DE102011106163A1 - Device for protecting control system of motor vehicle, has microcontroller which generates control signal corresponding to the wheel output of wheel speed values such that the control system of motor vehicle is switched to safe state - Google Patents

Device for protecting control system of motor vehicle, has microcontroller which generates control signal corresponding to the wheel output of wheel speed values such that the control system of motor vehicle is switched to safe state Download PDF

Info

Publication number
DE102011106163A1
DE102011106163A1 DE201110106163 DE102011106163A DE102011106163A1 DE 102011106163 A1 DE102011106163 A1 DE 102011106163A1 DE 201110106163 DE201110106163 DE 201110106163 DE 102011106163 A DE102011106163 A DE 102011106163A DE 102011106163 A1 DE102011106163 A1 DE 102011106163A1
Authority
DE
Germany
Prior art keywords
wheel speed
processor
signal
control system
microcontroller
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE201110106163
Other languages
German (de)
Inventor
Hubert Schmitt
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZF Active Safety GmbH
Original Assignee
Lucas Automotive GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lucas Automotive GmbH filed Critical Lucas Automotive GmbH
Priority to DE201110106163 priority Critical patent/DE102011106163A1/en
Publication of DE102011106163A1 publication Critical patent/DE102011106163A1/en
Ceased legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/06Improving the dynamic response of the control system, e.g. improving the speed of regulation or avoiding hunting or overshoot
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0005Processor details or data handling, e.g. memory registers or chip architecture
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0008Feedback, closed loop systems or details of feedback error signal
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2520/00Input parameters relating to overall vehicle dynamics
    • B60W2520/28Wheel speed
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2720/00Output or target parameters relating to overall vehicle dynamics
    • B60W2720/28Wheel speed
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W30/00Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units, or advanced driver assistance systems for ensuring comfort, stability and safety or drive control systems for propelling or retarding the vehicle
    • B60W30/18Propelling the vehicle
    • B60W30/18172Preventing, or responsive to skidding of wheels

Abstract

The device has a microcontroller (10) which is coupled with signal processing units (12,14) for reading and processing wheel spin signals. The signal processing units are coupled to the processor (16) for sending the wheel spin signals to the processor, and computing the wheel speed values. The control signal is generated and outputted by the microcontroller corresponding to the wheel output of wheel speed values such that the control system of motor vehicle is switched to safe state. An independent claim is included for method for protecting control system of motor vehicle.

Description

Technisches GebietTechnical area

Die vorliegende Offenbarung betrifft allgemein das Gebiet der Sicherheitssysteme für Kraftfahrzeuge. Im Besonderen werden eine Vorrichtung und ein Verfahren zur Absicherung eines Regelsystems mittels eines Mikrocontrollers beschrieben.The present disclosure relates generally to the field of automotive safety systems. In particular, an apparatus and method for securing a control system by means of a microcontroller are described.

Hintergrundbackground

Aus dem Stand der Technik bekannte Regelsysteme (z. B. Schlupfregelsysteme) für Kraftfahrzeuge weisen einen Mikrocontroller mit einer Signalaufbereitungseinheit und einem Prozessor auf. Die Signalaufbereitungseinheit liest ein Radumdrehungssignal von einem am Rad des Kraftfahrzeugs angebrachten Sensor ein und bereitet es zur Übergabe an den Prozessor auf. Der Prozessor berechnet dann basierend auf dem von der Signalaufbereitungseinheit ausgegebenen Signal einen Radgeschwindigkeitswert.Control systems known from the prior art (eg slip control systems) for motor vehicles have a microcontroller with a signal conditioning unit and a processor. The signal conditioning unit reads in a wheel revolution signal from a sensor mounted on the wheel of the motor vehicle and prepares it for transfer to the processor. The processor then calculates a wheel speed value based on the signal output from the signal conditioning unit.

Herkömmlicherweise wird die Radgeschwindigkeitserfassung durch im Mikrocontroller integrierte Prüfschaltungen zum Prüfen der Signalaufbereitungseinheit in einer Startphase (”Peripheral Built In Self Test” oder PBIST) und zum Prüfen des Prozessors (”Built In Self Test” oder BIST) abgesichert. Der Test der Prüfschaltung (PBIST) zum Prüfen der Signalaufbereitungseinheit kann jedoch nur in der Startphase, das heißt nur einmal nachdem die Zündung des Kraftfahrzeugs eingeschaltet wurde, durchlaufen werden. Ferner sind Status- und Kontrollregister sowie Taktgeber/Zeitgeber (sogenannte Timer) der Signalaufbereitungseinheit durch die Prüfschaltung in der Regel nicht abgesichert. Es hat sich jedoch gezeigt, dass die Status- und Kontrollregister sowie die Timer der Signalaufbereitungseinheit für die Radgeschwindigkeitserfassung essentiell sind und ohne deren Absicherung erhebliche Schwierigkeiten und Fehlberechnungen auftreten können.Conventionally, wheel speed sensing is assured by microcontroller-integrated test circuits for testing the signal conditioning unit in a "Peripheral Built-In Self-Test" or "PBIST" and "Built-In Self Test" or BIST. The test of the test circuit (PBIST) for testing the signal conditioning unit, however, can only be run through in the starting phase, that is, only once after the ignition of the motor vehicle has been switched on. Furthermore, status and control registers as well as clocks / timers (so-called timers) of the signal conditioning unit are usually not protected by the test circuit. However, it has been shown that the status and control registers and the timers of the signal conditioning unit for the wheel speed detection are essential and without their protection significant difficulties and miscalculations can occur.

Eine Absicherung der Radgeschwindigkeitsfunktion ist während der Fahrt durch die integrierten Prüfschaltungen (PBIST oder BIST) somit nicht immer gewährleistet. Aus diesem Grund kann es fälschlicherweise zu einem ungenauen Radgeschwindigkeitswert und zur Ausgabe eines falschen Steuersignals für das Regelsystem kommen.A protection of the wheel speed function is thus not always guaranteed while driving through the integrated test circuits (PBIST or BIST). For this reason, it may erroneously result in an inaccurate wheel speed value and the output of an incorrect control signal for the control system.

Kurzer AbrissShort outline

Es sind daher Maßnahmen anzugeben, die es ermöglichen, ein Regelsystem eines Kraftfahrzeugs besser abzusichern.It is therefore necessary to specify measures which make it possible to better protect a control system of a motor vehicle.

Gemäß einem ersten Aspekt wird eine Vorrichtung zur Absicherung eines Regelsystems für ein Kraftfahrzeug bereitgestellt, das einen Mikrocontroller mit wenigstens einer ersten und einer zweiten Signalaufbereitungseinheit zum redundanten Einlesen und Aufbereiten wenigstens eines Radumdrehungssignals und wenigstens einem mit der ersten und zweiten Signalaufbereitungseinheit gekoppelten Prozessor zum Ermitteln einer Radgeschwindigkeitsabweichung umfasst, wobei die erste Signalaufbereitungseinheit zum Übergeben eines aufbereiteten ersten Signals und die zweite Signalaufbereitungseinheit zum Übergeben eines aufbereiteten zweiten Signals an den Prozessor ausgebildet ist und der Prozessor dazu ausgebildet ist, einen ersten Radgeschwindigkeitswert basierend auf dem ersten Signal und einen zweiten Radgeschwindigkeitswert basierend auf dem zweiten Signal zu berechnen und die Radgeschwindigkeitsabweichung zwischen dem ersten Radgeschwindigkeitswert und dem zweiten Radgeschwindigkeitswert zu ermitteln, wobei der Mikrocontroller ferner dazu ausgebildet ist, ein Steuersignal in Abhängigkeit der ermittelten Radgeschwindigkeitsabweichung auszugeben, durch welches das Regelsystem in einen sicheren Zustand schaltbar ist.According to a first aspect, a device for securing a control system for a motor vehicle is provided, comprising a microcontroller having at least a first and a second signal conditioning unit for redundantly reading and editing at least one Radumdrehungssignals and at least one coupled to the first and second signal conditioning unit processor for determining a wheel speed deviation wherein the first signal conditioning unit is configured to pass a conditioned first signal and the second signal conditioning unit to pass a conditioned second signal to the processor and the processor is configured to generate a first wheel speed value based on the first signal and a second wheel speed value based on the second one Calculate signal and the wheel speed deviation between the first Radgeschwindigkeitswert and the second Radgeschwindigkeitswert to e , wherein the microcontroller is further configured to output a control signal as a function of the determined wheel speed deviation, by means of which the control system can be switched to a safe state.

