DE102020204349A1 - Steuergerät und Verfahren zum Betreiben eines Steuergeräts - Google Patents

Steuergerät und Verfahren zum Betreiben eines Steuergeräts Download PDF

Info

Publication number
DE102020204349A1
DE102020204349A1 DE102020204349.3A DE102020204349A DE102020204349A1 DE 102020204349 A1 DE102020204349 A1 DE 102020204349A1 DE 102020204349 A DE102020204349 A DE 102020204349A DE 102020204349 A1 DE102020204349 A1 DE 102020204349A1
Authority
DE
Germany
Prior art keywords
interfaces
shutdown
epo
error
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020204349.3A
Other languages
English (en)
Inventor
Margit Mueller
Ruediger Deibert
Andre Vogel
Axel Aue
Thomas Hartgen
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102020204349.3A priority Critical patent/DE102020204349A1/de
Priority to US17/164,387 priority patent/US11422878B2/en
Priority to CN202110354670.3A priority patent/CN113495549A/zh
Publication of DE102020204349A1 publication Critical patent/DE102020204349A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0772Means for error signaling, e.g. using interrupts, exception flags, dedicated error registers
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0208Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the configuration of the monitoring system
    • G05B23/0213Modular or universal configuration of the monitoring system, e.g. monitoring system having modules that may be combined to build monitoring program; monitoring system that can be applied to legacy systems; adaptable monitoring system; using different communication protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/142Reconfiguring to eliminate the error
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/32Monitoring with visual or acoustical indication of the functioning of the machine
    • G06F11/324Display of status information
    • G06F11/327Alarm or error message display
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24065Real time diagnostics

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Automation & Control Theory (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Die Erfindung betrifft ein Steuergerät (120) mit mehreren Fehlerabschaltschnittstellen (EPO, EP1, EP2, EP3), mittels welcher, bei Aktivierung, jeweils eine oder mehrere mittels des Steuergeräts anzusteuernde Komponenten abschaltbar sind, wobei das Steuergerät dazu eingerichtet ist, eine oder mehrere verschiedene Anwendungen (P0, P1, P2, P3) auszuführen, die jeweils dazu eingerichtet sind, bei Bedarf eine Fehlerabschaltung auszulösen, wobei das Steuergerät weiterhin dazu eingerichtet ist, interne Schnittstellen (122) für die eine oder die mehreren Anwendungen (P0, P1, P2, P3) bereitzustellen, wobei die internen Schnittstellen und die Fehlerabschaltschnittstellen (EPO, EP1, EP2, EP3) vorgebbar einander zuordenbar sind, sodass bei einem Aufruf einer der internen Schnittstellen die eine oder die mehreren ihr zugeordneten Fehlerabschaltschnittstellen (EPO, EP1, EP2, EP3) aktiviert werden, sowie ein Verfahren zu dessen Betrieb.

