Die Erfindung betrifft ein Verfahren zum Betrieb eines Sys¬ tems, ein System, das eine Anzahl Steuergeräte aufweist so- wie ein Computerprogramm und ein Computerprogrammprodukt zur Durchführung des Verfahrens.

Stand der Technik

Moderne Fahrzeuge weisen Systeme mit einer immer größer werdenden Anzahl unterschiedlicher, miteinander vernetzter Steuergeräte auf. In einem solchen System kann sich ein Fehler innerhalb eines der Steuergeräte unvorteilhaft auf eine Funktion anderer Steuergeräte oder gar auf das gesamte System auswirken.

In der Druckschrift DE 41 18 692 C2 wird eine Vorrichtung zur Fehlerspeicherung in einer Steuereinrichtung eines Kraftfahrzeugs vorgestellt. Diese Vorrichtung umfaßt eine Fehlerzeit-Zähleinrichtung zum Erfassen der jeweiligen Zeitspanne, in der ein Fehler andauert, und einen Fehler¬ speicher zum Abspeichern von Informationen für Fehler.

Die Druckschrift DE 100 36 278 Al beschreibt ein Verfahren zur Überwachung eines Programmablaufs mittels einer Debug- Logik. Um eine besonders zuverlässige, aber dennoch mög¬ lichst ressourcenschonende Überwachung eines Ablaufs eines auf einem Mikroprozessor ablauffähigen Programms bereitzu¬ stellen, wird hierbei vorgeschlagen, daß die Debug-Logik von dem Mikroprozessor konfiguriert wird und von der Debug- Logik nach einem Auslösen einer Ausnahmebedingung während einer Programmlaufzeit eine Ausnahmebedingungsroutine (Ex- ception-Routine) unterzogen wird.

Mit vorliegende Erfindung wird angestrebt, Auswirkungen von Fehlern innerhalb einzelner Steuergeräte eines Systems auf eine Funktion des gesamten Systems zu minimieren.

Hierzu wird ein Verfahren mit den Merkmalen des Patentan¬ spruchs 1, ein System mit den Merkmalen des Patentanspruchs 9, ein Computerprogramm mit den Merkmalen des Patentan¬ spruchs 11 und ein Computerprogrammprodukt mit den Merkma¬ len des Patentanspruchs 12 vorgeschlagen.

Vorteil der Erfindung

Bei dem erfindungsgemäßen Verfahren zum Betrieb eines Sys¬ tems, das eine Anzahl Steuergeräte umfaßt, ist vorgesehen, daß für den Fall, daß für eines der Steuergeräte ein beson¬ derer Zustand vorliegt, mindestens eines der anderen Steu¬ ergeräte darüber informiert wird. Jedes einzelne Steuerge¬ rät kann bei Betrieb des Systems, ob nun beabsichtigt oder unbeabsichtigt, in besagten besonderen Zustand geraten, bei dem eine Funktion dieses Steuergeräts von einer Standard¬ funktion zumindest teilweise abweicht. Durch die erfin¬ dungsgemäße Vorgehensweise wird erreicht, daß das mindes¬ tens eine der anderen Steuergeräte über den geänderten Zu¬ stand unterrichtet wird und seine Funktion an diesen beson- deren Zustand anpaßt und Informationen, die das eine der Steuergeräte bei Vorliegen des besonderen Zustands weiter¬ leitet, unter entsprechender Berücksichtigung dieses beson¬ deren Zustands registriert bzw. weiterverarbeitet. Das Ver- fahren eignet sich z.B. für Systeme, bei denen eine Soft¬ ware auf mehrere Steuergeräte verteilt ist.

In bevorzugter Ausgestaltung der Erfindung ist vorgesehen, daß das Verfahren bei einem durch einen Fehler des einen der Steuergeräte hervorgerufenen besonderen Zustand durch¬ geführt wird. Dies eignet sich insbesondere für Fehlerzu¬ stände, bei denen eine Kommunikation des betroffenen Steu¬ ergeräts mit den anderen Steuergeräten für eine gewissen Zeitspanne nicht mehr aufrecht erhalten werden kann. Hierzu gehören auch Zustände des Steuergeräts, bei denen dieses unzuverlässige bzw. Undefinierte Werte ausgibt. Die anderen Steuergeräte sind nun vor einem Auftreten derartiger Werte gewarnt.