Gemäß einer Variante können die Signalaufbereitungseinheiten jeweils dazu ausgebildet sein, das wenigstens eine Radumdrehungssignal zyklisch zu erfassen. Eine aperiodische Erfassung wäre ebenfalls denkbar. Die Signalaufbereitungseinheiten können dazu ausgebildet sein, eine Flankeninformation und/oder eine Frequenz des Radumdrehungssignals zu erfassen und aufzubereiten. Die Signalaufbereitung kann einen oder mehrere der folgenden Funktionen umfassen: Verstärkung, Digitalisierung und Filterung.According to a variant, the signal conditioning units can each be designed to cyclically detect the at least one wheel rotation signal. An aperiodic detection would also be conceivable. The signal conditioning units may be designed to detect and process edge information and / or a frequency of the wheel rotation signal. The signal conditioning may include one or more of the following functions: amplification, digitizing and filtering.

Der Prozessor kann einen oder mehrere Prozessorkerne aufweisen. Beispielsweise kann der Prozessor zwei, drei oder vier Prozessorkerne aufweisen. Der Prozessor kann ferner als Lock-Step-Prozessor ausgebildet sein oder dazu angepasst sein, in einem Lock-Step-Modus betrieben zu werden.The processor may include one or more processor cores. For example, the processor may have two, three or four processor cores. The processor may be further configured as a lock-step processor or adapted to operate in a lock-step mode.

Gemäß einer Variante kann der Prozessor dazu ausgebildet sein, den ersten Radgeschwindigkeitswert mittels eines ersten Berechnungsalgorithmus und den zweiten Radgeschwindigkeitswert mittels eines zweiten Berechnungsalgorithmus zu berechnen. Der Prozessor kann ferner zwei Prozessorkerne aufweisen, wobei der erste Prozessorkern dazu ausgebildet sein kann, den ersten Radgeschwindigkeitswert mittels des ersten Berechnungsalgorithmus zu berechnen und der zweite Prozessorkern dazu ausgebildet sein kann, den zweiten Radgeschwindigkeitswert mittels des zweiten Berechnungsalgorithmus zu berechnen.According to a variant, the processor may be configured to calculate the first wheel speed value by means of a first calculation algorithm and the second wheel speed value by means of a second calculation algorithm. The processor may further comprise two processor cores, wherein the first processor core may be configured to calculate the first wheel speed value using the first calculation algorithm and the second processor core may be configured to calculate the second wheel speed value using the second calculation algorithm.

Es kann weiter vorgesehen sein, dass der Prozessor zwei Prozessorkerne aufweist, wobei der erste Prozessorkern dazu ausgebildet ist, eine erste Radgeschwindigkeitsabweichung zwischen dem ersten Radgeschwindigkeitswert und dem zweiten Radgeschwindigkeitswert zu ermitteln, und der zweite Prozessorkern dazu ausgebildet ist, eine zweite Radgeschwindigkeitsabweichung zwischen dem ersten Radgeschwindigkeitswert und dem zweiten Radgeschwindigkeitswert zu ermitteln. Der Mikrocontroller kann dazu ausgebildet sein, ein erstes Steuersignal in Abhängigkeit der ermittelten ersten Radgeschwindigkeitsabweichung und ein zweites Steuersignal in Abhängigkeit der ermittelten zweiten Radgeschwindigkeitsabweichung auszugeben. Der Mikroprozessor kann ferner auf der Grundlage des ersten und zweiten Steuersignals ein drittes Steuersignal berechnen und dieses dritte Steuersignal ausgeben.It may further be provided that the processor has two processor cores, wherein the the first processor core is configured to determine a first wheel speed deviation between the first wheel speed value and the second wheel speed value, and the second processor core is configured to determine a second wheel speed deviation between the first wheel speed value and the second wheel speed value. The microcontroller may be configured to output a first control signal as a function of the determined first wheel speed deviation and a second control signal as a function of the determined second wheel speed deviation. The microprocessor may further calculate a third control signal based on the first and second control signals and output this third control signal.

Im Rahmen der Ermittlung der jeweiligen Radgeschwindigkeitswerte kann sich der erste Berechnungsalgorithmus von dem zweiten Berechnungsalgorithmus unterscheiden. Die beiden Algorithmen können jedoch auch identisch sein.As part of the determination of the respective wheel speed values, the first calculation algorithm may differ from the second calculation algorithm. However, the two algorithms can also be identical.

In konstruktiver Hinsicht kann vorgesehen sein, dass der Mikrocontroller wenigstens eine Eingabe/Ausgabe-Einheit zum Ausgeben des Steuersignals aufweist. Die Vorrichtung kann ferner eine Sicherheitseinrichtung (z. B. ein Sicherheitsrelais) aufweisen, die durch das von dem Mikrocontroller ausgegebene Steuersignal in Abhängigkeit der ermittelten Radgeschwindigkeitsabweichung getätigt wird, wodurch das Regelsystem in einen sicheren Zustand schaltbar ist. Alternativ hierzu kann der Mikrocontroller oder das Regelsystem das Sicherheitsrelais oder eine vergleichbare Sicherheitseinrichtung aufweisen.In terms of design, it can be provided that the microcontroller has at least one input / output unit for outputting the control signal. The device may further comprise a safety device (eg a safety relay) which is actuated by the control signal output by the microcontroller as a function of the determined wheel speed deviation, whereby the control system can be switched to a safe state. Alternatively, the microcontroller or the control system may comprise the safety relay or a comparable safety device.

Die Sicherheitseinrichtung kann elf Register aufweisen, in dem einzelne oder mehrere Flags gesetzt werden, um den zu schaltenden Zustand des Regelsystems zu definieren. Ferner kann die Sicherheitseinrichtung softwaremäßig, d. h. als Computerprogrammprodukt mit Programmcodemitteln zum Abschalten oder teilweisen Deaktivieren des Regelsystems, wenn das Computerprogrammprodukt auf einer Prozessoreinheit durchgeführt, ausgeführt sein. Die Sicherheitseinrichtung kann basierend auf dem vom Mikrocontroller ausgegeben Steuersignal das Regelsystem abschalten oder einzelne Funktionen des Regelsystems (z. B. stufenweise) degradieren bzw. deaktivieren. Ferner kann vorgesehen sein, dass das Regelsystem mehrere Rückfall-Ebenen Steuermodule oder Funktionen) aufweist, die durch die Sicherheitseinrichtung jeweils aktiviert oder deaktiviert werden können. Zusätzlich oder alternativ hierzu kann die Sicherheitseinrichtung eine Warnanzeige des Regelsystems aktivieren oder deaktivieren.The safety device may have eleven registers in which one or more flags are set to define the state of the control system to be switched. Furthermore, the safety device can be software-based, d. H. as a computer program product with program code means for switching off or partially deactivating the control system when the computer program product is executed on a processor unit. The safety device can switch off the control system based on the control signal output by the microcontroller or degrade or deactivate individual functions of the control system (for example stepwise). Furthermore, it can be provided that the control system has several fallback levels control modules or functions), which can be activated or deactivated by the safety device respectively. Additionally or alternatively, the safety device can activate or deactivate a warning display of the control system.

Der Mikrocontroller kann wenigstens eine integrierte Prüf-Schaltung zum Prüfen der Signalaufbereitungseinheiten zumindest in einer Startphase aufweisen. Zusätzlich oder alternativ hierzu kann der Prozessor wenigstens eine integrierte Prüf-Schaltung zum Prüfen eines Prozessorkerns aufweisen. Die jeweiligen Prüf-Schaltungen können als Hardware-Selbsttest-Mechanismen (BIST bzw. PBIST) ausgebildet sein. Alternativ hierzu können die jeweiligen Prüf-Schaltungen softwaremäßig, d. h., als Computerprogrammprodukt mit Programmcodemitteln zur Durchführung der jeweiligen Prüfung, wenn das Computerprogrammprodukt auf einer Prozessoreinheit durchgeführt, ausgeführt sein. Dieses Computerprogrammprodukt kann auf einem prozessorlesbaren Speichermedium abgespeichert sein. Beispielsweise kann das Computerprogrammprodukt auf einem Speicherbaustein abgespeichert sein, der im Mikrocontroller integriert ist.The microcontroller may have at least one integrated test circuit for testing the signal conditioning units at least in a start-up phase. Additionally or alternatively, the processor may include at least one integrated test circuit for testing a processor core. The respective test circuits can be designed as hardware self-test mechanisms (BIST or PBIST). Alternatively, the respective test circuits may be software-based, i. h., As a computer program product with program code means for performing the respective test when the computer program product performed on a processor unit executed. This computer program product can be stored on a processor-readable storage medium. For example, the computer program product may be stored on a memory module that is integrated in the microcontroller.