Description

  • Die vorliegende Erfindung betrifft ein Steuergerät mit der Möglichkeit einer Fehlerabschaltung, ein Verfahren zum Betreiben eines solchen Steuergeräts sowie ein Computerprogramm zu dessen Durchführung.
  • Stand der Technik
  • Bei Steuergeräten wie sie insbesondere in Fahrzeugen bzw. Kraftfahrzeugen zum Einsatzkommen, dort meist in deren Mikrocontroller, kann ein sog. „Error Management Module“ (EMM) vorgesehen sein, mit dem Fehler, die während des Betriebs des Steuergeräts auftreten bzw. auftreten können, verwaltet werden. Hierbei kann z.B. für bestimmte Fehler eine bestimmte Reaktion vorgegeben werden. Typische Fehler, die an dieses Modul gemeldet werden können, sind z.B. solche aus einer Überspannungsüberwachung des Mikrocontrollers, Lockstepfehler oder sog. „Error Correction Code“-Fehler.
  • Ein solches Modul kann als Reaktion einen, zu einem externen Watchdog (vgl. hierzu auch das sog. 3-Ebenen-Überwachungskonzept), redundanten, schnelleren Abschaltpfad ansteuern, um somit je nach Anwendung z.B. momentengebende Endstufen z.B. für Einspritzung, Drosselklappe, oder sicherheitsrelevante Kommunikation (z.B. berechneter Momentenwunsch, Starteranforderung) abzuschalten. Zusätzlich können Verfügbarkeitsmaßnahmen wie z.B. ein Reset oder NMI (Non Maskable Interrupt) konfiguriert werden.
  • Hierzu ist im Steuergerät bzw. am Mikrocontroller typischerweise eine (physische) Fehlerabschaltschnittstelle bzw. ein sog. „Errorpin“ vorgesehen, der bei Bedarf aktiviert wird, wodurch dann eine entsprechende Komponente wie z.B. eine Endstufe, abgeschaltet wird.
  • Außerdem kann für aus einer Software (die auf dem Steuergerät läuft) heraus erkannte Fehler eine Reaktion dieses Moduls angefordert werden. Hierfür kann eine Softwareabstraktionsschicht vorgesehen sein, um verschiedene Software-Anforderungen zu koordinieren und um zu verhindern, dass einzelne Software-Anteile die Fehlerabschaltschnittstelle bzw. den Errorpin ungewollt freigeben können, was zu einem nicht plausiblen Zustand führen könnte.
  • Bei einem typischen Steuergerät kann eine Funktionalität bzw. Anwendung, die bereitgestellt wird, z.B. nur vollständig auf Steuergeräteebene abgeschaltet werden. So kann z.B. in einem dedizierten Benzin-Motorsteuergerät die Brennkraftmaschine gestoppt werden, indem über die Fehlerabschaltschnittstelle die Einspritzung und die Drosselklappe abgeschaltet werden. Beispielsweise ist in der DE 10 2015 213 831 A1 beschrieben, bei einem Motorsteuergerät eine Endstufe für ein Druckregelventil und eine Ansteuerschaltungen für Injektoren abzuschalten.
  • In Steuergeräten, die mehrere Anwendungen bereitstellen, z.B. ein Motor- und Getriebesteuergerät, ist die Unabhängigkeit einer Anwendung noch weiter eingeschränkt, da die Fehlerabschaltschnittstelle alle sicherheitsrelevanten Endstufen (z.B. für die Einspritzung des Motorsteuergeräts und die Ventilansteuerung des Getriebesteuergeräts) abschaltet, obwohl der Fehler z.B. nur im Ansteuerpfad des Motorsteuergeräts vorliegt. Beide Szenarien führen zu einer Einschränkung der Verfügbarkeit bis hin zu einem Liegenbleiber.
  • Zusätzlich ist das Hardwarelayout in einem Steuergerät in aller Regel festgelegt und kann nachträglich nicht geändert werden. Stellt ein Steuergerät mehrere Anwendungen bereit, müssen diese konkret an die vorhandenen Fehlerabschaltschnittstellen angepasst werden. Somit ist eine Verschiebung einer Anwendung auf ein anderes Steuergerät mit unterschiedlicher Hardwarebeschaltung (der grundsätzliche Abschaltpfad ist dennoch gleich) nicht ohne Anpassung möglich.
  • Offenbarung der Erfindung
  • Erfindungsgemäß werden ein Steuergerät, ein Verfahren zum Betreiben eines Steuergeräts sowie ein Computerprogramm zu dessen Durchführung mit den Merkmalen der unabhängigen Patentansprüche vorgeschlagen. Vorteilhafte Ausgestaltungen sind Gegenstand der Unteransprüche sowie der nachfolgenden Beschreibung.
  • Die Erfindung beschäftigt sich mit einem Steuergerät bzw. dessen Betrieb. Ein solches Steuergerät, insbesondere dessen Mikrocontroller, weist mehrere (physische) Fehlerabschaltschnittstellen, die schon erwähnten „Errorpins“, auf, mittels welcher, bei Aktivierung, jeweils wenigstens eine mittels des Steuergeräts anzusteuernde Komponente abschaltbar ist. Bei den Komponenten kann es sich insbesondere um eine in dem Steuergerät vorhandene Einrichtung wie eine Ansteuerschaltung (z.B. ASIC), Endstufe usw. handeln, denkbar ist aber auch, dass damit eine externe, an das Steuergerät - und dort dann auch an die Fehlerabschaltschnittstelle - angebundene Komponente handelt.
  • Das Steuergerät ist dazu eingerichtet, eine oder mehrere verschiedene Anwendungen auszuführen, die jeweils dazu eingerichtet sind, bei Bedarf eine Fehlerabschaltung auszulösen. Solche Anwendungen können einen Software-Teil umfassen, der z.B. speziell für den Betrieb einer bestimmten Komponente oder Einheit in einem Fahrzeug vorgesehen ist, wie z.B. eine Brennkraftmaschine, eine elektrische Maschine oder ein Getriebe. Sie können auch einen Hardware-Teil umfassen, z.B. spezielle Anwendungsbausteine zur Ausführung bestimmter Funktionen der Anwendung (z.B. ICs, ASIC usw.). Sie können auch auf mehrere Steuergeräte verteilt sein, d.h. Teile umfassen, die nicht auf dem betreffenden Steuergerät realisiert sind. Wie eingangs schon erwähnt, sind solche Anwendungen derart ausgebildet bzw. eingerichtet, bei Bedarf, d.h. wenn z.B. ein Fehler erkannt wurde, eine Fehlerabschaltung auszulösen (bzw. zunächst anzufordern). Die Anwendungen können dabei z.B. auf ihnen jeweils zugeordneten Partitionen des Steuergeräts ausgeführt werden.
