DE102019201607A1 - Steuerungssystem für ein Kraftfahrzeug - Google Patents

Steuerungssystem für ein Kraftfahrzeug Download PDF

Info

Publication number
DE102019201607A1
DE102019201607A1 DE102019201607.3A DE102019201607A DE102019201607A1 DE 102019201607 A1 DE102019201607 A1 DE 102019201607A1 DE 102019201607 A DE102019201607 A DE 102019201607A DE 102019201607 A1 DE102019201607 A1 DE 102019201607A1
Authority
DE
Germany
Prior art keywords
system software
central control
functional
control device
control unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102019201607.3A
Other languages
English (en)
Inventor
Julian-Steffen Müller
Hendrik Decke
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Volkswagen AG
Original Assignee
Volkswagen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Volkswagen AG filed Critical Volkswagen AG
Priority to DE102019201607.3A priority Critical patent/DE102019201607A1/de
Publication of DE102019201607A1 publication Critical patent/DE102019201607A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0225Failure correction strategy
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2556/00Input parameters relating to data
    • B60W2556/45External transmission of data to or from the vehicle

Abstract

Die Erfindung betrifft ein Steuerungssystem (100) für ein Kraftfahrzeug (200) mit einer Mehrzahl von Funktionseinheiten (90) des Kraftfahrzeugs (200). Jede Funktionseinheit (90) weist dabei zumindest eine elektronisch steuerbare Fahrzeugkomponente (80) auf. Das Steuerungssystem (100) weist ferner ein mit den Funktionseinheiten (90) über einen Fahrzeugbus (60) verbundenes Zentralsteuergerät (50) auf, das dafür eingerichtet ist, durch Ausführen einer ersten Systemsoftware (21) den Betrieb der Mehrzahl von Funktionseinheiten (90) zu koordinieren. Das Zentralsteuergerät (50) ist ferner dafür eingerichtet zumindest eine fehlerhafte Funktionseinheit (91) zu ermitteln und, in Reaktion darauf, einen Neustart mit einer in Abhängigkeit der zumindest einen fehlerhaften Funktionseinheit (91) ermittelten zweiten Systemsoftware (22) durchzuführen. Durch Ausführen der zweiten Systemsoftware (22) wird dabei der Betrieb der verbleibenden Funktionseinheiten (92) koordiniert. Ein weiterer Aspekt der Erfindung betrifft ein Fahrzeug (200) mit einem solchen Steuerungssystem (100).

