DE102012104322A1 - Method for testing two processing units in battery management system of motor car, involves communicating a comparison result to battery control unit for carrying out decision-making process on continued operation of motor car device - Google Patents

Method for testing two processing units in battery management system of motor car, involves communicating a comparison result to battery control unit for carrying out decision-making process on continued operation of motor car device Download PDF

Info

Publication number
DE102012104322A1
DE102012104322A1 DE201210104322 DE102012104322A DE102012104322A1 DE 102012104322 A1 DE102012104322 A1 DE 102012104322A1 DE 201210104322 DE201210104322 DE 201210104322 DE 102012104322 A DE102012104322 A DE 102012104322A DE 102012104322 A1 DE102012104322 A1 DE 102012104322A1
Authority
DE
Germany
Prior art keywords
control unit
mcn
bcu
motor vehicle
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE201210104322
Other languages
German (de)
Other versions
DE102012104322B4 (en
Inventor
Dirk Geyer
Martin Winkler
Christian Miedl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
AVL Software and Functions GmbH
Original Assignee
AVL Software and Functions GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by AVL Software and Functions GmbH filed Critical AVL Software and Functions GmbH
Priority to DE102012104322A priority Critical patent/DE102012104322B4/en
Publication of DE102012104322A1 publication Critical patent/DE102012104322A1/en
Application granted granted Critical
Publication of DE102012104322B4 publication Critical patent/DE102012104322B4/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/076Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0006Digital architecture hierarchy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions

Abstract

A slave control unit (MC2) is determined, if more than two processing units are present. A question is selected from a questionnaire by a master control unit (MC1) and is communicated to slave control unit, if more than two processing units are present. A response is generated for the selected question. The answer for question is communicated to master control unit, and response for communication is compared with generated response. The comparison result is communicated to battery control unit (BCU) for carrying out decision-making process on continued operation of motor car device. Independent claims are included for the following: (1) a device for testing two processing units of motor car; (2) a computer program for testing two processing units of motor car; and (3) a data carrier with computer program product for testing two processing units of motor car.

Description

Die Erfindung betrifft ein Verfahren und eine Vorrichtung zum Überprüfen von wenigstens zwei Recheneinheiten. Ferner betrifft die Erfindung ein Kraftfahrzeug mit einer solchen Vorrichtung sowie ein Computerprogrammprodukt mit Programmcodemitteln, um alle Schritte eines solchen Verfahrens durchzuführen. Schließlich Betrifft die Erfindung auch einen Datenträger mit einem solchen Computerprogrammprodukt. The invention relates to a method and a device for checking at least two arithmetic units. Furthermore, the invention relates to a motor vehicle with such a device and a computer program product with program code means to perform all the steps of such a method. Finally, the invention also relates to a data carrier with such a computer program product.

Im Automobil- beziehungsweise Kraftfahrzeugbereich ist es Stand der Technik, als Steuereinheiten beziehungsweise Steuergeräte eingesetzte Recheneinheiten auf ihre Funktion hin zu überprüfen, wenn sie sicherheitsrelevante Funktionen steuern. Für Motorsteuerungen von Diesel- und Ottomotoren ist dafür beispielsweise ein standardisiertes E-Gas-Überwachungskonzept bekannt. In the field of automobiles or motor vehicles, it is state of the art to check the functioning of control units or control units for their function when they control safety-relevant functions. For engine controls of diesel and gasoline engines, for example, a standardized e-gas monitoring concept is known.

Die Überwachung der sicherheitsrelevanten Funktionen erfolgt dabei in drei Ebenen, wobei jeder eingesetzten Recheneinheit eine weitere Recheneinheit in Form eines Überwachungsmoduls zugeordnet ist. The monitoring of the safety-related functions is carried out in three levels, each computing unit used is assigned to a further processing unit in the form of a monitoring module.

Im E-Gas-Konzept wird die erste Ebene als Funktionsebene bezeichnet. Sie beinhaltet Motorsteuerungsfunktionen, beispielsweise. zur Umsetzung der angeforderten Motormomente, Komponentenüberwachungen, die Diagnose der Ein- und Ausgangsgrößen, sowie die Steuerung der Systemreaktionen im erkannten Fehlerfall. In the e-gas concept, the first level is called the function level. It includes motor control functions, for example. for the implementation of the requested engine torques, component monitoring, the diagnosis of the input and output variables as well as the control of the system reactions in the case of a detected error.

Die zweite Ebene wird als Funktions-Überwachungsebene bezeichnet. Sie erkennt den fehlerhaften Ablauf überwachungsrelevanter Umfänge der Funktionssoftware in der ersten Ebene 1. Dies geschieht beispielsweise durch die Überwachung der berechneten Momente oder der Fahrzeugbeschleunigung. Im Fehlerfall erfolgt die Auslösung von Systemreaktionen. The second level is called a function monitoring level. It detects the erroneous expiration of monitoring-relevant scopes of the functional software in the first level 1. This happens, for example, by monitoring the calculated moments or vehicle acceleration. In the case of an error, the triggering of system reactions takes place.

Die dritte Ebene 3 wird als Rechner-Überwachungsebene bezeichnet. Bestandteil ist ein vom Funktionsrechner unabhängiges Überwachungsmodul in Form einer weiteren Recheneinheit, welche durch ein Frage-Antwort-Verfahren die ordnungsgemäße Abarbeitung der Programmbefehle des Funktionsrechners testet. Im Fehlerfall erfolgt die Auslösung von Systemreaktionen unabhängig vom Funktionsrechner. The third level 3 is called the computer monitoring level. A component is a monitoring module which is independent of the function computer in the form of a further arithmetic unit which tests the proper execution of the program instructions of the function computer by means of a question-and-answer procedure. In the event of an error, the triggering of system reactions takes place independently of the function computer.

Nachteilig bei diesem Konzept ist allerdings der erhöhte Hardwareaufwand, der erbracht werden muss, um die Überwachung der sicherheitsrelevanten Funktionen sicherzustellen. Jeder Rechnereinheit ist in der dritten Ebene eine weitere Recheneinheit als Überwachungsmodul zugeordnet. A disadvantage of this concept, however, is the increased hardware complexity that must be provided to ensure the monitoring of security-related functions. Each computer unit is assigned in the third level, a further processing unit as a monitoring module.

Aufgabe der Erfindung ist es daher eine Verfahren und eine Vorrichtung zum Überprüfen von wenigstens zwei Recheneinheiten zur Verfügung zu stellen, wobei mit minimiertem Hardwareaufwand die fehlerfreie Funktion der Überwachung sichergestellt ist. The object of the invention is therefore to provide a method and a device for checking at least two arithmetic units, wherein the fault-free function of the monitoring is ensured with minimized expenditure on hardware.

Gelöst wird diese Aufgabe mit einem Verfahren mit allen Merkmalen des Patentanspruchs 1 und mit einer Vorrichtung mit allen Merkmalen des Patentanspruchs 9. Vorteilhafte Ausgestaltungen der Erfindung finden sich in den Unteransprüchen 2 bis 8 sowie 10 bis 17. This object is achieved with a method having all the features of patent claim 1 and with a device having all the features of claim 9. Advantageous embodiments of the invention can be found in the subclaims 2 to 8 and 10 to 17.