  • Weiterhin ist das Steuergerät dazu eingerichtet ist, interne Schnittstellen für die eine oder die mehreren Anwendungen bereitzustellen, wobei die internen Schnittstellen und die Fehlerabschaltschnittstellen vorgebbar einander zuordenbar sind, sodass bei einem Aufruf einer der internen Schnittstellen die eine oder die mehreren ihr zugeordneten Fehlerabschaltschnittstellen aktiviert werden. Zweckmäßigerweise sind die internen Schnittstellen und die Fehlerabschaltschnittstellen mittels Software-Konfiguration, z.B. unter Verwendung einer geeigneten Konfigurationstabelle, vorgebbar einander zuordenbar. Vor einem Einsatz des Steuergeräts z.B. in einem Fahrzeug, zweckmäßigerweise bei dessen Herstellung, kann die die Konfiguration dann entsprechend den Bedürfnissen oder Anforderungen vorgenommen werden, und zwar insbesondere auch in Abhängigkeit von den auf dem Steuergerät auszuführenden Anwendungen.
  • Vorzugsweise ist das Steuergerät weiterhin dazu eingerichtet, dass eine oder mehrere Hardwarefehlerquellen und die Fehlerabschaltschnittstellen vorgebbar einander zuordenbar sind, sodass bei Auftreten eines Fehlers bei der oder einer der Hardwarefehlerquellen die eine oder die mehreren ihr zugeordneten Fehlerabschaltschnittstellen aktiviert werden. Zweckmäßigerweise sind die eine oder die mehreren Hardwarefehlerquellen und die Fehlerabschaltschnittstellen mittels Hardware-Konfiguration, z.B. mittels konfigurierbarer Logikgatter mit z.B. ebenfalls einer geeigneten Konfigurationstabelle, vorgebbar einander zuordenbar. Vor einem Einsatz des Steuergeräts z.B. in einem Fahrzeug, zweckmäßigerweise bei dessen Herstellung, kann die Konfiguration dann entsprechend den Bedürfnissen oder Anforderungen vorgenommen werden. Die Hardware-Fehlerquellen sind dabei zweckmäßigerweise verschiedenen Partitionen, auf denen auch Anwendungen ausgeführt werden können, zugeordnet.
  • Auf diese Weise wird eine flexible Zuordnung zwischen den Fehlerabschaltschnittstellen bzw. Errorpins und den Anwendungen möglich, wobei die Anwendungen vom Hardwarelayout abstrahiert bleiben. Anwendungen können damit unterschiedliche Abschaltpfade haben. Zudem ergibt sich eine Erhöhung der Verfügbarkeit durch die Möglichkeit der Teilabschaltung für hochverfügbare Systeme (bis hin zum autonomen bzw. automatisierten Fahren). Letztlich für dies auch zur Vermeidung von Interferenzen zwischen einzelnen Anwendungen, da separate Abschaltpfade bzw. Fehlerabschaltschnittstellen zugeordnet werden können. Außerdem ergibt sich eine gewisse Kostenersparnis durch die Darstellung von mehreren unabhängigen Anwendungen in einem Steuergerät, die unabhängig voneinander abschaltbar sind. Eine weitere Kostenersparnis ergibt sich auch durch geringeren Entwicklungsaufwand, da Anwendungen in unterschiedlichen Steuergeräten unverändert einsetzbar sind.
  • Bevorzugt ist das Steuergerät weiterhin dazu eingerichtet, bei einem Aufruf einer der internen Schnittstellen den Aufruf in einen Pufferspeicher der zugeordneten Fehlerabschaltschnittstelle einzutragen, wenn ein solcher noch nicht vorhanden ist, und bei einer Deaktivierungsanforderung den Aufruf aus dem Pufferspeicher auszutragen, und die Fehlerabschaltschnittstelle zu aktivieren, wenn ein Aufruf im Pufferspeicher eingetragen ist, und die Fehlerabschaltschnittstelle zu deaktivieren, wenn kein Aufruf im Pufferspeicher eingetragen und kein Fehler der Hardwarefehlerquelle, der der Fehlerabschaltschnittstelle zugeordnet ist, vorliegt. Damit ist eine einfache und sichere Umsetzung der Aktivierung und ggf. Deaktivierung der Fehlerabschaltschnittstellen möglich.
  • Vorteilhafterweise weist das Steuergerät eine sicherheitsrelevante Fehlerabschaltschnittstelle auf und ist dazu eingerichtet, dass einer vorgebbaren Fehlerabschaltschnittstelle der mehreren Fehlerabschaltschnittstellen die sicherheitsrelevante Fehlerabschaltschnittstelle zuordenbar ist, sodass, wenn die vorgebbare Fehlerabschaltschnittstelle aktiviert wird, auch die sicherheitsrelevante Fehlerabschaltschnittstelle aktiviert wird. Zweckmäßigerweise sind die sicherheitsrelevante Fehlerabschaltschnittstelle und die Fehlerabschaltschnittstellen mittels Hardware-Konfiguration, z.B. wie zuvor erläutert, einander zuordenbar. Vor einem Einsatz des Steuergeräts z.B. in einem Fahrzeug, zweckmäßigerweise bei dessen Herstellung, kann die Konfiguration dann entsprechend den Bedürfnissen oder Anforderungen vorgenommen werden. Die sicherheitsrelevante Fehlerabschaltschnittstelle kann grundsätzlich wie die übrigen Fehlerabschaltschnittstellen ausgebildet sein, jedoch derart verschaltet werden bzw. sein, dass damit eine sicherheitsrelevante Komponente abgeschaltet wird (oder werden kann), wenn ein anderer Fehler auftrifft, der an sich möglicherweise nicht direkt etwas mit dieser sicherheitsrelevanten Komponente zu tun hat. Es versteht sich, dass auch noch weitere solche sicherheitsrelevanten Fehlerabschaltschnittstellen vorgesehen sein können, die dann auf die gleiche Weise zuordenbar sind.
