Nothing Special   »   [go: up one dir, main page]

DE102013202482A1 - Fehlersignalbehandlungseinheit, Gerät und Methode zur Ausgabe eines Fehlerzustandssignals - Google Patents

Fehlersignalbehandlungseinheit, Gerät und Methode zur Ausgabe eines Fehlerzustandssignals Download PDF

Info

Publication number
DE102013202482A1
DE102013202482A1 DE201310202482 DE102013202482A DE102013202482A1 DE 102013202482 A1 DE102013202482 A1 DE 102013202482A1 DE 201310202482 DE201310202482 DE 201310202482 DE 102013202482 A DE102013202482 A DE 102013202482A DE 102013202482 A1 DE102013202482 A1 DE 102013202482A1
Authority
DE
Germany
Prior art keywords
signal
error
condition
error signal
regeneration
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE201310202482
Other languages
English (en)
Inventor
Antonio Vilela
Andre Roger
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Infineon Technologies AG
Original Assignee
Infineon Technologies AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US13/397,035 external-priority patent/US8786424B2/en
Priority claimed from US13/662,846 external-priority patent/US9218236B2/en
Application filed by Infineon Technologies AG filed Critical Infineon Technologies AG
Publication of DE102013202482A1 publication Critical patent/DE102013202482A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0781Error filtering or prioritizing based on a policy defined by the user or on a policy defined by a hardware/software module, e.g. according to a severity level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Debugging And Monitoring (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)
  • Hardware Redundancy (AREA)

Abstract

Eine Fehlersignalbehandlungseinheit umfasst eine Fehlerbehandlungsvorrichtung, die so konfiguriert ist, dass sie ein Fehlersignal empfängt, das einen Fehlerzustand anzeigt. Die Fehlerbehandlungsvorrichtung ist außerdem so konfiguriert, dass sie ein Regenerierungssignal empfängt, das eine Abschwächung des Fehlerzustands anzeigt oder anzeigt, dass eine Abschwächung des Fehlerzustands möglich ist. Weiterhin ist die Fehlerbehandlungsvorrichtung so konfiguriert, dass sie, als Reaktion auf den Empfang des Fehlersignals, ein auf dem Fehlersignal beruhendes Fehlerzustandssignal ausgibt, wenn innerhalb einer vorgegebenen Verzögerungszeit ab dem Empfang des Fehlersignals die Fehlerbehandlungsvorrichtung kein Regenerierungssignal empfängt, und andernfalls kein Fehlerzustandssignal ausgegeben wird.

