DE102019200812A1 - Verfahren zum Schützen einer Hauptfunktion eines Steuergeräts vor einer Behinderung ihres Betriebs durch einen Laufzeitfehler einer Nebenfunktion des Steuergeräts sowie Steuergerät, Kraftfahrzeug und Fahrzeugbatterie - Google Patents

Verfahren zum Schützen einer Hauptfunktion eines Steuergeräts vor einer Behinderung ihres Betriebs durch einen Laufzeitfehler einer Nebenfunktion des Steuergeräts sowie Steuergerät, Kraftfahrzeug und Fahrzeugbatterie Download PDF

Info

Publication number
DE102019200812A1
DE102019200812A1 DE102019200812.7A DE102019200812A DE102019200812A1 DE 102019200812 A1 DE102019200812 A1 DE 102019200812A1 DE 102019200812 A DE102019200812 A DE 102019200812A DE 102019200812 A1 DE102019200812 A1 DE 102019200812A1
Authority
DE
Germany
Prior art keywords
function
control device
main function
secondary function
main
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102019200812.7A
Other languages
English (en)
Inventor
Stefan Dünsbier
Stefan Hackner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Audi AG
Original Assignee
Audi AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Audi AG filed Critical Audi AG
Priority to DE102019200812.7A priority Critical patent/DE102019200812A1/de
Publication of DE102019200812A1 publication Critical patent/DE102019200812A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/0023Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train
    • B60L3/0084Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train relating to control modules
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/0023Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train
    • B60L3/0046Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train relating to electric energy storage systems, e.g. batteries or capacitors
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/0092Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption with use of redundant elements for safety purposes
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L58/00Methods or circuit arrangements for monitoring or controlling batteries or fuel cells, specially adapted for electric vehicles
    • B60L58/10Methods or circuit arrangements for monitoring or controlling batteries or fuel cells, specially adapted for electric vehicles for monitoring or controlling batteries
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/36Arrangements for testing, measuring or monitoring the electrical condition of accumulators or electric batteries, e.g. capacity or state of charge [SoC]
    • G01R31/3644Constructional arrangements
    • G01R31/3648Constructional arrangements comprising digital calculation means, e.g. for performing an algorithm
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/60Other road transportation technologies with climate change mitigation effect
    • Y02T10/70Energy storage systems for electromobility, e.g. batteries

Landscapes

  • Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Sustainable Development (AREA)
  • Sustainable Energy (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)

Abstract

Die Erfindung betrifft ein Steuergerät (12) für ein Kraftfahrzeug (10), mit einer Hauptfunktion (13) und einer Nebenfunktion (14) und mit einer Schutzeinrichtung (16), die dazu eingerichtet ist, die Hauptfunktion (13) davor zu schützen, im Betrieb des Steuergeräts (12) durch einen Laufzeitfehler der Nebenfunktion (14) behindert zu werden. Die Erfindung sieht vor, dass in dem Steuergerät (12) mehrere Prozessoren (P1, P2) bereitgestellt sind und die Hauptfunktion (13) und die Nebenfunktion (14) jeweils durch ein eigenes Softwareprogramm (15) bereitgestellt sind und die Schutzeinrichtung (16) dazu eingerichtet ist, das Softwareprogramm (15) der Hauptfunktion (13) einerseits und das Softwareprogramm (14) der Nebenfunktion (14) andererseits stets auf unterschiedlichen der Prozessoren (P1, P2) auszuführen.