Das erfindungsgemäße Verfahren zum Überprüfen von wenigstens zwei Recheneinheiten, insbesondere für ein Kraftfahrzeug, zeichnet sich dabei durch die nachfolgend aufgeführten Verfahrenschritte aus. Die wenigstens zwei Recheneinheiten (BCU, MC1, MC2, ...; MCn) sind dabei zur Steuerung jeweils wenigstens einer Funktion vorgesehen, wobei eine Recheneinheit als Steuereinheit zur Steuerung einer Kraftfahrzeugeinrichtung des Kraftfahrzeugs und die wenigstens eine andere Recheneinheiten zur Steuerung für jeweils eine Komponente der Kraftfahrzeugeinrichtung vorgesehen sind:

  • a) Bestimmung eines Master-Steuergerätes (MC1) aus der wenigstens einen Recheneinheit (MC1, MC2, ... MCn),
  • b) Festlegung der wenigstens einen Recheneinheit (MC2, ... MCn) als Slave-Steuergerät, wenn mehr als zwei Recheneinheiten (BCU, MC1, MC2, ...; MCn) vorhanden sind,
  • c) Auswahl einer Frage aus einem Fragenkatalog durch das Master-Steuergerät (MC1),
  • d) Kommunizieren der ausgewählten Frage durch das Mastersteuergerät (MC1) an die Steuereinheit (BCU) und an das wenigstens eine Slave-Steuergerät (MC2, ... MCn), wenn mehr als zwei Recheneinheiten (BCU, MC1, MC2, ...; MCn) vorhanden sind
  • e) Generierung einer Antwort auf die ausgewählte Frage durch die Steuereinheit (BCU),
  • f) Kommunizieren der Antwort auf die ausgewählte Frage an das wenigstens eine Steuergerät (MC1, MC2, ... MCn),
  • g) Vergleich der kommunizierten Antwort mit einer durch das wenigstens eine Steuergerät (MC1, MC2, ... MCn) vorgegebenen oder generierten Antwort,
  • h) Kommunizieren des jeweiligen Vergleichs durch das wenigstens eine Steuergeräte (MC1, MC2, ... MCn) an die Steuereinheit (BCU),
  • i) Entscheidungsfindung über den Weiterbetrieb der Kraftfahrzeugeinrichtung (1) durch die Steuereinheit (BCU) oder durch das wenigstens eine Steuergeräte (MC1, MC2, ... MCn).
The inventive method for checking at least two arithmetic units, in particular for a motor vehicle, is characterized by the method steps listed below. The at least two arithmetic units (BCU, MC1, MC2, ...; MCn) are provided for controlling in each case at least one function, one arithmetic unit as a control unit for controlling a motor vehicle device of the motor vehicle and the at least one other arithmetic unit for controlling for each one component the motor vehicle device are provided:
  • a) determination of a master control unit (MC1) from the at least one arithmetic unit (MC1, MC2, ... MCn),
  • b) definition of the at least one arithmetic unit (MC2, ... MCn) as a slave control unit if more than two arithmetic units (BCU, MC1, MC2, ...; MCn) are present,
  • c) selection of a question from a questionnaire by the master control unit (MC1),
  • d) communicating the selected question by the master control unit (MC1) to the control unit (BCU) and to the at least one slave control unit (MC2, ... MCn) if more than two arithmetic units (BCU, MC1, MC2, ... ; MCn) are present
  • e) generation of a response to the selected question by the control unit (BCU),
  • f) communicating the answer to the selected question to the at least one control device (MC1, MC2, ... MCn),
  • g) comparison of the communicated response with a response predetermined or generated by the at least one controller (MC1, MC2, ... MCn),
  • h) communicating the respective comparison by the at least one control device (MC1, MC2, ... MCn) to the control unit (BCU),
  • i) decision making on the continued operation of the motor vehicle equipment ( 1 ) by the control unit (BCU) or by the at least one control device (MC1, MC2, ... MCn).

Die Steuereinheit bestimmt dabei während eines Fahrzyklus aus der Anzahl der Steuergeräte ein Master-Steuergerät für diesen Fahrzyklus. Der Fahrzyklus ist definiert als der Betrieb zwischen dem Start und Stopp der Kraftfahrzeugeinrichtung einschließlich einer eventuellen Nachlaufphase der Steuereinheit und/oder der Steuergeräte. In einem nachfolgenden Fahrzyklus wird dann ein anderes Steuergerät als Master-Steuergerät bestimmt. The control unit determines during a drive cycle from the number of control units Master control unit for this drive cycle. The drive cycle is defined as the operation between the start and stop of the vehicle device including any overtravel phase of the control unit and / or the control devices. In a subsequent driving cycle then another control unit is determined as the master control unit.

Die erfindungsgemäße Vorrichtung zum Überprüfen von wenigstens zwei Recheneinheiten, insbesondere für ein Kraftfahrzeug, zeichnet sich dabei dadurch aus, dass die wenigstens zwei Recheneinheiten jeweils ein Modul zur Steuerung jeweils wenigstens einer Funktion aufweisen und wobei vorzugsweise eine Recheneinheit als Steuereinheit einer Kraftfahrzeugeinrichtung des Kraftfahrzeugs und die wenigstens eine andere Recheneinheit als Steuergeräte für jeweils eine Komponente der Kraftfahrzeugeinrichtung ausgebildet sind. Dabei ist das wenigstens eine Steuergerät über eine Kommunikationsleitung, vorzugsweise einem CAN-BUS, gegebenenfalls miteinander und mit der Steuereinheit verbund, wobei die Steuereinheit eine Funktionsüberwachungseinheit für das wenigstens eine Steuergerät aufweist und das wenigstens eine Steuergerät zusätzlich als Überwachungsmodul für die Funktionsüberwachungseinheit der Steuereinheit ausgebildet sind. The device according to the invention for checking at least two arithmetic units, in particular for a motor vehicle, is characterized in that the at least two arithmetic units each have a module for controlling at least one function and wherein preferably a computing unit as a control unit of a motor vehicle device of the motor vehicle and the at least another arithmetic unit are designed as control devices for one component each of the motor vehicle device. In this case, the at least one control unit via a communication line, preferably a CAN-BUS, possibly together and with the control unit verbund, wherein the control unit has a function monitoring unit for the at least one control unit and the at least one control unit are additionally designed as a monitoring module for the function monitoring unit of the control unit ,

Durch diese Ausgestaltungen des erfindungsgemäßen Verfahrens beziehungsweise der erfindungsgemäßen Vorrichtung ist in einfacher Weise erreicht, dass auf eine separate Recheneinheit als Überwachungsmodul für jede eingesetzte Recheneinheit verzichtet werden kann. Die als Steuergeräte ausgebildeten Recheneinheiten bilden hierbei eine der ersten Ebene des E-Gas-Konzeptes entsprechende Funktionsebene, in welcher ein Eingangssignal verarbeitet und ein Ausgangssignal erzeugt wird. Die Funktionsüberwachung findet nun nicht wie bei dem E-Gas-Konzept in der gleichen Recheneinheit statt. Vielmehr wird die Funktionsüberwachung durch die als Steuereinheit ausgebildete Recheneinheit durchgeführt, indem eine als Master-Steuergerät ausgewählte Recheneinheit eine Frage aus einem vorgegebenen Fragenkatalog an die Steuereinheit und die anderen Steuergeräte kommuniziert. Die Überwachung der Funktionsüberwachung erfolgt nun derart, dass die Steuergeräte als Überwachungsmodul für die Funktionsüberwachung dienen. Dazu findet in den Steuergeräten ein Vergleich der von der als Funktionsüberwachung dienenden Steuereinheit kommunizierten Antwort mit einer vorgegebenen beziehungsweise durch die Steuergräte ermittelten Antwort statt. Anhand dieses Vergleiches, der von den Steuergeräten wiederum an die Steuereinheit kommuniziert wird, wird nun über den Weiterbetrieb der Fahrzeugeinrichtung entschieden. Zur Durchführung der Überwachung der Funktionsüberwachung kann also auf bereits vorhandene Recheneinheiten zurückgegriffen werden, so dass zusätzliche Recheneinheiten in Form eines separaten Überwachungsmoduls für jede Recheneinheit überflüssig werden. Insofern ist der Hardwareaufwand gegenüber dem Stand der Technik deutlich minimiert und somit eine Ressourcen schonende Vorrichtung zur Verfügung gestellt. Through these embodiments of the method according to the invention or of the device according to the invention, it is achieved in a simple manner that it is possible to dispense with a separate arithmetic unit as a monitoring module for each arithmetic unit used. The computing units designed as control units in this case form a functional level corresponding to the first level of the e-gas concept, in which an input signal is processed and an output signal is generated. The function monitoring now does not take place as in the case of the e-gas concept in the same arithmetic unit. Rather, the function monitoring is performed by the arithmetic unit formed as a control unit by a selected as a master controller arithmetic unit communicates a question from a given questionnaire to the control unit and the other control units. The monitoring of the function monitoring now takes place in such a way that the control units serve as a monitoring module for the function monitoring. For this purpose, in the control units, a comparison of the response communicated by the control unit serving as function monitoring takes place with a predetermined answer or a response determined by the control unit. On the basis of this comparison, which in turn is communicated by the control units to the control unit, it is now decided on the continued operation of the vehicle device. To carry out the monitoring of the function monitoring, it is therefore possible to make use of already existing computing units, so that additional computing units in the form of a separate monitoring module become superfluous for each arithmetic unit. In this respect, the hardware complexity compared to the prior art is significantly minimized and thus provided a resource-conserving device.