Description

  • Moderne Fahrzeuge weisen in der Regel eine Vielzahl von elektronischen Steuereinheiten, ECUs, auf, die für eine Vielzahl von verschiedenen Anwendungen eingesetzt werden. Während einige dieser Anwendungen lediglich der Unterhaltung des Fahrers dienen, beispielsweise durch die Wiedergabe von Multimediainhalten, sind andere für das fehlerfreie und sichere Funktionieren des Fahrzeugs essentiell. Die Konsequenzen eines Ausfalls einer elektronischen Steuereinheit variieren somit drastisch. Während der Ausfall eines Multimediasteuergeräts in der Regel lediglich ein Ärgernis darstellt, kann der Fahrbetrieb des Fahrzeugs bei einem Ausfall eines Motorsteuergeräts häufig nicht fortgesetzt werden. Der Ausfall einer zur Steuerung oder Regelung eines sicherheitsrelevanten Prozesses eingesetzten Steuereinheit, wie beispielsweise einer ABS-Steuereinheit oder einer Lenksystem-Steuereinheit, kann im Zweifel sogar zu einer Gesundheitsgefährdung der Passagiere des Fahrzeugs führen. Somit sind für den Fall einer Funktionsstörung einer Steuereinheit entsprechende Vorkehrungen zu treffen.
  • Im Bereich des autonomen Fahrens haben die oben genannten Problemstellungen eine noch größere Signifikanz. So müssen im hoch- bis vollautomatisierten Fahren, ebenso wie bei anderen sicherheitsrelevanten Prozessen, sicherheitskritische ECUs durch ein Notfallprotokoll abgesichert werden. Dieses Protokoll bewirkt, dass das Fahrzeug im Fehlerfall in einen sicheren Zustand überführt wird. Die Überführung in einen sicheren Zustand umfasst dabei in der Regel das Bereitstellen einer reduzierten Anzahl von Notfunktionalitäten.
  • Die EP 3 323 687 A1 beschreibt ein Notfallsystem zum Bereitstellen einer Notfallsteuerung eines autonom fahrenden Fahrzeugs im Fall eines Hardware oder Software-Defekts. Das Notfallsystem umfasst dabei in der Regel redundante Hardware- oder Softwarekomponenten, die beim Ausfall von Primärhardware oder -software zum Einsatz kommen. Nachteilig erfordert diese Lösung das Bereithalten redundanter Hardware und/oder Software und somit das Bereithalten zusätzlichen Bauraums und/oder Speicherplatzes. Diese Redundanz erhöht die Komplexität des Fahrzeugsystems und somit nachteilig auch die Kosten des Fahrzeugs.
  • Die DE 697 37 308 T2 beschreibt ein alternatives System zum fehlertoleranten Betrieb eines Kraftfahrzeugs mit einer Mehrzahl elektronischer Fahrzeugkomponenten, die jeweils von einem lokalen Controller gesteuert werden. Eine Master-Steuereinheit ist mit den lokalen Controllern verbunden und übernimmt im Fall eines Fehlers oder Ausfalls eines lokalen Controllers dessen Funktionen. Hierzu sind die lokalen Controller mit der Master-Steuereinheit verbunden und können die Daten der Fahrzeugkomponenten selektiv entweder zum jeweiligen lokalen Controller oder zur Master-Steuereinheit übermitteln. Ferner überwacht die Master-Steuereinheit die lokalen Controller, um einen Fehler oder Ausfall eines solchen zu erkennen. Nachteilig muss die Master-Steuereinheit über die Treibersoftware für alle lokalen Controller verfügen und hierfür zusätzlichen Speicher bereithalten, was wiederum die Kosten erhöht. Ebenso kann das Übernehmen der Funktionen der lokalen Controller durch die Master-Steuereinheit zu Fehlern führen und somit die Stabilität des Systems beeinträchtigen.
  • Der Erfindung liegt nun die Aufgabe zugrunde, ein wirtschaftlich vorteilhaftes Steuerungssystem für ein Kraftfahrzeug bereitzustellen, das bei Fehlfunktionen von Systemkomponenten stabil betreibbar ist und möglichst eine geringere Redundanz aufweist, als die bekannten Lösungen.
  • Die erfindungsgemäße Aufgabe wird gelöst durch ein Steuerungssystem mit den Merkmalen des Hauptanspruchs. Bevorzugte Weiterbildungen sind Gegenstand der Unteransprüche.
  • Ein erster Aspekt der Erfindung betrifft ein Steuerungssystem für ein Kraftfahrzeug, insbesondere ein elektronisches Steuerungssystem für ein Kraftfahrzeug. Das Steuerungssystem weist dabei eine Mehrzahl von Funktionseinheiten des Kraftfahrzeugs auf, wobei jede Funktionseinheit zumindest eine elektronisch steuerbare Fahrzeugkomponente aufweist. Diese Fahrzeugkomponenten können die verschiedensten Funktionalitäten im Fahrzeug realisieren, wie beispielsweise Motorsteuerung, Infotainment oder ABS. In einer bevorzugten Ausführungsform weist zumindest eine Fahrzeugkomponenten zumindest einen Sensor und/oder zumindest einen elektrischen oder elektromechanischen Aktuator auf. Ebenfalls bevorzugt weist zumindest eine Funktionseinheit eine zum Betrieb der Fahrzeugkomponente eingerichtete Steuereinheit auf. Ebenfalls bevorzugt weist zumindest eine Funktionseinheit eine zur Kommunikation über einen Fahrzeugbus eingerichtete Netzwerkschnittstelle auf. Die Funktionseinheiten umfassen somit verschiedene lokale Subsysteme des Steuerungssystems, wobei es sich insbesondere um intelligente Subsysteme mit eigener Steuereinheit oder um nicht intelligente Subsysteme ohne Steuereinheit handelt.
  • Das Fahrzeugsteuerungssystem weist ferner ein mit den Funktionseinheiten über einen Fahrzeugbus verbundenes Zentralsteuergerät auf. Das Zentralsteuergerät weist zumindest einen Prozessor und ebenfalls eine Netzwerkschnittstelle auf. Bevorzugt weist das zumindest eine Zentralsteuergerät einen Speicher oder zumindest einen Speicherzugriff auf. Das Zentralsteuergerät ist dafür eingerichtet, durch Ausführen einer ersten Systemsoftware den Betrieb der Mehrzahl von Funktionseinheiten zu koordinieren. Unter Systemsoftware wird dabei die Gesamtheit der zu einem bestimmten Zeitpunkt auf dem Zentralsteuergerät vorhandenen Software verstanden. Die Systemsoftware umfasst dabei bevorzugt ein Betriebssystem und ferner für den Betrieb der im Kraftfahrzeug vorhandenen Funktionseinheiten ausgebildete spezifische Softwareelemente. Die Softwareelemente sind bevorzugt zum Betrieb einer oder mehrerer Funktionseinheiten ausgebildet. Bevorzugt überwacht das Zentralsteuergerät den Betrieb aller in dem Steuerungssystem vorhandenen Funktionseinheiten. Das Überwachen erfolgt dabei unmittelbar durch Steuern oder Regeln der Funktionseinheit oder zumindest durch Kommunikation mit einer funktionsfähigen Steuereinheit der jeweiligen Funktionseinheit.
  • Im Steuerungssystem der vorliegenden Erfindung ist somit jede der Funktionseinheiten mehr oder weniger autark zum Bereitstellen der entsprechenden Funktionalität ausgebildet. Beispielsweise umfasst eine Klima-Funktionseinheit eine Klimaanlage und eine zum Betrieb der Klimaanlage ausgebildete Klimasteuereinheit. Der Betrieb der Klima-Funktionseinheit ist somit weitgehend autark von dem Zentralsteuergerät, welches lediglich kontinuierlich oder intermittierend den korrekten Betrieb der Klimasteuereinheit überwacht. In einem anderen Beispiel umfasst eine Wischer-Funktionseinheit eine Mehrzahl von Sensoren, beispielsweise Regensensoren, einen Aktuator, beispielsweise einen Scheibenwischermotor, und eine Netzwerkschnittstelle. Diese Funktionseinheit ist somit wenig autark von dem Zentralsteuergerät, welches über die Netzwerkschnittstelle die Messsignale der Regensensoren empfängt. In Abhängigkeit dieser Signale ermittelt das Zentralsteuergerät Steueranweisungen für den Aktuator und übermittelt diese über die Netzwerkschnittstelle an den Aktuator. Die erste Systemsoftware umfasst in diesem Beispiel zumindest Softwareelemente, deren Ausführung die Überwachung der Klimasteuereinheit bewirkt, und Softwareelemente, deren Ausführung die Ermittlung von Steueranweisungen für den Aktuator anhand der Signale der Sensoren bewirkt.
  • Gemäß der vorliegenden Erfindung ist das Zentralsteuergerät ferner dafür eingerichtet, zumindest eine fehlerhafte Funktionseinheit zu ermitteln. Mit anderen Worten ist das Zentralsteuergerät dafür eingerichtet, eine Fehlfunktion in zumindest einer Funktionseinheit zu ermitteln. Dies ist mithin ein mögliches Resultat des Überwachens des Betriebs der Funktionseinheiten. In den vorgenannten Beispielen könnte das Zentralsteuergerät mithin eine Fehlfunktion der Klimasteuereinheit eigenständig ermitteln oder von der Klimasteuereinheit über eine Fehlfunktion der Klimaanalage informiert werden. Ebenso kann das Zentralsteuergerät einer Fehlfunktion zumindest eines der Mehrzahl von Regensensoren, beispielsweise durch Plausibilisierung von deren Signalen, oder des Scheibenwischermotors ermitteln.