Es ist vorzugsweise vorgesehen, daß für das eine Steuerge¬ rät eine Maßnahme, insbesondere eine Maßnahme zur Behand¬ lung des Fehlers, ergriffen wird. Ein typisches Beispiel für derartige Maßnahmen sind Wiederherstellungen, sogenann- te Recoveries, bei denen das jeweilige Steuergerät per Hardware- oder Software-Reset neu initialisiert wird. Reco¬ veries werden bspw. aktiv von einer Funktion der Software ausgelöst, wenn eine Software-Statement-Maschine Zustands- werte annimmt, die nicht definiert sind. Jede Recovery weist in der Regel eine eigene Recovery-Nummer auf, die ü- ber einen Reset hinaus gerettet wird und damit für eine Di¬ agnose und Fehlerreaktionen zur Verfügung steht.

Üblicherweise werden in Abhängigkeit von der Recovery- Nummer Steuergeräte-Eigentests, zum Beispiel RAM-Tests usw., durchgeführt. Gleichzeitig mit der Recovery-Nummer wird auch eine Häufigkeit der jeweiligen Recovery-Nummer gerettet. Somit kann mit entsprechendem Auftreten derselben Recovery pro Zeitintervall das Steuergerät in einen Sleep- Modus überführt werden, falls die Recovery keine Abhilfe für den Fehler gebracht hat. Damit in derartigen Situatio¬ nen nicht sofort sämtliche Steuergeräte einen Fehler melden und möglicherweise die entsprechenden anhängigen Funktionen abschalten, wird bei diesen Steuergeräten versucht, über Time-Outs entsprechende Totzeiten in der Kommunikation zu überbrücken. Erst wenn die Kommunikation länger ausbleiben sollte, als mit dem Time-Out appliziert wurde, kann eine entsprechende Systemreaktion erfolgen.

Erfindungsgemäß werden Informationen, daß es zu einer Ex- ception, also einem Fehler und/oder einer Recovery gekommen ist, gezielt genutzt, indem die Informationen darüber an mindestens eines der anderen Steuergeräte weitergeleitet werden. Die Recovery bzw. eine Neuinitialisierung des einen Steuergeräts dient zur Behebung des Fehlers dieses Steuer¬ geräts. Es kann jedoch auch vorgesehen sein, daß derartige Maßnahmen routinemäßig oder aufgrund eines nicht zwangsläu¬ fig mit einem Fehler verbundenen Anlasses, wie bspw. einer Überprüfung des Steuergeräts, ergriffen werden. Da dabei eine Funktion dieses Steuergeräts beeinträchtigt wird, wer¬ den die anderen Steuergeräte entsprechend informiert.

Das mindestens eine der anderen Steuergeräte wird in bevor- zugter Ausgestaltung der Erfindung vor einer Durchführung der Maßnahme informiert. Hierbei wird das mindestens eine andere Steuergerät vorzugsweise über eine Dauer des beson¬ deren Zustande informiert. Die Dauer kann in Abhängigkeit der Art des besonderen Zustands ermittelt werden. Somit wird durch Nutzung derartiger Informationen ein Systemver¬ halten und eine Fehlerzuordnung verbessert. Das Steuerge¬ rät, bei dem ein Fehler auftritt und/oder bei dem eine Ma߬ nahme zu ergreifen ist, versendet die Information darüber, bevor die Maßnahme durchgeführt wird. Dadurch, daß auch ei- ne Information über die Dauer mitversandt wird, ist dem mindestens einen anderen Steuergerät des Systems bekannt, wann sich das eine Steuergerät wieder in einem Normalzu¬ stand befinden und wieder zuverlässig arbeiten wird.

Die Dauer läßt sich bspw. durch Addition der Laufzeiten der applizierten Eigentests nach der Maßnahme bzw. Recovery o- der aufgrund der Recovery-Nummer oder sonstigen Initiali¬ sierungsroutinen genau abschätzen bzw. durch Laufzeitmes- sungen nach einem aktiven Auslösen der jeweiligen Recove- ries vor einer Auslieferung des Systems oder der Software bestimmen und in dem Steuergerät abspeichern.

Somit werden auch Fehler, die mit einer Vernetzung einer Vielzahl von Steuergeräten innerhalb eines Systems verbun¬ den sind, gelöst. Die Erfindung bietet sich für Systeme an, bei denen Systemfunktionen übergreifend auf verschiedenen Steuergeräten realisiert werden.

