DE102010041003A1 - Verfahren zum Überwachen von mindestens zwei Mikrocontrollern - Google Patents
Verfahren zum Überwachen von mindestens zwei Mikrocontrollern Download PDFInfo
- Publication number
- DE102010041003A1 DE102010041003A1 DE201010041003 DE102010041003A DE102010041003A1 DE 102010041003 A1 DE102010041003 A1 DE 102010041003A1 DE 201010041003 DE201010041003 DE 201010041003 DE 102010041003 A DE102010041003 A DE 102010041003A DE 102010041003 A1 DE102010041003 A1 DE 102010041003A1
- Authority
- DE
- Germany
- Prior art keywords
- microcontroller
- watchdog
- contribution
- response
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/0757—Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
- G06F11/0739—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/076—Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25158—Watchdog
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
- Die vorliegende Erfindung betrifft ein Verfahren zum Überwachen von mindestens zwei Mikrocontrollern mittels eines Watchdogs, eine Schaltungsanordnung, welche dazu ausgebildet ist, das erfindungsgemäße Verfahren auszuführen, sowie eine Batterie und ein Kraftfahrzeug, welche die erfindungsgemäße Schaltungsanordnung umfassen.
- Stand der Technik
- Aus dem Stand der Technik sind Verfahren zum Überwachen eines Mikrocontrollers mittels eines Watchdogs bekannt, bei welchen zur logischen und zeitlichen Überwachung des Programmablaufs sicherheitsrelevanter Programmteile des Mikrocontrollers ein externer Hardware-Watchdog mit unabhängiger Zeitbasis und festem Zeitfenster eingesetzt wird. Zum Einsatz kommt ein solcher Watchdog beispielsweise im Rahmen der Überwachung von Motorsteuergeräten, in welchen ein so genanntes Drei-Ebenen-Konzept Anwendung findet. Dabei umfasst eine erste Ebene die Software zur Steuerung des Motors, eine zweite Ebene die Software zur Überwachung der Motorsteuerung und schließlich eine dritte Ebene die Software zur Überwachung der in den ersten beiden Ebenen verwendeten Hardware. Ein Hardware-Watchdog wird hierbei in der dritten Ebene eingesetzt, um einen in der ersten oder zweiten Ebene eingesetzten Mikrocontroller zu überprüfen.
- Die Überwachung des Mikrocontrollers mittels des Watchdogs kann in einer einfachen Konfiguration darin bestehen, dass der Watchdog das Eintreffen von Rücksetzimpulsen innerhalb eines Zeitintervalls vorgegebener Dauer überwacht und bei Nichteintreffen der Rücksetzimpulse ein Reset des Mikrocontrollers veranlasst. In einer weiterentwickelten Konfiguration kann der Watchdog dem Mikrocontroller Testfragen übermitteln und dessen Antworten auf Richtigkeit und Zeitpunkt überprüfen.
- Ein solches Verfahren zur Überwachung eines Mikrocontrollers kann folgenden Ablauf aufweisen: Der Watchdog stellt dem Mikrocontroller zufällig eine von mehreren möglichen Fragen. Der Mikrocontroller bildet eine Antwort auf diese Frage, indem er zwei Antwortbeiträge kombiniert. Der erste Antwortbeitrag ergibt sich aus einer Prüfung der Logik des Mikrocontrollers. Der zweite Antwortbeitrag ergibt sich aus einer funktionsspezifischen Überprüfung einer vorbestimmten Vielzahl von Softwaremodulen, bevorzugt mit zusätzlichen Bedingungen wie korrekter Reihenfolge und einer vorgegebenen Anzahl von Aufrufen jedes Moduls. Die beiden Antwortbeiträge werden kombiniert und innerhalb eines bestimmten Zeitfensters an den Watchdog übermittelt. Der Watchdog überprüft die Antwort auf korrekten Inhalt und korrekten zeitlichen Eingang und inkrementiert einen Fehlerzähler, wenn ein Fehler erkannt wird, oder setzt den Fehlerzähler zurück, falls kein Fehler festgestellt wird. Danach wird das Überprüfungsverfahren vom Watchdog durch Stellen einer neuen Frage fortgesetzt.
- Wenn der Fehlerzähler des Watchdogs eine vorbestimmte Schwelle überschreitet, so veranlasst der Watchdog einen sicherheitsrelevanten Verfahrensschritt, der beispielsweise darin bestehen kann, dass über einen Abschaltpfad die Endstufen des vom Mikrocontroller angesteuerten Systems abgeschaltet werden, so dass kein Betrieb mehr möglich ist.
- In Hardware umgesetzte Watchdogs sind für gewöhnlich sehr einfach aufgebaut und erlauben eine Kommunikation lediglich mit je einem Mikrocontroller, so dass gemäß dem Stand der Technik eine Überwachung mehrerer Mikrocontroller nur durch die Verwendung der gleichen Anzahl von Watchdogs möglich ist.