  • Vorzugsweise ist das Steuergerät weiterhin dazu eingerichtet, dass bei Auftreten eines Fehlers in einem Modul, in dem die Fehlerabschaltschnittstellen zugeordnet sind oder werden, alle Fehlerabschaltschnittstellen aktiviert werden. Damit wird sichergestellt, dass nicht später ein Fehler in einer Anwendung (Software und/oder Hardware) auftritt, der aber aufgrund des Fehlers in dem Modul nicht mehr zur Aktivierung der Fehlerabschaltschnittstelle führt. Dies stellt damit also eine Art Vorsichtsmaßnahme dar.
  • Zusammengefasst stellt die vorliegende Erfindung also eine Möglichkeit bereit, die das bestehende Errorpinhandling (d.h. die Verwaltung von Fehlerabschaltschnittstellen), wie es eingangs erläutert wurde, um eine skalierbare Anzahl an Fehlerabschaltschnittstellen bzw. Errorpins (meist hardwareabhängig) erweitert, wobei diese flexibel verschiedenen Anwendungen zugeordnet werden können und somit eine Teilabschaltung einer Anwendung innerhalb eines Steuergeräts möglich ist. Dies führt zu einer Erhöhung der Verfügbarkeit und geringerem Entwicklungsaufwand.
  • In einem Hybridsystem, in dem in das Steuergerät der Brennkraftmaschine z.B. auch dasjenige des Elektromotors (bzw. allgemein der elektrischen Maschine) integriert ist, lässt sich damit z.B. bei einem Fehler im Ansteuerpfad des Elektromotors das Fahrzeug immer noch nach Hause oder in die Werkstatt fahren, wenn nur die Endstufen des Elektromotors abgeschaltet werden (dies gilt natürlich auch umgekehrt für die Endstufen der Brennkraftmaschine).
  • In Systemen (bzw. Steuergeräten) mit einer Motorsteuerung und integrierter Getriebesteuerung, gibt es z.B. Systemauslegungen, in denen die Abschaltung des Getriebes zum Einlegen eines niedrigen Gangs führt. Auch hier ermöglicht es die Erfindung, dass z.B. ein Fehler im Stellpfad des Getriebesteuergeräts eine Fahrt zur Werkstatt ermöglicht, ohne dass die Brennkraftmaschine (bzw. allgemein der Antrieb) ebenfalls abgeschaltet werden muss.
  • In einem Kommunikationssteuergerät mit mehreren Kommunikationskanälen, ergibt sich z.B. die Möglichkeit, nur den fehlerhaften Kommunikationskanal abzuschalten (Fail Silent), während die anderen nicht betroffenen Kommunikationskanäle weiterhin senden können.
  • Daneben ist das Steuergerät bevorzugt zum Betrieb wenigstens einer, insbesondere von wenigstens zwei, der folgenden Einheiten eingerichtet: einer Brennkraftmaschine, eines Getriebes, einer elektrischen Maschine, einer Energiespeichervorrichtung, eines Bremssystems, und Datenübertragungs- oder Kommunikationseinrichtungen, einer Brennstoffzelle, eines Gleichspannungs- oder DC/DC-Wandlers, einer Lenkung, eines Fahrerassistenzsystems, und eines Harnstoffdosierungssystems. Das Steuergerät kann damit also z.B. ein Motosteuergerät, ein Getriebesteuergerät, ein Batteriesteuergerät, ein Brennstoffzellensteuergerät, ein Bordnetzsteuergerät, ein Lenkungssteuergerät, oder ein Steuergerät zur Harnstoffdosierung sein. Ebenso kann das Steuergerät z.B. als zwei dieser Steuergeräte zugleich dienen.
  • Gegenstand der Erfindung ist zudem ein Verfahren zum Betreiben eines, insbesondere erfindungsgemäßen, Steuergeräts mit mehreren Fehlerabschaltschnittstellen, mittels welcher, bei Aktivierung, jeweils wenigstens eine mittels des Steuergeräts anzusteuernde Komponente abschaltbar ist. Hierbei werden eine oder mehrere verschiedene Anwendungen auf dem Steuergerät ausgeführt, wobei mit der oder einer der Anwendungen bei Bedarf eine Fehlerabschaltung ausgelöst wird, indem eine der Anwendung zugeordnete, interne Schnittstelle aufgerufen wird. Dabei wird die interne Schnittstelle einer der Fehlerabschaltschnittstellen zugeordnet und diese (d.h. die Fehlerabschaltschnittstelle) aktiviert. Zweckmäßigerweise wird auch ein Fehler in bzw. bei einer oder mehrerer Hardwarefehlerquellen einer der Fehlerabschaltschnittstellen zugeordnet und diese dann aktiviert.
  • Wenn eine solche Anwendung auf zwei verschiedenen Steuergeräten ausgeführt wird, dann können über die interne Schnittstelle der Anwendung zwei verschiedene Fehlerabschaltschnittstellen zugeordnet werden, also zwar jeweils eine Fehlerabschaltschnittstelle in jeweils einem Steuergerät, die sich aber nicht entsprechen, also z.B. eine andere, konkrete Spezifizierung aufweisen.
  • Ein erfindungsgemäßes Steuergerät, z.B. ein Steuergerät eines (Kraft-)Fahrzeugs, ist, insbesondere programmtechnisch, dazu eingerichtet, ein erfindungsgemäßes Verfahren durchzuführen.