  • Das Zentralsteuergerät ist ferner dazu eingerichtet, einen Neustart mit einer zweiten Systemsoftware durchzuführen, die in Abhängigkeit der zumindest einen fehlerhaften Funktionseinheit ermittelt wird. Mit anderen Worten ist das erfindungsgemäße Zentralsteuergerät zunächst dafür eingerichtet, einen Neustart in Reaktion auf das Ermitteln einer fehlerhaften Funktionseinheit durchzuführen. Ferner ist das erfindungsgemäße Zentralsteuergerät dazu eingerichtet, nach dem Neustart eine zweite Systemsoftware auszuführen, die explizit von der ermittelten fehlerhaften Funktionseinheit abhängt. Mit anderen Worten wird das Zentralsteuergerät nach dem Neustart mit der zweiten Systemsoftware betrieben, die berücksichtigt, welche Funktionseinheit als fehlerhaft ermittelt wurde. Mithin ist das Zentralsteuergerät dazu ausgebildet, je nach Zahl und Art der fehlerfreien Funktionseinheiten mit verschiedener Systemsoftware betrieben zu werden. Mit anderen Worten hat das erfindungsgemäße Steuerungssystem Zugriff auf eine Mehrzahl von Systemsoftware, wobei jede Systemsoftware an ein bestimmtes Fehlerbild angepasst ist.
  • Erfindungsgemäß ist das Zentralsteuergerät ferner dazu eingerichtet, durch beziehungsweise beim Ausführen der zweiten Systemsoftware den Betrieb der verbleibenden Funktionseinheiten zu koordinieren. Die verbleibenden Funktionseinheiten weisen dabei zumindest die fehlerhafte Funktionseinheit nicht auf. Das erfindungsgemäße Steuerungssystem führt somit im Fall einer signifikanten Fehlfunktion einer Funktionseinheit vorteilhaft einen Austausch der gesamten Systemsoftware durch, wobei die zweite Systemsoftware die Fehlfunktion umgeht, indem die fehlerbehaftete Funktionseinheit bei deren Ausführung nicht mehr betrieben wird. Der Austausch der gesamten Systemsoftware hat dabei den Vorteil, dass eine erste in sich geschlossene und stabile Systemsoftware gegen eine zweite in sich geschlossene und stabile Systemsoftware ausgetauscht wird. Somit werden Inkompatibilitätsfehler, die beim Austausch oder Anpassen von nur einzelnen Segmenten einer Systemsoftware auftreten können, vorteilhaft vermieden. Ebenfalls bevorzugt kann die zweite Systemsoftware weitgehend unabhängig von der ersten Systemsoftware entwickelt werden. Beispielsweise kann die erste Systemsoftware in einem nach ASIL A zertifiziertem Verfahren entwickelt worden sein und kann die zweite Systemsoftware in einem nach ASIL D zertifiziertem Verfahren entwickelt worden sein. Die zweite Systemsoftware ist somit auch zum Realisieren von Notlaufeigenschaften zulässig.
  • In einer bevorzugten Ausführungsform führt das Zentralsteuergerät einen Neustart nur durch, sofern ermittelt wird, dass ein Überführen der fehlerhaften Funktionseinheit in einen funktionsfähigen Zustand im laufenden Betrieb des Zentralsteuergeräts nicht möglich beziehungsweise nicht zu erwarten ist. Mit anderen Worten führt das Zentralsteuergerät bevorzugt nur in Reaktion auf einen schweren (irreparablen) Fehler einen Neustart an sich selbst und somit des Steuerungssystems durch. Besonders bevorzugt versucht das Zentralsteuergerät zunächst die Funktionsfähigkeit der fehlerhaften Funktionseinheit wiederherzustellen, beispielsweise durch Neustart der Funktionseinheit, durch Neustart einer Steuereinheit der Funktionseinheit oder durch Neustart eines zum Steuern oder Regel in dem Zentralsteuergerät vorliegenden Softwareelement. Gelingt das Wiederherstellen der Funktionsfähigkeit nicht, führt das Zentralsteuergerät schließlich einen Neustart an sich durch.
  • In einer besonders bevorzugten Ausführungsform ist das Zentralsteuergerät dazu ausgebildet, durch beziehungsweise beim Ausführen der zweiten Systemsoftware die zumindest eine fehlerhafte Funktionseinheit nicht zu betreiben. Mit anderen Worten ist zumindest die fehlerhafte Funktionseinheit beim Betrieb des Zentralsteuergeräts mit der zweiten Systemsoftware inaktiv. Vorteilhaft kann sich die fehlerhafte Funktionseinheit somit nach dem Neustart des Zentralsteuergeräts nicht nachteilig auf den Betrieb des Steuerungssystems, insbesondere der verbleibenden Funktionseinheiten, auswirken. Besonders bevorzugt ist die fehlerbehaftete Funktionseinheit von der zweiten Systemsoftware nicht erfasst beziehungsweise wird von dieser nicht adressiert. Bevorzugt wird das Steuerungssystem mit der zweiten Systemsoftware betrieben, als wäre die fehlerhafte Funktionseinheit nicht existent.
  • In einer ebenfalls bevorzugten Ausführungsform ist das Zentralsteuergerät ferner dazu eingerichtet, durch beziehungsweise beim Ausführen der zweiten Systemsoftware neue Funktionseinheiten zu definieren. Bevorzugt wird beim Defekt einer ersten Steuereinheit einer ersten Funktionseinheit der ersten Systemsoftware eine verbleibende funktionsfähige Fahrzeugkomponente dieser ersten Funktionseinheit mit einer funktionsfähigen Steuereinheit einer zweiten Funktionseinheit der ersten Systemsoftware zu einer neuen Funktionseinheit der zweiten Systemsoftware zusammengefasst. Somit wird beim Ausführen der zweiten Systemsoftware vorteilhaft die intakte Fahrzeugkomponente durch eine intakte Steuereinheit weiterhin betrieben, ohne dass die defekte erste Steuereinheit deren Betrieb beeinträchtigt.
  • In einer ebenfalls bevorzugten Ausführungsform für das Neudefinieren von Funktionseinheiten beim Ausführen der zweiten Systemsoftware weist eine erste Funktionseinheit der ersten Systemsoftware mehrere Sensoren, zumindest einen Aktuator und eine Steuereinheit auf. Die Steuereinheit ist zum Betrieb des zumindest einen Aktuators in Abhängigkeit der Sensorsignale der mehreren Sensoren ausgebildet. Einer der Sensoren hat einen Defekt, der von dem Zentralsteuergerät ermittelt wird. Nach dem Neustart des Zentralsteuergeräts wird dieses mit einer zweiten Systemsoftware betrieben, welche die verbleibenden funktionsfähigen Sensoren, die Steuereinheit und den Aktuator zu einer neuen Funktionseinheit der zweiten Systemsoftware zusammenfasst. Somit betreibt die Steuereinheit den Aktuator nun in Abhängigkeit der Sensorsignale der verbliebenen funktionsfähigen Sensoren. Die Neudefinition der Funktionseinheiten umfasst gemäß dieser Ausführungsform somit die Definition der durch die Steuereinheit für die Steuerung des Aktors zu berücksichtigenden Sensoren. Alternativ bevorzugt ist statt der Steuereinheit das Zentralsteuergerät Teil dieser Funktionseinheit.
  • In einer ebenfalls besonders bevorzugten Ausführungsform des erfindungsgemäßen Steuerungssystems wird die zweite Systemsoftware von dem Zentralsteuergerät als Systemimage ermittelt. Ein Systemimage beschreibt dabei insbesondere ein bootfähiges System, mithin eine Gesamtheit aus einem bootfähigen Betriebssystem und allen zum Betrieb des Steuerungssystems, insbesondere zum Betrieb der funktionsfähigen Funktionseinheiten des Steuerungssystems, notwendigen Softwareelementen. Mit anderen Worten wird die zweite Systemsoftware unmittelbar beim Booten des Zentralsteuergeräts in einen Speicher des Steuerungssystems geladen, für den das Zentralsteuergerät Zugriffsrechte besitzt. Besonders bevorzugt ist die zweite Systemsoftware, ebenso wie die erste Systemsoftware sowie unabhängig von der ersten Systemsoftware, ein in sich geschlossenes Systemimage.
  • In einer ebenfalls bevorzugten Ausführungsform des erfindungsgemäßen Steuerungssystems ist das Zentralsteuergerät ferner dafür eingerichtet, Funktionsdaten und/oder Statusinformationen von den Funktionseinheiten zu empfangen. Funktionsdaten umfassen dabei alle Daten, die zum Steuern oder Regeln der Funktionseinheit, bevorzugt zum Steuern oder Regeln von Aktuatoren oder Sensoren der Funktionseinheit, verwendet werden können. Im vorgenannten Beispiel der Wischer-Funktionseinheit umfassen die vom Zentralsteuergerät empfangenen Funktionsdaten somit bevorzugt die Sensorsignale der Regensensoren. Im vorgenannten Beispiel der Klima-Funktionseinheit umfassen die empfangenen Funktionsdaten bevorzugt die Außentemperaturen und Innenraumtemperaturen des Fahrzeugs. Ferner bevorzugt werden Statusinformationen von den Funktionseinheiten empfangen, die eine Steuereinheit aufweisen. Im vorgenannten Beispiel der Klima-Funktionseinheit umfassen Statusinformationen beispielsweise Informationen zur Funktionsfähigkeit der Klimaanlage oder des Klima-Steuergeräts. Die Statusinformationen können dabei beispielsweise mittels jeweiliger Prüfalgorithmen der Steuereinheit ermittelt werden, beispielsweise anhand von Prüfsummen.