- Offenbarung der Erfindung
- Erfindungsgemäß wird ein Verfahren zum Überwachen von mindestens zwei Mikrocontrollern mittels eines Watchdogs bereitgestellt. Der Watchdog ist einem ersten Mikrocontroller zugeordnet und überwacht die Mitteilung einer Nachricht des ersten Mikrocontrollers innerhalb eines Zeitintervalls vorgegebener Dauer. Wenn eine erste Komponente einer zweiten Komponente eine Nachricht mitteilt, insbesondere eine Frage oder Antwort, so kann dies im Rahmen der Erfindung bedeuten, dass die erste Komponente der zweiten Komponente die Nachricht zusendet, zum Beispiel auf einem Bussystem, oder dass sie die Nachricht bereitstellt, zum Beispiel durch Ablage in einem Register, und die zweite Komponente diese Nachricht abfragt. Dem Watchdog wird für gewöhnlich ein von dem Taktsignal des Mikrocontrollers verschiedenes Taktsignal zugeführt, so dass er den korrekten zeitlichen Eingang der Nachricht überprüfen kann. Es ist vorgesehen, dass die dem Watchdog von dem ersten Mikrocontroller mitgeteilte Nachricht einen Beitrag enthält, welcher infolge einer Kommunikation zwischen dem ersten Mikrokontroller und einem mit diesem verbundenen zweiten Mikrocontroller gebildet wird. Auf Grundlage dieses Beitrags überprüft der Watchdog die ordnungsgemäße Funktionsweise des zweiten Mikrocontrollers zusätzlich zu derjenigen des ersten Mikrocontrollers.
- Durch das erfindungsgemäß vorgesehene erweiterte Überwachungskonzept können zwei Mikrocontroller durch einen Watchdog überwacht werden. Ein zusätzlicher Watchdog für den zweiten Mikrocontroller und auch ein dem zweiten Mikrocontroller zugeordneter Abschaltpfad können somit eingespart werden. Die Erfindung ist jedoch nicht auf eine Überwachung von zwei Mikrocontrollern beschränkt. Vielmehr können auch eine Vielzahl von Mikrocontrollern gemeinsam durch einen Watchdog überwacht werden. Insbesondere muss der zweite Mikrocontroller mit dem ersten Mikrocontroller nicht direkt verbunden sein. Vielmehr reicht es aus, dass er mittelbar, beispielsweise über einen dritten Mikrocontroller, mit dem ersten Mikrocontroller verbunden ist. In einer solchen Anordnung kann der dritte Mikrocontroller als Übertragungseinheit der zwischen dem ersten und zweiten Mikrocontroller ausgetauschten Nachrichten dienen, und erfindungsgemäß kann sowohl der zweite, als auch der dritte Mikrocontroller durch den Watchdog überwacht werden.
- Die Nachricht des ersten Mikrocontrollers kann eine Antwort auf eine Frage umfassen, welche zuvor dem ersten Mikrocontroller von dem Watchdog mitgeteilt worden ist. Typischerweise teilt der Watchdog dem ersten Mikrocontroller die Frage zu einem Zeitpunkt mit, welcher den Anfang des Zeitintervalls vorgegebener Dauer bildet. Der Watchdog stellt somit eine ordnungsgemäße Funktionsweise beider Mikrocontroller nur dann fest, wenn sowohl Frage als auch Antwort innerhalb des Zeitintervalls ausgetauscht werden.
- Bevorzugt ist, dass die Antwort einen ersten Beitrag, welcher vom ersten Mikrocontroller gebildet wird, und einen zweiten Beitrag, welcher vom zweiten Mikrocontroller gebildet und dem ersten Mikrocontroller mitgeteilt wird, umfasst. Dabei kann die Frage dem zweiten Mikrocontroller von dem ersten Mikrocontroller mitgeteilt werden, bevor von dem zweiten Mikrocontroller der zweite Beitrag der Antwort gebildet wird. Typischerweise geschieht diese Mitteilung auch innerhalb des vorgegebenen Zeitintervalls.
- Bevorzugt ist weiterhin, dass der erste Beitrag der Antwort, welcher vom ersten Mikrocontroller gebildet wird, einen komponentenspezifischen Bestandteil, welcher sich aus einer Überprüfung von Systemkomponenten des ersten Mikrocontrollers, insbesondere der Logik eines Hauptprozessors des ersten Mikrocontrollers ergibt, und/oder einen funktionsspezifischen Bestandteil, welcher sich aus einer Überprüfung einer Mehrzahl von Softwaremodulen des ersten Mikrocontrollers ergibt, umfasst.
- Für den zweiten Beitrag der Antwort, welcher vom zweiten Mikrocontroller gebildet wird, können verschiedene Varianten vorgesehen sein, je nachdem, wie hohe Anforderungen an die Überwachung des zweiten Mikrocontrollers gestellt werden.
- Wenn hohe Anforderungen an die Überwachung des zweiten Mikrocontrollers gestellt werden, kann auch der zweite Beitrag der Antwort einen komponentenspezifischen Bestandteil und/oder einen funktionsspezifischen Bestandteil umfassen, wie dies auch bei dem ersten Beitrag der Antwort vorgesehen ist.