Nach einer ersten vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens betreibt die Steuereinheit oder das wenigstens eine Steuergerät die Kraftfahrzeugeinrichtung im Normalbetrieb weiter, wenn die durch das wenigstens eine Steuergerät vorgegebene Antwort der durch die Steuereinheit kommunizierten Antwort entspricht. Weicht allerdings wenigstens eine der durch das wenigstens eine Steuergerät vorgegebenen Antworten von der durch die Steuereinheit kommunizierten Antwort ab, betreibt die Steuereinheit die Kraftfahrzeugeinrichtung in einem Sicherheitsmodus. Durch diese Ausgestaltung ist sichergestellt, dass die Kraftfahrzeugeinrichtung nur dann im Normalbetrieb betrieben wird, wenn weder durch die Funktionsüberwachung der Steuereinheit noch durch die Überwachungsmoduls des wenigstens einen Steuergeräts eine Fehlfunktion festgestellt werden konnte. According to a first advantageous refinement of the method according to the invention, the control unit or the at least one control unit continues to operate the motor vehicle device in normal operation if the response predetermined by the at least one control unit corresponds to the response communicated by the control unit. However, if at least one of the responses predetermined by the at least one controller deviates from the response communicated by the control unit, the control unit operates the motor vehicle device in a safety mode. This refinement ensures that the motor vehicle device is only operated in normal operation if a malfunction could not be established either by the functional monitoring of the control unit or by the monitoring module of the at least one control device.

Für jede abweichende Antwort addiert die Steuereinheit oder das wenigstens eine Steuergerät einen Zählerstand eines Zähler um einen vordefinierten Wert auf und beginnt das erfindungsgemäße Verfahren von neuem. Entspricht nun die durch das wenigstens eine Steuergerät vorgegebene Antwort der durch die Steuereinheit kommunizierten Antwort, so betreibt die Steuereinheit die Kraftfahrzeugeinrichtung im Normalbetrieb weiter. Wird allerdings wieder eine Abweichung auch nur einer Antwort eines Steuergerätes festgestellt, wird der Zählerstand des Zählers wiederum um eins aufaddiert und das Frage-Antwort-Spiel beginnt von neuem. For each deviating answer, the control unit or the at least one control unit adds a counter reading of a counter by a predefined value and starts the inventive method again. If the response given by the at least one control unit corresponds to the response communicated by the control unit, then the control unit continues to operate the motor vehicle device in normal operation. However, if a deviation of only one response of a control unit is detected again, the count of the counter is again added up by one and the question-answer game starts again.

Hat der Zählerstand einen vorgegebenen Grenzwert erreicht, kommuniziert die Steuereinheit oder das wenigstens eine Steuergerät eine Fehlermeldung an eine Fahrzeugsteuerung beziehungsweise die Steuereinheit oder das wenigstens eine Steuergerät stellt den Betrieb der Kraftfahrzeugeinrichtung ein, wodurch gegebenenfalls der gesamte Kraftfahrzeugbetrieb eingestellt wird, insbesondere dann, wenn sicherheitsrelevante Funktionen von der Fehlfunktion betroffen sind. If the counter reading has reached a predetermined limit value, the control unit or the at least one control unit communicates an error message to a vehicle control or the control unit or the at least one control unit stops the operation of the motor vehicle device, possibly setting the entire motor vehicle operation, in particular if safety-relevant functions affected by the malfunction.

Allerdings ist das erfindungsgemäße Verfahren auch dazu ausgebildet, dass die Steuereinheit oder das wenigstens eine Steuergerät für jede Frage, bei welcher die von dem wenigstens einem Steuergerät vorgegebene beziehungsweise generierte Antwort der durch die Steuereinheit kommunizierten Antwort entspricht, den Zählerstand des Zählers um einen vordefinierten Betrag, vorzugsweise kleiner oder gleich eins, verringert, solange der Zählerstand größer null ist. Insoweit besitzt das System auch eine "selbstheilende" Funktion. However, the method according to the invention is also designed so that the control unit or the at least one control unit for each question in which the response predetermined or generated by the at least one control unit corresponds to the response communicated by the control unit, increases the count of the counter by a predefined amount, preferably smaller or equal to one, decreased as long as the count is greater than zero. In that regard, the system also has a "self-healing" function.

Ferner ist die Steuereinheit dazu ausgebildet, in willkürlichen zeitlichen Abständen, vorzugsweise bestimmt durch einen Zufallsgenerator, eine falsche Antwort auf die durch das Master-Steuergerät kommunizierte Frage zu generieren und an die wenigstens zwei anderen Recheneinheiten zu kommunizieren. Insoweit ist auch in vorteilhafter Weise eine Überwachung der Überwachungsmodule der Steuergeräte dahingehend gewährleistet, dass überprüft werden kann, ob fehlerhafte Antworten von den Steuergeräten beziehungsweise ihren Überwachungsmodulen erkannt werden. Furthermore, the control unit is designed to generate at random time intervals, preferably determined by a random number generator, an incorrect answer to the question communicated by the master control unit and to communicate to the at least two other arithmetic units. In that regard, monitoring of the monitoring modules of the control devices is also ensured in an advantageous manner in that it is possible to check whether faulty responses are recognized by the control devices or their monitoring modules.

Vorteilhafterweise ist das wenigstens zwei Steuergeräte als Mikrocontroller oder dergleichen Recheneinheit ausgebildet, welche in vielen Funktionen in einem Kraftfahrzeug bereits als Steuergeräte für Sensoren oder dergleichen fungieren. Advantageously, the at least two control devices are designed as microcontrollers or the like arithmetic unit, which already function as control devices for sensors or the like in many functions in a motor vehicle.

Nach einem weiteren vorteilhaften Gedanken der Erfindung ist die Kraftfahrzeugeinrichtung als Batterie zur Speicherung elektrischer Energie mit mehreren Zellen, vorzugsweise für ein wenigstens teilweise und/oder zeitweise elektrisch antreibbares Kraftfahrzeug ausgebildet. Durch diese Ausgestaltung der Erfindung ist sie in vorteilhafter Weise in einem Batteriemanagementsystem einsetzbar. Darin überwachen beispielsweise die als Steuergeräte arbeitenden Mikrocontroller die Funktion einzelner Zellen der Batterie. Sensoren messen dabei beispielsweise Arbeitsparameter wie Temperatur, Spannung oder den Strom, die in der Folge von den als Steuergeräte arbeitenden Mikrocontrollern weiterverarbeitet werden. Solche Arbeitsparameter sind für den störungsfreien Betrieb sicherheitsrelevant, weil die damit verbundenen elektronischen Bauteile vor Überhitzung, Überspannungen und zu großen elektrischen Strömen geschützt werden müssen, damit sie korrekt funktionieren beziehungsweise keinen Defekt erleiden. According to a further advantageous concept of the invention, the motor vehicle device is designed as a battery for storing electrical energy with a plurality of cells, preferably for an at least partially and / or temporarily electrically drivable motor vehicle. This embodiment of the invention makes it advantageously usable in a battery management system. For example, the microcontrollers operating as controllers monitor the function of individual cells of the battery. For example, sensors measure working parameters such as temperature, voltage or current, which are then further processed by the microcontrollers acting as control devices. Such operating parameters are safety-relevant for trouble-free operation because the associated electronic components must be protected against overheating, overvoltages and excessive electric currents, so that they function correctly or suffer no defect.

