-
Die Erfindung betrifft Verfahren zur Überführung einer Einheit eines Steuergeräts in einen sicheren Zustand, insbesondere einen sicheren Zustand bezüglich einer Kommunikation zu einer zweiten Einheit des Steuergeräts. Aufgrund von Sicherheitsnormen sind solche Zustände, z.B. ein Zustand „fail silent“ als Reaktion auf Fehler für Systeme mit Steuergeräten gefordert, z.B. für Steuergeräte in einem Fahrzeug.
-
Stand der Technik
-
Fahrzeug-Steuergeräte, z.B. für Fahrerassistenz-Funktionen oder eine Motorsteuerung können z.B. über mehrere Recheneinheiten oder Kommunikationseinheiten verfügen und SoC-Architekturen aufweisen. Mehrere Einheiten eines Steuergerätes kommunizieren zum Beispiel über Ethernet miteinander und verwenden für eine solche Interprozessor-Kommunikation serielle Hochgeschwindigkeits-Verbindungen wie SGMII (serial gigabit mediaindependent interface). Im Gegensatz zu parallelen Datenverbindungen sind bei solchen seriellen Datenverbindungen keine Steuerleitungen mehr vorgesehen.
-
Sicherheitsnormen wie die ISO 26262 (Road vehicles – Functional safety) bestimmen, dass elektronische Komponenten und Systeme z.B. von Fahrzeugen auch in Fehlerfällen bestimmte Vorgaben erfüllen müssen. Zum Beispiel kann vorgesehen sein, dass sich eine elektronische Komponente oder ein elektronisches System im Fehlerfall mindestens „fail silent“ verhalten muss, um eine Nicht-Beeinflussung von Nachbarkomponenten oder -systemen sicherzustellen. „Fail silent“ bedeutet zum Beispiel, dass Kommunikationsverbindungen einer solchen Komponente oder eines solchen Systems unterbrochen werden müssen, um eine Störung von oder eine Ausbreitung eines Fehlers auf andere Komponenten oder Systeme zu verhindern.
-
Eine solche Unterbrechung oder Trennung von Kommunikationsverbindungen kann bei parallelen Kommunikationssystemen über seine Steuerleitungen und/oder über Reset-Signale realisiert sein. Ersteres ist bei seriellen Hochgeschwindigkeits-Verbindungen nicht mehr möglich, da diese über keine Steuerleitungen verfügen. Eine Abtrennung von Kommunikationsverbindungen einer elektronischen Komponente oder eines elektronischen Systems über Reset-Signale geht zu Lasten der Verfügbarkeit der Komponente bzw. des Systems.
-
Der
DE 10239846 A1 ist ein Fail-Silent-Steuergerät zu entnehmen als Beispiel für Fail-Silent-Architekturen, welche für Computer und Steuergeräte eingesetzt werden, um in Netzwerken zur gesicherten Nachrichtenübertragung und Gewährleistung der Datenkonsistenz eine hohe Zuverlässigkeit auch im Falle eines Fehlerereignisses vorzusehen.
-
Offenbarung der Erfindung
-
Die Erfindung betrifft Verfahren zur Überführung einer Einheit eines Steuergeräts in einen sicheren Zustand, insbesondere in einen Zustand eingeschränkter Kommunikation, falls eine Fehlfunktion der Einheit, z.B. durch einer Überwachung, festgestellt wurde. Ausgegangen wird dabei von einem Verfahren, bei welchem der sichere Zustand erreicht wird, indem im Fehlerfall für eine Kommunikation über eine serielle Datenverbindung nötige Takterzeugungsmittel der Einheit deaktiviert werden. Das Verfahren kann für verschiedene Einheiten eines Steuergerätes vorteilhaft eingesetzt werden. Solche Einheiten können separate elektronische Schaltkreise des Steuergeräts sein, welche über Kommunikationsmittel verfügen. Z.B. können die Verfahren für separate Recheneinheiten oder SoCs eines Steuergerätes eingesetzt werden.
-
Durch die vorgeschlagenen Verfahren wird eine zuverlässige Unterbrechung von Kommunikationspfaden ermöglicht, auch wenn diese als parallele Hochgeschwindigkeits-Verbindungen ausgestaltet sind. Es kann somit auch für solche Kommunikationssysteme verhindert werden, dass ein fehlerhaftes elektronisches System oder ein fehlerhafte elektronische Komponente benachbarte Komponenten oder Systeme beeinflussen oder stören, zum Beispiel durch das Schicken ungültiger Signale oder anderweitige Beeinflussung der Kommunikation. Insbesondere wird durch das Verfahren ermöglicht, einen sicheren Zustand zwischen zwei Teilnehmern an einem seriellen Datenbus zu erreichen. Da dieser sichere Zustand der seriellen Datenkommunikation ohne eine Komplettabschaltung (z.B. über Reset-Signal) einer Teilkomponente oder des gesamten Steuergeräts ermöglicht wird, können nicht betroffene Hardware-Komponenten weiter betrieben werden, was die Verfügbarkeit des Geräts bzw. Systems erhöht.
-
Besonders bevorzugt wird eine Deaktivierung der Mittel zur Takterzeugung über eine Unterbrechung ihrer Spannungsversorgung. Als Mittel zur Takterzeugung kommen hierfür beispielsweise digitale Phasenregelschleifen in Frage, welche über eine solche Spannungsversorgung verfügen.
-
Besonders vorteilhaft ist der Einsatz der beschriebenen Verfahren für ein Steuergerät eines Fahrzeugs, z.B. zum Einsatz in der Motorsteuerung oder für Fahrerassistenzsysteme. In einer bevorzugten Ausgestaltung verfügt ein solches Steuergerät über zwei SoCs (SoC = System on Chip) sowie über einen Ethernet-Switch. Über den Ethernet-Switch kommunizieren die beiden SoCs, aber auch das Steuergerät nach extern, z.B. mit anderen Steuergeräten oder Einheiten des Fahrzeugs. Mit den beschriebenen Verfahren ist es hier möglich, eines der SoCs in einen „fail silent“-Zustand zu überführen, ohne den Ethernet-Switch oder das ganze Steuergerät zurückzusetzen oder zu deaktivieren. Damit wird für ein solches System bei Einhaltung von Sicherheitsvorgaben die Verfügbarkeit so weit wie möglich bewahrt.
-
Zeichnungen
-
Nachfolgend ist die Erfindung unter Bezugnahme auf die beiliegenden Zeichnungen und anhand von Ausführungsbeispielen näher beschrieben. Dabei zeigen
-
1 schematisch mehrere untereinander über parallele Datenverbindungen verbundene Einheiten eines Steuergeräts sowie
-
2 schematisch mehrere untereinander über serielle Datenverbindungen verbundene Einheiten eines Steuergeräts.
-
Beschreibung der Ausführungsbeispiele
-
In 1 sind die Einheiten 11, 12 und 13 als Ausschnitt aus einem Steuergerät 1 gezeigt, welche über parallele Kommunikationsverbindungen kommunizieren. Diese Einheiten können z.B. als Prozessoren, Mikrocontroller, SoCs etc. ausgestaltet sein. Die Einheiten 11, 12 bzw. 13 können jeweils an einem ihrer Eingänge über eine Datenverbindung 101, 102 bzw. 103 ein Reset-Signal empfangen. Einheiten 11 und 12 sind verbunden über eine parallele Datenverbindung 111, welche über mehrere Datenleitungen verfügt, sowie über eine Steuerleitung 112, welche trennbar ausgestaltet ist. Einheiten 12 und 13 sind verbunden über eine parallele Datenverbindung 113, welche über mehrere Datenleitungen verfügt, sowie über eine Steuerleitung 114, welche trennbar ausgestaltet ist.
-
Soll eine der Einheiten 11, 12 oder 13 in einen sicheren Zustand, insbesondere in einen sicheren Zustand bezüglich seiner Kommunikation wie einen Zustand „fail silent“ überführt werden, kann dies auf zwei Wege geschehen. Zum einen kann die jeweilige Einheit 11, 12 bzw. 13 durch ein Reset-Signal über die Kommunikationsverbindung 101, 102 bzw. 103 zurückgesetzt werden. Zum anderen kann die Kommunikation zwischen den Einheiten 11 und 12 bzw. 12 und 13 durch ein Trennen der Steuerleitungen 112 bzw. 114 unterbrochen werden.
-
In 2 sind die Einheiten 21, 22 und 23 als Ausschnitt aus einem Steuergerät 2 gezeigt, welche über serielle Kommunikationsverbindungen kommunizieren. Diese Einheiten können wiederum z.B. als Prozessoren, Mikrocontroller, SoCs etc. ausgestaltet sein. Die Einheiten 21, 22 bzw. 23 verfügen jeweils über Mittel zur Takterzeugung 201, 204 bzw. 207. Als solche Mittel zur Takterzeugung können beispielsweise digitale Phasenregelkreise (digital phase-locked loops, dpll) eingesetzt werden. Die Mittel zur Takterzeugung 201, 204 bzw. 207 sind über Leitungen 202, 205 bzw. 208 mit einer Spannungsversorgung 203, 206 bzw. 209 verbunden. Einheiten 21 und 22 sind verbunden über eine serielle Datenverbindung 211, welche insbesondere als serielles Datenverbindungspaar realisiert ist. Entsprechend sind Einheiten 22 und 23 verbunden über eine serielle Datenverbindung 213, welche insbesondere als serielles Datenverbindungspaar realisiert ist.
-
Die nun vorgeschlagenen Verfahren zur Überführung eines solchen Steuergeräts in einen sicheren Zustand nutzen aus, dass bei derartigen seriellen Datenverbindungen ohne Mittel zur Takterzeugung keine Kommunikation möglich ist. Daher kann nun die Kommunikation einer der Einheiten 21, 22 bzw. 23 unterbrochen werden und damit dieser Baustein in einen sicheren Zustand bezüglich seiner Kommunikation, insbesondere in einen Zustand „fail silent“ überführt werden, indem die Takterzeugungsmittel 201, 204 bzw. 207 deaktiviert werden. Gängige Kommunikationsbausteine haben für die genannte Mittel zur Takterzeugung eine separate elektrische Versorgung. In einer bevorzugten Ausgestaltung erfolgt die Deaktivierung der Takterzeugungsmittel 201, 204 bzw. 207 durch eine Abtrennung der Versorgungsspannung 203, 206 bzw. 209 der Takterzeugungsmittel durch Unterbrechung der Leitungen 202, 205 bzw. 208.
-
Die Deaktivierung von Takterzeugungsmitteln bzw. die Unterbrechung von deren Spannungsversorgung kann im Fall eines erkannten Fehlers der entsprechenden Einheit durch eine weitere Einheit bzw. eine Mastereinheit des Steuergeräts veranlasst bzw. gesteuert werden.
-
In einem bevorzugten Ausführungsbeispiel verfügt ein Steuergerät über zwei SoCs sowie einen Ethernet-Switch, über welchen sowohl die Interprozessor-Kommunikation zwischen den SoCs als auch die Kommunikation des Steuergeräts innerhalb des Fahrzeugs, insbesondere mit anderen Steuergeräten, stattfindet. In einem Fehlerfall für eines der beiden SoC werden nun die Takterzeugungsmittel dieses fehlerhaften SoC deaktiviert, insbesondere über eine Unterbrechung der Spannungsversorgung dieser Takterzeugungsmittel. Somit wird der fehlerhafte SoC in den Zustand „fail silent“ überführt und kann nicht mehr über den Ethernet-Switch mit dem anderen SoC kommunizieren. Der nicht-fehlerhafte zweite SoC bleibt allerdings verfügbar und das Steuergerät kann zumindest mit Teil-Funktionalität weiter eingesetzt werden.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
-
Zitierte Nicht-Patentliteratur
-