- Bei geringeren Anforderungen kann der zweite Beitrag der Antwort lediglich aus einem digitalen Wort bestehen, wobei einzelne Bits des digitalen Wortes die ordnungsgemäße Funktionsweise einzelner Softwaremodule des zweiten Mikrocontrollers repräsentieren. Wahlweise kann der zweite Beitrag der Antwort hierbei durch einen fragespezifischen Bestandteil ergänzt werden, welcher insbesondere durch Auslesen einer in dem zweiten Mikrocontroller hinterlegten Tabelle gebildet wird.
- Der Watchdog kann bei wenigstens einem erkannten Fehler des ersten oder zweiten Mikrocontrollers einen Fehlerzähler inkrementieren, oder, wenn der Fehlerzähler einen vorgegebenen Wert erreicht hat, einen sicherheitsrelevanten Verfahrensschritt veranlassen, zum Beispiel eine Abschaltung der Endstufen des vom Mikrocontroller angesteuerten Systems.
- Ein weiterer Aspekt der Erfindung betrifft eine Schaltungsanordnung mit einem ersten Mikrocontroller, einem diesem zugeordneten Watchdog und mindestens einem mit dem ersten Mikrocontroller verbundenen zweiten Mikrocontroller. Die Schaltungsanordnung ist dazu ausgebildet, das erfindungsgemäße Verfahren auszuführen.
- Weitere Aspekte der Erfindung betreffen eine Batterie, bevorzugt eine Lithium-Ionen-Batterie, mit einer Batteriemanagementeinheit, welche die erfindungsgemäße Schaltungsanordnung umfasst, sowie ein Kraftfahrzeug, welches eine erfindungsgemäße Batterie umfasst. Bei dem Kraftfahrzeug kann es sich um ein elektrisches Kraftfahrzeug handeln, bei welchem die Batterie mit einem Antriebssystem des Kraftfahrzeugs verbunden ist.
- Zeichnungen
- Ausführungsbeispiele der Erfindung werden anhand der Zeichnungen und der nachfolgenden Beschreibung näher erläutert. Es zeigen:
-
1 eine Batterie mit einer Schaltungsanordnung gemäß einer Ausführungsform der Erfindung und -
2 ein Flussdiagramm eines Verfahrens zur Überwachung zweier Mikrocontroller gemäß einer Ausführungsform der Erfindung. -
1 zeigt eine insgesamt mit100 bezeichnete Batterie, bevorzugt eine Lithium-Ionen-Batterie, welche eine Schaltungsanordnung gemäß einer Ausführungsform der Erfindung umfasst. Ein Hardware-Watchdog10 ist einem ersten Mikrocontroller12 zugeordnet und mit diesem über einen Bus14 verbunden, wobei über den Bus14 in beiden Richtungen Nachrichten ausgetauscht werden, insbesondere Fragen des Watchdogs10 und dazugehörige Antworten des ersten Mikrocontrollers12 . Sowohl der Watchdog10 als auch der erste Mikrocontroller12 verfügen über Abschaltpfade16 ,18 , über welche bei einer festgestellten sicherheitskritischen Situation eine nicht dargestellte Hochvolt-Schütze der Batterie100 geöffnet werden kann. - Der erste Mikrocontroller
12 ist mit einem zweiten Mikrocontroller20 über einen Bus22 verbunden, über welchen ebenfalls in beiden Richtungen Nachrichten ausgetauscht werden, insbesondere eine von dem ersten Mikrocontroller12 weitergeleitete Frage des Watchdogs10 und eine dazugehörige Antwort des zweiten Mikrocontrollers20 . - Dadurch, dass der zweite Mikrocontroller
20 eine Frage des Watchdogs10 über den ersten Mikrocontroller12 empfängt und eine dazugehörige Antwort auf dem gleichen Wege zurückschickt, kann der Watchdog10 die ordnungsgemäße Funktionsweise des zweiten Mikrocontrollers20 überprüfen und bei Feststellen eines Fehlers die Hochvolt-Schütze der Batterie über den Abschaltpfad16 öffnen. Somit ist es nicht erforderlich, einen separaten Abschaltpfad vorzusehen, auf welchen der zweite Mikrocontroller20 direkten Zugriff hat. -
2 zeigt ein Flussdiagramm des erfindungsgemäßen Verfahrens. Im Verfahrensschritt200 wird eine Frage des Watchdogs10 vom ersten Mikrocontroller12 abgefragt. Im Verfahrensschritt202 wird die Frage des Watchdogs10 dem zweiten Mikrocontroller20 vom ersten Mikrocontroller12 mitgeteilt, entweder durch Senden der Frage an den zweiten Mikrocontroller20 oder durch Bereitstellen für eine Abfrage des zweiten Mikrocontrollers20 . Im Verfahrensschritt204 wird ein erster Beitrag der Antwort im ersten Mikrocontroller12 gebildet. Im Verfahrensschritt206 erhält der zweite Mikrocontroller20 die Frage mit möglichst geringem Zeitversatz, beispielsweise durch Empfang der Daten des ersten Mikrocontrollers12 oder durch eine Abfrage seitens des zweiten Mikrocontrollers20 . Im Verfahrensschritt208 wird die Aktualität der Frage vom zweiten Mikrocontroller20 überprüft, beispielsweise durch Vergleich mit einer gespeicherten früheren Frage, welche sich unterscheiden muss, oder durch Bewertung eines Statusbits, welches der erste Mikrocontroller12 mit der Frage mitsendet. Falls der zweite Mikrocontroller20 feststellt, dass die ihm mitgeteilte Frage nicht aktuell ist, wird im Verfahrenschritt210 ein Fehlerzähler inkrementiert oder bei Überschreitung einer bestimmten Stelle eine Fehlerreaktion eingeleitet. Anderenfalls beginnt der zweite Mikrocontroller20 im Verfahrensschritt212 damit, den zweiten Beitrag der Antwort, welche an den Watchdog10 übermittelt werden soll, zu bilden. - Im Verfahrensschritt
214 berechnet der zweite Mikrocontroller20 den zweiten Beitrag der Antwort, welche an den Watchdog10 übermittelt werden soll, und teilt sie dem ersten Mikrocontroller12 mit, entweder durch Senden der Daten an den ersten Mikrocontroller12 oder durch Bereitstellen für eine Abfrage durch den ersten Mikrocontroller12 . Im Verfahrensschritt216 übernimmt der erste Mikrocontroller12 den zweiten Beitrag der Antwort und stellt im Verfahrensschritt218 die Aktualität des Beitrages der Antwort fest, beispielsweise durch Vergleich mit einem gespeicherten vorangehenden Antwortbeitrag, welcher sich unterscheiden muss, oder durch Bewertung eines Statusbits, das der erste Mikrocontroller12 mit der Frage mitsendet. - Falls die Bewertung negativ ausfällt, wird im Verfahrensschritt
220 ein Fehlerzähler inkrementiert oder bei Überschreitung einer Schwelle eine Fehlerreaktion eingeleitet. Gleichzeitig berechnet der erste Mikrocontroller12 im Verfahrensschritt204 den ersten Beitrag der Antwort, welche an den Watchdog gesandt werden soll. Im Verfahrensschritt222 kombiniert der erste Mikrocontroller den ersten und den zweiten Beitrag der Antwort zu einer Gesamtantwort und schickt diese Gesamtantwort als Nachricht im passenden Zeitfenster an den Watchdog10 (Verfahrensschritt224 ). - Bei einer Anwendung des erfindungsgemäßen Verfahrens im Fall von mehr als zwei Mikrocontrollern kann der erste Mikrocontroller
12 eine Vielzahl von Antwortbeiträgen empfangen und zu einer Gesamtantwort an den Watchdog10 kombinieren. Hierbei muss das Zusammensetzen der verschiedenen Antwortbeiträge nicht notwendigerweise im ersten Mikrocontroller12 erfolgen, sondern kann auch wechselnd in verschiedenen Mikrocontrollern erfolgen. - In einem nicht detailliert dargestellten Ausführungsbeispiel besteht der zweite Beitrag der Antwort, welcher vom zweiten Mikrocontroller
20 gebildet wird, lediglich aus einem digitalen Wort. Dies ist besonders dann vorteilhaft, wenn die Sicherheitsanforderungen an den zweiten Mikrocontroller20 relativ gering sind und eine weniger komplexe Überprüfung einer bestimmten Anzahl von Softwaremodulen des zweiten Mikrocontrollers20 ausreicht. Hierbei muss die Anzahl der Bits des digitalen Wortes größer oder gleich der Anzahl der zu überprüfenden Softwaremodule des zweiten Mikrocontrollers20 sein. Die Bits des digitalen Wortes werden zu Beginn eines durch einen Frage-Antwort-Zyklus definierten Zeitintervalls, beispielsweise bei Mitteilung einer neuen Frage durch den Watchdog, auf logische 0 gesetzt. Es wird daraufhin die Vielzahl von zu überprüfenden Softwaremodulen in einer bestimmten Reihenfolge aufgerufen und das entsprechende Bit des digitalen Wortes auf logische 1 gesetzt, wenn das zugehörige Softwaremodul erfolgreich ausgeführt wurde. Ein zusätzliches Bit des digitalen Wortes kann das Vorhandensein einer neuen Frage repräsentieren, ohne welches ein Setzen der übrigen einzelnen Bits nicht zugelassen wird. - In einem weiteren, nicht genauer dargestellten Ausführungsbeispiel umfasst der zweite Beitrag der Antwort, welcher vom zweiten Mikrocontroller
20 gebildet wird, neben dem beschriebenen digitalen Wort lediglich einen fragespezifischen Bestandteil, welcher insbesondere durch Auslesen einer in dem zweiten Mikrocontroller20 hinterlegten Tabelle gebildet wird. - In einem weiteren, nicht genauer dargestellten Ausführungsbeispiel wird ein Wert eines Bits des digitalen Prüfwortes nur dann geändert, wenn bei der Überprüfung eines dem Bit zugeordneten Softwaremoduls ein Fehler festgestellt wird. Dadurch wird sichergestellt, dass der zweite Mikrocontroller
20 die ihm mitgeteilte Frage korrekt verstanden hat und alle zu überprüfenden Softwaremodule innerhalb des vorgegebenen Zeitintervalls mindestens einmal ausgeführt hat.
Claims (12)
- Verfahren zum Überwachen von mindestens zwei Mikrocontrollern (
12 ,20 ) mittels eines Watchdogs (10 ), wobei der Watchdog (10 ) einem ersten Mikrocontroller (12 ) zugeordnet ist und die Mitteilung einer Nachricht des ersten Mikrocontrollers innerhalb eines Zeitintervalls vorgegebener Dauer überwacht (224 ), dadurch gekennzeichnet, dass die dem Watchdog (10 ) von dem ersten Mikrocontroller (12 ) mitgeteilte Nachricht einen Beitrag enthält, welcher infolge einer Kommunikation (202 ,216 ) zwischen dem ersten Mikrocontroller (12 ) und einem mit diesem verbundenen zweiten Mikrocontroller (20 ) gebildet wird (224 ) und auf dessen Grundlage der Watchdog die ordnungsgemäße Funktionsweise des zweiten Mikrocontrollers (20 ) überprüft. - Verfahren nach Anspruch 1, wobei die Nachricht des ersten Mikrocontrollers (
12 ) eine Antwort auf eine Frage umfasst, welche zuvor dem ersten Mikrocontroller (12 ) von dem Watchdog (10 ) mitgeteilt worden ist (200 ), insbesondere zu einem Anfangszeitpunkt des Zeitintervalls vorgegebener Dauer. - Verfahren nach Anspruch 2, wobei die Antwort einen ersten Beitrag, welcher vom ersten Mikrocontroller (
12 ) gebildet wird (204 ), und einen zweiten Beitrag, welcher vom zweiten (20 ) Mikrocontroller gebildet (212 ) und dem ersten Mikrocontroller (12 ) mitgeteilt wird (214 ), umfasst. - Verfahren nach Anspruch 3, wobei die Frage dem zweiten Mikrocontroller (
20 ) von dem ersten Mikrocontroller (12 ) mitgeteilt wird (202 ), bevor von dem zweiten Mikrocontroller (20 ) der zweite Beitrag der Antwort gebildet wird (212 ). - Verfahren nach Anspruch 3 oder 4, wobei der erste Beitrag der Antwort, welcher vom ersten Mikrocontroller (
12 ) gebildet wird (204 ), einen komponentenspezifischen Bestandteil, welcher sich aus einer Überprüfung von Systemkomponenten des ersten Mikrocontrollers (12 ), insbesondere einer Logik eines Hauptprozessors des ersten Mikrocontrollers (12 ), ergibt, und/oder einen funktionsspezifischen Bestandteil, welcher sich aus einer Überprüfung einer Mehrzahl von Softwaremodulen des ersten Mikrocontrollers (12 ) ergibt, umfasst. - Verfahren nach einem der Ansprüche 3 bis 5, wobei der zweite Beitrag der Antwort, welcher vom zweiten Mikrocontroller (
20 ) gebildet wird (214 ), einen komponentenspezifischen Bestandteil, welcher sich aus einer Überprüfung von Systemkomponenten des zweiten Mikrocontrollers (20 ), insbesondere der Logik eines Hauptprozessors des zweiten Mikrocontrollers (20 ), ergibt, und/oder einen funktionsspezifischen Bestandteil, welcher sich aus einer Überprüfung einer Mehrzahl von Softwaremodulen des zweiten Mikrocontrollers (20 ) ergibt, umfasst. - Verfahren nach einem der Ansprüche 3 bis 5, wobei der zweite Beitrag der Antwort, welcher vom zweiten Mikrocontroller (
20 ) gebildet wird (214 ), lediglich aus einem digitalen Wort besteht, wobei einzelne Bits des digitalen Wortes die ordnungsgemäße Funktionsweise einzelner Softwaremodule des zweiten Mikrocontrollers (20 ) repräsentieren. - Verfahren nach einem der Ansprüche 3 bis 5, wobei der zweite Beitrag der Antwort, welcher vom zweiten Mikrocontroller (
20 ) gebildet wird (214 ), lediglich aus einem fragespezifischen Bestandteil, der insbesondere durch Auslesen einer in dem zweiten Mikrocontroller (20 ) hinterlegten Tabelle gebildet wird, sowie aus einem digitalen Wort besteht, wobei einzelne Bits des digitalen Wortes die ordnungsgemäße Funktionsweise einzelner Softwaremodule des zweiten Mikrocontrollers (20 ) repräsentieren. - Verfahren nach einem der vorangehenden Ansprüche, wobei der Watchdog (
10 ) bei wenigstens einem erkannten Fehler des ersten (12 ) oder zweiten (20 ) Mikrocontrollers einen Fehlerzähler inkrementiert, oder, wenn der Fehlerzähler einen vorgegebenen Wert erreicht hat, einen sicherheitsrelevanten Verfahrensschritt veranlasst. - Schaltungsanordnung mit einem ersten Mikrocontroller (
12 ), einem diesem zugeordneten Watchdog (10 ) und mindestens einem mit dem ersten Mikrocontroller (12 ) verbundenen zweiten Mikrocontroller (20 ), dadurch gekennzeichnet, dass die Schaltungsanordnung dazu ausgebildet ist, ein Verfahren nach einem der vorangehenden Ansprüche auszuführen. - Batterie (
100 ) umfassend eine Batteriemanagementeinheit mit einer Schaltungsanordnung nach Anspruch 10. - Kraftfahrzeug, insbesondere elektrisches Kraftfahrzeug, umfassend eine Batterie (
100 ) nach Anspruch 11.
Priority Applications (7)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE201010041003 DE102010041003A1 (de) | 2010-09-20 | 2010-09-20 | Verfahren zum Überwachen von mindestens zwei Mikrocontrollern |
JP2013528602A JP5715257B2 (ja) | 2010-09-20 | 2011-09-08 | 少なくとも2つのマイクロコントローラを監視する方法 |
CN201180044943.9A CN103168292B (zh) | 2010-09-20 | 2011-09-08 | 一种用于监控至少两个微控制器的方法 |
KR1020137009897A KR101581403B1 (ko) | 2010-09-20 | 2011-09-08 | 2개 이상의 마이크로 컨트롤러의 모니터링 방법 |
PCT/EP2011/065515 WO2012038260A1 (de) | 2010-09-20 | 2011-09-08 | Verfahren zum überwachen von mindestens zwei mikrocontrollern |
EP11760737.4A EP2619667A1 (de) | 2010-09-20 | 2011-09-08 | Verfahren zum überwachen von mindestens zwei mikrocontrollern |
US13/825,248 US9104570B2 (en) | 2010-09-20 | 2011-09-08 | Method for monitoring at least two microcontrollers |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE201010041003 DE102010041003A1 (de) | 2010-09-20 | 2010-09-20 | Verfahren zum Überwachen von mindestens zwei Mikrocontrollern |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102010041003A1 true DE102010041003A1 (de) | 2012-03-22 |
Family
ID=44675559
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE201010041003 Pending DE102010041003A1 (de) | 2010-09-20 | 2010-09-20 | Verfahren zum Überwachen von mindestens zwei Mikrocontrollern |
Country Status (7)
Country | Link |
---|---|
US (1) | US9104570B2 (de) |
EP (1) | EP2619667A1 (de) |
JP (1) | JP5715257B2 (de) |
KR (1) | KR101581403B1 (de) |
CN (1) | CN103168292B (de) |
DE (1) | DE102010041003A1 (de) |
WO (1) | WO2012038260A1 (de) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9725054B2 (en) | 2013-09-02 | 2017-08-08 | Robert Bosch Gmbh | Method for monitoring a component in a motor vehicle |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102013213402A1 (de) * | 2013-07-09 | 2015-01-15 | Robert Bosch Gmbh | Mikrocontroller mit mindestens zwei Kernen |
KR101534974B1 (ko) * | 2013-12-19 | 2015-07-08 | 현대자동차주식회사 | 다중 마이크로 코어 감시 장치 및 방법 |
FR3018961B1 (fr) * | 2014-03-24 | 2016-04-01 | Schneider Electric Ind Sas | Dispositif de gestion des causes de declenchement dans un declencheur electronique |
JP6498043B2 (ja) | 2015-05-29 | 2019-04-10 | キヤノン株式会社 | 電子機器 |
KR101945425B1 (ko) | 2015-11-27 | 2019-02-07 | 주식회사 엘지화학 | 배터리 팩 상태 병렬 모니터링 장치 |
KR101988558B1 (ko) * | 2017-06-07 | 2019-06-12 | 현대오트론 주식회사 | 멀티 코어를 갖는 마이크로콘트롤러 유닛을 감시하는 감시장치 및 그것의 동작 방법 |
KR102344211B1 (ko) | 2017-12-20 | 2021-12-27 | 주식회사 엘지에너지솔루션 | 메인 제어부 이상 진단 시스템 및 방법 |
DE102018209704A1 (de) * | 2018-06-15 | 2019-12-19 | Bayerische Motoren Werke Aktiengesellschaft | Fortbewegungsmittel und Vorrichtung zur Ausgabe einer Aufforderung zur Übernahme einer Fahrzeugführung |
US11036573B2 (en) * | 2019-05-16 | 2021-06-15 | Ford Global Technologies, Llc | Control processor unit (CPU) error detection by another CPU via communication bus |
US10936397B2 (en) * | 2019-05-23 | 2021-03-02 | Ford Global Technologies, Llc | Hybrid control module status communication system and method |
KR20210031317A (ko) * | 2019-09-11 | 2021-03-19 | 주식회사 엘지화학 | 워치독 시스템, 워치독 방법, 및 워치독 시스템을 포함하는 배터리 관리 시스템 |
KR102213254B1 (ko) * | 2019-10-02 | 2021-02-19 | 주식회사 현대케피코 | 단일 와치독 장치를 이용한 복수 개의 마이컴 에러 검출 방법 및 단일 와치독 장치 |
KR102219432B1 (ko) * | 2019-12-12 | 2021-02-26 | 현대모비스 주식회사 | 와치독 장치 및 그 제어 방법 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001350735A (ja) * | 2000-06-09 | 2001-12-21 | Bosch Automotive Systems Corp | 複数データ処理装置間相互監視方法 |