Die als Mikrocontroller oder dergleichen ausgebildeten Steuergeräte sind dabei vorzugsweise unabhängig von einer als Batterieüberwachungseinheit ausgebildeten Steuereinheit. Beispielsweise können die Energiezufuhr, die interne Uhr oder dergleichen völlig unabhängig von solch einer als Batterieüberwachungseinheit betrieben werden. The control units designed as microcontrollers or the like are preferably independent of a control unit designed as a battery monitoring unit. For example, the power supply, the internal clock or the like can be operated completely independently of such as a battery monitoring unit.

Die Batterieüberwachungseinheit ist dabei dazu ausgebildet, mit einer flexiblen Anzahl von als Mikrocontrollern oder dergleichen ausgebildeten Steuergeräte zu kommunizieren und unterstützt dabei auch eine Reset- beziehungsweise Shutoff-Verbindung zu den als Steuergeräte arbeitenden Mikrocontrollern, durch welche dass Batteriemanagementsystem in einen Sicherheitsmodus überführt werden kann. The battery monitoring unit is designed to communicate with a flexible number of designed as microcontrollers or the like control devices and also supports a reset or shutoff connection to working as controllers microcontrollers, by which the battery management system can be converted into a security mode.

Während des Betriebs des Batteriemanagementsystems tauschen die Batterieüberwachungseinheit und die als Mikrocontroller oder dergleichen ausgebildeten Steuergeräte permanent Befehle und Daten in Form von Nachrichten über den CAN-Bus aus. Diese Kommunikation hilft den als Mikrocontrollern oder dergleichen ausgebildeten Steuergeräte bei der korrekten Ausführung der Überwachung der Software der Batterieüberwachungseinheit nach dem erfindungsgemäßen Verfahren. During operation of the battery management system, the battery monitoring unit and the controllers configured as microcontrollers or the like permanently exchange commands and data in the form of messages via the CAN bus. This communication helps the controllers designed as microcontrollers or the like to correctly execute the monitoring of the software of the battery monitoring unit according to the method of the invention.

Ferner betrifft die Erfindung auch ein Kraftfahrzeug mit wenigstens einer zuvor beschriebenen Vorrichtung und ein Computerprogramm mit Programmcodemitteln, um alle Schritte eines zuvor beschriebenen Verfahrens durchzuführen, wenn das Computerprogramm auf einem Computer ausgeführt wird, sowie einen Datenträger mit einem solchen Computerprogrammprodukt. Furthermore, the invention also relates to a motor vehicle with at least one previously described device and a computer program with program code means to perform all steps of a method described above, when the computer program is executed on a computer, and a data carrier with such a computer program product.

Weitere Ziele, Vorteile, Merkmale und Anwendungsmöglichkeiten der vorliegenden Erfindung ergeben sich aus der nachfolgenden Beschreibung eines Ausführungsbeispiels anhand der Zeichnungen. Dabei bilden alle beschriebenen und/oder bildlich dargestellten Merkmale für sich oder in beliebiger sinnvoller Kombination den Gegenstand der vorliegenden Erfindung, auch unabhängig von ihrer Zusammenfassung in den Ansprüchen oder deren Rückbeziehung. Other objects, advantages, features and applications of the present invention will become apparent from the following description of an embodiment with reference to the drawings. All described and / or illustrated features alone or in any meaningful combination form the subject matter of the present invention, also independent of their summary in the claims or their dependency.

Es zeigen: Show it:

1: eine Blockbilddarstellung eines Ausführungsbeispiels einer erfindungsgemäßen Vorrichtung in Form eines Batteriemanagementsystems, 1 FIG. 2 is a block diagram of an exemplary embodiment of a device according to the invention in the form of a battery management system.

2: eine vereinfachte Darstellung der Kommunikation der Batterieüberwachungseinheit und den Mikrocontrollern der Vorrichtung gemäß 1 und 2 a simplified representation of the communication of the battery monitoring unit and the microcontrollers of the device according to 1 and

3: ein Flussdiagramm einer möglichen Arbeitsweise der Vorrichtung gemäß 1. 3 FIG. 3 is a flowchart of a possible operation of the device according to FIG 1 ,

In 1 ist eine Blockbilddarstellung eines Ausführungsbeispiels einer erfindungsgemäßen Vorrichtung in Form eines Batteriemanagementsystems. Dieses Batteriemanagementsystem weist eine als Batterieüberwachungseinheit ausgebildete Steuereinheit BCU, welche mit einen Mikrocontroller 8 ausgestattet ist. Die Batterieüberwachungseinheit BCU ist kommunikativ durch eines CAN-Bus mit drei als Steuergeräte ausgebildeten Mikrocontrollern MC1, MC2 und MCn verbunden. Im vorliegenden Ausführungsbeispiel erfolgt die Energieversorgung PS der Mikrocontroller MC1, MC2 bis MCn über ein in die Batterieüberwachungseinheit BCU integriertes Energieversorgungsmanagement PSM. Obwohl in 1 nur die Mikrocontroller MC1, MC2 und MCn dargestellt sind, soll die 1 dahingehend verstanden werden, dass damit eine durchaus eine größer Anzahl als 3 Mikrocontroller verstanden werden. Der Index N kann dabei bis zu einer beliebigen ganzen Zahl N laufen. In 1 is a block diagram representation of an embodiment of a device according to the invention in the form of a battery management system. This battery management system has a control unit BCU designed as a battery monitoring unit, which has a microcontroller 8th Is provided. The battery monitoring unit BCU is communicatively connected by a CAN bus with three microcontrollers MC1, MC2 and MCn designed as controllers. In the present embodiment, the power supply PS of the microcontroller MC1, MC2 to MCn via a in the Battery monitoring unit BCU integrated power supply management PSM. Although in 1 only the microcontroller MC1, MC2 and MCn are shown, the 1 be understood to mean that it is quite a larger number than 3 microcontroller understood. The index N can run up to an arbitrary integer N.

In die einzelnen Mikrocontroller 8, MC1, MC2 und MCn ist zudem eine Steuerungsmodul 3 zur Steuerung einer Komponente der hier nicht dargestellten Batterie, vorzugsweise einer einzelnen Batteriezelle, und eine Überwachungsmodul 2 integriert. Das Steuerungsmodul 3 steuert dabei die jeweilige Komponente 7 anhand von Sensoren 4 gelieferten Eingangssignalen 5, welche durch das Steuerungsmodul 3 in Ausgangssignale 6 verarbeitet werden. Mittels dieser Ausgangssignale 6 wird die Komponente 7 gesteuert. Into the individual microcontroller 8th , MC1, MC2 and MCn is also a control module 3 for controlling a component of the battery, not shown here, preferably a single battery cell, and a monitoring module 2 integrated. The control module 3 controls the respective component 7 using sensors 4 supplied input signals 5 generated by the control module 3 in output signals 6 are processed. By means of these output signals 6 becomes the component 7 controlled.

