EP2619667A1 - Method for monitoring at least two microcontrollers - Google Patents

Method for monitoring at least two microcontrollers

Info

Publication number
EP2619667A1
EP2619667A1 EP11760737.4A EP11760737A EP2619667A1 EP 2619667 A1 EP2619667 A1 EP 2619667A1 EP 11760737 A EP11760737 A EP 11760737A EP 2619667 A1 EP2619667 A1 EP 2619667A1
Authority
EP
European Patent Office
Prior art keywords
microcontroller
watchdog
response
contribution
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
EP11760737.4A
Other languages
German (de)
French (fr)
Inventor
Sandeep Bisht
Jochen Weber
Andreas Heyl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Samsung SDI Co Ltd
Original Assignee
Robert Bosch GmbH
Samsung SDI Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH, Samsung SDI Co Ltd filed Critical Robert Bosch GmbH
Publication of EP2619667A1 publication Critical patent/EP2619667A1/en
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/076Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25158Watchdog

Definitions

  • the present invention relates to a method for monitoring at least two microcontrollers
  • Microcontrollers by means of a watchdog, a circuit arrangement which is adapted to carry out the inventive method, and a battery and a motor vehicle, which comprise the circuit arrangement according to the invention.
  • Microcontroller an external hardware watchdog with independent time base and fixed time window is used.
  • a watchdog is used, for example, in the context of the monitoring of engine control units in which a so-called three-level concept is used.
  • a first level comprises the software for controlling the engine
  • a second level the software for monitoring the engine control
  • a third level the software for
  • Hardware watchdog is used here in the third level to check a microcontroller used in the first or second level.
  • the monitoring of the microcontroller by means of the watchdog can be done in a simple
  • the watchdog can submit test questions to the microcontroller and check its correctness and timing responses.
  • Such a method for monitoring a microcontroller may have the following sequence: The watchdog randomly asks the microcontroller one of several possible questions. The microcontroller provides an answer to this question by combining two answers. The first answer results from a check of the logic of the microcontroller. The second answer results from a function-specific check of a predetermined plurality of
  • Software modules preferably with additional conditions such as correct order and a predetermined number of calls of each module.
  • Answer submissions are combined and transmitted to the watchdog within a specific time frame.
  • the watchdog verifies the response to correct contents and timing, and increments an error counter if an error is detected, or resets the error counter if no error is detected. Thereafter, the watchdog continues the verification process by asking a new question.
  • the watchdog causes a safety-relevant process step, which may consist, for example, in that the output stages of the system controlled by the microcontroller are switched off via a shutdown path so that operation is no longer possible.
  • Microcontrollers provided by means of a watchdog.
  • the watchdog is assigned to a first microcontroller and monitors the message of a message of the first microcontroller within a time interval of predetermined duration. If a first component of a second component notifies a message, in particular a question or answer, this may mean in the context of the invention that the first component of the second component sends the message, for example on a bus system, or that it provides the message, for example, by filing in a register, and the second component queries this message.
  • the watchdog is usually supplied with a different clock signal from the clock signal of the microcontroller, so that it can check the correct time input of the message. It is intended that the watchdog of the first
  • Microcontroller message contains a post, which due to a
  • Microcontroller in addition to that of the first microcontroller.
  • two microcontrollers can be monitored by a watchdog.
  • An additional watchdog for the second microcontroller and also a second microcontroller associated Abschaltpfad can thus be saved.
  • the invention is not limited to monitoring two microcontrollers. Rather, a plurality of microcontrollers can be monitored together by a watchdog.
  • the second microcontroller does not have to be directly connected to the first microcontroller. Rather, it is sufficient that it is indirectly, for example via a third microcontroller, connected to the first microcontroller.
  • the third microcontroller can serve as a transmission unit of the messages exchanged between the first and second microcontroller, and according to the invention both the second and the third microcontroller can be monitored by the watchdog.
  • the message from the first microcontroller may include a response to a question previously communicated to the first microcontroller by the watchdog.
  • the watchdog notifies the first microcontroller of the issue at a time which forms the beginning of the time interval of predetermined duration. The watchdog thus detects a proper functioning of both microcontrollers only if both question and answer within the time interval
  • the answer be a first contribution, which of the first
  • Microcontroller is formed, and a second contribution, which of the second
  • Microcontroller formed and communicated to the first microcontroller includes.
  • the question may be communicated to the second microcontroller by the first microcontroller before the second contribution of the response is formed by the second microcontroller.
  • this message also happens within the given time interval. It is furthermore preferred that the first contribution of the answer, that of the first
  • Microcontroller is formed, a component-specific component, which results from a review of system components of the first microcontroller, in particular the logic of a main processor of the first microcontroller, and / or a function-specific component, which results from a review of a plurality of software modules of the first microcontroller, includes.
  • the second contribution of the response may also include a component-specific component and / or a function-specific component, as is also provided in the first contribution of the answer.
  • the second contribution of the response may consist only of a digital word, with individual bits of the digital word the
  • Microcontroller represent.
  • the second contribution of the answer can be supplemented by a question-specific component, which is formed in particular by reading out a table stored in the second microcontroller.
  • the watchdog can increment at least one detected error of the first or second microcontroller, an error counter, or, if the error counter has reached a predetermined value, cause a safety-relevant process step, for example, a shutdown of the output stages of the system controlled by the microcontroller.
  • Another aspect of the invention relates to a circuit arrangement having a first microcontroller, a watchdog associated therewith, and at least one second microcontroller connected to the first microcontroller.
  • the Circuit arrangement is designed to carry out the method according to the invention.
  • Lithium-ion battery with a battery management unit, which the
  • Circuit arrangement according to the invention comprises, as well as a motor vehicle, which comprises a battery according to the invention.
  • the motor vehicle may be an electric motor vehicle, in which the battery is connected to a drive system of the motor vehicle.
  • FIG. 1 shows a battery with a circuit arrangement according to an embodiment of the invention
  • FIG. 2 shows a flow chart of a method for monitoring two microcontrollers according to an embodiment of the invention.
  • FIG. 1 shows a battery designated overall by 100, preferably one
  • Lithium-ion battery which is a circuit arrangement according to a
  • Embodiment of the invention comprises.
  • a hardware watchdog 10 is associated with a first microcontroller 12 and connected to it via a bus 14, being exchanged over the bus 14 in both directions messages,
  • Both the watchdog 10 and the first microcontroller 12 have shutdown paths 16, 18, which are detected at a
  • the first microcontroller 12 is connected to a second microcontroller 20 via a bus 22, via which messages are also exchanged in both directions, in particular a question of the watchdog 10 forwarded by the first microcontroller 12 and an associated response of the second microcontroller 20. Due to the fact that the second microcontroller 20 receives a question from the watchdog 10 via the first microcontroller 12 and returns an associated response in the same way, the watchdog 10 can check the proper functioning of the second microcontroller 20 and, upon detection of an error, check the
  • FIG. 2 shows a flow chart of the method according to the invention. in the
  • a question from watchdog 10 is polled by first microcontroller 12.
  • the question of the watchdog 10 is communicated to the second microcontroller 20 by the first microcontroller 12, either by sending the question to the second microcontroller 20 or by providing for a query of the second microcontroller 20.
  • a first contribution of the response in FIG first microcontroller 12 is formed.
  • the second microcontroller 20 receives the question with the least possible time offset, for example by receiving the data of the first microcontroller 12 or by a query by the second microcontroller 20.
  • step 208 the timeliness of the question is checked by the second microcontroller 20, for example by Comparison with a stored earlier question, which must differ, or by evaluating a status bit, which the first microcontroller 12 sends along with the question. If the second microcontroller 20 determines that the question communicated to it is not up-to-date, an error counter is incremented in method step 210 or, if a specific position is exceeded, an error reaction is initiated. Otherwise, the second microcontroller 20 begins in method step 212 to form the second contribution of the response which is to be transmitted to the watchdog 10.
  • step 214 the second microcontroller 20 calculates the second contribution of the response to be sent to the watchdog 10 and notifies the first microcontroller 12, either by sending the data to the first one
  • Microcontroller 12 or by providing for a query by the first
  • the first microcontroller 12 takes over the second contribution of the answer and determines in method step 218 the relevance of the contribution of the answer, for example by comparison with a stored preceding reply item which must be differentiated or by
  • step 204 the first microcontroller 12 calculates the first contribution of the response to be sent to the watchdog. in the
  • the first microcontroller combines the first and second
  • the first microcontroller 12 can receive a multiplicity of response contributions and combine them into a total response to the watchdog 10. In this case, the composition of the different answers does not have to
  • the second contribution of the response which is formed by the second microcontroller 20, consists only of a digital word. This is particularly advantageous if the security requirements for the second microcontroller 20 are relatively low and a less complex check of a specific number of software modules of the second
  • Microcontroller 20 is sufficient.
  • the number of bits of the digital word must be greater than or equal to the number of software modules of the second microcontroller 20 to be checked.
  • the bits of the digital word are set to logic 0 at the beginning of a time interval defined by a question-answer cycle, for example, when a new question is notified by the watchdog. It will then the
  • a large number of software modules to be checked are called in a certain order and the corresponding bit of the digital word is set to logical 1 if the associated software module has been executed successfully.
  • An additional bit of the digital word may represent the presence of a new question, without which setting of the remaining individual bits is not allowed.
  • the second contribution of the response which is formed by the second microcontroller 20, comprises, in addition to the described digital word, only one query-specific component which, in particular, is stored by reading one in the second microcontroller 20

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Debugging And Monitoring (AREA)

Abstract

A method for monitoring at least two microcontrollers (12, 20) using a watchdog (10) is described. The watchdog (10) is associated with a first microcontroller (12) and monitors the communication of a message from the first microcontroller (12) within a time interval of a predefined duration (224). The message communicated to the watchdog (10) by the first microcontroller (12) contains a contribution which is formed (224) on account of communication (202, 216) between the first microcontroller (12) and a second microcontroller (20) connected to the latter and on the basis of which the watchdog (10) checks the proper method of operation of the second microcontroller (20). The invention also describes a circuit arrangement and a battery (100) with a battery management unit which are designed to carry out the method according to the invention.

Description

Beschreibung  description
Titel title
Verfahren zum Überwachen von mindestens zwei Mikrocontrollern Die vorliegende Erfindung betrifft ein Verfahren zum Überwachen von mindestens zwei Method for monitoring at least two microcontrollers The present invention relates to a method for monitoring at least two
Mikrocontrollern mittels eines Watchdogs, eine Schaltungsanordnung, welche dazu ausgebildet ist, das erfindungsgemäße Verfahren auszuführen, sowie eine Batterie und ein Kraftfahrzeug, welche die erfindungsgemäße Schaltungsanordnung umfassen. Stand der Technik Microcontrollers by means of a watchdog, a circuit arrangement which is adapted to carry out the inventive method, and a battery and a motor vehicle, which comprise the circuit arrangement according to the invention. State of the art
Aus dem Stand der Technik sind Verfahren zum Überwachen eines Mikrocontrollers mittels eines Watchdogs bekannt, bei welchen zur logischen und zeitlichen From the prior art, methods for monitoring a microcontroller by means of a watchdog are known, in which the logical and temporal
Überwachung des Programmablaufs sicherheitsrelevanter Programmteile des Monitoring the program sequence of safety-relevant program parts of the
Mikrocontrollers ein externer Hardware-Watchdog mit unabhängiger Zeitbasis und festem Zeitfenster eingesetzt wird. Zum Einsatz kommt ein solcher Watchdog beispielsweise im Rahmen der Überwachung von Motorsteuergeräten, in welchen ein so genanntes Drei-Ebenen-Konzept Anwendung findet. Dabei umfasst eine erste Ebene die Software zur Steuerung des Motors, eine zweite Ebene die Software zur Überwachung der Motorsteuerung und schließlich eine dritte Ebene die Software zurMicrocontroller an external hardware watchdog with independent time base and fixed time window is used. Such a watchdog is used, for example, in the context of the monitoring of engine control units in which a so-called three-level concept is used. In this case, a first level comprises the software for controlling the engine, a second level the software for monitoring the engine control and finally a third level the software for
Überwachung der in den ersten beiden Ebenen verwendeten Hardware. Ein Monitoring the hardware used in the first two levels. One
Hardware-Watchdog wird hierbei in der dritten Ebene eingesetzt, um einen in der ersten oder zweiten Ebene eingesetzten Mikrocontroller zu überprüfen. Die Überwachung des Mikrocontrollers mittels des Watchdogs kann in einer einfachenHardware watchdog is used here in the third level to check a microcontroller used in the first or second level. The monitoring of the microcontroller by means of the watchdog can be done in a simple
Konfiguration darin bestehen, dass der Watchdog das Eintreffen von Configuration is that the watchdog the arrival of
Rücksetzimpulsen innerhalb eines Zeitintervalls vorgegebener Dauer überwacht und bei Nichteintreffen der Rücksetzimpulse ein Reset des Mikrocontrollers veranlasst. In einer weiterentwickelten Konfiguration kann der Watchdog dem Mikrocontroller Testfragen übermitteln und dessen Antworten auf Richtigkeit und Zeitpunkt überprüfen. Ein solches Verfahren zur Überwachung eines Mikrocontrollers kann folgenden Ablauf aufweisen: Der Watchdog stellt dem Mikrocontroller zufällig eine von mehreren möglichen Fragen. Der Mikrocontroller bildet eine Antwort auf diese Frage, indem er zwei Antwortbeiträge kombiniert. Der erste Antwortbeitrag ergibt sich aus einer Prüfung der Logik des Mikrocontrollers. Der zweite Antwortbeitrag ergibt sich aus einer funktionsspezifischen Überprüfung einer vorbestimmten Vielzahl von Reset pulses monitored within a time interval of predetermined duration and causes a reset of the microcontroller in case of non-arrival of the reset pulses. In an advanced configuration, the watchdog can submit test questions to the microcontroller and check its correctness and timing responses. Such a method for monitoring a microcontroller may have the following sequence: The watchdog randomly asks the microcontroller one of several possible questions. The microcontroller provides an answer to this question by combining two answers. The first answer results from a check of the logic of the microcontroller. The second answer results from a function-specific check of a predetermined plurality of
Softwaremodulen, bevorzugt mit zusätzlichen Bedingungen wie korrekter Reihenfolge und einer vorgegebenen Anzahl von Aufrufen jedes Moduls. Die beiden Software modules, preferably with additional conditions such as correct order and a predetermined number of calls of each module. The two
Antwortbeiträge werden kombiniert und innerhalb eines bestimmten Zeitfensters an den Watchdog übermittelt. Der Watchdog überprüft die Antwort auf korrekten Inhalt und korrekten zeitlichen Eingang und inkrementiert einen Fehlerzähler, wenn ein Fehler erkannt wird, oder setzt den Fehlerzähler zurück, falls kein Fehler festgestellt wird. Danach wird das Überprüfungsverfahren vom Watchdog durch Stellen einer neuen Frage fortgesetzt. Answer submissions are combined and transmitted to the watchdog within a specific time frame. The watchdog verifies the response to correct contents and timing, and increments an error counter if an error is detected, or resets the error counter if no error is detected. Thereafter, the watchdog continues the verification process by asking a new question.