Description

  • Die Erfindung betrifft ein Steuergerät für ein Kraftfahrzeug. Durch das Steuergerät sind zwei unterschiedliche Softwarefunktionen bereitgestellt, von denen die eine hier als Hauptfunktion und die andere als Nebenfunktion bezeichnet ist. Die Hauptfunktion wird gegen eine Auswirkung eines Laufzeitfehlers der Nebenfunktion geschützt. Zu der Erfindung gehören auch eine Fahrzeugbatterie und ein Kraftfahrzeug, die jeweils eine Ausführungsform des erfindungsgemäßen Steuergeräts aufweisen. Die Erfindung umfasst schließlich auch ein Verfahren zum Schützen einer Hauptfunktion eines Steuergeräts vor einer Störung ihrer Ausführung aufgrund eines Laufzeitfehlers einer Nebenfunktion des Steuergeräts.
  • In einem Steuergerät kann vorgesehen sein, eine Softwarefunktion, die hier als Hauptfunktion bezeichnet ist, gegen eine Behinderung oder Blockade ihrer Ausführung zu schützen, um hierdurch den so genannten ASIL (automotive safety integrity level) dieser Hauptfunktion über den Grad QM (niedrigster ASIL-Grad) zu halten. Ein Beispiel für so ein Steuergerät ist in einer Hochvoltbatterie (Hochvolt - elektrische Spannung größer als 60 V) dasjenige Steuergerät für das Batteriemanagement (BMC - Batterie-Management-Controller). Für den Betrieb der Hochvoltbatterie muss eine Hauptfunktion oder es müssen mehrere Hauptfunktionen zuverlässig oder behinderungsfrei ausgeführt werden können. Allgemein kann hier unter einer Hauptfunktion eine solche Softwarefunktion verstanden werden, die für den Betrieb der durch das Steuergerät gesteuerten Fahrzeugkomponente, also z.B. die Hochvoltbatterie, notwendig ist. In einem solchen Steuergerät kann aber auch zumindest eine Nebenfunktion vorgesehen sein, die für den Betrieb der von dem Steuergerät gesteuerten Fahrzeugkomponente entbehrlich ist, weil das Kraftfahrzeug auch bei Ausfall der Nebenfunktion weiterhin fahrtüchtig bleibt. Eine solche Nebenfunktion kann eine Anwender- oder Komfortfunktion sein, die den Funktionsumfang des Steuergeräts ergänzen kann, um beispielsweise eine Bedienbarkeit und/oder Überprüfbarkeit des Steuergeräts und/oder der von diesem gesteuerten Fahrzeugkomponente zu steigern. Eine Nebenfunktion wird in der Regel mit dem Grad QM im ASIL-Bewertungssystem bereitgestellt, d.h. eine Absicherung gegen das Vorhadensein und/oder die Auswirkung von Funktionsfehlern ist am geringsten. Dagegen ist für eine Hauptfunktion, die zum Sicherstellen des Betriebs der Fahrzeugkomponente bei eine Fahrt des Kraftfahrzeugs vorgesehen sein kann, in der Regel ein Grad größer als QM, also im Bereich ASIL A bis ASIL D, vorgesehen. Eine solche Hauptfunktion wird auch als funktionssicherheitsrelevante Funktion bezeichnet. Ein Beispiel für eine solche Hauptfunktion ist im Falle einer Hochvoltbatterie die Steuerung der Batteriekühlung, die beispielsweise den Grad ASIL C aufweisen können muss. Dagegen ist beispielsweise eine Nebenfunktion das Errechnen des internen Batteriewiderstands (zur Erkennung beispielsweise der Batteriealterung oder des Batterieverschleißes), was nur mit einer QM-Kritikalität zu implementieren sein kann.
  • Vereinigt man allerdings in einem gemeinsamen Steuergerät sowohl eine Hauptfunktion mit einem ASIL größer als der Grad QM als auch eine Nebenfunktion, die den Grad QM aufweist, so kann durch einen Laufzeitfehler der Nebenfunktion die Funktionstüchtigkeit des Steuergeräts insgesamt derart beeinträchtigt werden, dass dies auch die Ausführung der Hauptfunktion beeinträchtigt, diese also behindert oder im Ablauf stört, sodass aufgrund eines Mangelnden Schutzes eine Nebenfunktion auch den ASIL der Hauptfunktion reduziert. Dies macht es sehr aufwändig, in einem Steuergerät eine Hauptfunktion mit einem ASIL größer als dem Grad QM zusammen mit einer Nebenfunktion vom Grad QM zu implementieren, da sichergestellt sein muss, dass ein Laufzeitfehler der Nebenfunktion nicht auch die Funktionstüchtigkeit der Hauptfunktion beeinträchtigt.
  • Deshalb können Nebenfunktionen mit QM-Kritikalität im Gegensatz zu Hauptfunktionen mit einem ASIL größer als QM zwar relativ schnell umgesetzt und eingeführt werden (gerade wegen der QM-Kritikalität), lassen sich dann aber im Nachhinein, wenn einmal eine Hauptfunktion und eine Nebenfunktion gemeinsam in einem Steuergerät implementiert sind, nur mit erheblichem Aufwand wieder ändern oder aktualisieren, da immer die Software des Steuergeräts insgesamt entwickelt und kompiliert werden muss, um sie freigeben zu können, d.h. den Einfluss der Nebenfunktion auf die Hauptfunktion ausschließen zu können. Dies schließt in der Regel ein Update oder eine Aktualisierung einer Nebenfunktion in einem Steuergerät aus, das zusätzlich auch eine Hauptfunktion ausführen soll. Hierdurch wird aber die Möglichkeit eingeschränkt, einem Benutzer des Steuergeräts einen aktuellen Stand der Software von Nebenfunktionen bereitzustellen.
  • Nebenfunktionen, deren Implementierung in einem Steuergerät für eine Hochvoltbatterie sich als vorteilhaft erwiesen hat, sind beispielsweise aus der DE 10 2005 020 835 A1 , der DE 10 2016 210 341 A1 und der DE 10 2013 017 059 A1 bekannt. Aus dem genannten Stand der Technik ist auch bekannt, das ein Steuergerät einen oder mehrere Prozessoren aufweisen kann und in dem Steuergerät zum Betrieb von Softwareprogrammen ein so genanntes Betriebssystem bereitgestellt sein kann.