  • Auch die Implementierung eines erfindungsgemäßen Verfahrens in Form eines Computerprogramms oder Computerprogrammprodukts mit Programmcode zur Durchführung aller Verfahrensschritte ist vorteilhaft, da dies besonders geringe Kosten verursacht, insbesondere wenn ein ausführendes Steuergerät noch für weitere Aufgaben genutzt wird und daher ohnehin vorhanden ist. Geeignete Datenträger zur Bereitstellung des Computerprogramms sind insbesondere magnetische, optische und elektrische Speicher, wie z.B. Festplatten, Flash-Speicher, EEPROMs, DVDs u.a.m. Auch ein Download eines Programms über Computernetze (Internet, Intranet usw.) ist möglich.
  • Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.
  • Die Erfindung ist anhand von Ausführungsbeispielen in der Zeichnung schematisch dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnung beschrieben.
  • Figurenliste
    • 1 zeigt schematisch ein Fahrzeug mit einem erfindungsgemäßen Steuergerät in einer bevorzugten Ausführungsform.
    • 2 zeigt schematisch ein erfindungsgemäßes Steuergerät in einer weiteren bevorzugten Ausführungsform.
    • 3 zeigt das Steuergerät aus 2 in einer detaillierten, aber schematischen Ansicht.
    • 4 zeigt schematisch zwei erfindungsgemäße Steuergeräte in verschiedenen bevorzugten Ausführungsformen.
  • Ausführungsform(en) der Erfindung
  • In 1 ist schematisch ein Fahrzeug 100 mit einem erfindungsgemäßen Steuergerät 120 in einer bevorzugten Ausführungsform dargestellt. Das Steuergerät 120 dient beispielhaft zum Betrieb bzw. zur Ansteuerung einer Brennkraftmaschine 110 sowie einer elektrischen Maschine 115 als Antriebseinheiten in dem Fahrzeug 100. Dies stellt jedoch nur beispielhaft eine mögliche Ausgestaltung und Anwendung eines solchen Steuergeräts zu Illustrationszwecken dar.
  • In 2 ist schematisch ein erfindungsgemäßes Steuergerät 120 in einer weiteren bevorzugten Ausführungsform dargestellt, anhand dessen der Aufbau, sowohl hinsichtlich Hardware als auch Software, näher erläutert werden soll, ebenso wie der Ablauf beim Betrieb.
  • Bei dem Steuergerät 120 kann es sich um das in 1 gezeigte Steuergerät handeln, wobei hier beispielhaft vier Anwendungen P0, P1, P2 und P3 auf dem Steuergerät 120 ausgeführt werden, denen jeweils eine von vier Fehlerabschaltschnittstellen bzw. Errorpins EP0, EP1, EP2 und EP3 zugeordnet ist. Das Auslösen des Fehlers erfolgt z.B. über eine Laufzeitumgebung (Runtime Environment, RTE) 121, welche als Schnittstelle zwischen den Software-Komponenten und der sog. Basis-Software (Basic Software, BSW) 122 dient. Eine solche Schnittstelle zum Auslösen kann aber auch anderweitig realisiert werden.
  • Die Zuordnung erfolgt über Konfigurationstabelle(n) in einem Modul 125. Beispielhaft sind in dem Steuergerät 120 Endstufen 110', 111', 112' und 113' zur Ansteuerung bzw. zum Betrieb der Einheiten Brennkraftmaschine 110, Bremssystem 111, Energiespeichervorrichtung bzw. Batterie 112 und Kommunikationseinrichtung für Ladesäule 113 und externen Einheiten 114 (sog. Cloud oder sonstige Server.
  • Über eine in Software ausgebildete Konfigurationstabelle 130 ist die Zuordnung der Anwendungen P0, P1, P2 und P3 zu ihrer physikalischen Fehlerabschaltschnittstelle abstrahiert. So ist z.B. der Anwendung P3 die Fehlerabschaltschnittstelle EPO zugeordnet. Im Fehlerfall werden nur die Endstufen und Kommunikation abgeschaltet, die an ihre Fehlerabschaltschnittstelle EPO gekoppelt sind (hier Motorendstufe 110').
  • Zusätzlich sind jeder Fehlerabschaltschnittstelle über eine in Hardware ausgebildete (und über Software zu ladende) Konfigurationstabelle 150 verschiedene Hardware-Fehlerquellen HW0, HW1, HW2 und HW3 zugeordnet. Ein Fehler bzw. Hardwarefehler in einer solchen Hardwarefehlerquelle muss z.B. nur zur Abschaltung der Fehlerabschaltschnittstelle EPO führen (hier wird angenommen, dass der Fehler nur im Kontrollpfad der Anwendung P3 liegt z.B. ECC-Fehler im Speicher der Anwendung P3).
  • Ebenfalls können zusätzliche sicherheitsrelevante Fehlerabschaltschnittstellen bzw. sicherheitskritische Pins SP0, SP1, SP2 und SP3 vorgesehen sein, die über eine in Hardware ausgebildete (und über Software zu ladende) Konfigurationstabelle 140 auf die Abschaltung einer zugeordneten Fehlerabschaltschnittstelle reagieren und ebenfalls abschalten können.
  • Dadurch hat ein Hardware-Fehler direkte Auswirkung auf die ihm zugewiesene Fehlerabschaltschnittstelle und seine zugeordneten sicherheitskritischen Pins. Bei Hardware-Fehlern, die im Wirkpfad PM des Moduls 125 (beinhaltend eine Errorhandling-SW) liegen, aktiviert der entsprechende Fehler alle Fehlerabschaltschnittstellen (inklusive aller sicherheitskritischen Pins), da eine Ausführung nicht mehr sichergestellt ist.
  • In 3 ist das Steuergerät aus 2 in einer detaillierten, aber schematischen Ansicht dargestellt. Am Beispiel der Anwendung P0 ist hier eine Anforderung einer Aktivierung einer Fehlerabschaltschnittstelle aus dem Software-Teil der Anwendung heraus dargestellt
  • Die Verwaltung der jeweiligen Anforderungen erfolgt in Puffern bzw. in einem Pufferspeicher 126, wobei jeder Fehlerabschaltschnittstelle ein Puffer mit einer bestimmten Anzahl an möglichen Einträgen zugewiesen ist (durch die 16 Rechtecke dargestellt). Die Anwendung P0 fordert nun über die interne bzw. generische Schnittstelle 122 mit einer eindeutigen Kennung IDX (diese ist nur innerhalb einer Anwendung gültig) ihre Fehlerabschaltschnittstelle bzw. deren Aktivierung an.