Das Regelsystem kann dazu ausgebildet sein, einen auf einer Radgeschwindigkeit basierenden Regelvorgang durchzuführen. Die Vorrichtung kann in einem Regelsystem eines Kraftfahrzeugs, insbesondere in einem Schlupfregelsystem, Antiblockiersystem, Antriebsschlupfregelsystem oder in einem kombinierten Antiblockier-Antriebsschlupf-Regelsystem, vollständig oder teilweise integriert sein.The control system may be configured to perform a wheel speed-based control operation. The device may be fully or partially integrated with a control system of a motor vehicle, particularly a slip control system, anti-lock braking system, traction control system, or a combined anti-skid traction control system.

Gemäß einem anderen Aspekt wird ein Verfahren zur Absicherung eines Regelsystems für ein Kraftfahrzeug mittels eines Mikrocontrollers angegeben, wobei der Mikrocontroller wenigstens eine erste und eine zweite Signalaufbereitungseinheit zum redundanten Einlesen und Aufbereiten wenigstens eines Radumdrehungssignals und wenigstens einen mit der ersten und zweiten Signalaufbereitungseinheit gekoppelten Prozessor zum Ermitteln einer Radgeschwindigkeitsabweichung aufweist, wobei das Verfahren die folgenden Schritte umfasst: Übergeben eines aufbereiteten ersten Signals durch die erste Signalaufbereitungseinheit und eines aufbereiteten zweiten Signals durch die zweite Signalaufbereitungseinheit an den Prozessor; Berechnen eines ersten Radgeschwindigkeitswerts basierend auf dem ersten Signal und Berechnen eines zweiten Radgeschwindigkeitswerts basierend auf dem zweiten Signal durch den Prozessor; Ermitteln einer Radgeschwindigkeitsabweichung zwischen dem ersten Radgeschwindigkeitswert und dem zweiten Radgeschwindigkeitswert; und Ausgeben eines Steuersignals in Abhängigkeit der ermittelten Radgeschwindigkeitsabweichung, durch welches das Regelsystem in einen sicheren Zustand schaltbar ist.According to another aspect, a method for securing a control system for a motor vehicle by means of a microcontroller is provided, wherein the microcontroller at least a first and a second signal conditioning unit for redundantly reading and editing at least one Radumdrehungssignals and at least one coupled to the first and second signal conditioning unit processor for determining a wheel speed deviation, the method comprising the steps of: passing a conditioned first signal through the first signal conditioning unit and a conditioned second signal through the second signal conditioning unit to the processor; Calculating a first wheel speed value based on the first signal and calculating a second wheel speed value based on the second signal by the processor; Determining a wheel speed deviation between the first wheel speed value and the second wheel speed value; and outputting a control signal as a function of the determined wheel speed deviation, by means of which the control system can be switched to a safe state.

Ebenfalls bereitgestellt wird ein Computerprogrammprodukt mit Programmcodemitteln zur Durchführung der hier vorgestellten Verfahrensaspekte, wenn das Computerprogrammprodukt auf einer Prozessoreinheit durchgeführt wird. Das Computerprogrammprodukt kann auf einem prozessor-lesbaren Speichermedium abgespeichert sein. Dieses Speichermedium kann in der Vorrichtung oder im Mikrocontroller integriert sein.Also provided is a computer program product having program code means for performing the method aspects presented herein when the computer program product is executed on a processor unit. The computer program product can be stored on a processor-readable storage medium. This Storage medium may be integrated in the device or in the microcontroller.

Kurze Beschreibung der ZeichnungenBrief description of the drawings

Weitere Aspekte, Vorteile und Einzelheiten ergeben sich aus der nachfolgenden Beschreibung der Ausführungsbeispiele sowie aus den Figuren. Es zeigen:Other aspects, advantages and details will become apparent from the following description of the embodiments and from the figures. Show it:

1 ein erstes Ausführungsbeispiel einer Vorrichtung mit einem Mikrocontroller mit einem Prozessorkern; 1 A first embodiment of a device with a microcontroller with a processor core;

2 ein zweites Ausführungsbeispiel einer Vorrichtung mit einem Mikrocontroller mit zwei Prozessorkernen; und 2 A second embodiment of an apparatus with a microcontroller with two processor cores; and

3 ein drittes Ausführungsbeispiel einer Vorrichtung mit einem Mikrocontroller mit zwei Prozessorkernen und einer Lock-Step-Architektur. 3 a third embodiment of a device with a microcontroller with two processor cores and a lock-step architecture.

Detaillierte BeschreibungDetailed description

1 zeigt schematisch ein Ausführungsbeispiel einer Vorrichtung mit einem Mikrocontroller 10 zur Absicherung eines Regelsystems eines Kraftfahrzeugs (in 1 nicht gezeigt). Der Mikrocontroller 10 kann teilweise oder vollständig in die Vorrichtung des Fahrzeugs integriert sein. Beispielsweise kann der Mikrocontroller 10 Teil eines Schlupfregel-Steuergerätes (”Electronic Control Unit” oder ECU) sein. 1 schematically shows an embodiment of a device with a microcontroller 10 for securing a control system of a motor vehicle (in 1 Not shown). The microcontroller 10 may be partially or completely integrated in the device of the vehicle. For example, the microcontroller 10 Be part of a slip control unit ("Electronic Control Unit" or ECU).

Wie in 1 veranschaulicht, umfasst der Mikrocontroller 10 eine erste Signalaufbereitungseinheit 12 (Peripherie 1), eine zweite Signalaufbereitungseinheit 14 (Peripherie 2) sowie einen Prozessor 16. Die erste Signalaufbereitungseinheit 12 und die zweite Signalaufbereitungseinheit 14 sind mit dem Prozessor 16 über je eine Signalleitung gekoppelt. Der Mikrocontroller 10 weist ferner eine Eingabe/Ausgabe-Einheit 18 auf, die zum einen mit dem Prozessor 16 und zum anderen mit einem Sicherheits-Relais 20 oder einer anderweitigen Sicherheitseinrichtung der Vorrichtung gekoppelt ist.As in 1 illustrates, includes the microcontroller 10 a first signal conditioning unit 12 (Periphery 1), a second signal conditioning unit 14 (Periphery 2) and a processor 16 , The first signal conditioning unit 12 and the second signal conditioning unit 14 are with the processor 16 coupled via one signal line each. The microcontroller 10 also has an input / output unit 18 on the one hand with the processor 16 and secondly with a safety relay 20 or any other safety device of the device is coupled.

Der Prozessor 16 weist einen Prozessorkern 22 mit einer ersten Berechnungseinrichtung 24, einer zweiten Berechnungseinrichtung 26 und einer Vergleichseinrichtung 28 auf. Auf dem Prozessor 16 kann ein Computerprogrammprodukt ausgeführt werden, welches die Funktionen der ersten Berechnungseinrichtung 24, der zweiten Berechnungseinrichtung 26 sowie der Vergleichseinrichtung 28 implementiert.The processor 16 has a processor core 22 with a first calculation device 24 , a second calculation device 26 and a comparator 28 on. On the processor 16 For example, a computer program product that performs the functions of the first calculation device can be executed 24 , the second calculating means 26 and the comparison device 28 implemented.

Der Prozessor 16 weist ferner eine integrierte Prüf-Schaltung 30 zum Prüfen des Prozessorkerns 22 auf. Diese Prüf-Schaltung 30 kann, wie in dem Ausführungsbeispiel von 1 veranschaulicht, als Hardware-Selbsttest-Mechanismus BIST (Built In Self Test) ausgebildet sein. In diesem Test, der zumindest in einer Startphase (und optional auch nach der Startphase) des Mechanismus durchgeführt wird, werden die Logikelemente des Prozessors 16 bzw. des Prozessorkerns 22 auf Fehler getest, um den Prozessorkern 22 abzusichern. Diese Absicherung ist mit einer Abdeckung von etwa 95% möglich.The processor 16 also has an integrated test circuit 30 to check the processor core 22 on. This test circuit 30 can, as in the embodiment of 1 illustrated as a built-in self-test (BIST) hardware self-test mechanism. In this test, which is performed at least in a start phase (and optionally also after the start phase) of the mechanism, the logic elements of the processor become 16 or the processor core 22 tested for errors to the processor core 22 secure. This protection is possible with a coverage of about 95%.