Ferner weisen die Mikrocontroller 8, MC1, MC2 und MCn auch ein Überwachungsmodul 2 auf. Dieses Überwachungsmodul 2 dient dazu, die Funktion einer in die Batterieüberwachungseinheit BCU integrierte Funktionsüberwachungseinrichtung 1 zu überprüfen. Die Funktionsüberwachungseinrichtung 1 hat ihrerseits die Aufgabe die Funktion der in die Mikrocontroller 8, MC1, MC2 und MCn integrierten Steuermodule 3 zu überwachen. Furthermore, the microcontroller 8th , MC1, MC2 and MCn also a monitoring module 2 on. This monitoring module 2 serves the function of a built-in battery monitoring unit BCU function monitoring device 1 to check. The function monitoring device 1 For its part, the task is the function of the microcontroller 8th , MC1, MC2 and MCn integrated control modules 3 to monitor.

Die Überprüfung der der Steuermodule 3 und der Funktionsüberwachungseinrichtung 1 erfolgt dabei in unterschiedlichen Ebenen. Für jeden Fahrzyklus wird dabei ein Mikrocontroller MC1 als Master-Steuergerät ausgewählt. Dieses Master-Steuergerät MC1 kommuniziert, wie in 2 beispielhaft dargestellt, über den CAN-Bus eine aus einem Fragenkatalog willkürlich, vorzugsweise über einen Zufallsgenerator ausgewählte Frage sowohl an die Batterieüberwachungseinheit BCU als auch an die Mikrocontroller MC2 bis MCn. In der Batterieüberwachungseinheit BCU wird daraufhin durch die Funktionsüberwachungseinheit 1 eine Antwort auf die Frage generiert, die dann wiederum über den CAN-Bus an die Mikrocontroller MC1, MC2 bis MCn kommuniziert wird. In den Mikrocontroller MC1, MC2 bis MCn findet dann mittels der dort integriertem Überwachungsmodule 3 eine Verifizierung oder Falsifizierung der Antworten statt, indem die von der Batterieüberwachungseinheit BCU kommunizierten Antwort mit den durch die Mikrocontroller MC1, MC2 bis MCn generierten Antworten verglichen werden und dieser Vergleich wiederum an die Batterieüberwachungseinheit BCU kommuniziert wird. Sind alle Antworten der Mikrocontroller MC1, MC2 bis MCn identisch zu der durch die Batterieüberwachungseinheit BCU kommunizierten Antwort, wird der Normalbetrieb der Batterie durch die Batterieüberwachungseinheit BCU beziehungsweise das hier nicht dargestellte Batteriemanagementsystem veranlasst. Ist allerdings eine Antwort eines Mikrocontroller MC1, MC2 bis MCn nicht identisch zu der durch die Batterieüberwachungseinheit BCU kommunizierten Antwort, wird durch die Batterieüberwachungseinheit BCU beziehungsweise das hier nicht dargestellte Batteriemanagementsystem ein Sicherheitsmodus für den Betrieb der Batterie initiiert und ein Zählerstand eines hier nicht dargstellten Zählers um die Anzahl der nicht identischen Antworten aufaddiert. Da die nicht identischen Antworten gegebenenfalls eine Fehlfunktion eines Steuerungsmoduls 3 und/oder der Funktionsüberwachungseinrichtung 1 bedeutet, muss die Batterie nun in einem solchen Sicherheitsmodus betrieben werden, um mögliche Schäden oder Defekte an der Batterie aufgrund möglicher Fehlfunktionen eines Steuerungsmoduls 3 und/oder der Funktionsüberwachungseinrichtung 1 auszuschließen. Der bis hierhin beschrieben Prüfzyklus beginnt nun von neuem. Werden nun wiederum nicht identische Antworten festgestellt, wird der Zählerstand des Zählers wieder entsprechend aufaddiert. Erreicht der Zählerstand einen vorgegebenen Grenzwert, wird eine Fehlermeldung generiert und an die Fahrzeugsteuerung kommuniziert, die daraufhin gegebenenfalls sogar den Betrieb des Fahrzeug nicht zulässt oder einen Servicehinweis für den Benutzer des Fahrzeugs zum Beheben der Fehlfunktion generiert. The review of the control modules 3 and the function monitoring device 1 takes place in different levels. For each driving cycle while a microcontroller MC1 is selected as the master control unit. This master control unit MC1 communicates as in 2 by way of example, via the CAN bus, a question arbitrarily selected from a questionnaire, preferably via a random generator, both to the battery monitoring unit BCU and to the microcontrollers MC2 to MCn. In the battery monitoring unit BCU is then by the function monitoring unit 1 generates an answer to the question, which in turn is then communicated via the CAN bus to the microcontroller MC1, MC2 to MCn. In the microcontroller MC1, MC2 to MCn then finds by means of there integrated monitoring modules 3 verification or falsification of the responses takes place by comparing the response communicated by the battery monitoring unit BCU with the responses generated by the microcontrollers MC1, MC2 to MCn and in turn communicating this comparison to the battery monitoring unit BCU. If all the responses of the microcontroller MC1, MC2 to MCn are identical to the response communicated by the battery monitoring unit BCU, the normal operation of the battery is initiated by the battery monitoring unit BCU or the battery management system not shown here. If, however, a response of a microcontroller MC1, MC2 to MCn is not identical to the response communicated by the battery monitoring unit BCU, the battery monitoring unit BCU or the battery management system not shown here initiates a safety mode for the operation of the battery and a counter reading of a counter not shown here the number of non-identical answers added up. Because the non-identical answers may be a malfunction of a control module 3 and / or the function monitoring device 1 means the battery must now be operated in such a safety mode to avoid possible damage or defects to the battery due to possible malfunction of a control module 3 and / or the function monitoring device 1 excluded. The test cycle described so far begins again. If again identical responses are not detected, the counter reading of the counter is added up again accordingly. If the meter reading reaches a predetermined limit value, an error message is generated and communicated to the vehicle control unit, which then possibly even does not permit the operation of the vehicle or generates a service instruction for the user of the vehicle to correct the malfunction.

Ist es natürlich auch möglich, dass in einem weiteren Prüfzyklus alle durch die Mikrocontroller MC1, MC2 bis MCn gelieferten Antworten identisch zu der von der Batterieüberwachungseinheit BCU kommunizierten Antwort sind. In diesem Fall wird der Zählerstand des Zählers um einen Betrag kleiner gleich 1 reduziert und der Normalbetrieb des Fahrzeugs aufgenommen. Of course, it is also possible that, in a further test cycle, all the responses provided by the microcontrollers MC1, MC2 to MCn are identical to the response communicated by the battery monitoring unit BCU. In this case, the count of the counter is reduced by an amount less than or equal to 1 and recorded the normal operation of the vehicle.

Die Funktionsweise ist auch noch mal in einem Flussdiagramm in 3 dargestellt. Das Flussdiagramm startet mit eine Starten oder einem Reset 10 des Systems. Während dieser Phase wird die Batterie noch in einem Sicherheitsmodus betrieben, der Schäden oder Defekte an der Batterie oder einzelnen Komponenten davon verhindert. Während einer Startphase 11 werden nun die einzelnen Komponenten der Batterie initialisiert. The functionality is also in a flow chart in 3 shown. The flowchart starts with a start or a reset 10 of the system. During this phase, the battery is still operating in a safety mode that prevents damage or damage to the battery or individual components thereof. During a starting phase 11 Now the individual components of the battery are initialized.

Bereits während einer darauf folgenden Initialisierung 12, in welcher die Batterie in einem Sicherheitsbetrieb betrieben wird, können durch die Mikrocontroller MC1, MC2 bis MCn und die Batterieüberwachungseinheit BCU beziehungsweise die Funktionsüberwachungseinrichtung 3 und/oder die Überwachungsmodule 3 Fehlfunktionen detektiert werden, die zu einem Überführen in einen Sicherheitsbetrieb 15 der Batterie oder zu einem Abschalten 16 der Batterie führen. Es wird als also eine Fehlermeldung ausgegeben und/oder die Batterieüberwachungseinheit BCU und damit die Batterie selbst ausgeschaltet. Already during a subsequent initialization 12 , in which the battery is operated in a safety mode, by the microcontroller MC1, MC2 to MCn and the battery monitoring unit BCU or the function monitoring device 3 and / or the monitoring modules 3 Malfunctions are detected that lead to a transfer to a safety operation 15 battery or shutdown 16 lead the battery. It is thus issued as an error message and / or the battery monitoring unit BCU and thus the battery itself off.