  • Die Schnittstelle ist in der Software auf dem Steuergerät generisch, d.h. der Aufruf ist für eine andere Anwendung exakt gleich, wenn die Kennung IDX in der anderen Anwendung ebenfalls vergeben ist. Das Modul 125 nimmt den Aufruf entgegen und ermittelt, aus welcher Partition der Aufruf kommt. Dies kann z.B. über eine Corenummer erfolgen, auf der die Anwendung P0 läuft, oder über eine Tasknummer aus dem Betriebssystem.
  • Über die Konfigurationstabelle kann das Modul 125 anschließend die zugehörige Fehlerabschaltschnittstelle ermitteln. Dies können auch mehrere Fehlerabschaltschnittstellen sein oder auch gar keine Fehlerabschaltschnittstelle, wenn eine Anwendung in einem Szenario keine Sicherheitslast trägt.
  • Bei einer Aktivierungsanforderung trägt das Modul 125 die Kennung IDX und die aufrufende Anwendung in den Puffer der ermittelten Fehlerabschaltschnittstelle ein, wenn der Aufruf nicht bereits eingetragen ist. Bei einer Deaktivierungsanforderung wird der Eintrag im Puffer gelöscht. Sobald ein Puffer einen Eintrag enthält wird die zugehörige Fehlerabschaltschnittstelle aktiviert. Wenn ein Puffer keinen Eintrag mehr enthält, wird die zugehörige Fehlerabschaltschnittstelle deaktiviert, sobald kein Hardware-Fehler, der der Fehlerabschaltschnittstelle zugeordnet ist, mehr aktiv ist.
  • Der Ermittlung des Zustandes einzelner Hardware-Fehler lässt sich im Modul 125 auslesen. Die Aktivierung und Deaktivierung der jeweiligen Fehlerabschaltschnittstelle erfolgt über das Modul, wobei hierfür eine separate Hardware-Quelle über Software angesprochen wird.
  • Eine Nachbildung einer zusätzlichen Fehlerabschaltschnittstelle kann über Software erfolgen, wenn z.B. die Hardware limitierte Ressourcen hat. Dafür übernimmt das Modul (die Errorpinhandler-SW) die Abschaltung eines beliebigen Pins eines Mikrocontrollers, wenn ein Fehler erkannt wurde. Dies kann für Hardware-Fehler z.B. durch Pollen der jeweiligen Stati des Moduls erfolgen, oder auch interruptgesteuert, ausgehend vom Modul. Bei Anforderungen aus der Anwendung bzw. Software heraus (Anforderung des in SW nachgebildeten Errorpins), ist das Handling äquivalent zur vorhergehenden Beschreibung, in dem auch der in SW nachgebildeten Fehlerabschaltschnittstelle ein entsprechender Puffer zugewiesen ist.
  • Ein Fehler im Wirkpfad der Errorpinhandler-SW führt automatisch zur Abschaltung aller Fehlerabschaltschnittstellen inklusive der in Software nachgebildeten Fehlerabschaltschnittstellen, da hierfür eine zentrale Fehlerabschaltschnittstelle für das Modul bzw. die Errorpinhandling-SW benutzt wird, welche zur Abschaltung aller sicherheitskritischen Pins führt.
  • In 4 sind schematisch zwei erfindungsgemäße Steuergeräte 120' und 120" in verschiedenen bevorzugten Ausführungsformen dargestellt. Der grundlegende Aufbau bzw. die grundlegende Funktion der Steuergeräte 120' und 120" entspricht derjenigen des Steuergeräts 120 gemäß 2, sodass auch auf die dortige Beschreibung verwiesen wird.
  • Beispielhaft weist das Steuergerät 120' nur die Anwendungen P0, P2 und P3 auf sowie die Fehlerabschaltschnittstellen EP0, EP1 und EP 2. Über eine Konfigurationsschicht, umfassend die in Bezug auf 2 erläuterten Konfigurationstabellen (130, 140 und 150), wird die Umsetzung auf die zugehörigen Fehlerabschaltschnittstellen zwischen den Anwendungen und der Hardware abstrahiert. Ebenfalls denkbar sind Szenarien, bei denen aus hardwaretechnischen Gründen (z.B. Entkopplungen) eine Anwendung mehrere Fehlerabschaltschnittstellen benötigt oder die Anwendung in anderen Steuergeräten auf dieselbe Fehlerabschaltschnittstelle einer anderen Anwendung zugreift, wenn Hardware-Ressourcen beschränkt sind oder eine Hochverfügbarkeit nicht notwendig ist.
  • Dies führt dazu, dass die Anwendung in der Software nur die generischen bzw. internen Schnittstellen zur Aktivierung und/oder Deaktivierung der Fehlerabschaltschnittstellen aufrufen muss, wodurch eine schnellere Entwicklung ohne Anpassung auf verschiedene Steuergeräte möglich ist. So lässt sich zum Beispiel die Anwendung P0 im einem Steuergerät 120' einfach auf das Steuergerät 120" verschieben, obwohl hier eine andere Anwendung P1 ausgeführt wird und die Hardwareschaltung im Steuergerät 120" anders ausgelegt ist. So ist der Anwendung P0 im Steuergerät 120' die Fehlerabschaltschnittstelle EP1 zugeordnet, im Steuergerät 120" hingegen die Fehlerabschaltschnittstellen EP2. (Fehlerabschaltschnittstelle EP1 ist im Steuergerät 120" nicht angeschlossen).
  • Insgesamt kann auf diese Weise ein Steuergerät bereitgestellt werden, auf dem verschiedenen Anwendungen laufen können, die jedoch separat und verschiedene Komponenten, die durch sie angesteuert bzw. betrieben werden, im Falle eines Fehlers abgeschaltet werden können.
  • Unter weiterer Bezugnahme auf 4 sind auch Ausführungsformen bevorzugt, bei denen eine Anwendung, hier beispielsweise P0, auf mehrere Steuergeräte verteilt ist. In diesem Sinne umfasst eine Anwendung auf einem Steuergerät auch nur einen Anwendungsteil.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102015213831 A1 [0006]