Wenn der Fehlerzähler des Watchdogs eine vorbestimmte Schwelle überschreitet, so veranlasst der Watchdog einen sicherheitsrelevanten Verfahrensschritt, der beispielsweise darin bestehen kann, dass über einen Abschaltpfad die Endstufen des vom Mikrocontroller angesteuerten Systems abgeschaltet werden, so dass kein Betrieb mehr möglich ist. If the error counter of the watchdog exceeds a predetermined threshold, then the watchdog causes a safety-relevant process step, which may consist, for example, in that the output stages of the system controlled by the microcontroller are switched off via a shutdown path so that operation is no longer possible.
In Hardware umgesetzte Watchdogs sind für gewöhnlich sehr einfach aufgebaut und erlauben eine Kommunikation lediglich mit je einem Mikrocontroller, so dass gemäß dem Stand der Technik eine Überwachung mehrerer Mikrocontroller nur durch die Verwendung der gleichen Anzahl von Watchdogs möglich ist. In hardware implemented watchdogs are usually very simple and allow communication only with one microcontroller, so that according to the prior art monitoring multiple microcontroller is possible only by using the same number of watchdogs.
Offenbarung der Erfindung Disclosure of the invention
Erfindungsgemäß wird ein Verfahren zum Überwachen von mindestens zwei According to the invention, a method for monitoring at least two
Mikrocontrollern mittels eines Watchdogs bereitgestellt. Der Watchdog ist einem ersten Mikrocontroller zugeordnet und überwacht die Mitteilung einer Nachricht des ersten Mikrocontrollers innerhalb eines Zeitintervalls vorgegebener Dauer. Wenn eine erste Komponente einer zweiten Komponente eine Nachricht mitteilt, insbesondere eine Frage oder Antwort, so kann dies im Rahmen der Erfindung bedeuten, dass die erste Komponente der zweiten Komponente die Nachricht zusendet, zum Beispiel auf einem Bussystem, oder dass sie die Nachricht bereitstellt, zum Beispiel durch Ablage in einem Register, und die zweite Komponente diese Nachricht abfragt. Dem Watchdog wird für gewöhnlich ein von dem Taktsignal des Mikrocontrollers verschiedenes Taktsignal zugeführt, so dass er den korrekten zeitlichen Eingang der Nachricht überprüfen kann. Es ist vorgesehen, dass die dem Watchdog von dem ersten Microcontrollers provided by means of a watchdog. The watchdog is assigned to a first microcontroller and monitors the message of a message of the first microcontroller within a time interval of predetermined duration. If a first component of a second component notifies a message, in particular a question or answer, this may mean in the context of the invention that the first component of the second component sends the message, for example on a bus system, or that it provides the message, for example, by filing in a register, and the second component queries this message. The watchdog is usually supplied with a different clock signal from the clock signal of the microcontroller, so that it can check the correct time input of the message. It is intended that the watchdog of the first
Mikrocontroller mitgeteilte Nachricht einen Beitrag enthält, welcher infolge einerMicrocontroller message contains a post, which due to a
Kommunikation zwischen dem ersten Mikrokontroller und einem mit diesem Communication between the first microcontroller and one with this
verbundenen zweiten Mikrocontroller gebildet wird. Auf Grundlage dieses Beitrags überprüft der Watchdog die ordnungsgemäße Funktionsweise des zweiten connected second microcontroller is formed. Based on this article, the watchdog checks the proper functioning of the second
Mikrocontrollers zusätzlich zu derjenigen des ersten Mikrocontrollers. Microcontroller in addition to that of the first microcontroller.
Durch das erfindungsgemäß vorgesehene erweiterte Überwachungskonzept können zwei Mikrocontroller durch einen Watchdog überwacht werden. Ein zusätzlicher Watchdog für den zweiten Mikrocontroller und auch ein dem zweiten Mikrocontroller zugeordneter Abschaltpfad können somit eingespart werden. Die Erfindung ist jedoch nicht auf eine Überwachung von zwei Mikrocontrollern beschränkt. Vielmehr können auch eine Vielzahl von Mikrocontrollern gemeinsam durch einen Watchdog überwacht werden. Insbesondere muss der zweite Mikrocontroller mit dem ersten Mikrocontroller nicht direkt verbunden sein. Vielmehr reicht es aus, dass er mittelbar, beispielsweise über einen dritten Mikrocontroller, mit dem ersten Mikrocontroller verbunden ist. In einer solchen Anordnung kann der dritte Mikrocontroller als Übertragungseinheit der zwischen dem ersten und zweiten Mikrocontroller ausgetauschten Nachrichten dienen, und erfindungsgemäß kann sowohl der zweite, als auch der dritte Mikrocontroller durch den Watchdog überwacht werden. Die Nachricht des ersten Mikrocontrollers kann eine Antwort auf eine Frage umfassen, welche zuvor dem ersten Mikrocontroller von dem Watchdog mitgeteilt worden ist. Typischerweise teilt der Watchdog dem ersten Mikrocontroller die Frage zu einem Zeitpunkt mit, welcher den Anfang des Zeitintervalls vorgegebener Dauer bildet. Der Watchdog stellt somit eine ordnungsgemäße Funktionsweise beider Mikrocontroller nur dann fest, wenn sowohl Frage als auch Antwort innerhalb des Zeitintervalls By the inventively provided advanced monitoring concept, two microcontrollers can be monitored by a watchdog. An additional watchdog for the second microcontroller and also a second microcontroller associated Abschaltpfad can thus be saved. However, the invention is not limited to monitoring two microcontrollers. Rather, a plurality of microcontrollers can be monitored together by a watchdog. In particular, the second microcontroller does not have to be directly connected to the first microcontroller. Rather, it is sufficient that it is indirectly, for example via a third microcontroller, connected to the first microcontroller. In such an arrangement, the third microcontroller can serve as a transmission unit of the messages exchanged between the first and second microcontroller, and according to the invention both the second and the third microcontroller can be monitored by the watchdog. The message from the first microcontroller may include a response to a question previously communicated to the first microcontroller by the watchdog. Typically, the watchdog notifies the first microcontroller of the issue at a time which forms the beginning of the time interval of predetermined duration. The watchdog thus detects a proper functioning of both microcontrollers only if both question and answer within the time interval
ausgetauscht werden. be replaced.
Bevorzugt ist, dass die Antwort einen ersten Beitrag, welcher vom ersten It is preferred that the answer be a first contribution, which of the first
Mikrocontroller gebildet wird, und einen zweiten Beitrag, welcher vom zweiten Microcontroller is formed, and a second contribution, which of the second
Mikrocontroller gebildet und dem ersten Mikrocontroller mitgeteilt wird, umfasst. Dabei kann die Frage dem zweiten Mikrocontroller von dem ersten Mikrocontroller mitgeteilt werden, bevor von dem zweiten Mikrocontroller der zweite Beitrag der Antwort gebildet wird. Typischerweise geschieht diese Mitteilung auch innerhalb des vorgegebenen Zeitintervalls. Bevorzugt ist weiterhin, dass der erste Beitrag der Antwort, welcher vom erstenMicrocontroller formed and communicated to the first microcontroller includes. The question may be communicated to the second microcontroller by the first microcontroller before the second contribution of the response is formed by the second microcontroller. Typically, this message also happens within the given time interval. It is furthermore preferred that the first contribution of the answer, that of the first
Mikrocontroller gebildet wird, einen komponentenspezifischen Bestandteil, welcher sich aus einer Überprüfung von Systemkomponenten des ersten Mikrocontrollers, insbesondere der Logik eines Hauptprozessors des ersten Mikrocontrollers ergibt, und/oder einen funktionsspezifischen Bestandteil, welcher sich aus einer Überprüfung einer Mehrzahl von Softwaremodulen des ersten Mikrocontrollers ergibt, umfasst. Microcontroller is formed, a component-specific component, which results from a review of system components of the first microcontroller, in particular the logic of a main processor of the first microcontroller, and / or a function-specific component, which results from a review of a plurality of software modules of the first microcontroller, includes.
Für den zweiten Beitrag der Antwort, welcher vom zweiten Mikrocontroller gebildet wird, können verschiedene Varianten vorgesehen sein, je nachdem, wie hohe For the second contribution of the response, which is formed by the second microcontroller, different variants can be provided, depending on how high
Anforderungen an die Überwachung des zweiten Mikrocontrollers gestellt werden. Be made to the monitoring requirements of the second microcontroller.
Wenn hohe Anforderungen an die Überwachung des zweiten Mikrocontrollers gestellt werden, kann auch der zweite Beitrag der Antwort einen komponentenspezifischen Bestandteil und/oder einen funktionsspezifischen Bestandteil umfassen, wie dies auch bei dem ersten Beitrag der Antwort vorgesehen ist. If high demands are placed on the monitoring of the second microcontroller, the second contribution of the response may also include a component-specific component and / or a function-specific component, as is also provided in the first contribution of the answer.
Bei geringeren Anforderungen kann der zweite Beitrag der Antwort lediglich aus einem digitalen Wort bestehen, wobei einzelne Bits des digitalen Wortes die For smaller requirements, the second contribution of the response may consist only of a digital word, with individual bits of the digital word the
ordnungsgemäße Funktionsweise einzelner Softwaremodule des zweiten proper functioning of individual software modules of the second
Mikrocontrollers repräsentieren. Wahlweise kann der zweite Beitrag der Antwort hierbei durch einen fragespezifischen Bestandteil ergänzt werden, welcher insbesondere durch Auslesen einer in dem zweiten Mikrocontroller hinterlegten Tabelle gebildet wird. Microcontroller represent. Optionally, the second contribution of the answer can be supplemented by a question-specific component, which is formed in particular by reading out a table stored in the second microcontroller.
Der Watchdog kann bei wenigstens einem erkannten Fehler des ersten oder zweiten Mikrocontrollers einen Fehlerzähler inkrementieren, oder, wenn der Fehlerzähler einen vorgegebenen Wert erreicht hat, einen sicherheitsrelevanten Verfahrensschritt veranlassen, zum Beispiel eine Abschaltung der Endstufen des vom Mikrocontroller angesteuerten Systems. The watchdog can increment at least one detected error of the first or second microcontroller, an error counter, or, if the error counter has reached a predetermined value, cause a safety-relevant process step, for example, a shutdown of the output stages of the system controlled by the microcontroller.
Ein weiterer Aspekt der Erfindung betrifft eine Schaltungsanordnung mit einem ersten Mikrocontroller, einem diesem zugeordneten Watchdog und mindestens einem mit dem ersten Mikrocontroller verbundenen zweiten Mikrocontroller. Die Schaltungsanordnung ist dazu ausgebildet, das erfindungsgemäße Verfahren auszuführen. Another aspect of the invention relates to a circuit arrangement having a first microcontroller, a watchdog associated therewith, and at least one second microcontroller connected to the first microcontroller. The Circuit arrangement is designed to carry out the method according to the invention.
Weitere Aspekte der Erfindung betreffen eine Batterie, bevorzugt eine Further aspects of the invention relate to a battery, preferably a
Lithium-Ionen-Batterie, mit einer Batteriemanagementeinheit, welche die Lithium-ion battery, with a battery management unit, which the
erfindungsgemäße Schaltungsanordnung umfasst, sowie ein Kraftfahrzeug, welches eine erfindungsgemäße Batterie umfasst. Bei dem Kraftfahrzeug kann es sich um ein elektrisches Kraftfahrzeug handeln, bei welchem die Batterie mit einem Antriebssystem des Kraftfahrzeugs verbunden ist. Circuit arrangement according to the invention comprises, as well as a motor vehicle, which comprises a battery according to the invention. The motor vehicle may be an electric motor vehicle, in which the battery is connected to a drive system of the motor vehicle.
Zeichnungen drawings
Ausführungsbeispiele der Erfindung werden anhand der Zeichnungen und der nachfolgenden Beschreibung näher erläutert. Es zeigen: Embodiments of the invention will be explained in more detail with reference to the drawings and the description below. Show it:
Figur 1 eine Batterie mit einer Schaltungsanordnung gemäß einer Ausführungsform der Erfindung und 1 shows a battery with a circuit arrangement according to an embodiment of the invention and
Figur 2 ein Flussdiagramm eines Verfahrens zur Überwachung zweier Mikrocontroller gemäß einer Ausführungsform der Erfindung. FIG. 2 shows a flow chart of a method for monitoring two microcontrollers according to an embodiment of the invention.
Figur 1 zeigt eine insgesamt mit 100 bezeichnete Batterie, bevorzugt eine FIG. 1 shows a battery designated overall by 100, preferably one
Lithium-Ionen-Batterie, welche eine Schaltungsanordnung gemäß einer Lithium-ion battery, which is a circuit arrangement according to a
Ausführungsform der Erfindung umfasst. Ein Hardware-Watchdog 10 ist einem ersten Mikrocontroller 12 zugeordnet und mit diesem über einen Bus 14 verbunden, wobei über den Bus 14 in beiden Richtungen Nachrichten ausgetauscht werden, Embodiment of the invention comprises. A hardware watchdog 10 is associated with a first microcontroller 12 and connected to it via a bus 14, being exchanged over the bus 14 in both directions messages,
insbesondere Fragen des Watchdogs 10 und dazugehörige Antworten des ersten Mikrocontrollers 12. Sowohl der Watchdog 10 als auch der erste Mikrocontroller 12 verfügen über Abschaltpfade 16, 18, über welche bei einer festgestellten in particular questions of the watchdog 10 and associated responses of the first microcontroller 12. Both the watchdog 10 and the first microcontroller 12 have shutdown paths 16, 18, which are detected at a
sicherheitskritischen Situation eine nicht dargestellte Hochvolt-Schütze der Batteriesafety-critical situation a high-voltage contactor of the battery, not shown
100 geöffnet werden kann. 100 can be opened.
Der erste Mikrocontroller 12 ist mit einem zweiten Mikrocontroller 20 über einen Bus 22 verbunden, über welchen ebenfalls in beiden Richtungen Nachrichten ausgetauscht werden, insbesondere eine von dem ersten Mikrocontroller 12 weitergeleitete Frage des Watchdogs 10 und eine dazugehörige Antwort des zweiten Mikrocontrollers 20. Dadurch, dass der zweite Mikrocontroller 20 eine Frage des Watchdogs 10 über den ersten Mikrocontroller 12 empfängt und eine dazugehörige Antwort auf dem gleichen Wege zurückschickt, kann der Watchdog 10 die ordnungsgemäße Funktionsweise des zweiten Mikrocontrollers 20 überprüfen und bei Feststellen eines Fehlers die The first microcontroller 12 is connected to a second microcontroller 20 via a bus 22, via which messages are also exchanged in both directions, in particular a question of the watchdog 10 forwarded by the first microcontroller 12 and an associated response of the second microcontroller 20. Due to the fact that the second microcontroller 20 receives a question from the watchdog 10 via the first microcontroller 12 and returns an associated response in the same way, the watchdog 10 can check the proper functioning of the second microcontroller 20 and, upon detection of an error, check the
Hochvolt-Schütze der Batterie über den Abschaltpfad 16 öffnen. Somit ist es nicht erforderlich, einen separaten Abschaltpfad vorzusehen, auf weichen der zweite Mikrocontroller 20 direkten Zugriff hat. Open the high voltage contactors of the battery via the shutdown path 16. Thus, it is not necessary to provide a separate shutdown path to which the second microcontroller 20 has direct access.
Figur 2 zeigt ein Flussdiagramm des erfindungsgemäßen Verfahrens. Im FIG. 2 shows a flow chart of the method according to the invention. in the
Verfahrensschritt 200 wird eine Frage des Watchdogs 10 vom ersten Mikrocontroller 12 abgefragt. Im Verfahrensschritt 202 wird die Frage des Watchdogs 10 dem zweiten Mikrocontroller 20 vom ersten Mikrocontroller 12 mitgeteilt, entweder durch Senden der Frage an den zweiten Mikrocontroller 20 oder durch Bereitstellen für eine Abfrage des zweiten Mikrocontrollers 20. Im Verfahrensschritt 204 wird ein erster Beitrag der Antwort im ersten Mikrocontroller 12 gebildet. Im Verfahrensschritt 206 erhält der zweite Mikrocontroller 20 die Frage mit möglichst geringem Zeitversatz, beispielsweise durch Empfang der Daten des ersten Mikrocontrollers 12 oder durch eine Abfrage seitens des zweiten Mikrocontrollers 20. Im Verfahrensschritt 208 wird die Aktualität der Frage vom zweiten Mikrocontroller 20 überprüft, beispielsweise durch Vergleich mit einer gespeicherten früheren Frage, welche sich unterscheiden muss, oder durch Bewertung eines Statusbits, welches der erste Mikrocontroller 12 mit der Frage mitsendet. Falls der zweite Mikrocontroller 20 feststellt, dass die ihm mitgeteilte Frage nicht aktuell ist, wird im Verfahrenschritt 210 ein Fehlerzähler inkrementiert oder bei Überschreitung einer bestimmten Stelle eine Fehlerreaktion eingeleitet. Anderenfalls beginnt der zweite Mikrocontroller 20 im Verfahrensschritt 212 damit, den zweiten Beitrag der Antwort, welche an den Watchdog 10 übermittelt werden soll, zu bilden. At step 200, a question from watchdog 10 is polled by first microcontroller 12. In method step 202, the question of the watchdog 10 is communicated to the second microcontroller 20 by the first microcontroller 12, either by sending the question to the second microcontroller 20 or by providing for a query of the second microcontroller 20. In method step 204, a first contribution of the response in FIG first microcontroller 12 is formed. In step 206, the second microcontroller 20 receives the question with the least possible time offset, for example by receiving the data of the first microcontroller 12 or by a query by the second microcontroller 20. In step 208, the timeliness of the question is checked by the second microcontroller 20, for example by Comparison with a stored earlier question, which must differ, or by evaluating a status bit, which the first microcontroller 12 sends along with the question. If the second microcontroller 20 determines that the question communicated to it is not up-to-date, an error counter is incremented in method step 210 or, if a specific position is exceeded, an error reaction is initiated. Otherwise, the second microcontroller 20 begins in method step 212 to form the second contribution of the response which is to be transmitted to the watchdog 10.
Im Verfahrensschritt 214 berechnet der zweite Mikrocontroller 20 den zweiten Beitrag der Antwort, welche an den Watchdog 10 übermittelt werden soll, und teilt sie dem ersten Mikrocontroller 12 mit, entweder durch Senden der Daten an den ersten In step 214, the second microcontroller 20 calculates the second contribution of the response to be sent to the watchdog 10 and notifies the first microcontroller 12, either by sending the data to the first one
Mikrocontroller 12 oder durch Bereitstellen für eine Abfrage durch den ersten  Microcontroller 12 or by providing for a query by the first
Mikrocontroller 12. Im Verfahrensschritt 216 übernimmt der erste Mikrocontroller 12 den zweiten Beitrag der Antwort und stellt im Verfahrensschritt 218 die Aktualität des Beitrages der Antwort fest, beispielsweise durch Vergleich mit einem gespeicherten vorangehenden Antwortbeitrag, welcher sich unterscheiden muss, oder durch Microcontroller 12. In method step 216, the first microcontroller 12 takes over the second contribution of the answer and determines in method step 218 the relevance of the contribution of the answer, for example by comparison with a stored preceding reply item which must be differentiated or by
Bewertung eines Statusbits, das der erste Mikrocontroller 12 mit der Frage mitsendet. Falls die Bewertung negativ ausfällt, wird im Verfahrensschritt 220 ein Fehlerzähler inkrementiert oder bei Überschreitung einer Schwelle eine Fehlerreaktion eingeleitet. Gleichzeitig berechnet der erste Mikrocontroller 12 im Verfahrensschritt 204 den ersten Beitrag der Antwort, welche an den Watchdog gesandt werden soll. Im Evaluation of a status bit that the first microcontroller 12 sends along with the question. If the evaluation is negative, an error counter is incremented in method step 220 or an error reaction is initiated if a threshold is exceeded. At the same time, in step 204, the first microcontroller 12 calculates the first contribution of the response to be sent to the watchdog. in the
Verfahrensschritt 222 kombiniert der erste Mikrocontroller den ersten und den zweitenAt step 222, the first microcontroller combines the first and second
Beitrag der Antwort zu einer Gesamtantwort und schickt diese Gesamtantwort als Nachricht im passenden Zeitfenster an den Watchdog 10 (Verfahrensschritt 224). Contribution of the answer to a total response and sends this total response as a message in the appropriate time window to the watchdog 10 (step 224).
Bei einer Anwendung des erfindungsgemäßen Verfahrens im Fall von mehr als zwei Mikrocontrollern kann der erste Mikrocontroller 12 eine Vielzahl von Antwortbeiträgen empfangen und zu einer Gesamtantwort an den Watchdog 10 kombinieren. Hierbei muss das Zusammensetzen der verschiedenen Antwortbeiträge nicht In an application of the method according to the invention in the case of more than two microcontrollers, the first microcontroller 12 can receive a multiplicity of response contributions and combine them into a total response to the watchdog 10. In this case, the composition of the different answers does not have to
notwendigerweise im ersten Mikrocontroller 12 erfolgen, sondern kann auch wechselnd in verschiedenen Mikrocontrollern erfolgen. necessarily be done in the first microcontroller 12, but can also be done alternately in different microcontrollers.
In einem nicht detailliert dargestellten Ausführungsbeispiel besteht der zweite Beitrag der Antwort, welcher vom zweiten Mikrocontroller 20 gebildet wird, lediglich aus einem digitalen Wort. Dies ist besonders dann vorteilhaft, wenn die Sicherheitsanforderungen an den zweiten Mikrocontroller 20 relativ gering sind und eine weniger komplexe Überprüfung einer bestimmten Anzahl von Softwaremodulen des zweiten In an embodiment not shown in detail, the second contribution of the response, which is formed by the second microcontroller 20, consists only of a digital word. This is particularly advantageous if the security requirements for the second microcontroller 20 are relatively low and a less complex check of a specific number of software modules of the second
Mikrocontrollers 20 ausreicht. Hierbei muss die Anzahl der Bits des digitalen Wortes größer oder gleich der Anzahl der zu überprüfenden Softwaremodule des zweiten Mikrocontrollers 20 sein. Die Bits des digitalen Wortes werden zu Beginn eines durch einen Frage-Antwort-Zyklus definierten Zeitintervalls, beispielsweise bei Mitteilung einer neuen Frage durch den Watchdog, auf logische 0 gesetzt. Es wird daraufhin die Microcontroller 20 is sufficient. In this case, the number of bits of the digital word must be greater than or equal to the number of software modules of the second microcontroller 20 to be checked. The bits of the digital word are set to logic 0 at the beginning of a time interval defined by a question-answer cycle, for example, when a new question is notified by the watchdog. It will then the
Vielzahl von zu überprüfenden Softwaremodulen in einer bestimmten Reihenfolge aufgerufen und das entsprechende Bit des digitalen Wortes auf logische 1 gesetzt, wenn das zugehörige Softwaremodul erfolgreich ausgeführt wurde. Ein zusätzliches Bit des digitalen Wortes kann das Vorhandensein einer neuen Frage repräsentieren, ohne welches ein Setzen der übrigen einzelnen Bits nicht zugelassen wird. A large number of software modules to be checked are called in a certain order and the corresponding bit of the digital word is set to logical 1 if the associated software module has been executed successfully. An additional bit of the digital word may represent the presence of a new question, without which setting of the remaining individual bits is not allowed.
In einem weiteren, nicht genauer dargestellten Ausführungsbeispiel umfasst der zweite Beitrag der Antwort, welcher vom zweiten Mikrocontroller 20 gebildet wird, neben dem beschriebenen digitalen Wort lediglich einen fragespezifischen Bestandteil, welcher insbesondere durch Auslesen einer in dem zweiten Mikrocontroller 20 hinterlegtenIn a further exemplary embodiment, which is not shown in more detail, the second contribution of the response, which is formed by the second microcontroller 20, comprises, in addition to the described digital word, only one query-specific component which, in particular, is stored by reading one in the second microcontroller 20
Tabelle gebildet wird. In einem weiteren, nicht genauer dargestellten Ausführungsbeispiel wird ein Wert eines Bits des digitalen Prüfwortes nur dann geändert, wenn bei der Überprüfung eines dem Bit zugeordneten Softwaremoduls ein Fehler festgestellt wird. Dadurch wird Table is formed. In another embodiment, which is not shown in more detail, a value of one bit of the digital check word is only changed if an error is detected during the check of a software module assigned to the bit. This will
sichergestellt, dass der zweite Mikrocontroller 20 die ihm mitgeteilte Frage korrekt verstanden hat und alle zu überprüfenden Softwaremodule innerhalb des ensures that the second microcontroller 20 has correctly understood the question communicated to him and all the software modules to be checked within the
vorgegebenen Zeitintervalls mindestens einmal ausgeführt hat. has executed predetermined time interval at least once.

Claims

Verfahren zum Überwachen von mindestens zwei Mikrocontrollern (12, 20) mittels eines Watchdogs (10), wobei der Watchdog (10) einem ersten Mikrocontroller (12) zugeordnet ist und die Mitteilung einer Nachricht des ersten Mikrocontrollers innerhalb eines Zeitintervalls vorgegebener Dauer überwacht (224), dadurch gekennzeichnet, dass die dem Watchdog (10) von dem ersten Mikrocontroller (12) mitgeteilte Nachricht einen Beitrag enthält, welcher infolge einer Kommunikation (202, 216) zwischen dem ersten Mikrocontroller (12) und einem mit diesem verbundenen zweiten Method for monitoring at least two microcontrollers (12, 20) by means of a watchdog (10), wherein the watchdog (10) is assigned to a first microcontroller (12) and monitors the message of a message of the first microcontroller within a time interval of a predetermined duration (224) characterized in that the message communicated to the watchdog (10) by the first microcontroller (12) includes a contribution resulting from a communication (202, 216) between the first microcontroller (12) and a second one connected thereto
Mikrocontroller (20) gebildet wird (224) und auf dessen Grundlage der Watchdog die ordnungsgemäße Funktionsweise des zweiten Microcontroller (20) is formed (224) and on the basis of which watchdog the proper functioning of the second
Mikrocontrollers (20) überprüft. Microcontroller (20) checked.
Verfahren nach Anspruch 1 , wobei die Nachricht des ersten Mikrocontrollers (12) eine Antwort auf eine Frage umfasst, welche zuvor dem ersten The method of claim 1, wherein the message from the first microcontroller (12) comprises a response to a question previously submitted to the first one
Mikrocontroller (12) von dem Watchdog (10) mitgeteilt worden ist (200), insbesondere zu einem Anfangszeitpunkt des Zeitintervalls vorgegebener Dauer. Microcontroller (12) has been notified by the watchdog (10) (200), in particular at an initial time of the time interval of predetermined duration.
Verfahren nach Anspruch 2, wobei die Antwort einen ersten Beitrag, welcher vom ersten Mikrocontroller (12) gebildet wird (204), und einen zweiten Beitrag, welcher vom zweiten (20) Mikrocontroller gebildet (212) und dem ersten Mikrocontroller (12) mitgeteilt wird (214), umfasst. The method of claim 2, wherein the response is a first post formed by the first microcontroller (12) (204) and a second post provided by the second (20) microcontroller (212) and the first microcontroller (12) (214).
Verfahren nach Anspruch 3, wobei die Frage dem zweiten Mikrocontroller (20) von dem ersten Mikrocontroller (12) mitgeteilt wird (202), bevor von dem zweiten Mikrocontroller (20) der zweite Beitrag der Antwort gebildet wird (212). Verfahren nach Anspruch 3 oder 4, wobei der erste Beitrag der Antwort, welcher vom ersten Mikrocontroller (12) gebildet wird (204), einen komponentenspezifischen Bestandteil, welcher sich aus einer Überprüfung von Systemkomponenten des ersten Mikrocontrollers (12), insbesondere einer Logik eines Hauptprozessors des ersten Mikrocontrollers (12), ergibt, und/oder einen funktionsspezifischen Bestandteil, welcher sich aus einer Überprüfung einer Mehrzahl von Softwaremodulen des ersten The method of claim 3, wherein the question is communicated (202) to the second microcontroller (20) by the first microcontroller (12) before the second contribution of the response is formed by the second microcontroller (20) (212). The method of claim 3 or 4, wherein the first contribution of the response formed by the first microcontroller (12) (204) is a component-specific component resulting from a review of system components of the first microcontroller (12), in particular a logic of a main processor of the first microcontroller (12), and / or a function-specific component which results from a check of a plurality of software modules of the first
Mikrocontrollers (12) ergibt, umfasst. Microcontroller (12) results, includes.
Verfahren nach einem der Ansprüche 3 bis 5, wobei der zweite Beitrag der Antwort, welcher vom zweiten Mikrocontroller (20) gebildet wird (214), einen komponentenspezifischen Bestandteil, welcher sich aus einer Überprüfung von System komponenten des zweiten Mikrocontrollers (20), insbesondere der Logik eines Hauptprozessors des zweiten Mikrocontrollers (20), ergibt, und/oder einen funktionsspezifischen Bestandteil, welcher sich aus einer Überprüfung einer Mehrzahl von Softwaremodulen des zweiten Method according to one of claims 3 to 5, wherein the second contribution of the response, which is formed by the second microcontroller (20) (214), a component-specific component, which consists of a review of system components of the second microcontroller (20), in particular Logic of a main processor of the second microcontroller (20), results, and / or a function-specific component, which consists of a review of a plurality of software modules of the second
Mikrocontrollers (20) ergibt, umfasst. Microcontroller (20) results, includes.
Verfahren nach einem der Ansprüche 3 bis 5, wobei der zweite Beitrag der Antwort, welcher vom zweiten Mikrocontroller (20) gebildet wird (214), lediglich aus einem digitalen Wort besteht, wobei einzelne Bits des digitalen Wortes die ordnungsgemäße Funktionsweise einzelner Softwaremodule des zweiten Mikrocontrollers (20) repräsentieren. Method according to one of claims 3 to 5, wherein the second contribution of the response, which is formed by the second microcontroller (20) (214) consists only of a digital word, wherein individual bits of the digital word, the proper operation of individual software modules of the second microcontroller (20).
Verfahren nach einem der Ansprüche 3 bis 5, wobei der zweite Beitrag der Antwort, welcher vom zweiten Mikrocontroller (20) gebildet wird (214), lediglich aus einem fragespezifischen Bestandteil, der insbesondere durch Auslesen einer in dem zweiten Mikrocontroller (20) hinterlegten Tabelle gebildet wird, sowie aus einem digitalen Wort besteht, wobei einzelne Bits des digitalen Wortes die ordnungsgemäße Funktionsweise einzelner Softwaremodule des zweiten Mikrocontrollers (20) repräsentieren. Method according to one of claims 3 to 5, wherein the second contribution of the response, which is formed by the second microcontroller (20) (214), only from a question-specific component, in particular formed by reading a stored in the second microcontroller (20) table and a digital word, wherein individual bits of the digital word represent the proper operation of individual software modules of the second microcontroller (20).
Verfahren nach einem der vorangehenden Ansprüche, wobei der Watchdog (10) bei wenigstens einem erkannten Fehler des ersten (12) oder zweiten (20) Mikrocontrollers einen Fehlerzähler inkrementiert, oder, wenn der Fehlerzähler einen vorgegebenen Wert erreicht hat, einen A method according to any one of the preceding claims, wherein the watchdog (10) increments an error counter in at least one detected error of the first (12) or second (20) microcontroller, or if the Error counter has reached a predetermined value, one
sicherheitsrelevanten Verfahrensschritt veranlasst.  safety-relevant procedural step causes.
10. Schaltungsanordnung mit einem ersten Mikrocontroller (12), einem diesem zugeordneten Watchdog (10) und mindestens einem mit dem ersten Mikrocontroller (12) verbundenen zweiten Mikrocontroller (20), dadurch gekennzeichnet, dass die Schaltungsanordnung dazu ausgebildet ist, ein Verfahren nach einem der vorangehenden Ansprüche auszuführen. 10. Circuit arrangement having a first microcontroller (12), a watchdog associated therewith (10) and at least one second microcontroller (20) connected to the first microcontroller (12), characterized in that the circuit arrangement is designed to provide a method according to one of to carry out the preceding claims.
1 1. Batterie (100) umfassend eine Batteriemanagementeinheit mit einer Schaltungsanordnung nach Anspruch 10. 1 1. A battery (100) comprising a battery management unit with a circuit arrangement according to claim 10.
12. Kraftfahrzeug, insbesondere elektrisches Kraftfahrzeug, umfassend eine Batterie (100) nach Anspruch 11. 12. Motor vehicle, in particular electric motor vehicle, comprising a battery (100) according to claim 11.
EP11760737.4A 2010-09-20 2011-09-08 Method for monitoring at least two microcontrollers Ceased EP2619667A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE201010041003 DE102010041003A1 (en) 2010-09-20 2010-09-20 Method for monitoring at least two microcontrollers
PCT/EP2011/065515 WO2012038260A1 (en) 2010-09-20 2011-09-08 Method for monitoring at least two microcontrollers

Publications (1)

Publication Number Publication Date
EP2619667A1 true EP2619667A1 (en) 2013-07-31

Family

ID=44675559

Family Applications (1)

Application Number Title Priority Date Filing Date
EP11760737.4A Ceased EP2619667A1 (en) 2010-09-20 2011-09-08 Method for monitoring at least two microcontrollers

Country Status (7)

Country Link
US (1) US9104570B2 (en)
EP (1) EP2619667A1 (en)
JP (1) JP5715257B2 (en)
KR (1) KR101581403B1 (en)
CN (1) CN103168292B (en)
DE (1) DE102010041003A1 (en)
WO (1) WO2012038260A1 (en)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013213402A1 (en) * 2013-07-09 2015-01-15 Robert Bosch Gmbh Microcontroller with at least two cores
DE102013217461B4 (en) 2013-09-02 2023-10-05 Robert Bosch Gmbh Method and arrangement for monitoring a component in a motor vehicle
KR101534974B1 (en) 2013-12-19 2015-07-08 현대자동차주식회사 Micro core monitoring apparatus and method thereof
FR3018961B1 (en) * 2014-03-24 2016-04-01 Schneider Electric Ind Sas DEVICE FOR MANAGING TRIGGER CAUSES IN AN ELECTRONIC TRIGGER
JP6498043B2 (en) 2015-05-29 2019-04-10 キヤノン株式会社 Electronics
KR101945425B1 (en) 2015-11-27 2019-02-07 주식회사 엘지화학 Apparatus for monitoring the status of battery pack in parallel
KR101988558B1 (en) * 2017-06-07 2019-06-12 현대오트론 주식회사 Apparatus and operating method for monitoring micro controller unit having multi-core
KR102344211B1 (en) 2017-12-20 2021-12-27 주식회사 엘지에너지솔루션 System and method for diagnosing main controller abnormal operation
DE102018209704A1 (en) * 2018-06-15 2019-12-19 Bayerische Motoren Werke Aktiengesellschaft Means of transportation and device for issuing a request to take over vehicle guidance
US11036573B2 (en) * 2019-05-16 2021-06-15 Ford Global Technologies, Llc Control processor unit (CPU) error detection by another CPU via communication bus
US10936397B2 (en) * 2019-05-23 2021-03-02 Ford Global Technologies, Llc Hybrid control module status communication system and method
KR20210031317A (en) 2019-09-11 2021-03-19 주식회사 엘지화학 Watchdog system, method of watchdog, and battery management system comprising the watchdog system
KR102213254B1 (en) * 2019-10-02 2021-02-19 주식회사 현대케피코 Method for detecting error of plural micom using single watchdog and apparatus thereof
KR102219432B1 (en) * 2019-12-12 2021-02-26 현대모비스 주식회사 Watchdog apparatus and control method thereof

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001350735A (en) * 2000-06-09 2001-12-21 Bosch Automotive Systems Corp Method for mutual monitoring among plural data processors
DE10056408C1 (en) * 2000-11-14 2002-03-07 Bosch Gmbh Robert Processor monitoring device uses watchdog for monitoring system clock and providing software checking function and component check monitoring function
DE10205809A1 (en) 2001-06-08 2002-12-12 Bosch Gmbh Robert Monitoring control system for vehicle operating processes incorporates monitoring module and control unit processing queries and responses in mutually asynchronous time windows
JP4391724B2 (en) 2001-06-08 2009-12-24 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング Method and apparatus for monitoring vehicle drive sequence control
DE10211280A1 (en) 2002-03-14 2003-09-25 Bosch Gmbh Robert Motor vehicle X-by-wire system for vehicle braking and control method therefor, whereby a communications controller for an actuator and process computer module also acts as a monitoring unit for the process controller
DE10225472A1 (en) * 2002-06-10 2003-12-18 Philips Intellectual Property Automotive microcontroller monitoring circuit and method, whereby a non-volatile memory, to which the microcontroller has read-write access, is used to generate error statistics relating to microcontroller operation
JP2004259137A (en) * 2003-02-27 2004-09-16 Denso Corp Electronic control device
DE102004022624A1 (en) 2004-05-07 2005-12-08 Robert Bosch Gmbh Method for monitoring a system
DE102006029514B3 (en) * 2006-06-27 2007-05-31 Atmel Germany Gmbh Circuit arrangement for controlling actuator in motor vehicle, has peripheral unit, where arrangement is designed to operate peripheral unit always in one of operating modes, when watchdog circuit is in operating mode lowered activity
UA82448C2 (en) 2007-02-26 2008-04-10 Институт электросварки им. Е.О. Патона национальной академии наук Украины Method for production of encapsulated nanopowders and unit for implementation thereof
DE102007033365A1 (en) * 2007-07-16 2009-01-22 Huf Hülsbeck & Fürst Gmbh & Co. Kg A temperature-dependent signal providing watchdog circuit for a microcontroller of an ELV
JP4633134B2 (en) * 2008-03-27 2011-02-16 ルネサスエレクトロニクス株式会社 Microcontroller, control system, and design method of microcontroller
JP4454672B2 (en) * 2008-06-13 2010-04-21 三菱電機株式会社 On-vehicle electronic control device having a supervisory control circuit
CN101770404B (en) * 2008-12-31 2012-08-15 环旭电子股份有限公司 Watchdog circuit capable of keeping status and method for keeping restart status thereof
JP5339961B2 (en) * 2009-02-26 2013-11-13 三洋電機株式会社 Battery control apparatus and battery system for electric vehicle

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
None *
See also references of WO2012038260A1 *

Also Published As

Publication number Publication date
JP2013541089A (en) 2013-11-07
KR20130056347A (en) 2013-05-29
CN103168292A (en) 2013-06-19
CN103168292B (en) 2017-02-08
KR101581403B1 (en) 2015-12-30
JP5715257B2 (en) 2015-05-07
DE102010041003A1 (en) 2012-03-22
US9104570B2 (en) 2015-08-11
US20140149809A1 (en) 2014-05-29
WO2012038260A1 (en) 2012-03-29

Similar Documents

Publication Publication Date Title
EP2619667A1 (en) Method for monitoring at least two microcontrollers
DE102006028695A1 (en) Electronic control system with malfunction monitoring
WO2010145985A1 (en) Method for operating a bus system, in particular a can bus
DE102006023274B4 (en) Method and device for controlling network segments of a network in a motor vehicle
DE102013002647B3 (en) A motor vehicle with a vehicle communication bus and method for generating bus messages
DE102011081477A1 (en) interlocking computers
EP2733910B1 (en) BUS system, method for operating a BUS system and fluid system with a BUS system
DE102004022624A1 (en) Method for monitoring a system
DE102007029116A1 (en) Method for operating a microcontroller and an execution unit and a microcontroller and an execution unit
WO2005055056A1 (en) Method for loading software modules
DE102013206432A1 (en) Method and arrangement for driver diagnosis of contactors, battery and motor vehicle with such a battery
EP1979793B1 (en) Method and device for assigning addresses in a system comprising several generator units arranged in parallel
DE2228320B2 (en) Ripple control receiver
DE10331872A1 (en) Method for monitoring a technical system
EP2424174A1 (en) Method for operating a bus system
DE102004051130A1 (en) Method and automation system for operating and / or observing at least one field device
EP3499324A1 (en) Method of modular verification of a configuration of a device
DE3108871A1 (en) DEVICE FOR FUNCTIONAL TESTING OF A MULTIPLE COMPUTER SYSTEM
EP1886222A1 (en) Method for monitoring control devices
DE2708244B2 (en) Arrangement and method for controlling a switching system with a group of small computers
DE10238547A1 (en) Control system for fault correction in vehicle electronic units or sub-networks, interrupts energy feed to electronic unit(s) if it detects faulty function or unit failure, restarts after defined time
DE102005029515A1 (en) Method for calculating CRC test values and logic circuit
DE102020211168B3 (en) Method and device for resetting the state of components of a vehicle
DE102010039782A1 (en) Method for carrying out a communication
DE102023001048A1 (en) Method for operating a network of electronic computing devices in a motor vehicle, computer program product, computer-readable storage medium, network of electronic computing devices and motor vehicle

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20130422

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAX Request for extension of the european patent (deleted)
17Q First examination report despatched

Effective date: 20140318

REG Reference to a national code

Ref country code: DE

Ref legal event code: R003

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED

18R Application refused

Effective date: 20181204