Nachfolgend der Initialisierung 12 erfolgt die eigentliche Prüfung 13 nach dem zuvor beschriebenen Frage-Antwort-Spiel zwischen den Mikrocontroller MC1, MC2 bis MCn und der Batterieüberwachungseinheit BCU, die ebenfalls zu einem Normalbetrieb 14 oder zu einem Überführen in einen Sicherheitsbetrieb 15 der Batterie oder zu einem Abschalten 16 der Batterie führen. Following the initialization 12 the actual test takes place 13 after the above-described question-answer game between the microcontroller MC1, MC2 to MCn and the battery monitoring unit BCU, which also to a normal operation 14 or to a transfer to a safety operation 15 battery or shutdown 16 lead the battery.

Der Normalbetrieb 14 wird dadurch beendet, dass die Batterieüberwachungseinheit BCU abgeschaltet und ein Sicherheitsbetrieb 15 der Batterie aufgenommen oder Abschalten 16 der Batterie durchgeführt wird. Normal operation 14 is terminated by the battery monitoring unit BCU being switched off and a safety operation 15 the battery is picked up or shut down 16 the battery is being carried out.

Wird während einer dieser Phasen 12, 13, 14 eine Fehlfunktion festgestellt, wird der Sicherheitsbetrieb 15 der Batterie gestartet und die gesamte Prüfung beginnt von neuem, wobei gegebenenfalls nun einer der Mikrocontroller MC2 bis MCn als Mastersteuergerät, welcher die Frage aus einem Fragenkatalog auswählt, genutzt wird und nicht mehr der Mikrocontroller MC1. Will during one of these phases 12 . 13 . 14 a malfunction is detected, the safety operation 15 the battery is started and the entire test begins again, possibly now one of the microcontroller MC2 to MCn as a master control unit, which selects the question from a questionnaire, is used and not the microcontroller MC1.

BezugszeichenlisteLIST OF REFERENCE NUMBERS

BCUBCU
Recheneinheit, Steuereinheit, Batterieüberwachungseinheit Computing unit, control unit, battery monitoring unit
MC1MC1
Recheneinheit, Steuergerät, Master-Steuergerät, Mikrocontroller Computing unit, control unit, master control unit, microcontroller
MC2MC2
Recheneinheit, Steuergerät, Master-Steuergerät, Mikrocontroller Computing unit, control unit, master control unit, microcontroller
MCnMCn
Recheneinheit, Steuergerät, Master-Steuergerät, Mikrocontroller Computing unit, control unit, master control unit, microcontroller
CANCAN
Kommunikationseinrichtung, CAN-Bus Communication device, CAN bus
PSPS
Energieversorgung power supply
PSMPSM
Energieversorgungsmanagement Power management
11
Funktionsüberwachungseinrichtung Function monitoring device
22
Überwachungsmodul monitoring module
33
Steuerungsmodul control module
44
Sensor sensor
55
Eingangssignal input
66
Ausgangssignal output
77
Komponente component
88th
Mikrocontroller microcontroller
1010
Starten/Reset Start / Reset
1111
Startphase start-up phase
1212
Initialisierung initialization
1313
Prüfung exam
1414
Normalbetrieb normal operation
1515
Sicherheitsbetrieb security operation
1616
Abschalten Switch off

Claims (17)