  • Das Zentralsteuergerät ist gemäß der vorgenannten Ausführungsform ferner dazu eingerichtet, die empfangenen Funktionsdaten und/oder Statusinformationen auszuwerten und, in Abhängigkeit dieser empfangenen Daten und/oder Informationen, Kommandosignale zum Koordinieren des Betriebs der Funktionseinheiten an die Funktionseinheiten zu übermitteln. Ebenso bevorzugt werden von zumindest einer zweiten Funktionseinheit empfangene Daten und Informationen zum Steuern oder Regeln einer ersten Funktionseinheit berücksichtigt. Beispielsweise kann eine zweite Funktionseinheit an das Zentralsteuergerät übermitteln, dass es nicht plausible Signale von einer ersten Funktionseinheit empfängt, so dass das Zentralsteuergerät daraus schließen kann, dass die erste Funktionseinheit fehlerbehaftet ist. Somit ist das Zentralsteuergerät bevorzugt dazu eingerichtet, anhand empfangener Funktionsdaten oder Statusinformationen einen Fehler einer Funktionseinheit zu erkennen.
  • In einer ferner bevorzugten Ausführungsform des erfindungsgemäßen Steuerungssystems ist das Zentralsteuergerät ferner dafür eingerichtet, zumindest eine Fehlermeldung von zumindest einer Funktionseinheit zu empfangen. Mit anderen Worten ist die Funktionseinheit selbst dazu ausgebildet, einen internen Fehlerzustand, das heißt einen Fehler der Fahrzeugkomponente und/oder der Steuereinheit, zu detektieren und in Reaktion darauf eine Fehlermeldung an das Zentralsteuergerät auszugeben. Bevorzugt ist das Zentralsteuergerät ferner dazu ausgebildet, in Reaktion auf das Empfangen einer solchen Fehlermeldung zumindest einen entsprechenden Fehlercode in einem Fehlerspeicher zu speichern. Alternativ oder zusätzlich ist das Zentralsteuergerät dazu ausgebildet, in Reaktion auf das Ermitteln eines Fehlerzustands einer Funktionseinheit anhand empfangener Funktionsdaten oder Statusinformationen einen Fehlercode in dem Fehlerspeicher zu speichern. Ferner bevorzugt ist das Zentralsteuergerät dazu ausgebildet, eine zu dem zumindest einen Fehlercode korrespondierende zweite Systemsoftware zu ermitteln. Ebenfalls bevorzugt wird eine zu der ermittelten Systemsoftware korrespondierende Speicheradresse in dem Fehlerspeicher abgelegt beziehungsweise ist der Fehlercode gleich der Speicheradresse der korrespondierenden zweiten Systemsoftware.
  • Das Ermitteln der zu dem zumindest einen Fehlercode korrespondierenden zweiten Systemsoftware erfolgt bevorzugt während des Neustartens des Zentralsteuergeräts. Besonders bevorzugt erfolgt beim Booten des Zentralsteuergeräts zunächst ein Zugriff auf den Fehlerspeicher und ein Auslesen des zumindest einen darin gespeicherten Fehlercodes. Anhand des Fehlercodes wird ferner bevorzugt durch das Zentralsteuergerät, insbesondere durch ein darin gespeichertes bootfähiges Softwareelement, ermittelt, auf welche Speicherposition eines internen Speichers oder eines Netzwerkspeichers zugegriffen werden soll, um die zweite Systemsoftware zu laden beziehungsweise zu booten. Alternativ enthält der Fehlerspeicher unmittelbar die Speicherposition der zweiten Systemsoftware, so dass diese während des Bootens geladen beziehungsweise gebootet wird. Beim Laden der zweiten Systemsoftware wird diese vor der Ausführung vollständig auf einen internen Speicher kopiert. Beim Booten, beispielsweise von einem Netzwerkspeicher, wird die im Netzwerkspeicher abgelegte zweite Systemsoftware unmittelbar ausgeführt. Ebenfalls bevorzugt erfolgt das Ermitteln der zu dem zumindest einen Fehlercode korrespondierenden zweiten Systemsoftware bereits beim Herunterfahren des Zentralsteuergeräts. Dabei wird die zweite Systemsoftware bevorzugt bereits geladen und in einem internen Speicher abgelegt, auf den beim Hochfahren des Zentralsteuergeräts zugegriffen wird. Alternativ wird eine Speicherposition der ermittelten zweiten Systemsoftware in einem Speicher abgelegt, auf den während des Bootens zugegriffen wird. Somit kann die zweite Systemsoftware beim Booten unmittelbar geladen werden.
  • In einer ebenfalls bevorzugten Ausführungsform des erfindungsgemäßen Steuerungssystems ist das Zentralsteuergerät ferner dafür eingerichtet, die zweite Systemsoftware aus einem internen Speicher des Steuerungssystems, insbesondere des Zentralsteuergeräts, zu laden. Besonders bevorzugt ist die zweite Systemsoftware bereits werkseitig auf einem internen Speicher des Zentralsteuergeräts abgelegt worden. Auf dem internen Speicher sind somit die erste Systemsoftware und zumindest eine zweite Systemsoftware gespeichert. In einer alternativ bevorzugten Ausführungsform ist das Zentralsteuergerät dafür eingerichtet, die zweite Systemsoftware aus einem Netzwerkspeicher abzurufen. Die Netzwerkadresse des Netzwerkspeichers wird bevorzugt als Ergebnis des Ermittelns der zweiten Systemsoftware an einem Speicherplatz abgelegt, auf den während des Bootvorgangs zugegriffen wird.
  • In einer besonders bevorzugten Ausführungsform des erfindungsgemäßen Steuerungssystem ist das Zentralsteuergerät ferner dafür eingerichtet, die zweite Systemsoftware in Abhängigkeit von kontextabhängigen Informationen zu aktualisieren oder zu ermitteln. Mit anderen Worten wird die zweite Systemsoftware in dieser Ausführungsform nicht nur in Abhängigkeit der fehlerhaften Funktionseinheit sondern auch in Abhängigkeit von kontextabhängigen Informationen ermittelt. Beispielsweise wird die zweite Systemsoftware in Abhängigkeit einer aktuellen Fahrsituation ermittelt. Beispielsweise werden im Fall, dass die fehlerhafte Funktionseinheit eine autonome Fahrfunktion des Kraftfahrzeugs betrifft, verschiedene zweite Systemsoftwares für eine Autobahnfahrt oder eine Landstraßenfahrt ermittelt. Beispielsweise können Softwareelemente der zweiten Systemsoftware, die eine Verkehrsschilderkennung betreffen, landesspezifische Unterschiede aufweisen. Bevorzugt wird die zweite Systemsoftware daher in Abhängigkeit der fehlerbehafteten Funktionseinheit und in Abhängigkeit eines Ländercodes als kontextabhängige Information ermittelt. Besagte Softwareelemente könne dabei beispielsweise die Gewichtungsfaktoren eines zur Verkehrsschilderkennung trainierten neuronalen Netzwerks betreffen. In diesem Fall können die kontextabhängigen Informationen zudem auch unabhängig von der fehlerbehafteten Funktionseinheit sein.
  • Gemäß einer alternativ bevorzugten Ausführungsform wird die zweite Systemsoftware in Abhängigkeit einer aktuellen Jahreszeit als kontextabhängige Information ermittelt. Dies ist beispielsweise vorteilhaft, wenn es sich bei der fehlerhaften Funktionseinheit um eine Klima-Funktionseinheit des Kraftfahrzeuges handelt. Alternativ bevorzugt wird zumindest eine in einem Speicher des Steuerungssystems, insbesondere des Zentralsteuergeräts, oder einem Netzwerkspeicher gespeicherte zweite Systemsoftware in Abhängigkeit von kontextabhängigen Informationen aktualisiert. Beispielsweise kann eine zweite Systemsoftware für den Fall eines Fehlers einer Klima-Funktionseinheit in zwei verschiedenen Varianten vorliegen, eine für den Sommer und eine für den Winter. In Abhängigkeit der Jahreszeit wird dann eine der beiden Varianten in dem internen Speicher oder dem Netzwerkspeicher abgelegt, wobei der Wechsel der Versionen beispielsweise bei einem Servicetermin oder beim halbjährlichen Wechsel der Bereifung erfolgt. Das Ermitteln der zweiten Systemsoftware kann somit unabhängig beziehungsweise entkoppelt von den kontextabhängigen Informationen durchgeführt werden.
  • Die Funktionalitäten des erfindungsgemäßen Systems können durch elektrische oder elektronische Bauteile oder Komponenten (Hardware), durch Firmware (ASIC) implementiert sein und/oder durch Ausführen eines geeigneten Programms (Software) verwirklicht werden.
  • Bevorzugt werden die Funktionalitäten des erfindungsgemäßen Systems durch eine Kombination von Hardware, Firmware und/oder Software verwirklicht beziehungsweise implementiert. Beispielsweise sind einzelne Komponenten des erfindungsgemäßen Systems zum Ausführen einzelner Funktionalitäten als separat integrierter Schaltkreis ausgebildet oder auf einem gemeinsamen integrierten Schaltkreis angeordnet.
  • Ferner bevorzugt sind zum Ausführen einzelner Systemfunktionalitäten eingerichtete Komponenten auf einem gedruckten (flexiblen) Schaltungsträger (PCB), einem Tape Carrier Package (TCP), oder einem anderen geeigneten Substrat angeordnet.
  • Die einzelnen Funktionalitäten des erfindungsgemäßen Steuerungssystems sind ferner bevorzugt als ein oder mehrere Prozesse ausgebildet, die auf einem oder mehreren Prozessoren in einem oder mehreren elektronischen Rechengeräten laufen und beim Ausführen von ein oder mehreren Computerprogrammen erzeugt werden.
  • Die elektronischen Rechengeräte sind dabei bevorzugt dazu ausgebildet, mit anderen Komponenten, beispielsweise ein oder mehreren Sensoren oder Aktuatoren, zusammenzuarbeiten, um die hierin beschriebenen Funktionalitäten zu verwirklichen.
  • Die Computerprogramme sind dabei bevorzugt in einem flüchtigen Speicher, beispielsweise einem RAM-Element, oder in einem nicht-flüchtigen Speichermedium, wie beispielsweise einer CD-ROM, einem Flash-Speicher oder dergleichen, abgelegt.