Description

  • Gebiet
  • Die Ausführungsformen der vorliegenden Erfindung beziehen sich auf eine Fehlersignalbehandlungseinheit. Weitere Ausführungsformen der vorliegenden Erfindung beziehen sich auf ein Gerät, das konfiguriert wurde, um als Reaktion auf einen Fehlerzustand im Gerät ein Fehlersignal auszugeben. Weitere Ausführungsformen der vorliegenden Erfindung beziehen sich auf eine Methode zur Ausgabe eines Fehlerzustandssignals.
  • Hintergrund
  • In modernen elektrischen Autosteuerungen (ECUs) sind immer mehr Funktionen integriert. Dieser Trend wird einerseits durch die Normierung der Technik vorwärtsgetrieben, wodurch ein hohes Maß an Vernetzung ermöglicht wird, und durch die in hohem Maße durch Kosten beeinflusste Natur der Autoindustrie, die dazu zwingt, die Gesamtanzahl der ECUs pro Auto zu reduzieren. Elektronik spielt eine immer größere Rolle bei der Bereitstellung fortschrittlicher Fahrassistenzfunktionen und besonders bei der Vermeidung von Risiken, die die Zahl der tödlichen Verletzungen verringern.
  • Die Einbindung von Funktionen in die Steuerung konzentriert sich hauptsächlich auf einen Multi-CPU-Mikrocontroller, der aufgrund des Datenhostings der Hauptberechnungs- und Steuerungsfunktionen eine wesentliche Rolle spielt. Diesen Mikrocontroller kann man als eine Häufung von Berechnungsknoten mit definierten und gekapselten Aufgaben betrachten. Unter solchen Annahmen ist die Ausfallisolierung eine Hauptaufgabe, an die man herangehen muss, da sie alle Bausteine der Sicherheitsbauweise beeinflusst.
  • Die wichtigste Frage bei der wachsenden Komplexität der Auto-ECU und mit Schwerpunkt auf der ISO 26262 ist, dass die Auto-ECUs in der Lage sein müssen, ununterbrochen zu funktionieren, nicht nur bei kleinerem Fehler, sondern auch bei Fehlern, die heutzutage als kritisch klassifiziert werden.
  • Zusammenfassung
  • Die Ausführungsformen der vorliegenden Erfindung beziehen sich auf eine Fehlersignalbehandlungseinheit, zu der eine Fehlerbehandlungsvorrichtung gehört, die so konfiguriert ist, dass sie das Fehlersignal empfängt, das einen Fehlerzustand anzeigt. Die Fehlerbehandlungsvorrichtung ist ferner so konfiguriert, dass sie ein Regenerierungssignal empfängt, das eine Abschwächung des Fehlerzustands anzeigt oder angibt, dass die Abschwächung des Fehlerzustands möglich ist. Die Fehlerbehandlungsvorrichtung ist auch so konfiguriert, dass sie als Reaktion auf einen Empfang des Fehlersignals ein auf dem Fehlersignal basierendes Fehlerzustandssignal ausgibt, wenn innerhalb einer vorgegebenen Verzögerungszeit ab dem Empfang des Fehlersignals die Fehlerbehandlungsvorrichtung kein Regenerierungssignal empfängt oder andernfalls kein Fehlerzustandssignal ausgibt.
  • Weitere Ausführungsformen der vorliegenden Erfindung beziehen sich auf ein Gerät, das konfiguriert wurde, um als Reaktion auf einen Fehlerzustand im Gerät ein Fehlersignal auszugeben und als Reaktion auf eine Abschwächung des Fehlerzustands oder wenn eine Abschwächung des Fehlerzustands möglich ist, ein Regenerierungssignal auszugeben, das die Abschwächung oder die Möglichkeit der Abschwächung des Fehlerzustands anzeigt.
  • Weitere Ausführungsformen der vorliegenden Erfindung beziehen sich auf ein Fehlersignalbehandlungssystem, zu dem ein solches Gerät und eine solche Fehlersignalbehandlungseinheit gehören.
  • Kurzbeschreibung der Figuren
  • Die Ausführungsformen der vorliegenden Erfindung werden anhand der dazugehörigen Figuren beschrieben, in denen:
  • 1a ein Blockschaltbild einer Fehlersignalbehandlungseinheit gemäß einer Ausführungsform der vorliegenden Erfindung zeigt;
  • 1b ein Blockschaltbild einer Fehlersignalbehandlungseinheit gemäß einer weiteren Ausführungsform der vorliegenden Erfindung zeigt;
  • 2a ein Blockschaltbild eines Gerätes gemäß einer weiteren Ausführungsform der vorliegenden Erfindung zeigt;
  • 2b eine Beispielimplementierung des Gerätes aus 2a zusammen mit der Fehlersignalbehandlungseinheit aus 1a zeigt;
  • 3a ein Blockschaltbild eines Fehlersignalbehandlungssystems gemäß einer Ausführungsform der vorliegenden Erfindung zeigt;
  • 3b ein Blockschaltbild eines Fehlersignalbehandlungssystems gemäß einer weiteren Ausführungsform der vorliegenden Erfindung zeigt; und
  • 4 ein Flussdiagramm einer Methode gemäß einer Ausführungsform der vorliegenden Erfindung zeigt.
  • Ausführliche Beschreibung
  • Bevor die Ausführungsformen der vorliegenden Erfindung anhand der dazugehörigen Figuren detaillierter beschrieben werden, muss darauf hingewiesen werden, dass die gleichen oder funktionell gleichen Elemente mit den gleichen Referenznummern versehen sind und dass Elemente mit gleichen Referenznummern nicht mehrfach beschrieben werden. Somit sind Beschreibungen für Elemente mit den gleichen Referenznummern miteinander austauschbar.
  • 1a zeigt ein Blockschaltbild einer Fehlersignalverarbeitungseinheit 100 gemäß einer Ausführungsform der vorliegenden Erfindung. Zur Fehlersignalbehandlungseinheit 100 gehört eine Fehlerbehandlungsvorrichtung 101 (z. B. eine Schaltung 101), die so konfiguriert ist, dass sie ein Fehlersignal 103 empfängt (z. B. von einem externen Gerät oder aus einem Softwareprozess – in 1a nicht dargestellt), wobei das Fehlersignal 103 einen Fehlerzustand angibt (z. B. im externen Gerät oder im Softwareprozess).
  • Die Fehlerbehandlungsvorrichtung 101 (die Schaltung 101) ist ferner so konfiguriert, dass sie ein Regenerierungssignal 105 empfängt, wobei das Regenerierungssignal 105 eine Abschwächung des Fehlerzustands (im externen Gerät oder im Softwareprozess) angibt oder angibt, dass eine Abschwächung des Fehlerzustands (im externen Gerät oder Softwareprozess) möglich ist.
  • Ferner ist die Fehlerbehandlungsvorrichtung 101 (die Schaltung 101) so konfiguriert, dass sie, als Reaktion auf einen Empfang des Fehlersignals 103 und basierend auf dem Fehlersignal 103 ein Fehlerzustandssignal 107, ausgibt, wenn innerhalb einer vorgegebenen Verzögerungszeit ab dem Empfang des Fehlersignals 103 die Fehlerbehandlungsvorrichtung 101 (die Schaltung 101) kein Regenerierungssignal 105 (vom externen Gerät oder vom Softwareprozess) empfängt, und andernfalls kein Fehlerzustandssignal 107 ausgibt.
  • Die Fehlerbehandlungsvorrichtung 101 (die Schaltung 101) ist so konfiguriert, dass sie den Fehler 103 empfängt und mindestens die vorgegebene Verzögerungszeit lang wartet, bis sie das Fehlerzustandssignal 107 bereitstellt, und sie stellt das Fehlerzustandssignal 107 nur bereit, wenn innerhalb einer vorgegebenen Verzögerungszeit, kein Regenerierungssignal 105 (das eine Abschwächung des Fehlerzustands im externen Gerät oder im Softwareprozess anzeigt oder anzeigt, dass eine Abschwächung des Fehlerzustands möglich ist) empfangen wird.
  • Es ist eine Idee der Ausführungsformen der vorliegenden Erfindung, dass eine Systemverfügbarkeit verbessert werden kann, wenn Fehler oder Fehlerzustände sicher gehandhabt werden, wie das durch die Fehlersignalbehandlungseinheit 100 beim Ausgeben des Fehlerzustandssignals 107 nur dann getan wird, wenn innerhalb einer vorgegebenen Verzögerungszeit kein Regenerierungssignal 105 empfangen wird. Dadurch kann erreicht werden, dass ein (weiteres) externes Gerät oder ein weiterer Softwareprozess (in 1a nicht dargestellt), das/der das Fehlerzustandssignal 107 empfangen könnte, bei Generierung des Fehlersignals 103 nicht sofort in den störungssicheren Modus geht, falls der Fehlerzustand, auf dessen Basis das externe Gerät oder der Softwareprozess den Fehlerzustand 103 generiert, abgeschwächt werden kann oder bereit abgeschwächt ist. Als Beispiel kann das weitere externe Gerät eine ECU sein. Dadurch, dass sich die Fehlersignalbehandlungseinheit 100 zwischen der ECU und dem externen Gerät oder dem Softwareprozess befindet, kann mit Sicherheit vermieden werden, dass die elektronische Steuerung bei kritischen Fehlern in einen störungssicheren Modus geht, solange diese Fehler in der zulässigen vorgegebenen Verzögerungszeit abgeschwächt werden.
  • Im Gegensatz dazu werden typische Auto-ECUs so gebaut, dass kritische Fehler immer zum Eintritt in den störungssicheren Modus führen, auch wenn diese Fehler im Gerät, in dem solch ein Fehler auftritt, abgeschwächt werden können. In diesem Falle ist eine Fehlerbehebung nur möglich, nachdem eine solche ECU in den störungssicheren Modus gegangen ist, was auch dazu führen kann, dass die Arbeit der ECU gestoppt wird.
  • Besonders, wenn man über die elektronische Steuerung von schweren Fahrzeugen nachdenkt, kann eine solche ECU-Ausfall-sicherung Bedenken über die Steuerbarkeit des Fahrzeuges auslösen.
  • Daher machen es die Ausführungsformen der vorliegenden Erfindung möglich, dass eine elektronische Steuerung nicht sofort bei Erzeugung eines Fehlersignales 103 in den störungssicheren Modus geht, da das Fehlerzustandssignal 107 nur von der Fehlerbehandlungsvorrichtung 101 (der Schaltung 101) ausgegeben wird, wenn innerhalb einer vorgegebenen Verzögerungszeit kein Regenerierungssignal 105 empfangen wird. Mit anderen Worten, die Ausführungsformen der vorliegenden Erfindung gestatten die Abschwächung eines Fehlerzustands in einem externen Gerät oder Softwareprozess, wenn diese Abschwächung möglich ist, und halten eine elektronische Steuerung davon ab, sofort in den störungssicheren Modus zu gehen, da der Fehlerzustand abgeschwächt werden kann oder bereits abgeschwächt ist.
  • Mit anderen Worten, das externe Gerät oder der Softwareprozess, die einen kritischen Fehler (als das Fehlersignal 103) absenden, haben die Option, ihn zu deaktivieren, indem das Regenerierungssignal 105 an die Fehlerbehandlungsvorrichtung 101 (Schaltung 101) übertragen wird.
  • Zum Beispiel kann die Fehlerbehandlungsvorrichtung 101 (die Schaltung 101) so konfiguriert werden, dass das Fehlersignal 103 (zum Beispiel als Fehlerzustandssignal 107) abgesendet wird, wenn die Fehlerbehandlungsvorrichtung 101 (Schaltung 101) innerhalb einer vorgegebenen Verzögerungszeit kein Regenerierungssignal 105 empfängt. Ferner kann die Fehlerbehandlungsvorrichtung 101 (Schaltung 101) das Fehlersignal 103 nicht absenden, wenn sie innerhalb einer vorgegebenen Verzögerungszeit ab dem Empfang des Fehlersignals 103 kein Regenerierungssignal 105 empfängt. Mit anderen Worten, das Fehlerzustandssignal 107 kann nicht nur die Information enthalten, dass ein Fehler aufgetreten ist, sondern auch die Information über das Gerät oder den Softwareprozess, die das Fehlersignal erzeugt haben, und auch über die Art des Fehlers, der im externen Gerät oder im Softwareprozess aufgetreten ist.
  • Entsprechend weiteren Ausführungsformen kann ein externes Gerät oder ein Softwareprozess das Regenerierungssignal nur nach Abschwächung des Fehlerzustands im externen Gerät oder im Softwareprozess generieren. Daher kann in einigen Ausführungsformen der vorliegenden Erfindung die Fehlerbehandlungsvorrichtung 101 (die Schaltung 101) so konfiguriert werden, dass das Regenerierungssignal 105 empfangen wird, das eine Abschwächung des Fehlerzustands im externen Gerät oder im Softwareprozess anzeigt oder, mit anderen Worten, anzeigt, dass der Fehlerzustand, der in dem Fehlersignal 103 gemeldet wurde, nicht mehr vorhanden ist.
  • Im Folgenden wird angenommen, dass die Fehlerbehandlungsvorrichtung 101 eine Schaltung ist, die so konfiguriert ist, dass sie das Fehlersignal und das Regenerierungssignal von einem externen Gerät empfängt. Trotzdem ist in einer alternativen Implementierung der Fehlersignalbehandlungseinheit 100 die Fehlerbehandlungsvorrichtung 101 ein (Software-)Prozess, der auf einem Prozessorkern läuft, und das Fehlersignal 103 und das Regenerierungssignal 105 werden durch einen weiteren Prozess bereitgestellt, der auf dem gleichen Prozessor(-kern) oder auf einem anderen Prozessor(-kern) als Prozess der Fehlerbehandlungsvorrichtung 101 abläuft. Somit decken die Ausführungsformen der vorliegenden Erfindung auch ”Nur-Software-”-Anwendungen ab, in denen die Fehlersignalbehandlungsvorrichtung 101 ein (Software-)Prozess ist, der das Fehlersignal 103 und das Regenerierungssignal 105 empfängt und das Fehlerzustandssignal 107 bereitstellt, und in dem das Fehlersignal 103 und das Regenerierungssignal 105 durch einen weiteren (Software-)Prozess bereitgestellt werden. Bei solch einer Implementierung gibt das Fehlersignal 103 einem Fehlerzustand im weiteren Prozess an und das Regenerierungssignal 105 eine Minderung des Fehlerzustands im weiteren Prozess an oder zeigt an, dass eine Abschwächung des Fehlerzustands im weiteren Prozess möglich ist. Daher ist die folgende Beschreibung, die basierend auf einer Schaltung und einem externen Gerät bereitgestellt wird, auch auf die oben genannte ”Nur-Software-”-Anwendung anwendbar, bei der die Schaltung durch einen Prozess ersetzt wird und das externe Gerät durch einen weiteren Prozess ersetzt wird.
  • 1b zeigt ein Blockschaltbild einer Fehlersignalbehandlungseinheit 150 gemäß einer weiteren Ausführungsform der vorliegenden Erfindung. Die Fehlersignalbehandlungseinheit 150 unterscheidet sich von der in 1a dargestellten Fehlersignalbehandlungseinheit 100 darin, dass die Fehlersignalbehandlungseinheit 150, verglichen mit der Schaltung 101 der 1a, eine komplexere Schaltung 151 umfasst. Diese Schaltung 151 kann eine mögliche Anwendung der in 1a dargestellten Schaltung 101 sein.
  • Weitere Ausführungsformen der vorliegenden Erfindung können, verglichen mit der Schaltung 101, einige oder alle der zusätzlichen Merkmale der Schaltung 151 enthalten.
  • Die Schaltung 151 umfasst eine Fehlersignaldecodierungsstufe 153, eine Protokollermittlungsstufe des Regenerierungssignals 155 und eine Fehlerzustandssignalerzeugungsstufe 157.
  • Entsprechend weiterer Ausführungsformen der vorliegenden Erfindung kann die Fehlersignalbehandlungseinheit 150 einen ersten Anschluss 159, der zum Empfang des Fehlersignals 103 oder einer Vielzahl von Fehlersignalen 103 konfiguriert ist, einen zweiten Anschluss 161, der zum Empfang des Fehlersignals 105 oder einer Vielzahl von Fehlersignalen 105 konfiguriert ist, und einen dritten Anschluss 163, der zur Ausgabe oder Bereitstellung eines Fehlerzustandssignals 107 oder einer Vielzahl von Fehlerzustandssignalen 107 konfiguriert ist, umfassen.
  • In dem in 1b gezeigten Beispiel ist die Fehlersignalbehandlungseinheit 150 so konfiguriert, dass sie das Fehlersignal 103 und Regenerierungssignal 105 an zwei unterschiedlichen Anschlüssen 159 und 161 (z. B. durch Verwendung eines ersten Kommunikationsprotokolls bzw. einer ersten Kommunikationsleitung für das Fehlersignal 103 und durch Verwendung eines zweiten Kommunikationsprotokolls bzw. einer zweiten Kommunikationsleitung für das Regenerierungssignal 105) empfängt. Trotzdem kann gemäß weiteren Ausführungsformen der vorliegenden Erfindung eine Fehlersignalbehandlungseinheit 150 ebenfalls einen Anschluss zum Empfang des Fehlersignals 103 und des Regenerierungssignals 105 (z. B. durch Verwendung ein und desselben Kommunikationsprotokolls bzw. ein und derselben Kommunikationsleitung zum Empfang des Fehlersignals 103 und des Regenerierungssignals 105) umfassen.
  • Zum Beispiel: In einer sehr einfachen Ausführungsform, in der nur ein Bit (das an diesem einem Anschluss zum Empfang des Fehlersignals 103 und des Regenerierungssignals 105 empfangen werden kann) zur Signalisierung des Fehlersignals 103 und des Regenerierungssignals 105 benutzt wird, kann das Fehler signal 103 einem ersten Zustand dieses Bits an diesem einen Anschluss (z. B. einem Hochzustand oder einem Niedrigzustand) entsprechen, während das Regenerierungssignal 105 einem zweiten Zustand dieses Bits an diesem einem Anschluss (z. B. einem Niedrigzustand oder einem Hochzustand) entsprechen kann, was sich vom ersten Zustand unterscheidet. Unter einer normalen Bedingung hätte dieses Bit den zweiten Zustand, der anzeigt, dass kein Fehler vorhanden ist. Tritt ein Fehler auf, würde das externe Gerät den Zustand dieses Bits vom zweiten Zustand zum ersten Zustand verändern, was dem Fehlerzustandssignal 103 entspricht. Die Schaltung 151 kann so konfiguriert werden, dass, wenn dieses Bit nicht innerhalb der vorgegebenen Verzögerungszeit zum zweiten Zustand zurückgeändert wird (was dem Regenerierungssignal 105 entspricht), das Fehlerzustandssignal 107 ausgegeben wird und somit (falls das Bit innerhalb der vorgegebenen Verzögerungszeit zum zweiten Zustand zurückgeändert wird) das Fehlerzustandssignal 107 nicht ausgegeben wird.
  • Ein Vorteil bei der Verwendung der zwei unterschiedlichen Anschlüsse 159 und 161 für das Fehlersignal 103 und das Regenerierungssignal 105 ist, dass unterschiedliche Kommunikationsprotokolle für das Fehlersignal 103 und das Regenerierungssignal 105 verwendet werden können, wie z. B. ein nicht so komplexes, aber vielmehr robustes Protokoll für das Fehlersignal 103 und ein komplexeres Protokoll (aber vielleicht nicht so robustes) für das Regenerierungssignal 105. Somit kann ermöglicht werden, dass speziell die Fehlersignale 103 in robuster und schneller Weise vom externen Gerät der Fehlersignalbehandlungseinheit 150 gemeldet werden können, während die Regenerierungssignale 105 (die nicht so zeitkritisch wie die Fehlersignale 103 sein können) ein komplexeres Kommunikationsprotokoll verwenden können, das die Übertragung einer größeren Informationsmenge ermöglicht. Mit anderen Worten, durch die Verwendung der zwei unterschiedlichen Anschlüsse 159 und 161 kann erreicht werden, dass sogar unter schlechtesten Bedingungen ein Fehlersignal, das durch ein externes Gerät generiert wird, in der Fehlersignalbehandlungseinheit 150 empfangen wird und als Fehlerzustandssignal 107 zu einem weiteren externen Gerät abgegeben werden kann, während ein entsprechendes Regenerierungssignal 105 unter diesen schlechtesten Bedingungen vielleicht nicht seinen Weg vom externen Gerät zur Fehlersignalbehandlungseinheit 150 findet. Daher wäre das schlimmste, was passieren könnte, dass das weitere externe Gerät in den störungssicheren Modus geht, obwohl der Fehlerzustand im externen Gerät bereits abgeschwächt ist. Dennoch ist dieses Hineingehen in den störungssicheren Modus immer noch besser als wenn überhaupt nicht in den störungssicheren Modus gegangen wird, z. B. wenn das Fehlersignal 103 nicht seinen Weg zur Fehlersignalbehandlungseinheit 150 findet (z. B. wenn ein nicht so robustes Kommunikationsprotokoll verwendet wird).
  • Der erste Anschluss 159, der das Fehlersignal 103 empfängt, kann zum Beispiel eine einzelne Bitleitung sein, in der ein erster Zustand der Bitleitung (z. B. ein „Hoch”-Zustand) einen Fehlerzustand anzeigt, während ein zweiter Zustand der Bitleitung (z. B. ein „Niedrig”-Zustand) angibt, dass kein Fehlerzustand im externen Gerät vorhanden ist. Gemäß weiterer Ausführungsformen kann der zweite Anschluss 161 ein sogenannter SPI-Anschluss (SPI – Serial Peripheral Interface) sein, der z. B. mindestens drei Kommunikationsleitungen oder Kommunikationsdrähte zwischen der Fehlersignalbehandlungseinheit 150 und dem externen Gerät besitzt.
  • Somit können bei einer Ausführungsform die Kommunikationsprotokolle, die für das Fehlersignal 103 und das Regenerierungssignal 105 verwendet werden, unterschiedlich sein, und auch die Anschlüsse 159 und 161 für den Empfang des Fehlersignals 103 und des Regenerierungssignals 105 können sich voneinander unterscheiden.
  • Die Fehlersignaldecodierungsstufe 153 kann so konfiguriert werden, dass sie das Fehlersignal 103 (empfangen am ersten Anschluss 159) decodiert und ein decodiertes Fehlersignal 165 erzeugt. Ferner kann die Fehlersignaldecodierungsstufe 153 so konfiguriert werden, dass sie das decodierte Fehlersignal 165 zur Fehlerzustandssignalerzeugungsstufe 157 liefert.
  • In einer Ausführungsform der vorliegenden Erfindung, in der das Fehlersignal 103 einfach ein Ein-Bit-Signal ist, kann die Fehlersignaldecodierungsstufe 163 so konfiguriert werden, dass einfach dieser Zustand dieses einen Bits als decodiertes Fehlersignal 165 weitergegeben wird. In einer komplexeren Ausführungsform der vorliegenden Erfindung, in der das Fehlersignal 103 entsprechend einem komplexeren Kommunikationsprotokoll übermittelt wird (z. B. gemäß einem SPI-Kommunikationsprotokoll, einem CAN-Kommunikationsprotokoll oder einem FlexRay-Kommunikationsprotokoll), kann die Fehlersignaldecodierungsstufe 153 so konfiguriert werden, dass sie das Fehlersignal 103 auf des Basis des Kommunikationsprotokolls des Fehlersignals 103 decodiert.
  • Die Regenerierungssignal-Protokollermittlungsstufe 155 kann so konfiguriert werden, dass das Regenerierungssignal 105 entsprechend einer vorgegebenen Decodierungsvorschrift für das Kommunikationsprotokoll decodiert wird (die sich von der Decodierungsvorschrift für das Kommunikationsprotokoll zum Decodieren des Fehlersignals 103 unterscheiden kann) um ein decodiertes Regenerierungssignal 167 zu erzeugen. Speziell in den Ausführungsformen der vorliegenden Erfindung, die so konfiguriert sind, dass sie mehrere Fehlersignale 103 empfangen können (bei denen z. B. jedes einen anderen Fehlerzustand im externen Gerät anzeigt), kann es vorteilhaft sein, unterschiedliche Regenerierungssignale 105 für die unterschiedlichen Fehlersignale 103 zu empfangen, wobei jedes Regenerierungssignal 105 eine Abschwächung eines bestimmten Fehlerzustands im externen Gerät anzeigt. Somit kann das decodierte Fehlersignal 165 einen speziellen Fehlerzustand im externen Gerät definieren (z. B. aus der Vielzahl möglicher Fehlerzustände), und das decodierte Regenerierungssignal 167 kann ein Abschwächung dieses spezifischen Fehlerzustands im externen Gerät definieren (z. B. aus der Vielzahl möglicher Fehlerzustände im externen Gerät).
  • Die Fehlerzustandssignalerzeugungsstufe 157 kann so konfiguriert werden, dass sie das decodierte Fehlersignal 165 im decodierten Regenerierungssignal 167 empfängt, und kann konfiguriert werden, um das Fehlerzustandssignal 107 (zum Beispiel als Anfragesignal 107 für den störungssicheren Modus) basierend auf dem decodierten Fehlersignal 165 zu erzeugen. Die Fehlerzustandssignalerzeugungsstufe 157 ist ferner konfiguriert, das Fehlerzustandssignal 107 auszugeben, wenn innerhalb der vorgegebenen Verzögerungszeit die Fehlerzustandssignalerzeugungsstufe 157 kein Regenerierungssignal 167 empfängt (das z. B. eine Abschwächung des speziellen Fehlerzustands angibt, die durch das decodierte Fehlersignal 165 angezeigt wird), und andernfalls kein Fehlerzustandssignal 107 ausgibt.
  • Die Fehlerzustandssignalerzeugungsstufe 157 kann auch (unterbrechungsfreier) verzögerter Fehlerpfad genannt werden, da sie das decodierte Fehlersignal 165 (maximal für die vorgegebene Verzögerungszeit) verzögert, bevor sie das Fehlerzustandssignal 107 ausgibt. Ist die Fehlersignalbehandlungseinheit 150 in der Lage, eine Vielzahl von Fehlersignalen zu verarbeiten (z. B. für eine Vielzahl von unterschiedlichen Fehlerzuständen des externen Gerätes), kann die Fehlerzustandssignalerzeugungsstufe 157 so konfiguriert werden, dass sie kein erstes Fehlerzustandssignal 107, basierend auf einem ersten decodierten Fehlerzustandssignal 165 (das einen ersten Fehlerzustand im externen Gerät anzeigt) ausgibt, wenn sie innerhalb der vorgegebenen Verzögerungszeit ab dem Empfang des ersten decodierten Fehlersignals 165 ein erstes decodiertes Regenerierungssignal 167 empfängt, das eine Abschwächung dieses ersten Fehlerzustands im externen Gerät (und keinen anderen Fehlerzustand im externen Gerät) anzeigt oder angibt, dass eine Abschwächung dieses ersten Fehlerzustands (und keines anderen Fehlerzustands im externen Gerät) möglich ist.
  • Wie bereits oben erwähnt, kann die Fehlerzustandssignalerzeugungsstufe 157 so konfiguriert werden, dass das Fehlerzustandssignal 107 als Anfragesignal 107 für den störungssicheren Modus erzeugt wird. Dieses Anfragesignal 107 für den störungssicheren Modus kann auf dem Fehlersignal 103 beruhen und kann eine Anfrage an das weitere externe Gerät (z. B. angeschlossen an einen dritten Anschluss 163) anzeigen, in den störungssicheren Modus zu gehen. Es muss nochmals darauf hingewiesen werden, dass das Hineingehen in den störungssicheren Modus mit der Fehlersignalbehandlungseinheit 150 verhindert werden kann, wenn der Fehlerzustand, auf dessen Grundlage dieses Anfragesignal 107b für den störungssicheren Modus beruht, erzeugt werden kann und innerhalb der vorgegebenen Verzögerungszeit abgeschwächt wird oder wenn an die Fehlersignalbehandlungseinheit 150 innerhalb der vorgegebenen Verzögerungszeit gemeldet wird, dass dieser Fehlerzustand abgeschwächt werden kann.
  • Ferner kann, wie aus der 1b zu ersehen, die Schaltung 151 (z. B. die Fehlersignalzustandserzeugungsstufe 157) so konfiguriert werden, dass die vorgegebene Verzögerungszeit durch einen Benutzer konfiguriert werden kann. Dafür kann zur Fehlersignalbehandlungseinheit 150 einen vierten Anschluss 169 gehören, an dem es ein Verzögerungszeiteinstellsignal 171 empfängt. Die Fehlersignalzustandserzeugungsstufe 157 kann konfiguriert werden, um die vorgegebene Verzögerungszeit nach Empfang dieses Verzögerungszeiteinstellsignals 171 einzustellen.
  • Entsprechend weiteren Ausführungsformen ist es auch möglich, dass die vorgegebene Verzögerungszeit einen festen Teil umfasst, der nicht vom Benutzer eingestellt werden kann, und einen einstellbaren Teil, der vom Benutzer eingestellt werden kann. Mit anderen Worten, die Schaltung 151 (z. B. die Fehlersignalzustandserzeugungsstufe 157) kann so konfiguriert werden, dass sie mindestens für den festen Teil des vorgegebenen Verzögerungszeiteinstellsignals wartet, bevor sie den Fehlerzustand 107 ausgibt (abhängig vom Verzögerungszeiteinstellsignal 171), da dieses Verzögerungszeiteinstellsignal 171 nur zur Einstellung des einstellbaren Teils der vorgegebenen Verzögerungszeit verwendet wird.
  • Mit anderen Worten, der feste Teil der vorgegebenen Verzögerungszeit kann eine Mindestwartezeit zwischen einem Empfang des Fehlersignals 103 und der Erzeugung des Fehlerzustandssignals 107 festlegen, die durch den Benutzer basierend auf dem einstellbaren Teil der vorgegebenen Verzögerungszeit verlängert werden kann.
  • Entsprechend weiteren Ausführungsformen, in denen die Fehler signalverarbeitungseinheit 150 so konfiguriert ist, dass sie unterschiedliche Fehlersignale 103 verarbeitet, kann die Schaltung 151 (z. B. die Fehlerzustandserzeugungsstufe 157) unterschiedliche Verzögerungszeiten für unterschiedliche Fehlersignale 103 aufweisen. Zum Beispiel können für nicht so kritische Fehlerzustände im externen Gerät die vorgegebenen Verzögerungszeiten länger sein als für kritischere Fehlerzustände im externen Gerät.
  • Die Schaltung 151 kann zum Beispiel so konfiguriert werden, dass sie ein erstes Fehlersignal empfängt, das einen ersten Fehlerzustand im externen Gerät anzeigt, und ein erstes Regenerierungssignal empfängt, das eine Abschwächung des ersten Fehlerzustands angibt oder das anzeigt, dass eine Abschwächung des ersten Fehlerzustands im externen Gerät möglich ist. Die Schaltung 151 kann so konfiguriert werden, dass sie als Reaktion auf einen Empfang des ersten Fehlersignals ein erstes Fehlerzustandssignal ausgibt, das auf dem ersten Fehlersignal beruht, wenn innerhalb einer ersten vorgegebenen Verzögerungszeit ab dem Empfang des ersten Fehlersignals die Schaltung 151 kein erstes Regenerierungssignal empfängt. Ferner kann die Schaltung 151 konfiguriert werden, um ein zweites Fehlersignal zu empfangen, das einen zweiten Fehlerzustand im externen Gerät anzeigt (der sich vom ersten Fehlerzustand unterscheiden kann) und um ein zweites Regenerierungssignal zu empfangen, das eine Abschwächung des zweiten Fehlerzustands angibt oder anzeigt, dass eine Abschwächung des zweiten Fehlerzustands im externen Gerät möglich ist. Die Schaltung 151 kann weiterhin so konfiguriert werden, dass sie als Reaktion auf einen Empfang des zweiten Fehlersignals ein zweites Fehlerzustandssignal ausgibt, das auf dem zweiten Fehlersignal basiert, wenn innerhalb einer zweiten vorgegebenen Verzögerungszeit ab dem Empfang des zweiten Fehlersignals die Schaltung 151 kein zweites Regenerierungssignal empfängt.
  • Die erste Verzögerungszeit und die zweite Verzögerungszeit können sich voneinander unterscheiden. Zum Beispiel kann der erste Fehlerzustand ein kritischerer Fehlerzustand sein als der zweite Fehlerzustand, und deshalb kann die erste vorgegebene Verzögerungszeit kürzer sein als die zweite vorgegebene Verzögerungszeit.
  • Entsprechend weiterer Ausführungsformen der vorliegenden Erfindung kann die Schaltung 151 (z. B. die Fehlerzustandserzeugungsstufe 157) so konfiguriert werden, dass das Fehlerzustandssignal 107 unabhängig von der Art des erhaltenen Fehlersignals 103 erzeugt wird (oder mit anderen Worten, unabhängig vom Fehlerzustand im externen Gerät). Die Schaltung 151 kann zum Beispiel das gleiche Fehlerzustandssignal 107 für das erste Fehlersignal und für das zweite Fehlersignal erzeugen. Das Fehlerzustandssignal 107 kann zum Beispiel ein sehr robustes Kommunikationsprotokoll verwenden (wie z. B. eine Ein-Bit-Leitung), in der ein hohes Signal eine Anfrage für das Hineingehen in den störungssicheren Modus anzeigt und das niedrige Signal anzeigt, dass kein Fehlerzustand vorliegt, und daher, dass kein störungssicherer Modus benötigt wird. Mit anderen Worten, die Schaltung 151 kann so konfiguriert werden, dass das erste Fehlerzustandssignal und das zweite Fehlerzustandssignal so erzeugt wird, dass das erste Fehlerzustandssignal gleich dem zweiten Fehlerzustandssignal ist.
  • Natürlich ist es gemäß weiteren Ausführungsformen der vorliegenden Erfindung möglich, dass das erste Fehlerzustandssignal und das zweite Fehlerzustandssignal sich voneinander unterscheiden. Zum Beispiel kann das erste Fehlerzustandssignal Informationen über den ersten Fehlerzustand enthalten, und das zweite Fehlerzustandssignal kann Informationen über den zweiten Fehlerzustand enthalten.
  • Die Schaltung 151 kann als eine Fehlersignalverzögerungsstufe 151 bezeichnet werden, die zwischen dem ersten Anschluss 159, dem zweiten Anschluss 161 und dem dritten Anschluss 163 gekoppelt ist. Der erste Anschluss 159 kann auch als erster Eingangsanschluss, der zweite Anschluss 161 kann auch als zweiter Eingangsanschluss und der dritte Anschluss 163 kann auch als Ausgangsanschluss bezeichnet werden.
  • Die Fehlersignalverzögerungsstufe 151 ist konfiguriert, um als Reaktion auf einen Empfang des Fehlersignals 103 (das den Fehlerzustand im externen Gerät anzeigt) vom externen Gerät am ersten Eingangsanschluss 159 das Fehlerzustandssignal 107 bereitzustellen, basierend auf dem Fehlersignal 103 am Ausgangsanschluss 107, wenn innerhalb der vorgegebenen Verzögerungszeit die Fehlersignalverzögerungsstufe 151 kein Regenerierungssignal 105 (das eine Abschwächung des Fehlerzustands im externen Gerät angibt oder anzeigt, dass eine Abschwächung des Fehlerzustands im externen Gerät möglich ist) vom externen Gerät am zweiten Eingangsanschluss 161 empfängt, und ansonsten kein Fehlerzustandssignal 107 auszugeben.
  • 2a zeigt ein Blockschaltbild eines Gerätes 200 gemäß einer Ausführungsform der vorliegenden Erfindung. Das Gerät 200 kann zum Beispiel ein externes Gerät sein, das so konfiguriert ist, dass es an die Fehlersignalbehandlungseinheit 100 angeschlossen wird, die in 1a dargestellt ist bzw. an die Fehlersignalbehandlungseinheit 150 angeschlossen wird, die in 1b dargestellt ist.
  • Das externe Gerät 200 kann zum Beispiel ein sogenannter MCU (MCU – Microcontroller) sein, der bei Feststellung eines Fehlerzustands im Gerät 200 ein Fehlersignal 103 erzeugt, und der so konfiguriert ist, dass er ein Regenerierungssignal 105 erzeugt, wenn der Fehlerzustand im Gerät 200 abgeschwächt wird oder wenn der Fehlerzustand im Gerät 200 abgeschwächt werden kann.
  • Mit anderen Worten, das Gerät 200 ist so konfiguriert, dass es als Reaktion auf einem Fehlerzustand im Gerät 200 das Fehlersignal 103 ausgibt, das den Fehlerzustand anzeigt und als Reaktion auf eine Abschwächung des Fehlerzustands oder wenn eine Abschwächung des Fehlerzustands möglich ist, das Regenerierungssignal 105 ausgibt, das die Abschwächung oder die Möglichkeit der Abschwächung des Fehlerzustands anzeigt.
  • Das Gerät 200 kann also so konfiguriert werden, dass es feststellt, wenn ein Fehlerzustand im Gerät 200 vorhanden ist, und kann bei Feststellung eines solchen Fehlerzustands das Fehlersignal 103 ausgeben. Das Gerät 200 kann auch so konfiguriert werden, dass es ermittelt, ob ein Fehlerzustand im Gerät 200 abgeschwächt oder regeneriert werden kann, und das Regenerierungssignal 105 ausgibt, wenn der Fehlerzustand abgeschwächt oder regeneriert wird oder wenn das Gerät 200 festgestellt hat, dass der Fehlerzustand abgeschwächt oder behoben werden kann.
  • Entsprechend weiteren Ausführungsformen der vorliegenden Erfindung kann das 200 einen ersten Anschluss 201 zur Bereitstellung des Fehlersignals 103 und einen zweiten Anschluss 203 zur Bereitstellung des Regenerierungssignals 105 enthalten. Das Gerät 200 kann zum Beispiel so konfiguriert werden, dass es das Fehlersignal 103 (am ersten Anschluss 201) gemäß einem ersten Kommunikationsprotokoll und das Regenerierungssignal 105 (am zweiten Anschluss 203) gemäß einem zweiten Kommunikationsprotokoll ausgibt, wobei das erste und das zweite Kommunikationsprotokoll unterschiedlich sein können.
  • Wie bereits im Zusammenhang mit der Fehlersignalbehandlungseinheit 150 erwähnt, kann das erste Kommunikationsprotokoll für das Fehlersignal 103 ein robusteres Protokoll sein als das zweite Kommunikationsprotokoll für das Regenerierungssignal 105, z. B. so, dass ein Verlust des Fehlersignals 103 selbst unter den schlechtesten Bedingungen viel unwahrscheinlicher ist als der Verlust des Regenerierungssignals 105.
  • Der erste Anschluss 201 kann zum Beispiel mit dem ersten Anschluss 159 der Fehlersignalbehandlungseinheit 150 kompatibel sein und der zweite Anschluss 203 kann mit dem zweiten Anschluss 161 der Fehlersignalbehandlungseinheit 150 kompatibel sein. Das erste Anschluss 201 kann zum Beispiel ein Einzelstift sein (z. B. wenn das Fehlersignal 103 mit nur einer Signalleitung übertragen wird), während der zweite Anschluss 203 ein komplexerer Anschluss sein kann (der eine Vielzahl von unterschiedlichen Stiften oder Kontakten enthält), wie z. B., ein SPI-Anschluss, CAN-Anschluss oder FlexRay-Anschluss.
  • Entsprechend weiterer Ausführungsformen kann der erste Anschluss 103 auch komplexer sein (z. B. mehr als einen Stift oder Kontakt enthalten), z. B. ein SPI-Anschluss, CAN-Anschluss oder FlexRay-Anschluss.
  • Entsprechend weiterer Ausführungsformen der vorliegenden Erfindung kann ein Gerät so konfiguriert werden, dass das Fehlersignal 103 und das Regenerierungssignal 105 an einem gemeinsamen Anschluss bereitgestellt werden (z. B. einem SPI-Anschluss), um zum Beispiel ein und das selbe Kommunikationsprotokoll für das Fehlersignal 103 und das Regenerierungssignal 105 zu verwenden.
  • Entsprechend einer weiteren Ausführungsform der vorliegenden Erfindung kann das Gerät 200 so konfiguriert werden, dass es eine Vielzahl von unterschiedlichen Fehlerzuständen im Gerät 200 feststellt, und kann so konfiguriert werden, dass für jeden Fehlerzustand der Vielzahl von unterschiedlichen Fehlerzuständen ein einzigartiges Fehlersignal 103 erzeugt wird, das diesen Fehlerzustand anzeigt. Ferner kann das Gerät 200 so konfiguriert werden, dass für jeden möglichen Fehlerzustand der Vielzahl von unterschiedlichen Fehlerzuständen ein einzigartiges Regenerierungssignal 105 erzeugt wird, das eine Abschwächung oder die Möglichkeit der Abschwächung dieses Fehlerzustands im Gerät 200 anzeigt.
  • Entsprechend weiterer Ausführungsformen der vorliegenden Erfindung kann das Gerät 200 so konfiguriert werden, dass es ein qualifiziertes Regenerierungssignal ausgibt, so dass das Gerät 200 zwei Informationssätze aufweist, die darüber informieren, dass der Fehlerzustand verschwunden oder abgeschwächt ist: das Regenerierungssignal 105 und das Fehlersignal 103. Nach der Regenerierung (oder nach der Abschwächung des Fehlerzustands) kann zum Beispiel das Fehlersignal 103 unter Hardwarekontrolle ausgelöst oder zurückgesetzt werden, wenn die beabsichtigten (Regenerierungs-)ereignisse stattgefunden haben, und das Regenerierungssignal 105 kann als zusätzliche Bestätigung von der Software angesehen werden. Mit anderen Worten, das Fehlersignal 103 kann, zusammen mit dem Regenerierungssignal 105 als qualifiziertes Regenerierungssignal bezeichnet werden, wobei das externe Gerät 200 so konfiguriert werden kann, dass das Fehlersignal 103 nach einer Abschwächung des Fehlerzustands zurückgesetzt wird, wodurch angezeigt wird, dass im externen Gerät 200 kein Fehlerzustand mehr vorhanden ist, und zusätzlich durch das Regenerierungssignal 105 eine Bestätigung erbracht wird, dass der Fehlerzustand abgeschwächt ist.
  • Eine Fehlersignalbehandlungseinheit (z. B. die Fehlersignalbehandlungseinheit 100 oder 150) kann so konfiguriert werden, dass nur dann kein Fehlerzustandssignal 107 ausgegeben wird, wenn innerhalb der vorgegebenen Verzögerungszeit ab dem Empfang des Fehlersignals 103 dieses qualifizierte Regenerierungssignal empfangen wird (das auf einem Reset des Fehlersignals 103 und auf der Bestätigung der Abschwächung des Fehlerzustands durch das zusätzliche Regenerierungssignal 105 beruht).
  • Im Gegensatz dazu und gemäß weiterer Ausführungsformen kann das Gerät 200, wie schon beschrieben, so konfiguriert werden, dass das Fehlersignal 103 und das Regenerierungssignal 105 so bereitgestellt wird, dass das Regenerierungssignal durch ein Reset des Fehlersignals 103 gebildet wird. In diesen Falle kann das Gerät 200 so konfiguriert werden, dass es das Fehlersignal 103 und das Regenerierungssignal 105 an ein und demselben Anschluss bereitstellt.
  • 2b zeigt eine Beispielimplementierung des Gerätes 200 zusammen mit einer Fehlersignalbehandlungseinheit 100 (die auch als externe Sicherheitsüberwachung bezeichnet werden kann). Das Gerät 200 beinhaltet eine Vielzahl von Prozesssteuerungen 201a bis 201n und eine interne Sicherheitsüberwachung 203. Die interne Sicherheitsüberwachung 203 ist so konfiguriert, dass sie einen festgestellten Fehlerzustand (z. B. als Übertragung eines internen Fehlerereignisses 205) an die Vielzahl von Prozesssteuerungen 201a bis 201n überträgt. Ferner ist jede der Prozesssteuerungen 201a bis 201n so konfiguriert, dass sie als Reaktion auf den empfangenen Fehlerzustand 205 eine Fehlerroutine durchführt. Die interne Sicherheitsüberwachung 203 ist so konfiguriert, dass sie auf der Basis der Ergebnisse der Fehlerroutinen, die durch die Prozesssteuerungen 201a bis 201n beim Empfang des Fehlerzustands 205 durchgeführt wurden, das Regenerierungssignal 105 ausgibt.
  • Um das Obengenannte zusammenzufassen: Das ”externe Fehlerereignis” (das Fehlersignal 103), das an die Fehlersignalbehandlungseinheit 100 übertragen wird, wird auch an alle Prozesssteuerungen 201a bis 201n übertragen. Eine solche Prozesssteuerung 201a bis 201n kann zum Beispiel ein (Software-)prozess 201a bis 201n sein. Unterschiedliche solche Softwareprozesse können auf unterschiedlichen Prozesskernen ausgeführt werden (z. B. auch von unterschiedlichen (eingebetteten) Prozessoren), aber auch auf ein und demselben Prozessor (z. B. sogar auf dem gleichen Prozessorkern dieses Prozessors).
  • Jede Prozesssteuerung (z. B. jeder Softwareprozess oder Prozessor) 201a bis 201n ist statisch programmiert, nach Erhalt des internen Fehlerereignisses 205 eine bestimmte Aktion durchzuführen (Softwareprogramm oder Softwareroutine – die Fehlerroutine). Dadurch wird die Anwendung einer Fehlerbehandlung mit N Varianten ermöglicht.
  • Mindestens eine der Prozesssteuerungen 201a bis 201n (oder Prozessoren) kann statisch programmiert werden, eine Abstimmung unter den Ergebnisse der anderen Prozesssteuerungen 201a bis 201n (oder Prozessoren) ausführen zu lassen. Dieser Prozessor ist dazu konfiguriert, den sicheren Zustand durch eine bestimmte Schnittstelle (normalerweise mehrere Stifte) zu steuern und ermöglicht eine sichere und zuverlässige Regenerierung, zum Beispiel durch ein Regenerierungmöglich-Signal 207 an die interne Sicherheitsüberwachung 203, die dann das Regenerierungssignal 105 erzeugt.
  • Eine solche Methode befähigt das System, die Verantwortung der Fehlersignalbehandlungseinheit 100 zu reduzieren, um den sicheren Zustand nur dann zu steuern (d. h. das Fehlerzustandssignal 107 zu erzeugen), wenn globale Fehler auftreten, die alle Prozessoren oder Prozesssteuerungen 201a bis 201b beeinträchtigen. In den anderen Situationen ist eine SW-Regenerierung, ausgelöst durch den Fehlervorfall, möglich (z. B. durch Verwendung einer Regenerierungsrountine 215). Die Fähigkeit, mehrere Regenerierungsprogramme laufen zu lassen und eine Abstimmung durchzuführen, befähigt das System, Situationen festzustellen, bei denen M von N Prozessoren oder Prozesssteuerungen 201a bis 201n nicht funktionsfähig sind.
  • Das gleiche Prinzip könnte auf mehrere Threads zutreffen. Eine vorgegebene Anzahl von Threads (T) wird in unterschiedlichen Prozessoren aktiviert (N mit N =< T).
  • Ferner umfasst das Gerät 200 eine Kontrollschnittstelle des sicheren Zustands 209, an die der interne Fehlerfall 205 ebenfalls gesendet wird und die automatisch einen Fehlerzustand anzeigt.
  • Deshalb gibt es in dem sicherheitsbezogenen System, das in der 2b dargestellt wird, zwei Wege oder zwei Kanäle, die den sicheren Zustand kontrollieren können (z. B. das Fehlerzustandssignal 107 erzeugen können).
  • Einer ist unabhängig von der Anwendung und wird automatisch durch die dafür bestimmten Hardware- und Softwareelemente gesteuert. Das wird durch die interne Sicherheitsüberwachung 203 und die Fehlersignalbehandlungseinheit 100 realisiert.
  • Der andere ist eine anwendungsabhängige sichere Zustandskontrolle, bei der die Anwendung eine Situation feststellt, die das Potential hat, ein Sicherheitsziel zu verletzen. Zum Beispiel liefert ein externer Sensor eine falsche Information: Die Anwendung oder das Gerät 200 überwacht diesen Sensor mit einem zweiten und wenn zwischen diesen beiden Sensoren eine Diskrepanz beobachtet wird, kann die Anwendung oder das Gerät 200 entscheiden, in den dafür bestimmten Sicherheitszustand zu gehen (das Fehlerzustandssignal 107 erzeugen). Das erfolgt über die Kontrollschnittstelle des sicheren Zustands 209. In diesem Falle meldet die interne Sicherheitsüberwachung 203 keinen Fehler, weil kein Hardwarefehler im Mikrocontroller oder im (Sicherheits-)Gerät 200 vorliegt.
  • Das Gerät 200 kann außerdem aus mehreren Hardware- oder Softwareüberwachungen 210 bestehen, die so konfiguriert sind, dass sie die Prozesssteuerungen 201a bis 201n überwachen, und so gestaltet sind, eine Fehlermeldung 211 zu erzeugen, auf die die interne Sicherheitsüberwachung als Reaktion das Fehlersignal 103 generiert. In anderen Ausführungsformen des Gerätes 200 könnten diese Hardware- oder Softwareüberwachungen 210 weggelassen werden und die interne Sicherheitsüberwachung 203 selbst führt die Überwachung der Prozesssteuerungen 201a bis 201n aus. Ferner können diese Hardware- oder Softwareüberwachungen so konfiguriert werden, dass sie weitere Hardwarekomponenten 213 überwachen (die sich auch außerhalb des Gerätes 200 befinden können).
  • Weiterhin ist die interne Sicherheitsüberwachung 203 so konfiguriert, dass das Regenerierungssignal 105 ausgegeben wird, wenn mindestens für eine vorgegebene Anzahl von Prozesssteuerungen 201a bis 201n die Ergebnisse der durch diese vorgegebene Anzahl der Prozesssteuerungen 201a bis 201n ausgeführten Fehlerroutinen den erwarteten Ergebnissen entsprechen und sonst das Ausgeben des Regenerierungssignals 105 weggelassen wird. Mit anderen Worten, es wird eine Abstimmung durchgeführt, auf deren Grundlage die interne Sicherheitsüberwachung 203 das Regenerierungssignal 105 erzeugt. Wie bereits beschrieben, kann diese Abstimmung von einer der Prozesssteuerungen (z. B. eine Prozesssteuerung 201a) oder auch von der internen Sicherheitsüberwachung 203 selbst ausgeführt werden.
  • Zum Beispiel kann die Abstimmung ein Softwareprogramm sein, das mindestens M von N (M < N) identische Resultate aus N unabhängigen Softwareprogrammen (oder Fehlerroutinen) erwartet, die durch die Prozesssteuerungen 201a bis 201n ausgeführt wurden. Diese N Softwareprogramme sind verantwortlich dafür, die Fehlersituation einzuschätzen und zu sagen, ob sie die Regenerierung akzeptieren. Normalerweise verwendet jedes der N Softwareprogramme einen ”anderen” Algorithmus, um seine eigene Beurteilung der Fehlersituation vorzunehmen. Deshalb sind die Prozesssteuerungen 201a bis 201n so konfiguriert, dass die Fehlerroutinen, die durch die unterschiedlichen Prozesssteuerungen 201a bis 201n aus der Vielzahl der Prozesssteuerungen 201a bis 201n ausgeführt wurden, sich bei einer Ausführungsform voneinander unterscheiden.
  • Bei einer weiteren Ausführungsform ist die interne Sicherheitsüberwachung 203 so konfiguriert, dass sie das Regenerierungssignal 105 ausgibt, wenn mindestens ein Ergebnis von einer der Fehlerroutinen, die von den Prozesssteuerungen 201a bis 201n durchgeführt wurden, mit einem erwarteten Ergebnis übereinstimmt, und ansonsten kein Regenerierungssignal 105 ausgibt.
  • Wie oben bereits erwähnt, können die Prozesssteuerungen 201a bis 201n Softwareprozesse sein, die auf unterschiedlichen Prozessorkernen laufen.
  • Ferner umfasst das Gerät 200 das Regenerierungsprogamm 215. Das Regenerierungsprogamm ist so konfiguriert, dass es eine Regenerierungroutine an den Prozesssteuerungen 201a bis 201n vornimmt, für die ein Ergebnis der von diesen Prozesssteuerungen 201a bis 201n durchgeführten Fehlerroutine nicht mit dem erwarteten Ergebnis übereinstimmt. Das Gerät 200 kann also eine Selbstregenerierung vornehmen. In den Fällen, in denen die Selbstregenerierung möglich ist oder bereits erfolgreich ausgeführt wurde, erzeugt die interne Sicherheitsüberwachung 203 das Regenerierungssignal 105.
  • 3a zeigt ein Blockschaltbild eines Fehlersignalbehandlungssystems 300 gemäß einer weiteren Ausführungsform der vorliegenden Erfindung.
  • Das Fehlersignalbehandlungssystem 300 besteht aus dem externen Gerät 200, das in 2a oder 2b dargestellt ist, und der Fehlersignalbehandlungseinheit 100, die in 1a dargestellt ist. Daher treffen die Erläuterungen, die für die Fehlersignalbehandlungseinheit 100 und das externe Gerät 200 gegeben werden, auch auf das Fehlersignalbehandlungssystem 300 zu.
  • Wie ersichtlich, ist das (externe) Gerät 200 an die Fehlersignalbehandlungseinheit 100 angeschlossen.
  • Mit anderen Worten, die Fehlersignalbehandlungseinheit 100 ist so konfiguriert, dass sie das Fehlersignal 103 und das Regenerierungssignal 105 vom externen Gerät 200 empfängt und, basierend auf einem Empfang des Fehlersignals 103 vom externen Gerät 200 das Fehlerzustandssignal 107 ausgibt, wenn sie nicht innerhalb der vorgegebenen Verzögerungszeit ab dem Empfang des Fehlersignals 103 das Regenerierungssignal 105 aus dem externen Gerät 200 empfängt.
  • Zusammenfassend zeigt die 3a das Fehlerverarbeitungssystem 300 mit dem Gerät 200, das so konfiguriert ist, dass es als Reaktion auf einen Fehlerzustand im Gerät 200 das Fehlersignal 103 ausgibt, das den Fehlerzustand anzeigt, und als Reaktion auf die Abschwächung des Fehlerzustands oder wenn eine Abschwächung des Fehlerzustands möglich ist, das Regenerierungssignal 105 ausgibt, das die Abschwächung oder die Möglichkeit der Abschwächung des Fehlerzustands anzeigt. Ferner besteht das Fehlersignalbehandlungssystem 300 aus der Fehlersignalbehandlungseinheit 100, zu der die Schaltung 101 gehört, die konfiguriert ist, um das Fehlersignal 103 und das Regenerierungssignal 105 vom Gerät 200 zu empfangen. Die Fehlerbehandlungsvorrichtungsschaltung 101 ist so konfiguriert, das sie das auf dem Fehlersignal 103 basierende Fehlerzustandssignal 107 als Reaktion auf den Empfang des Fehlersignals 103 ausgibt, wenn innerhalb der vorgegebenen Verzögerungszeit ab dem Empfang des Fehlersignals 103, die Schaltung 101 kein Regenerierungssignal 105 empfängt, und andernfalls kein Fehlerzustandssignal 107 ausgibt.
  • Das Gerät 200 kann sich außerhalb des Fehlerverarbeitungssystems 100 befinden.
  • Zum Beispiel kann das Gerät 200 aus einem ersten Substrat bestehen (oder kann auf einem ersten Substrat angeordnet sein), das von einem zweiten Substrat der Fehlersignalbehandlungseinheit 100 (in der z. B. die Fehlersignalbehandlungseinheit 100 angeordnet ist) entfernt platziert wird.
  • Das Gerät 200 kann an die Fehlersignalbehandlungseinheit 100 z. B. durch einen oder mehrere Drähte zur Übertragung des Fehlersignals 103 bzw. des Regenerierungssignals 105 angeschlossen werden.
  • 3b zeigt ein Blockschaltbild eines Fehlersignalbehandlungssystems 350 gemäß einer weiteren Ausführungsform der vorliegenden Erfindung.
  • Das Fehlersignalbehandlungssystem 350 unterscheidet sich von dem in 3a dargestellten Fehlersignalbehandlungssystem 300 darin, dass das Fehlersignalbehandlungssystem 350 statt der Fehlersignalbehandlungseinheit 100 die in 1b dargestellte Fehlersignalbehandlungseinheit 150 umfasst. Außerdem zeigt die 3b ein Blockschaltbild eines weiteren externen Gerätes 352, das sich außerhalb des Fehlersignalbehandlungssystems 350 befinden kann und, das ist das Besondere, eben kein Teil oder keine Komponente des Fehlersignalbehandlungssystems 350 ist. Das Gerät 200 (das sich außerhalb der Fehlersignalbehandlungseinheit 150 befinden kann) ist mit der Fehlersignalbehandlungseinheit 150 gekoppelt. Z. B. kann der erste Anschluss 201 des Geräts 200 an den ersten Anschluss 159 zur Übertragung von Fehlersignalen 103 vom ersten Anschluss 201 des Geräts 200 zum ersten Anschluss 159 der Fehlersignalbehandlungseinheit 150 gekoppelt sein. Der zweite Anschluss 203 des Geräts 200 kann weiterhin an den zweiten Anschluss 161 der Fehlersignalbehandlungseinheit zur Übertragung des Regenerierungssignals 105 vom zweiten Anschluss 203 des Geräts 200 zum zweiten Anschluss 161 der Fehlersignalbehandlungseinheit 150 angeschlossen sein. Das Fehlersignalbehandlungssystem 350 kann so konfiguriert werden, dass es als Ausgabesignal das Fehlerzustandssignal 107 oder das Anfragesignal für den störungssicheren Modus 107, z. B. zu dem weiteren externen Gerät 352 liefert. Wenn das weitere externe Gerät 352 dieses Fehlerzustandssignal 107 oder das Anfragesignal für den störungssicheren Modus 107 empfängt, kann das externe Gerät 352 (das eine ECU sein kann) in den störungssicheren Modus gehen.
  • Wie bereits erwähnt, kann dieses Hineingehen in den störungssicheren Modus beim Fehlersignalbehandlungssystem 350 verhindert werden, wenn der Fehlerzustand im Gerät 200 bereits abgeschwächt ist oder durch die Verzögerung der Weitergabe des Fehlersignals 103 und durch Nichtausgabe des Anfragesignals für den störungssicheren Modus 107 abgeschwächt werden kann, wenn das Regenerierungssignal 105 innerhalb der vorgegebenen Verzögerungszeit empfangen wird.
  • 4 zeigt ein Fließdiagramm einer Methode 500 zur Ausgabe eines Fehlerzustandssignals gemäß einer Ausführungsform der vorliegenden Erfindung.
  • Die Methode 500 umfasst ein Empfangen eines Fehlersignals (z. B. von einem externen Gerät oder einem Softwareprozess), das einen Fehlerzustand angibt (z. B. im externen Gerät oder im Softwareprozess), bei 501.
  • Außerdem umfasst die Methode 500 als Reaktion auf den Empfang des Fehlersignals ein Ausgeben eines auf dem Fehlersignal basierenden Fehlerzustandssignals, wenn innerhalb einer vorgegebenen Verzögerungszeit ab dem Empfang des Fehlersignals kein Regenerierungssignal empfangen wurde, das eine Abschwächung des Fehlerzustands anzeigt (z. B. im externen Gerät oder im Softwareprozess) oder anzeigt, dass eine Abschwächung des Fehlerzustands im externen Gerät möglich ist, und sonst kein Fehlerzustandssignal ausgegeben wird, bei 503.
  • Einige Aspekte der Ausführungsformen der vorliegenden Erfindung werden im Folgenden zusammengefasst.
  • Die Ausführungsformen der vorliegenden Erfindung bieten ein neues Herangehen für sicheren Umgang mit Fehlern, um die Systemverfügbarkeit zu verbessern. Weitere Ausführungsformen der vorliegenden Erfindung gestatten einer ECU, zuverlässig zu vermeiden, bei kritischen Fehlern in den störungssicheren Modus zu gehen, solange dieser Fehler in der gestatteten (vorgegebenen) Verzögerungszeit abgeschwächt wird.
  • Normalerweise werden Auto-ECU so gebaut, dass ein kritischer Fehler immer zum Hineingehen in den störungssicheren Modus führt, so dass eine Fehlerregenerierung nur danach möglich ist. Somit ist es immer noch ein Problem, dass der ECU-Service gestoppt wurde. Aber was früher zulässig war, ist jetzt nicht mehr zulässig, zum Beispiel, die elektronische Lenkung, die jetzt die schweren Fahrzeuge erreicht, wo eine Ausfallsicherung der ECU Bedenken über die Steuerbarkeit der Fahrzeuge auslösen kann.
  • Daher lösen die Ausführungsformen der vorliegenden Erfindung dieses Problem durch Bereitstellung eines Mechanismus/einer Methode, die das Hineingehen in den störungssicheren Modus zuverlässig verhindern, sobald ein Fehler festgestellt wird.
  • Wie aus den 3a und 3b ersichtlich, kann ein solcher Fehlersignalbehandlungsmechanismus auf zwei Pfaden beruhen: dem Fehlerpfad (z. B. ein oder zwei Signale), der benutzt wird, um zu melden, dass ein Fehler von einer externen Komponente festgestellt wurde (z. B. durch das externe Gerät 200, zum Beispiel eine MCU) und dem Regenerierungspfad, der benutzt wird, um den Eintritt in den störungssicheren Modus zu deaktivieren.
  • Einige Ausführungsformen der vorliegenden Erfindung haben folgende Merkmale:
    Eine Schaltung (z. B., die Schaltung 101 oder 151) ist ausgeführt, um festzustellen, dass ein neuer Fehlerzustand von einer externen Schaltung aufgegeben wurde (z. B. durch das externe Gerät 200).
  • Eine vom Benutzer zu konfigurierende Verzögerungseinheit (z. B. die Fehlerzustandssignalerzeugungsstufe 157) ist so konfiguriert, dass sie diesen Fehlerzustand (oder das Fehlersignal 103) verzögert, so dass sie ein Hineingehen in den störungssicheren Modus nicht erzwingen kann, solange die (vorgegebene) Verzögerungszeit nicht abgelaufen ist.
  • Ein Fehlerregenerierungspfad (z. B., innerhalb der Fehlerzustandssignalerzeugungsstufe 157) ist konfiguriert, um die Fehlerübertragung in der Verzögerungseinheit zu blockieren, solange die Fehlerregenerierung stattfindet Ende der benutzerdefinierten (vorgegebenen) Verzögerungszeit, oder mit anderen Worten, solange der Fehlerzustand im externen Gerät 200 vor dem Ende der vorgegebenen Verzögerungszeit abgeschwächt wird.
  • Ausführungsformen der vorliegenden Erfindung können so konfiguriert sein, dass sie sich wiederholende Fehler aus der externen Schaltung, wie bereits beschrieben, unterstützen.
  • In einem Anwendungsbeispiel der Ausführungsformen der vorliegenden Erfindung (z. B. in 3b dargestellt) kann das Fehlersignal 103 aus einem oder zwei Signalen bestehen, wobei ein Fehler während einer bekannten Zeit gemeldet wird. Die Regenerierungssignale 105 können ein robustes Protokoll verwenden, zum Beispiel ein SPI-Protokoll mit einem speziellen Befehl. Die Schaltung 151 kann in einem externen Gerät zur MCU implementiert werden (z. B. zum Gerät 200).
  • Die Ausführungsformen der vorliegenden Erfindung verzögern ein kritisches Fehlersignal, um unter Verwendung unterschiedlicher Signale (der Regenerierungssignale 105), eine Vorgang auszuführen und einen Eintritt in den Fehlermodus zu verschieben. Das ist anders als bei bekannten eingebetteten Systemen, in denen kritische Fehler immer zum Eintritt in die Störungssicherung führen. Daher ist das Verzögern eines kritischen Fehlers ein Musterbeispiel, das durch die Ausführungsformen der vorliegenden Erfindung gebrochen wird.
  • Entsprechend einiger Ausführungsformen (z. B. gemäß der in 3b gezeigten Ausführungsform) kann ein Protokoll zwischen zwei Geräten (z. B. zwischen dem Gerät 200 und der Fehlersignalbehandlungseinheit 150) festgelegt werden, so dass das eine (das Gerät 200), das einen kritischen Fehler aufgibt (z. B. in Form des Fehlersignals 103), dann die Option hat, es durch Verwendung eines robusten Befehls (z. B. das Regenerierungssignal 105) zum anderen Gerät hin (zur Fehlersignalbehandlungseinheit 150) zu deaktivieren.
  • Die Methode 500 kann durch Eigenschaften und Funktionen ergänzt werden, die hier in Bezug auf den Apparat beschrieben sind, und kann durch Verwendung der Hardwarekomponenten des Apparates realisiert werden.
  • Obwohl einige Aspekte im Zusammenhang mit einem Apparat beschrieben worden sind, ist klar, dass diese Aspekte auch eine Beschreibung der entsprechenden Methode darstellen, bei der ein Block oder ein Gerät dem Methodenschritt oder der Eigenschaft eines Methodenschrittes entspricht. Analog dazu stellen die Aspekte, die im Zusammenhang mit einem Methodenschritt beschrieben werden, auch eine Beschreibung eines entsprechenden Blocks oder einer Position oder einer Eigenschaft eines entsprechenden Apparates dar. Einige oder alle Methodenschritte können durch (oder durch Verwendung) einen Hardwareapparat ausgeführt werden, wie zum Beispiel einen Mikroprozessor, einen programmierbaren Computer oder einen elektrischen Schaltkreis. In einigen Ausführungsformen können einige oder mehrere der wichtigsten Methodenschritte durch einen solchen Apparat ausgeführt werden.
  • Abhängig von bestimmten Anwendungsanforderungen können die Ausführungsformen der Erfindung in der Hardware oder in der Software angewendet werden. Die Anwendung kann durch Verwendung eines digitalen nichtflüchtigen Speichermediums, zum Beispiel einer Diskette, einer DVD, einer Blue-Ray, einer CD, einer ROM, einer PROM, einer EPROM, einer EEPROM oder eines FLASH-Speichers ausgeführt werden, die elektronisch lesbare Steuersignale gespeichert haben und mit einem programmierbaren Computersystem kooperieren (oder die fähig sind, zu kooperieren), so dass die entsprechende Methode ausgeführt wird. Deshalb kann das digitale Speichermedium computerlesbar sein.
  • Einige Ausführungsformen gemäß der Erfindung bestehen aus einem Datenträger, der elektronisch lesbare Steuersignale aufweist, die in der Lage sind, mit einem programmierbaren Computersystem zu kooperieren, so dass eine der hier beschriebenen Methoden ausgeführt wird.
  • Generell können die Ausführungsformen der vorliegenden Erfindung als Computerprogrammprodukt mit einem Programmcode angewendet werden, wobei der Programmcode eine der Methoden ausführt, wenn das Computerprogrammprodukt auf dem Computer läuft. Der Programmcode kann zum Beispiel auf einem maschinenlesbaren Träger gespeichert werden.
  • Andere Ausführungsformen enthalten das Computerprogramm zur Ausführung einer der hier beschriebenen Methoden, gespeichert auf einem maschinenlesbaren Träger.
  • Mit anderen Worten, eine Ausführungsform der Erfindungsmethode ist deshalb ein Computerprogramm, das einen Programmcode zur Ausführung einer der hier beschriebenen Methoden besitzt, wenn das Computerprogramm auf dem Computer läuft.
  • Eine weitere Ausführungsform der Erfindungsmethode ist deshalb ein Datenträger (oder ein digitales Speichermedium oder ein computerlesbares Medium), auf dem das Computerprogramm zur Ausführung einer der hier beschriebenen Methoden aufgezeichnet ist. Der Datenträger, das digitale Speichermedium oder das aufgezeichnete Medium sind normalerweise greifbar bzw. nichtflüchtig.
  • Eine weitere Ausführungsform der Erfindungsmethode ist deshalb ein Datenstrom oder eine Sequenz von Signalen, die das Computerprogramm zur weiteren Ausführung einer der hier beschriebenen Methoden darstellen. Der Datenstrom oder die Sequenz von Signalen kann zum Beispiel so konfiguriert werden, dass sie über eine Datenkommunikationsverbindung, z. B. über das Internet übertragen werden.
  • Eine weitere Ausführungsform umfasst ein Verarbeitungsgerät, z. B. einen Computer oder eine speicherprogrammierbare Steuerung, die so konfiguriert oder angepasst sind, dass sie eine der hier beschriebenen Methoden ausführen.
  • Eine weitere Ausführungsform umfasst einen Computer, auf dem das Computerprogramm zur Ausführung einer der hier beschriebenen Methoden installiert ist.
  • Eine weitere Ausführungsform gemäß der Erfindung beinhaltet einen Apparat oder ein System, konfiguriert, um ein Computerprogramm (zum Beispiel elektronisch oder optisch) zur Ausführung einer der hier beschriebenen Methoden an einen Empfänger zu übertragen. Der Empfänger kann, z. B. ein Computer, ein mobiles Gerät, ein Speichergerät oder Ähnliches sein. Der Apparat oder das System können zum Beispiel einen Dateiserver zur Übertragung des Computerprogramms an den Empfänger beinhalten.
  • Bei einigen Ausführungsformen kann eine speicherprogrammierbare Steuerung (zum Beispiel ein feldprogrammierbares Gate Array) verwendet werden, um einige oder alle Funktionen der hier beschriebenen Methoden auszuführen. Bei einigen Ausführungsformen kann ein feldprogrammierbares Gate Array mit einem Mikroprozessor zusammenarbeiten, um eine der hier beschriebenen Methoden auszuführen. Im Allgemeinen werden die Methoden vorzugsweise von irgendeinem Hardwaregerät ausgeführt.
  • Die oben beschriebenen Ausführungsformen sind nur Prinzipbeispiele der vorliegenden Erfindung. Man geht davon aus, dass Modifikationen und Variationen der Anordnungen und die hier beschriebenen Einzelheiten für Fachleute offensichtlich sind. Es ist deshalb beabsichtigt, sich durch die Beschreibung und Erläuterung der hier gezeigten Ausführungsformen nur auf den Umfang der bevorstehenden Patentansprüche zu beschränken und nicht auf die speziellen Einzelheiten.
  • Obwohl sich jeder Patentanspruch nur rückwärts auf einen einzigen Anspruch bezieht, deckt die Veröffentlichung der Ansprüche ebenfalls jegliche denkbaren Kombinationen von Ansprüchen ab.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • ISO 26262 [0004]

Claims (52)

  1. Fehlersignalbehandlungseinheit, die Folgendes aufweist: eine Fehlerbehandlungsvorrichtung, die so konfiguriert ist, dass sie ein Fehlersignal empfängt, das einen Fehlerzustand anzeigt; bei der die Fehlerbehandlungsvorrichtung weiterhin so konfiguriert ist, dass sie ein Regenerierungssignal empfängt, das eine Abschwächung des Fehlerzustands anzeigt oder anzeigt, dass eine Abschwächung des Fehlerzustands möglich ist; und bei der die Fehlerbehandlungsvorrichtung weiterhin so konfiguriert ist, dass sie als Reaktion auf einen Empfang des Fehlersignals ein Fehlerzustandssignal, basierend auf dem Fehlersignal, ausgibt, wenn innerhalb einer vorgegebenen Verzögerungszeit ab dem Empfang des Fehlersignals die Fehlerbehandlungsvorrichtung das Regenerierungssignal nicht empfängt, und andernfalls das Ausgeben des Fehlerzustandssignals unterlässt.
  2. Fehlersignalbehandlungseinheit gemäß Anspruch 1, bei der die Fehlerbehandlungsvorrichtung weiterhin so konfiguriert ist, dass sie das Fehlersignal als Fehlerzustandssignal weitergibt, wenn innerhalb der vorgegebenen Verzögerungszeit die Fehlerbehandlungsvorrichtung das Regenerierungssignal nicht empfängt.
  3. Fehlersignalbehandlungseinheit gemäß Anspruch 1 oder 2, bei der die Fehlerbehandlungsvorrichtung weiterhin so konfiguriert ist, dass sie das Fehlersignal decodiert und das Fehlerzustandssignal basierend auf dem decodierten Fehlersignal erzeugt.
  4. Fehlersignalbehandlungseinheit gemäß einem der Ansprüche 1 bis 3, bei der die Fehlerbehandlungsvorrichtung weiterhin so konfiguriert ist, dass sie das Regenerierungssignal gemäß einer vorgegebenen Decodierungsvorschrift für das Kommunikationsprotokoll decodiert.
  5. Fehlersignalbehandlungseinheit gemäß Anspruch 4, bei der die Fehlerbehandlungsvorrichtung weiterhin so konfiguriert ist, dass sie das Fehlersignal gemäß einer weiteren Decodierungsvorschrift für das Kommunikationsprotokoll decodiert, die sich von der Decodierungsvorschrift für das Kommunikationsprotokoll unterscheidet.
  6. Fehlersignalbehandlungseinheit gemäß einem der Ansprüche 1 bis 5, bei der die Fehlerbehandlungsvorrichtung Folgendes aufweist: einem ersten Eingangsanschluss, der zur Verbindung mit einem externen Gerät, das das Fehlersignal und das Regenerierungssignal liefert, und zum Empfang des Fehlersignals konfiguriert ist; und einem zweiten Eingangsanschluss, der zur Verbindung des externen Gerätes und zum Empfang des Regenerierungssignals konfiguriert ist.
  7. Fehlersignalbehandlungseinheit gemäß einem der Ansprüche 1 bis 6, bei der die Fehlerbehandlungsvorrichtung außerdem so konfiguriert ist, dass sie ein Anfragesignal für den störungssicheren Modus, basierend auf dem Fehlersignal, erzeugt, das eine Anfrage an ein externes Gerät oder ein weiteres externes Gerät anzeigt, in den störungssicheren Modus zu gehen, und das Anfragesignal für den störungssicheren Modus als Fehlerzustandssignal ausgibt.
  8. Fehlersignalbehandlungseinheit gemäß einem der Ansprüche 1 bis 7, bei der die Fehlerbehandlungsvorrichtung weiterhin so konfiguriert ist, dass sie die die vorgegebene Verzögerungszeit auf der Basis eines Verzögerungszeiteinstellsignals variiert.
  9. Fehlersignalbehandlungseinheit gemäß einem der Ansprüche 1 bis 8, bei der die vorgegebene Verzögerungszeit einen festen Teil umfasst, der nicht einstellbar ist, und einen einstellbaren Teil, der durch ein empfangenes Verzögerungszeiteinstellsignal eingestellt werden kann.
  10. Fehlersignalbehandlungseinheit gemäß einem der Ansprüche 1 bis 9, bei der die Fehlerbehandlungsvorrichtung weiterhin so konfiguriert ist, dass sie ein weiteres Fehlersignal empfängt, das einen weiteren Fehlerzustand anzeigt, und ein weiteres Regenerierungssignal empfängt, das eine Abschwächung des weiteren Fehlerzustands anzeigt oder anzeigt, dass eine Abschwächung des weiteren Fehlerzustands möglich ist; und bei der die Fehlerbehandlungsvorrichtung weiterhin so konfiguriert ist, dass sie basierend auf dem weiteren Fehlersignal ein weiteres Fehlerzustandssignal als Reaktion auf einen Empfang des weiteren Fehlersignals ausgibt, wenn innerhalb einer weiteren vorgegebenen Verzögerungszeit ab dem Empfang des weiteren Fehlersignals die Fehlerbehandlungsvorrichtung das weitere Regenerierungssignal nicht empfängt.
  11. Fehlersignalbehandlungseinheit gemäß Anspruch 10, wobei die weitere vorgegebene Verzögerungszeit sich von der vorgegebenen Verzögerungszeit unterscheidet.
  12. Fehlersignalbehandlungseinheit gemäß Anspruch 10 oder 11, bei der die Fehlerbehandlungsvorrichtung so konfiguriert ist, dass sie das Fehlerzustandssignal und das weitere Fehlerzustandssignal so erzeugt, dass das Fehlerzustandssignal gleich dem weiteren Fehlerzustandssignal ist.
  13. Fehlersignalbehandlungseinheit gemäß einem der Ansprüche 1 bis 12, wobei die Fehlerbehandlungsvorrichtung Folgendes aufweist: eine Fehlersignaldecodierungsstufe, die konfiguriert ist, das Fehlersignal zu decodieren und als Reaktion darauf ein decodiertes Fehlersignal zu erzeugen; eine Regenerierungssignal-Protokollermittlungsstufe, die so konfiguriert ist, dass sie das Regenerierungssignal gemäß einer vorgegebenen Decodierungsvorschrift für das Kommunikationsprotokoll decodiert und ein decodiertes Regenerierungssignal erzeugt; und eine Fehlerzustandssignalerzeugungsstufe, die so konfiguriert ist, dass sie, basierend auf dem decodierten Fehlersignal, das Fehlerzustandssignal erzeugt und das Fehlerzustandssignal ausgibt, wenn innerhalb der vorgegebenen Verzögerungszeit die Fehlerzustandssignalerzeugungsstufe das decodierte Regenerierungssignal nicht empfangen hat, und andernfalls das Ausgeben des Fehlerzustandssignals unterlässt.
  14. Fehlersignalbehandlungssystem gemäß einem der Ansprüche 1 bis 13, bei dem die Fehlerbehandlungsvorrichtung eine Schaltung aufweist.
  15. Fehlersignalbehandlungssystem gemäß einem der Ansprüche 1 bis 14, bei dem die Fehlerbehandlungsvorrichtung so konfiguriert ist, dass sie das Fehlersignal von einem externen Gerät empfängt, wobei das Fehlersignal einen Fehlerzustand im externen Gerät angibt; und bei der die Fehlerbehandlungsvorrichtung weiterhin so konfiguriert ist, dass sie das Regenerierungssignal vom externen Gerät empfängt, wobei das Regenerierungssignal eine Abschwächung des Fehlerzustands im externen Gerät anzeigt oder anzeigt, dass eine Abschwächung des Fehlerzustands im externen Gerät möglich ist.
  16. Fehlersignalbehandlungseinheit gemäß einem der Ansprüche 1 bis 15, bei der die Fehlerbehandlungsvorrichtung ein Prozess ist, der auf einem Prozessor läuft; und bei der das Fehlersignal und das Regenerierungssignal durch einen weiteren Prozess bereitgestellt werden, der auf dem gleichen Prozessor oder einem anderen Prozessor als der Fehlerbehandlungsprozess läuft.
  17. Fehlersignalbehandlungseinheit gemäß Anspruch 16, bei der das Fehlersignal einen Fehlerzustand im weiteren Prozess anzeigt; und bei der das Regenerierungssignal eine Abschwächung des Fehlerzustands im weiteren Prozess anzeigt oder anzeigt, dass eine Abschwächung des Fehlerzustands im weiteren Prozess möglich ist.
  18. Fehlersignalbehandlungseinheit gemäß Anspruch 16 oder 17, bei der der Prozess und der weitere Prozess auf dem gleichen Prozessorkern laufen.
  19. Gerät, das konfiguriert ist, um als Reaktion auf einen Fehlerzustand im Gerät ein Fehlersignal auszugeben, das einen Fehlerzustand anzeigt, und als Reaktion auf eine Abschwächung des Fehlerzustands oder wenn eine Abschwächung des Fehlerzustands möglich ist, ein Regenerierungssignal auszugeben, das die Abschwächung oder Möglichkeit der Abschwächung des Fehlerzustands angibt.
  20. Gerät gemäß Anspruch 19, das weiterhin konfiguriert ist, um das Fehlersignal gemäß einem ersten Kommunikationsprotokoll und das Regenerierungssignal gemäß einem zweiten Kommunikationsprotokoll auszugeben, wobei sich das erste Kommunikationsprotokoll und das zweite Kommunikationsprotokoll voneinander unterscheiden.
  21. Gerät gemäß Anspruch 19 oder 20, bei dem das Gerät eine Vielzahl von Prozesssteuerungen und einer Sicherheitsüberwachung aufweist; bei dem die Sicherheitsüberwachung so konfiguriert ist, dass der Fehlerzustand an die Vielzahl der Prozesssteuerungen weitergegeben wird; und bei dem jede Prozesssteuerung so konfiguriert ist, dass sie als Reaktion auf den empfangenen Fehlerzustand eine Fehlerroutine ausführt; und bei dem die Sicherheitsüberwachung so konfiguriert ist, dass sie das Regenerierungssignal auf der Basis von Ergebnissen der Fehlerroutinen ausgibt, die durch die Prozesssteuerungen ausgeführt wurden.
  22. Gerät gemäß Anspruch 21, bei dem die Sicherheitsüberwachung so konfiguriert ist, dass sie das Regenerierungssignal ausgibt, wenn mindestens für eine vorbestimmte Anzahl von Prozesssteuerungen Ergebnisse der Fehlerroutinen, die von dieser vorgegebenen Anzahl von Prozesssteuerungen ausgeführt wurden, den erwarteten Ergebnissen entsprechen, und andernfalls das Ausgeben des Regenerierungssignals unterlässt.
  23. Gerät gemäß Anspruch 21 oder 22, bei dem die Sicherheitsüberwachung so konfiguriert ist, dass sie das Regenerierungssignal ausgibt, wenn mindestens ein Ergebnis von einer der Fehlerroutinen, die von den Prozesssteuerungen ausgeführt wurden, einem erwarteten Ergebnis entspricht, und andernfalls das Ausgeben des Regenerierungssignals unterlässt.
  24. Gerät gemäß einem der Ansprüche 21 bis 23, bei dem die Prozesssteuerungen so konfiguriert sind, dass die Fehlerroutinen, die durch unterschiedliche Prozesssteuerungen aus der Vielzahl der Prozesssteuerungen ausgeführt wurden, sich voneinander unterscheiden.
  25. Gerät gemäß einem der Ansprüche 21 bis 24, bei dem die Prozesssteuerungen Softwareprozesse sind, die auf unterschiedlichen Prozessorkernen laufen.
  26. Gerät gemäß einem der Ansprüche 21 bis 25, zu dem außerdem gehört: ein Regenerierungsprogramm, das so konfiguriert ist, dass es eine Regenerierungsroutine auf den Prozesssteuerungen ausführt, für die ein Ergebnis der von diesen Prozesssteuerungen ausgeführten Fehlerroutine nicht mit dem erwarteten Ergebnis übereinstimmt.
  27. Fehlersignalbehandlungssystem, das besteht aus: einem Gerät, das konfiguriert ist, um als Reaktion auf einen Fehlerzustand im Gerät ein Fehlersignal auszugeben, das den Fehlerzustand anzeigt, und als Reaktion auf eine Abschwächung des Fehlerzustands oder wenn die Abschwächung des Fehlerzutandes möglich ist, ein Regenerierungssignal auszugeben, das die Abschwächung oder die Möglichkeit der Abschwächung des Fehlerzustands anzeigt; einer Fehlersignalbehandlungseinheit, zu der eine Fehlerbehandlungsvorrichtung gehört, die so konfiguriert ist, dass sie das Fehlersignal und das Regenerierungssignal vom Gerät empfängt; und bei dem die Fehlerbehandlungsvorrichtung außerdem konfiguriert ist, um, basierend auf dem Fehlersignal als Reaktion auf einen Empfang des Fehlersignals ein Fehlerzustandssignal auszugeben, wenn innerhalb einer vorgegebenen Verzögerungszeit ab dem Empfang des Fehlersignals die Fehlerbehandlungsvorrichtung kein Regenerierungssignal empfängt, und andernfalls das Ausgeben des Fehlerzustandssignals unterlässt.
  28. Fehlersignalbehandlungssystem gemäß Anspruch 27, bei dem das Gerät ein erstes Substrat beinhaltet, das sich in Abstand zu einem zweiten Substrat der Fehlersignalbehandlungseinheit befindet.
  29. Fehlersignalbehandlungseinheit, zu der gehören: ein erster Eingangsanschluss; ein zweiter Eingangsanschluss; ein Ausgangsanschluss; und eine Fehlersignalverzögerungsstufe, die zwischen dem ersten Eingangsanschluss, dem zweiten Eingangsanschluss und dem Ausgangsanschluss gekoppelt ist; bei der die Fehlersignalverzögerungsstufe so konfiguriert ist, dass sie als Reaktion auf einen Empfang eines Fehlersignals von einem externen Gerät am ersten Eingangsanschluss, das den Fehlerzustand im externen Gerät anzeigt, ein Fehlerzustandssignal bereitstellt, das auf dem Fehlersignal am Ausgangsanschluss beruht, wenn innerhalb einer vorgegebenen Verzögerungszeit die Fehlersignalverzögerungsstufe kein Regenerierungssignal vom externen Gerät am zweiten Eingangsgerät empfängt, das eine Abschwächung des Fehlerzustands im externen Gerät anzeigt oder anzeigt, dass eine Abschwächung des Fehlerzustands im externen Gerät möglich ist, und andernfalls das Ausgeben des Fehlerzustandssignals unterlässt.
  30. System, das Folgendes aufweist: ein Mittel zur Ausgabe eines Fehlerzustandssignals; ein Mittel zum Empfang eines Fehlersignals, welches einen Fehlerzustand anzeigt; und wobei das Mittel zum Empfang eines Regenerierungssignals, das eine Abschwächung des Fehlerzustands anzeigt oder anzeigt, dass eine Abschwächung des Fehlerzustands möglich ist; wobei das Mittel zum Ausgeben des Fehlerzustandssignals weiterhin so konfiguriert ist, dass es basierend auf einem Fehlersignal als Reaktion auf einen Empfang des Fehlersignals ein Fehlerzustandssignal ausgibt, wenn innerhalb einer vorgegebenen Verzögerungszeit ab dem Empfang des Fehlersignals das Mittel das Regenerierungssignal nicht empfängt, und andernfalls das Ausgeben des Fehlerzustandssignals unterlässt.
  31. Fehlersignalbehandlungseinheit, zu der gehören: eine Fehlersignaldecodierungsstufe, die so konfiguriert ist, dass sie ein Fehlersignal empfängt, das einen Fehlerzustand anzeigt, das Fehlersignal decodiert und ein decodiertes Fehlersignal erzeugt; eine Regenerierungssignal-Protokollermittlungsstufe, die so konfiguriert ist, dass sie ein Regenerierungssignal empfängt, das eine Abschwächung des Fehlerzustands anzeigt oder anzeigt, dass eine Abschwächung des Fehlerzustands möglich ist, das Regenerierungssignal gemäß einer vorgegebenen Kommunikationsprotokoll-Decodierungsvorschrift decodiert und ein decodiertes Regenerierungssignal erzeugt; und eine Fehlerzustandssignalerzeugungsstufe, die so konfiguriert ist, dass sie auf der Basis des decodierten Fehlersignals ein Anfragesignal für den störungssicheren Modus erzeugt, wobei das Anfragesignal für den störungssicheren Modus eine Anfrage an ein externeswobei das Anfragesignal für den störungssicheren Modus eine Anfrage an ein externes Gerät anzeigt, in den störungssicheren Modus zu gehen, und das Anfragesignal für den störungssicheren Modus als ein Fehlerzustandssignal ausgibt, wenn innerhalb einer vorgegebenen Verzögerungszeit ab dem Empfang des decodierten Fehlersignals die Fehlerzustandssignalerzeugungsstufe das decodierte Regenerierungssignal nicht empfängt, und andernfalls das Ausgeben des Anfragesignals für den störungssicheren Modus unterlässt.
  32. Methode zur Ausgabe eines Fehlerzustandssignals, die Folgendes aufweist: den Empfang eines Fehlersignals, das einen Fehlerzustand anzeigt, an einer Fehlerbehandlungsvorrichtungskomponente; und die Ausgabe eines auf dem Fehlersignal beruhenden Fehlerzustandssignals an der Fehlerbehandlungsvorrichtungskomponente als Reaktion auf einen Empfang des Fehlersignals, wenn innerhalb einer vorgegebenen Verzögerungszeit ab dem Empfang des Fehlersignals kein Regenerierungssignal, das eine Abschwächung des Fehlerzustands anzeigt oder anzeigt, dass eine Abschwächung des Fehlerzustands möglich ist, empfangen wird, und andernfalls das Ausgeben Fehlerzustandssignal unterlassen wird.
  33. Nichtflüchtiges Speichermedium, auf dem ein Computerprogramm gespeichert ist, das einen Programmcode aufweist, um, wenn es auf dem Computer läuft, eine Methode zur Ausgabe eines Fehlerzustandsignal auszuführen, wobei die Methode Folgendes aufweist: den Empfang eines Fehlersignals, das einen Fehlerzustand anzeigt, an einer Fehlerbehandlungsvorrichtungskomponente; und die Ausgabe eines auf dem Fehlersignal beruhenden Fehlerzustandssignals an der Fehlerbehandlungsvorrichtungskomponente als Reaktion auf einen Empfang des Fehlersignals, wenn innerhalb einer vorgegebenen Verzögerungszeit ab dem Empfang des Fehlersignals kein Regenerierungssignal empfangen wird, das eine Abschwächung des Fehlerzustands anzeigt oder anzeigt, dass eine Abschwächung des Fehlerzustands möglich ist, und andernfalls das Ausgeben des Fehlerzustandssignals unterlassen wird.
  34. Fehlersignalbehandlungseinheit, die Folgendes aufweist: eine Schaltung, die dazu konfiguriert ist, ein Fehlersignal von einem externen Gerät zu empfangen, das einen Fehlerzustand im externen Gerät anzeigt; wobei die Schaltung ferner dazu konfiguriert ist, ein Regenerierungssignal zu empfangen, das eine Abschwächung des Fehlerzustands im externen Gerät anzeigt oder anzeigt, dass eine Abschwächung des Fehlerzustands im externen Gerät möglich ist; und wobei die Schaltung ferner dazu konfiguriert ist, basierend auf dem Fehlersignal als Reaktion auf einen Empfang des Fehlersignals ein Fehlerzustandssignal auszugeben, wenn innerhalb einer vorgegebenen Verzögerungszeit ab dem Empfang des Fehlersignals die Schaltung das Regenerierungssignal nicht empfängt, und andernfalls das Fehlerzustandssignal nicht auszugeben.
  35. Fehlersignalbehandlungseinheit gemäß Anspruch 34, bei der die Schaltung ferner dazu konfiguriert ist, das Fehlersignal weiterzuleiten, wenn die Schaltung innerhalb der vorgegebenen Verzögerungszeit das Regenerierungssignal nicht empfängt.
  36. Fehlersignalbehandlungseinheit gemäß Anspruch 34 oder 35, bei der die Schaltung ferner dazu konfiguriert ist, das Fehlersignal zu decodieren und auf der Basis des decodierten Fehlersignals das Fehlerzustandssignal zu erzeugen.
  37. Fehlersignalbehandlungseinheit gemäß einem der Ansprüche 34 bis 36, bei der die Schaltung ferner dazu konfiguriert ist, das Regenerierungssignal gemäß einer vorgegebenen Kommunikationsprotokoll-Decodierungsvorschrift zu decodieren.
  38. Fehlersignalbehandlungseinheit gemäß Anspruch 37, bei der die Schaltung ferner dazu konfiguriert ist, das Fehlersignal gemäß einer weiteren Kommunikationsprotokoll-Decodierungsvorschrift, die sich von der Kommunikationsprotokoll-Decodierungsvorschrift unterscheidet, zu decodieren.
  39. Fehlersignalbehandlungseinheit gemäß einem der Ansprüche 34 bis 38, bei der die Schaltung Folgendes aufweist: einen ersten Eingangsanschluss zum Anschließen des externen Geräts und zum Empfangen des Fehlersignals; und einen zweiten Eingangsanschluss zum Anschließen des externen Geräts und zum Empfangen des Regenerierungssignals.
  40. Fehlersignalbehandlungseinheit gemäß einem der Ansprüche 34 bis 39, bei der die Schaltung ferner dazu konfiguriert ist, ein Anfragesignal für einen störungssicheren Modus auf der Basis des Fehlersignals zu erzeugen, das einem weiteren externen Gerät eine Aufforderung anzeigt, in einen störungssicheren Modus zu gehen, und das Anfragesignal für den störungssicheren Modus als das Fehlerzustandssignal auszugeben.
  41. Fehlersignalbehandlungseinheit gemäß einem der Ansprüche 34 bis 40, bei der die Schaltung ferner derart konfiguriert ist, dass die vorgegebene Verzögerungszeit durch einen Nutzer konfigurierbar ist.
  42. Fehlersignalbehandlungseinheit gemäß einem der Ansprüche 34 bis 41, bei der die gegebene Verzögerungszeit einen festen Teil, der nicht einstellbar ist, und einen einstellbaren Teil, der seitens eines Benutzers eingestellt werden kann, aufweist.
  43. Fehlersignalbehandlungseinheit gemäß einem der Ansprüche 34 bis 42, bei der die Schaltung ferner dazu konfiguriert ist, ein weiteres Fehlersignal zu empfangen, das einen weiteren Fehlerzustand im externen Gerät anzeigt, und ein weiteres Regenerierungssignal zu empfangen, das eine Abschwächung des weiteren Fehlerzustands anzeigt oder das anzeigt, dass eine Abschwächung des weiteren Fehlerzustands im externen Gerät möglich ist; und bei der die Schaltung ferner dazu konfiguriert ist, ein weiteres Fehlerzustandssignal auf der Basis des weiteren Fehlersignals als Reaktion auf einen Empfang des weiteren Fehlersignals auszugeben, falls innerhalb einer weiteren gegebenen Verzögerungszeit ab dem Empfang des weiteren Fehlersignals die Schaltung das weitere Regenerierungssignal nicht empfängt.
  44. Fehlersignalbehandlungseinheit gemäß Anspruch 43, bei der sich die weitere vorgegebene Verzögerungszeit von der vorgegebenen Verzögerungszeit unterscheidet.
  45. Fehlersignalbehandlungseinheit gemäß Anspruch 43 oder 44, bei der die Schaltung dazu konfiguriert ist, das Fehlerzustandssignal und das weitere Fehlerzustandssignal derart zu erzeugen, dass das Fehlerzustandssignal gleich dem weiteren Fehlerzustandssignal ist.
  46. Fehlersignalbehandlungseinheit gemäß einem der Ansprüche 34 bis 45, bei der die Schaltung Folgendes aufweist: eine Fehlersignaldecodierungsstufe, um das Fehlersignal zu decodieren und ein decodiertes Fehlersignal zu erzeugen; eine Regenerierungssignal-Protokollermittlungsstufe, die dazu konfiguriert ist, das Regenerierungssignal gemäß einer vorgegebenen Kommunikationsprotokoll-Decodierungsvorschrift zu decodieren und ein decodiertes Regenerierungssignal zu erzeugen; eine Fehlerzustandssignalerzeugungsstufe, die dazu konfiguriert ist, das Fehlerzustandssignal auf der Basis des decodierten Fehlersignals zu erzeugen und das Fehlerzustandssignal auszugeben, wenn innerhalb der vorgegebenen Verzögerungszeit die Fehlerzustandssignalerzeugungsstufe das decodierte Regenerierungssignal nicht empfängt, und andernfalls das Ausgeben des Fehlerzustandssignals zu unterlassen.
  47. Fehlersignalbehandlungssystem, das Folgendes aufweist: ein Gerät, das dazu konfiguriert ist, als Reaktion auf einen Fehlerzustand im Gerät ein Fehlersignal auszugeben, das den Fehlerzustand anzeigt, und als Reaktion auf eine Abschwächung des Fehlerzustands oder wenn eine Abschwächung des Fehlerzustands möglich ist, ein Regenerierungssignal auszugeben, das die Abschwächung oder die Möglichkeit der Abschwächung des Fehlerzustands anzeigt; und eine Fehlersignalbehandlungseinheit, die eine Schaltung aufweist, die dazu konfiguriert ist, das Fehlersignal und das Regenerierungssignal von dem Gerät zu empfangen; und wobei die Schaltung ferner dazu konfiguriert ist, basierend auf dem Fehlersignal als Reaktion auf einen Empfang des Fehlersignals ein Fehlerzustandssignal auszugeben, wenn innerhalb einer vorgegebenen Verzögerungszeit ab dem Empfang des Fehlersignals die Schaltung das Regenerierungssignal nicht empfängt, und andernfalls das Ausgeben des Fehlerzustandssignals zu unterlassen.
  48. Fehlersignalbehandlungseinheit gemäß Anspruch 47, bei der das Gerät ein erstes Substrat aufweist, das sich in Abstand zu einem zweiten Substrat der Fehlersignalbehandlungseinheit befindet.
  49. Mittel zum Ausgeben eines Fehlerzustandssignals, wobei das Mittel dazu konfiguriert ist, von einem externen Gerät ein Fehlersignal zu empfangen, das einen Fehlerzustand im externen Gerät anzeigt; und wobei das Mittel ferner dazu konfiguriert ist, ein Regenerierungssignal zu empfangen, das eine Abschwächung des Fehlerzustands im externen Gerät anzeigt oder das anzeigt, dass eine Abschwächung des Fehlerzustands im externen Gerät möglich ist; und wobei das Mittel ferner dazu konfiguriert ist, basierend auf dem Fehlersignal als Reaktion auf einen Empfang des Fehlersignals ein Fehlerzustandssignal auszugeben, wenn innerhalb einer vorgegebenen Verzögerungszeit ab dem Empfang des Fehlersignals das Mittel das Regenerierungssignal nicht empfängt, und andernfalls das Ausgeben des Fehlerzustandssignals zu unterlassen.
  50. Fehlersignalbehandlungseinheit, zu der gehören: eine Fehlersignaldecodierungsstufe, die dazu konfiguriert ist, von einem externen Gerät ein Fehlersignal zu empfangen, das einen Fehlerzustand im externen Gerät anzeigt, das Fehlersignal zu decodieren und ein decodiertes Fehlersignal zu erzeugen; eine Regenerierungssignal-Protokollermittlungsstufe, die dazu konfiguriert ist, ein Regenerierungssignal zu empfangen, das eine Abschwächung des Fehlerzustands im externen Gerät anzeigt oder anzeigt, dass eine Schwächung des Fehlerzustands im externen Gerät möglich ist, das Regenerierungssignal gemäß einer vorgegebenen Kommunikationsprotokoll-Decodierungsvorschrift zu decodieren und ein decodiertes Regenerierungssignal zu erzeugen; und eine Fehlerzustandssignalerzeugungsstufe, die dazu konfiguriert ist, ein Anfragesignal für einen störungssicheren Modus auf der Basis des decodierten Fehlersignals zu erzeugen, wobei das Anfragesignal für den störungssicheren Modus eine Anfrage an ein weiteres externes Gerät anzeigt, in einen störungssicheren Modus zu gehen, und das Anfragesignal für den störungssicheren Modus als Fehlerzustandssignal auszugeben, wenn innerhalb einer vorgegebenen Verzögerungszeit ab einem Empfang des decodierten Fehlersignals die Fehlerzustandssignalerzeugungsstufe das decodierte Regenerierungssignal nicht empfängt, und anderenfalls das Ausgeben des Anfragesignals für den störungssicheren Modus zu unterlassen.
  51. Methode zum Ausgeben eines Fehlerzustandssignals, wobei die Methode folgende Schritte aufweist: Empfangen eines Fehlersignals von einem externen Gerät, das einen Fehlerzustand im externen Gerät anzeigt; und Ausgeben eines Fehlerzustandssignals auf der Basis des Fehlersignals als Reaktion auf einen Empfang des Fehlersignals, falls innerhalb einer vorgegebenen Verzögerungszeit ab dem Empfang des Fehlersignals kein Regenerierungssignal empfangen wird, das eine Abschwächung des Fehlerzustands im externen Gerät anzeigt oder anzeigt, dass eine Abschwächung des Fehlerzustands im externen Gerät möglich ist, und anderenfalls Unterlassen des Ausgebens des Fehlerzustandssignals.
  52. Nichtflüchtiges Speichermedium, auf dem ein Computerprogramm gespeichert ist, das einen Programmcode zum Durchführen, wenn es auf dem Computer läuft, einer Methode zum Ausgeben eines Fehlerzustandssignals aufweist, wobei die Methode folgende Schritte aufweist: Empfangen eines Fehlersignals von einem externen Gerät, das einen Fehlerzustand im externen Gerät anzeigt; und Ausgeben eines Fehlerzustandssignals auf der Basis des Fehlersignals als Reaktion auf einen Empfang des Fehlersignals, wenn innerhalb einer gegebenen Verzögerungszeit ab dem Empfang des Fehlersignals kein Regenerierungssignal empfangen wird, das eine Abschwächung des Fehlerzustands im externen Gerät anzeigt oder anzeigt, dass eine Abschwächung des Fehlerzustands im externen Gerät möglich ist, und andernfalls Unterlassen des Ausgebens des Fehlerzustandssignals.
DE201310202482 2012-02-15 2013-02-15 Fehlersignalbehandlungseinheit, Gerät und Methode zur Ausgabe eines Fehlerzustandssignals Pending DE102013202482A1 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US13/397,035 2012-02-15
US13/397,035 US8786424B2 (en) 2012-02-15 2012-02-15 Error signal handling unit, device and method for outputting an error condition signal
US13/662,846 2012-10-29
US13/662,846 US9218236B2 (en) 2012-10-29 2012-10-29 Error signal handling unit, device and method for outputting an error condition signal

Publications (1)

Publication Number Publication Date
DE102013202482A1 true DE102013202482A1 (de) 2013-08-22

Family

ID=48915408

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201310202482 Pending DE102013202482A1 (de) 2012-02-15 2013-02-15 Fehlersignalbehandlungseinheit, Gerät und Methode zur Ausgabe eines Fehlerzustandssignals

Country Status (3)

Country Link
KR (2) KR20130094263A (de)
CN (1) CN103257903B (de)
DE (1) DE102013202482A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016033629A3 (de) * 2014-09-05 2016-05-06 Fts Computertechnik Gmbh Computersystem und verfahren für sicherheitskritische anwendungen

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104149787B (zh) * 2014-06-12 2017-10-24 盛瑞传动股份有限公司 一种自动挡汽车的故障匹配方法及系统

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6332449Y2 (de) * 1984-12-18 1988-08-30
JP3321837B2 (ja) * 1992-08-06 2002-09-09 株式会社日立製作所 車両の診断制御方法
CN1046167C (zh) * 1994-07-21 1999-11-03 张立平 稳定计算机系统输出状态的抗干扰方法
JP2002250248A (ja) * 2001-12-25 2002-09-06 Hitachi Ltd 車両の診断制御方法
US20110072313A1 (en) * 2007-08-17 2011-03-24 Nxp B.V. System for providing fault tolerance for at least one micro controller unit
CN101853192A (zh) * 2010-05-31 2010-10-06 华为技术有限公司 异常处理方法、系统及片外逻辑器件和芯片

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ISO 26262

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016033629A3 (de) * 2014-09-05 2016-05-06 Fts Computertechnik Gmbh Computersystem und verfahren für sicherheitskritische anwendungen
US10241858B2 (en) 2014-09-05 2019-03-26 Tttech Computertechnik Ag Computer system and method for safety-critical applications

Also Published As

Publication number Publication date
CN103257903A (zh) 2013-08-21
CN103257903B (zh) 2017-04-12
KR101576848B1 (ko) 2015-12-14
KR20150086215A (ko) 2015-07-27
KR20130094263A (ko) 2013-08-23

Similar Documents

Publication Publication Date Title
EP2641176B1 (de) Mikroprozessorsystem mit fehlertoleranter architektur
WO2013131900A1 (de) Verfahren zur verbesserung der funktionalen sicherheit und steigerung der verfügbarkeit eines elektronischen regelungssystems sowie ein elektronisches regelungssystem
EP2447843B1 (de) Verfahren zur Verifizierung eines Anwendungsprogramms einer fehlersicheren Speicherprogrammierbaren Steuerung, und Speicherprogrammierbare Steuerung zur Ausführung des Verfahrens
DE102007045398A1 (de) Integriertes Mikroprozessorsystem für sicherheitskritische Regelungen
DE112012006879T5 (de) Neuer Ansatz zum Handhaben eines Controller-Area-Network Bus-Off
EP2513796B1 (de) Verfahren zum betreiben einer recheneinheit
DE102009000045A1 (de) Verfahren und Vorrichtung zum Betreiben eines Steuergerätes
EP2099667B1 (de) Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems
DE102008009652A1 (de) Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor
EP2726352B1 (de) Verfahren, system und computerprogrammprodukt zur funktionsüberwachung einer sicherheitsüberwachung einer kfz - steuereinheit
DE102013202482A1 (de) Fehlersignalbehandlungseinheit, Gerät und Methode zur Ausgabe eines Fehlerzustandssignals
DE102015212951B4 (de) Kommunikationssystem für Aggregate und Steuergeräte eines Fahrzeugs und Fahrzeug umfassend das Kommunikationssystem
DE102013021231A1 (de) Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät
DE102008004206A1 (de) Anordnung und Verfahren zur Fehlererkennung und -behandlung in einem Steuergerät in einem Kraftfahrzeug
EP2228723B1 (de) Verfahren zur Fehlerbehandlung eines Rechnersystems
EP3983897B1 (de) Verfahren zum sicherstellen und aufrechterhalten der funktion eines sicherheitskritischen gesamtsystems
DE102021202935A1 (de) Verfahren und Vorrichtung zum Steuern einer Fahrfunktion
DE102004035901B4 (de) Einrichtung zum Steuern eines sicherheitskritischen Prozesses
DE102011087063A1 (de) Kontrollrechnersystem und Verfahren zur beschleunigten Initialisierung einzelner Module
EP2279480B1 (de) Verfahren und system zum überwachen eines sicherheitsbezogenen systems
DE102014222479A1 (de) Überprüfungsvorrichtung für Datenaufbereitungseinrichtung
DE102009024095A1 (de) Integrierte digitale Recheneinheit mit einem Datenbusausgang
EP2328304A1 (de) Schaltungsanordnung und ein Steuergerät für sicherheitsrelevante Funktionen
DE102018127082A1 (de) Verfahren zum Betreiben eines Mikrocontrollers und Mikrocontroller
DE102017212560A1 (de) Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication