DE102010041003A1 - Verfahren zum Überwachen von mindestens zwei Mikrocontrollern - Google Patents

Verfahren zum Überwachen von mindestens zwei Mikrocontrollern Download PDF

Info

Publication number
DE102010041003A1
DE102010041003A1 DE201010041003 DE102010041003A DE102010041003A1 DE 102010041003 A1 DE102010041003 A1 DE 102010041003A1 DE 201010041003 DE201010041003 DE 201010041003 DE 102010041003 A DE102010041003 A DE 102010041003A DE 102010041003 A1 DE102010041003 A1 DE 102010041003A1
Authority
DE
Germany
Prior art keywords
microcontroller
watchdog
contribution
response
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE201010041003
Other languages
English (en)
Inventor
Sandeep Bisht
Jochen Weber
Andreas Heyl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Samsung SDI Co Ltd
Original Assignee
SB LiMotive Germany GmbH
SB LiMotive Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SB LiMotive Germany GmbH, SB LiMotive Co Ltd filed Critical SB LiMotive Germany GmbH
Priority to DE201010041003 priority Critical patent/DE102010041003A1/de
Priority to JP2013528602A priority patent/JP5715257B2/ja
Priority to CN201180044943.9A priority patent/CN103168292B/zh
Priority to KR1020137009897A priority patent/KR101581403B1/ko
Priority to PCT/EP2011/065515 priority patent/WO2012038260A1/de
Priority to EP11760737.4A priority patent/EP2619667A1/de
Priority to US13/825,248 priority patent/US9104570B2/en
Publication of DE102010041003A1 publication Critical patent/DE102010041003A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/076Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25158Watchdog

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Es wird ein Verfahren zum Überwachen von mindestens zwei Mikrocontrollern (12, 20) mittels eines Watchdogs (10) beschrieben. Der Watchdog (10) ist einem ersten Mikrocontroller (12) zugeordnet und überwacht die Mitteilung einer Nachricht des ersten Mikrocontrollers (12) innerhalb eines Zeitintervalls vorgegebener Dauer (224). Die dem Watchdog (10) von dem ersten Mikrocontroller (12) mitgeteilte Nachricht enthält einen Beitrag, welcher infolge einer Kommunikation (202, 216) zwischen dem ersten Mikrocontroller (12) und einem mit diesem verbundenen zweiten Mikrocontroller (20) gebildet wird (224) und auf dessen Grundlage der Watchdog (10) die ordnungsgemäße Funktionsweise des zweiten Mikrocontrollers (20) überprüft. Ferner werden eine Schaltungsanordnung und eine Batterie (100) mit einer Batteriemanagementeinheit beschrieben, welche dazu ausgelegt sind, das erfindungsgemäße Verfahren auszuüben.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zum Überwachen von mindestens zwei Mikrocontrollern mittels eines Watchdogs, eine Schaltungsanordnung, welche dazu ausgebildet ist, das erfindungsgemäße Verfahren auszuführen, sowie eine Batterie und ein Kraftfahrzeug, welche die erfindungsgemäße Schaltungsanordnung umfassen.
  • Stand der Technik
  • Aus dem Stand der Technik sind Verfahren zum Überwachen eines Mikrocontrollers mittels eines Watchdogs bekannt, bei welchen zur logischen und zeitlichen Überwachung des Programmablaufs sicherheitsrelevanter Programmteile des Mikrocontrollers ein externer Hardware-Watchdog mit unabhängiger Zeitbasis und festem Zeitfenster eingesetzt wird. Zum Einsatz kommt ein solcher Watchdog beispielsweise im Rahmen der Überwachung von Motorsteuergeräten, in welchen ein so genanntes Drei-Ebenen-Konzept Anwendung findet. Dabei umfasst eine erste Ebene die Software zur Steuerung des Motors, eine zweite Ebene die Software zur Überwachung der Motorsteuerung und schließlich eine dritte Ebene die Software zur Überwachung der in den ersten beiden Ebenen verwendeten Hardware. Ein Hardware-Watchdog wird hierbei in der dritten Ebene eingesetzt, um einen in der ersten oder zweiten Ebene eingesetzten Mikrocontroller zu überprüfen.
  • Die Überwachung des Mikrocontrollers mittels des Watchdogs kann in einer einfachen Konfiguration darin bestehen, dass der Watchdog das Eintreffen von Rücksetzimpulsen innerhalb eines Zeitintervalls vorgegebener Dauer überwacht und bei Nichteintreffen der Rücksetzimpulse ein Reset des Mikrocontrollers veranlasst. In einer weiterentwickelten Konfiguration kann der Watchdog dem Mikrocontroller Testfragen übermitteln und dessen Antworten auf Richtigkeit und Zeitpunkt überprüfen.
  • Ein solches Verfahren zur Überwachung eines Mikrocontrollers kann folgenden Ablauf aufweisen: Der Watchdog stellt dem Mikrocontroller zufällig eine von mehreren möglichen Fragen. Der Mikrocontroller bildet eine Antwort auf diese Frage, indem er zwei Antwortbeiträge kombiniert. Der erste Antwortbeitrag ergibt sich aus einer Prüfung der Logik des Mikrocontrollers. Der zweite Antwortbeitrag ergibt sich aus einer funktionsspezifischen Überprüfung einer vorbestimmten Vielzahl von Softwaremodulen, bevorzugt mit zusätzlichen Bedingungen wie korrekter Reihenfolge und einer vorgegebenen Anzahl von Aufrufen jedes Moduls. Die beiden Antwortbeiträge werden kombiniert und innerhalb eines bestimmten Zeitfensters an den Watchdog übermittelt. Der Watchdog überprüft die Antwort auf korrekten Inhalt und korrekten zeitlichen Eingang und inkrementiert einen Fehlerzähler, wenn ein Fehler erkannt wird, oder setzt den Fehlerzähler zurück, falls kein Fehler festgestellt wird. Danach wird das Überprüfungsverfahren vom Watchdog durch Stellen einer neuen Frage fortgesetzt.
  • Wenn der Fehlerzähler des Watchdogs eine vorbestimmte Schwelle überschreitet, so veranlasst der Watchdog einen sicherheitsrelevanten Verfahrensschritt, der beispielsweise darin bestehen kann, dass über einen Abschaltpfad die Endstufen des vom Mikrocontroller angesteuerten Systems abgeschaltet werden, so dass kein Betrieb mehr möglich ist.
  • In Hardware umgesetzte Watchdogs sind für gewöhnlich sehr einfach aufgebaut und erlauben eine Kommunikation lediglich mit je einem Mikrocontroller, so dass gemäß dem Stand der Technik eine Überwachung mehrerer Mikrocontroller nur durch die Verwendung der gleichen Anzahl von Watchdogs möglich ist.
  • Offenbarung der Erfindung
  • Erfindungsgemäß wird ein Verfahren zum Überwachen von mindestens zwei Mikrocontrollern mittels eines Watchdogs bereitgestellt. Der Watchdog ist einem ersten Mikrocontroller zugeordnet und überwacht die Mitteilung einer Nachricht des ersten Mikrocontrollers innerhalb eines Zeitintervalls vorgegebener Dauer. Wenn eine erste Komponente einer zweiten Komponente eine Nachricht mitteilt, insbesondere eine Frage oder Antwort, so kann dies im Rahmen der Erfindung bedeuten, dass die erste Komponente der zweiten Komponente die Nachricht zusendet, zum Beispiel auf einem Bussystem, oder dass sie die Nachricht bereitstellt, zum Beispiel durch Ablage in einem Register, und die zweite Komponente diese Nachricht abfragt. Dem Watchdog wird für gewöhnlich ein von dem Taktsignal des Mikrocontrollers verschiedenes Taktsignal zugeführt, so dass er den korrekten zeitlichen Eingang der Nachricht überprüfen kann. Es ist vorgesehen, dass die dem Watchdog von dem ersten Mikrocontroller mitgeteilte Nachricht einen Beitrag enthält, welcher infolge einer Kommunikation zwischen dem ersten Mikrokontroller und einem mit diesem verbundenen zweiten Mikrocontroller gebildet wird. Auf Grundlage dieses Beitrags überprüft der Watchdog die ordnungsgemäße Funktionsweise des zweiten Mikrocontrollers zusätzlich zu derjenigen des ersten Mikrocontrollers.
  • Durch das erfindungsgemäß vorgesehene erweiterte Überwachungskonzept können zwei Mikrocontroller durch einen Watchdog überwacht werden. Ein zusätzlicher Watchdog für den zweiten Mikrocontroller und auch ein dem zweiten Mikrocontroller zugeordneter Abschaltpfad können somit eingespart werden. Die Erfindung ist jedoch nicht auf eine Überwachung von zwei Mikrocontrollern beschränkt. Vielmehr können auch eine Vielzahl von Mikrocontrollern gemeinsam durch einen Watchdog überwacht werden. Insbesondere muss der zweite Mikrocontroller mit dem ersten Mikrocontroller nicht direkt verbunden sein. Vielmehr reicht es aus, dass er mittelbar, beispielsweise über einen dritten Mikrocontroller, mit dem ersten Mikrocontroller verbunden ist. In einer solchen Anordnung kann der dritte Mikrocontroller als Übertragungseinheit der zwischen dem ersten und zweiten Mikrocontroller ausgetauschten Nachrichten dienen, und erfindungsgemäß kann sowohl der zweite, als auch der dritte Mikrocontroller durch den Watchdog überwacht werden.
  • Die Nachricht des ersten Mikrocontrollers kann eine Antwort auf eine Frage umfassen, welche zuvor dem ersten Mikrocontroller von dem Watchdog mitgeteilt worden ist. Typischerweise teilt der Watchdog dem ersten Mikrocontroller die Frage zu einem Zeitpunkt mit, welcher den Anfang des Zeitintervalls vorgegebener Dauer bildet. Der Watchdog stellt somit eine ordnungsgemäße Funktionsweise beider Mikrocontroller nur dann fest, wenn sowohl Frage als auch Antwort innerhalb des Zeitintervalls ausgetauscht werden.
  • Bevorzugt ist, dass die Antwort einen ersten Beitrag, welcher vom ersten Mikrocontroller gebildet wird, und einen zweiten Beitrag, welcher vom zweiten Mikrocontroller gebildet und dem ersten Mikrocontroller mitgeteilt wird, umfasst. Dabei kann die Frage dem zweiten Mikrocontroller von dem ersten Mikrocontroller mitgeteilt werden, bevor von dem zweiten Mikrocontroller der zweite Beitrag der Antwort gebildet wird. Typischerweise geschieht diese Mitteilung auch innerhalb des vorgegebenen Zeitintervalls.
  • Bevorzugt ist weiterhin, dass der erste Beitrag der Antwort, welcher vom ersten Mikrocontroller gebildet wird, einen komponentenspezifischen Bestandteil, welcher sich aus einer Überprüfung von Systemkomponenten des ersten Mikrocontrollers, insbesondere der Logik eines Hauptprozessors des ersten Mikrocontrollers ergibt, und/oder einen funktionsspezifischen Bestandteil, welcher sich aus einer Überprüfung einer Mehrzahl von Softwaremodulen des ersten Mikrocontrollers ergibt, umfasst.
  • Für den zweiten Beitrag der Antwort, welcher vom zweiten Mikrocontroller gebildet wird, können verschiedene Varianten vorgesehen sein, je nachdem, wie hohe Anforderungen an die Überwachung des zweiten Mikrocontrollers gestellt werden.
  • Wenn hohe Anforderungen an die Überwachung des zweiten Mikrocontrollers gestellt werden, kann auch der zweite Beitrag der Antwort einen komponentenspezifischen Bestandteil und/oder einen funktionsspezifischen Bestandteil umfassen, wie dies auch bei dem ersten Beitrag der Antwort vorgesehen ist.
  • Bei geringeren Anforderungen kann der zweite Beitrag der Antwort lediglich aus einem digitalen Wort bestehen, wobei einzelne Bits des digitalen Wortes die ordnungsgemäße Funktionsweise einzelner Softwaremodule des zweiten Mikrocontrollers repräsentieren. Wahlweise kann der zweite Beitrag der Antwort hierbei durch einen fragespezifischen Bestandteil ergänzt werden, welcher insbesondere durch Auslesen einer in dem zweiten Mikrocontroller hinterlegten Tabelle gebildet wird.
  • Der Watchdog kann bei wenigstens einem erkannten Fehler des ersten oder zweiten Mikrocontrollers einen Fehlerzähler inkrementieren, oder, wenn der Fehlerzähler einen vorgegebenen Wert erreicht hat, einen sicherheitsrelevanten Verfahrensschritt veranlassen, zum Beispiel eine Abschaltung der Endstufen des vom Mikrocontroller angesteuerten Systems.
  • Ein weiterer Aspekt der Erfindung betrifft eine Schaltungsanordnung mit einem ersten Mikrocontroller, einem diesem zugeordneten Watchdog und mindestens einem mit dem ersten Mikrocontroller verbundenen zweiten Mikrocontroller. Die Schaltungsanordnung ist dazu ausgebildet, das erfindungsgemäße Verfahren auszuführen.
  • Weitere Aspekte der Erfindung betreffen eine Batterie, bevorzugt eine Lithium-Ionen-Batterie, mit einer Batteriemanagementeinheit, welche die erfindungsgemäße Schaltungsanordnung umfasst, sowie ein Kraftfahrzeug, welches eine erfindungsgemäße Batterie umfasst. Bei dem Kraftfahrzeug kann es sich um ein elektrisches Kraftfahrzeug handeln, bei welchem die Batterie mit einem Antriebssystem des Kraftfahrzeugs verbunden ist.
  • Zeichnungen
  • Ausführungsbeispiele der Erfindung werden anhand der Zeichnungen und der nachfolgenden Beschreibung näher erläutert. Es zeigen:
  • 1 eine Batterie mit einer Schaltungsanordnung gemäß einer Ausführungsform der Erfindung und
  • 2 ein Flussdiagramm eines Verfahrens zur Überwachung zweier Mikrocontroller gemäß einer Ausführungsform der Erfindung.
  • 1 zeigt eine insgesamt mit 100 bezeichnete Batterie, bevorzugt eine Lithium-Ionen-Batterie, welche eine Schaltungsanordnung gemäß einer Ausführungsform der Erfindung umfasst. Ein Hardware-Watchdog 10 ist einem ersten Mikrocontroller 12 zugeordnet und mit diesem über einen Bus 14 verbunden, wobei über den Bus 14 in beiden Richtungen Nachrichten ausgetauscht werden, insbesondere Fragen des Watchdogs 10 und dazugehörige Antworten des ersten Mikrocontrollers 12. Sowohl der Watchdog 10 als auch der erste Mikrocontroller 12 verfügen über Abschaltpfade 16, 18, über welche bei einer festgestellten sicherheitskritischen Situation eine nicht dargestellte Hochvolt-Schütze der Batterie 100 geöffnet werden kann.
  • Der erste Mikrocontroller 12 ist mit einem zweiten Mikrocontroller 20 über einen Bus 22 verbunden, über welchen ebenfalls in beiden Richtungen Nachrichten ausgetauscht werden, insbesondere eine von dem ersten Mikrocontroller 12 weitergeleitete Frage des Watchdogs 10 und eine dazugehörige Antwort des zweiten Mikrocontrollers 20.
  • Dadurch, dass der zweite Mikrocontroller 20 eine Frage des Watchdogs 10 über den ersten Mikrocontroller 12 empfängt und eine dazugehörige Antwort auf dem gleichen Wege zurückschickt, kann der Watchdog 10 die ordnungsgemäße Funktionsweise des zweiten Mikrocontrollers 20 überprüfen und bei Feststellen eines Fehlers die Hochvolt-Schütze der Batterie über den Abschaltpfad 16 öffnen. Somit ist es nicht erforderlich, einen separaten Abschaltpfad vorzusehen, auf welchen der zweite Mikrocontroller 20 direkten Zugriff hat.
  • 2 zeigt ein Flussdiagramm des erfindungsgemäßen Verfahrens. Im Verfahrensschritt 200 wird eine Frage des Watchdogs 10 vom ersten Mikrocontroller 12 abgefragt. Im Verfahrensschritt 202 wird die Frage des Watchdogs 10 dem zweiten Mikrocontroller 20 vom ersten Mikrocontroller 12 mitgeteilt, entweder durch Senden der Frage an den zweiten Mikrocontroller 20 oder durch Bereitstellen für eine Abfrage des zweiten Mikrocontrollers 20. Im Verfahrensschritt 204 wird ein erster Beitrag der Antwort im ersten Mikrocontroller 12 gebildet. Im Verfahrensschritt 206 erhält der zweite Mikrocontroller 20 die Frage mit möglichst geringem Zeitversatz, beispielsweise durch Empfang der Daten des ersten Mikrocontrollers 12 oder durch eine Abfrage seitens des zweiten Mikrocontrollers 20. Im Verfahrensschritt 208 wird die Aktualität der Frage vom zweiten Mikrocontroller 20 überprüft, beispielsweise durch Vergleich mit einer gespeicherten früheren Frage, welche sich unterscheiden muss, oder durch Bewertung eines Statusbits, welches der erste Mikrocontroller 12 mit der Frage mitsendet. Falls der zweite Mikrocontroller 20 feststellt, dass die ihm mitgeteilte Frage nicht aktuell ist, wird im Verfahrenschritt 210 ein Fehlerzähler inkrementiert oder bei Überschreitung einer bestimmten Stelle eine Fehlerreaktion eingeleitet. Anderenfalls beginnt der zweite Mikrocontroller 20 im Verfahrensschritt 212 damit, den zweiten Beitrag der Antwort, welche an den Watchdog 10 übermittelt werden soll, zu bilden.
  • Im Verfahrensschritt 214 berechnet der zweite Mikrocontroller 20 den zweiten Beitrag der Antwort, welche an den Watchdog 10 übermittelt werden soll, und teilt sie dem ersten Mikrocontroller 12 mit, entweder durch Senden der Daten an den ersten Mikrocontroller 12 oder durch Bereitstellen für eine Abfrage durch den ersten Mikrocontroller 12. Im Verfahrensschritt 216 übernimmt der erste Mikrocontroller 12 den zweiten Beitrag der Antwort und stellt im Verfahrensschritt 218 die Aktualität des Beitrages der Antwort fest, beispielsweise durch Vergleich mit einem gespeicherten vorangehenden Antwortbeitrag, welcher sich unterscheiden muss, oder durch Bewertung eines Statusbits, das der erste Mikrocontroller 12 mit der Frage mitsendet.
  • Falls die Bewertung negativ ausfällt, wird im Verfahrensschritt 220 ein Fehlerzähler inkrementiert oder bei Überschreitung einer Schwelle eine Fehlerreaktion eingeleitet. Gleichzeitig berechnet der erste Mikrocontroller 12 im Verfahrensschritt 204 den ersten Beitrag der Antwort, welche an den Watchdog gesandt werden soll. Im Verfahrensschritt 222 kombiniert der erste Mikrocontroller den ersten und den zweiten Beitrag der Antwort zu einer Gesamtantwort und schickt diese Gesamtantwort als Nachricht im passenden Zeitfenster an den Watchdog 10 (Verfahrensschritt 224).
  • Bei einer Anwendung des erfindungsgemäßen Verfahrens im Fall von mehr als zwei Mikrocontrollern kann der erste Mikrocontroller 12 eine Vielzahl von Antwortbeiträgen empfangen und zu einer Gesamtantwort an den Watchdog 10 kombinieren. Hierbei muss das Zusammensetzen der verschiedenen Antwortbeiträge nicht notwendigerweise im ersten Mikrocontroller 12 erfolgen, sondern kann auch wechselnd in verschiedenen Mikrocontrollern erfolgen.
  • In einem nicht detailliert dargestellten Ausführungsbeispiel besteht der zweite Beitrag der Antwort, welcher vom zweiten Mikrocontroller 20 gebildet wird, lediglich aus einem digitalen Wort. Dies ist besonders dann vorteilhaft, wenn die Sicherheitsanforderungen an den zweiten Mikrocontroller 20 relativ gering sind und eine weniger komplexe Überprüfung einer bestimmten Anzahl von Softwaremodulen des zweiten Mikrocontrollers 20 ausreicht. Hierbei muss die Anzahl der Bits des digitalen Wortes größer oder gleich der Anzahl der zu überprüfenden Softwaremodule des zweiten Mikrocontrollers 20 sein. Die Bits des digitalen Wortes werden zu Beginn eines durch einen Frage-Antwort-Zyklus definierten Zeitintervalls, beispielsweise bei Mitteilung einer neuen Frage durch den Watchdog, auf logische 0 gesetzt. Es wird daraufhin die Vielzahl von zu überprüfenden Softwaremodulen in einer bestimmten Reihenfolge aufgerufen und das entsprechende Bit des digitalen Wortes auf logische 1 gesetzt, wenn das zugehörige Softwaremodul erfolgreich ausgeführt wurde. Ein zusätzliches Bit des digitalen Wortes kann das Vorhandensein einer neuen Frage repräsentieren, ohne welches ein Setzen der übrigen einzelnen Bits nicht zugelassen wird.
  • In einem weiteren, nicht genauer dargestellten Ausführungsbeispiel umfasst der zweite Beitrag der Antwort, welcher vom zweiten Mikrocontroller 20 gebildet wird, neben dem beschriebenen digitalen Wort lediglich einen fragespezifischen Bestandteil, welcher insbesondere durch Auslesen einer in dem zweiten Mikrocontroller 20 hinterlegten Tabelle gebildet wird.
  • In einem weiteren, nicht genauer dargestellten Ausführungsbeispiel wird ein Wert eines Bits des digitalen Prüfwortes nur dann geändert, wenn bei der Überprüfung eines dem Bit zugeordneten Softwaremoduls ein Fehler festgestellt wird. Dadurch wird sichergestellt, dass der zweite Mikrocontroller 20 die ihm mitgeteilte Frage korrekt verstanden hat und alle zu überprüfenden Softwaremodule innerhalb des vorgegebenen Zeitintervalls mindestens einmal ausgeführt hat.

Claims (12)

  1. Verfahren zum Überwachen von mindestens zwei Mikrocontrollern (12, 20) mittels eines Watchdogs (10), wobei der Watchdog (10) einem ersten Mikrocontroller (12) zugeordnet ist und die Mitteilung einer Nachricht des ersten Mikrocontrollers innerhalb eines Zeitintervalls vorgegebener Dauer überwacht (224), dadurch gekennzeichnet, dass die dem Watchdog (10) von dem ersten Mikrocontroller (12) mitgeteilte Nachricht einen Beitrag enthält, welcher infolge einer Kommunikation (202, 216) zwischen dem ersten Mikrocontroller (12) und einem mit diesem verbundenen zweiten Mikrocontroller (20) gebildet wird (224) und auf dessen Grundlage der Watchdog die ordnungsgemäße Funktionsweise des zweiten Mikrocontrollers (20) überprüft.
  2. Verfahren nach Anspruch 1, wobei die Nachricht des ersten Mikrocontrollers (12) eine Antwort auf eine Frage umfasst, welche zuvor dem ersten Mikrocontroller (12) von dem Watchdog (10) mitgeteilt worden ist (200), insbesondere zu einem Anfangszeitpunkt des Zeitintervalls vorgegebener Dauer.
  3. Verfahren nach Anspruch 2, wobei die Antwort einen ersten Beitrag, welcher vom ersten Mikrocontroller (12) gebildet wird (204), und einen zweiten Beitrag, welcher vom zweiten (20) Mikrocontroller gebildet (212) und dem ersten Mikrocontroller (12) mitgeteilt wird (214), umfasst.
  4. Verfahren nach Anspruch 3, wobei die Frage dem zweiten Mikrocontroller (20) von dem ersten Mikrocontroller (12) mitgeteilt wird (202), bevor von dem zweiten Mikrocontroller (20) der zweite Beitrag der Antwort gebildet wird (212).
  5. Verfahren nach Anspruch 3 oder 4, wobei der erste Beitrag der Antwort, welcher vom ersten Mikrocontroller (12) gebildet wird (204), einen komponentenspezifischen Bestandteil, welcher sich aus einer Überprüfung von Systemkomponenten des ersten Mikrocontrollers (12), insbesondere einer Logik eines Hauptprozessors des ersten Mikrocontrollers (12), ergibt, und/oder einen funktionsspezifischen Bestandteil, welcher sich aus einer Überprüfung einer Mehrzahl von Softwaremodulen des ersten Mikrocontrollers (12) ergibt, umfasst.
  6. Verfahren nach einem der Ansprüche 3 bis 5, wobei der zweite Beitrag der Antwort, welcher vom zweiten Mikrocontroller (20) gebildet wird (214), einen komponentenspezifischen Bestandteil, welcher sich aus einer Überprüfung von Systemkomponenten des zweiten Mikrocontrollers (20), insbesondere der Logik eines Hauptprozessors des zweiten Mikrocontrollers (20), ergibt, und/oder einen funktionsspezifischen Bestandteil, welcher sich aus einer Überprüfung einer Mehrzahl von Softwaremodulen des zweiten Mikrocontrollers (20) ergibt, umfasst.
  7. Verfahren nach einem der Ansprüche 3 bis 5, wobei der zweite Beitrag der Antwort, welcher vom zweiten Mikrocontroller (20) gebildet wird (214), lediglich aus einem digitalen Wort besteht, wobei einzelne Bits des digitalen Wortes die ordnungsgemäße Funktionsweise einzelner Softwaremodule des zweiten Mikrocontrollers (20) repräsentieren.
  8. Verfahren nach einem der Ansprüche 3 bis 5, wobei der zweite Beitrag der Antwort, welcher vom zweiten Mikrocontroller (20) gebildet wird (214), lediglich aus einem fragespezifischen Bestandteil, der insbesondere durch Auslesen einer in dem zweiten Mikrocontroller (20) hinterlegten Tabelle gebildet wird, sowie aus einem digitalen Wort besteht, wobei einzelne Bits des digitalen Wortes die ordnungsgemäße Funktionsweise einzelner Softwaremodule des zweiten Mikrocontrollers (20) repräsentieren.
  9. Verfahren nach einem der vorangehenden Ansprüche, wobei der Watchdog (10) bei wenigstens einem erkannten Fehler des ersten (12) oder zweiten (20) Mikrocontrollers einen Fehlerzähler inkrementiert, oder, wenn der Fehlerzähler einen vorgegebenen Wert erreicht hat, einen sicherheitsrelevanten Verfahrensschritt veranlasst.
  10. Schaltungsanordnung mit einem ersten Mikrocontroller (12), einem diesem zugeordneten Watchdog (10) und mindestens einem mit dem ersten Mikrocontroller (12) verbundenen zweiten Mikrocontroller (20), dadurch gekennzeichnet, dass die Schaltungsanordnung dazu ausgebildet ist, ein Verfahren nach einem der vorangehenden Ansprüche auszuführen.
  11. Batterie (100) umfassend eine Batteriemanagementeinheit mit einer Schaltungsanordnung nach Anspruch 10.
  12. Kraftfahrzeug, insbesondere elektrisches Kraftfahrzeug, umfassend eine Batterie (100) nach Anspruch 11.
DE201010041003 2010-09-20 2010-09-20 Verfahren zum Überwachen von mindestens zwei Mikrocontrollern Pending DE102010041003A1 (de)

Priority Applications (7)

Application Number Priority Date Filing Date Title
DE201010041003 DE102010041003A1 (de) 2010-09-20 2010-09-20 Verfahren zum Überwachen von mindestens zwei Mikrocontrollern
JP2013528602A JP5715257B2 (ja) 2010-09-20 2011-09-08 少なくとも2つのマイクロコントローラを監視する方法
CN201180044943.9A CN103168292B (zh) 2010-09-20 2011-09-08 一种用于监控至少两个微控制器的方法
KR1020137009897A KR101581403B1 (ko) 2010-09-20 2011-09-08 2개 이상의 마이크로 컨트롤러의 모니터링 방법
PCT/EP2011/065515 WO2012038260A1 (de) 2010-09-20 2011-09-08 Verfahren zum überwachen von mindestens zwei mikrocontrollern
EP11760737.4A EP2619667A1 (de) 2010-09-20 2011-09-08 Verfahren zum überwachen von mindestens zwei mikrocontrollern
US13/825,248 US9104570B2 (en) 2010-09-20 2011-09-08 Method for monitoring at least two microcontrollers

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE201010041003 DE102010041003A1 (de) 2010-09-20 2010-09-20 Verfahren zum Überwachen von mindestens zwei Mikrocontrollern

Publications (1)

Publication Number Publication Date
DE102010041003A1 true DE102010041003A1 (de) 2012-03-22

Family

ID=44675559

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201010041003 Pending DE102010041003A1 (de) 2010-09-20 2010-09-20 Verfahren zum Überwachen von mindestens zwei Mikrocontrollern

Country Status (7)

Country Link
US (1) US9104570B2 (de)
EP (1) EP2619667A1 (de)
JP (1) JP5715257B2 (de)
KR (1) KR101581403B1 (de)
CN (1) CN103168292B (de)
DE (1) DE102010041003A1 (de)
WO (1) WO2012038260A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9725054B2 (en) 2013-09-02 2017-08-08 Robert Bosch Gmbh Method for monitoring a component in a motor vehicle

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013213402A1 (de) * 2013-07-09 2015-01-15 Robert Bosch Gmbh Mikrocontroller mit mindestens zwei Kernen
KR101534974B1 (ko) * 2013-12-19 2015-07-08 현대자동차주식회사 다중 마이크로 코어 감시 장치 및 방법
FR3018961B1 (fr) * 2014-03-24 2016-04-01 Schneider Electric Ind Sas Dispositif de gestion des causes de declenchement dans un declencheur electronique
JP6498043B2 (ja) 2015-05-29 2019-04-10 キヤノン株式会社 電子機器
KR101945425B1 (ko) 2015-11-27 2019-02-07 주식회사 엘지화학 배터리 팩 상태 병렬 모니터링 장치
KR101988558B1 (ko) * 2017-06-07 2019-06-12 현대오트론 주식회사 멀티 코어를 갖는 마이크로콘트롤러 유닛을 감시하는 감시장치 및 그것의 동작 방법
KR102344211B1 (ko) 2017-12-20 2021-12-27 주식회사 엘지에너지솔루션 메인 제어부 이상 진단 시스템 및 방법
DE102018209704A1 (de) * 2018-06-15 2019-12-19 Bayerische Motoren Werke Aktiengesellschaft Fortbewegungsmittel und Vorrichtung zur Ausgabe einer Aufforderung zur Übernahme einer Fahrzeugführung
US11036573B2 (en) * 2019-05-16 2021-06-15 Ford Global Technologies, Llc Control processor unit (CPU) error detection by another CPU via communication bus
US10936397B2 (en) * 2019-05-23 2021-03-02 Ford Global Technologies, Llc Hybrid control module status communication system and method
KR20210031317A (ko) * 2019-09-11 2021-03-19 주식회사 엘지화학 워치독 시스템, 워치독 방법, 및 워치독 시스템을 포함하는 배터리 관리 시스템
KR102213254B1 (ko) * 2019-10-02 2021-02-19 주식회사 현대케피코 단일 와치독 장치를 이용한 복수 개의 마이컴 에러 검출 방법 및 단일 와치독 장치
KR102219432B1 (ko) * 2019-12-12 2021-02-26 현대모비스 주식회사 와치독 장치 및 그 제어 방법

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001350735A (ja) * 2000-06-09 2001-12-21 Bosch Automotive Systems Corp 複数データ処理装置間相互監視方法
DE10056408C1 (de) * 2000-11-14 2002-03-07 Bosch Gmbh Robert Vorrichtung zur Überwachung eines Prozessors
US6580974B2 (en) 2001-06-08 2003-06-17 Robert Bosch Gmbh Method and apparatus for monitoring the control of operational sequences in a vehicle
DE10205809A1 (de) * 2001-06-08 2002-12-12 Bosch Gmbh Robert Verfahren und Vorrichtung zur Überwachung der Steuerung von Betriebsabläufen bei einem Fahrzeug
DE10211280A1 (de) * 2002-03-14 2003-09-25 Bosch Gmbh Robert Verfahren zur Ansteuerung einer Komponente eines verteilten sicherheitsrelevanten Systems
DE10225472A1 (de) * 2002-06-10 2003-12-18 Philips Intellectual Property Verfahren und Chipeinheit zum Überwachen des Betriebs einer Mikrocontrollereinheit
JP2004259137A (ja) * 2003-02-27 2004-09-16 Denso Corp 電子制御装置
DE102004022624A1 (de) 2004-05-07 2005-12-08 Robert Bosch Gmbh Verfahren zur Überwachung eines Systems
DE102006029514B3 (de) * 2006-06-27 2007-05-31 Atmel Germany Gmbh Schaltungsanordnung und Verfahren zum Steuern mindestens eines Aktors in einem Kraftfahrzeug
UA82448C2 (uk) 2007-02-26 2008-04-10 Институт электросварки им. Е.О. Патона национальной академии наук Украины Спосіб одержання інкапсульованих нанопорошків і установка для його здійснення
DE102007033365A1 (de) * 2007-07-16 2009-01-22 Huf Hülsbeck & Fürst Gmbh & Co. Kg Eine ein temperaturabhängiges Signal liefernde Watchdog-Schaltung für einen Mikrocontroller einer ELV
JP4633134B2 (ja) * 2008-03-27 2011-02-16 ルネサスエレクトロニクス株式会社 マイクロコントローラ、制御システム及びマイクロコントローラの設計方法
JP4454672B2 (ja) * 2008-06-13 2010-04-21 三菱電機株式会社 監視制御回路を有する車載電子制御装置
CN101770404B (zh) * 2008-12-31 2012-08-15 环旭电子股份有限公司 可保存状态的看门狗电路及其保存重启状态方法
JP5339961B2 (ja) 2009-02-26 2013-11-13 三洋電機株式会社 電気自動車用バッテリ制御装置及びバッテリシステム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9725054B2 (en) 2013-09-02 2017-08-08 Robert Bosch Gmbh Method for monitoring a component in a motor vehicle

Also Published As

Publication number Publication date
JP5715257B2 (ja) 2015-05-07
EP2619667A1 (de) 2013-07-31
KR20130056347A (ko) 2013-05-29
JP2013541089A (ja) 2013-11-07
WO2012038260A1 (de) 2012-03-29
US20140149809A1 (en) 2014-05-29
KR101581403B1 (ko) 2015-12-30
CN103168292B (zh) 2017-02-08
US9104570B2 (en) 2015-08-11
CN103168292A (zh) 2013-06-19

Similar Documents

Publication Publication Date Title
DE102010041003A1 (de) Verfahren zum Überwachen von mindestens zwei Mikrocontrollern
DE102006028695B4 (de) Elektronisches Steuersystem mit Fehlfunktionsüberwachung
DE2535573C2 (de) Verfahren und Schaltungsanordnung zur Überprüfung der richtigen Durchschaltungsausführung einer Verbindung bei digitalen Datenübertragungssystemen, insbesondere digitalen Telefonsystemen
WO2010145985A1 (de) Verfahren zum betreiben eines bussystems, insbesondere eines can-busses
WO2005001690A2 (de) Verfahren zur überwachung des programmlaufs in einem mikro-computer
DE102004022624A1 (de) Verfahren zur Überwachung eines Systems
DE102007029116A1 (de) Verfahren zum Betreiben eines Mikrocontrollers und einer Ausführungseinheit sowie ein Mikrocontroller und eine Ausführungseinheit
EP1700211A1 (de) Laden von software-modulen
DE102013206432A1 (de) Verfahren und Anordnung zur Treiberdiagnose von Schützen, Batterie und Kraftfahrzeug mit einer solchen Batterie
DE10331872A1 (de) Verfahren zur Überwachung eines technischen Systems
DE102006019426B4 (de) Speichermodulsteuerung, Speichersteuerung und entsprechende Speicheranordnung sowie Verfahren zur Fehlerkorrektur
DE102011081803A1 (de) Verfahren und System zum Bereitstellen von gerätespezifischen Eigenschaftsdaten für ein Automatisierungsgerät einer Automatisierungsanlage
DE2708244B2 (de) Anordnung und Verfahren zur Steuerung eines Vermittlungssystems mit einer Gruppe von Kleinrechnern
DE10238547A1 (de) Steuersystem und Verfahren zur Fehlerbehebung in elektronischen Einheiten oder Teilnetzen
WO2006120174A1 (de) Verfahren zur steuergeräte-überwachung
DE102020201606A1 (de) Kommunikationsmodul, Teilnehmer und Verfahren
DE102005029515A1 (de) Verfahren zur Berechnung von CRC-Prüfwerten und Logikschaltung
DE102010039782A1 (de) Verfahren zur Durchführung einer Kommunikation
DE102020211168B3 (de) Verfahren und Vorrichtung zum Zustandsrücksetzen von Komponenten eines Fahrzeugs
WO2010054873A1 (de) Verringerung der reaktionszeit in einem system zur überwachung eines funktionsrechners
DE10343524B4 (de) Verfahren und Vorrichtung zum Betreiben von elektronischen Halbleiterbausteinen über Signalleitungen
WO2017016744A1 (de) Integrierter schaltkreis zum betreiben an einem bus und verfahren zum betreiben des integrierten schaltkreises
WO2021151612A1 (de) Verfahren zur überprüfung einer signalverbindung
EP1157468B1 (de) Anordnung und verfahren zum ermitteln, ob der zählstand eines zählers einen vorbestimmten zählstand erreicht hat oder nicht
DE102021128637A1 (de) Gateway und Verfahren zum Verbinden eines Endgeräts mit einem Bus

Legal Events

Date Code Title Description
R081 Change of applicant/patentee

Owner name: SAMSUNG SDI CO., LTD., YONGIN-SI, KR

Free format text: FORMER OWNER: SB LIMOTIVE COMPANY LTD., SB LIMOTIVE GERMANY GMBH, , KR

Effective date: 20130425

Owner name: SAMSUNG SDI CO., LTD., YONGIN-SI, KR

Free format text: FORMER OWNERS: SB LIMOTIVE COMPANY LTD., SUWON, KYONGGI, KR; SB LIMOTIVE GERMANY GMBH, 70469 STUTTGART, DE

Effective date: 20130425

Owner name: ROBERT BOSCH GMBH, DE

Free format text: FORMER OWNERS: SB LIMOTIVE COMPANY LTD., SUWON, KYONGGI, KR; SB LIMOTIVE GERMANY GMBH, 70469 STUTTGART, DE

Effective date: 20130425

Owner name: SAMSUNG SDI CO., LTD., KR

Free format text: FORMER OWNER: SB LIMOTIVE COMPANY LTD., SB LIMOTIVE GERMANY GMBH, , KR

Effective date: 20130425

Owner name: ROBERT BOSCH GMBH, DE

Free format text: FORMER OWNER: SB LIMOTIVE COMPANY LTD., SB LIMOTIVE GERMANY GMBH, , KR

Effective date: 20130425

R082 Change of representative

Representative=s name: GULDE & PARTNER PATENT- UND RECHTSANWALTSKANZL, DE

Effective date: 20130425

Representative=s name: GULDE HENGELHAUPT ZIEBIG & SCHNEIDER, DE

Effective date: 20130425

R012 Request for examination validly filed
R016 Response to examination communication