Verfahren zum Überprüfen von wenigstens zwei Recheneinheiten (BCU, MC1, MC2, ...; MCn), für ein Kraftfahrzeug, wobei die wenigstens zwei Recheneinheiten (BCU, MC1, MC2, ...; MCn) zur Steuerung jeweils wenigstens einer Funktion vorgesehen sind, wobei die eine Recheneinheit (BCU) als Steuereinheit zur Steuerung einer Kraftfahrzeugeinrichtung des Kraftfahrzeugs und die wenigstens eine andere Recheneinheit (MC1, MC2, ...; MCn) zur Steuerung für jeweils eine Komponente der Kraftfahrzeugeinrichtung vorgesehen sind, wobei folgende Verfahrensschritte vorgesehen sind: a) Bestimmung eines Master-Steuergerätes (MC1) aus der wenigstens einen Recheneinheit (MC1, MC2, ... MCn), b) Festlegung der wenigstens einen Recheneinheit (MC2, ... MCn) als Slave-Steuergerät, wenn mehr als zwei Recheneinheiten (BCU, MC1, MC2, ...; MCn) vorhanden sind, c) Auswahl einer Frage aus einem Fragenkatalog durch das Master-Steuergerät (MC1), d) Kommunizieren der ausgewählten Frage durch das Mastersteuergerät (MC1) an die Steuereinheit (BCU) und an das wenigstens eine Slave-Steuergerät (MC2, ... MCn), wenn mehr als zwei Recheneinheiten (BCU, MC1, MC2, ...; MCn) vorhanden sind, e) Generierung einer Antwort auf die ausgewählte Frage durch die Steuereinheit (BCU), f) Kommunizieren der Antwort auf die ausgewählte Frage an das wenigstens eine Steuergerät (MC1, MC2, ... MCn), g) Vergleich der kommunizierten Antwort mit einer durch das wenigstens eine Steuergerät (MC1, MC2, ... MCn) vorgegebenen oder generierten Antwort, h) Kommunizieren des jeweiligen Vergleichs durch das wenigstens eine Steuergerät (MC1, MC2, ... MCn) an die Steuereinheit (BCU), i) Entscheidungsfindung über den Weiterbetrieb der Kraftfahrzeugeinrichtung durch die Steuereinheit (BCU) oder durch das wenigstens eine Steuergerät (MC1, MC2, ... MCn). Method for checking at least two arithmetic units (BCU, MC1, MC2, ...; MCn) for a motor vehicle, wherein the at least two arithmetic units (BCU, MC1, MC2, ...; MCn) each provide at least one function are, wherein the one arithmetic unit (BCU) as a control unit for controlling a motor vehicle device of the motor vehicle and the at least one other arithmetic unit (MC1, MC2, ...; MCn) are provided for controlling for each component of the motor vehicle device, wherein the following method steps are provided : a) determination of a master control unit (MC1) from the at least one arithmetic unit (MC1, MC2, ... MCn), b) definition of the at least one arithmetic unit (MC2, ... MCn) as a slave control unit if more than two arithmetic units (BCU, MC1, MC2, ...; MCn) are present, c) selection of a question from a questionnaire by the master control unit (MC1), d) communicating the selected question by the master control unit (MC1) to the control unit (BCU) and to the at least one slave control unit (MC2, ... MCn) if more than two arithmetic units (BCU, MC1, MC2, ... MCn) are present, e) generation of a response to the selected question by the control unit (BCU), f) communicating the answer to the selected question to the at least one control device (MC1, MC2, ... MCn), g) comparison of the communicated response with a response predetermined or generated by the at least one controller (MC1, MC2, ... MCn), h) communicating the respective comparison by the at least one control device (MC1, MC2, ... MCn) to the control unit (BCU), i) decision making on the continued operation of the motor vehicle device by the control unit (BCU) or by the at least one control device (MC1, MC2, ... MCn). Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Steuereinheit (BCU) oder das wenigstens eine Steuergerät (MC1, MC2, ... MCn) die Kraftfahrzeugeinrichtung im Normalbetrieb weiter betreibt, wenn die durch die wenigstens zwei Steuergeräte (MC1, MC2, ... MCn) vorgegebene Antwort der durch die Steuereinheit (BCU) kommunizierten Antwort entspricht. Method according to Claim 1, characterized in that the control unit (BCU) or the at least one control unit (MC1, MC2, ... MCn) continues to operate the motor vehicle device in normal operation, if the at least two control units (MC1, MC2, .. MCn) predetermined response corresponds to the response communicated by the control unit (BCU). Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Steuereinheit (BCU) oder das wenigstens eine Steuergerät (MC1, MC2, ... MCn) die Kraftfahrzeugeinrichtung in einem Sicherheitsmodus betreibt, wenn wenigstens eine der durch die wenigstens zwei Steuergeräte (MC1, MC2, ... MCn) vorgegebenen Antworten von der durch die Steuereinheit (BCU) kommunizierten Antwort abweicht. Method according to Claim 1, characterized in that the control unit (BCU) or the at least one control device (MC1, MC2, ... MCn) operates the motor vehicle device in a safety mode if at least one of the at least two control devices (MC1, MC2, ... MCn) predetermined answers of the communicated by the control unit (BCU) response. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass die Steuereinheit (BCU) oder das wenigstens eine Steuergerät (MC1, MC2, ... MCn) für jede abweichende Antwort ein Zählerstand eines Zähler um einen vordefinierten Wert aufaddiert wird. A method according to claim 3, characterized in that the control unit (BCU) or the at least one control unit (MC1, MC2, ... MCn) for each deviating answer adds a counter reading of a counter by a predefined value. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass die Steuereinheit (BCU) eine Fehlermeldung an eine Fahrzeugsteuerung kommuniziert, wenn der Zählerstand einen vorgegebenen Grenzwert erreicht hat. A method according to claim 4, characterized in that the control unit (BCU) communicates an error message to a vehicle controller when the count has reached a predetermined limit. Verfahren nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass die Steuereinheit (BCU) oder das wenigstens eine Steuergerät (MC1, MC2, ... MCn) den Betrieb der Kraftfahrzeugeinrichtung (1) einstellt, wenn der Zählerstand einen vorgegebenen Grenzwert erreicht hat. Method according to Claim 4 or 5, characterized in that the control unit (BCU) or the at least one control unit (MC1, MC2, ... MCn) controls the operation of the motor vehicle device ( 1 ) is set when the count has reached a predetermined limit. Verfahren nach Anspruch 4 bis 6, dadurch gekennzeichnet, dass die Steuereinheit (BCU) für jede Frage, bei welcher die von wenigstens zwei Steuergeräte (MC1, MC2, ... MCn) vorgegebene Antwort der durch die Steuereinheit (BCU) kommunizierten Antwort entspricht, den Zählerstand des Zählers um einen vordefinierten Betrag verringert, solange der Zählerstand größer null ist. Method according to claim 4 to 6, characterized in that the control unit (BCU) for each question in which the response predetermined by at least two control devices (MC1, MC2, ... MCn) corresponds to the response communicated by the control unit (BCU), The meter reading of the counter is reduced by a predefined amount as long as the counter reading is greater than zero. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Steuereinheit (BCU) dazu ausgebildet ist, in willkürliche zeitlichen Abständen, vorzugsweise bestimmt durch einen Zufallsgenerator, eine falsche Antwort auf die durch das Master-Steuergerät (MC1) kommunizierte Frage zu generieren und an die wenigstens zwei anderen Recheneinheiten (MC1, MC2, ...; MCn) zu kommunizieren. Method according to one of the preceding claims, characterized in that the control unit (BCU) is adapted to generate at random time intervals, preferably determined by a random number generator, an incorrect answer to the question communicated by the master control unit (MC1) question and to to communicate the at least two other arithmetic units (MC1, MC2, ...; MCn). Vorrichtung zum Überprüfen von wenigstens zwei Recheneinheiten (BCU, MC1, MC2, ...; MCn), insbesondere für ein Kraftfahrzeug, wobei die wenigstens zwei Recheneinheiten (BCU, MC1, MC2, ...; MCn) jeweils ein Steuerungsmodul (3) zur Steuerung jeweils wenigstens einer Funktion aufweisen und wobei vorzugsweise die eine Recheneinheit (BCU) als Steuereinheit einer Kraftfahrzeugeinrichtung des Kraftfahrzeugs und die wenigstens eine andere Recheneinheit (MC1, MC2, ...; MCn) als Steuergräte für jeweils eine Komponente der Kraftfahrzeugeinrichtung ausgebildet sind, insbesondere zur Durchführung des Verfahrens einer der Ansprüche 1 bis 7, wobei das wenigstens eine Steuergerät (MC1, MC2, ...; MCn) über eine Kommunikationsleitung (CAN), vorzugsweise einem CAN-BUS oder dergleichen, miteinander und mit der Steuereinheit (BCU) verbunden sind und wobei die Steuereinheit (BCU) eine Funktionsüberwachungseinheit (1) für das wenigstens eine Steuergerät (MC1, MC2, ...; MCn) aufweist und das wenigstens eine Steuergerät (MC1, MC2, ...; MCn) zusätzlich als Überwachungsmodul (2) für die Funktionsüberwachungseinheit (1) der Steuereinheit (BCU) ausgebildet sind. Device for checking at least two arithmetic units (BCU, MC1, MC2, ...; MCn), in particular for a motor vehicle, the at least two arithmetic units (BCU, MC1, MC2, ...; MCn) each having a control module (MCU) 3 ) for controlling in each case at least one function and wherein preferably one of the arithmetic unit (BCU) as a control unit of a motor vehicle device of the motor vehicle and the at least one other arithmetic unit (MC1, MC2, ...; MCn) are designed as a control device for each component of the motor vehicle device , in particular for carrying out the method of one of claims 1 to 7, wherein the at least one control device (MC1, MC2, ...; MCn) via a communication line (CAN), preferably a CAN-BUS or the like, with each other and with the control unit ( BCU) and the control unit (BCU) has a function monitoring unit (BCU). 1 ) for the at least one control device (MC1, MC2, ...; MCn) and the at least one control device (MC1, MC2, ...; MCn) additionally as a monitoring module ( 2 ) for the functional monitoring unit ( 1 ) of the control unit (BCU) are formed. Vorrichtung nach Anspruch 9, dadurch gekennzeichnet, dass die Funktionsüberwachungseinheit (1) der Steuereinheit (BCU) dazu ausgebildet ist, die Funktion des Steuerungsmoduls (3) des wenigstens einen Steuergeräts (MC1, MC2, ...; MCn) zu überwachen. Apparatus according to claim 9, characterized in that the function monitoring unit ( 1 ) of the control unit (BCU) is adapted to the function of the control module ( 3 ) of the at least one control device (MC1, MC2, ...; MCn). Vorrichtung nach Anspruch 9 oder 10, dadurch gekennzeichnet, dass Überwachungsmodul (2) das wenigstens eine Steuergerät (MC1, MC2, ...; MCn) dazu ausgebildet sind, die Funktion der Funktionsüberwachungseinheit (1) der Steuereinheit (BCU) zu überwachen. Device according to claim 9 or 10, characterized in that the monitoring module ( 2 in that the at least one control device (MC1, MC2, ...; MCn) is designed to perform the function of the function monitoring unit (MC1). 1 ) of the control unit (BCU). Vorrichtung nach einem der Ansprüche 9 bis 11, dadurch gekennzeichnet, dass das wenigstens eine Steuergeräte (MC1, MC2, ...; MCn) als Mikrocontroller oder dergleichen ausgebildet ist. Device according to one of claims 9 to 11, characterized in that the at least one control device (MC1, MC2, ...; MCn) is designed as a microcontroller or the like. Vorrichtung nach einem der Ansprüche 9 bis 12, dadurch gekennzeichnet, dass die Kraftfahrzeugeinrichtung als Batterie zur Speicherung elektrischer Energie mit mehreren Zellen, vorzugsweise für ein wenigstens teilweise und/oder zeitweise elektrisch antreibbares Kraftfahrzeug ausgebildet ist. Device according to one of claims 9 to 12, characterized in that the motor vehicle device is designed as a battery for storing electrical energy with a plurality of cells, preferably for an at least partially and / or temporarily electrically driven motor vehicle. Vorrichtung nach Anspruch 13, dadurch gekennzeichnet, dass das wenigstens eine als Mikrocontroller ausgebildeten Steuergerät (MC1, MC2, ...; MCn) zur Steuerung jeweils einer Zelle der Batterie ausgebildet sind. Device according to Claim 13, characterized in that the at least one control device (MC1, MC2, ...; MCn) designed as a microcontroller is designed to control in each case one cell of the battery. Kraftfahrzeug mit wenigstens einer Vorrichtung nach einem der Ansprüche 9 bis 14. Motor vehicle with at least one device according to one of claims 9 to 14. Computerprogramm mit Programmcodemitteln, um alle Schritte eines Verfahrens gemäß einem der Ansprüche 1 bis 8 durchzuführen, wenn das Computerprogramm auf einem Computer ausgeführt wird. A computer program comprising program code means for performing all the steps of a method according to any one of claims 1 to 8 when the computer program is executed on a computer. Datenträger mit einem Computerprogrammprodukt nach Anspruch 16. Data carrier with a computer program product according to claim 16.
DE102012104322A 2012-05-18 2012-05-18 Method for testing two processing units in battery management system of motor car, involves communicating a comparison result to battery control unit for carrying out decision-making process on continued operation of motor car device Expired - Fee Related DE102012104322B4 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102012104322A DE102012104322B4 (en) 2012-05-18 2012-05-18 Method for testing two processing units in battery management system of motor car, involves communicating a comparison result to battery control unit for carrying out decision-making process on continued operation of motor car device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102012104322A DE102012104322B4 (en) 2012-05-18 2012-05-18 Method for testing two processing units in battery management system of motor car, involves communicating a comparison result to battery control unit for carrying out decision-making process on continued operation of motor car device

Publications (2)

Publication Number Publication Date
DE102012104322A1 true DE102012104322A1 (en) 2013-11-21
DE102012104322B4 DE102012104322B4 (en) 2013-11-28

Family

ID=49510905

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102012104322A Expired - Fee Related DE102012104322B4 (en) 2012-05-18 2012-05-18 Method for testing two processing units in battery management system of motor car, involves communicating a comparison result to battery control unit for carrying out decision-making process on continued operation of motor car device

Country Status (1)

Country Link
DE (1) DE102012104322B4 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103760896A (en) * 2014-01-27 2014-04-30 北京智行鸿远汽车技术有限公司 Hardware-in-loop test device and method for vehicle-mounted charger control device of new energy automobile
CN106249735A (en) * 2016-09-09 2016-12-21 合普新能源科技有限公司 The method controlling test and upgrading based on CAN card
DE102016218614A1 (en) 2016-09-27 2018-03-29 Audi Ag Energy storage device for a motor vehicle and motor vehicle
CN108107870A (en) * 2017-12-18 2018-06-01 江苏兴云新能源有限公司 Battery management system verifies equipment
CN108398611A (en) * 2018-05-10 2018-08-14 中航锂电技术研究院有限公司 Function test system based on minimum battery management system and its test method

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10331873A1 (en) * 2003-07-14 2005-02-17 Robert Bosch Gmbh Distributed software monitoring method, e.g. for automotive applications, whereby computer units, controlled by one or more control units, are considered as master or slave units for implementing master-slave communication
DE102004022624A1 (en) * 2004-05-07 2005-12-08 Robert Bosch Gmbh Method for monitoring a system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10331873A1 (en) * 2003-07-14 2005-02-17 Robert Bosch Gmbh Distributed software monitoring method, e.g. for automotive applications, whereby computer units, controlled by one or more control units, are considered as master or slave units for implementing master-slave communication
DE102004022624A1 (en) * 2004-05-07 2005-12-08 Robert Bosch Gmbh Method for monitoring a system

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103760896A (en) * 2014-01-27 2014-04-30 北京智行鸿远汽车技术有限公司 Hardware-in-loop test device and method for vehicle-mounted charger control device of new energy automobile
CN106249735A (en) * 2016-09-09 2016-12-21 合普新能源科技有限公司 The method controlling test and upgrading based on CAN card
DE102016218614A1 (en) 2016-09-27 2018-03-29 Audi Ag Energy storage device for a motor vehicle and motor vehicle
CN108107870A (en) * 2017-12-18 2018-06-01 江苏兴云新能源有限公司 Battery management system verifies equipment
CN108398611A (en) * 2018-05-10 2018-08-14 中航锂电技术研究院有限公司 Function test system based on minimum battery management system and its test method
CN108398611B (en) * 2018-05-10 2024-04-05 中创新航技术研究院(江苏)有限公司 Function test system based on minimum battery management system and test method thereof

Also Published As

Publication number Publication date
DE102012104322B4 (en) 2013-11-28

Similar Documents

Publication Publication Date Title
WO2016015989A1 (en) Battery system, and method for operating said battery system
DE102008006732B4 (en) Method and device for monitoring a temperature detection device
DE102017119433B4 (en) PROCEDURE FOR DIAGNOSIS OF A FAILURE TO START CONDITION IN A POWERTRAIN AND APPROPRIATELY DESIGNED POWERTRAIN
DE102006028695B4 (en) Electronic control system with malfunction monitoring
DE102012104322B4 (en) Method for testing two processing units in battery management system of motor car, involves communicating a comparison result to battery control unit for carrying out decision-making process on continued operation of motor car device
DE102010051133A1 (en) Diagnose and predict errors using Diagnostic Trouble Code Markov chains
DE102014217134B4 (en) System and method for testing vehicle traction battery components
DE102019117434A1 (en) SYSTEM AND METHOD FOR BATTERY CELL COMPENSATION
DE102016221249A1 (en) Method for operating a vehicle electrical system
EP3074782B1 (en) Device and method for testing a vehicle battery
DE102019111668A1 (en) METHOD AND SYSTEM FOR SELECTIVE RESET OF SENSORS SUPPLIED BY A COMMON POWER SUPPLY
DE102008034150A1 (en) Circuit arrangement for controlling e.g. piezo-actuator in motor vehicle, has control device including microprocessor to switch another control device to secure condition during malfunction of microprocessor of latter control device
DE102011117376A1 (en) Method for transferring programmable data per electronic data transmission into control device of motor car, involves restoring full functionality of car by control device, and automating documentation per electronic data transmission
EP3132322B1 (en) Method for diagnosing a motor vehicle system, diagnostic device for a motor vehicle system, control device for a motor vehicle system, and motor vehicle
DE102012209144A1 (en) Method for transferring electrical drive system to safe state, involves switching off arrangement access to power supply over switching off path, where switching off path is formed such that path is tested in regular time spacings
WO2017178365A1 (en) Method and device for estimating a state of an energy storage system of a vehicle
DE102011083600A1 (en) Vehicle, particularly electric or hybrid vehicle, has sensor, where operational safety-relevant electrical variable is realized as quality of insulation of electrical power system relative to body or mass of vehicle
DE102007049711A1 (en) Method for operating a control device
DE102019202465A1 (en) Method for operating a battery system in a motor vehicle and a correspondingly operable battery system and motor vehicle
DE102009002900A1 (en) Method for configuring a controller
DE102018204622A1 (en) Method for monitoring a motor vehicle with automated driving functions
DE102009029258A1 (en) Method for increasing reliability of fuel cell tank system for fuel cell car, involves providing fuel cell car with fuel by partial open position of tank valve
DE10220811B4 (en) Method and device for monitoring the functioning of a system
DE102021104535A1 (en) Method for monitoring the energy supply of a motor vehicle
DE102020201920A1 (en) Method for determining a system status, computer program product and device

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final

Effective date: 20140301

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee