur Beispiele für eine Vielfalt der Fahrzeuge, die in verschiedenen Bereichen des Transports eingesetzt werden.
  • Das bevorzugte Fahrzeug, beispielsweise ein Robotik-Fahrzeug oder ein Kraftfahrzeug, verfügt über mehrere ASIL-Steuergeräte (Automotive Safety Integrity Level), die für die Sicherheit relevant sind. Es gibt mindestens zwei solcher Steuergeräte. Ferner umfasst das Fahrzeug mindestens ein QM-Steuergerät, welches besondere Merkmale bzgl. der Rechenleistung (z.B. in einer Ausführung als ein besonders leistungsfähiges High-Performance-Compute Steuergerät) und/oder Kosten (z.B. in einer besonders kostengünstigen Ausführung) aufweist. Dieses Steuergerät empfängt Test- und Konfigurationsdaten von einem der ASIL-Steuergeräte. Das mindestens eine Steuergerät verarbeitet die empfangenen Daten und erzeugt mindestens eine Diagnosebotschaft. Die mindestens eine erzeugte Diagnosebotschaft wird von den (vorzugsweise allen oder zumindest einem Teil) ASIL-Steuergeräten überprüft, um ein Prüfungsergebnis zu liefern. Basierend auf den Prüfungsergebnissen stellen die ASIL-Steuergeräte Bestätigungssignale bereit. Die Prüfungsergebnisse werden vorzugweise pro ASIL-Steuergerät erzeugt, d.h., jedes oder zumindest ein vorbestimmter Teil der ASIL-Steuergeräte gibt ein Prüfungsergebnis beispielsweise in Form eines „OK“-Status oder eines „nicht OK“-Status aus. Das Funktionssteuergerät überprüft den Erhalt und den Status der bereitgestellten Bestätigungssignale. Basierend auf den übermittelten Nutzdaten und/oder dem Status der Bestätigungssignale entscheidet das Funktionssteuergerät dann vorzugsweise, ob die sicherheitsrelevanten Funktionen aktiviert oder deaktiviert werden sollen.
  • Vorliegend werden die von dem mindestens einen QM-SG gesendeten funktionalen Nutzdaten (z.B. Steuerbefehl „Bremsen“) durch das Funktionssteuergerät (z.B. ESP-System) nur dann für sicherheitsrelevante Funktionen verwendet, wenn die Überwacher-ASIL-SG eine Fehlerfreiheit des QM-SG durch ein entsprechendes Bussignal signalisieren („Totmannschalter Prinzip“).
  • Dabei kann eine bewusste Überdimensionierung der Anzahl der gemäß Sicherheitsstandards mindestens geforderten ASIL-SG bevorzugt sein, z.B. nach Sicherheitsstandards mindestens 2x B(D) gefordert, wobei Auslegung des ASIL-SG mit 3x B(D) erfolgt. Daraus ergeben sich mehrere innovative Vorteile und Zusatzfunktionen. Derartige Sicherheitsfunktionen darin bestehen, dass derartig ausgebildete Überwacher-ASIL-SG im Betrieb Updates erhalten können, was z.B. notwendig ist, wenn dem SG-Verbund neue zu überwachende QM-SG und/oder Software-Funktionen hinzugefügt werden. Ferner können sich dekomponierte und/oder redundante Überwacher-ASIL-SG im Betrieb gegenseitig bezüglich latenter Fehler testen. So wird insbesondere nach einem SW-Update eines Überwacher ASIL-SG von den mindestens zwei weiteren Überwacher-ASIL-SG überprüft, ob (ggf. zu Testzwecken temporär simulierte Fehler) im zu überwachenden QM-SG auch nach dem Software-Update zuverlässig und/oder rechtzeitig erkannt und/oder signalisiert werden. Dabei kann das Testen der Überwacher-ASIL-SG durch Diagnose-Botschaften erfolgen, welche von den überprüften Überwacher-ASIL-SG beispielsweise mit einem speziellen Signaturwert beantwortet werden können, um eine Korrektheit eines auf dem oder den Überwacher-ASIL-SG zuvor eingespielten Updates sicherzustellen. Ferner bleiben bei einem Ausfall und/oder einer Passivierung und/oder einem Abschalten einer Überwacher-ASIL-SG der n ASIL-SG immer noch ausreichend viele Überwacher-ASIL-SG aktiv, so dass das zu überwachende QM-SG seine sicherheitsrelevanten Funktionen weiterhin ausführen kann.
  • Vorliegend wird ein Verfahren zur insbesondere verteilten Überwachung von mindestens einem QM-SG durch einen Überwacher-Verbund aus ASIL-SG mittels spezieller Fehlerdiagnose-Botschaften bereitgestellt. Mehrere ASIL-SG sind bereits in allen heutigen Fahrzeug-Architekturen vorhanden, so dass vorzugsweise nur Software-seitig oder ergänzt um eine geringfügige Hardwareseitige Änderung eine Implementierung des Verfahrens in bestehende Fahrzeugstrukturen möglich ist. Somit wird die Möglichkeit des Retrofits gegeben. Das Verfahren bietet eine gegenseitige Überprüfung und/oder ein Testen der sicherheitsrelevanten Überwachungsfunktionen zwischen mehreren ASIL-SG zur Laufzeit. Dies kann insbesondere nach Konfigurationsänderungen, z.B. einem Software-Update oder nach einer Integration eines neuen Steuergerätes vorteilhaft sein. Das vorliegende Verfahren bietet somit eine verbesserte Updatefähigkeit der ASIL-SG im Überwacher-Verbund, insbesondere auch für sicherheitsrelevante Funktionen. Ferner kann bei einer Überdimensionierung der Anzahl und/oder Sicherheitsintegritätslevel der an einer Überwachung beteiligten ASIL-SG (z.B. 3x B(D)) eine erhöhte Ausfallsicherheit im Betrieb durch Redundanzen gewährleistet werden. Ferner können durch das Verfahren sehr kompakte Fehlerdiagnose-Botschaften ausgegeben werden, was eine Implementierung des Verfahrens mit wenig zusätzlichen Kommunikationsressourcen und/oder Bussignalen ermöglicht. Auch kann eine ressourceneffiziente Überprüfung der Fehldiagnose-Botschaften in den vergleichsweise bzgl. Compute-Ressourcen stark begrenzenten ASIL-SG bereitgestellt werden, was eine einfache Integration in bestehende E/E-Architekturen möglich macht.
  • QM-Steuergeräte können beispielweise als besonders leistungsfähige Zentral- und/oder Zonensteuergeräte ausgeführt sein, welche selbst keinen direkten Zugriff auf sicherheitsrelevante Aktuatoren (z.B. Servo-Motor im Electronic-Power-Steering-System; Hydraulikpumpen im ESP-System) haben, sondern ihre Steuerbefehle über Netzwerk- bzw. Busbotschaften bereitstellen. In einer anderen Realisierung können auch Zentral- und/oder Zonensteuergeräte die Rolle als ASIL-SG ausgeführt sein und QM-SGs überwachen.
  • Das Steuergeräte-übergreifende Safety-Konzept ermöglicht eine kostengünstigere Ausführung der Überwachungen auf bereits vorhandenen ASIL-SG (zum Beispiel Aktuator- und/oder Sensor-SG) in den Fahrzeugarchitekturen. Um sicherzustellen, dass die Überwachung der sicherheitsrelevanten Funktionen kosteneffizient erfolgt, wird dabei ein Safety-Konzept implementiert, das über die einzelnen Steuergeräte hinweg greift. Dadurch können bereits vorhandene ASIL-Steuergeräte wie Aktuator- oder Sensor-Steuergeräte in der Fahrzeugarchitektur genutzt werden, um die Sicherheitsüberwachungen durchzuführen.
  • Die verteilten Überwachungsfunktionen werden vorzugsweise durch zusätzliche Software-Funktionen implementiert und können auf verschiedenen QM-SG verwendet werden, ohne dass spezielle Hardware oder Software (zum Beispiel Betriebssysteme oder Middleware) vorausgesetzt werden. Mit anderen Worten sieht das vorliegende Safety-Konzept dabei vor, dass die Überwachungsfunktionen ohne zusätzliche Hardware oder spezielle Software auf den QM-SG implementiert werden können. Dadurch wird sichergestellt, dass das Sicherheitskonzept auch für zukünftige Änderungen der QM-SG, wie Hardware-Upgrades oder Software-Änderungen, ohne erneute Zertifizierung gültig bleibt.
  • Es ist besonders bevorzugt, dass auch die überwachenden ASIL-Steuergeräte insbesondere regelmäßig Software-Updates erhalten können und dabei die Sicherheitsintegrität der Fahrzeugsysteme aufrechterhalten. Während dieser Updates kann die Überwachung der QM-SG vorübergehend von anderen ASIL-Steuergeräten und/oder einem speziellen „Überwachungs-Verbund“ bzw. „Überwacher“-Verbund übernommen werden, um mögliche Sicherheitsrisiken zu minimieren.
  • Das vorliegende Verfahren ermöglicht eine Überprüfung der „korrekten“ Ausführung von sicherheitsrelevanten Software-Funktionen in Funktionssteuergeräten zur Laufzeit über das Erstellen von Diagnosebotschaften, die in einem vernetzten Verbund an ASIL-Steuergeräten ausgetauscht werden. Dabei kann eine vorteilhafte Kombination verschiedener Sicherheitsmechanismen dazu dienen, um die zu übertragenen Größen und Anzahl der im Steuergeräte-Verbund übertragenen Diagnosebotschaften gering zu halten, und dies bei gleichbleibender hoher Fehlerabdeckung. Das Verfahren ermöglicht die Überwachung von High-Performance QM-SG (d.h. SG die selbst keine (A)SIL-Anforderungen bzgl. Fehlerdiagnose erfüllen) durch mehrere (lowperformance & low-cost) Überwacher-ASIL-SG. Dabei basiert die Überwachung auf dem Prinzip verteilt erzeugter Diagnosesignale zur Identifikation von insbesondere transienten, permanenten und/oder latenten Fehlern in der Ausführung von Anwendungs-Software.
  • Die vorliegend bereitgestellte, verteilte Integritätsüberwachung erleichtert und vergünstigt Änderungen am Steuergeräte-Verbund für sicherheitsrelevante Verarbeitungsketten, insbesondere auch während der Lebenszeit eines Fahrzeugs, und erleichtert damit die Umsetzung von Geschäftsmodellen, wie Software- und/oder Hardware-basierten Funktionsupgrades und/oder „Funktion als Service“-Geschäftsmodellen.
  • In einem weiteren Aspekt weist das Bereitstellen der mindestens einen, erzeugten Diagnosebotschaft ferner ein Bereitstellen von funktionalen Nutzdaten, insbesondere in Form von Bussignalen, durch das mindestens eine Steuergerät auf.
  • Das Steuergerät erzeugt mindestens eine Diagnosebotschaft, die vorzugsweise Informationen über den Zustand oder die Funktionalität des Steuergerätes umfasst. Neben der mindestens einen Diagnosebotschaft stellt das Steuergerät vorzugsweise funktionale Nutzdaten bereit. Diese Daten sind Informationen, die für die sicherheitsrelevante Funktionsausführung relevant sind. Die funktionalen Nutzdaten werden insbesondere in Form von Bussignalen bereitgestellt. Bussignale sind Daten, die über den Fahrzeugbus übertragen werden und verschiedene Komponenten, vorliegend die Steuergeräte, des Fahrzeugs miteinander kommunizieren lassen. Das Steuergerät ist vorzugsweise für die Bereitstellung sowohl der Diagnosebotschaften als auch der funktionalen Nutzdaten verantwortlich. Diese Daten sind entscheidend für die Überwachung und Steuerung sicherheitsrelevanter Funktionen im Fahrzeug.
  • In einem weiteren Aspekt weist das Überprüfen ein Abgleichen der mindestens einen, erzeugten Diagnosebotschaft mit den Test- und/oder Konfigurationsdaten auf, wobei das Überprüfen erfolgreich ist, wenn die mindestens eine, erzeugte Diagnosebotschaft und die Test- und/oder Konfigurationsdaten mindestens ein Prüfkriterium erfüllen.
  • Vorzugsweise findet eine Überprüfung der Diagnosebotschaften statt, die vom Steuergerät erzeugt wurden. Die Überprüfung beinhaltet den Abgleich der erzeugten Diagnosebotschaften mit den Test- und/oder umfasst vorzugsweise Konfigurationsdaten. Diese Daten dienen vorzugsweise als Referenz für den erwarteten Zustand oder die erwarteten Bedingungen. Die Überprüfung wird als erfolgreich betrachtet, wenn die erzeugte Diagnosebotschaft und/oder die Test- und/oder Konfigurationsdaten mindestens ein Prüfkriterium erfüllen. Das bedeutet, dass die erzeugte Diagnosebotschaft mit den Erwartungen übereinstimmt, die in den Test- und/oder Konfigurationsdaten festgelegt sind.