Der Mikrocontroller 10 weist ebenfalls eine integrierte Prüf-Schaltung 32 zum Prüfen der Signalaufbereitungseinheiten 12 und 14 zumindest in einer Startphase (und optional auch nach der Startphase) auf. Diese Prüf-Schaltung 32 des Mikrocontrollers 10 ist, in dem Ausführungsbeispiel von 1, als Hardware-Selbsttest-Mechanismus PBIST (Peripheral Built In Self Test) ausgebildet. Der Test der Prüf-Schaltung 32 wird nur einmal nach dem Einschalten der Zündung des Kraftfahrzeugs in der sogenannten Startphase durchlaufen, da bei seiner Durchführung Speicherinhalte verändert werden. Die Prüf-Schaltung 32 kann so die Signalaufbereitungseinheiten 12 und 14 des Mikrocontrollers 10 zum Teil absichern.The microcontroller 10 also has an integrated test circuit 32 for checking the signal conditioning units 12 and 14 at least in a starting phase (and optionally also after the starting phase). This test circuit 32 of the microcontroller 10 is, in the embodiment of 1 , formed as a hardware self-test mechanism PBIST (Peripheral Built In Self Test). The test of the test circuit 32 is traversed only once after switching on the ignition of the motor vehicle in the so-called start phase, since memory contents are changed in its implementation. The test circuit 32 so can the signal conditioning units 12 and 14 of the microcontroller 10 partially secure.

An den Rädern (in dem Ausführungsbeispiel von 1: vier) des Kraftfahrzeugs sind Drehzahlsensoren angebracht (in 1 nicht gezeigt), die jeweils ein Radumdrehungssignal, beispielsweise in Form eines Rechtecksignals, erzeugen und ausgeben. Die Drehzahlsensoren sind mittels Signalleitungen 34 mit den Signalaufbereitungseinheiten 12 und 14 des Mikrocontrollers 10 verbunden. Die Signalaufbereitungseinheiten 12 und 14 lesen die Radumdrehungssignale der Drehzahlsensoren redundant ein und bereiten diese, beispielsweise durch Verstärkung, Digitalisierung, Filterung, Offsets oder dergleichen, redundant auf. Hierbei kann vorgesehen sein, dass die Signalaufbereitungseinheiten eine Flankeninformation der Radumdrehungssignale redundant erfassen. Das jeweilige Radumdrehungssignal kann von den Signalaufbereitungseinheiten 12 und 14 jeweils zyklisch (d. h. mit einer vorgegebenen oder veränderlichen Frequenz) erfasst werden. Die erste Signalaufbereitungseinheit 12 ist zum Übergeben eines aufbereiteten ersten Signals basierend auf dem eingelesenen Radumdrehungssignal eines jeweiligen Fahrzeugrades und die zweite Signalaufbereitungseinheit 14 ist zum Übergeben eines aufbereiteten zweiten Signals basierend auf dem eingelesenen Radumdrehungssignal des gleichen Fahrzeugrades an den Prozessor 16 ausgebildet. Das Radumdrehungssignal, das die jeweilige Radgeschwindigkeit darstellt, wird so von zwei unabhängig voneinander funktionierenden Signalaufbereitungseinheiten 12 und 14 redundant eingelesen und aufbereitet.At the wheels (in the embodiment of 1 : four) of the motor vehicle speed sensors are mounted (in 1 not shown) each generating and outputting a wheel revolution signal, for example in the form of a rectangular signal. The speed sensors are by means of signal lines 34 with the signal conditioning units 12 and 14 of the microcontroller 10 connected. The signal conditioning units 12 and 14 Read the Radumdrehungssignale the speed sensors redundant and prepare them, for example, by amplification, digitization, filtering, offsets or the like, redundant. It can be provided that the signal processing units detect redundant edge information of Radumdrehungssignale. The respective Radumdrehungssignal can from the signal conditioning units 12 and 14 each cyclically (ie with a predetermined or variable frequency) are detected. The first signal conditioning unit 12 is for passing a conditioned first signal based on the read wheel rotation signal of a respective vehicle wheel and the second signal conditioning unit 14 is for passing a conditioned second signal based on the read wheel rotation signal of the same vehicle wheel to the processor 16 educated. The Radumdrehungssignal, which represents the respective wheel speed, so from two independently functioning signal conditioning units 12 and 14 read in redundantly and processed.

Der Prozessor 16 ist dazu ausgebildet, einen ersten Radgeschwindigkeitswert basierend auf dem ersten Signal der ersten Signalaufbereitungseinheit 12 und einen zweiten Radgeschwindigkeitswert basierend auf dem zweiten Signal der zweiten Signalaufbereitungseinheit 14 zu berechnen. Die erste Berechnungseinheit 24 des Prozessors 10 berechnet hierzu den ersten Radgeschwindigkeitswert mittels eines ersten Berechnungsalgorithmus (z. B. basierend auf einer Flankenzählung) und die zweite Berechnungseinrichtung 26 des Prozessors 10 berechnet den zweiten Radgeschwindigkeitswert mittels eines zweiten Berechnungsalgorithmus (z. B. basierend auf einer Frequenzanalyse). Der erste Berechnungsalgorithmus unterscheidet sich im vorliegendem Ausführungsbeispiel vom zweiten Berechnungsalgorithmus, um methodische Fehler in der Geschwindigkeitsberechnung zu vermeiden.The processor 16 is configured to generate a first wheel speed value based on the first signal of the first signal conditioning unit 12 and a second wheel speed value based on the second signal of the second signal conditioning unit 14 to calculate. The first calculation unit 24 of the processor 10 calculates the first wheel speed value by means of a first calculation algorithm (eg based on an edge count) and the second calculation device 26 of the processor 10 calculates the second wheel speed value using a second calculation algorithm (eg based on a frequency analysis). The first calculation algorithm differs from the second calculation algorithm in the present embodiment in order to avoid methodical errors in the velocity calculation.

Der Prozessor 16 ist ferner dazu ausgebildet, eine Radgeschwindigkeitsabweichung zwischen dem ersten Radgeschwindigkeitswert und dem zweiten Radgeschwindigkeitswert zu ermitteln. Hierzu vergleicht die Vergleichseinrichtung 28 des Prozessors 16 den von der ersten Berechnungseinrichtung 24 berechneten ersten Radgeschwindigkeitswert mit dem von der zweiten Berechnungseinrichtung 26 berechneten zweiten Radgeschwindigkeitswert, um die Radgeschwindigkeitsabweichung zu bestimmen. In Abhängigkeit der ermittelten Radgeschwindigkeitsabweichung gibt der Mikrocontroller 10 über die Eingabe/Ausgabe-Einheit 18 ein Steuersignal aus. Das mit der Eingabe/Ausgabe-Einheit 18 des Mikrocontrollers 10 verbundene Sicherheitsrelais 20 wird durch das von dem Mikrocontroller 10 ausgegebene Steuersignal in Abhängigkeit der ermittelten Radgeschwindigkeitsabweichung betätigt, wodurch das Regelsystem – im Fall einer einen Schwellenwert überschreitenden Abweichung – in einen sicheren Zustand schaltbar ist. Das Sicherheitsrelais 20 kann so basierend auf dem vom Mikrocontroller ausgegeben Steuersignal das Regelsystem abschatten oder (z. B. bei einer Implementierung in Software-Form) einzelne Funktionen des Regelsystems stufenweise degradieren bzw. deaktivieren.The processor 16 is further configured to determine a wheel speed deviation between the first wheel speed value and the second wheel speed value. The comparator compares this 28 of the processor 16 that from the first calculation device 24 calculated first wheel speed value with that of the second calculation means 26 calculated second wheel speed value to determine the wheel speed deviation. Depending on the determined wheel speed deviation gives the microcontroller 10 via the input / output unit 18 a control signal. That with the input / output unit 18 of the microcontroller 10 connected safety relays 20 gets through by the microcontroller 10 output control signal is actuated in response to the determined wheel speed deviation, whereby the control system - in the case of a threshold exceeding drift - is switchable to a safe state. The safety relay 20 In this way, the control system can shadow the control system based on the control signal output by the microcontroller or, for example, in an implementation in software form, stepwise degrade or deactivate individual functions of the control system.

2 zeigt schematisch ein zweites Ausführungsbeispiel einer Vorrichtung mit einem Mikrocontroller 36 zur Absicherung eines Regelsystems eines Kraftfahrzeugs (in 2 nicht gezeigt). Der Mikrocontroller 36 entspricht im Wesentlichen dem Mikrocontroller 10 gemäß 1, umfasst jedoch anstatt eines Ein-Kern-Prozessors einen Prozessor 38 mit einem ersten Prozessorkern 40 und einem zweiten Prozessorkern 42. Ferner ist für jeden der beiden Prozessorkerne 40 und 42 eine separate Prüf-Schaltung 30 (BIST) zum, wie vorstehend mit Bezug auf 1 beschrieben, Prüfen des jeweiligen Prozessorkerns 40, 42 integriert. Zusätzlich sind zwei Eingabe/Ausgabe-Einheiten 18 im Mikrocontroller 36 vorgesehen, wobei jeweils eine mit einem der beiden Prozessorkerne 40 und 42 verbunden ist. Die Eingabe/Ausgabe-Einheiten 18 sind wiederum mit dem Sicherheitsrelais 20 der Vorrichtung (oder alternativ des Regelsystems) verbunden. 2 schematically shows a second embodiment of a device with a microcontroller 36 for securing a control system of a motor vehicle (in 2 Not shown). The microcontroller 36 essentially corresponds to the microcontroller 10 according to 1 but includes a processor rather than a single-core processor 38 with a first processor core 40 and a second processor core 42 , Further, for each of the two processor cores 40 and 42 a separate test circuit 30 (BIST), as described above with reference to FIG 1 described, checking the respective processor core 40 . 42 integrated. In addition, there are two input / output units 18 in the microcontroller 36 provided, one each with one of the two processor cores 40 and 42 connected is. The input / output units 18 are in turn with the safety relay 20 the device (or alternatively the control system) connected.

Der erste Prozessorkern 40 weist die erste Berechnungseinrichtung 24 und eine Vergleichseinrichtung 28 auf. Der zweite Prozessorkern 42 weist die zweite Berechnungseinrichtung 26 und eine Vergleichseinrichtung 28 auf. Die beiden Vergleichseinrichtungen 28 des ersten und zweiten Prozessorkerns 40, 42 sind miteinander gekoppelt.The first processor core 40 indicates the first calculation means 24 and a comparator 28 on. The second processor core 42 indicates the second calculating means 26 and a comparator 28 on. The two comparison devices 28 the first and second processor core 40 . 42 are coupled with each other.

Wie in 2 gezeigt, ist die erste Signalaufbereitungseinheit 12 mit dem ersten Prozessorkern 40 des Prozessors 38 und die zweite Signalaufbereitungseinheit 14 mit dem zweiten Prozessorkern 42 des Prozessors 38 gekoppelt. Die in den Mikrocontroller 36 integrierte Prüf-Schaltung 32 (PBIST) dient, wie vorstehend in Bezug auf 1 beschrieben, zum Prüfen der Signalaufbereitungseinheiten 12 und 14 in einer Startphase.As in 2 shown is the first signal conditioning unit 12 with the first processor core 40 of the processor 38 and the second signal conditioning unit 14 with the second processor core 42 of the processor 38 coupled. The in the microcontroller 36 integrated test circuit 32 (PBIST) serves as described above with respect to 1 described for testing the signal conditioning units 12 and 14 in a starting phase.

Die beiden Signalaufbereitungseinheiten 12 und 14 erfassen redundant und bereiten jeweils, wie für das erste Ausführungsbeispiel gemäß 1 beschrieben, die Radumdrehungssignale der an den Rädern angebrachten Drehzahlsensoren auf. Der erste Prozessorkern 40 ist dazu ausgebildet, den ersten Radgeschwindigkeitswert zu berechnen, und der zweite Prozessorkern 42 ist dazu ausgebildet, den zweiten Radgeschwindigkeitswert zu berechnen. Zu diesem Zweck berechnet die erste Berechnungseinrichtung 24 des ersten Prozessorkerns 40 den ersten Radgeschwindigkeitswert mittels des ersten Berechnungsalgorithmus basierend auf dem von der ersten Signalaufbereitungseinheit 12 übergebenen aufbereiteten Radumdrehungssignal. Ferner berechnet die zweite Berechnungseinrichtung 26 des zweiten Prozessorkerns 42 den zweiten Radgeschwindigkeitswert mittels des zweiten Berechnungsalgorithmus basierend auf dem von der zweiten Signalaufbereitungseinheit 14 übergebenen aufbereiteten Radumdrehungssignal.The two signal conditioning units 12 and 14 detect redundant and prepare respectively, as for the first embodiment according to 1 described, the Radumdrehungssignale the mounted on the wheels speed sensors. The first processor core 40 is configured to calculate the first wheel speed value and the second processor core 42 is configured to calculate the second wheel speed value. For this purpose, the first calculation means calculates 24 the first processor core 40 the first wheel speed value by the first calculation algorithm based on that of the first signal conditioning unit 12 handed over recycled wheel turn signal. Further, the second calculating means calculates 26 the second processor core 42 the second wheel speed value by the second calculation algorithm based on that of the second signal conditioning unit 14 handed over recycled wheel turn signal.

Die beiden Prozessorkerne 40 und 42 des Prozessors 36 sind derart miteinander gekoppelt, dass sie die jeweils berechneten Radgeschwindigkeitswerte gegenseitig austauschen können und dem jeweils anderen Prozessorkern 40, 42 zur weiteren Berechnung zur Verfügung stellen. Der erste Prozessorkern 40 des Prozessors 38 ist dazu ausgebildet, mittels der Vergleichseinrichtung 28 eine erste Radgeschwindigkeitsabweichung zwischen dem ersten Radgeschwindigkeitswert und dem zweiten Radgeschwindigkeitswert zu ermitteln. Der zweite Prozessorkern 42 ist dazu ausgebildet, eine zweite Radgeschwindigkeitsabweichung mittels der Vergleichseinrichtung 28 zwischen dem ersten Radgeschwindigkeitswert und dem zweiten Radgeschwindigkeitswert zu ermitteln. Der Mikrocontroller 36 gibt dann ein erstes Steuersignal in Abhängigkeit der vom ersten Prozessorkern 40 ermittelten ersten Radgeschwindigkeitsabweichung und ein zweites Steuersignal in Abhängigkeit der vom zweiten Prozessorkern 42 ermittelten zweiten Radgeschwindigkeitsabweichung jeweils über die beiden Eingabe/Ausgabe-Einheiten 18 aus. Das Sicherheitsrelais 20 der Vorrichtung wird in Anhängigkeit von dem ersten Steuersignal, dem zweiten Steuersignal oder von beiden betätigt, um das Regelsystem in einen sicheren Zustand zu schalten. Beispielsweise wird das Sicherheitsrelais 20 durch das erste Steuersignal bestätigt, wenn die mittels des ersten Prozessorkerns 40 ermittelte erste Radgeschwindigkeitsabweichung einen Schwellenwert überschreitet. Andererseits kann das Sicherheitsrelais 20 auch durch das zweite Steuersignal bestätigt werden, wenn die mittels des zweiten Prozessorkerns 42 ermittelte zweite Radgeschwindigkeitsabweichung einen Schwellenwert überschreitet. Der vorbestimmte Schwellenwert für die erste Berechnung mittels des ersten Prozessorkerns 40 kann sich vom vorbestimmten Schwellenwert für die zweite Berechnung mittels des zweiten Prozessorkerns 42 unterscheiden. Das Sicherheitsrelais kann dann basierend auf dem jeweiligen ausgegeben Steuersignal das Regelsystem abschalten oder einzelne Funktionen des Regelsystems stufenweise degradieren bzw. deaktivieren.The two processor cores 40 and 42 of the processor 36 are coupled together so that they can exchange the respective calculated wheel speed values and the other processor core 40 . 42 for further calculation. The first processor core 40 of the processor 38 is adapted to, by means of the comparison device 28 determine a first wheel speed deviation between the first wheel speed value and the second wheel speed value. The second processor core 42 is adapted to a second wheel speed deviation by means of the comparison device 28 between the first wheel speed value and the second wheel speed value. The microcontroller 36 gives then a first control signal in response to the first processor core 40 determined first wheel speed deviation and a second control signal in response to the second processor core 42 determined second wheel speed deviation respectively via the two input / output units 18 out. The safety relay 20 the device is operated in response to the first control signal, the second control signal or both to switch the control system to a safe state. For example, the safety relay 20 confirmed by the first control signal when using the first processor core 40 detected first wheel speed deviation exceeds a threshold. On the other hand, the safety relay 20 also be confirmed by the second control signal when the means of the second processor core 42 detected second wheel speed deviation exceeds a threshold. The predetermined threshold for the first calculation by the first processor core 40 may be from the predetermined threshold for the second calculation by the second processor core 42 differ. The safety relay can then switch off the control system based on the respective output control signal or gradually degrade or deactivate individual functions of the control system.

3 zeigt schematisch ein drittes Ausführungsbeispiel einer Vorrichtung mit einem Mikrocontroller 44 zur Absicherung eines Regelsystems eines Kraftfahrzeugs (in 3 nicht gezeigt). Der Mikrocontroller 44 basiert im Wesentlichen auf dem Mikrocontroller 10 gemäß 1 und dem Mikrocontroller 36 gemäß 2, weist jedoch anstatt des Ein-Kern-Prozessors 16 (1) oder des Zwei-Kern-Prozessors 38 (2) einen Prozessor 46 mit zwei Prozessorkernen 48 auf, die als sogenannte Lock-Step-Architektur ausgebildet sind. 3 schematically shows a third embodiment of a device with a microcontroller 44 for securing a control system of a motor vehicle (in 3 Not shown). The microcontroller 44 is essentially based on the microcontroller 10 according to 1 and the microcontroller 36 according to 2 but points instead of the one-core processor 16 ( 1 ) or the two-core processor 38 ( 2 ) a processor 46 with two processor cores 48 on, which are designed as so-called lock-step architecture.

Das redundante Einlesen und Aufbereiten der Radumdrehungssignale durch die Signalaufbereitungseinheiten 12 und 14 erfolgt wie bereits vorstehend in Bezug auf das erste Ausführungsbeispiel gemäß 1 bzw. das zweite Ausführungsbeispiel gemäß 2 beschrieben. Ebenso erfolgt die Berechnung der Radgeschwindigkeitswerte durch die Berechnungseinrichtungen 24 und 26 und die Ermittlung der Radgeschwindigkeitsabweichungen durch die Vergleichseinrichtung 28 gemäß den vorstehend beschriebenen Ausführungsbeispielen von 1 bzw. 2. In Abhängigkeit der ermittelten Radgeschwindigkeitsabweichung gibt dann der Mikrocontroller 44 über die Eingabe/Ausgabe-Einheit 18 ein Steuersignal aus. Das mit der Eingabe/Ausgabe-Einheit 18 des Mikrocontrollers 44 verbundene Sicherheitsrelais 20 wird durch das ausgegebene Steuersignal derart in Abhängigkeit der ermittelten Radgeschwindigkeitsabweichung betätigt, dass das Regelsystem im Falle einer einen Schwellenwert überschreitenden Abweichung in einen sicheren Zustand schaltbar ist.The redundant reading and editing of the wheel rotation signals by the signal conditioning units 12 and 14 takes place as already described above with respect to the first embodiment according to 1 or the second embodiment according to 2 described. Likewise, the calculation of the wheel speed values is performed by the calculation means 24 and 26 and the determination of the wheel speed deviations by the comparator 28 according to the above-described embodiments of 1 respectively. 2 , Depending on the determined wheel speed deviation then gives the microcontroller 44 via the input / output unit 18 a control signal. That with the input / output unit 18 of the microcontroller 44 connected safety relays 20 is actuated by the output control signal in such a manner depending on the determined wheel speed deviation, that the control system is switchable in the event of a threshold exceeding deviation in a safe state.

Die im Mikrocontroller 44 implementierte Lock-Step-Architektur ermöglicht durch den Einsatz von zwei Prozessorkernen 48 eine Steigerung der Zuverlässigkeit. Die Lock-Step-Architektur kann sowohl als sogenannte On-Chip-Hardware oder softwaremäßig, d. h., als Computerprogrammprodukt mit Programmcodemitteln, ausgeführt sein und, im Gegensatz zu einer normalen Zwei-Kern-Architektur, auf einer Speichereinheit (Flash-Speicher) implementiert sein. Einer der beiden Prozessorkerne (”Prüf-Prozessorkern” oder sog. ”Checker”) des Prozessors 46 übernimmt bei der Lock-Step-Architektur die Aufgabe, den anderen Prozessorkern (”Berechnungs-Prozessor-kern” oder sog. ”Master”), der die Berechnungen und Verarbeitungen durchführt, zu überwachen und dessen Ergebnisse zu bewerten. In einer Startphase oder während eines Hardware-Resets werden beide Prozessorkerne 48 identisch initialisiert. Dadurch erhalten beide Prozessorkerne 48 identische Eingänge und infolgedessen ist der Status beider Prozessorkerne 48 – im Normalbetrieb – ebenfalls identisch. Durch einen Vergleich der Statuswerte der beiden Prozessorkerne 48 kann das System einen Fehler eines Prozessorkerns 48 genau identifizieren. Insbesondere werden die Speicherbausteine der Prozessorkerne 48 verglichen, um einen Fehler in der Berechnung zu identifizieren. Sobald ein Fehler in einem der beiden Prozessorkerne 48 auftritt, schlägt der Vergleich durch die Vergleichseinrichtung 28 des Prozessors 46 fehl, so dass ein entsprechendes Steuersignal durch die Eingabe/Ausgabe-Einheit 18 an das Sicherheitsrelais 20 ausgegeben werden kann, um das Regelsystem in einen sicheren Zustand zu schalten. Das Sicherheitsrelais kann basierend auf dem vom Mikrocontroller ausgegeben Steuersignal das Regelsystem beispielsweise abschalten oder einzelne Funktionen des Regelsystems stufenweise degradieren bzw. deaktivieren.The in the microcontroller 44 implemented lock-step architecture made possible by the use of two processor cores 48 an increase in reliability. The lock-step architecture can be embodied both as so-called on-chip hardware or in software, ie as a computer program product with program code means, and implemented on a memory unit (flash memory) in contrast to a normal two-core architecture , One of the two processor cores ("test processor core" or so-called "checker") of the processor 46 In the lock-step architecture, the task is to monitor the other processor core ("calculation processor core" or so-called "master") that performs the calculations and processing and to evaluate its results. In a boot phase or during a hardware reset both processor cores 48 initialized identically. This will give both processor cores 48 identical inputs and, as a result, the status of both processor cores 48 - in normal operation - also identical. By comparing the status values of the two processor cores 48 the system may have a processor core failure 48 identify exactly. In particular, the memory chips become the processor cores 48 compared to identify an error in the calculation. Once a bug in one of the two processor cores 48 occurs, the comparison by the comparator 28 of the processor 46 fail, giving a corresponding control signal through the input / output unit 18 to the safety relay 20 can be output to switch the control system in a safe state. The safety relay can, for example, switch off the control system based on the control signal output by the microcontroller or stepwise degrade or deactivate individual functions of the control system.

Aufgrund der redundanten Radgeschwindigkeitserfassung und unabhängigen Aufbereitung der Radgeschwindigkeiten über eine zweite redundante Signalaufbereitungseinheit im selben Mikrocontroller, wird die Sicherheitslücke durch die nicht vollständige Absicherung der Komponenten (Status- und Kontrollregister sowie Timer) der Signalaufbereitungseinheit durch die Prüfschaltung PBIST geschlossen. Somit wird eine Absicherung der Radgeschwindigkeitsfunktion auch während der Fahrt gewährleistet. Ungenaue oder falsche Radgeschwindigkeitswerte oder Radgeschwindigkeitsabweichungen werden so vermieden, wodurch die Sicherheit durch Ausgabe eines richtigen Steuersignals für ein Regelsystem eines Kraftfahrzeugs erhöht wird. Zusätzlich werden methodische Fehler in der Geschwindigkeitsberechnung vermieden, wenn zwei unterschiedliche Berechnungsalgorithmen in den beiden Prozessorkernen verwendet werden.Due to the redundant wheel speed detection and independent treatment of the wheel speeds via a second redundant signal conditioning unit in the same microcontroller, the security gap is closed by the incomplete protection of components (status and control register and timer) of the signal conditioning unit by the test circuit PBIST. Thus, a safeguard of the wheel speed function is guaranteed while driving. Inaccurate or incorrect wheel speed values or wheel speed deviations are thus avoided, whereby the safety is increased by outputting a correct control signal for a control system of a motor vehicle. In addition, methodological errors in the velocity calculation are avoided if two different calculation algorithms are used in the two processor cores.

Es ist darauf hinzuweisen, dass die vorstehend vorgestellten technischen Aspekte untereinander sowie mit weiteren Aspekten kombinierbar sind, ohne vom Schutzumfang der vorlegenden Erfindung, der einzig durch die nachfolgenden Patentansprüche definiert ist, abzuweichen.It is to be understood that the technical aspects presented above may be combined with each other and with other aspects without departing from the scope of the present invention, which is defined solely by the following claims.

Claims (12)

Vorrichtung zur Absicherung eines Regelsystems für ein Kraftfahrzeug, umfassend einen Mikrocontroller (10; 36; 44) mit – wenigstens einer ersten und einer zweiten Signalaufbereitungseinheit (12, 14) zum redundanten Einlesen und Aufbereiten wenigstens eines Radumdrehungssignals; und – wenigstens einem mit der ersten und zweiten Signalaufbereitungseinheit (12, 14) gekoppelten Prozessor (16; 38; 46) zum Ermitteln einer Radgeschwindigkeitsabweichung, wobei die erste Signalaufbereitungseinheit (12) zum Übergeben eines aufbereiteten ersten Signals und die zweite Signalaufbereitungseinheit (14) zum Übergeben eines aufbereiteten zweiten Signals an den Prozessor (16; 38; 46) ausgebildet ist und der Prozessor (16; 38; 46) dazu ausgebildet ist, einen ersten Radgeschwindigkeitswert basierend auf dem ersten Signal und einen zweiten Radgeschwindigkeitswert basierend auf dem zweiten Signal zu berechnen und die Radgeschwindigkeitsabweichung zwischen dem ersten Radgeschwindigkeitswert und dem zweiten Radgeschwindigkeitswert zu ermitteln, wobei der Mikrocontroller (10; 36; 44) ferner dazu ausgebildet ist, ein Steuersignal in Abhängigkeit der ermittelten Radgeschwindigkeitsabweichung auszugeben, durch welches das Regelsystem in einen sicheren Zustand schaltbar ist.Device for securing a control system for a motor vehicle, comprising a microcontroller ( 10 ; 36 ; 44 ) with - at least a first and a second signal conditioning unit ( 12 . 14 ) for redundantly reading in and processing at least one wheel revolution signal; and at least one with the first and second signal conditioning units ( 12 . 14 ) coupled processor ( 16 ; 38 ; 46 ) for determining a wheel speed deviation, wherein the first signal conditioning unit ( 12 ) for passing a conditioned first signal and the second signal conditioning unit ( 14 ) for passing a conditioned second signal to the processor ( 16 ; 38 ; 46 ) and the processor ( 16 ; 38 ; 46 ) is configured to calculate a first wheel speed value based on the first signal and a second wheel speed value based on the second signal and determine the wheel speed deviation between the first wheel speed value and the second wheel speed value, wherein the microcontroller ( 10 ; 36 ; 44 ) is further adapted to output a control signal in response to the determined wheel speed deviation, by which the control system is switchable to a safe state. Vorrichtung nach Anspruch 1, wobei die Signalaufbereitungseinheiten (12, 14) jeweils dazu ausgebildet sind, das wenigstens eine Radumdrehungssignal zyklisch zu erfassen.Apparatus according to claim 1, wherein the signal conditioning units ( 12 . 14 ) are each adapted to cyclically detect the at least one Radumdrehungssignal. Vorrichtung nach einem der vorangehenden Ansprüche, wobei der Prozessor (16; 38; 46) einen oder mehrere Prozessorkerne (22; 40, 42; 48) aufweist.Device according to one of the preceding claims, wherein the processor ( 16 ; 38 ; 46 ) one or more processor cores ( 22 ; 40 . 42 ; 48 ) having. Vorrichtung nach einem der vorangehenden Ansprüche, wobei der Prozessor (16; 38; 46) dazu ausgebildet ist, den ersten Radgeschwindigkeitswert mittels eines ersten Berechnungsalgorithmus und den zweiten Radgeschwindigkeitswert mittels eines zweiten Berechnungsalgorithmus zu berechnen.Device according to one of the preceding claims, wherein the processor ( 16 ; 38 ; 46 ) is adapted to calculate the first wheel speed value by means of a first calculation algorithm and the second wheel speed value by means of a second calculation algorithm. Vorrichtung nach den Ansprüchen 3 und 4, wobei der Prozessor (16; 38; 46) zwei Prozessorkerne (40, 42; 48) aufweist und der erste Prozessorkern (40; 48) dazu ausgebildet ist, den ersten Radgeschwindigkeitswert mittels des ersten Berechnungsalgorithmus zu berechnen und der zweite Prozessorkern (42; 48) dazu ausgebildet ist, den zweiten Radgeschwindigkeitswert mittels des zweiten Berechnungsalgorithmus zu berechnen.Device according to claims 3 and 4, wherein the processor ( 16 ; 38 ; 46 ) two processor cores ( 40 . 42 ; 48 ) and the first processor core ( 40 ; 48 ) is adapted to calculate the first wheel speed value by means of the first calculation algorithm and the second processor core ( 42 ; 48 ) is adapted to calculate the second wheel speed value by means of the second calculation algorithm. Vorrichtung nach einem der Ansprüche 3 bis 5, wobei der Prozessor (16; 38; 46) zwei Prozessorkerne (40, 42; 48) aufweist, wobei der erste Prozessorkern (40; 48) dazu ausgebildet ist, eine erste Radgeschwindigkeitsabweichung zwischen dem ersten Radgeschwindigkeitswert und dem zweiten Radgeschwindigkeitswert zu ermitteln, und der zweite Prozessorkern (42; 48) dazu ausgebildet ist, eine zweite Radgeschwindigkeitsabweichung zwischen dem ersten Radgeschwindigkeitswert und dem zweiten Radgeschwindigkeitswert zu ermitteln, wobei der Mikrocontroller (10; 36; 44) dazu ausgebildet ist, ein erstes Steuersignal in Abhängigkeit der ermittelten ersten Radgeschwindigkeitsabweichung und ein zweites Steuersignal in Abhängigkeit der ermittelten zweiten Radgeschwindigkeitsabweichung auszugeben.Device according to one of claims 3 to 5, wherein the processor ( 16 ; 38 ; 46 ) two processor cores ( 40 . 42 ; 48 ), wherein the first processor core ( 40 ; 48 ) is adapted to determine a first wheel speed deviation between the first wheel speed value and the second wheel speed value, and the second processor core ( 42 ; 48 ) is adapted to determine a second wheel speed deviation between the first wheel speed value and the second wheel speed value, wherein the microcontroller ( 10 ; 36 ; 44 ) is adapted to output a first control signal in response to the determined first wheel speed deviation and a second control signal in response to the determined second wheel speed deviation. Vorrichtung nach einem der Ansprüche 4 bis 6, wobei sich der erste Berechnungsalgorithmus von dem zweiten Berechnungsalgorithmus unterscheidet.Apparatus according to any one of claims 4 to 6, wherein the first calculation algorithm differs from the second calculation algorithm. Vorrichtung nach einem der vorangehenden Ansprüche, wobei der Mikrocontroller (10; 36; 44) wenigstens eine Eingabe/Ausgabe-Einheit (18) zum Ausgeben des Steuersignals aufweist.Device according to one of the preceding claims, wherein the microcontroller ( 10 ; 36 ; 44 ) at least one input / output unit ( 18 ) for outputting the control signal. Vorrichtung nach einem der vorangehenden Ansprüche, wobei das Sicherheitssystem eine Sicherheitseinrichtung (20) aufweist, die durch das von dem Mikrocontroller (10; 36; 44) ausgegebene Steuersignal in Abhängigkeit der ermittelten Radgeschwindigkeitsabweichung betätigt wird, wodurch das Regelsystem in einen sicheren Zustand schaltbar ist.Device according to one of the preceding claims, wherein the safety system comprises a safety device ( 20 ) detected by the microcontroller ( 10 ; 36 ; 44 ) is actuated in response to the determined wheel speed deviation, whereby the control system is switchable to a safe state. Vorrichtung nach einem der vorangehenden Ansprüche, wobei der Mikrocontroller (10; 36; 44) wenigstens eine integrierte Prüf-Schaltung (32) zum Prüfen der Signalaufbereitungseinheiten (12, 14) in einer Startphase auf weist und/oder der Prozessor (16; 38; 46) wenigstens eine integrierte Prüf-Schaltung (30) zum Prüfen eines Prozessorkerns (22; 40, 42; 48) aufweist.Device according to one of the preceding claims, wherein the microcontroller ( 10 ; 36 ; 44 ) at least one integrated test circuit ( 32 ) for checking the signal conditioning units ( 12 . 14 ) in a startup phase and / or the processor ( 16 ; 38 ; 46 ) at least one integrated test circuit ( 30 ) for testing a processor core ( 22 ; 40 . 42 ; 48 ) having. Vorrichtung nach einem der vorangehenden Ansprüche, wobei die Vorrichtung in einem Schlupfregelsystem, Antiblockiersystem, Antriebsschlupfregelsystem oder in einem kombinierten Antiblockier-Antriebsschlupf-Regelsystem vollständig oder teilweise integriert ist.Device according to one of the preceding claims, wherein the device in a slip control system, antilock braking system, traction control system or in a combined antilock traction control system is fully or partially integrated. Verfahren zur Absicherung eines Regelsystems für ein Kraftfahrzeug mittels eines Mikrocontrollers (10; 36; 44), der wenigstens eine erste und eine zweite Signalaufbereitungseinheit (12, 14) zum redundanten Einlesen und Aufbereiten wenigstens eines Radumdrehungssignals und wenigstens einen mit der ersten und zweiten Signalaufbereitungseinheit (12, 14) gekoppelten Prozessor (16; 38; 46) zum Ermitteln einer Radgeschwindigkeitsabweichung aufweist, wobei das Verfahren die Schritte umfasst: – Übergeben eines aufbereiteten ersten Signals durch die erste Signalaufbereitungseinheit (12) und eines aufbereiteten zweiten Signals durch die zweite Signalaufbereitungseinheit (14) an den Prozessor (16; 38; 46); – Berechnen eines ersten Radgeschwindigkeitswerts basierend auf dem ersten Signal und Berechnen eines zweiten Radgeschwindigkeitswerts basierend auf dem zweiten Signal durch den Prozessor (16; 38; 46); – Ermitteln einer Radgeschwindigkeitsabweichung zwischen dem ersten Radgeschwindigkeitswert und dem zweiten Radgeschwindigkeitswert; und – Ausgeben eines Steuersignals in Abhängigkeit der ermittelten Radgeschwindigkeitsabweichung, durch welches das Regelsystem in einen sicheren Zustand schaltbar ist.Method for securing a control system for a motor vehicle by means of a Microcontroller ( 10 ; 36 ; 44 ) comprising at least a first and a second signal processing unit ( 12 . 14 ) for redundantly reading and processing at least one wheel rotation signal and at least one with the first and second signal conditioning unit ( 12 . 14 ) coupled processor ( 16 ; 38 ; 46 ) for determining a wheel speed deviation, the method comprising the steps of: - passing a conditioned first signal through the first signal conditioning unit ( 12 ) and a conditioned second signal by the second signal conditioning unit ( 14 ) to the processor ( 16 ; 38 ; 46 ); Calculating a first wheel speed value based on the first signal and calculating a second wheel speed value based on the second signal by the processor ( 16 ; 38 ; 46 ); Determining a wheel speed deviation between the first wheel speed value and the second wheel speed value; and - outputting a control signal as a function of the determined wheel speed deviation, by means of which the control system can be switched to a safe state.
DE201110106163 2011-06-30 2011-06-30 Device for protecting control system of motor vehicle, has microcontroller which generates control signal corresponding to the wheel output of wheel speed values such that the control system of motor vehicle is switched to safe state Ceased DE102011106163A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE201110106163 DE102011106163A1 (en) 2011-06-30 2011-06-30 Device for protecting control system of motor vehicle, has microcontroller which generates control signal corresponding to the wheel output of wheel speed values such that the control system of motor vehicle is switched to safe state

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE201110106163 DE102011106163A1 (en) 2011-06-30 2011-06-30 Device for protecting control system of motor vehicle, has microcontroller which generates control signal corresponding to the wheel output of wheel speed values such that the control system of motor vehicle is switched to safe state

Publications (1)

Publication Number Publication Date
DE102011106163A1 true DE102011106163A1 (en) 2013-01-03

Family

ID=47355156

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201110106163 Ceased DE102011106163A1 (en) 2011-06-30 2011-06-30 Device for protecting control system of motor vehicle, has microcontroller which generates control signal corresponding to the wheel output of wheel speed values such that the control system of motor vehicle is switched to safe state

Country Status (1)

Country Link
DE (1) DE102011106163A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018218837A1 (en) * 2018-11-05 2020-05-07 Mando Corporation Wheel speed sensor system, a vehicle including the wheel speed sensor system, and method for processing wheel speed signals

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060015231A1 (en) * 2004-07-15 2006-01-19 Hitachi, Ltd. Vehicle control system
US20070050121A1 (en) * 2004-04-02 2007-03-01 Dieter Ammon Method for determining a coefficient of friction
DE102007037513A1 (en) * 2006-08-30 2008-03-27 Ford Global Technologies, LLC, Dearborn Method and device for vehicle control
US20090093924A1 (en) * 2006-06-19 2009-04-09 Toyota Jidosha Kabushiki Kaisha Vehicle State Quantity Predicting Apparatus and Vehicle Steering Controller Using the Same, and a Method for Predicting a Vehicle State Quantity and Vehicle Steering Controlling Method Using the Same

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070050121A1 (en) * 2004-04-02 2007-03-01 Dieter Ammon Method for determining a coefficient of friction
US20060015231A1 (en) * 2004-07-15 2006-01-19 Hitachi, Ltd. Vehicle control system
US20090093924A1 (en) * 2006-06-19 2009-04-09 Toyota Jidosha Kabushiki Kaisha Vehicle State Quantity Predicting Apparatus and Vehicle Steering Controller Using the Same, and a Method for Predicting a Vehicle State Quantity and Vehicle Steering Controlling Method Using the Same
DE102007037513A1 (en) * 2006-08-30 2008-03-27 Ford Global Technologies, LLC, Dearborn Method and device for vehicle control

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018218837A1 (en) * 2018-11-05 2020-05-07 Mando Corporation Wheel speed sensor system, a vehicle including the wheel speed sensor system, and method for processing wheel speed signals
DE102018218837B4 (en) 2018-11-05 2020-06-18 Mando Corporation Wheel speed sensor system, a vehicle including the wheel speed sensor system, and method for processing wheel speed signals
US11760323B2 (en) 2018-11-05 2023-09-19 Hl Mando Corporation Wheel speed sensor system, vehicle including said wheel speed sensor system and method of processing wheel speed signals

Similar Documents

Publication Publication Date Title
DE102014103556B4 (en) Sensor self-diagnosis using multiple signal paths
DE112018002176B4 (en) Abnormality determination device, abnormality determination method, and abnormality determination program
EP1337921B1 (en) Device for monitoring a processor
DE102011083111B9 (en) Monolithic integrated circuit sensor system and method for providing a self-test in a monolithic integrated circuit sensor system
DE102008033675B4 (en) Dual core engine control module architecture
DE102015105811B4 (en) Signal processing device for wheel speed sensor
DE102015103614B4 (en) Speed sensor device, speed sensor method, electronic control unit and control method
DE112018006702T5 (en) DETERMINING THE RELIABILITY OF VEHICLE CONTROL COMMANDS USING A MATCHING MECHANISM
EP2769184A1 (en) Checking the plausibility of a sensor signal
DE102013203358A1 (en) Method for verifying integrity of sensitive vehicle control system, involves taking remedial action when fault is detected and resetting operation control module when fault is detected and remedial action is not taken
DE102011117383A1 (en) Methods and systems for measuring I / O signals
DE102018112812A1 (en) PLAY DETECTION DIAGNOSIS ON START
DE102017107596A1 (en) DETECTION AND RECONSTRUCTION OF A SUSPENSION HEAD ERROR
WO2018134023A1 (en) Redundant processor architecture
DE102014114877B4 (en) An apparatus and method for providing an output parameter and a sensor device
DE102018109343A1 (en) Crash sensor device, sensor device and corresponding method
DE102015202326A1 (en) Method for operating a data processing unit of a driver assistance system and data processing unit
EP3341843B1 (en) Method and apparatus for monitoring a state of an electronic circuit unit of a vehicle
EP2786162B1 (en) Method of detecting a fault in connecting lines between a central unit and a plurality of electronic components which are independent of one another
DE102017011685A1 (en) Method and device for processing alarm signals
DE102005034161B3 (en) Electronic device e.g. turning rate sensor for use in motor vehicles has uncoupling elements for decoupling grids based on noise influence
DE102011106163A1 (en) Device for protecting control system of motor vehicle, has microcontroller which generates control signal corresponding to the wheel output of wheel speed values such that the control system of motor vehicle is switched to safe state
DE102012111767B4 (en) Electronic control unit and electric power steering device
DE102016200413A1 (en) MICROCOMPUTER
DE102011007467A1 (en) Polynuclear integrated microprocessor circuitry for, e.g. vehicle domain computer, has tester to perform time-integral checking of specific components of auxiliary processor structure to and gradually expand checking of other components

Legal Events

Date Code Title Description
R163 Identified publications notified
R012 Request for examination validly filed
R081 Change of applicant/patentee

Owner name: ZF ACTIVE SAFETY GMBH, DE

Free format text: FORMER OWNER: LUCAS AUTOMOTIVE GMBH, 56070 KOBLENZ, DE

R082 Change of representative

Representative=s name: WUESTHOFF & WUESTHOFF, PATENTANWAELTE PARTG MB, DE

R082 Change of representative
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final