DE102016209455A1 - Verfahren zur Überführung einer Einheit eines Steuergeräts in einen sicheren Zustand - Google Patents

Verfahren zur Überführung einer Einheit eines Steuergeräts in einen sicheren Zustand Download PDF

Info

Publication number
DE102016209455A1
DE102016209455A1 DE102016209455.6A DE102016209455A DE102016209455A1 DE 102016209455 A1 DE102016209455 A1 DE 102016209455A1 DE 102016209455 A DE102016209455 A DE 102016209455A DE 102016209455 A1 DE102016209455 A1 DE 102016209455A1
Authority
DE
Germany
Prior art keywords
unit
communication
clock generation
control unit
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102016209455.6A
Other languages
English (en)
Inventor
Florian Kraemer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102016209455.6A priority Critical patent/DE102016209455A1/de
Publication of DE102016209455A1 publication Critical patent/DE102016209455A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/048Monitoring; Safety

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Small-Scale Networks (AREA)

Abstract

Es wird ein Verfahren zur Überführung einer ersten Einheit eines Steuergeräts in einen sicheren Zustand vorgeschlagen. Dabei erfolgt eine Kommunikation zwischen der ersten Einheit und einer zweite Einheit des Steuergeräts über eine serielle Datenverbindung. Die erste Einheit verfügt für die Kommunikation mit der zweiten Einheit über die serielle Datenverbindung über Mittel zur Takterzeugung. Die erste Einheit wird, wenn ein Fehler der ersten Einheit festgestellt wird, in den sicheren Zustand überführt, indem die Mittel zur Takterzeugung deaktiviert werden.

Description

  • Die Erfindung betrifft Verfahren zur Überführung einer Einheit eines Steuergeräts in einen sicheren Zustand, insbesondere einen sicheren Zustand bezüglich einer Kommunikation zu einer zweiten Einheit des Steuergeräts. Aufgrund von Sicherheitsnormen sind solche Zustände, z.B. ein Zustand „fail silent“ als Reaktion auf Fehler für Systeme mit Steuergeräten gefordert, z.B. für Steuergeräte in einem Fahrzeug.
  • Stand der Technik
  • Fahrzeug-Steuergeräte, z.B. für Fahrerassistenz-Funktionen oder eine Motorsteuerung können z.B. über mehrere Recheneinheiten oder Kommunikationseinheiten verfügen und SoC-Architekturen aufweisen. Mehrere Einheiten eines Steuergerätes kommunizieren zum Beispiel über Ethernet miteinander und verwenden für eine solche Interprozessor-Kommunikation serielle Hochgeschwindigkeits-Verbindungen wie SGMII (serial gigabit mediaindependent interface). Im Gegensatz zu parallelen Datenverbindungen sind bei solchen seriellen Datenverbindungen keine Steuerleitungen mehr vorgesehen.
  • Sicherheitsnormen wie die ISO 26262 (Road vehicles – Functional safety) bestimmen, dass elektronische Komponenten und Systeme z.B. von Fahrzeugen auch in Fehlerfällen bestimmte Vorgaben erfüllen müssen. Zum Beispiel kann vorgesehen sein, dass sich eine elektronische Komponente oder ein elektronisches System im Fehlerfall mindestens „fail silent“ verhalten muss, um eine Nicht-Beeinflussung von Nachbarkomponenten oder -systemen sicherzustellen. „Fail silent“ bedeutet zum Beispiel, dass Kommunikationsverbindungen einer solchen Komponente oder eines solchen Systems unterbrochen werden müssen, um eine Störung von oder eine Ausbreitung eines Fehlers auf andere Komponenten oder Systeme zu verhindern.
  • Eine solche Unterbrechung oder Trennung von Kommunikationsverbindungen kann bei parallelen Kommunikationssystemen über seine Steuerleitungen und/oder über Reset-Signale realisiert sein. Ersteres ist bei seriellen Hochgeschwindigkeits-Verbindungen nicht mehr möglich, da diese über keine Steuerleitungen verfügen. Eine Abtrennung von Kommunikationsverbindungen einer elektronischen Komponente oder eines elektronischen Systems über Reset-Signale geht zu Lasten der Verfügbarkeit der Komponente bzw. des Systems.
  • Der DE 10239846 A1 ist ein Fail-Silent-Steuergerät zu entnehmen als Beispiel für Fail-Silent-Architekturen, welche für Computer und Steuergeräte eingesetzt werden, um in Netzwerken zur gesicherten Nachrichtenübertragung und Gewährleistung der Datenkonsistenz eine hohe Zuverlässigkeit auch im Falle eines Fehlerereignisses vorzusehen.
  • Offenbarung der Erfindung
  • Die Erfindung betrifft Verfahren zur Überführung einer Einheit eines Steuergeräts in einen sicheren Zustand, insbesondere in einen Zustand eingeschränkter Kommunikation, falls eine Fehlfunktion der Einheit, z.B. durch einer Überwachung, festgestellt wurde. Ausgegangen wird dabei von einem Verfahren, bei welchem der sichere Zustand erreicht wird, indem im Fehlerfall für eine Kommunikation über eine serielle Datenverbindung nötige Takterzeugungsmittel der Einheit deaktiviert werden. Das Verfahren kann für verschiedene Einheiten eines Steuergerätes vorteilhaft eingesetzt werden. Solche Einheiten können separate elektronische Schaltkreise des Steuergeräts sein, welche über Kommunikationsmittel verfügen. Z.B. können die Verfahren für separate Recheneinheiten oder SoCs eines Steuergerätes eingesetzt werden.
  • Durch die vorgeschlagenen Verfahren wird eine zuverlässige Unterbrechung von Kommunikationspfaden ermöglicht, auch wenn diese als parallele Hochgeschwindigkeits-Verbindungen ausgestaltet sind. Es kann somit auch für solche Kommunikationssysteme verhindert werden, dass ein fehlerhaftes elektronisches System oder ein fehlerhafte elektronische Komponente benachbarte Komponenten oder Systeme beeinflussen oder stören, zum Beispiel durch das Schicken ungültiger Signale oder anderweitige Beeinflussung der Kommunikation. Insbesondere wird durch das Verfahren ermöglicht, einen sicheren Zustand zwischen zwei Teilnehmern an einem seriellen Datenbus zu erreichen. Da dieser sichere Zustand der seriellen Datenkommunikation ohne eine Komplettabschaltung (z.B. über Reset-Signal) einer Teilkomponente oder des gesamten Steuergeräts ermöglicht wird, können nicht betroffene Hardware-Komponenten weiter betrieben werden, was die Verfügbarkeit des Geräts bzw. Systems erhöht.
  • Besonders bevorzugt wird eine Deaktivierung der Mittel zur Takterzeugung über eine Unterbrechung ihrer Spannungsversorgung. Als Mittel zur Takterzeugung kommen hierfür beispielsweise digitale Phasenregelschleifen in Frage, welche über eine solche Spannungsversorgung verfügen.
  • Besonders vorteilhaft ist der Einsatz der beschriebenen Verfahren für ein Steuergerät eines Fahrzeugs, z.B. zum Einsatz in der Motorsteuerung oder für Fahrerassistenzsysteme. In einer bevorzugten Ausgestaltung verfügt ein solches Steuergerät über zwei SoCs (SoC = System on Chip) sowie über einen Ethernet-Switch. Über den Ethernet-Switch kommunizieren die beiden SoCs, aber auch das Steuergerät nach extern, z.B. mit anderen Steuergeräten oder Einheiten des Fahrzeugs. Mit den beschriebenen Verfahren ist es hier möglich, eines der SoCs in einen „fail silent“-Zustand zu überführen, ohne den Ethernet-Switch oder das ganze Steuergerät zurückzusetzen oder zu deaktivieren. Damit wird für ein solches System bei Einhaltung von Sicherheitsvorgaben die Verfügbarkeit so weit wie möglich bewahrt.
  • Zeichnungen
  • Nachfolgend ist die Erfindung unter Bezugnahme auf die beiliegenden Zeichnungen und anhand von Ausführungsbeispielen näher beschrieben. Dabei zeigen
  • 1 schematisch mehrere untereinander über parallele Datenverbindungen verbundene Einheiten eines Steuergeräts sowie
  • 2 schematisch mehrere untereinander über serielle Datenverbindungen verbundene Einheiten eines Steuergeräts.
  • Beschreibung der Ausführungsbeispiele
  • In 1 sind die Einheiten 11, 12 und 13 als Ausschnitt aus einem Steuergerät 1 gezeigt, welche über parallele Kommunikationsverbindungen kommunizieren. Diese Einheiten können z.B. als Prozessoren, Mikrocontroller, SoCs etc. ausgestaltet sein. Die Einheiten 11, 12 bzw. 13 können jeweils an einem ihrer Eingänge über eine Datenverbindung 101, 102 bzw. 103 ein Reset-Signal empfangen. Einheiten 11 und 12 sind verbunden über eine parallele Datenverbindung 111, welche über mehrere Datenleitungen verfügt, sowie über eine Steuerleitung 112, welche trennbar ausgestaltet ist. Einheiten 12 und 13 sind verbunden über eine parallele Datenverbindung 113, welche über mehrere Datenleitungen verfügt, sowie über eine Steuerleitung 114, welche trennbar ausgestaltet ist.
  • Soll eine der Einheiten 11, 12 oder 13 in einen sicheren Zustand, insbesondere in einen sicheren Zustand bezüglich seiner Kommunikation wie einen Zustand „fail silent“ überführt werden, kann dies auf zwei Wege geschehen. Zum einen kann die jeweilige Einheit 11, 12 bzw. 13 durch ein Reset-Signal über die Kommunikationsverbindung 101, 102 bzw. 103 zurückgesetzt werden. Zum anderen kann die Kommunikation zwischen den Einheiten 11 und 12 bzw. 12 und 13 durch ein Trennen der Steuerleitungen 112 bzw. 114 unterbrochen werden.
  • In 2 sind die Einheiten 21, 22 und 23 als Ausschnitt aus einem Steuergerät 2 gezeigt, welche über serielle Kommunikationsverbindungen kommunizieren. Diese Einheiten können wiederum z.B. als Prozessoren, Mikrocontroller, SoCs etc. ausgestaltet sein. Die Einheiten 21, 22 bzw. 23 verfügen jeweils über Mittel zur Takterzeugung 201, 204 bzw. 207. Als solche Mittel zur Takterzeugung können beispielsweise digitale Phasenregelkreise (digital phase-locked loops, dpll) eingesetzt werden. Die Mittel zur Takterzeugung 201, 204 bzw. 207 sind über Leitungen 202, 205 bzw. 208 mit einer Spannungsversorgung 203, 206 bzw. 209 verbunden. Einheiten 21 und 22 sind verbunden über eine serielle Datenverbindung 211, welche insbesondere als serielles Datenverbindungspaar realisiert ist. Entsprechend sind Einheiten 22 und 23 verbunden über eine serielle Datenverbindung 213, welche insbesondere als serielles Datenverbindungspaar realisiert ist.
  • Die nun vorgeschlagenen Verfahren zur Überführung eines solchen Steuergeräts in einen sicheren Zustand nutzen aus, dass bei derartigen seriellen Datenverbindungen ohne Mittel zur Takterzeugung keine Kommunikation möglich ist. Daher kann nun die Kommunikation einer der Einheiten 21, 22 bzw. 23 unterbrochen werden und damit dieser Baustein in einen sicheren Zustand bezüglich seiner Kommunikation, insbesondere in einen Zustand „fail silent“ überführt werden, indem die Takterzeugungsmittel 201, 204 bzw. 207 deaktiviert werden. Gängige Kommunikationsbausteine haben für die genannte Mittel zur Takterzeugung eine separate elektrische Versorgung. In einer bevorzugten Ausgestaltung erfolgt die Deaktivierung der Takterzeugungsmittel 201, 204 bzw. 207 durch eine Abtrennung der Versorgungsspannung 203, 206 bzw. 209 der Takterzeugungsmittel durch Unterbrechung der Leitungen 202, 205 bzw. 208.
  • Die Deaktivierung von Takterzeugungsmitteln bzw. die Unterbrechung von deren Spannungsversorgung kann im Fall eines erkannten Fehlers der entsprechenden Einheit durch eine weitere Einheit bzw. eine Mastereinheit des Steuergeräts veranlasst bzw. gesteuert werden.
  • In einem bevorzugten Ausführungsbeispiel verfügt ein Steuergerät über zwei SoCs sowie einen Ethernet-Switch, über welchen sowohl die Interprozessor-Kommunikation zwischen den SoCs als auch die Kommunikation des Steuergeräts innerhalb des Fahrzeugs, insbesondere mit anderen Steuergeräten, stattfindet. In einem Fehlerfall für eines der beiden SoC werden nun die Takterzeugungsmittel dieses fehlerhaften SoC deaktiviert, insbesondere über eine Unterbrechung der Spannungsversorgung dieser Takterzeugungsmittel. Somit wird der fehlerhafte SoC in den Zustand „fail silent“ überführt und kann nicht mehr über den Ethernet-Switch mit dem anderen SoC kommunizieren. Der nicht-fehlerhafte zweite SoC bleibt allerdings verfügbar und das Steuergerät kann zumindest mit Teil-Funktionalität weiter eingesetzt werden.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 10239846 A1 [0005]
  • Zitierte Nicht-Patentliteratur
    • ISO 26262 [0003]

Claims (12)

  1. Verfahren zur Überführung einer ersten Einheit (21) eines Steuergeräts (2) in einen sicheren Zustand, wobei eine Kommunikation zwischen der ersten Einheit (21) und einer zweite Einheit (22) des Steuergeräts (2) über eine serielle Datenverbindung (211) erfolgt und wobei die erste Einheit (21) für die Kommunikation mit der zweiten Einheit (22) über die serielle Datenverbindung (211) über Mittel zur Takterzeugung (201) verfügt, dadurch gekennzeichnet, dass die erste Einheit (21), wenn ein Fehler der ersten Einheit (21) festgestellt wird, in den sicheren Zustand überführt wird, indem die Mittel zur Takterzeugung (201) deaktiviert werden.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Mittel zur Takterzeugung (201) deaktiviert werden, indem ihre Spannungsversorgung (202, 203) unterbrochen wird.
  3. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Mittel zur Takterzeugung (201) digitale Phasenregelschleifen sind.
  4. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Mittel zur Takterzeugung (201) der ersten Einheit (21) einen Takt für die Kommunikation über die serielle Datenverbindung (211) zur Verfügung stellen.
  5. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die erste Einheit (21) und die zweite Einheit (22) SoCs sind.
  6. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die serielle Datenverbindung (211) eine Ethernet-Verbindung ist.
  7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass das Steuergerät (2) über einen Ethernet-Switch verfügt, über welchen sowohl die Kommunikation zwischen der ersten Einheit (21) und der zweiten Einheit (22) erfolgt als auch eine Kommunikation des Steuergeräts (2) nach extern.
  8. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass das Steuergerät (2) in einem Fahrzeug sicherheitskritische technische Vorgänge steuert, insbesondere Funktionen einer Motorsteuerung oder eines Fahrerassistenzsystems.
  9. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass der sichere Zustand dadurch definiert ist, dass die Kommunikation der ersten Einheit (21) mit mindestens der zweiten Einheit (22) unterbunden wird, insbesondere dass der sichere Zustand der ersten Einheit (21) ein „fail silent“-Zustand der ersten Einheit (21) ist.
  10. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass der Fehler der ersten Einheit (21) durch eine Überwachung des Steuergeräts (2) durch Steuergerät-externe oder Steuergerätinterne Mittel festgestellt wird und dass die Deaktivierung der Mittel zur Takterzeugung (201) durch die Steuergerät-externen oder die Steuergerätinternen Mittel veranlasst bzw. ausgeführt wird, insbesondere dass die Deaktivierung durch eine weitere Einheit des Steuergeräts (2) veranlasst bzw. ausgeführt wird.
  11. Computerprogramm, welches dazu eingerichtet ist, ein Verfahren nach einem der Ansprüche 1 bis 10 durchzuführen.
  12. Maschinenlesbares Speichermedium mit einem darauf gespeicherten Computerprogramm nach Anspruch 11.
DE102016209455.6A 2016-05-31 2016-05-31 Verfahren zur Überführung einer Einheit eines Steuergeräts in einen sicheren Zustand Withdrawn DE102016209455A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102016209455.6A DE102016209455A1 (de) 2016-05-31 2016-05-31 Verfahren zur Überführung einer Einheit eines Steuergeräts in einen sicheren Zustand

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102016209455.6A DE102016209455A1 (de) 2016-05-31 2016-05-31 Verfahren zur Überführung einer Einheit eines Steuergeräts in einen sicheren Zustand

Publications (1)

Publication Number Publication Date
DE102016209455A1 true DE102016209455A1 (de) 2017-11-30

Family

ID=60269306

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016209455.6A Withdrawn DE102016209455A1 (de) 2016-05-31 2016-05-31 Verfahren zur Überführung einer Einheit eines Steuergeräts in einen sicheren Zustand

Country Status (1)

Country Link
DE (1) DE102016209455A1 (de)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10239846A1 (de) 2002-08-29 2004-03-18 Bayerische Motoren Werke Ag Fail-Silent-Steuergerät

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10239846A1 (de) 2002-08-29 2004-03-18 Bayerische Motoren Werke Ag Fail-Silent-Steuergerät

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ISO 26262

Similar Documents

Publication Publication Date Title
DE102015200124A1 (de) Verfahren zum Versorgen mindestens eines Verbrauchers
WO2018087260A1 (de) Leistungsverteiler und bordnetz mit zumindest einem leistungsverteiler
DE102016220197A1 (de) Verfahren zum Verarbeiten von Daten für ein automatisiertes Fahrzeug
DE102019112706A1 (de) Verfahren und Vorrichtung zur Energieversorgung eines elektrischen Verbrauchers eines Fahrzeugs
DE102013221577A1 (de) Elektronische Vorrichtung und Verfahren zum Betreiben einer elektronischen Vorrichtung
WO2016005187A1 (de) Steueranordnung für sicherheitsrelevante aktoren
DE102013221578A1 (de) Elektronische Vorrichtung und Verfahren zum Betreiben einer elektronischen Vorrichtung
DE112012005740T5 (de) Duplexsteuerungssystem und dessen Steuerungsverfahren
DE102012023350B4 (de) Systeme, Schaltungen und ein Verfahren zum Erzeugen einer konfigurierbaren Rückmeldung
DE102013221579A1 (de) Elektronische Vorrichtung und Verfahren zum Betreiben einer elektronischen Vorrichtung
EP1723523A1 (de) VERFAHREN UND INTEGRIERTER SCHALTKREIS ZUR ERH HUNG DER ST&O uml;RFESTIGKEIT
DE102013221580A1 (de) Kopplungsvorrichtung und Verfahren zum Betreiben einer Kopplungsvorrichtung
DE102016209455A1 (de) Verfahren zur Überführung einer Einheit eines Steuergeräts in einen sicheren Zustand
EP2709226A1 (de) Schaltungsanordnung, sowie Pegelwandler und Vergleicherschaltung für die Schaltungsanordnung
DE102017201621A1 (de) Integrierte Schaltung für ein Steuergerät eines Kraftfahrzeugs, Verfahren zur Herstellung einer integrierten Schaltung
DE102015203253A1 (de) Sicherheitsschaltungseinheit
DE102013015358B4 (de) Numerisches Steuerungssystem mit einer abtrennbaren Filterschaltung
DE102008049662B4 (de) Verfahren und Vorrichtung zum Prüfen einer asynchronen Übertragung von Steuersignalen
DE102015203250A1 (de) Sicherheitsvorrichtung und Verfahren zum Überführen eines Aktorsystems in einen sicheren Zustand, Aktorsystem und Verfahren zum Betreiben eines Aktorsystems
DE102016117169B4 (de) System zur Energie- und/oder Datenübertragung
DE102018203887B4 (de) Steuergerät für ein Mehrspannungsbordnetz eines Fahrzeugs und Mehrspannungsbordnetz
DE102015100843A1 (de) Kontaktzustand-Überwachungsvorrichtung zur Überwachung von Kontaktzuständen eines Konnektors
WO2016062580A1 (de) Steuergerät für ein mehrspannungsbordnetz
EP3281365B1 (de) Schnittstellenerweiterungseinrichtung für eine netzwerkeinrichtung und verfahren zum betrieb einer schnittstellenerweiterungseinrichtung
EP3197726B1 (de) Bordnetz

Legal Events

Date Code Title Description
R005 Application deemed withdrawn due to failure to request examination