  • Der Erfindung liegt die Aufgabe zugrunde, in einem Steuergerät eine Hauptfunktion und eine Nebenfunktion zu implementieren und hierbei die Abhängigkeit einer Funktionstüchtigkeit der Hauptfunktion von einer Fehlerfreiheit der Nebenfunktion gering zu halten.
  • Die Aufgabe wird durch die Gegenstände der unabhängigen Patentansprüche gelöst. Vorteilhafte Ausführungsformen der Erfindung sind durch die abhängigen Patentansprüche, die folgende Beschreibung sowie die Figur beschrieben.
  • Durch die Erfindung ist ein Steuergerät für ein Kraftfahrzeug bereitgestellt. Das Steuergerät weist in der beschriebenen Weise eine Hauptfunktion und eine Nebenfunktion auf, wobei jeweils auch mehrere Hauptfunktionen und/oder mehrere Nebenfunktionen vorgesehen sein können, was noch erläutert werden wird. Das Steuergerät weist eine Schutzeinrichtung auf, die dazu eingerichtet ist, die Hauptfunktion davor zu schützen, im Betrieb des Steuergeräts durch einen Laufzeitfehler der Nebenfunktion behindert oder im Ablauf gestört zu werden, also z.B. verlangsamt zu werden. Der Unterschied zwischen Hauptfunktion und Nebenfunktion besteht also zum einen darin, dass die Hauptfunktion gegenüber der Nebenfunktion durch die Schutzeinrichtung geschützt ist. Als Hauptfunktion kann beispielsweise ein Schaltvorgang oder eine Regelung oder eine Steuerung für eine Fahrzeugkomponente des Kraftfahrzeugs vorgesehen sein. Als Nebenfunktion kann beispielsweise eine Diagnosefunktion und/oder Überwachungsfunktion und/oder Protokollierungsfunktion vorgesehen sein, wie sie für den eigentlichen Betrieb der vom Steuergerät gesteuerten Fahrzeugkomponente unnötig oder irrelevant sein kann. Die Hauptfunktion kann dagegen zum Steuern eines Betriebszustands der Fahrzeugkomponente vorgesehen sein. Mit anderen Worten kann die Hauptfunktion für einen Fahrbetrieb des Kraftfahrzeug relevant sein, sodass bei deren Ausfall eine Fahrtunterbrechung notwendig wird, die Nebenfunktion kann für den Fahrbetrieb irrelevant sein.
  • Um nun die Hauptfunktion gegen einen Laufzeitfehler der Nebenfunktion zu schützen, ist es erfindungsgemäß vorgesehen, in dem Steuergerät mehrere Prozessoren vorzusehen. Mit anderen Worten weist das Steuergerät mehrere Prozessoren auf. Ein Prozessor kann beispielsweise als Mikroprozessor oder als Mikrocontroller oder als System-on-Chip (SoC) ausgestaltet sein. Bevorzugt sind die Prozessoren jeweils als Mikroprozessor ausgestaltet. Mit anderen Worten handelt es sich bei jedem Prozessor also insbesondere nicht jeweils um einen einzelnen Kernel eines Mehr-Kernel-Prozessors. Die Hauptfunktion und die Nebenfunktion sind jeweils durch ein eigenes Softwareprogramm realisiert oder bereitgestellt. Mit anderen Worten sind also die Hauptfunktion und die Nebenfunktion unabhängig voneinander programmiert und der Programmcode der Hauptfunktion einerseits und der Programmcode der Nebenfunktion andererseits sind in unterschiedlichen Softwareprogrammen oder Binärdateien bereitgestellt. Die Hauptfunktion und die Nebenfunktion sind also im Betrieb in unterschiedlichen Adressräumen der Prozessoren betrieben oder eingeordnet. Die besagte Schutzeinrichtung zum Schutz der Hauptfunktion ist dazu eingerichtet, das Softwareprogramm der Hauptfunktion einerseits und das Softwareprogramm der Nebenfunktion andererseits stets auf unterschiedlichen Prozessoren auszuführen. Mit anderen Worten wird durch die Schutzeinrichtung sichergestellt, dass sich die Hauptfunktion und die Nebenfunktion keinen Prozessor teilen. Vielmehr wird als Schutzeinrichtung überprüft und/oder im Voraus durch eine Konfiguration sichergestellt oder gewährleistet, dass die Hauptfunktion auf einem anderen Prozessor gestartet und/oder betrieben wird als die Nebenfunktion.
  • Durch die Erfindung ergibt sich der Vorteil, dass selbst für den Fall, dass in der Nebenfunktion ein Laufzeitfehler dazu führen sollte, dass der Prozessor, auf welchem das Softwareprogramm der Nebenfunktion ausgeführt wird, am Ausführen weiterer Software gehindert wird, weil er beispielsweise in einer Endlosschleife gehalten wird, hierdurch das Ausführen des Softwareprogramms der Hauptfunktion unbeeinflusst bleibt, da dieses auf einem anderen Prozessor ausgeführt wird. Selbst ein schadhaftes Softwareprogramm der Nebenfunktion ist dadurch daran unfähig, eine Nebenwirkung oder eine Blockade des Prozessors, der die Hauptfunktion ausführt, zu bewirken.
  • Zu der Erfindung gehören auch Ausführungsformen, durch die sich zusätzliche Vorteile ergeben.
  • Das Aufteilen des Softwareprogramms der Hauptfunktion einerseits und des Softwareprogramms der Nebenfunktion andererseits auf zwei unterschiedliche oder mehrere unterschiedliche Prozessoren kann beispielsweise durch einen so genannten Scheduler eines gemeinsamen Betriebssystems erfolgen. In einer Ausführungsform ist dagegen vorgesehen, dass für jeden der Prozessoren ein eigenes Betriebssystem bereitgestellt ist, welches dazu eingerichtet ist, im Betrieb des Steuergeräts das jeweilige Softwareprogramm der Hauptfunktion und der Nebenfunktion ausschließlich auf dem jeweils vorgesehenen Prozessor auszuführen. Mit anderen Worten ist vorgesehen, dass in dem Steuergerät die Hauptfunktion und die Nebenfunktion von oder auf unterschiedlichen Betriebssystemen ausgeführt werden. Hierdurch ist zusätzlich sichergestellt, dass eine Auswirkung des besagten Laufzeitfehlers der Nebenfunktion auch nicht indirekt über ein gemeinsames Betriebssystem eine Auswirkung auf die Hauptfunktion haben kann.
  • In einer Ausführungsform sind die Prozessoren über eine Kommunikationseinrichtung gekoppelt, die dazu eingerichtet ist, zwischen den Prozessoren Nachrichten zu übertragen. Eine Nachricht kann jeweils beispielsweise aus einem oder mehreren Datenpaketen bestehen. Eine Nachricht kann beispielsweise mittels eines Shared-Memory oder mittels eines RPC (remote procedure call) oder mittels einer TCP/IP-Socket (TCP - Transport control protocol, IP - Internet Protocol) oder als Busnachricht übertragen werden. Durch die Kommunikationseinrichtung wird in vorteilhafter Weise ermöglicht, dass Daten oder Informationen zwischen der Hauptfunktion und der Nebenfunktion bidirektional oder unidirektional ausgetauscht werden können. Hierdurch kann die Nebenfunktion Daten der Hauptfunktion und/oder die Hauptfunktion Daten der Nebenfunktion (solange sie fehlerfrei läuft) nutzen.
  • In einer Ausführungsform ist die Kommunikationseinrichtung dazu eingerichtet, Nachrichten unabhängig von dem jeweiligen Softwareprogramm der Hauptfunktion und der Nebenfunktion eigenständig zu übertragen. Mit anderen Worten ist die Kommunikationseinrichtung als eigenständige Einrichtung, beispielsweise als eigenständiges Softwareprogramm, bereitgestellt. Die Nachrichten können beispielsweise dann durch ein Bussystem und/oder auf der Grundlage eines Busprotokolls übertragen werden, welches Bestandteil der Kommunikationseinrichtung sein kann. Es kann beispielsweise eine Kommunikation auf Grundlage des Busprotokolls CAN (Controller Area Network) oder LIN (Local Interconnected Network) oder FlexRay bereitgestellt sein. Eine unabhängige Kommunikationseinrichtung weist den Vorteil auf, dass eine Rückwirkung eines Laufzeitfehlers der Nebenfunktion auf die Hauptfunktion über die Kommunikationseinrichtung verhindert ist.
  • In einer Ausführungsform ist die Hauptfunktion eine Funktion mit einem ASIL größer als der Grad QM (also mit einer Absicherung gegen Laufzeitfehler mehr als der Grad QM) und die Nebenfunktion eine Funktion mit dem Grad QM. Hierdurch ergibt sich der beschriebene Erhalt des ASIL der Hauptfunktion gegenüber einer in der Implementierung mit geringerem Aufwand möglichen Nebenfunktion vom Grad QM. Bevorzugt ist eine Updateeinrichtung zum Veränderung oder Erneuern oder Neuinstallieren des Softwareprogramms der Nebenfunktion bei Erhalt des Softwareprogramms der Hauptfunktion vorgesehen, also z.B. ein Update OTA (over the air), d.h. über eine Funkverbindung, die beispielsweise auf einer Mobilfunkverbindung und/oder einer WLAN-Verbindung (WLAN - wireless local area network) beruhen kann. Somit kann nachträglich eine veränderte Nebenfunktion installiert werden.
  • In einer Ausführungsform ist das Steuergerät als ein Batteriemanagementsystem ausgestaltet und die Hauptfunktion umfasst das Steuern zumindest einer Komponente einer Fahrzeugbatterie. Eine solche Komponente kann beispielsweise das Kühlsystem und/oder zumindest ein Schaltschütz zum Schalten eines Stroms der Fahrzeugbatterie sein. Als Nebenfunktion kann beispielsweise eine Diagnosefunktion vorgesehen sein.
  • Bisher wurde beschrieben, dass in dem Steuergerät nur eine Hauptfunktion und eine Nebenfunktion vorgesehen sein können. Natürlich können in der besagten Weise auch mehrere Hauptfunktionen und/oder mehrere Nebenfunktionen der beschriebenen Art in dem Steuergerät vorgesehen sein. Entsprechend ist die Schutzeinrichtung dann dazu eingerichtet, jede Hauptfunktion davor zu schützen, durch einen Laufzeitfehler irgendeiner Nebenfunktion behindert oder im Ablauf gestört oder verlangsamt oder blockiert zu werden. Hierzu ist die Schutzeinrichtung dazu eingerichtet, jede Hauptfunktion einerseits und jede Nebenfunktion andererseits auf unterschiedlichen Prozessoren auszuführen. Mit anderen Worten teilt sich keine Hauptfunktion eine Prozessor mit einer Nebenfunktion. Es können aber mehrere Hauptfunktionen einen gemeinsamen Prozessor und/oder mehrere Nebenfunktionen einen gemeinsamen Prozessor nutzen. Die zumindest eine Hauptfunktion einerseits und die zumindest eine Nebenfunktion andererseits sind dann jeweils durch zumindest ein Softwareprogramm realisiert.
  • Als besonders vorteilhaft hat sich die Nutzung des erfindungsgemäßen Steuergeräts in einer Fahrzeugbatterie erwiesen. Eine solche Fahrzeugbatterie kann insbesondere eine Hochvoltbatterie sein. Diese Fahrzeugbatterie weist ein Batteriemanagementsystem auf, wobei das Batteriemanagementsystem auf der Grundlage einer Ausführungsform des erfindungsgemäßen Steuergeräts bereitgestellt ist. In diesem Batteriemanagementsystem ist dann die zumindest eine Hauptfunktion zum Betreiben der Fahrzeugbatterie gegen einen Laufzeitfehler irgendeiner Nebenfunktion des Steuergeräts geschützt.
  • Zu der Erfindung gehört auch ein Kraftfahrzeug, das zumindest ein Steuergerät gemäß der Erfindung aufweist. Das erfindungsgemäße Kraftfahrzeug ist bevorzugt als Kraftwagen, insbesondere als Personenkraftwagen oder Lastkraftwagen, oder als Personenbus oder Motorrad ausgestaltet.
  • Beim Betrieb des erfindungsgemäßen Steuergeräts ergibt sich ein Verfahren, das ebenfalls Bestandteil der Erfindung ist. Das erfindungsgemäße Verfahren dient zum Schutz einer Hauptfunktion eines Steuergeräts vor einer Behinderung ihrer Ausführung aufgrund eines Laufzeitfehlers einer Nebenfunktion des Steuergeräts. Es handelt sich hierbei um ein Steuergerät für ein Kraftfahrzeug. Die Hauptfunktion und die Nebenfunktion werden dabei in der beschriebenen Weise gemeinsam in dem Steuergerät betrieben. Zum Schutz der Hauptfunktion werden in dem Steuergerät mehrere Prozessoren bereitgestellt und die Hauptfunktion und die Nebenfunktion werden jeweils als ein eigenes Softwareprogramm oder als eigener Softwareprozess (Thread) betrieben und die Schutzeinrichtung führt hierbei das Softwareprogramm der Hauptfunktion einerseits und das Softwareprogramm der Nebenfunktion andererseits stets auf unterschiedlichen der Prozessoren aus. Somit kann ein Laufzeitfehler der Nebenfunktion nur denjenigen Prozessor oder diejenigen Prozessoren blockieren oder stören, auf denen die Nebenfunktion ausgeführt wird. Damit bleibt aber aufgrund der getrennten Anordnung auf den Prozessoren die Hauptfunktion ungestört oder unbeeinflusst.
  • Zu der Erfindung gehören auch Weiterbildungen des erfindungsgemäßen Verfahrens, die Merkmale aufweisen, wie sie bereits im Zusammenhang mit den Weiterbildungen des erfindungsgemäßen Kraftfahrzeugs beschrieben worden sind. Aus diesem Grund sind die entsprechenden Weiterbildungen des erfindungsgemäßen Verfahrens hier nicht noch einmal beschrieben.
  • Das erfindungsgemäße Kraftfahrzeug ist bevorzugt als Kraftwagen, insbesondere als Personenkraftwagen oder Lastkraftwagen, oder als Personenbus oder Motorrad ausgestaltet.
  • Die Erfindung umfasst auch die Kombinationen der Merkmale der beschriebenen Ausführungsformen.
  • Im Folgenden sind Ausführungsbeispiele der Erfindung beschrieben. Hierzu zeigt die einzige Figur:
    • Fig. eine schematische Darstellung einer Ausführungsform des erfindungsgemäßen Kraftfahrzeugs.
  • Bei den im Folgenden erläuterten Ausführungsbeispielen handelt es sich um bevorzugte Ausführungsformen der Erfindung. Bei den Ausführungsbeispielen stellen die beschriebenen Komponenten der Ausführungsformen jeweils einzelne, unabhängig voneinander zu betrachtende Merkmale der Erfindung dar, welche die Erfindung jeweils auch unabhängig voneinander weiterbilden. Daher soll die Offenbarung auch andere als die dargestellten Kombinationen der Merkmale der Ausführungsformen umfassen. Des Weiteren sind die beschriebenen Ausführungsformen auch durch weitere der bereits beschriebenen Merkmale der Erfindung ergänzbar.
  • In den Figuren bezeichnen gleiche Bezugszeichen jeweils funktionsgleiche Elemente.
  • Die Figur zeigt ein Kraftfahrzeug 10, bei dem es sich um einen Kraftwagen, insbesondere einen Personenkraftwagen oder Lastkraftwagen, handeln kann. In dem Kraftfahrzeug 10 kann eine Fahrzeugkomponente 11 bereitgestellt sein, bei welcher es sich beispielsweise um eine Fahrzeugbatterie 11', insbesondere eine Hochvoltbatterie, handeln kann. Zum Steuern der Fahrzeugkomponente 11 kann ein Steuergerät 12 bereitgestellt sein, das, wie in der Figur gezeigt, in die Fahrzeugkomponente 11 integriert sein kann oder das (nicht dargestellt) an die Fahrzeugkomponente 11 angeschlossen oder mit der Fahrzeugkomponente 11 über einen Datenbus, beispielsweise einen CAN-Bus, gekoppelt sein kann. Im Falle einer Hochvoltbatterie kann es sich bei dem Steuergerät 12 um ein Steuergerät für ein Batteriemanagement (BMC - battery management controller) handeln.
  • Durch das Steuergerät 12 können für die Fahrzeugkomponente 11 unterschiedliche Steuerfunktionen bereitgestellt werden, wobei zumindest eine Hauptfunktion 13 und zumindest eine Nebenfunktion 14 vorgesehen sein kann. Im Folgenden wird der Anschaulichkeit halber beispielhaft von nur einer Hauptfunktion 13 und nur einer Nebenfunktion 14 ausgegangen. Die Hauptfunktion 13 kann für einen Betrieb der Fahrzeugkomponente 11 und damit für den Betrieb des Kraftfahrzeugs 10 relevant sein. Aus diesem Grund kann für die Implementierung und den Betrieb der Hauptfunktion 13 vorgesehen sein, dass diese gemäß der ASIL-Einstufung beispielsweise nach ISO26262 einen ASIL größer als der geringste Grad QM aufweist.
  • Die hier beschriebene Einstufung der Kritikalität einer Steuerfunktion (Hauptfunktion und Nebenfunktion) des Steuergeräts kann wie folgt erfolgen, wobei hier der niedrigste Grad zuerst angegeben ist:
    • QM: SIL 0 (nicht funktionssicherheitsrelevant)
  • Höhere Einstufung Kritikalität einer Steuerfunktion der Fahrzeugkomponente: SIL 1 : ASIL A (niedrig relevant)
    • SIL 2 : ASIL B
    • SIL 2-3 : ASIL C (üblicherweise 2 Channelredundanzen)
    • SIL 3 : ASIL D (hochrelevant) (üblicherweise 3 Channelredundanzen)
  • Bei der Nebenfunktion 14 kann es sich beispielweise um eine Diagnosefunktion oder Überwachungsfunktion handeln. Diese ist für den eigentlichen Betrieb der Fahrzeugkomponente 11 dahingehend, dass ein Fahrbetrieb des Kraftfahrzeugs 10 mittels der Fahrzeugkomponente 11 durchgeführt werden kann, dagegen bevorzugt nicht relevant oder nicht entscheidend, d.h. bei einem Ausfall der Nebenfunktion ist die Fahrzeugkomponente 11 weiterhin für den Fahrbetrieb des Kraftfahrzeugs 10 verfügbar. Bei einem Ausfall der Hauptfunktion 13 kann dagegen die Steuerung der Fahrzeugkomponente 11 derart unzureichend sein, dass ein Fahrbetrieb des Kraftfahrzeugs 10 unterbrochen werden müsste. Da die Nebenfunktion 14 für den Betrieb der Fahrzeugkomponente 11 nicht relevant ist, kann diese mit einem ASIL vom niedrigsten Grad QM betrieben werden.
  • Jede Steuerfunktion, d.h. auch die Hauptfunktion 13 und die Nebenfunktion 14, kann jeweils als ein Softwareprogramm 15 realisiert sein. Um die Softwareprogramme 15 auszuführen oder zu betreiben, sieht das Steuergerät 12 zumindest zwei Prozessoren P1, P2 vor, bei denen es sich jeweils beispielsweise um einen Mikroprozessor oder einen Mikrocontroller oder ein SoC (system on chip) handeln kann. Kommt es bei der Nebenfunktion 14 zu einem Laufzeitfehler, so kann dies dazu führen, dass derjenige Prozessor P2, welcher das Softwareprogramm 15 der Nebenfunktion 14 ausführt, beispielsweise aufgrund einer Endlosschleife des Softwareprogramms 15 dauerhaft blockiert ist und/oder regelmäßig neu starten muss. Dies würde auch das Ausführen des Softwareprogramms 15 der Hauptfunktion 13 beeinträchtigen, wenn sich die Hauptfunktion 13 und die Nebenfunktion 14 einen gemeinsamen Prozessor teilen würden.
  • Dies ist bei dem Steuergerät 12 dagegen durch eine Schutzeinrichtung 16 vermieden. Die Schutzeinrichtung 16 sieht vor, dass zumindest zwei Prozessoren P1, P2 vorgesehen sind und die Hauptfunktion 13 und die Nebenfunktion 14 jeweils durch ein eigenes Softwareprogramm 15 bereitgestellt sind und die Schutzeinrichtung 16 dazu eingerichtet ist, das Softwareprogramm 15 der Hauptfunktion 13 einerseits und das Softwareprogramm 15 der Nebenfunktion 14 andererseits stets auf unterschiedlichen der Prozessoren P1, P2 zu betreiben oder auszuführen. Beispielsweise stellt somit der Prozessor P1 stellt somit einen Sicherheitsprozessor oder Safety Prozessor dar, der für Hauptfunktionen oder eine Hauptfunktion 13 reserviert ist, die eine zu sichernde Funktion oder Safety-Funktion oder fahrsicherheitsrelevante Funktion betreibt, d.h. mit einem ASIL größer als der Grad QM. Dagegen kann der Prozessor P2 ein QM-Prozessor sein, der durch QM-Anwendungen, d.h. Nebenfunktionen 14, genutzt werden kann. Diese können mit geringerem Entwicklungsaufwand entwickelt werden, was allerdings auch die Wahrscheinlichkeit für das Verbleiben oder die Existenz eines Softwarefehlers im Softwareprogramm 15 der Nebenfunktion 14 entsprechend erhöht. Kommt es zu einem Laufzeitfehler oder Ablauffehler in einem solchen Softwareprogramm 15 einer Nebenfunktion 14, so kann dies dennoch nicht die Hauptfunktion 13 oder die Hauptfunktionen 13 beeinträchtigen.
  • Zum Betreiben oder Ausführen der Softwareprogramme 15 kann jeweils für den Prozessor P1 und den Prozessor P2 ein eigenes Betriebssystem OS1 für den Prozessor P1 und ein Betriebssystem OS2 für den Prozessor P2 ausgeführt oder bereitgestellt sein.
  • Um Daten oder Nachrichten 17 zwischen einer Hauptfunktion 13 und einer Nebenfunktion 14 austauschen zu können, kann eine Kommunikationseinrichtung 18 vorgesehen sein, mittels welcher die Daten oder Nachrichten 17 zwischen den Prozessoren P1, P2 übertragen werden können. Die Kommunikationseinrichtung 18 kann für das Übertragen von Daten oder Nachrichten 17 beispielsweise ein Kommunikationsprotokoll für einen Datenbus, beispielsweise CAN, LIN, FlexRay, oder ein proprietäres Kommunikationsprotokoll vorsehen. Die Kommunikationseinrichtung 18 kann unabhängig von der Hauptfunktion 13 und der Nebenfunktion 14 betrieben werden. Beispielsweise kann hierzu ein eigener Mikrocontroller vorgesehen sein oder ein eigenes Softwareprogramm, das dann bevorzugt auf dem Prozessor P2 für die Nebenfunktion 14 ausgeführt wird und somit ebenfalls gemäß dem Grad QM entwickelt oder ausgestaltet sein kann.
  • Die Schutzeinrichtung 16 basiert somit auf einem Steuergerät 12 mit zwei Prozessen P1, P2, auf denen die verschiedenen SW-Applikationen (SW - Software) ausgeführt werden:
    • - Prozessor P1: Safety Prozessor für Safety Funktionen;
    • - Prozessor P2: QM Prozessor für QM-Anwendungen.
  • Damit sind unterschiedliche schnelle Entwicklungszyklen realisierbar für QM-Software einerseits und Funktionssicherheitssoftware (mit ASIL) andererseits.
  • QM-Anwenderfunktionen (wie die Nebenfunktion 14) können getrennt von Funktionssicherheitssoftware (wie die Hauptfunktion 13) ausgeführt werden. QM-Softwareapplikateure oder Anbieter können Sicherheitsfunktionen nicht manipulieren/fälschlicherweise ändern. Bei gleichen Sicherheitszielen kann zu einer Funktionssicherheitssoftware beliebige Anwendersoftware aufgespielt werden (z.B. Variantenhandling von unterschiedlichen Anbietern).
  • Der Safetykernel, d.h. das jeweilige Softwareprogramm für jede Hauptfunktion 13, selbst muss nur einmal entwickelt werden und kann bei Bedarf in unterschiedlichen Zyklen und von anderen Entwicklungsteams wie die Anwender-Software nachgezogen/geändert werden.
  • Insgesamt zeigen die Beispiele, wie durch die Erfindung eine Hauptfunktion und eine Nebenfunktion in einem Steuergerät auf zwei verschiedenen Prozessoren getrennt bereitgestellt werden kann.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102005020835 A1 [0005]
    • DE 102016210341 A1 [0005]
    • DE 102013017059 A1 [0005]

Claims (10)

  1. Steuergerät (12) für ein Kraftfahrzeug (10), mit einer Hauptfunktion (13) und einer Nebenfunktion (14) sowie mit einer Schutzeinrichtung (16), die dazu eingerichtet ist, die Hauptfunktion (13) davor zu schützen, im Betrieb des Steuergeräts (12) durch einen Laufzeitfehler der Nebenfunktion (14) behindert zu werden, dadurch gekennzeichnet, dass in dem Steuergerät (12) mehrere Prozessoren (P1, P2) vorgesehen sind und die Hauptfunktion (13) und die Nebenfunktion (14) jeweils durch ein eigenes Softwareprogramm (15) bereitgestellt sind und die Schutzeinrichtung (16) dazu eingerichtet ist, das Softwareprogramm (15) der Hauptfunktion (13) einerseits und das Softwareprogramm (14) der Nebenfunktion (14) andererseits stets auf unterschiedlichen der Prozessoren (P1, P2) auszuführen.
  2. Steuergerät (12) nach Anspruch 1, wobei für jeden der Prozessoren (P1, P2) ein eigenes Betriebssystem (OS1, OS2) bereitgestellt ist, welches dazu eingerichtet ist, im Betrieb des Steuergeräts (12) das jeweilige Softwareprogramm (15) der Hauptfunktion (13) und der Nebenfunktion (14) ausschließlich auf dem jeweils vorgesehenen Prozessor (P1, P2) auszuführen.
  3. Steuergerät (12) nach einem der vorhergehenden Ansprüche, wobei die Prozessoren (P1, P2) über eine Kommunikationseinrichtung (18) gekoppelt sind, die dazu eingerichtet ist, zwischen den Prozessoren (P1, P2) Nachrichten (17) zu übertragen.
  4. Steuergerät (12) nach Anspruch 3, wobei die Kommunikationseinrichtung (18) dazu eingerichtet ist, die Nachrichten (17) unabhängig von dem jeweiligen Softwareprogramm (15) der Hauptfunktion (13) und der Nebenfunktion (14) zu übertragen.
  5. Steuergerät (12) nach einem der vorhergehenden Ansprüche, wobei die Hauptfunktion (13) eine Funktion mit einem ASIL größer als der Grad QM und die Nebenfunktion (14) eine Funktion mit dem Grad QM ist.
  6. Steuergerät (12) nach einem der vorhergehenden Ansprüche, wobei das Steuergerät (12) als ein Batteriemanagementsystem ausgestaltet ist und die Hauptfunktion (14) das Steuern zumindest einer Komponente einer Fahrzeugbatterie (1 1') umfasst.
  7. Steuergerät (12) nach einem der vorhergehenden Ansprüche, wobei mehrere Hauptfunktionen (13) und/oder mehrere Nebenfunktionen (14) vorgesehen sind und die Schutzeinrichtung (16) dazu eingerichtet ist, jede Hauptfunktion (13) davor zu schützen, durch einen Laufzeitfehler irgendeiner Nebenfunktion (14) behindert zu werden, und hierzu jede Hauptfunktion (13) einerseits und jede Nebenfunktion (14) andererseits auf unterschiedlichen Prozessoren (P1, P2) auszuführen.
  8. Fahrzeugbatterie (11') mit einem Batteriemanagementsystem, dadurch gekennzeichnet, dass das Batteriemanagementsystem auf der Grundlage eines Steuergeräts (12) nach einem der vorhergehenden Ansprüche bereitgestellt ist.
  9. Kraftfahrzeug (10) mit zumindest einem Steuergerät (12) nach einem der Ansprüche 1 bis 7.
  10. Verfahren zum Schützen einer Hauptfunktion (13) eines Steuergeräts (12) eines Kraftfahrzeugs (10) vor einer Behinderung ihrer Ausführung aufgrund eines Laufzeitfehlers einer Nebenfunktion (14) des Steuergeräts (12), wobei die Hauptfunktion (13) und die Nebenfunktion (14) gemeinsam in dem Steuergerät (12) ausgeführt werden, dadurch gekennzeichnet, dass in dem Steuergerät (12) mehrere Prozessoren (P1, P2) bereitgestellt werden und die Hauptfunktion (13) und die Nebenfunktion (14) jeweils als ein eigenes Softwareprogramm (15) betrieben werden und eine Schutzeinrichtung (16) das Softwareprogramm (15) der Hauptfunktion (13) einerseits und das Softwareprogramm (15) der Nebenfunktion (14) andererseits stets auf unterschiedlichen der Prozessoren (P1, P2) ausführt.
DE102019200812.7A 2019-01-23 2019-01-23 Verfahren zum Schützen einer Hauptfunktion eines Steuergeräts vor einer Behinderung ihres Betriebs durch einen Laufzeitfehler einer Nebenfunktion des Steuergeräts sowie Steuergerät, Kraftfahrzeug und Fahrzeugbatterie Pending DE102019200812A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102019200812.7A DE102019200812A1 (de) 2019-01-23 2019-01-23 Verfahren zum Schützen einer Hauptfunktion eines Steuergeräts vor einer Behinderung ihres Betriebs durch einen Laufzeitfehler einer Nebenfunktion des Steuergeräts sowie Steuergerät, Kraftfahrzeug und Fahrzeugbatterie

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019200812.7A DE102019200812A1 (de) 2019-01-23 2019-01-23 Verfahren zum Schützen einer Hauptfunktion eines Steuergeräts vor einer Behinderung ihres Betriebs durch einen Laufzeitfehler einer Nebenfunktion des Steuergeräts sowie Steuergerät, Kraftfahrzeug und Fahrzeugbatterie

Publications (1)

Publication Number Publication Date
DE102019200812A1 true DE102019200812A1 (de) 2020-07-23

Family

ID=71403074

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019200812.7A Pending DE102019200812A1 (de) 2019-01-23 2019-01-23 Verfahren zum Schützen einer Hauptfunktion eines Steuergeräts vor einer Behinderung ihres Betriebs durch einen Laufzeitfehler einer Nebenfunktion des Steuergeräts sowie Steuergerät, Kraftfahrzeug und Fahrzeugbatterie

Country Status (1)

Country Link
DE (1) DE102019200812A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024074402A1 (de) 2022-10-05 2024-04-11 Audi Ag Verfahren zum aktualisieren eines steuergeräts eines fahrzeugs

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005020835A1 (de) 2004-05-13 2006-03-09 Robert Bosch Gmbh Batteriezustandserkennung
DE102007045398A1 (de) * 2007-09-21 2009-04-02 Continental Teves Ag & Co. Ohg Integriertes Mikroprozessorsystem für sicherheitskritische Regelungen
DE102013017059A1 (de) 2013-10-15 2014-07-24 Daimler Ag Degradierungsbestimmung bei elektrischen Akkumulatoren in Kraftfahrzeugen
DE102014201682A1 (de) * 2014-01-30 2015-07-30 Robert Bosch Gmbh Verfahren zur Koexistenz von Software mit verschiedenen Sicherheitsstufen in einem Multicore-Prozessorsystem
DE102016210341A1 (de) 2015-06-15 2016-12-15 GM Global Technology Operations LLC Systeme und verfahren zur einschätzung von batterie-systemparametern
DE102016223670A1 (de) * 2015-11-30 2017-06-01 Denso Corporation Elektronische Steuereinheit

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005020835A1 (de) 2004-05-13 2006-03-09 Robert Bosch Gmbh Batteriezustandserkennung
DE102007045398A1 (de) * 2007-09-21 2009-04-02 Continental Teves Ag & Co. Ohg Integriertes Mikroprozessorsystem für sicherheitskritische Regelungen
DE102013017059A1 (de) 2013-10-15 2014-07-24 Daimler Ag Degradierungsbestimmung bei elektrischen Akkumulatoren in Kraftfahrzeugen
DE102014201682A1 (de) * 2014-01-30 2015-07-30 Robert Bosch Gmbh Verfahren zur Koexistenz von Software mit verschiedenen Sicherheitsstufen in einem Multicore-Prozessorsystem
DE102016210341A1 (de) 2015-06-15 2016-12-15 GM Global Technology Operations LLC Systeme und verfahren zur einschätzung von batterie-systemparametern
DE102016223670A1 (de) * 2015-11-30 2017-06-01 Denso Corporation Elektronische Steuereinheit

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024074402A1 (de) 2022-10-05 2024-04-11 Audi Ag Verfahren zum aktualisieren eines steuergeräts eines fahrzeugs
DE102022125711A1 (de) 2022-10-05 2024-04-11 Audi Aktiengesellschaft Verfahren zum Aktualisieren eines Steuergeräts eines Fahrzeugs

Similar Documents

Publication Publication Date Title
EP2823430B1 (de) Elektronisches regelungssystem
DE102018209833A1 (de) Verfahren und Vorrichtung für die Steuerung eines sicherheitsrelevanten Vorganges, sowie Fahrzeug
EP2193408A1 (de) Integriertes mikroprozessorsystem für sicherheitskritische regelungen
DE102018214999A1 (de) Vorrichtung zur Absicherung von Diagnosebefehlen an ein Steuergerät und entsprechendes Kraftfahrzeug
EP2907072B1 (de) Verfahren zur steuerung eines getrennten ablaufs von verknüpften programmblöcken und steuergerät
EP2099667A1 (de) Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems
DE102017218643A1 (de) Funktionsmodul, Steuereinheit für ein Betriebsassistenzsystem und Arbeitsvorrichtung
DE102019214461A1 (de) Verfahren zum Fernsteuern eines Kraftfahrzeugs
DE102012207215A1 (de) Verfahren und Vorrichtung zur Überwachung von Funktionen eines Rechnersystems, vorzugsweise eines Motorsteuersystems eines Kraftfahrzeuges
DE102014206078A1 (de) Ersatz-Ressource für einen defekten Rechnerkanal eines Schienenfahrzeugs
DE102019200812A1 (de) Verfahren zum Schützen einer Hauptfunktion eines Steuergeräts vor einer Behinderung ihres Betriebs durch einen Laufzeitfehler einer Nebenfunktion des Steuergeräts sowie Steuergerät, Kraftfahrzeug und Fahrzeugbatterie
EP1962193A1 (de) Schaltungsvorrichtung und entsprechendes Verfahren zum Ansteuern einer Last
EP3983897B1 (de) Verfahren zum sicherstellen und aufrechterhalten der funktion eines sicherheitskritischen gesamtsystems
DE102013021231A1 (de) Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät
DE102008004206A1 (de) Anordnung und Verfahren zur Fehlererkennung und -behandlung in einem Steuergerät in einem Kraftfahrzeug
DE102019004612A1 (de) Verfahren zum Betreiben eines Fahrzeugs mit einem Steuergerät
DE102011087063A1 (de) Kontrollrechnersystem und Verfahren zur beschleunigten Initialisierung einzelner Module
DE102017220068A1 (de) Verfahren und Onboard-Steuereinheit zum Steuern und/oder Überwachen von Komponenten eines Schienenfahrzeugs
DE102007046706A1 (de) Steuervorrichtung für Fahrzeuge
DE102017212560A1 (de) Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion
DE102006045153A1 (de) System und Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk
WO2008128710A1 (de) Steuervorrichtung für fahrzeuge
DE102019132428A1 (de) Funktionsorientierte Elektronik-Architektur
DE102018209662A1 (de) Steuerungssystem, Steuerungsverfahren und Fahrzeug mit mindestens einem Steuerungssystem
DE102013213402A1 (de) Mikrocontroller mit mindestens zwei Kernen

Legal Events

Date Code Title Description
R163 Identified publications notified