  • In einem weiteren Aspekt, wenn mindestens ein Bestätigungssignal nicht erhalten wurde oder in Abhängigkeit des Status des Prüfungsergebnisses, beispielsweise, wenn mindestens eines der bereitgestellten Bestätigungssignale „nicht OK“ ist, wird eine Fehlerbehebung und/oder Fehlerkorrektur veranlasst.
  • Rein beispielhaft, wenn mindestens ein Bestätigungssignal nicht empfangen wurde oder der Status mindestens eines der bereitgestellten Bestätigungssignale als „nicht OK“ eingestuft wird, wird vorzugsweise eine Fehlerbehebung und/oder Fehlerkorrektur eingeleitet. Das System erkennt vorzugsweise, dass ein Fehler aufgetreten ist, wenn die erwarteten Bestätigungssignale nicht empfangen werden oder wenn beispielsweise der Status eines oder mehrerer Signale auf „nicht OK“ gesetzt ist. Nach der Fehlererkennung werden dann vorzugsweise Maßnahmen ergriffen, um den Fehler zu beheben oder zu korrigieren. Dies kann beinhalten, dass das betroffene System neu konfiguriert, neu gestartet oder anderweitig repariert wird, um die Sicherheit und Funktionalität des Fahrzeugs zu gewährleisten. Die Veranlassung der Fehlerbehebung und/oder Fehlerkorrektur erfolgt vorzugsweise automatisch durch das System, teilautomatisch oder manuell durch einen Nutzer, sobald die definierten Bedingungen für einen Fehler vorliegen.
  • In einem weiteren Aspekt sind dem mindestens einen Steuergerät mindestens zwei ASIL-Steuergeräte zugeordnet, wobei die mindestens zwei ASIL-Steuergeräte insbesondere gemeinsam mit dem mindestens einen Steuergerät einen Überwachungs-Verbund bilden, um das mindestens eine Steuergerät zu überwachen.
  • Es existiert vorzugsweise mindestens ein Steuergerät, das eine zentrale Rolle bei der Überwachung und Steuerung sicherheitsrelevanter Funktionen im Fahrzeug spielt. Mindestens zwei ASIL-Steuergeräte sind dem Steuergerät zugeordnet. ASIL steht für Automotive Safety Integrity Level und kennzeichnet die Sicherheitsintegrität von Steuergeräten im Fahrzeug gemäß den ISO 26262-Normen. Die zugeordneten ASIL-Steuergeräte bilden zusammen mit dem Steuergerät vorzugsweise einen Überwachungs-Verbund. Dies bedeutet, dass diese Steuergeräte vorzugsweise in enger Zusammenarbeit arbeiten, um die Sicherheit und Integrität des Systems zu gewährleisten. Der Überwachungs-Verbund ist vorzugsweise dafür verantwortlich, sicherheitsrelevante Funktionen im QM-Steuergerät zu überwachen, Test- und/oder Konfigurationsdaten bereitzustellen, daraus abgeleitete Diagnoseinformationen auszuwerten, Fehler zu erkennen und gegebenenfalls Maßnahmen zur Fehlerbehebung einzuleiten. Bevorzugt erfolgt also eine Dekomposition der Sicherheitslast auf mehrere Überwacher-ASIL-SG, vorzugsweise auf mindestens zwei Überwacher-ASIL-SG. Diese bilden zusammen ein Überwachungs- bzw. Monitoring-Verbund und prüfen die vom QM-SG bereitgestellten Diagnose-Botschaften bzgl. potenzieller (Laufzeit-) Fehler.
  • In einem weiteren Aspekt, im Falle eines Updates des ersten der n ASIL-Steuergeräte, werden die Funktionen des ersten der n ASIL-Steuergeräte durch mindestens ein weiteres der n-1 ASIL-Steuergeräte übernommen, bis das Update beendet und/oder ein Testen des aktualisierten bzw. geänderten ersten der n ASIL-Steuergeräte abgeschlossen ist.
  • Wenn eine Aktualisierung bzw. Änderung für das erste der n ASIL-Steuergeräte durchgeführt wird, das die Sicherheitsfunktionen im Fahrzeug überwacht, ist es bevorzugt, wenn das erste der n ASIL-Steuergeräte erste dann wieder zur Überwachung einsatzfähig ist, wenn die Aktualisierung bzw. Änderung abgeschlossen und/oder das aktualisierte bzw. geänderte erste der n ASIL-Steuergeräte Steuergerät erfolgreich getestet ist, und somit wieder für die Sicherheitsüberprüfung funktionsfähig ist. Während des Update- bzw. Änderungsprozesses übernimmt mindestens ein anderes der n-1 ASIL-Steuergeräte die Funktionen des aktualisierte bzw. geänderte Steuergeräts. Dadurch bleibt die Kontinuität und Sicherheit der Funktionen im Fahrzeug gewährleistet, auch wenn das erste der n ASIL-Steuergerät vorübergehend nicht verfügbar ist. Die übernommenen Funktionen des aktualisierten bzw. geänderten ASIL-Steuergeräts werden vorzugsweise so lange von dem anderen Steuergerät übernommen, bis die Aktualisierung bzw. Änderung abgeschlossen und/oder mindestens ein Test, der mehrstufig sein kann, des ersten der n ASIL-Steuergeräte erfolgreich durchgeführt wurde. Durch die temporäre Übernahme der Funktionen durch ein anderes Steuergerät wird sichergestellt, dass die Sicherheit und Integrität des Fahrzeugs während des Updateprozesses aufrechterhalten bleibt.
  • In einem weiteren Aspekt weist das Testen ein Austauschen von Diagnosebotschaften zwischen dem aktualisierten bzw. geänderten, ersten der n ASIL-Steuergeräte und dem mindestens einen weiteren der n-1 ASIL-Steuergeräte zur Plausibilisierung des aktualisierten bzw. geänderten, ersten der n ASIL-Steuergeräte und/oder ein Testen von temporär simulierten Fehlern auf.
  • Nachdem das erste der n ASIL-Steuergeräte aktualisiert bzw. geändert wurde, wird ein Testprozess durchgeführt, um sicherzustellen, dass das aktualisierte Steuergerät ordnungsgemäß funktioniert und die Sicherheitsanforderungen bzgl. seiner Überwachungsfunktionen im Überwachungsverbund vollständig erfüllt. Während des Testprozesses findet vorzugsweise ein Austausch von Diagnosebotschaften zwischen dem aktualisierten bzw. geänderten, ersten der n ASIL-Steuergeräte und mindestens einem anderen der n-1 ASIL-Steuergeräte statt. Dieser Austausch dient vorzugsweise dazu, die Richtigkeit und Plausibilität der Informationen, insbesondere der Bestätigungssignale, die vom aktualisierten Steuergerät generiert werden, zu überprüfen. Durch den Austausch von Diagnosebotschaften wird die Plausibilität der Informationen überprüft, die vom aktualisierten ersten der n ASIL-Steuergeräte erzeugt werden. Dies ist ein Schritt im Testprozess, um sicherzustellen, dass das aktualisierte ASIL-Steuergerät ordnungsgemäß funktioniert und zuverlässige Informationen liefert. Der Testprozess mit dem Austausch von Diagnosebotschaften zielt darauf ab, sicherzustellen, dass das aktualisierte Steuergerät seine Funktionen ordnungsgemäß ausführt, d.h. insbesondere, dass potentielle Fehler im überwachten QM-Steuergerät auch nach dem Update vom aktualisierten ASIL-Steuergerät zuverlässig diagnostiziert und signalisiert werden, und dass die Sicherheit des Fahrzeugs durch die Aktualisierung nicht beeinträchtigt wird.
  • Die „temporär simulierten Fehler“ können beispielsweise durch ein ASIL-Steuergerät erzeugt werden, um eine Überwachungsreaktion des zuletzt aktualisierten ASIL-Steuergerätes zu provozieren bzw. hervorzurufen, um dieses ASIL-Steuergerät so zu testen.
  • In einem weiteren Aspekt wird das aktualisierten bzw. geänderten, erste der n ASIL-Steuergeräte nach erfolgreichem Testen wieder in die Funktionsstellung rekonfiguriert, die dem ersten der n ASIL-Steuergeräte vor dem Update bzw. der Änderung zugewiesen war.
  • Das erste der n ASIL-Steuergeräte wird beispielsweise aktualisierten bzw. geänderten, um möglicherweise neue Funktionen hinzuzufügen, Fehler zu beheben oder die Leistung zu verbessern. Nach dem Update bzw. der Änderung wird das aktualisierte Steuergerät einem Testprozess unterzogen, um sicherzustellen, dass es ordnungsgemäß funktioniert und die Sicherheitsstandards erfüllt. Nach erfolgreichem Testen wird das aktualisierte bzw. geändert Steuergerät wieder in die Funktionsstellung rekonfiguriert, die dem ersten der n ASIL-Steuergeräte vor dem Update bzw. der Änderung zugewiesen war. Dies bedeutet, dass das Steuergerät seine ursprüngliche Konfiguration, Einstellungen und Funktionen zurückerhält. Durch die Rekonfiguration wird sichergestellt, dass die Kontinuität der Funktionen im Fahrzeug gewährleistet ist. Das Fahrzeug kann nach dem Update weiterhin sicher betrieben werden, da das aktualisierte bzw. geänderte Steuergerät seine vorherigen Funktionen und Einstellungen behält.
  • In einem weiteren Aspekt ist ein Computerprogramm mit Programmcode beansprucht, um zumindest Teile des vorliegenden Verfahrens in einem seiner Aspekte auszuführen, wenn das Computerprogramm auf einem Computer ausgeführt wird. Mit anderen Worten wird ein Computerprogramm(-produkt), umfassend Befehle, die bei der Ausführung des Programms durch einen Computer diesen veranlassen, das Verfahren/die Schritte des Verfahrens in einem seiner Aspekte auszuführen.
  • In einem weiteren Aspekt ist ein computerlesbarer Datenträger mit Programmcode eines Computerprogramms vorgeschlagen, um zumindest Teile des vorliegenden Verfahrens in einem seiner Aspekte auszuführen, wenn das Computerprogramm auf einem Computer ausgeführt wird. Mit anderen Worten betrifft die Erfindung ein computerlesbares (Speicher-) Medium, umfassend Befehle, die bei der Ausführung durch einen Computer diesen veranlassen, das Verfahren/die Schritte des Verfahrens in einem seiner Aspekte auszuführen.
  • Die beschriebenen Ausgestaltungen und Weiterbildungen lassen sich beliebig miteinander kombinieren.
  • Weitere mögliche Ausgestaltungen, Weiterbildungen und Implementierungen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmalen der Erfindung.
  • Kurze Beschreibung der Zeichnungen
  • Die beiliegenden Zeichnungen sollen ein weiteres Verständnis der Ausführungsformen der Erfindung vermitteln. Sie veranschaulichen Ausführungsformen und dienen im Zusammenhang mit der Beschreibung der Erklärung von Prinzipien und Konzepten der Erfindung.
  • Andere Ausführungsformen und viele der genannten Vorteile ergeben sich im Hinblick auf die Zeichnungen. Die dargestellten Elemente der Zeichnungen sind nicht notwendigerweise maßstabsgetreu zueinander gezeigt.
  • Es zeigen:
    • 1 ein schematisches Flussdiagramm eines Aspektes des Verfahrens;
    • 2 ein schematisches Flussdiagramm eines weiteren Aspektes des Verfahrens;
    • 3 ein schematisches Blockschaltbild eines Aspektes des Systems; und
    • 4 ein schematisches Blockschaltbild eines weiteren Aspektes des Systems.
  • In den Figuren der Zeichnungen bezeichnen gleiche Bezugszeichen gleiche oder funktionsgleiche Elemente, Bauteile oder Komponenten, soweit nichts Gegenteiliges angegeben ist.
  • 1 zeigt ein schematisches Flussdiagramm eines Verfahrens zur Aktivierung einer sicherheitsrelevanten Funktion eines Fahrzeuges. 1 zeigt dabei ein Ablaufdiagramm einer verteilten Diagnose für ein Steuergerät, welches Nutzdaten für ein Funktionssteuergerät erzeugt und dabei von n ASIL-Steuergeräten überwacht wird.
  • Das selbst nicht näher gezeigte Fahrzeug weist eine Anzahl von n ASIL-Steuergeräten 300, mindestens ein zu überwachendes Steuergerät 302 und ein Funktionssteuergerät 304 (siehe 3) auf. Die Anzahl n ist vorzugsweise größer gleich zwei (n ≥ 2).
  • Das Verfahren kann in einer beliebigen Ausführungsform zumindest teilweise durch ein System 100 ausgeführt werden.
  • Das computerimplementierte Verfahren umfasst mindestens die folgenden Schritte:
    • In einem Schritt S1 erfolgt ein Bereitstellen von Test- und/oder Konfigurationsdaten durch ein erstes der n ASIL-Steuergeräte an mindestens ein weiteres der n-1 ASIL-Steuergeräte und an das mindestens eine Steuergerät.
  • In einem Schritt S2 erfolgt ein Verarbeiten der bereitgestellten Test- und/oder Konfigurationsdaten durch das mindestens eine Steuergerät zum Erzeugen mindestens einer Diagnosebotschaft.
  • In einem Schritt S3 erfolgt ein Bereitstellen der mindestens einen, erzeugten Diagnosebotschaft zumindest an das erste der n ASIL-Steuergeräte und das mindestens eine weitere der n-1 ASIL-Steuergeräte durch das mindestens eine Steuergerät.
  • In einem Schritt S4 erfolgt ein Überprüfen der mindestens einen, erzeugten Diagnosebotschaft durch das erste der n ASIL-Steuergeräte und das mindestens eine weitere der n-1 ASIL-Steuergeräte zum Bereitstellen eines Prüfungsergebnisses, beispielsweise eines „OK“-Prüfungsergebnisses oder eines „nicht OK“-Prüfungsergebnisses.
  • In einem Schritt S5 erfolgt ein Bereitstellen jeweils mindestens eines Bestätigungssignals durch das erste der n ASIL-Steuergeräte und das mindestens eine weitere der n-1 ASIL-Steuergeräte auf Basis des Prüfungsergebnisses an das Funktionssteuergerät.
  • In einem Schritt S6 erfolgt ein Überprüfen, durch das Funktionssteuergerät, eines Erhalts und eines Status des jeweils bereitgestellten Bestätigungssignals.
  • In einem Schritt S7 erfolgt ein Übermitteln von Nutzdaten des mindestens einen Steuergerätes an das Funktionssteuergerät und ein Aktivieren S8 der sicherheitsrelevanten Funktion auf Basis der übermittelten Nutzdaten, wenn alle Bestätigungssignale erhalten wurden und in Abhängigkeit eines jeweiligen Status des jeweiligen Prüfungsergebnisses, beispielsweise wenn der Status aller bereitgestellten Bestätigungssignale „OK“ ist, oder ein Nicht-Aktivieren S9 der sicherheitsrelevanten Funktion auf Basis der übermittelten Nutzdaten, wenn mindestens ein Bestätigungssignal nicht erhalten wurde oder in Abhängigkeit des Status des jeweiligen Prüfungsergebnisses, beispielsweise wenn der Status mindestens eines der bereitgestellten Bestätigungssignale „nicht OK“ ist.
  • 2 zeigt einen Aspekt des Verfahrens, in einem Falle eines Updates bzw. Änderung des ersten der n ASIL-Steuergeräte 300.
  • Vor dem Update, S200, des ersten der n ASIL-Steuergeräte 300 ist diesem Steuergerät ggf. zusammen mit mindesten einem weiteren der n-1 ASIL-Steuergeräte 300 eine Funktionsstellung zur Überwachung einer Leistung und/oder einer Funktion des mindestens einen Steuergerätes 302 durch Austausch und Bewertung der Diagnosebotschaften zugewiesen.
  • In Vorbereitung auf das Update, S202, werden die Funktionen bzw. wird die Funktionsstellung des ersten der n ASIL-Steuergeräte 300 durch mindestens ein weiteres der n-1 ASIL-Steuergeräte übernommen, bis das Update bzw. die Änderung beendet und/oder ein Testen des aktualisierten bzw. geänderten ersten der n ASIL-Steuergeräte 300 abgeschlossen ist. Somit ist das erste der n ASIL-Steuergeräte 300 für das Update von seiner Funktionsstellung befreit.
  • Die Überwachung einer Leistung und/oder einer Funktion des mindestens einen Steuergerätes 302 durch Austausch und Bewertung der Diagnosebotschaften wird dann also durch das mindestens eine weitere der n-1 ASIL-Steuergeräte 300 übernommen, was durch S204 angezeigt ist.
  • Das Update wird in Schritt S206 durchgeführt.
  • Nach dem Update bzw. der Änderung des ersten der n ASIL-Steuergeräte 300 erfolgt in S208 ein Testen durch ein Austauschen von Diagnosebotschaften zwischen dem aktualisierten bzw. geänderten, ersten der n ASIL-Steuergeräte 300 und dem mindestens einen weiteren der n-1 ASIL-Steuergeräte 300 zur Plausibilisierung einer korrekten Funktionsweise des aktualisierten bzw. geänderten, ersten der n ASIL-Steuergeräte 300.
  • In einer zweiten Testphase, erfolgt in S210 ein Testen durch ein Austauschen von Diagnosebotschaften zwischen dem aktualisierten bzw. geänderten, ersten der n ASIL-Steuergeräte 300 und dem mindestens einen Steuergerät 302 sowie ein Überprüfen der ausgetauschten Diagnosebotschaften durch das mindestens eine weitere der n-1 ASIL-Steuergeräte 300.
  • In S212 wird das aktualisierte bzw. geänderte, erste der n ASIL-Steuergeräte 300 nach erfolgreichem Testen S208, S210 wieder in die ursprüngliche Funktionsstellung (siehe Schritt S200) rekonfiguriert, die dem ersten der n ASIL-Steuergeräte 300 vor dem Update bzw. der Änderung zugewiesen war.
  • 3 zeigt einen Aspekt des Systems 100. Das System 100 weist mehrere ASIL-Steuergeräte 300 (in 3 auch ASIL-ECUs 1-N) auf. Das System 100 weist ferner mehrere Steuergeräte 302 (in 3 auch QM-ECUs 1-N) und ein Funktionssteuergerät 304 (auch Receiver ECU) auf. Die ASIL-Steuergeräte 300 sind über einen Datenbus 306 (Data Bus) mit den Steuergeräten 302 und dem Funktionssteuergerät 304 zum Datenaustausch verbunden. Der Datenaustausch erfolgt über den Datenbus 306.
  • 4 zeigt einen Aspekt des Verfahrens und/oder des Systems 100, bei dem mindestens zwei der n ASIL-Steuergeräte 300 als ein Überwachungs-Verbund 400, 402 zusammenfassbar sind, um so eine unterbrechungsfreie Überwachung des mindestens einen Steuergeräte 302 zu ermöglichen. Dabei sind dem mindestens einen Steuergerät 302 mindestens zwei der n ASIL-Steuergeräte 300 zugeordnet, die insbesondere gemeinsam mit dem mindestens einen Steuergerät einen Überwachungs-Verbund bilden, um das mindestens eine Steuergerät zu überwachen.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 10 2008 043 089 A1 [0006]

Claims (12)

  1. Verfahren zur Aktivierung einer sicherheitsrelevanten Funktion eines Fahrzeuges, das Fahrzeug aufweisend n ASIL-Steuergeräte (300), mindestens ein zu überwachendes Steuergerät (302) und ein Funktionssteuergerät (304), wobei n ≥ 2, das Verfahren aufweisend die Schritte: - Bereitstellen (S1) von Test- und/oder Konfigurationsdaten durch ein erstes der n ASIL-Steuergeräte (300) an mindestens ein weiteres der n-1 ASIL-Steuergeräte (300) und an das mindestens eine Steuergerät (302); - Verarbeiten (S2) der bereitgestellten Test- und/oder Konfigurationsdaten durch das mindestens eine Steuergerät (302) zum Erzeugen mindestens einer Diagnosebotschaft; - Bereitstellen (S3) der mindestens einen, erzeugten Diagnosebotschaft zumindest an das erste der n ASIL-Steuergeräte (300) und das mindestens eine weitere der n-1 ASIL-Steuergeräte (300) durch das mindestens eine Steuergerät (302); - Überprüfen (S4) der mindestens einen, erzeugten Diagnosebotschaft, insbesondere unter Verwendung der bereitgestellten Test- und/oder Konfigurationsdaten, durch das erste der n ASIL-Steuergeräte (300) und das mindestens eine weitere der n-1 ASIL-Steuergeräte (300) zum Bereitstellen eines Prüfungsergebnisses; - Bereitstellen (S5) jeweils mindestens eines Bestätigungssignals durch das erste der n ASIL-Steuergeräte (300) und das mindestens eine weitere der n-1 ASIL-Steuergeräte (300) auf Basis des Prüfungsergebnisses an das Funktionssteuergerät (304); - Überprüfen (S6), durch das Funktionssteuergerät (304), eines Erhalts und eines Status des jeweils bereitgestellten Bestätigungssignals; und - Übermitteln (S7) von Nutzdaten des mindestens einen Steuergerätes (302) an das Funktionssteuergerät (304); und - Aktivieren (S8) der sicherheitsrelevanten Funktion auf Basis der übermittelten Nutzdaten, wenn alle Bestätigungssignale erhalten wurden und in Abhängigkeit eines jeweiligen Status des jeweiligen Prüfungsergebnisses, oder - Nicht-Aktivieren (S9) der sicherheitsrelevanten Funktion auf Basis der übermittelten Nutzdaten, wenn mindestens ein Bestätigungssignal nicht erhalten wurde oder in Abhängigkeit des jeweiligen Status des jeweiligen Prüfungsergebnisses.
  2. Verfahren nach Anspruch 1, wobei das Bereitstellen (S3) der mindestens einen, erzeugten Diagnosebotschaft ferner ein Bereitstellen von funktionalen Nutzdaten, insbesondere in Form von Bussignalen, durch das mindestens eine Steuergerät (302) aufweist.
  3. Verfahren nach Anspruch 1 oder 2, wobei das Überprüfen (S4) ein Abgleichen der mindestens einen, erzeugten Diagnosebotschaft mit den Test- und/oder Konfigurationsdaten aufweist, wobei das Überprüfen erfolgreich ist, wenn die mindestens eine, erzeugte Diagnosebotschaft und die Test- und/oder Konfigurationsdaten mindestens ein Prüfkriterium erfüllen.
  4. Verfahren nach einem der vorstehenden Ansprüche, wobei, wenn mindestens ein Bestätigungssignal nicht erhalten wurde oder in Abhängigkeit des jeweiligen Status des jeweiligen Prüfungsergebnisses und/oder des jeweiligen Status mindestens eines der bereitgestellten Bestätigungssignale, eine Fehlerbehebung und/oder Fehlerkorrektur veranlasst wird.
  5. Verfahren nach einem der vorstehenden Ansprüche, wobei dem mindestens einen Steuergerät (302) mindestens zwei der n ASIL-Steuergeräte (300) zugeordnet sind, wobei die mindestens zwei ASIL-Steuergeräte (300) insbesondere gemeinsam mit dem mindestens einen Steuergerät (302) einen Überwachungs-Verbund bilden, um das mindestens eine Steuergerät (300) zu überwachen.
  6. Verfahren nach einem der vorstehenden Ansprüche, wobei im Falle eines Updates und/oder einer Änderung des ersten der n ASIL-Steuergeräte (300) die Funktionen des ersten der n ASIL-Steuergeräte (300) durch mindestens ein weiteres der n-1 ASIL-Steuergeräte übernommen werden, bis das Update bzw. die Änderung beendet und/oder ein Testen des aktualisierten bzw. geänderten ersten der n ASIL-Steuergeräte (300) abgeschlossen ist.
  7. Verfahren nach Anspruch 6, wobei das Testen ein Austauschen von Diagnosebotschaften zwischen dem aktualisierten bzw. geänderten, ersten der n ASIL-Steuergeräte (300) und dem mindestens einen weiteren der n-1 ASIL-Steuergeräte (300) zur Plausibilisierung des Verhaltens des aktualisierten bzw. geänderten, ersten der n ASIL-Steuergeräte (300) aufweist.
  8. Verfahren nach Anspruch 6 oder 7, wobei das Testen ein Austauschen von Diagnosebotschaften zwischen dem aktualisierten bzw. geänderten, ersten der n ASIL-Steuergeräte (300) und dem mindestens einen Steuergerät (302) sowie ein Überprüfen der ausgetauschten Diagnosebotschaften durch das mindestens eine weitere der n-1 ASIL-Steuergeräte (300) und/oder ein Testen von temporär simulierten Fehlern aufweist.
  9. Verfahren nach einem der Ansprüche 6 bis 8, wobei das aktualisierte bzw. geänderte, erste der n ASIL-Steuergeräte (300) nach erfolgreichem Testen wieder in die Funktionsstellung rekonfiguriert wird, die dem ersten der n ASIL-Steuergeräte (300) vor dem Update bzw. der Änderung zugewiesen war.
  10. Computerprogramm mit Programmcode, um zumindest Teile eines Verfahrens nach einem der Ansprüche 1 bis 9 auszuführen, wenn das Computerprogramm auf einem Computer ausgeführt wird.
  11. Computerlesbarer Datenträger mit Programmcode eines Computerprogramms, um zumindest Teile eines Verfahrens nach einem der Ansprüche 1 bis 9 auszuführen, wenn das Computerprogramm auf einem Computer ausgeführt wird.
  12. System (100) zur Aktivierung einer sicherheitsrelevanten Funktion eines Fahrzeuges, das System (100) aufweisend n ASIL-Steuergeräte (300), mindestens ein zu überwachendes Steuergerät (302) und ein Funktionssteuergerät (304), wobei n ≥ 2, - wobei ein erstes der n ASIL-Steuergeräte (300) dazu eingerichtet ist, Test- und/oder Konfigurationsdaten an mindestens ein weiteres der n-1 ASIL-Steuergeräte (300) und an das mindestens eine Steuergerät (302) bereitzustellen; - wobei das mindestens eine Steuergerät (302) dazu eingerichtet ist, die bereitgestellten Test- und/oder Konfigurationsdaten zum Erzeugen mindestens einer Diagnosebotschaft zu verarbeiten; und die mindestens eine, erzeugte Diagnosebotschaft zumindest an das erste der n ASIL-Steuergeräte (300) und das mindestens eine weitere der n-1 ASIL-Steuergeräte (300) bereitzustellen; - wobei das erste der n ASIL-Steuergeräte (300) und das mindestens eine weitere der n-1 ASIL-Steuergeräte (300) jeweils dazu eingerichtet sind, die mindestens eine, erzeugte Diagnosebotschaft, insbesondere unter Verwendung der bereitgestellten Test- und/oder Konfigurationsdaten, zum Bereitstellen eines Prüfungsergebnisses zu überprüfen, und jeweils mindestens eine Bestätigungssignal auf Basis des Prüfungsergebnisses an das Funktionssteuergerät (304) bereitzustellen; - wobei das Funktionssteuergerät (304) dazu eingerichtet ist, einen Erhalt und einen Status des jeweils bereitgestellten Bestätigungssignals zu überprüfen; - wobei das mindestens eine Steuergerät (302) dazu eingerichtet ist, Nutzdaten an das Funktionssteuergerät (304) zu übermitteln, und - wobei das Funktionssteuergerät (304) dazu eingerichtet ist, o die sicherheitsrelevante Funktion auf Basis der übermittelten Nutzdaten zu aktivieren, wenn alle Bestätigungssignale erhalten wurden und in Abhängigkeit eines jeweiligen Status des jeweiligen Prüfungsergebnisses, oder o die sicherheitsrelevante Funktion auf Basis der übermittelten Nutzdaten nicht zu aktivieren, wenn mindestens ein Bestätigungssignal nicht erhalten wurde oder in Abhängigkeit des jeweiligen Status des jeweiligen Prüfungsergebnisses.
DE102024203383.9A 2024-04-12 2024-04-12 Verfahren und ein System zur Aktivierung einer sicherheitsrelevanten Funktion eines Fahrzeuges Pending DE102024203383A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102024203383.9A DE102024203383A1 (de) 2024-04-12 2024-04-12 Verfahren und ein System zur Aktivierung einer sicherheitsrelevanten Funktion eines Fahrzeuges
US19/173,383 US20250319888A1 (en) 2024-04-12 2025-04-08 Method and System for Activating a Safety-Relevant Function of a Vehicle
CN202510453148.9A CN120817085A (zh) 2024-04-12 2025-04-11 用于激活交通工具的安全相关功能的方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102024203383.9A DE102024203383A1 (de) 2024-04-12 2024-04-12 Verfahren und ein System zur Aktivierung einer sicherheitsrelevanten Funktion eines Fahrzeuges

Publications (1)

Publication Number Publication Date
DE102024203383A1 true DE102024203383A1 (de) 2025-10-16

Family

ID=97174653

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102024203383.9A Pending DE102024203383A1 (de) 2024-04-12 2024-04-12 Verfahren und ein System zur Aktivierung einer sicherheitsrelevanten Funktion eines Fahrzeuges

Country Status (3)

Country Link
US (1) US20250319888A1 (de)
CN (1) CN120817085A (de)
DE (1) DE102024203383A1 (de)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008043089A1 (de) 2008-10-22 2010-04-29 Robert Bosch Gmbh Verfahren zur Überwachung der Funktionsfähigkeit eines elektronischen Bausteins
DE102014014858A1 (de) 2014-10-06 2016-04-07 Audi Ag Steuergerät für ein Kraftfahrzeug, Kraftfahrzeug und Verfahren zum abgesicherten Durchführen einer Funktion
DE102017201467A1 (de) 2017-01-31 2018-08-02 Bayerische Motoren Werke Aktiengesellschaft Aktualisierung eines Softwareumfangs eines Fortbewegungsmittels
DE102019131087A1 (de) 2019-11-18 2021-05-20 Audi Ag Softwareinstallation in Fahrzeugsteuergeräten

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008043089A1 (de) 2008-10-22 2010-04-29 Robert Bosch Gmbh Verfahren zur Überwachung der Funktionsfähigkeit eines elektronischen Bausteins
DE102014014858A1 (de) 2014-10-06 2016-04-07 Audi Ag Steuergerät für ein Kraftfahrzeug, Kraftfahrzeug und Verfahren zum abgesicherten Durchführen einer Funktion
DE102017201467A1 (de) 2017-01-31 2018-08-02 Bayerische Motoren Werke Aktiengesellschaft Aktualisierung eines Softwareumfangs eines Fortbewegungsmittels
DE102019131087A1 (de) 2019-11-18 2021-05-20 Audi Ag Softwareinstallation in Fahrzeugsteuergeräten

Also Published As

Publication number Publication date
US20250319888A1 (en) 2025-10-16
CN120817085A (zh) 2025-10-21

Similar Documents

Publication Publication Date Title
WO2018233934A1 (de) Vorrichtung und verfahren zum ansteuern eines fahrzeugmoduls
DE102019219800A1 (de) Steuerungssystem für ein wenigstens teilweise automatisiertes Kraftfahrzeug und Verfahren zum Steuern eines wenigstens teilautomatisierten Kraftfahrzeugs
DE102017218438A1 (de) Verfahren und System zum Betreiben eines Fahrzeugs
DE102021206379A1 (de) Steuereinrichtung sowie Assistenzsystem für ein Fahrzeug
DE102019127050A1 (de) Verfahren und Vorrichtung zur Selbstdiagnose eines Umfeldsensors
DE112017003112T5 (de) Luftzufuhrsystem
DE112008001221T5 (de) Gesteuerter Abschaltvorgang
DE102018220605A1 (de) Kraftfahrzeugnetzwerk und Verfahren zum Betreiben eines Kraftfahrzeugnetzwerks
DE102012202294B4 (de) Verfahren und Kontrollsystem zur Plausibilisierung eines ersten Fahrerwunschsensors in Bezug auf einen zweiten zum ersten unterschiedlichen Fahrerwunschsensor eines Kraftfahrzeugs
DE102024203383A1 (de) Verfahren und ein System zur Aktivierung einer sicherheitsrelevanten Funktion eines Fahrzeuges
DE10321229B4 (de) Gegenkontrollierende Prozessoren für Antriebsstrangsteuerungssysteme, die eine dedizierte serielle Datenleitung verwenden
DE102019202527A1 (de) Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems
DE102019113963A1 (de) Verfahren und Steuereinheit zum Betreiben einer Fahrfunktion
DE102021213666A1 (de) Verfahren und Computerprogramm zum Erkennen einer Manipulation eines Steuergeräts eines Kraftfahrzeugs, Steuergerät-System und computerlesbares Medium
DE102017100119A1 (de) Steuersystem für ein Kraftfahrzeug mit Hardware-Ausfallsicherung
DE10307344B4 (de) Vorrichtung und Verfahren zur dezentralen On-Board-Diagnose für Kraftfahrzeuge
DE102019111244A1 (de) Verfahren, Server und Diagnosesystem zum Durchführen einer servergestützten Diagnose für ein Fortbewegungsmittel
EP4004518A1 (de) Verfahren zum testen eines kraftfahrzeugs
DE102024109877A1 (de) System und verfahren zur schätzung des fahrzeugzustands
DE102019004612A1 (de) Verfahren zum Betreiben eines Fahrzeugs mit einem Steuergerät
DE102018222086A1 (de) Steueranordnung für ein Fahrzeug, Fahrzeug und Verfahren zum Konfigurieren eines fahrzeuginternen Systems
DE102022211134A1 (de) Verfahren zum Betreiben eines Bremssystems eines Kraftfahrzeugs, Bremssystem, Kraftfahrzeug
DE102022116307A1 (de) Fahrzeugnetzwerk zur Datenkommunikation zwischen Komponenten eines Fahrzeugs sowie System und Fahrzeug damit und Verfahren dafür
DE102021206145A1 (de) Verfahren zum Bremsen eines autonom fahrenden Kraftfahrzeugs
DE102015214987A1 (de) Bestimmung eines defekten Bauteils eines Fahrzeugs

Legal Events

Date Code Title Description
R163 Identified publications notified
R012 Request for examination validly filed