  • Dem Fachmann ist ferner ersichtlich, dass die Funktionalitäten von mehreren Computern (Datenverarbeitungsgeräten, Steuereinheiten, Steuergeräte) kombiniert oder in einem einzigen Gerät kombiniert sein können oder dass die Funktionalität von einem bestimmten Datenverarbeitungsgerät auf eine Vielzahl von Geräten verteilt vorliegen kann, um die Funktionalitäten des erfindungsgemäßen Steuerungssystems zu realisieren.
  • Ein weiterer Aspekt der vorliegenden Erfindung betrifft ferner ein Fahrzeug, insbesondere einen PKW mit Verbrennungs-, Hybrid-, oder Elektromotor, mit einem erfindungsgemäßen Steuerungssystem, wie vorstehend beschrieben. Das erfindungsgemäße Fahrzeug weist bevorzugt mehrere erfindungsgemäße Steuerungssysteme, jeweils mit eigenem Zentralsteuergerät, auf. In einer bevorzugten Ausführungsform sind die Zentralsteuergeräte mit über eine gemeinsame Netzwerkschnittstelle mit einem Netzwerkspeicher verbindbar. Ebenfalls bevorzugt weist das Fahrzeug einen Fahrzeugbus auf, an den alle Steuerungssysteme angeschlossen sind. Ebenfalls bevorzugt weist das Fahrzeug ein Fahrsystem zum Bereitstellen zumindest einer autonomen Fahrfunktionalität auf. Ein solches Fahrsystem bildet besonders bevorzugt eine Funktionseinheit eines erfindungsgemäßen Steuerungssystems.
  • Weitere bevorzugte Ausgestaltungen der Erfindung ergeben sich aus den übrigen, in den Unteransprüchen genannten Merkmalen. Die verschiedenen in dieser Anmeldung genannten Ausführungsformen der Erfindung sind, sofern im Einzelfall nicht anders ausgeführt, mit Vorteil miteinander kombinierbar.
  • Die Erfindung wird nachfolgend in Ausführungsbeispielen anhand der zugehörigen Zeichnungen erläutert. Es zeigen:
    • 1 eine schematische Darstellung einer redundant angelegten Steuereinheit gemäß dem Stand der Technik;
    • 2 eine schematische Darstellung eines Fahrzeugs mit einem Steuerungssystem gemäß einer Ausführungsform in einer ersten Konfiguration;
    • 3 eine schematische Darstellung eines Fahrzeugs mit einem Steuerungssystem gemäß einer Ausführungsform in einer zweiten Konfiguration;
    • 4 eine schematische Darstellung der Funktion des Zentralsteuergeräts eines erfindungsgemäßen Steuerungssystems gemäß einer ersten Ausführungsform und
    • 5 eine schematische Darstellung der Funktion des Zentralsteuergeräts eines erfindungsgemäßen Steuerungssystems gemäß einer zweiten Ausführungsform.
  • 1 zeigt eine schematische Darstellung einer redundant angelegten Steuereinheit 10 beziehungsweise 10' eines Kraftfahrzeugs gemäß dem Stand der Technik. Die Steuereinheit 10 weist dabei insbesondere einen Prozessor 11 und einen internen Speicher 12 auf. Im internen Speicher 12 ist eine erste Systemsoftware 20 abgelegt, die ein Betriebssystem und alle zum Betreiben der ersten Steuereinheit 10 notwendige Softwareelemente enthält. Die erste Systemsoftware 20 wird von einem Netzwerkserver 120, insbesondere einem Netzwerkserver eines Herstellers des Kraftfahrzeugs oder der Steuereinheit 10, bereitgestellt und eventuell in regelmäßigen Abständen in einem Schritt S200 aktualisiert. Beim Einschalten der Steuereinheit 10, sowohl erstmalig als auch bei einem Reboot, lädt der Prozessor 11 in einem Startvorgang S100 die erste Systemsoftware 20 aus dem internen Speicher 12 und führt diese aus.
  • Bei einem Defekt der Steuereinheit 10, beispielsweise eines integrierten Schaltkreises oder dergleichen, schaltet sich die Steuereinheit 10 ab. Gleichzeitig wird eine redundante Steuereinheit 10' gebootet, die identisch zu der Steuereinheit 10 ausgelegt ist. Die redundante Steuereinheit 10' weist einen Prozessor 11' und einen internen Speicher 12' auf. In dem internen Speicher 12' ist eine Kopie der ersten Systemsoftware 11' abgelegt. Diese ist ebenso von einem Netzwerkserver 120 bereitgestellt und gegebenenfalls aktualisiert worden. Der Prozessor 11` bootet die erste Systemsoftware 20' aus dem internen Speicher 12' und führt diese aus. Nachteilig an dieser Lösung aus dem Stand der Technik ist, dass die gesamte Steuereinheit 10, redundant vorhanden ist, was die Systemkomplexität und die Kosten des Fahrzeugs erhöht.
  • 2 zeigt eine schematische Darstellung eines Fahrzeugs 200 mit einem Steuerungssystem 100 gemäß einer Ausführungsform der Erfindung. Das Steuerungssystem 100 weist ein Zentralsteuergerät 50 mit zumindest einem Prozessor 51 und zumindest einem internen Speicher 52 auf. Ferner hat das Zentralsteuergerät 50 Lese- und Schreibzugriff auf einen internen Fehlerspeicher 40 und kommuniziert bidirektional mit einem Kommunikationsmodul 30. Das Kommunikationsmodul 30 ist dazu ausgebildet mit einem Netzwerkspeicher 110 zu kommunizieren, insbesondere Anfragen an diesen zu senden und Daten von diesem zu erhalten. Der Netzwerkspeicher kommuniziert mit einem Netzwerkserver 120. Das Zentralsteuergerät 50 ist über eine nicht dargestellte Netzwerkschnittstelle mit einem Fahrzeugbus 60 verbunden. Bevorzugt handelt es sich bei dem Fahrzeugbus 60 um einen CAN Bus. Ebenso bevorzugt ist der Fahrzeugbus 60 als einer der folgenden Fahrzeugbus-Typen implementiert: ABUS, VAN, J1850, K-BUS, P-BUS, I-BUS, USB, P1394, oder als einer der folgenden Standard-Computerdatenbus-Typen: PCI, USB, P1394, implementiert. Auf dem Zentralsteuergerät 50 läuft bevorzugt eine Systemsoftware für offene Plattformen, die in dem internen Speicher 52 gespeichert ist. Während der Laufzeit wird die Systemsoftware in einen nicht dargestellten flüchtigen Speicher geladen und auf dem Prozessor 51 ausgeführt. Das Zentralsteuergerät ist ferner mit einem Sensor 86 verbunden, der exklusiv mit dem Zentralsteuergerät 50 kommuniziert und keiner Funktionseinheit 90 zugeordnet ist.
  • Das Steuerungssystem 100 weist ferner eine Mehrzahl von Funktionseinheiten 90a-90d des Kraftfahrzeugs 200 auf. Dabei weisen die Funktionseinheiten 90a, 90b, 90c jeweils eine Steuereinheit 72a, 71b, 72c sowie eine Fahrzeugkomponente 82a, 81b, 82c auf und sind mithin als intelligente Funktionseinheiten mit eigener Steuereinheit ausgebildet. Die Funktionseinheit 90d weist hingegen lediglich eine Netzwerkschnittstelle 75d, zumindest einen Sensor 85d sowie zumindest eine Aktuator 86d auf und ist somit als nicht-intelligente Funktionseinheit ohne eigene Steuereinheit ausgebildet. Sowohl der zumindest eine Sensor 85d als auch der zumindest eine Aktuator 86d sind mit der Netzwerkschnittstelle 75d verbunden. Die Funktionseinheiten sind ebenfalls mit dem Fahrzeugbus 60 und über diesen mit dem Zentralsteuergerät verbunden.
  • Die Fahrzeugkomponenten 82a-c der intelligenten Funktionseinheiten 90a-c umfassen allgemein ein mechanisches Bauteil, beispielsweise der Bremsen, des Motors oder des Getriebes, das durch einen elektronisch gesteuerten Aktuator kontrolliert wird. Die Steuereinheiten 72a, 71b, 72c sind dazu ausgebildet, den jeweiligen Aktuator und somit das jeweilige mechanische Gerät der Fahrzeugkomponente 82a, 81b, 82c zu steuern. Die Steuereinheiten 72a, 71b, 72c sind als ein Mikroprozessor, digitaler Signalprozessor, zweckbestimmter ASIC (Application Specific Integrated Circuit) oder dergleichen implementiert. Ferner können die Funktionseinheiten 90a-c nicht dargestellte Sensoren zum überwachen der jeweiligen mechanischen Geräte beziehungsweise Aktuatoren aufweisen, um Funktionsdaten und Statusinformationen für die jeweilige Steuereinheit 72a, 71b, 72c zur Verfügung zu stellen. Dieser Aufbau der Kraftfahrzeugkomponenten 82a, 81b, 82c der intelligenten Funktionseinheiten 90a-c ist gebräuchlich und im Stand der Technik bekannt.
  • Die nicht-intelligente Funktionseinheit 90d weist ebenso ein nicht gezeigtes mechanisches Bauteil, beispielsweise der Bremsen, des Motors oder des Getriebes, auf, das durch den elektronisch gesteuerten Aktuator 86d kontrolliert wird. Dabei wird der Aktuator 86d durch Kontrollsignale gesteuert, die von dem Zentralsteuergerät 50 erzeugt und über den Datenbus 60 und die Netzwerkschnittstelle 75d an den Aktuator 86d übermittelt werden. Das Erzeugen der Kontrollsignale in dem Zentralsteuergerät erfolgt dabei in Abhängigkeit von Signalen des Sensors 85d, die über die Netzwerkschnittstelle 75d und den Datenbus 60 an das Zentralsteuergerät 50 übermittelt werden. Auch dieser Aufbau einer nicht-intelligenten Funktionseinheit 90d ist gebräuchlich und im Stand der Technik bekannt.
