Die Erfindung betrifft ein Mittel nach dem Oberbegriff von Anspruch 1 und ein Verfah ren nach Anspruch 8.

Um die Fehlertoleranz technischer Systeme zu prüfen, ist aus dem Stand der Tech nik das Prinzip der Fehlerinjektion bekannt. Dieses ist etwa beschrieben in "Soft ware-Fehlerinjektion“ (L. Feinbube, D. Richter, S. Gerstenberg, P. Siegler, A. Haller, A. Bolze; Technische Berichte Nr. 109; Hasso-Plattner-Institut für Software- Systemtechnik; Universität Potsdam; 2016). Im Rahmen der Fehlerinjektion werden gezielt Fehlerursachen und -zustande in das zu testende System eingebracht.

Um sicherheitskritische Systeme mittels Fehlerinjektion zu testen, sind bisher zwei separate Systemvarianten erforderlich. Eine für die Fehlerinjektion verwendete Sys temvariante weist spezielle Routinen auf, welche die Fehlerursachen und -zustande generieren. Aus Sicherheitsgründen dürfen aber nur Systeme ohne diese Routinen an Kunden ausgeliefert werden. Daher ist eine zweite Systemvariante erforderlich, welche diese Routinen nicht aufweist.

Ein entsprechender Prozess zur Erstellung und Anwendung von Fehlerinjektions- Softwareständen (FuSi-Releases) ist aufwendig in der Durchführung und hat Lücken, weil der Nachweis der funktionalen Identität von Serien-Releases zu den FuSi- Releases nur mit hohem Prüfaufwand möglich ist. Die Fehlerinjektionsfunktionalitäten werden mittels Präprozessorschalter in separat zu erstellende Softwarestände ein geblendet. Der Nachweis, dass diese Präprozessorschalter nur zusätzliche Manipu lationsmöglichkeiten einblenden und nicht versehentlich auch sicherheitsrelevante Programmbestandteile wegkapseln, ist nur im Rahmen aufwendiger Überprüfungen möglich.

Der Erfindung liegt die Aufgabe zugrunde, die Prüfung von Steuergeräten mittels Fehlerinjektion zu vereinfachen. Diese Aufgabe wird gelöst durch ein Mittel nach Anspruch 1 und ein Verfahren nach Anspruch 8. Bevorzugte Weiterbildungen sind in den Unteransprüchen enthalten.

Bei dem Mittel handelt es sich um ein Mittel zur Steuerung einer technischen Vorrich tung, d.h. um ein Steuergerät. Bei der Vorrichtung kann es sich um ein Fahrzeug, etwa einen Pkw oder ein Nkw, oder ein Teilsystem des Fahrzeugs handeln. Als Teil system kommen etwa das Getriebe, die Bremsen oder die Lenkung des Fahrzeugs infrage.

Das Mittel implementiert Routinen zur Fehlerinjektion, ist also ausgebildet, mindes tens eine Fehlfunktion der Vorrichtung auszulösen.

Erfindungsgemäß weist das Mittel mindestens einen Hauptschalter und mindestens einen Nebenschalter auf. Mittels des Hauptschalters und des Nebenschalter können Fehlfunktionen zu Testzwecken freigeschaltet werden.

Bei dem Hauptschalter und dem Nebenschalter handelt es sich um Schalter mit je weils genau zwei Zuständen: einem aktivierten Zustand und einem deaktivierten Zu stand. Das Mittel löst die Fehlfunktion genau dann aus, wenn der Hauptschalter und der Nebenschalter aktiviert sind oder werden.

"Aktiviert sein" eines Schalters bedeutet, dass der Schalter sich im aktivierten Zu stand befindet. Ein Übergang des Schalters vom deaktivierten in den aktivierten Zu stand wird hier mit "aktiviert werden" bezeichnet.

Der Hauptschalter und der Nebenschalter fungieren bieten eine Sicherung gegen ein unbeabsichtigtes Auslösen der Fehlfunktionen. Dadurch, dass neben dem Haupt schalter auch ein Nebenschalter vorhanden ist, ist die Sicherung redundant. Dies erlaubt es, ein Steuergerät mit Fehlerinjektionsfunktionalität in Serie zu verwenden. Die Notwendigkeit, separate Steuergeräte für Funktionsprüfung und Serieneinsatz zu entwickeln, entfällt. In einer bevorzugten Weiterbildung sind der Hauptschalter und/oder der Nebenschal ter nach dem Einschalten und/oder dem Neustart des Mittels deaktiviert. Damit ist gewährleistet, dass der Hauptschalter und/oder der Nebenschalter sich nur dann im aktivierten Zustand befinden können, wenn sie durch ein gesondertes Ereignis oder eine gezielte Maßnahme aktiviert wurden.

Besonders bevorzugt wird eine Weiterbildung, bei der die Fehlfunktion durch einen Zustandsübergang des Hauptschalters ausgelöst. Die Fehlfunktion wird weiterbil dungsgemäß genau dann ausgelöst, wenn der Hauptschalter aktiviert, d.h. von dem deaktivierten Zustand in den aktivierten Zustand überführt wird und der Nebenschal ter bereits aktiviert ist, d.h. sich im aktivierten Zustand befindet. Das Mittel löst keine Fehlfunktion aus, wenn es keinen Zustandsübergang des Hauptschalters vom deak tivierten Zustand in den aktivierten Zustand detektiert hat. Die Auslösung findet auch dann nicht statt, wenn sowohl der Hauptschalter als auch der Nebenschalter aktiviert sind, aber kein Zustandsübergang detektiert wurde. Auf diese Weise wird verhindert, dass eine fehlerhafte Aktivierung des Hauptschalters, insbesondere beim Einschalten oder Neustart des Mittels, die Fehlfunktion auslöst.

Der Hauptschalter und/oder der Nebenschalter sind in bevorzugten Weiterbildungen mittels Software, d.h. mittels eines Computerprogramms mit zugehörigen Daten, oder als physische Komponenten realisiert. Sind der Hauptschalter und/oder der Neben schalter mittels Software realissiert, ist das Mittel ausgebildet, das entsprechende Computerprogramm auszuführen und die zugehörigen Daten zu lesen und zu schreiben.

Insbesondere können der Hauptschalter und/oder der Nebenschalter jeweils als Fol ge von einem oder mehreren Bits realisiert sein. In diesem Fall weist das Mittel min destens ein Speichermedium auf, in dem die Folgen gespeichert sind.

Der Hauptschalter ist in einer bevorzugten Weiterbildung als Folge von mindestens zwei Bits realisiert. Genau eine Belegung dieser Folge mit Bitwerten entspricht dem aktivierten Zustand des Hauptschalters. Davon abweichende Belegungen entspre- chen dem deaktivierten Zustand. Auf diese Weise wird das Risiko minimiert, dass der Hauptschalter durch Bitfehler in den aktivierten Zustand gelangt.

Ein erfindungsgemäßes Verfahren zur Steuerung der technischen Vorrichtung um fasst die Schritte

- Prüfen eines Aktivierungszustands des Hauptschalters und des Nebenschalters; und

- Auslösen der Fehlfunktion, wenn der Hauptschalter und der Nebenschalter akti viert sind oder werden.

Ein bevorzugtes Ausführungsbeispiel der Erfindung ist in Fig. 1 dargestellt. Überein stimmende Bezugsziffern kennzeichnen dabei gleiche oder funktionsgleiche Merkma le. Im Einzelnen zeigt:

Fig. 1 : ein System zur Fehlerinjektion.

Das in Fig. 1 dargestellte System zur Fehlerinjektion umfasst ein Steuergerät 101 , eine Kalibriervorrichtung 103 und eine Datei 105. Als Kalibriervorrichtung 103 eignet sich etwa ein INCA oder CANape-System. In der Datei 105 sind Bitfolgen, die als Hauptschalter bzw. als Nebenschalter dienen, abgelegt. Um Missbrauch zu vermei den, ist die Datei 105 verschlüsselt.

Über die Kalibriervorrichtung 103 kann ein Testingenieur 105 nach dem Prinzip der Fehlerinjektion gezielt Fehlfunktionen in dem Steuergerät 101 auslösen. Das Steuer gerät 101 weist hierzu eine Kaskade von Aktivierungsroutinen auf.

Eine erste Aktivierungsroutine 109 wird von der Kalibriervorrichtung 103 gestartet, wenn der Nebenschalter sich im aktivierten Zustand befindet. Wechselt der Haupt schalter von dem deaktivierten Zustand in den aktivierten Zustand, sendet die Kalib riervorrichtung eine Anfrage zum Starten einer zweiten Aktivierungsroutine 1 1 1 . Die zweite Aktivierungsroutine 1 1 1 startet aber erst, wenn eine durch die erste Aktivie- rungsroutine 109 erteilte Freigabe vorliegt. Befindet sich der Nebenschalter im deak tivierten Zustand und wurde entsprechend die erste Aktivierungsroutine 109 nicht gestartet, startet auch die zweite Aktivierungsroutine 1 1 1 nicht.

Über den Start einer dritten Aktivierungsroutine 1 13 schließlich löst die Kalibriervor richtung 101 eine Fehlfunktion des Steuergeräts 101 aus. Der Start der dritten Akti vierungsroutine 1 13 erfolgt nur, wenn eine Freigabe der zweiten Aktivierungsroutine 1 1 1 vorliegt.

Bezuaszeichen Steuergerät

Kalibriervorrichtung

Datei

Testingenieur

erste Aktivierungsroutine

zweite Aktivierungsroutine

dritte Aktivierungsroutine