EP2909721A1 - Schnittstelle zum datenaustausch zwischen redundant ausgeführten programmen zur kraftfahrzeugsteuerung - Google Patents

Schnittstelle zum datenaustausch zwischen redundant ausgeführten programmen zur kraftfahrzeugsteuerung

Info

Publication number
EP2909721A1
EP2909721A1 EP13779792.4A EP13779792A EP2909721A1 EP 2909721 A1 EP2909721 A1 EP 2909721A1 EP 13779792 A EP13779792 A EP 13779792A EP 2909721 A1 EP2909721 A1 EP 2909721A1
Authority
EP
European Patent Office
Prior art keywords
microcontroller
control unit
electronic control
motor vehicle
unit according
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
EP13779792.4A
Other languages
English (en)
French (fr)
Inventor
Andreas Heise
Kai Schade
Marco SÄNGER
Reinhard Herr
Michael Zydek
Ralf Hartmann
Houman Amjadi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Teves AG and Co OHG
Original Assignee
Continental Teves AG and Co OHG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Teves AG and Co OHG filed Critical Continental Teves AG and Co OHG
Publication of EP2909721A1 publication Critical patent/EP2909721A1/de
Ceased legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T7/00Brake-action initiating means
    • B60T7/12Brake-action initiating means for automatic initiation; for initiation not subject to will of driver or passenger
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/544Buffers; Shared memory; Pipes
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B15/00Systems controlled by a computer
    • G05B15/02Systems controlled by a computer electric
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/0055Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/845Systems in which the redundancy can be transformed in increased performance

Definitions

  • the present invention relates to an electronic Kont ⁇ roll unit according to the preamble of claim 1 and its use.
  • EP 1 456 720 B1 describes a multi-core redundant control computer system for safety-critical applications, which comprises a plurality of computer blocks, each computer block in turn having a multi-core redundant control computer system with at least two control computers.
  • the control computers are each provided with a calculation kernel with partially or fully redundant peripheral elements and partially or fully redundant memory equipped elements and are connected to an arbitration unit, which monitors the control computer for malfunction and this can connect or disconnect via a dedicated communication ⁇ tion controller of a vehicle data bus.
  • a multi-core integrated microprocessor circuit which has a main and a secondary processor structure, wherein at least the main processor structure is constructed kernredundant and processed by this essentially only safety-critical programs, while the secondary processor structure substantially not safety-critical programs.
  • the main processor ⁇ structure checks the slave processor structure for proper functioning.
  • the two structures processor access while on these exclusively assigned to each SpeI ⁇ cher Schemee, wherein a data exchange by means of a
  • Shared memory area can be done. Furthermore, independent and inherently different operating systems are executed on the two processor structures.
  • the object of the invention is to provide a motor vehicle control device in which an integration of software Modules especially with high resource requirements, which exists for future motor vehicle systems, can be realized effectively and efficiently. This object is achieved by an electronic control unit according to claim 1.
  • the invention describes an electronic control unit for controlling and / or regulating at least one motor vehicle system, comprising at least one integrated Mikrocontrol- lersystem for executing software, which has at least two microcontroller units, each running at least one independent operating system, wherein at least one interface for exchange information is provided between the microcontroller units, which is further characterized in that a first microcontroller unit is designed such that it carries out a control and / or regulation of a first motor vehicle system, in particular a motor vehicle brake system, and a second microcontroller unit is configured in such a way, in that the latter can provide specifications for the control and / or regulation of the first motor vehicle system by means of the interface of the first microcontroller unit.
  • a microcontroller in the sense of this description also means microprocessors and other generic integrated circuits which have at least one processor and can detect and output signals via peripheral functions or peripheral interfaces.
  • a microcontroller according to the invention can also be electronic memories, such as e.g. Register, mixed signal
  • Circuits and other functional assemblies include which can be used to operate a motor vehicle system in an advantageous manner.
  • Basic functions for controlling the first motor vehicle system are thus advantageously carried out by the first microcontroller unit, whereby requirements for an increased availability in accordance with a predetermined
  • Security level can be met. Furthermore, resources can advantageously be provided by means of the second microcontroller unit, which resources can be used to implement compute-intensive tasks. The resulting increase in performance allows, for example, the use of future, resource-intensive assistance systems, which should improve the safety of road users.
  • the first and / or the second microcontroller unit can also be used as the basis of specialized hardware, such as individualized circuit parts or electronics for sensors, actuators and / or buses (LIN, FlexRay, CAN).
  • specialized hardware such as individualized circuit parts or electronics for sensors, actuators and / or buses (LIN, FlexRay, CAN).
  • microcontroller units software is encapsulated in such a way that a change of this can be done in at least one of the micro-controller units, without having to make a change of the software of the respective other micro Control ⁇ lerappel.
  • the reliability . skri ⁇ genetic automotive systems by thus realized encapsulation in particular increased and there may be an integration of software modules or modifying existing software, the microcontroller units independently from the other microcontroller unit and software implemented thereon.
  • the modular approach of hardware and software also reduces development time by making development processes more manageable by improving the separation and encapsulation of the systems, as well as portability to other hardware.
  • the first operating system and the second operating system are different from each other.
  • the first operating system preferably satisfies a standard operating system, specific to the ⁇ OSEK OS, and the second operating system is based be ⁇ vorzugt based on a unified software architecture, especially AUTOSAR.
  • an implementation of software modules is facilitated to the second operating system, for example by a vehicle manufacturer, while safety-oriented software, in particular on the a high level Sure ⁇ ness fulfilling operating system standard can be provided.
  • the second microcontroller unit is designed in such a way from ⁇ that this we ⁇ tendonss performs control and / or regulation of other motor vehicle system.
  • the microcontroller system is designed as a multi-core processor, in particular a quad-core processor, wherein the microcontroller units are accommodated on a common substrate.
  • each microcontroller unit has at least two redundant processors.
  • the availability of the microprocessor system can advantageously be increased and the requirements for corresponding security levels can be met.
  • the microcontroller system is designed in such a way that separate memory and / or peripheral resources of either the first
  • Microcontroller unit or the second microcontroller unit or both microcontroller units are assigned.
  • the allocation of the memory and / or peripheral resources is implemented by means of a hardware-based protection concept for accesses.
  • the hardware-based protection concept is configured such that each microcontroller unit is assigned at least one, in particular static, identifier and the microcontroller system performs authentication of the microcontroller units to implement the access control.
  • the microcontroller system at least one electronic memory and / or storage area on which respectively assigned Speicherbe ⁇ rich comprises the microcontroller units.
  • the interface is preferably one of the microcontroller units and / or shared memory area and / or a point-to-point connection.
  • this comprises at least one Domä ⁇ NEN controller and / or is configured such that a domain controller function of at least one motor vehicle ⁇ network is realized.
  • the electronic control unit comprises at least one gateway controller and / or is configured such that a gateway function for Communication of different motor vehicle networks is realized.
  • the invention comprises the use of at least one embodiment of the above-described electronic control unit in a motor vehicle brake system.
  • FIG. 2 shows an example microcontroller system comprising a quad-core microcontroller
  • FIG 3 shows an embodiment of the electronic control unit according to the invention, in which it is provided as Doze ⁇ NEN controller for a vehicle network.
  • Fig. 1 shows the first description in particular, the functional relationships the microcontroller system 34 of an electronic control unit for controlling at least a motor vehicle system, for example a motor vehicle brake system ⁇ .
  • Microcontroller unit 1 performs, for example, the control of a motor vehicle brake system and includes the necessary control software and interfaces 4 for the connection of peripheral (eg analog-to-digital converter, PWM, timer, FlexRay, CAN), wherein the microcontroller unit 1 comprised operating 5 can communicate with the corresponding peripherals via the interfaces 4.
  • Operating system 5 meets a standard automotive embedded real-time operating system such as the OSEK-OS operating system standard.
  • the function abstraction level 8, the system abstraction level 9, the hardware abstraction level 10 and the vehicle integration level 11 are differentiated.
  • Multi-core microcontroller unit 1 ⁇ provided with a separate second operating system 5 ⁇ , which includes these associated interfaces for the connection of peripheral 4 ⁇ .
  • the second microcontroller unit 1 ⁇ has ostensibly the task of safety-related software modules 6 which are provided ⁇ example by vehicle manufacturers to execute.
  • Res ⁇ resources are provided which for the implementation of computationally intensive tasks, for example for driving and dynamic features can be used, while basic software and basic functions of the brake system are performed by the first microcontroller unit.
  • ASIL level ASIL-D
  • the operating system 5 ⁇ is preferably a unified ⁇ Soft ware architecture, particularly AUTOSAR, is provided, wherein the different software layers of abstraction of AUTOSAR in Fig. Are shown schematically.
  • the application level includes the software modules 6 which by means of
  • Interfaces 4 ⁇ can communicate with the corresponding periphery.
  • the MCUs 1, 1 ⁇ communicate via interface 2, in particular by means of a point-to-point connection and using the corresponding driver or software 7, 7 ⁇ .
  • the software modules 6 via defined hardware and software interfaces, default values or instructions to the first operating system 5 or microcontroller unit 1 are given, which then makes the actual control of the braking system in consultation with this.
  • the communication of the MCUs with each other and with the periphery is preferably secured with test data.
  • FIG. 2 shows an embodiment of the microcontroller lersystems 34, wherein this or the microcontroller units 1, 1 ⁇ according to the description of FIG. 1 in a common integrated housing in accordance with at least four processors 3.3 ⁇ are realized (quad-core processor) ,
  • quad-core processor quad-core processor
  • a multi-processor software is software concept implemented on a multi-core hardware architecture, wherein at least one redundant executed electronic memory 21 is provided which has a locked for the second operating system 5 ⁇ first memory area 22 and a the second operating area 5 ⁇ associated with the second operating system 23 comprises.
  • Memory area 22 is assigned to the first operating system 5 and is enabled for this, while the second memory area 23 for the first operating system 5 is disabled.
  • a shared memory area 24 is provided for the first and the second operating system, which implements the interface 2 described in FIG. 1 and via which the communication of the operating systems 5, 5 ⁇ or microcontroller units 1, 1 ⁇ takes place with one another.
  • the memory areas 22, 23, 24 need not be part of a common physical memory, as shown in FIG. 2, but may also be implemented on separate physical memories.
  • the four-core system includes microcontroller not shown configura ⁇ tion register to ensure a separation of the microcontroller units 1, 1 ⁇ .
  • the microcontroller units 1, 1 ⁇ may also be provided in two separate microcontrollers or microprocessors with separate integrated circuit housings.
  • the processors 3.3 ⁇ 1.1 ⁇ , the microcontroller unit are each designed redundant according to the embodiments described, and preferably operate in a lockstep with redundancy danzüberwachung. Depending on the requirements on the availability or settled security level of the respective Mikrocon ⁇ troller unit 1.1 ⁇ can also be dispensed with a redundancy, wherein the further processor may be provided as an additional computing resource or is absent.
  • the hardware and / or software of the microprocessor system 34 or the re ⁇ dundanten processors 3.3 ⁇ may also be designed divärsitmaschine.
  • the software of the microcontroller system 34 is ⁇ running under different ⁇ union microcontroller units 1, 1, and thus on different master instances.
  • MMU memory management units
  • the microcontroller unit 1,1 ⁇ for different embodiments of microprocessor system 34, preferably peripheral resources, for example, project specific, assigned.
  • peripheral resources for the microcontroller system 34 do not have to be designed several times.
  • the aforementioned methods are not sufficient for peripheral resources shared by both microcontroller units 1.1 ⁇ , since too great a number or too fine granulation of memory protection rules would have to be implemented, which would adversely affect the performance of the hardware. Therefore, a hardware-based protection concept for accessing peripheral resources is additionally provided, which allows a fine partitioning of these between the master instances or microcontroller units 1, 1 ⁇ present in the microprocessor system 34.
  • the corresponding hardware component eg peripheral module 4,4 ⁇ or memory 22,23,24, is statically configured by software and by means of an identification number assigned to each individual master is an authentication of Microcontroller units 1.1 ⁇ . Accesses to peripheral resources are only carried out for the microcontroller unit 1, 1 ⁇ or master enabled for it, otherwise they are blocked. The separation can be made down to the level of entire registers and / or register sections, which are assigned to one of the microcontroller units 1.1 ⁇ .
  • the possibility of sharing individual hardware resources with a plurality of microcontroller units 1.1 ⁇ avoids the multiple implementation of peripheral modules 4, 4 for the purpose of distinguishing between the software components of the various microcontroller units 1, 1.
  • FIG. 3 shows an exemplary embodiment of the control unit 30 according to the invention for a brake control unit of a motor vehicle brake system.
  • Control unit 30 in this case comprises microcontroller system 34 according to the invention.
  • Control unit 30 and / or microcontroller system 34 execute, according to a particularly preferred embodiment, a domain controller function 35 in the networks or bus systems 31, 37 of the motor vehicle.
  • the domain controller 35 supports gate ⁇ way functionalities 36, whereby a communication of the different bus systems 31 and 37 is made possible, if different types of protocols are based. For example, actuators, sensors and / or control devices for further systems 33 are associated with this.
  • Sensors, actuators and / or controllers are represented by block 32.
  • Other domain controllers as well as associated components are represented by blocks 30 ⁇ and 33 ⁇ .

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Automation & Control Theory (AREA)
  • Quality & Reliability (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Regulating Braking Force (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)

Abstract

Die Erfindung betrifft eine elektronische Kontrolleinheit (30) zur Steuerung und/oder Regelung wenigstens eines Kraftfahrzeugsystems,umfassend zumindest ein integriertes Mikrocontrollersystem (34) zur Ausführung von Software, welches zu- mindest zwei Mikrocontrollereinheiten (1,1') aufweist, die jeweils zumindest ein eigenständiges Betriebssystem (5,5') ausführen, wobei wenigstens eine Schnittstelle (2) zum Austausch von Informationen zwischen den Mikrocontrollereinheiten (1, 1') vorgesehen ist, und sich weiterhin dadurch auszeichnet, dass eine erste Mikrocontrollereinheit (1) derart ausgestaltet ist, dass diese eine Steuerung und/oder Regelung eines ersten Kraftfahrzeugsystems, insbesondere eines Kraftfahrzeugbremssystems, ausführt, und eine zweite Mikrocontrollereinheit (1') derart ausgestaltet ist, dass diese mittels der Schnittstelle (2) der ersten Mikrocontrollereinheit (1) Vorgaben zur Steuerung und/oder Regelung des ersten Kraftfahrzeugsystems bereitstellen kann. Weiterhin umfasst die Erfindung die Verwendung der elektronischen Kontrolleinheit.

Description

SCHNITTSTELLE ZUM DATENAUSTAUSCH ZWISCHEN REDUNDANT AUSGEFÜHRTEN PROGRAMMEN ZUR KRAFTFAHRZEUGSTEUERUNG
Die vorliegende Erfindung betrifft eine elektronische Kont¬ rolleinheit gemäß Oberbegriff von Anspruch 1 sowie dessen Verwendung.
Insbesondere mit zunehmender Integration von Assistenzfunktionen, welche den Fahrer bei der Führung eines Fahrzeugs entlasten sollen, steigt die Komplexität von Systemen in modernen Kraftfahrzeugen. Zur Realisierung dieser Funktionen wird eine wachsende Anzahl an Komponenten, wie beispielsweise Sensoren, benötigt, was insgesamt zu einem erhöhten Informationsaufkommen innerhalb und/oder außerhalb des Fahrzeugs sowie zu umfang¬ reichen Wirkungszusammenhängen führt. Probleme die sich daraus ergeben, sind beispielsweise die Sicherstellung der Ausfall¬ sicherheit bei wachsender Komplexität der Systeme, die zu¬ nehmenden System- und Integrationskosten, die zu erfüllenden Qualitätsanforderungen, steigende Produkteinführungszeiten sowie Fertigungszeiten pro Fahrzeug. Hierfür werden häufig moderne Multikern-Mikrocontrollersysteme eingesetzt, welche ein Master-Slave Kommunikationskonzept umsetzen. Zu den Mas¬ ter-Instanzen zählen dabei CPU-Systeme, Direct Memory Access (DMA) Module und intelligente Peripheriemodule wie FlexRay, Ethernet und Inter-Prozessor Link. Übliche Peripherieressourcen agieren dabei als Slave-Instanzen .
Die EP 1 456 720 Bl beschreibt ein mehrkerniges redundantes Kontrollrechnersystem für sicherheitskritische Anwendungen, welches mehrere Rechnerblöcke umfasst, wobei jeder Rechnerblock wiederum ein mehrkerniges redundantes Kontrollrechnersystem mit zumindest zwei Kontrollrechnern aufweist. Die Kontrollrechner sind jeweils mit einem Rechenkern mit teil- oder vollredundanten Peripherieelementen und teil- oder vollredundanten Speicher- elementen ausgestattet und sind mit einer Arbitrationseinheit verbunden, die die Kontrollrechner auf Fehlfunktionen hin überwacht und diese über einen dafür vorgesehenen Kommunika¬ tionscontroller von einem Fahrzeugdatenbus an- oder abkoppeln kann .
In der DE 10 2011 007 467 AI ist eine mehrkernige integrierte Mikroprozessorschaltung beschrieben, die eine Haupt- und eine Nebenprozessorstruktur aufweist, wobei zumindest die Haupt- prozessorstruktur kernredundant aufgebaut ist und durch diese im wesentlichen nur sicherheitskritische Programme abgearbeitet werden, während die Nebenprozessorstruktur im wesentlichen nicht-sicherheitskritische Programme abarbeitet. Die Haupt¬ prozessorstruktur überprüft die Nebenprozessorstruktur auf richtiges Funktionieren. Die beiden Prozessorstrukturen greifen dabei auf diesen jeweils ausschließlich zugeordnete Spei¬ cherbereiche zu, wobei ein Datenaustausch mittels eines
Shared-Speicherbereichs erfolgen kann. Weiterhin werden auf den beiden Prozessorstrukturen unabhängige und an sich verschiedene Betriebssysteme ausgeführt.
Die häufig insbesondere durch die Kraftfahrzeughersteller bereitgestellten oder für diesen individualisierten Softwaremodule weisen einen zunehmenden Ressourcenbedarf in modernen Kraftfahrzeugsteuergeräten auf. Damit wird die Integration umfangreicher werdender Softwaremodule zunehmend unökonomisch, da diese mit der Basissoftware, welche zum Beispiel durch einen Zulieferer bereitgestellt wird, fusioniert werden muss. An¬ passungen der gesamten Software an neue oder erweiterte Hardware sind entsprechend aufwändig.
Aufgabe der Erfindung ist es, ein Kraftfahrzeugsteuergerät bereitzustellen, bei welchem eine Integration von Software- modulen insbesondere mit hohem Ressourcenbedarf, welcher für zukünftige Kraftfahrzeugsysteme besteht, effektiv und effizient realisiert werden kann. Diese Aufgabe wird durch eine elektronische Kontrolleinheit gemäß Anspruch 1 gelöst.
Die Erfindung beschreibt eine elektronische Kontrolleinheit zur Steuerung und/oder Regelung wenigstens eines Kraftfahrzeug- Systems, umfassend zumindest ein integriertes Mikrocontrol- lersystem zur Ausführung von Software, welches zumindest zwei Mikrocontrollereinheiten aufweist, die jeweils zumindest ein eigenständiges Betriebssystem ausführen, wobei wenigstens eine Schnittstelle zum Austausch von Informationen zwischen den Mikrocontrollereinheiten vorgesehen ist, welches sich weiterhin dadurch auszeichnet, dass eine erste Mikrocontrollereinheit derart ausgestaltet ist, dass diese eine Steuerung und/oder Regelung eines ersten Kraftfahrzeugsystems, insbesondere eines Kraftfahrzeugbremssystems, ausführt, und eine zweite Mikro- Controllereinheit derart ausgestaltet ist, dass diese mittels der Schnittstelle der ersten Mikrocontrollereinheit Vorgaben zur Steuerung und/oder Regelung des ersten Kraftfahrzeugsystems bereitstellen kann. Unter einem Mikrocontroller im Sinne dieser Beschreibung werden auch Mikroprozessoren sowie weitere gattungsgemäße integrierte Schaltkreise verstanden, welche zumindest einen Prozessor aufweisen und über Peripheriefunktionen bzw. Peripherieschnittstellen Signale erfassen sowie ausgeben können. Ein Mikrocontroller im Sinne der Erfindung kann dabei zudem elektronische Speicher, wie z.B. Register, Mixed-Signal
Schaltkreise sowie weitere funktionelle Baugruppen umfassen, welche zum Betrieb eines Kraftfahrzeugsystems in vorteilhafter Weise eingesetzt werden können.
Basisfunktionen zur Ansteuerung des ersten Kraftfahrzeugsystems werden somit in vorteilhafter Weise durch die erste Mikro- controllereinheit ausgeführt, wodurch Anforderungen an eine erhöhte Verfügbarkeit entsprechend einem vorgegebenen
Sicherheitslevel erfüllt werden können. Weiterhin können mittels der zweiten Mikrocontrollereinheit vorteilhaft Ressourcen bereitgestellt werden, welche zur Realisierung von rechenintensiven Aufgaben genutzt werden können. Die somit erhaltene Performancesteigerung ermöglicht beispielsweise den Einsatz zukünftiger, ressourcenintensiver Assistenzsysteme, welche die Sicherheit der Verkehrsteilnehmer verbessern sollen.
Entsprechend einer vorteilhaften Ausführungsform kann die erste und/oder die zweite Mikrocontrollereinheit zudem als Basis spezialisierter Hardware eingesetzt werden, wie zum Beispiel individualisierter Schaltungsteile oder Elektronik für Sen- soren, Aktoren und/oder Busse (LIN, FlexRay, CAN) .
Gemäß einer besonders bevorzugten Ausführungsform der Erfindung ist die auf den Mikrocontrollereinheiten implementierte Software in der Weise gekapselt, dass eine Änderung dieser auf zumindest einer der Mikrocontrollereinheiten vorgenommen werden kann, ohne eine Änderung der Software der jeweils anderen Mikrocontrol¬ lereinheit vornehmen zu müssen.
In vorteilhafter Weise wird durch eine solchermaßen realisierte Kapselung insbesondere die Ausfallsicherheit sicherheitskri¬ tischer Kraftfahrzeugsysteme gesteigert und es kann eine Einbindung von Softwaremodulen beziehungsweise Anpassung vorhandener Software der Mikrocontrollereinheiten, unabhängig von der jeweils anderen Mikrocontrollereinheit und darauf implementierter Software, erfolgen. Durch den modularen Ansatz der Hardware und Software wird außerdem die Entwicklungszeit verringert, weil Entwicklungsprozesse überschaubarer werden, da die Trennung sowie Kapselung der Systeme und somit auch die Portierbarkeit auf andere Hardware verbessert wird.
Bevorzugt sind zumindest das erste Betriebssystem und das zweite Betriebssystem voneinander verschieden. Das erste Betriebs- System erfüllt bevorzugt einen Betriebssystemstandard, ins¬ besondere OSEK-OS, und das zweite Betriebssystem beruht be¬ vorzugt auf Basis einer vereinheitlichten Softwarearchitektur, insbesondere AUTOSAR. In vorteilhafter Weise wird eine Implementierung von Softwaremodulen zum zweiten Betriebssystem beispielsweise durch einen Fahrzeughersteller erleichtert, während sicherheitsge- richtete Software insbesondere auf dem, ein hohes Sicher¬ heitslevel erfüllenden Betriebssystemstandard vorgesehen sein kann.
Bevorzugt ist die zweite Mikrocontrollereinheit derart aus¬ gestaltet, dass diese eine Steuerung und/oder Regelung we¬ nigstens eines weiteren Kraftfahrzeugsystems ausführt.
Während die Steuerung bzw. Regelung des ersten Kraftfahrzeugsystems ausschließlich der ersten Mikrocontrollereinheit vorbehalten ist, kann der zweiten Mikrocontrollereinheit auf diese Weise vorteilhaft die Steuerung bzw. Regelung wenigstens eines weiteren Kraftfahrzeugsystems zugeordnet werden, was insbesondere dem erfindungsgemäßen Grundgedanken, der Möglichkeit der Bereitstellung pauschaler Rechenressourcen zugrundeliegt . Entsprechend einer vorteilhaften Ausführungsform der Erfindung ist das Mikrocontrollersystem als Mehrkernprozessor, insbesondere Vierkernprozessor, ausgestaltet, wobei die Mikrocon- trollereinheiten auf einem gemeinsamen Substrat untergebracht sind. Besonders bevorzugt weist jede Mikrocontrollereinheit zumindest zwei redundante Prozessoren auf.
Hierdurch kann vorteilhafterweise die Verfügbarkeit des Mik- roprozessorsystems erhöht und die Anforderungen an entsprechende Sicherheitslevel erfüllt werden.
Gemäß einer besonders bevorzugten Ausführungsform ist das Mikrocontrollersystem in der Weise ausgestaltet, dass separate Speicher- und/oder Peripherieressourcen entweder der ersten
Mikrocontrollereinheit oder der zweiten Mikrocontrollereinheit oder beiden Mikrocontrollereinheiten zugeordnet sind.
In vorteilhafter Weise wird somit eine Verbesserung der Kapselung der Mikrocontrollereinheiten erreicht.
Besonders bevorzugt ist die Zuordnung der Speicher- und/oder Peripherieressourcen mittels eines hardwarebasierten Schutzkonzeptes für Zugriffe realisiert.
Eine Implementierung einer zu großen Anzahl bzw. eine zu feine Granulierung an Speicherschutzregeln wird somit vermieden, was sich ebenfalls vorteilhaft auf die Performance der Hardware auswirkt. In vorteilhafter Weise kann eine feine Partitionierung der Speicher und/oder Peripherieressourcen zwischen den im Mikroprozessorsystem vorhandenen Master-Instanzen bzw. Mikrocontrollereinheiten realisiert werden. Damit wird zudem die Möglichkeit erhalten, einzelne Hard¬ wareressourcen, z.B. Registersätze, vorteilhaft mit mehreren Mikrocontrollereinheiten gemeinsam zu nutzen, was eine mehrfache Implementierung von Peripheriemodulen, zum Zwecke der Abgrenzung zwischen Softwarekomponenten der verschiedenen Mikrocontrollereinheiten, überflüssig macht.
Entsprechend einer bevorzugten Weiterbildung der Erfindung ist das hardwarebasierte Schutzkonzept derart ausgestaltet, dass jeder Mikrocontrollereinheit wenigstens ein, insbesondere statischer, Identifikator zugeordnet ist und das Mikrocon- trollersystem zur Realisierung der Zugriffssteuerung eine Authentifizierung der Mikrocontrollereinheiten vornimmt. Bevorzugt weist das Mikrocontrollersystem zumindest einen elektronischen Speicher und/oder Speicherbereich auf, welcher den Mikrocontrollereinheiten jeweils zugeordnete Speicherbe¬ reiche umfasst. Weiterhin bevorzugt ist die Schnittstelle ein von den Mikro¬ controllereinheiten und/oder gemeinsam genutzter Speicherbereich und/oder eine Punkt-zu-Punkt Verbindung.
Entsprechend einer bevorzugten Weiterbildung der elektronischen Kontrolleinheit umfasst diese zumindest einen Domä¬ nen-Controller und/oder ist derart ausgestaltet, dass eine Domänen-Controller-Funktion wenigstens eines Kraftfahrzeug¬ netzwerks realisiert wird. Gemäß einer bevorzugten Ausführungsform umfasst die elektronische Kontrolleinheit zumindest einen Gateway-Controller und/oder ist derart ausgestaltet, dass eine Gateway-Funktion zur Kommunikation unterschiedlicher Kraftfahrzeugnetzwerke realisiert ist.
Weiterhin umfasst die Erfindung die Verwendung zumindest einer Ausführungsform der vorstehend beschriebenen elektronischen Kontrolleinheit in einem Kraftfahrzeugbremssystem.
Weitere bevorzugte Ausführungsformen ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen an Hand von Figuren.
In Prinzipdarstellung zeigen:
Fig. 1 ein beispielgemäßes Mikrocontrollersystem,
Fig. 2 ein beispielgemäßes Mikrocontrollersystem, umfassend einen Vierkern-Mikrocontroller, und
Fig. 3 eine Ausführungsform der erfindungsgemäßen elekt- ronischen Kontrolleinheit, bei welcher diese als Domä¬ nen-Controller für ein Fahrzeugnetzwerk vorgesehen ist.
Um eine kurze und einfache Beschreibung der Ausführungsbeispiele zu ermöglichen, werden gleiche Elemente mit den gleichen Be- zugszeichen versehen und jeweils nur die für die Erfindung wesentlichen Details erläutert.
Fig. 1 zeigt zur Beschreibung zunächst insbesondere der funktionalen Zusammenhänge das Mikrocontrollersystem 34 einer elektronischen Kontrolleinheit zur Ansteuerung wenigstens eines Kraftfahrzeugsystems, beispielsweise eines Kraftfahrzeug¬ bremssystems. Dieses umfasst dabei eine erste zweikernige Mikrocontrollereinheit 1, wobei die Prozessoren dieser redundant ausgelegt sind.
Mikrocontrollereinheit 1 führt beispielsgemäß die Ansteuerung eines Kraftfahrzeugbremssystems aus und umfasst die dafür notwendige Ansteuersoftware und Schnittstellen 4 für die An- bindung von Peripherie (z.B. Analog-Digital-Wandler, PWM, Timer, FlexRay, CAN) , wobei das durch Mikrokontrollereinheit 1 umfasste Betriebssystem 5 über die Schnittstellen 4 mit der entsprechenden Peripherie kommunizieren kann. Betriebssystem 5 erfüllt einem Standard eingebetteter EchtZeitbetriebssysteme im automobilen Bereich, wie beispielsweise der Betriebssystemstandard OSEK-OS. Beispielsgemäß werden die Funktions-Abstraktionsebene 8, die System-Abstraktionsebene 9, die Hardware-Abstraktionsebene 10 sowie die Fahrzeug-Integrations-Ebene 11 unterschieden.
Entsprechend diesem Ausführungsbeispiel ist für die erfin¬ dungsgemäße Kontrolleinheit 30 wenigstens eine zweite
Mehrkern-Mikrocontrollereinheit 1 λ mit einem eigenständigen zweiten Betriebssystem 5λ vorgesehen, welche dieser zugeordnete Schnittstellen für die Anbindung von Peripherie 4λ umfasst. Die zweite Mikrocontrollereinheit 1 λ hat dabei vordergründig die Aufgabe sicherheitsgerichtete Softwaremodule 6 welche bei¬ spielsweise durch Fahrzeughersteller bereitgestellt werden, auszuführen. Durch die Mikrocontrollereinheit 1λ werden Res¬ sourcen bereitgestellt, welche zur Realisierung von rechenintensiven Aufgaben, z.B. für Fahr- und Dynamikfunktionen, genutzt werden können, während Basissoftware und Basisfunktionen des Bremssystems durch die erste Mikrocontrollereinheit 1 ausgeführt werden. Dadurch können insbesondere Fahrzeugherstellern im Wesentlichen pauschal Ressourcen bereitgestellt werden, wobei die Erfüllung der Anforderungen des entsprechenden ASIL-Levels (ASIL-D) unter anderem durch kernredundante Aus- führung der Mikrocontrollereinheiten 1, 1 λ unterstützt wird. Als Betriebssystem 5 λ ist bevorzugt eine vereinheitlichte Soft¬ warearchitektur, insbesondere AUTOSAR, vorgesehen, wobei die unterschiedlichen Software-Abstraktionsebenen von AUTOSAR in Fig. 1 schematisch dargestellt sind. Die Applikationsebene umfasst dabei die Softwaremodule 6 welche mittels der
Schnittstellen 4 λ mit der entsprechenden Peripherie kommunizieren können. Die MCUs 1, 1λ kommunizieren über Schnittstelle 2, insbesondere mittels einer Punkt-zu-Punkt Verbindung und unter Verwendung der entsprechenden Treiber bzw. Software 7, 7 λ . Auf diese Weise können von den Softwaremodulen 6 über definierte Hardware- und Software-Schnittstellen, Vorgabewerte oder Anweisungen an das erste Betriebssystem 5 bzw. Mikrocontrollereinheit 1 gegeben werden, welches unter Hinzuziehung dieser dann die eigentliche Steuerung des Bremssystems vornimmt. Die Kommunikation der MCUs untereinander sowie mit der Peripherie ist bevorzugt mit Prüfdaten abgesichert.
Die Fig. 2 zeigt ein Ausführungsbeispiel des Mikrocontrol- lersystems 34, bei welchem dieses bzw. die Mikrocontrollereinheiten 1, 1λ gemäß der Beschreibung zur Fig. 1 in einem gemeinsamen integrierten Gehäuse mit entsprechend zumindest vier Prozessoren 3,3λ realisiert sind (Vierkernprozessor). Die im Wesentlichen bereits erläuterten Komponenten wurden in Fig. 2 mit identischen Bezugszeichen zu Fig. 1 bezeichnet.
Gemäß dieser Ausführungsform wird ein Multi-Prozessor Soft- warekonzept auf einer Multi-Kern Hardware-Architektur realisiert, wobei zumindest ein redundant ausgeführter elektronischer Speicher 21 vorgesehen ist, welcher einen für das zweite Betriebssystem 5 λ gesperrten ersten Speicherbereich 22 und einen dem zweiten Betriebssystem 5 λ zugeordneten zweiten Speicherbereich 23 umfasst. Speicherbereich 22 ist dem ersten Betriebssystem 5 zugeordnet und für dieses freigegeben, während der zweite Speicherbereich 23 für das erste Betriebssystem 5 gesperrt ist . Weiterhin ist ein gemeinsam genutzter Speicherbereich 24 für das erste und das zweite Betriebssystem vorgesehen, welcher die in Fig. 1 beschriebene Schnittstelle 2 realisiert und über die die Kommunikation der Betriebssysteme 5, 5 λ bzw. Mikrocontroller- einheiten 1, 1 λ miteinander erfolgt. Die Speicherbereiche 22, 23, 24 müssen dabei nicht Teil eines gemeinsamen physischen Speichers sein, wie in der Fig. 2 dargestellt, sondern können auch auf getrennten physischen Speichern realisiert sein. Das Vier-Kern Mikrocontrollersystem umfasst nicht dargestellte Konfigura¬ tionsregister, um eine Trennung der Mikrocontrollereinheiten 1, 1λ sicherzustellen.
Entsprechend einer weiteren bevorzugten Ausführungsform können die Mikrocontrollereinheiten 1, 1 λ jedoch auch in zwei getrennten MikroControllern bzw. Mikroprozessoren mit getrennten inte- grierten Schaltkreisgehäusen vorgesehen sein.
Die Prozessoren 3,3λ der Mikrocontrollereinheit 1,1λ sind gemäß den beschriebenen Ausführungsformen jeweils redundant ausgelegt und arbeiten bevorzugt in einem Lockstep-Betrieb mit Redun- danzüberwachung . Je nach Anforderung an die Verfügbarkeit oder das zu erfüllende Sicherheitslevel der jeweiligen Mikrocon¬ trollereinheit 1,1λ kann auch auf eine Redundanz verzichtet werden, wobei der weitere Prozessor als zusätzliche Rechnerressource vorgesehen sein kann oder entfällt. Die Hardware und/oder Software des Mikroprozessorsystems 34 bzw. der re¬ dundanten Prozessoren 3,3λ können zudem divärsitär ausgelegt sein . Die Software des Mikrocontrollersystems 34 wird auf unter¬ schiedlichen Mikrocontrollereinheiten 1, 1 λ ausgeführt und damit auf unterschiedlichen Master-Instanzen. Um Wechselwirkungsfreiheit zwischen diesen separierten Software-Komponenten sicherzustellen, werden Zugriffe der verschiedenen Master-Instanzen auf Speicher- und Peripherieressourcen getrennt. Sofern lediglich komplette Peripheriemodule zwischen den Mikrocontrollereinheiten 1,1λ partitioniert werden, erfolgt die Trennung bevorzugt mit an sich bekannten Methoden, wie bei- spielsweise Speicherverwaltungseinheiten (MMU) auf Kern- bzw. Speicherbus-Ebene und/oder dem Konzept der vertrauenswürdigen Quelle auf Peripheriebus-Ebene.
Den Mikrocontrollereinheit 1,1λ können, für unterschiedliche Ausführungsformen von Mikroprozessorsystem 34, Peripherieressourcen bevorzugt variabel, z.B. projektspezifisch, zugeordnet werden. Damit müssen Peripherieressourcen für das Mikro- controllersystem 34 nicht mehrfach ausgelegt werden. Die vorgenannten Vorgehensweisen sind jedoch für von beiden Mik- rocontrollereinheiten 1,1λ gemeinsam genutzte Peripherieressourcen nicht ausreichend, da eine zu große Anzahl bzw. zu feine Granulierung an Speicherschutzregeln zu implementieren wäre, was sich nachteilig auf die Performance der Hardware auswirken würde. Daher ist zusätzlich ein Hardware-basiertes Schutzkonzept für Zugriffe auf Peripherieressourcen vorgesehen, das eine feine Partitionierung dieser zwischen den im Mikroprozessorsystem 34 vorhandenen Master-Instanzen bzw. Mikrocontrollereinheiten 1, 1 λ erlaubt . Die entsprechende Hardwarekomponente, z.B. Peripheriemodul 4,4λ oder Speicher 22,23,24, wird statisch mittels Software konfiguriert und mittels einer jedem einzelnen Master zugeordneten Identifikationsnummer erfolgt eine Authentifizierung der Mikrocontrollereinheiten 1,1λ. Zugriffe auf Peripherieressourcen werden nur für die dafür freigegebene Mikrocontrol- lereinheit 1, 1 λ bzw. Master durchgeführt, andernfalls blockiert. Die Trennung kann dabei bis auf die Ebene ganzer Register und/oder Registerabschnitte vorgenommen werden, welche einem der Mikrocontrollereinheiten 1,1λ zugeordnet werden. Durch die damit erhaltene Möglichkeit, einzelne Hardwareressourcen mit mehreren Mikrocontrollereinheiten 1,1λ gemeinsam nutzen zu können, wird die mehrfache Implementierung von Peripheriemodulen 4,4 zum Zwecke der Abgrenzung zwischen den Softwarekomponenten der verschiedenen Mikrocontrollereinheiten 1,1 vermieden.
Die Fig. 3 zeigt ein Ausführungsbeispiel der erfindungsgemäßen Kontrolleinheit 30 für ein Bremsensteuergerät eines Kraft- fahrzeugbremssystems . Kontrolleinheit 30 umfasst dabei das erfindungsgemäße Mikrocontrollersystem 34. Kontrolleinheit 30 und/oder Mikrocontrollersystem 34 führen gemäß einer besonders bevorzugten Ausführungsform eine Domänen-Controller-Funktion 35 in den Netzwerken bzw. Bussystemen 31,37 des Kraftfahrzeugs aus. Der Domänen-Controller 35 unterstützt dabei Gate¬ way-Funktionalitäten 36, womit eine Kommunikation der unterschiedlichen Bussysteme 31 und 37 ermöglicht wird, falls verschiedenartige Protokolle zu Grunde liegen. Diesem zugeordnet sind beispielsweise Aktoren, Sensoren und/oder Steuergeräte für weitere Systeme 33. Direkt mit dem Netzwerk 31 verbundene
Sensoren, Aktoren und/oder Steuergeräte sind durch Block 32 repräsentiert. Weitere Domänen-Controller sowie zugeordnete Komponenten werden durch die Blöcke 30 λ und 33 λ dargestellt.

Claims

Patentansprüche
1. Elektronische Kontrolleinheit (30) zur Steuerung und/oder Regelung wenigstens eines Kraftfahrzeugsystems, umfassend zumindest ein integriertes Mikrocontrollersystem (34) zur
Ausführung von Software, welches zumindest zwei Mikro- controllereinheiten (1,1λ) aufweist, die jeweils zumindest ein eigenständiges Betriebssystem (5,5λ) ausführen, wobei wenigstens eine Schnittstelle (2) zum Austausch von In- formationen zwischen den Mikrocontrollereinheiten (1, 1λ) vorgesehen ist, dadurch gekennzeichnet, dass eine erste Mikrocontrollereinheit (1) derart ausgestaltet ist, dass diese eine Steuerung und/oder Regelung eines ersten
Kraftfahrzeugsystems, insbesondere eines Kraftfahrzeug- bremssystems , ausführt, und eine zweite Mikrocontroller¬ einheit (1λ) derart ausgestaltet ist, dass diese mittels der Schnittstelle (2) der ersten Mikrocontrollereinheit (1) Vorgaben zur Steuerung und/oder Regelung des ersten
Kraftfahrzeugsystems bereitstellen kann.
2. Elektronische Kontrolleinheit nach Anspruch 1, dadurch gekennzeichnet, dass die auf den Mikrocontrollereinheiten (1,1λ) implementierte Software in der Weise gekapselt ist, dass eine Änderung dieser auf zumindest einer der Mikro- Controllereinheiten (1,1λ) vorgenommen werden kann, ohne eine Änderung der Software der jeweils anderen Mikrocontrollereinheit (1,1λ) vornehmen zu müssen.
3. Elektronische Kontrolleinheit nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass zumindest das erste Be¬ triebssystem (5) und das zweite Betriebssystem (5λ) voneinander verschieden sind. Elektronische Kontrolleinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die zweite Mik- rocontrollereinheit (1λ) derart ausgestaltet ist, dass diese eine Steuerung und/oder Regelung wenigstens eines weiteren Kraftfahrzeugsystems ausführt.
Elektronische Kontrolleinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Mikrocon- trollersystem (34) als Mehrkernprozessor, insbesondere Vierkernprozessor, ausgestaltet ist, wobei die Mikrocon- trollereinheiten (1,1λ) auf einem gemeinsamen Substrat untergebracht sind.
Elektronische Kontrolleinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass jede Mikrocon- trollereinheit (1, 1λ) zumindest zwei redundante Prozessoren ( 3 , 3 λ ) aufweist .
Elektronische Kontrolleinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Mikrocon- trollersystem in der Weise ausgestaltet ist, dass separate Speicher- und/oder Peripherieressourcen ( 4 , 4 λ , 22 , 23 , 24 ) entweder der ersten Mikrocontrollereinheit (1) oder der zweiten Mikrocontrollereinheit (1λ) oder beiden Mikro- controllereinheiten (1,1λ) zugeordnet sind.
Elektronische Kontrolleinheit nach Anspruch 7, dadurch gekennzeichnet, dass die Zuordnung der Speicher- und/oder Peripherieressourcen ( 4 , 4 λ , 22 , 23 , 24 ) zu den Mikrocon- trollereinheiten (1,1λ) mittels eines hardwarebasierten Schutzkonzeptes zur Zugriffssteuerung realisiert ist. Elektronische Kontrolleinheit nach Anspruch 8, dadurch gekennzeichnet, dass das hardwarebasierte Schutzkonzept derart ausgestaltet ist, dass jeder Mikrocontrollereinheit
(1,1λ) wenigstens ein, insbesondere statischer,
Identifikator zugeordnet ist und das Mikrocontrollersystem
(34) zur Realisierung der Zugriffssteuerung eine Authentifizierung der Mikrocontrollereinheiten (1,1λ) vornimmt.
Elektronische Kontrolleinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Mikrocon¬ trollersystem (34) zumindest einen elektronischen Speicher und/oder Speicherbereich (21) aufweist, welcher den Mikrocontrollereinheiten (1, 1λ) jeweils zugeordnete Speicherbereiche (22,23) umfasst.
Elektronische Kontrolleinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Schnittstelle (2) ein von den Mikrocontrollereinheiten (1, 1λ) gemeinsam genutzter Speicherbereich (24) und/oder eine Punkt-zu-Punkt Verbindung (2) ist.
Elektronische Kontrolleinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das erste Be¬ triebssystem (5) einen Betriebssystemstandard, insbesondere OSEK-OS, erfüllt und das zweite Betriebssystem (5λ) auf Basis einer vereinheitlichten Softwarearchitektur, insbesondere AUTOSAR, beruht.
Elektronische Kontrolleinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass diese und/oder das Mikroprozessorsystem (34) zumindest einen Domänen-Controller (35) umfasst und/oder derart ausgestaltet ist, dass eine Domänen-Controller-Funktion (35) wenigstens eines Kraftfahrzeugnetzwerks (31) realisiert wird.
Elektronische Kontrolleinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass diese und/oder das Mikroprozessorsystem (34) zumindest einen Gateway-Controller (36) umfasst und/oder derart ausgestaltet ist, dass eine Gateway-Funktion (36) zur Kommunikation unterschiedlicher Kraftfahrzeugnetzwerke (31, 37) auszu¬ führen imstande ist.
15. Verwendung einer elektronischen Kontrolleinheit (30) gemäß einem der Ansprüche 1 bis 14 in einem Kraftfahrzeug¬ bremssystem.
EP13779792.4A 2012-10-16 2013-10-16 Schnittstelle zum datenaustausch zwischen redundant ausgeführten programmen zur kraftfahrzeugsteuerung Ceased EP2909721A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102012218852 2012-10-16
PCT/EP2013/071615 WO2014060470A1 (de) 2012-10-16 2013-10-16 Schnittstelle zum datenaustausch zwischen redundant ausgeführten programmen zur kraftfahrzeugsteuerung

Publications (1)

Publication Number Publication Date
EP2909721A1 true EP2909721A1 (de) 2015-08-26

Family

ID=49448133

Family Applications (1)

Application Number Title Priority Date Filing Date
EP13779792.4A Ceased EP2909721A1 (de) 2012-10-16 2013-10-16 Schnittstelle zum datenaustausch zwischen redundant ausgeführten programmen zur kraftfahrzeugsteuerung

Country Status (6)

Country Link
US (1) US10214189B2 (de)
EP (1) EP2909721A1 (de)
KR (1) KR20150067380A (de)
CN (1) CN104718532A (de)
DE (1) DE112013005824A5 (de)
WO (1) WO2014060470A1 (de)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014217321A1 (de) * 2014-08-29 2016-03-03 Continental Teves Ag & Co. Ohg Mikrocontrollersystem und Verfahren für sicherheitskritische Kraftfahrzeugsysteme sowie deren Verwendung
WO2016145073A1 (en) * 2015-03-09 2016-09-15 Autoconnect Holdings Llc Vehicle and occupant application integration
EP3156904A1 (de) * 2015-10-13 2017-04-19 Autoliv Development AB Elektronisches fahrzeugsicherheitssteuerungssystem
DE102016224747A1 (de) * 2016-12-12 2018-06-14 Robert Bosch Gmbh Steuergerät
US11214273B2 (en) 2017-06-23 2022-01-04 Nvidia Corporation Method of using a single controller (ECU) for a fault-tolerant/fail-operational self-driving system
US10606764B1 (en) * 2017-10-02 2020-03-31 Northrop Grumman Systems Corporation Fault-tolerant embedded root of trust using lockstep processor cores on an FPGA
DE102017218898A1 (de) 2017-10-23 2019-04-25 Volkswagen Aktiengesellschaft Kontrollsystem für ein Batteriesystem
FR3077403B1 (fr) 2018-01-29 2019-12-27 Continental Automotive France Procede de conception d’une architecture de taches applicative d’une unite de controle electronique avec un ou des cœurs virtuels
CN109541987B (zh) * 2018-10-17 2021-09-03 同济大学 一种具有冗余结构的即插即用型智能汽车域控制器及方法
CN110955232A (zh) * 2019-12-13 2020-04-03 深圳市英博超算科技有限公司 一种自动驾驶系统架构
CN112187744B (zh) * 2020-09-14 2022-01-11 北京航空航天大学 一种面向车载域架构CAN总线DoS攻击的OTA升级方法
CN112506701B (zh) * 2020-12-02 2022-01-21 广东电网有限责任公司佛山供电局 一种基于三模lockstep的多处理器芯片错误恢复方法
EP4060487A1 (de) * 2021-03-17 2022-09-21 Aptiv Technologies Limited Elektronische steuereinheit, fahrzeug mit der elektronischen steuereinheit und computerimplementiertes verfahren
CN113904882B (zh) * 2021-09-24 2023-08-18 广东汇天航空航天科技有限公司 一种多mcu单元的通信控制系统及通信控制方法
CN115412394B (zh) * 2022-08-22 2023-08-18 奥特酷智能科技(南京)有限公司 基于AutoSar的异构域控制器核间通信方法

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040026158A1 (en) * 2000-03-27 2004-02-12 Peter Rieth Vehicle system and axle guide module for a vehicle steering system
JP4319547B2 (ja) 2001-12-11 2009-08-26 コンティネンタル・テーベス・アクチエンゲゼルシヤフト・ウント・コンパニー・オッフェネ・ハンデルスゲゼルシヤフト マルチコア型冗長制御コンピュータシステム、自動車における安全上重要な用途のためのコンピュータネットワーク並びにその使用
DE50311257D1 (de) * 2003-01-15 2009-04-16 Continental Teves Ag & Co Ohg Verfahren zur erkennung und/oder korrektur von speicherzugriffsfehlern und elektronische schaltungsanordnung zur durchführung des verfahrens
CN101243402B (zh) * 2005-08-11 2011-08-31 大陆-特韦斯贸易合伙股份公司及两合公司 用于控制或调节至少部分安全关键处理的微处理器系统
US8014793B2 (en) * 2007-02-08 2011-09-06 Hewlett-Packard Development Company, L.P. Use of previously-calculated position fix for location based query
JP4458119B2 (ja) * 2007-06-11 2010-04-28 トヨタ自動車株式会社 マルチプロセッサシステム及びその制御方法
WO2009027123A1 (de) * 2007-08-25 2009-03-05 Continental Teves Ag & Co. Ohg Aktualisierung von digitalen karten und ortsbestimmung
US8666591B2 (en) * 2008-02-15 2014-03-04 Continental Teves Ag & Co. Ohg Vehicle system for navigation and/or driver assistance
DE102011005800A1 (de) * 2010-03-23 2011-09-29 Continental Teves Ag & Co. Ohg Kontrollrechnersystem, Verfahren zur Steuerung eines Kontrollrechnersystems, sowie Verwendung eines Kontrollrechnersystems
DE102011007467A1 (de) 2010-04-28 2011-11-03 Continental Teves Ag & Co. Ohg Mehrkernige integrierte Mikroprozessorschaltung mit Prüfeinrichtung, Prüfverfahren und Verwendung
CN102622470A (zh) 2012-02-21 2012-08-01 重庆邮电大学 一种通用汽车代码转换方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
None *
See also references of WO2014060470A1 *

Also Published As

Publication number Publication date
US20160046265A1 (en) 2016-02-18
KR20150067380A (ko) 2015-06-17
WO2014060470A1 (de) 2014-04-24
US10214189B2 (en) 2019-02-26
DE112013005824A5 (de) 2015-09-24
CN104718532A (zh) 2015-06-17

Similar Documents

Publication Publication Date Title
EP2909721A1 (de) Schnittstelle zum datenaustausch zwischen redundant ausgeführten programmen zur kraftfahrzeugsteuerung
EP2235628B1 (de) Kraftfahrzeug-steuervorrichtung
EP2641176B1 (de) Mikroprozessorsystem mit fehlertoleranter architektur
DE10000997B4 (de) Elektronisches Steuersystem
EP2823430B1 (de) Elektronisches regelungssystem
DE102015108689A1 (de) Sicherheitsknoten in Zwischenverbindungsdatenbussen
DE102015003194A1 (de) Verfahren und Vorrichtung zum Handhaben von sicherheitskritischen Fehlern
WO2005003962A2 (de) Verfahren zur umschaltung zwischen wenigstens zwei betriebsmodi einer prozessoreinheit sowie entsprechende prozessoreinheit
DE102008062692A1 (de) Vorrichtung und Verfahren mit gesteuertem Schaltmodus
EP3398069B1 (de) Fahrzeugeigene steuervorrichtung zum redundanten ausführen einer betriebsfunktion sowie entsprechendes kraftfahrzeug
DE102012017339B4 (de) Rechnersystem
EP1700211B1 (de) Laden von software-modulen
WO2016030324A1 (de) Mikrocontrollersystem und verfahren für sicherheitskritische kraftfahrzeugsysteme sowie deren verwendung
DE102019106551A1 (de) Mehrfach-steuergerät für ein fahrzeug
DE112010005971T5 (de) Mehrprozessorcomputersystem und -Verfahren
DE102021209687A1 (de) Cloudrechner zur Ausführung zumindest einer teilweise automatisierten Fahrfunktion eines Kraftfahrzeugs und Verfahren zum Betreiben eines Cloudrechners
WO2014067978A1 (de) Verfahren zur verwaltung eines steuergerätenetzwerks in einem fahrzeug und steuergerätenetzwerk
WO2016087175A1 (de) Rechensystem für ein kraftfahrzeugsystem
WO2008128710A1 (de) Steuervorrichtung für fahrzeuge
DE102020213378A1 (de) Vorrichtung und Verfahren zur Steuerung eines technischen Systems
DE102018210733A1 (de) Verfahren zum Überwachen wenigstens einer Recheneinheit
DE102022210020A1 (de) Sicherheitsdatenverarbeitungseinheit für eine Recheneinheit
WO2024100007A1 (de) Verfahren zur überwachung von schnittstellen zwischen einer software-applikation und einem steuergerät
WO2024056489A1 (de) Erkennung von externen eingriffen in einem rechnersystem mit zonenseparation für eine vorrichtung, insbesondere für ein fahrzeug
WO2024056488A1 (de) Mitigation von manipulationen in einem rechnersystem mit zonenseparation für eine vorrichtung, insbesondere für ein fahrzeug

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20150518

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

RIN1 Information on inventor provided before grant (corrected)

Inventor name: ZYDEK, MICHAEL

Inventor name: SAENGER, MARCO

Inventor name: HERR, REINHARD

Inventor name: AMJADI, HOUMAN

Inventor name: HARTMANN, RALF

Inventor name: HEISE, ANDREAS

Inventor name: SCHADE, KAI

DAX Request for extension of the european patent (deleted)
17Q First examination report despatched

Effective date: 20160317

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: CONTINENTAL TEVES AG & CO. OHG

REG Reference to a national code

Ref country code: DE

Ref legal event code: R003

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED

18R Application refused

Effective date: 20190627