DE10056408C1 (de) * | 2000-11-14 | 2002-03-07 | Bosch Gmbh Robert | Vorrichtung zur Überwachung eines Prozessors |
US6580974B2 (en) | 2001-06-08 | 2003-06-17 | Robert Bosch Gmbh | Method and apparatus for monitoring the control of operational sequences in a vehicle |
DE10205809A1 (de) * | 2001-06-08 | 2002-12-12 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Überwachung der Steuerung von Betriebsabläufen bei einem Fahrzeug |
DE10211280A1 (de) * | 2002-03-14 | 2003-09-25 | Bosch Gmbh Robert | Verfahren zur Ansteuerung einer Komponente eines verteilten sicherheitsrelevanten Systems |
DE10225472A1 (de) * | 2002-06-10 | 2003-12-18 | Philips Intellectual Property | Verfahren und Chipeinheit zum Überwachen des Betriebs einer Mikrocontrollereinheit |
JP2004259137A (ja) * | 2003-02-27 | 2004-09-16 | Denso Corp | 電子制御装置 |
DE102004022624A1 (de) | 2004-05-07 | 2005-12-08 | Robert Bosch Gmbh | Verfahren zur Überwachung eines Systems |
DE102006029514B3 (de) * | 2006-06-27 | 2007-05-31 | Atmel Germany Gmbh | Schaltungsanordnung und Verfahren zum Steuern mindestens eines Aktors in einem Kraftfahrzeug |
UA82448C2 (uk) | 2007-02-26 | 2008-04-10 | Институт электросварки им. Е.О. Патона национальной академии наук Украины | Спосіб одержання інкапсульованих нанопорошків і установка для його здійснення |
DE102007033365A1 (de) * | 2007-07-16 | 2009-01-22 | Huf Hülsbeck & Fürst Gmbh & Co. Kg | Eine ein temperaturabhängiges Signal liefernde Watchdog-Schaltung für einen Mikrocontroller einer ELV |
JP4633134B2 (ja) * | 2008-03-27 | 2011-02-16 | ルネサスエレクトロニクス株式会社 | マイクロコントローラ、制御システム及びマイクロコントローラの設計方法 |
JP4454672B2 (ja) * | 2008-06-13 | 2010-04-21 | 三菱電機株式会社 | 監視制御回路を有する車載電子制御装置 |
CN101770404B (zh) * | 2008-12-31 | 2012-08-15 | 环旭电子股份有限公司 | 可保存状态的看门狗电路及其保存重启状态方法 |
JP5339961B2 (ja) | 2009-02-26 | 2013-11-13 | 三洋電機株式会社 | 電気自動車用バッテリ制御装置及びバッテリシステム |
-
2010
- 2010-09-20 DE DE201010041003 patent/DE102010041003A1/de active Pending
-
2011
- 2011-09-08 US US13/825,248 patent/US9104570B2/en active Active
- 2011-09-08 EP EP11760737.4A patent/EP2619667A1/de not_active Ceased
- 2011-09-08 CN CN201180044943.9A patent/CN103168292B/zh active Active
- 2011-09-08 KR KR1020137009897A patent/KR101581403B1/ko active IP Right Grant
- 2011-09-08 WO PCT/EP2011/065515 patent/WO2012038260A1/de active Application Filing
- 2011-09-08 JP JP2013528602A patent/JP5715257B2/ja active Active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9725054B2 (en) | 2013-09-02 | 2017-08-08 | Robert Bosch Gmbh | Method for monitoring a component in a motor vehicle |
Also Published As
Publication number | Publication date |
---|---|
JP5715257B2 (ja) | 2015-05-07 |
EP2619667A1 (de) | 2013-07-31 |
KR20130056347A (ko) | 2013-05-29 |
JP2013541089A (ja) | 2013-11-07 |
WO2012038260A1 (de) | 2012-03-29 |
US20140149809A1 (en) | 2014-05-29 |
KR101581403B1 (ko) | 2015-12-30 |
CN103168292B (zh) | 2017-02-08 |
US9104570B2 (en) | 2015-08-11 |
CN103168292A (zh) | 2013-06-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102010041003A1 (de) | Verfahren zum Überwachen von mindestens zwei Mikrocontrollern | |
DE102006028695B4 (de) | Elektronisches Steuersystem mit Fehlfunktionsüberwachung | |
DE2535573C2 (de) | Verfahren und Schaltungsanordnung zur Überprüfung der richtigen Durchschaltungsausführung einer Verbindung bei digitalen Datenübertragungssystemen, insbesondere digitalen Telefonsystemen | |
WO2010145985A1 (de) | Verfahren zum betreiben eines bussystems, insbesondere eines can-busses | |
WO2005001690A2 (de) | Verfahren zur überwachung des programmlaufs in einem mikro-computer | |
DE102004022624A1 (de) | Verfahren zur Überwachung eines Systems | |
DE102007029116A1 (de) | Verfahren zum Betreiben eines Mikrocontrollers und einer Ausführungseinheit sowie ein Mikrocontroller und eine Ausführungseinheit | |
EP1700211A1 (de) | Laden von software-modulen | |
DE102013206432A1 (de) | Verfahren und Anordnung zur Treiberdiagnose von Schützen, Batterie und Kraftfahrzeug mit einer solchen Batterie | |
DE10331872A1 (de) | Verfahren zur Überwachung eines technischen Systems | |
DE102006019426B4 (de) | Speichermodulsteuerung, Speichersteuerung und entsprechende Speicheranordnung sowie Verfahren zur Fehlerkorrektur | |
DE102011081803A1 (de) | Verfahren und System zum Bereitstellen von gerätespezifischen Eigenschaftsdaten für ein Automatisierungsgerät einer Automatisierungsanlage | |
DE2708244B2 (de) | Anordnung und Verfahren zur Steuerung eines Vermittlungssystems mit einer Gruppe von Kleinrechnern | |
DE10238547A1 (de) | Steuersystem und Verfahren zur Fehlerbehebung in elektronischen Einheiten oder Teilnetzen | |
WO2006120174A1 (de) | Verfahren zur steuergeräte-überwachung | |
DE102020201606A1 (de) | Kommunikationsmodul, Teilnehmer und Verfahren | |
DE102005029515A1 (de) | Verfahren zur Berechnung von CRC-Prüfwerten und Logikschaltung | |
DE102010039782A1 (de) | Verfahren zur Durchführung einer Kommunikation | |
DE102020211168B3 (de) | Verfahren und Vorrichtung zum Zustandsrücksetzen von Komponenten eines Fahrzeugs | |
WO2010054873A1 (de) | Verringerung der reaktionszeit in einem system zur überwachung eines funktionsrechners | |
DE10343524B4 (de) | Verfahren und Vorrichtung zum Betreiben von elektronischen Halbleiterbausteinen über Signalleitungen | |
WO2017016744A1 (de) | Integrierter schaltkreis zum betreiben an einem bus und verfahren zum betreiben des integrierten schaltkreises | |
WO2021151612A1 (de) | Verfahren zur überprüfung einer signalverbindung | |
EP1157468B1 (de) | Anordnung und verfahren zum ermitteln, ob der zählstand eines zählers einen vorbestimmten zählstand erreicht hat oder nicht | |
DE102021128637A1 (de) | Gateway und Verfahren zum Verbinden eines Endgeräts mit einem Bus |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R081 | Change of applicant/patentee |
Owner name: SAMSUNG SDI CO., LTD., YONGIN-SI, KR Free format text: FORMER OWNER: SB LIMOTIVE COMPANY LTD., SB LIMOTIVE GERMANY GMBH, , KR Effective date: 20130425 Owner name: SAMSUNG SDI CO., LTD., YONGIN-SI, KR Free format text: FORMER OWNERS: SB LIMOTIVE COMPANY LTD., SUWON, KYONGGI, KR; SB LIMOTIVE GERMANY GMBH, 70469 STUTTGART, DE Effective date: 20130425 Owner name: ROBERT BOSCH GMBH, DE Free format text: FORMER OWNERS: SB LIMOTIVE COMPANY LTD., SUWON, KYONGGI, KR; SB LIMOTIVE GERMANY GMBH, 70469 STUTTGART, DE Effective date: 20130425 Owner name: SAMSUNG SDI CO., LTD., KR Free format text: FORMER OWNER: SB LIMOTIVE COMPANY LTD., SB LIMOTIVE GERMANY GMBH, , KR Effective date: 20130425 Owner name: ROBERT BOSCH GMBH, DE Free format text: FORMER OWNER: SB LIMOTIVE COMPANY LTD., SB LIMOTIVE GERMANY GMBH, , KR Effective date: 20130425 |
|
R082 | Change of representative |
Representative=s name: GULDE & PARTNER PATENT- UND RECHTSANWALTSKANZL, DE Effective date: 20130425 Representative=s name: GULDE HENGELHAUPT ZIEBIG & SCHNEIDER, DE Effective date: 20130425 |
|
R012 | Request for examination validly filed | ||
R016 | Response to examination communication |