In Ausgestaltung der Erfindung wird unter Berücksichtigung der Art des besonderen Zustand entschieden, ob eine Zusatz¬ maßnahme durch das mindestens eine der anderen Steuergeräte ergriffen wird. Die von dem einen Steuergeräte weitergelei¬ teten Informationen können z.B. direkt von relevanten Steu- ergeräten aufgenommen werden. Dort kann in Kenntnis der voraussichtlichen Dauer bis zu einer Wiederaufnahme der Kommunikation entschieden werden, ob eine Systemreaktion, also die Zusatzmaßnahme, erforderlich ist oder ob der be¬ sondere Zustand des einen Steuergeräts in einer jeweiligen Betriebssituation des Systems toleriert werden kann. Hier¬ bei ist möglich, eine Toleranzschwelle, die von einer aktu¬ ellen Systemfunktion und/oder der Art des besonderen Zu- stands abhängig ist, zu definieren. Folglich kann die Sys¬ temreaktion gezielt erfolgen und die Systemreaktion sofort ausgeführt werden, wenn klar sein sollte, daß die Dauer der Maßnahme oder Exception zu lange andauert. Bislang mußte hierfür erst ein Ablauf des Time-Outs abgewartet werden.

Mit der Erfindung ist nunmehr eine Ursache für eine System¬ reaktion eindeutig zuzuordnen. Somit werden mehrdeutige Folgefehler bzw. Fehlerspeichereinträge vermieden. Die Ap¬ plikation eines festen, betriebspunktunabhängigen Time-Outs entfällt.

Das erfindungsgemäße System weist eine Anzahl Steuergeräte auf. Für den Fall, daß für eines der Steuergeräte ein be¬ sonderer Zustand vorliegt, ist mindestens eines der anderen Steuergeräte darüber zu informieren. Die Erfindung ist bspw. für Systeme innerhalb von Fahrzeugen geeignet. Eine Software des Systems ist hierbei auf mehrere Steuergeräte verteilt. Über diese Steuergeräte werden Funktionen wie Cruise-Control (ACC), ABS, ASR und dergleichen realisiert. Ein für eine entsprechende Funktion zuständiges Steuergerät gibt Momentanforderungen an ein Motorsteuergerät weiter, das diese bspw. zur Bereitstellung einer geeigneten Ein¬ spritzmenge für den Motor umsetzt. Die Steuergeräte des Systems sind vorzugsweise über ein Kommunikationsmittel wie bspw. CAN (Controller Area Method) miteinander verbunden bzw. vernetzt.

Das erfindungsgemäße Computerprogramm mit Programmcodemit¬ teln ist zur Durchführung aller Schritte des erfindungsge¬ mäßen Verfahrens vorgesehen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit, insbesondere einem Steuergerät in dem erfindungsgemäßen System durchgeführt wird. Entsprechend ist ein Computerpro¬ grammprodukt mit Programmcodemitteln, die auf einem compu¬ terlesbaren Datenträger gespeichert sind, zur Durchführung des erfindungsgemäßen Verfahrens vorgesehen, wenn das Com¬ puterprogrammprodukt auf einem Computer oder einer entspre¬ chenden Recheneinheit, insbesondere einem Steuergerät, in dem erfindungsgemäßen System durchgeführt wird.

In Ausgestaltung der Erfindung ist es möglich, die Behand¬ lung des besonderen Zustands (Exception-Handling) in einem übergeordneten Steuergerät, z.B. SG CAN-Gateway zu konzent¬ rieren. In diesem übergeordneten Steuergerät werden alle Informationen über derartige besondere Betriebszustände ge¬ sammelt und auf dieser Grundlage optimale Systemreaktionen ausgelöst. In einer solchen konzentrierten Lösung ist zudem eine übergreifende Fehlerspeicherung realisierbar, so daß die heute vielfältigen und schwer deutbaren Fehlerspei- chereinträge sämtlicher Steuergeräte entfallen und eine Fehlersuche vereinfacht wird. Des weiteren ist denkbar, das Exception-Handling redundant in mehreren Steuergeräten ab¬ zulegen und somit dessen Verfügbarkeit zu erhöhen.

Mit der Erfindung wird das bislang praktizierte Konzept ei¬ ner Applikation des Time-Outs verbessert. Bei zunehmender Vernetzung der Systemfunktionen erweist es sich als immer schwerer, eine in allen Betriebszuständen sinnvolle Appli¬ kation zur Behandlung besonderer Zustände zu finden. Falls zudem der besondere Zustand länger als das vorgesehene Time-Out andauern sollte, ergibt sich bei herkömmlichen Systemen, daß sämtliche Steuergeräte Fehler bzw. Folgefeh¬ ler eintragen und eine Fehlersuche entsprechend erschwert wird. Bislang ungenutzte wertvolle Informationen, also In- formationen darüber, daß das Steuergerät demnächst ein Re- covery auslösen wird oder daß allgemein ein besonderer Zu¬ stand für dieses Steuergerät auftritt und wie lange dies andauern wird, bis das Steuergerät wieder betriebsbereit ist, werden mit der Erfindung vorteilhafterweise genutzt. Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.

Es versteht sich, daß die vorstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.

Die Erfindung ist anhand eines Ausführungsbeispieles in der Zeichnung schematisch dargestellt und wird im folgenden un¬ ter Bezugnahme auf die Zeichnung ausführlich beschrieben.

Figur 1 zeigt ein erfindungsgemäßes System in bevorzugter Ausgestaltung während verschiedener Zustände bei einer Aus¬ führung des erfindungsgemäßen Verfahrens in schematischer Darstellung.

Figur Ia zeigt das erfindungsgemäße System 1, das in diesem Fall drei Steuergeräte 2, 4, 6 umfaßt. Diese Steuergeräte 2, 4, 6 sind vorzugsweise innerhalb eines Fahrzeugs ange¬ ordnet. Eine Software zur Realisierung eines Betriebs des Systems 1 kann dabei auf eines oder mehrere der Steuergerä- te 2, 4, 6 verteilt sein. Die Steuergeräte 2, 4, 6 sind miteinander vernetzt und hierfür über gemeinsame Kommunika¬ tionsmittel oder -pfade wie bspw. CAN miteinander verbun¬ den. Bei Betrieb des Systems 1 ist vorgesehen, daß zwischen den Steuergeräten 2, 4, 6 eine Kommunikation erfolgt. Hier- zu werden, verdeutlicht durch die Doppelpfeile, zwischen den Steuergeräten 2, 4, 6 Informationen ausgetauscht.

Figur Ib zeigt eine Situation, bei der in diesem Beispiel für das Steuergerät 2 ein besonderer Zustand erreicht ist, vorliegt oder bevorsteht. Dies kann bedeuten, daß dieses Steuergerät 2 einen Fehler hat, der durch eine geeignete Maßnahme zu beheben ist. Alternativ ist auch möglich, daß diese Maßnahme unabhängig von einem Fehler bspw. im Rahmen einer Routinekontrolle dieses Steuergeräts 2 ansteht. Im Rahmen dieser Maßnahme ist vorgesehen, daß für dieses Steu¬ ergerät 2 eine Recovery, insbesondere ein Hardware- oder Software-Reset oder eine Neuinitialisierung vorgenommen wird. Eine Information darüber wird von dem Steuergerät 2, wie durch die gestrichelten Pfeile verdeutlicht ist, an die anderen Steuergeräte 4, 6 vor Durchführung der Maßnahme weitergeleitet. Hierbei wird diesen anderen Steuergeräten 4, 6 zusätzlich mitgeteilt, wie lange diese Maßnahme andau¬ ert.

Figur Ic zeigt das System 1 während des besonderen Zu- stands, bei dem für das Steuergerät 2 die Maßnahme durchge¬ führt wird. Eine Kommunikation zwischen dem Steuergerät 2 und den anderen Steuergeräten 6 ist in diesem Fall nur noch in eingeschränktem Maße möglich. So findet zwischen dem Steuergerät 2 und dem Steuergerät 6 bspw. gar keine Kommu¬ nikation mehr statt. Zwischen dem Steuergerät 2 und dem Steuergerät 4 werden, wie durch den gestrichelten Doppel¬ pfeil verdeutlicht, zwar noch Informationen ausgetauscht, doch diese können aufgrund des besonderen Zustands, in dem sich das Steuergerät 2 befindet, fehlerhaft sein.

Durch die erfindungsgemäße Maßnahme, den besonderen Zustand des Steuergeräts 2 wie in der Figur Ic schematisch darge- stellt, den anderen Steuergeräten 4, 6, wie in der Figur Ib schematisch dargestellt, rechtzeitig vorab anzukündigen, wirkt sich der besondere Zustand des Steuergeräts 2 nicht auf den Betrieb des gesamten Systems 1 aus, da die anderen Steuergeräte 4, 6 über diesen besonderen Zustand des Steu- ergeräts 1 vorab informiert wurden, so daß diese diesen be¬ sonderen Zustand berücksichtigen. Sobald das Steuergerät 2 nach Behebung des Fehlers und/oder Durchführung der Maßnah¬ me wieder voll funktionstüchtig ist, ist, wie in Figur Ia dargestellt, wieder eine reguläre Kommunikation zwischen sämtlichen Steuergeräten 2, 4, 6 innerhalb des Systems 1 möglich.