Claims (13)

  1. Steuergerät (120, 120', 120") mit mehreren Fehlerabschaltschnittstellen (EPO, EP1, EP2, EP3), mittels welcher, bei Aktivierung, jeweils wenigstens eine mittels des Steuergeräts anzusteuernde Komponente abschaltbar ist, wobei das Steuergerät dazu eingerichtet ist, eine oder mehrere verschiedene Anwendungen (P0, P1, P2, P3) auszuführen, die jeweils dazu eingerichtet sind, bei Bedarf eine Fehlerabschaltung auszulösen, wobei das Steuergerät weiterhin dazu eingerichtet ist, interne Schnittstellen (122) für die eine oder die mehreren Anwendungen (P0, P1, P2, P3) bereitzustellen, wobei die internen Schnittstellen und die Fehlerabschaltschnittstellen (EPO, EP1, EP2, EP3) vorgebbar einander zuordenbar sind, sodass bei einem Aufruf einer der internen Schnittstellen die eine oder die mehreren ihr zugeordneten Fehlerabschaltschnittstellen (EPO, EP1, EP2, EP3) aktiviert werden.
  2. Steuergerät (120, 120', 120") nach Anspruch 1, das weiterhin dazu eingerichtet ist, dass eine oder mehrere Hardwarefehlerquellen (HW0, HW1, HW2, HW3) und die Fehlerabschaltschnittstellen (EPO, EP1, EP2, EP3) vorgebbar einander zuordenbar sind, sodass bei Auftreten eines Fehlers bei der oder einer der Hardwarefehlerquellen (HW0, HW1, HW2, HW3) die eine oder die mehreren ihr zugeordneten Fehlerabschaltschnittstellen (EPO, EP1, EP2, EP3) aktiviert werden.
  3. Steuergerät (120, 120', 120") nach Anspruch 2, wobei die eine oder die mehreren Hardwarefehlerquellen (HW0, HW1, HW2, HW3) und die Fehlerabschaltschnittstellen (EPO, EP1, EP2, EP3) mittels Hardware-Konfiguration vorgebbar einander zuordenbar sind.
  4. Steuergerät (120, 120', 120") nach einem der vorstehenden Ansprüche, wobei die internen Schnittstellen (122) und die Fehlerabschaltschnittstellen (EPO, EP1, EP2, EP3) mittels Software-Konfiguration vorgebbar einander zuordenbar sind.
  5. Steuergerät (120, 120', 120") nach einem der vorstehenden Ansprüche, mit einer sicherheitsrelevanten Fehlerabschaltschnittstelle (SP0, SP3), wobei das Steuergerät dazu eingerichtet ist, dass einer vorgebbaren Fehlerabschaltschnittstelle der mehreren Fehlerabschaltschnittstellen (EPO, EP1, EP2, EP3) die sicherheitsrelevante Fehlerabschaltschnittstelle (SP0, SP3) zuordenbar ist, sodass, wenn die vorgebbare Fehlerabschaltschnittstelle (EPO, EP1, EP2, EP3) aktiviert wird, auch die sicherheitsrelevante Fehlerabschaltschnittstelle aktiviert (SP0, SP3) wird.
  6. Steuergerät (120, 120', 120") nach einem der vorstehenden Ansprüche, das weiterhin dazu eingerichtet ist, dass bei Auftreten eines Fehlers in einem Modul (125), in dem die Fehlerabschaltschnittstellen (EPO, EP1, EP2, EP3) zugeordnet sind oder werden, alle Fehlerabschaltschnittstellen (EPO, EP1, EP2, EP3) aktiviert werden.
  7. Steuergerät (120, 120', 120") nach einem der vorstehenden Ansprüche, das weiterhin dazu eingerichtet ist, bei einem Aufruf einer der internen Schnittstellen (122) den Aufruf in einen Pufferspeicher (126) der zugeordneten Fehlerabschaltschnittstelle (EPO, EP1, EP2, EP3) einzutragen, wenn ein solcher noch nicht vorhanden ist, und bei einer Deaktivierungsanforderung den Aufruf aus dem Pufferspeicher (126) auszutragen, und die Fehlerabschaltschnittstelle (EPO, EP1, EP2, EP3) zu aktivieren, wenn ein Aufruf im Pufferspeicher (126) eingetragen ist, und die Fehlerabschaltschnittstelle (EPO, EP1, EP2, EP3) zu deaktivieren, wenn kein Aufruf im Pufferspeicher (126) eingetragen und kein Fehler der Hardwarefehlerquelle (HW0, HW1, HW2, HW3), der der Fehlerabschaltschnittstelle (EPO, EP1, EP2, EP3) zugeordnet ist, vorliegt.
  8. Steuergerät (120, 120', 120") nach einem der vorstehenden Ansprüche, das zum Betrieb wenigstens einer, insbesondere von wenigstens zwei, der folgenden Einheiten eingerichtet ist: einer Brennkraftmaschine (110), eines Getriebes, einer elektrischen Maschine (115), einer Energiespeichervorrichtung (112), eines Bremssystems (111), einer Datenübertragungs- oder Kommunikationseinrichtung (114), einer Brennstoffzelle, eines Gleichspannungswandlers, einer Lenkung, eines Fahrerassistenzsystems und eines Harnstoffdosierungssystems.
  9. Verfahren zum Betreiben eines Steuergeräts (120, 120', 120") mit mehreren Fehlerabschaltschnittstellen (EPO, EP1, EP2, EP3), mittels welcher, bei Aktivierung, jeweils wenigstens eine mittels des Steuergeräts anzusteuernde Komponente abschaltbar ist, wobei eine oder mehrere verschiedene Anwendungen (P0, P1, P2, P3) auf dem Steuergerät ausgeführt werden, wobei mit der oder einer der Anwendungen bei Bedarf eine Fehlerabschaltung ausgelöst wird, indem eine der Anwendung (P0, P1, P2, P3) zugeordnete, interne Schnittstelle (122) aufgerufen wird, wobei die interne Schnittstelle (122) einer der Fehlerabschaltschnittstellen (EPO, EP1, EP2, EP3) zugeordnet wird und diese aktiviert wird.
  10. Verfahren zum Betreiben von zwei Steuergeräten (120, 120', 120") mit jeweils mehreren Fehlerabschaltschnittstellen (EPO, EP1, EP2, EP3), mittels welcher, bei Aktivierung, jeweils wenigstens eine mittels des jeweiligen Steuergeräts anzusteuernde Komponente abschaltbar ist, wobei eine Anwendung (P0, P1, P2, P3) auf den zwei Steuergeräten ausgeführt wird, wobei mit der Anwendung bei Bedarf eine jeweilige Fehlerabschaltung ausgelöst wird, indem eine der jeweiligen Anwendung (P0, P1, P2, P3) zugeordnete, interne Schnittstelle (122) aufgerufen wird, wobei die jeweilige interne Schnittstelle (122) einer der jeweiligen Fehlerabschaltschnittstellen (EPO, EP1, EP2, EP3) der zwei Steuergeräte zugeordnet wird und diese aktiviert wird, wobei die Fehlerabschaltschnittstellen nicht einander entsprechen.
  11. Verfahren nach Anspruch 9 oder 10, bei dem ein oder mehrere Steuergeräte (120, 120', 120") nach einem der vorstehenden Ansprüche verwendet werden.
  12. Computerprogramm, das ein Steuergerät (120, 120', 120") nach einem der Ansprüche 1 bis 8 dazu veranlasst, alle Verfahrensschritte eines Verfahrens nach einem der Ansprüche 9 bis 11 durchzuführen, wenn es auf dem Steuergerät (120, 120', 120") ausgeführt wird.
  13. Maschinenlesbares Speichermedium mit einem darauf gespeicherten Computerprogramm nach Anspruch 12.
DE102020204349.3A 2020-04-03 2020-04-03 Steuergerät und Verfahren zum Betreiben eines Steuergeräts Pending DE102020204349A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102020204349.3A DE102020204349A1 (de) 2020-04-03 2020-04-03 Steuergerät und Verfahren zum Betreiben eines Steuergeräts
US17/164,387 US11422878B2 (en) 2020-04-03 2021-02-01 Control unit and method for operating a control unit
CN202110354670.3A CN113495549A (zh) 2020-04-03 2021-04-01 控制设备和用于运行控制设备的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020204349.3A DE102020204349A1 (de) 2020-04-03 2020-04-03 Steuergerät und Verfahren zum Betreiben eines Steuergeräts

Publications (1)

Publication Number Publication Date
DE102020204349A1 true DE102020204349A1 (de) 2021-10-07

Family

ID=77749566

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020204349.3A Pending DE102020204349A1 (de) 2020-04-03 2020-04-03 Steuergerät und Verfahren zum Betreiben eines Steuergeräts

Country Status (3)

Country Link
US (1) US11422878B2 (de)
CN (1) CN113495549A (de)
DE (1) DE102020204349A1 (de)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015213831A1 (de) 2015-07-22 2017-01-26 Robert Bosch Gmbh Verfahren zum Außer-Betrieb-Setzen einer elektrisch angesteuerten Komponente eines Fahrzeugs in einem Fehlerfall einer die Komponente ansteuernden Recheneinheit

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150337806A1 (en) * 2013-02-07 2015-11-26 Kk Wind Solutions A/S Method, system and controller for controlling a wind turbine
US9612935B2 (en) * 2014-11-21 2017-04-04 Vmware, Inc. Enhanced resiliency testing by enabling state level control for request

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015213831A1 (de) 2015-07-22 2017-01-26 Robert Bosch Gmbh Verfahren zum Außer-Betrieb-Setzen einer elektrisch angesteuerten Komponente eines Fahrzeugs in einem Fehlerfall einer die Komponente ansteuernden Recheneinheit

Also Published As

Publication number Publication date
CN113495549A (zh) 2021-10-12
US11422878B2 (en) 2022-08-23
US20210311816A1 (en) 2021-10-07

Similar Documents

Publication Publication Date Title
DE102015003194A1 (de) Verfahren und Vorrichtung zum Handhaben von sicherheitskritischen Fehlern
DE102012205731A1 (de) Elektronische fahrzeugsteuervorrichtung
EP2720900B1 (de) Verfahren zur sicheren deaktivierung eines hochspannungsnetzes eines kraftfahrzeugs
EP2907072B1 (de) Verfahren zur steuerung eines getrennten ablaufs von verknüpften programmblöcken und steuergerät
EP2207097A1 (de) Verfahren und Vorrichtung zum Betreiben eines Steuergerätes
DE10331873A1 (de) Verfahren zur Überwachung verteilter Software
DE102019118742A1 (de) Fahrzeugleistungsversorgung mit lastabwurfsperre
EP1700211A1 (de) Laden von software-modulen
DE102019201607A1 (de) Steuerungssystem für ein Kraftfahrzeug
DE102019202527A1 (de) Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems
EP1962193A1 (de) Schaltungsvorrichtung und entsprechendes Verfahren zum Ansteuern einer Last
DE102018204139A1 (de) Verfahren zum Überwachen eines Fahrzeugs
DE102009055044A1 (de) Verfahren und Vorrichtung zur Unterbindung einer ungewollten Beschleunigung eines Fahrzeuges
DE102018001866A1 (de) Verfahren zum automatischen Abbremsen eines sich während eines automatischen fahrerlosen Parkvorganges bewegenden Fahrzeuges
DE102020204349A1 (de) Steuergerät und Verfahren zum Betreiben eines Steuergeräts
DE102012209144A1 (de) Verfahren zur Überführung eines elektrischen Antriebsystems in einen sicheren Zustand und Anordnung zur Durchführung des Verfahrens
DE102015213831A1 (de) Verfahren zum Außer-Betrieb-Setzen einer elektrisch angesteuerten Komponente eines Fahrzeugs in einem Fehlerfall einer die Komponente ansteuernden Recheneinheit
DE102011087063A1 (de) Kontrollrechnersystem und Verfahren zur beschleunigten Initialisierung einzelner Module
DE102018212770A1 (de) Verfahren zum Überwachen einer Komponente eines Kraftfahrzeugs
EP1733284A2 (de) Ablaufsteuerung von funktionen auf miteinander wechselwirkenden geräten
DE102020210990A1 (de) Antriebssystem und Verfahren zum Betreiben eines Antriebssystems
DE102009028871A1 (de) Verfahren zum Überprüfen eines Speichers
DE102016212897B4 (de) Steuervorrichtung zur Auswahl von Gruppen-Funktionen
DE102017218898A1 (de) Kontrollsystem für ein Batteriesystem
DE102011011224A1 (de) Steuergeräteanordnung