  • Konkret weist das Steuerungssystem 100 der 2 eine Klima-Funktionseinheit 90a mit einer Klima-Steuereinheit 72a und einer Klimaanlage 82, eine Infotainment-Funktionseinheit 90b mit einer Infotainment-Steuereinheit 71b und einer Audio-und Video-Wiedergabesystem 81b, und eine Motor-Funktionseinheit 90c mit einer Motor-Steuereinheit 72c und einer Einspritz- und Zündanlage 82c auf. Im Folgenden soll der Betrieb dieses Steuerungssystems 100 unter Rückgriff auf die 2 kurz beschrieben werden.
  • Zunächst arbeitet das Steuerungssystem 100 derart, dass das Zentralsteuergerät 50 den Betrieb der Funktionseinheiten 90a-d durch Ausführen einer ersten Systemsoftware koordiniert. Dabei ist das Zentralsteuergerät 50 während des normalen Betriebs des Steuerungssystems 100 der Master des Fahrzeugbusses 60. Alle anderen mit dem Bus 60 verbundenen elektronischen Komponenten, insbesondere die Funktionseinheiten 90a-d mit den untergeordneten Steuereinheiten 72a, 71, 72c, sind Slaves für das Zentralsteuergerät 50. Das Zentralsteuergerät 50 verwaltet den Datenfluss zwischen den Funktionseinheiten 90a-d und ermöglicht die gemeinsame Benutzung von Ressourcen und Informationen. Hierzu weist die erste Systemsoftware 21 Netzwerkverwaltungsfähigkeiten auf, die das Zentralsteuergerät 50 zum Verwalten des Datenflusses über den Fahrzeugbus 60 befähigt.
  • Das Zentralsteuergerät 50 initialisiert die Netzwerkkommunikation und die Funktionseinheiten 90a-d. Mit anderen Worten initiiert das Zentralsteuergerät den Betrieb der Funktionseinheiten 90a-d und überführt diese insbesondere von einem inaktiven Zustand in einen aktiven Zustand. Ferner kann die erste Systemsoftware 21 Softwareelemente zum Betrieb der Fahrzeugkomponenten 82a, 81b, 82c enthalten, die den Steuereinheiten 72a, 71b, 72c nach der Initialisierung übermittelt wird. Anschließend umfasst der Datenfluss zum Zentralsteuergerät 50 hinsichtlich der aktiven Funktionseinheiten 90a-90d vorrangig Statusinformationen von den jeweiligen Steuereinheiten 72a, 71b, 72c, welche ansonsten weitgehend autonom im Rahmen der ersten Systemsoftware 21 die Fahrzeugkomponenten 82a, 81b, 82c kontrollieren. Der Datenfluss von der Funktionseinheit 90d umfasst die Signale des Sensors 85d, der zumindest eine für den Betrieb der Funktionseinheit 90d wichtige physikalische Messgröße detektiert. Anhand dieser Sensorsignale ermittelt das Zentralsteuergerät 50 Kommandosignale für den Aktuator 86d und übermittelt diese via Fahrzeugbus 60 und Netzwerkschnittstelle 75d.
  • Schließlich wird im Betrieb des Steuerungssystems 100 durch das Zentralsteuergerät 50 ermittelt, dass ein Fehler der Infotainment-Funktionseinheit 90b vorliegt. Insbesondere ist die Infotainment-Steuereinheit 71b als auch das Audio-und Video-Wiedergabesystem 81b defekt. Es besteht die Gefahr, dass eine dieser defekten Komponenten 71b, 81b die Funktion anderer noch funktionsfähiger Funktionseinheiten 90a, 90c, 90d beeinträchtigt. Beispielsweise durch Ausgeben fehlerhafter Signale auf den Fahrzeugbus 60 oder dergleichen. In Reaktion auf das Ermitteln des Fehlers der Infotainment-Funktionseinheit 90b schreibt das Zentralsteuergerät 50 daher einen entsprechenden Fehlercode in den Fehlerspeicher 40, wobei der Fehlercode den Defekt der Infotainment-Funktionseinheit 90b beinhaltet. Ferner fragt das Zentralsteuergerät 50 einen weiteren Sensorwert des Sensors 86 ab, bei dem es sich im vorliegenden Beispiel um ein GPS-Modul handelt. Anhand der GPS Position ermittelt das Zentralsteuergerät 50 insbesondere einen Ländercode für das Kraftfahrzeug 200 und speichert diesen zu dem bereits abgelegten Fehlercode in den Fehlerspeicher 40. Schließlich fährt das Zentralsteuergerät 50 das Steuerungssystem 100 herunter und startet es neu.
  • Beim Neustart des Steuerungssystems 100, insbesondere des Zentralsteuergeräts 50, greift dieses zunächst auf eine vorbestimmte Root-Partition zu. Diese weist das Zentralsteuergerät 50 an, den internen Fehlerspeicher 40 auszulesen. Die in der Root-Partition abgelegten Programmanweisungen bewirken ferner, dass das Zentralsteuergerät 50 anhand des aus dem Fehlerspeicher 40 abgerufenen Fehlercodes und Ländercodes eine zweite Systemsoftware 22 ermittelt, insbesondere einen Identifikator einer zweiten Systemsoftware. In einem nächsten Schritt prüft das Zentralsteuergerät 50, ob eine zweite Systemsoftware mit diesem Identifikator auf dem internen Speicher 52 vorhanden ist. Ist dies der Fall, lädt das Zentralsteuergerät 50 die zweite Systemsoftware 22 aus dem Speicher 52 und führt sie aus. Ist eine zweite Systemsoftware mit diesem Identifikator nicht in dem Speicher 52 abgelegt, fragt das Zentralsteuergerät eine entsprechende zweite Systemsoftware über das Kommunikationsmodul 30 von einem Netzwerkspeicher 110 an. Dazu übermittelt das Zentralsteuergerät 50 den Identifikator über das Kommunikationsmodul 30 an den Netzwerkspeicher 110 und erhält im Gegenzug von diesem die zweite Systemsoftware 22. Sobald die zweite Systemsoftware geladen ist, führt das Zentralsteuergerät 50 diese aus. Beim beziehungsweise durch das Ausführen der zweiten Systemsoftware wird das erfindungsgemäße Steuerungssystem 100 in einer zweiten Konfiguration betrieben, in der die Infotainment-Funktionseinheit im Wesentlichen nicht mehr Teil des Steuerungssystems 100 ist. Eine entsprechende zweite Konfiguration des Steuerungssystems 100 ist in der 3 dargestellt. In dieser zweiten Konfiguration koordiniert das Zentralsteuergerät 50 weiter den Betrieb der verbleibenden fehlerfreien Funktionseinheiten 90a, 90c und 90d wie vorstehend beschrieben. Somit ist ein stabiler Weiterbetrieb des Fahrzeugs 200 mit der zweiten Systemsoftware 22 möglich.
  • Die 4 und 5 zeigen stark vereinfachte schematische Darstellungen der Funktion des Zentralsteuergeräts 50 eines erfindungsgemäßen Steuerungssystems 100 gemäß verschiedener Ausführungsformen der vorliegenden Erfindung.
  • Gemäß der in 4 dargestellten Ausführungsform liegen eine erste Systemsoftware 21 und eine zweite Systemsoftware 22 bereits in dem internen Speicher 52 des Zentralsteuergeräts 50 vor. Die Systemsoftwares 21, 22 werden dabei in regelmäßigen oder unregelmäßigen Abständen in einem Schritt S200 von einem Netzwerkspeicher 110 aktualisiert, wobei der Netzwerkspeicher 110 von einem Netzwerkserver 120 eines Fahrzeugherstellers betrieben wird. Die Aktualisierung S200 kann dabei standardmäßig oder in Abhängigkeit von kontextabhängigen Informationen, wie vorstehend beschrieben, erfolgen. Gemäß dieser Ausführungsform kann der Prozessor 51 des Zentralsteuergeräts 50 somit einen Startvorgang S100 durch einfachen Zugriff auf den Speicher 52 durchführen und dabei die erste Systemsoftware 21 booten und ausführen. Im Fall, dass eine fehlerbehaftete Funktionseinheit ermittelt wird, wie vorstehend mit Bezug zu der 2 beschrieben, kann der Prozessor einen Neustartvorgang S150 ebenfalls durch einfachen Zugriff auf den internen Speicher 52 durchführen und dabei die zweite Systemsoftware 22 booten und ausführen.
  • Gemäß der in 5 dargestellten Ausführungsform liegt nur eine erste Systemsoftware 21 in dem internen Speicher 52 des Zentralsteuergeräts 50 vor. Somit kann der Prozessor 51 des Zentralsteuergeräts 50 zwar einen Startvorgang S100 durch einfachen Zugriff auf den internen Speicher 52 durchführen und dabei die erste Systemsoftware 21 booten und ausführen, sofern jedoch eine fehlerbehaftete Funktionseinheit ermittelt wird, wie vorstehend mit Bezug zu der 2 beschrieben, muss das Zentralsteuergerät 50 in einem Neustartvorgang S150 eine zweite Systemsoftware 22 von einem Netzwerkspeicher 110 booten. Dies hat den Vorteil, dass im Zentralsteuergerät 50 Speicherplatz und somit Bauraum und Kosten eingespart werden.
  • Bezugszeichenliste
    • 10
    (redundante) Steuereinheit (Stand der Technik)
    11
    (redundanter) Prozessor (Stand der Technik)
    12
    (redundanter) Speicher (Stand der Technik)
    20
    (redundante) Systemsoftware
    21
    erste Systemsoftware
    22
    zweite Systemsoftware
    30
    Kommunikationsmodul
    40
    Fehlerspeicher
    50
    Zentralsteuergerät
    51
    Prozessor
    52
    interner Speicher
    60
    Fahrzeugbus
    70
    Steuereinheit
    71
    fehlerhafte Steuereinheit
    72
    fehlerfreie Steuereinheit
    75
    Netzwerkschnittstelle
    80
    Fahrzeugkomponente
    81
    fehlerhafte Fahrzeugkomponente
    82
    fehlerfreie Fahrzeugkomponente
    85
    Sensor
    86
    Aktuator
    90
    Funktionseinheit
    91
    fehlerhafte Funktionseinheit
    92
    fehlerfreie Funktionseinheit
    100
    Steuerungssystem
    110
    Netzwerkspeicher
    120
    Netzwerkserver
    200
    Fahrzeug
    S100
    Startvorgang
    S150
    Neustartvorgang
    S200
    Aktualisierung
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • EP 3323687 A1 [0003]
    • DE 69737308 T2 [0004]

Claims (10)

  1. Steuerungssystem (100) für ein Kraftfahrzeug (200), aufweisend: eine Mehrzahl von Funktionseinheiten (90) des Kraftfahrzeugs (200), jeweils mit zumindest einer elektronisch steuerbaren Fahrzeugkomponente (80); und ein mit den Funktionseinheiten (90) über einen Fahrzeugbus (60) verbundenes Zentralsteuergerät (50), das dafür eingerichtet ist durch Ausführen einer ersten Systemsoftware (21) den Betrieb der Mehrzahl von Funktionseinheiten (90) zu koordinieren, wobei das Zentralsteuergerät (50) ferner dafür eingerichtet ist: zumindest eine fehlerhafte Funktionseinheit (91) zu ermitteln, einen Neustart mit einer in Abhängigkeit der zumindest einen fehlerhaften Funktionseinheit (91) ermittelten zweiten Systemsoftware (22) durchzuführen, und durch Ausführen der zweiten Systemsoftware (22) den Betrieb der verbleibenden Funktionseinheiten (92) zu koordinieren.
  2. Steuerungssystem (100) nach Anspruch 1, wobei zumindest eine Fahrzeugkomponente (80) einen Sensor (85) und/oder einen Aktuator (86) aufweist.
  3. Steuerungssystem (100) nach Anspruch 1 oder 2, wobei zumindest eine Funktionseinheit (80) eine zum Betrieb der zumindest einen Fahrzeugkomponente (80) eingerichtete Steuereinheit (70) und/oder eine Netzwerkschnittstelle (75) aufweist.
  4. Steuerungssystem (100) nach einem der vorangehenden Ansprüche, wobei das Zentralsteuergerät (50) ferner dafür eingerichtet ist, durch Ausführen der zweiten Systemsoftware (22) die zumindest eine fehlerhafte Funktionseinheit (91) nicht zu betreiben und/oder durch Ausführen der zweiten Systemsoftware (22) neue Funktionseinheiten (90) zu definieren.
  5. Steuerungssystem (100) nach einem der vorangehenden Ansprüche, wobei die zweite Systemsoftware (22) als Systemimage ermittelt wird.
  6. Steuerungssystem (100) nach einem der vorangehenden Ansprüche, wobei das Zentralsteuergerät (50) ferner dafür eingerichtet ist: Funktionsdaten und/oder Statusinformationen von den Funktionseinheiten (90) zu empfangen, die empfangenen Funktionsdaten und/oder Statusinformationen auszuwerten, und Kommandosignale zum Koordinieren des Betriebs der Funktionseinheiten (90) an die Funktionseinheiten (90) zu übermitteln.
  7. Steuerungssystem (100) nach einem der vorangehenden Ansprüche, wobei das Zentralsteuergerät (50) ferner dafür eingerichtet ist: zumindest eine Fehlermeldung von zumindest einer Funktionseinheit (90) zu empfangen, zumindest einen entsprechenden Fehlercode in einem Fehlerspeicher (40) zu speichern, und eine zu dem zumindest einen Fehlercodes korrespondierende zweite Systemsoftware (22) zu ermitteln.
  8. Steuerungssystem (100) nach einem der vorangehenden Ansprüche, wobei das Zentralsteuergerät (50) ferner dafür eingerichtet ist: die zweite Systemsoftware (22) aus einem internen Speicher (52) des Steuerungssystems (100) zu laden, oder die zweite Systemsoftware (22) aus einem Netzwerkspeicher (110) abzurufen.
  9. Steuerungssystem (100) nach einem der vorangehenden Ansprüche, wobei das Zentralsteuergerät (50) ferner dafür eingerichtet ist, die zweite Systemsoftware (22) in Abhängigkeit von kontextabhängigen Informationen zu aktualisieren oder zu ermitteln.
  10. Fahrzeug (200) mit einem Steuerungssystem (100) nach einem der Ansprüche 1 bis 9.
DE102019201607.3A 2019-02-07 2019-02-07 Steuerungssystem für ein Kraftfahrzeug Pending DE102019201607A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102019201607.3A DE102019201607A1 (de) 2019-02-07 2019-02-07 Steuerungssystem für ein Kraftfahrzeug

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019201607.3A DE102019201607A1 (de) 2019-02-07 2019-02-07 Steuerungssystem für ein Kraftfahrzeug

Publications (1)

Publication Number Publication Date
DE102019201607A1 true DE102019201607A1 (de) 2020-08-13

Family

ID=71739203

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019201607.3A Pending DE102019201607A1 (de) 2019-02-07 2019-02-07 Steuerungssystem für ein Kraftfahrzeug

Country Status (1)

Country Link
DE (1) DE102019201607A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022175197A1 (de) * 2021-02-19 2022-08-25 Volkswagen Aktiengesellschaft Verfahren eines fahrzeugs zur kontextabhängigen fehlerverarbeitung mittels heterogener verifikation und fahrzeug
DE102021203031A1 (de) 2021-03-26 2022-10-13 Mahle International Gmbh Betriebsverfahren für ein Thermomanagement-Modul
US11801772B2 (en) 2021-03-26 2023-10-31 Mahle International Gmbh Thermal management module and operating method

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69737308T2 (de) * 1996-12-16 2007-09-13 Microsoft Corp., Redmond Fehlertolerantes kraftfahrzeugsteuerungssystem
DE60219705T2 (de) * 2001-01-25 2008-01-17 Denso Corp., Kariya Ausfallsicheres Überwachunggssystem sowie passende Methode in eine integriete Fahrzeugsteuerung
DE102015003194A1 (de) * 2015-03-12 2016-09-15 Infineon Technologies Ag Verfahren und Vorrichtung zum Handhaben von sicherheitskritischen Fehlern
EP3323687A1 (de) * 2016-11-16 2018-05-23 Baidu USA LLC Notfallhandhabungssystem für ein autonom fahrendes fahrzeug

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69737308T2 (de) * 1996-12-16 2007-09-13 Microsoft Corp., Redmond Fehlertolerantes kraftfahrzeugsteuerungssystem
DE60219705T2 (de) * 2001-01-25 2008-01-17 Denso Corp., Kariya Ausfallsicheres Überwachunggssystem sowie passende Methode in eine integriete Fahrzeugsteuerung
DE102015003194A1 (de) * 2015-03-12 2016-09-15 Infineon Technologies Ag Verfahren und Vorrichtung zum Handhaben von sicherheitskritischen Fehlern
EP3323687A1 (de) * 2016-11-16 2018-05-23 Baidu USA LLC Notfallhandhabungssystem für ein autonom fahrendes fahrzeug

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022175197A1 (de) * 2021-02-19 2022-08-25 Volkswagen Aktiengesellschaft Verfahren eines fahrzeugs zur kontextabhängigen fehlerverarbeitung mittels heterogener verifikation und fahrzeug
DE102021203031A1 (de) 2021-03-26 2022-10-13 Mahle International Gmbh Betriebsverfahren für ein Thermomanagement-Modul
US11708010B2 (en) 2021-03-26 2023-07-25 Mahle International Gmbh Operating method for a thermo-management module
US11801772B2 (en) 2021-03-26 2023-10-31 Mahle International Gmbh Thermal management module and operating method

Similar Documents

Publication Publication Date Title
DE69737308T2 (de) Fehlertolerantes kraftfahrzeugsteuerungssystem
DE10326287B4 (de) Fahrzeug-Kommunikationssystem, Initialisierungseinheit sowie im Fahrzeug eingebaute Steuereinheit
DE102017106087A1 (de) Fehlertoleranz-muster und schaltprotokoll für mehrere hot- und cold-standby-redundanzen
DE102019118011A1 (de) Reserve für kritische verbraucher von autonomen fahrzeugen
WO2013153151A1 (de) Vorrichtung, verfahren und computerprogramm zum betreiben eines datenbussystems eines kraftfahrzeugs
DE102006051974A1 (de) Fahrzeugregelungssystem mit einem Computer mit einem wieder beschreibbaren und nicht-flüchtigen Speicher
DE112018002176T5 (de) Anormalitätsbestimmungsvorrichtung, Anormalitätsbestimmungsverfahren und Anormalitätsbestimmungsprogramm
DE102019201607A1 (de) Steuerungssystem für ein Kraftfahrzeug
DE102013205285A1 (de) Systeme und Verfahren für die ECU-Aufgaben-Rekonfiguration
DE102018002156A1 (de) Ein verbessertes Steuerungssystem und ein verbessertes Steuerungsverfahren für das autonome Steuern eines Kraftfahrzeugs
DE102017123252A1 (de) Softwareaktualisierungsverfahren und -vorrichtung für Fahrzeug
EP1700211B1 (de) Laden von software-modulen
WO2007025816A2 (de) Speicheranordnung und betriebsverfahren dafür
DE102019116375A1 (de) Einrichtung und Verfahren zum Ausführen zumindest einer Fahrzeugfunktion für ein Fahrzeug
DE10307344B4 (de) Vorrichtung und Verfahren zur dezentralen On-Board-Diagnose für Kraftfahrzeuge
DE102019219464B3 (de) Verfahren zum Betrieb eines selbstfahrenden Fahrzeugs sowie Steuerungssystem zum Durchführen eines solchen Verfahrens
DE102017119418A1 (de) Betriebssicheres systemkonstruktionsmuster basierend auf softwarecode-migration
DE102021208459A1 (de) Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
EP4051548A1 (de) Schaltvorrichtung für ein bremssystem für ein fahrzeug, bremssystem mit einer schaltvorrichtung und verfahren zum betreiben einer schaltvorrichtung
DE102016105876A1 (de) Elektronisches Steuergerät für ein Fahrzeug mit separater Datenverbindung, Assistenzsystem, Fahrzeug sowie Verfahren
DE112015001252T5 (de) Elektronische Steuereinheit
DE102018209662A1 (de) Steuerungssystem, Steuerungsverfahren und Fahrzeug mit mindestens einem Steuerungssystem
DE102017219388B4 (de) Elektronische steuereinheit
DE102017212918A1 (de) Verfahren zum Betreiben eines Steuergerätes und Vorrichtung mit zugehörigem Steuergerät
DE102019134872B4 (de) Verbesserung der Betriebsparameter eines Rechensystems im Fahrzeug

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication