WO2015028581A1 - Verfahren zur überwachung einer komponente in einem kraftfahrzeug - Google Patents

Verfahren zur überwachung einer komponente in einem kraftfahrzeug Download PDF

Info

Publication number
WO2015028581A1
WO2015028581A1 PCT/EP2014/068323 EP2014068323W WO2015028581A1 WO 2015028581 A1 WO2015028581 A1 WO 2015028581A1 EP 2014068323 W EP2014068323 W EP 2014068323W WO 2015028581 A1 WO2015028581 A1 WO 2015028581A1
Authority
WO
WIPO (PCT)
Prior art keywords
control device
component
control unit
monitoring module
computer unit
Prior art date
Application number
PCT/EP2014/068323
Other languages
English (en)
French (fr)
Inventor
Thomas Rupp
Stefan Cermak
Jens WERNETH
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Priority to CN201480048213.XA priority Critical patent/CN105517850B/zh
Priority to US14/915,835 priority patent/US9725054B2/en
Publication of WO2015028581A1 publication Critical patent/WO2015028581A1/de

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L50/00Electric propulsion with power supplied within the vehicle
    • B60L50/50Electric propulsion with power supplied within the vehicle using propulsion power supplied by batteries or fuel cells
    • B60L50/60Electric propulsion with power supplied within the vehicle using propulsion power supplied by batteries or fuel cells using power supplied by batteries
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/0023Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train
    • B60L3/0084Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train relating to control modules
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/0092Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption with use of redundant elements for safety purposes
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/04Cutting off the power supply under fault conditions
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L53/00Methods of charging batteries, specially adapted for electric vehicles; Charging stations or on-board charging equipment therefor; Exchange of energy storage elements in electric vehicles
    • B60L53/10Methods of charging batteries, specially adapted for electric vehicles; Charging stations or on-board charging equipment therefor; Exchange of energy storage elements in electric vehicles characterised by the energy transfer between the charging station and the vehicle
    • B60L53/14Conductive energy transfer
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/03Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for supply of electrical power to vehicle subsystems or for
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/28Supervision thereof, e.g. detecting power-supply failure by out of limits supervision
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G08SIGNALLING
    • G08CTRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
    • G08C17/00Arrangements for transmitting signals characterised by the use of a wireless electrical link
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01MPROCESSES OR MEANS, e.g. BATTERIES, FOR THE DIRECT CONVERSION OF CHEMICAL ENERGY INTO ELECTRICAL ENERGY
    • H01M10/00Secondary cells; Manufacture thereof
    • H01M10/42Methods or arrangements for servicing or maintenance of secondary cells or secondary half-cells
    • H01M10/48Accumulators combined with arrangements for measuring, testing or indicating the condition of cells, e.g. the level or density of the electrolyte
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q9/00Arrangements in telecontrol or telemetry systems for selectively calling a substation from a main station, in which substation desired apparatus is selected for applying a control signal thereto or for obtaining measured values therefrom
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/03Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for supply of electrical power to vehicle subsystems or for
    • B60R16/0315Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for supply of electrical power to vehicle subsystems or for using multiplexing techniques
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/36Arrangements for testing, measuring or monitoring the electrical condition of accumulators or electric batteries, e.g. capacity or state of charge [SoC]
    • G01R31/3644Constructional arrangements
    • G01R31/3648Constructional arrangements comprising digital calculation means, e.g. for performing an algorithm
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01MPROCESSES OR MEANS, e.g. BATTERIES, FOR THE DIRECT CONVERSION OF CHEMICAL ENERGY INTO ELECTRICAL ENERGY
    • H01M10/00Secondary cells; Manufacture thereof
    • H01M10/42Methods or arrangements for servicing or maintenance of secondary cells or secondary half-cells
    • H01M10/425Structural combination with electronic components, e.g. electronic circuits integrated to the outside of the casing
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01MPROCESSES OR MEANS, e.g. BATTERIES, FOR THE DIRECT CONVERSION OF CHEMICAL ENERGY INTO ELECTRICAL ENERGY
    • H01M2220/00Batteries for particular applications
    • H01M2220/20Batteries in motive systems, e.g. vehicle, ship, plane
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2209/00Arrangements in telecontrol or telemetry systems
    • H04Q2209/30Arrangements in telecontrol or telemetry systems using a wired architecture
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E60/00Enabling technologies; Technologies with a potential or indirect contribution to GHG emissions mitigation
    • Y02E60/10Energy storage using batteries
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/60Other road transportation technologies with climate change mitigation effect
    • Y02T10/70Energy storage systems for electromobility, e.g. batteries
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/60Other road transportation technologies with climate change mitigation effect
    • Y02T10/7072Electromobility specific charging systems or methods for batteries, ultracapacitors, supercapacitors or double-layer capacitors
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T90/00Enabling technologies or technologies with a potential or indirect contribution to GHG emissions mitigation
    • Y02T90/10Technologies relating to charging of electric vehicles
    • Y02T90/14Plug-in electric vehicles
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T90/00Enabling technologies or technologies with a potential or indirect contribution to GHG emissions mitigation
    • Y02T90/10Technologies relating to charging of electric vehicles
    • Y02T90/16Information or communication technologies improving the operation of electric vehicles

Definitions

  • the present invention relates to a method for monitoring a component, in particular battery, of a motor vehicle, an arrangement for monitoring a component, a component which is monitored by the method, and a motor vehicle.
  • the computer unit to be tested, the monitoring module and the controller to be shut down are located directly in the same control unit.
  • the available space is used as well as possible.
  • the subsystems are becoming ever more extensive, so that in the future more distance between the computer unit and the controller will be bridged.
  • the subject matter of the present invention is a method for monitoring a component, in particular battery or motor vehicle engine, of a motor vehicle.
  • the invention relates to a method for monitoring a component, in particular a battery, of a motor vehicle with a first control unit.
  • a second control device for monitoring the component wherein the second control device is arranged at a distance from the first control device and communicates with the first control device, wherein the second control device via a line, in particular hardware line, is connected to the component comprising the following steps: transmitting operating data to the first control unit by the second control unit, checking the operating data in the first control unit, transmitting data from the first control unit to the second control unit, switching off the component by the second control unit, if by the first control unit and / or the second control unit a fault is detected.
  • the first control unit may be the control unit to be tested, for example a battery control unit (BCU) or engine control unit, of the component and the second control unit may be the control unit performing the shutdown, for example a cell supervision circuit (CSC) of the component.
  • BCU battery control unit
  • CSC cell supervision circuit
  • a randomly generated question of the second control unit can be contained in the transmitted operating data.
  • the component can be monitored by the first controller, and also that the component can be controlled properly.
  • the first control device and / or the second control device a watchdog (English for watchdog, also called WDC for Watchdog Counter) have.
  • a watchdog has the function of monitoring the component of the motor vehicle. For example, the monitoring of the component by the received data of the first controller by the second
  • the watchdog in the second control unit can send a randomly generated question to the first controller with the transmitted operating data.
  • the first control unit can receive the question and transmit a response to the second control unit via the data transmitted to the second control unit.
  • the second controller after receiving the transmitted answer to the question, can check the received answer with the sent out question. This allows the watchdog to detect a possible malfunction.
  • it is preferred if only the first control unit knows the correct answer to the question.
  • the second controller may not be able to generate correct answers by itself. In this way, the correctness of the answers can be guaranteed.
  • the first control unit itself can also have a watchdog, which internally carries out a question and answer check in the first control unit. As a result, the first control unit itself can be checked for correct operation.
  • the second control device can switch off the component via the line, for example, the second control device can transmit a control voltage to the component, so that the component can be used in the motor vehicle.
  • the first control unit and / or the second control unit detects a fault.
  • the accident can be triggered by an incomplete, incorrect, too late or no response to the question of the watchdog of the first controller and / or the second controller.
  • this can trigger a communication interruption between the first control device and the second control device, which can be caused for example by the watchdog of the first control device and / or the second control device, whereby a question-answer communication between the first control device and the second control device disturbed can be.
  • the component can be brought into a safe state at any time in the event of a fault.
  • the term off or shutdown here means that the component is digitally separated from the motor vehicle, in which, for example, the second control unit removes a control voltage in the line to the component.
  • the first control unit and the second control unit are preferably connected to one another via a field bus, in particular via CAN or FlexRay.
  • a cost-intensive line in particular hardware line
  • the second control unit which shuts off a component
  • the first control unit can be placed anywhere in the motor vehicle.
  • the communication between the first control device and the control unit can also take place via an existing network, for example via Ethernet, WLAN or Bluetooth.
  • the first controller can be located anywhere in the vehicle.
  • the first control device has a safety rating ASIL-X and the second control device has a safety rating QM.
  • ASIL means here "Automotive Safety Integrity Level", and is a measure of the safety relevance of a malfunction, such as an unwanted
  • Torque increase in a motor control according to the standard ISO 26262.
  • the letter X indicates the classification of the ASIL on a scale A to D, where A is the lowest and D is the highest safety rating.
  • the safety classification QM does not refer to safety-relevant systems.
  • the requirements of ISO 26262 are to be implemented depending on the determined ASIL.
  • the first control device has a safety rating ASIL-X and the second control device has a safety rating ASIL-X.
  • the safety-relevant hardware line can be shortened, in which the FlexBus switching message is sent to the second control unit. Only from the second control unit, the safety-relevant line can be executed in hardware.
  • the component has a controller for communicating and switching off the component, wherein the actuator is connected to the second control unit and the actuator is switched off by the second controller as soon as a safety-critical situation is detected, whereby the component is turned off.
  • a safety-related actuator can be saved in the second control device, whereby the structure of the second control device can be simplified.
  • the second control unit transmits the operating data to the first control unit within a predetermined time.
  • the first control unit handles its safety-relevant processes stably and without error in the correct sequence and in a correct time cycle.
  • the second control device can have a watchdog and the watchdog can request a response to a randomly questioned question from the first control device at regular intervals. For example, every 100ms, preferably every 90ms, especially every 80ms, a correct answer to a question may be requested.
  • Control unit within a predetermined time from the first controller to demand a response to a question.
  • the first control unit can handle its safety-related processes stably and error-free in the correct sequence and in a correct time cycle.
  • the watchdog of the first controller may periodically request a response to a randomly-questioned question from the first controller. For example, every 100ms, preferably every 90ms, especially every 80ms, a correct answer to a question may be requested.
  • the first control unit has a first computer unit and a first monitoring module and the second control unit has a second computer unit and a second monitoring module, wherein a secure line is established via the second computer unit via the field bus with the first computer unit to the first Computing unit to connect to the second monitoring module.
  • the second monitoring module may have the task of establishing a secure shutdown path for the question / answer communication via a field bus system.
  • the second monitoring module of the second control device can connect to the first computer unit via the fieldbus via the second computer unit and thus provide a secure digital line.
  • the secure coupling to the first computer unit by the second computer unit may be advantageous.
  • the first computer unit and the second computer unit can each be responsible for the functionality of the component.
  • the first computer unit can contain the complete logic for monitoring the component.
  • the monitoring of the component can be carried out such that the first monitoring module and the second monitoring module communicate with the first computer unit.
  • the second computer unit can be responsible for the implementation of the commands of the first computer unit to the second monitoring module.
  • the second computer unit can forward the operating data of the second monitoring module to the first computer unit.
  • the first monitoring module and / or the second monitoring module can have the watchdog.
  • the second monitoring module can ensure that the communication between the first computer unit and the second computer unit can function without errors, and that in the case of an accident, the component is switched off via the controller. In this way, a protection of all the protocols and data in the first computer unit and in the second computer unit can be simplified.
  • the second monitoring module can take over the protection of the communication in case of failure in case of failure.
  • the second computer unit may preferably receive the data from the first computer unit several times before the data is transmitted to the second monitoring module.
  • the second monitoring module may request a response to a random question from the first computing unit every 80 ms.
  • the first computer unit can transmit the data with the answer to the question from the second monitoring module to the second computer unit within a defined time window of 20 ms, preferably 15 ms, in particular of 5 ms.
  • the second computer unit can receive the data several times with the answer to the question before the second computer unit forwards the data to the second monitoring module.
  • independence from the field bus transmission can be achieved. For example, short-term interruptions in the fieldbus can be bridged, whereby the security of error-free and uninterruptible monitoring can be ensured.
  • the first monitoring module may request from the first computer unit a response to a randomly questioned question from the first computer unit, for example every 80 ms. In this way, an error-free operation of the first computer unit can be ensured.
  • the second monitoring module comprises a counting register, which is incremented upon transmission of erroneous data of the first computer unit.
  • the first computer unit may transmit an erroneous response, an incorrect answer, an incomplete response, an answer that is too late or a response to the second monitoring module.
  • the current count can always be transmitted by the second computer unit together with the operating data via the field bus to the first computer unit. Furthermore, with a correct answer, the count can be decremented again to a count of 0.
  • the first monitoring module may comprise a counting register, which is incremented in the event of a faulty response of the first computer unit to the question of the first monitoring module.
  • a faulty response can cause a false see answer, an incomplete answer, too late answer or no answer.
  • the current count can always be transmitted by the first monitoring module together with the question to the first computer unit. Furthermore, with a correct answer, the count can be decremented again to a count of 0.
  • the first computer unit transmits specifically incorrect data to the first monitoring module and / or to the second monitoring module.
  • the first control unit can selectively transmit incorrect answers to the first monitoring module and / or to the second monitoring module in order to secure the transmission path into the counting register.
  • the first computer unit can hold the counting register of the first monitoring module and / or the second monitoring module, for example permanently to a count between 0 and 2.
  • the first monitoring module switches off the fused line via the fieldbus to the second monitoring module as soon as the counting register reaches a predetermined level
  • the shutdown of the secure line via the first monitoring module of the first control device can be initiated. For example, 3 to 5 incorrect answers can be sent until the shutdown can take place.
  • a predetermined count for example at a count of 5
  • the shutdown of the secure line via the first monitoring module of the first control device can be initiated. For example, 3 to 5 incorrect answers can be sent until the shutdown can take place.
  • 85ms (80ms repetition + 5ms tolerance) can be the possible time window from 240ms to 425ms.
  • the controller of the component can be deactivated by the second monitoring module, as a result of which the component can also be switched off.
  • the shutdown can be done purely digital.
  • the line from the second monitoring module to the controller of the component may have a control voltage, whereby the actuator is closed.
  • a shutdown of the component can for example be such that the second monitoring module a Signal to the line applies by which the control voltage for the actuator is turned off.
  • the actuator can be opened, whereby the component can be separated from the motor vehicle, whereby the component is no longer used by the motor vehicle and thereby can be switched off.
  • the second monitoring module can switch off the component via the line as soon as the counting register reaches a predetermined value.
  • a predetermined count for example at a count of 5
  • the shutdown of the component via the line by the second monitoring module can be initiated.
  • 3 to 5 incorrect answers can be sent until the shutdown can take place.
  • the possible time window can be from 240 ms to 425 ms.
  • a shutdown of the component by the second monitoring module can for example be such that the second monitoring module applies a signal to the line through which the control voltage for the actuator is turned off. Thereby, the actuator can be opened, whereby the component can be separated from the motor vehicle, whereby the component can be switched off.
  • the component can be put back into operation when the second monitoring module removes the signal, for example for interrupting the control voltage. This ensures that the component can continue to be used after the error has been corrected.
  • the second control unit is connected to a plurality of components.
  • the second controller can execute several remote circuits simultaneously.
  • the question-answer communication can be better adapted to the switch needs of a remote switch.
  • the second control unit comprises a second computer unit, wherein the second computer unit has a switching computer unit to control a plurality of lines, in particular hardware lines.
  • the switching computer unit can address an already existing field bus driver itself.
  • an 8 bit port information can be contained in the fieldbus protocol. This allows the second monitoring module to control several hardware lines.
  • the invention relates to a computer program which executes the inventive method when running on a computer, in particular on an on-board computer of a motor vehicle, or on a plurality of computers of a computer network, in particular in an on-board network of a motor vehicle.
  • the program code means may be stored on a computer-readable medium.
  • a volume on which a data structure is stored which can perform the inventive method in one of its embodiments after loading into a working and / or main memory of a computer or on a plurality of computers of a computer network.
  • a computer program product having program code means stored on a machine-readable medium to perform the inventive method in one of its embodiments when the program is executed on a computer or on a plurality of computers of a computer network ,
  • the program is understood as a tradable product. It can in principle be in any form, for example on paper or a computer-readable data tenados and can be distributed in particular via a data transmission network.
  • a modulated data signal that includes instructions executable by a computer system or a plurality of computers of a computer network for carrying out the inventive method in one of its embodiments.
  • a computer system both a stand-alone computer come into consideration, as well as network of computers, such as an in-house, closed network, or even computers that are connected to each other via the Internet.
  • the computer system can be realized by a client-server constellation, wherein parts of the invention run on the server, others on a client.
  • the invention relates to an arrangement for monitoring a component, in particular battery, of a motor vehicle, having a first control device and a second control device, wherein the arrangement is set up such that a method for monitoring a component as explained above can be executed.
  • Other components may be, for example, an automotive engine, a board computer or a transmission.
  • the invention relates to a component, in particular a battery, of a motor vehicle with an arrangement for monitoring the component nente, wherein the arrangement is arranged such that a method as described above is executable.
  • the component is a battery, in particular a lithium-ion battery, or the battery comprises electrochemical cells.
  • the component may also be a motor vehicle engine
  • the invention relates to a motor vehicle with an electric drive motor for driving the motor vehicle and connected to the electric drive motor or connectable battery as described above.
  • the battery is not limited to such use, but may be used in other electrical systems.
  • FIG. 2 shows a schematic representation of a second embodiment, in which the first control device has an ASIL-X safety classification and the second control device has an ASIL-X safety classification
  • Fig. 3 is a schematic representation of an example of charging a battery of a motor vehicle.
  • the component 12 may represent a battery for a motor vehicle.
  • the arrangement comprises a first control device 14 and a second control device 16.
  • the first control device 14 may represent a battery management system BCU, and the second control device 16 may represent the deactivation performing control device CSC.
  • the component 12 has an actuator 18.
  • the actuator 18 of the component 12 is connected to the second monitoring module 22 of the second control device 16 via a line 20, for example a hardware line of a cable harness.
  • the second monitoring module 22 is connected to a second computer unit 24.
  • the second computer unit 24 is connected to a second field bus port 26.
  • the field bus system used can be CAN.
  • the second control device 16 can be connected to a first field bus port 28 of the first control device 14.
  • the first control unit 14 can be located anywhere in the motor vehicle.
  • the first field bus port 28 is connected to a first computer unit 30 of the first controller 14.
  • the first computer unit 30 is connected to a first monitoring module 32.
  • the first control device 14 has a control for shutdown requirement 34, which connects the first monitoring module 32 to the field bus port 28 in order to switch off the field bus port 28 if required.
  • the monitoring of the component can proceed as follows:
  • the second control unit 16 transmits operating data in the form of a randomly questioned question from the second monitoring module 22 to the second computer unit 24.
  • the transmission is shown as a dashed arrow.
  • the second computer unit 24 builds a secure digital line to the first computer unit 30 with the aid of the field bus ports 26, 28.
  • the second computer unit 24 transmits the operating data to the first computer unit 30. This is shown as a dashed arrow.
  • the first monitoring module 32 and the second monitoring module 22 each send operating data to the first computer unit 30 within a defined cycle time, for example every 80 ms.
  • the first computer unit 30 must answer the question in a clearly defined time window, for example every 5 ms.
  • the first computer unit 30 sends data containing the answer to the question to the first monitoring module 32 and / or with the aid of the field bus 26, 28 and the second computer unit 24 to the second monitoring module 22. This is shown as a dashed arrow. If the data arrive incomplete, incorrect, too late or not at all with the answer, for example, the first monitoring module 32 and / or the second monitoring module 22 starts to increment a counting register.
  • the first monitoring module 32 will be activated via shutdown requirement 34 and / or the second monitoring module 22 via the line 20 Transmit signal, whereby the respectively connected component, in the first control unit 14 of the first FeldBusPort 28 and in the second control unit 16 of the actuator 18, is influenced. For example, 3 to 5 incorrect answers must be sent until the shutdown occurs. At 80ms to 85ms, with a repetition time of 80ms and a tolerance of 5ms, this results in a possible time window of 240ms to 425ms. This influencing is purely digital.
  • the first monitoring module 32 and the second monitoring module 22 releases the use of the component in that a control voltage is applied to the control in the case of switch-off requirement 34 and / or to the line 20.
  • the actuator 18 must be closed for the component 12 to work.
  • the actuator 18 is opened immediately as soon as the second monitoring module 22 removes its control voltage due to an accident.
  • the count register is decremented again to a count of zero.
  • the first computer unit 30 holds the count Register of the first monitoring module 32 and / or the second monitoring module 22 permanently to a count between 0 and 2.
  • the current count of the first monitoring module 32 and / or the second monitoring module 22 is always transmitted together with the operating data to the first computer unit 30.
  • the first computer unit 30 and the second computer units 24 are each responsible for the actual functionality of the component 12.
  • the computer unit 30 is the main computer, which also contains the complete logic.
  • the first monitoring module 32 and the second monitoring module 22 therefore communicate only with the first computer unit 30.
  • the computer unit 24, however, is only responsible for implementing the commands from the computer unit 30. Therefore, all questions of the first monitoring module 32 and the second monitoring module 22 are answered exclusively by computer unit 30.
  • the second computer unit 24 is not able to generate correct answers on its own.
  • the computer unit 24 receives from the first computer unit 30 the generated response more frequently than the cycle time of the second monitoring module 22.
  • the generated response is buffered in the second computer unit 24 until the cycle time required by the transmission module 22 is reached and then forwards the response.
  • the second computer unit 24 and the first computer unit 30 can operate in a 10 ms raster. This means that the second computer unit 24 receives the same answer at least six times before the reply is forwarded to the second monitoring module.
  • the purpose of the second monitoring module 22 is to ensure, on the one hand, that the communication between the first computer unit 30 and the second computer unit 24 is functioning correctly, and, on the other hand, in the event of a fault in the communication between the first computer unit 30 and the second computer unit 24, the component 12 via the actuator 18 separated from the motor vehicle.
  • the second monitoring module 22 Without the second monitoring module 22, all the protocols and th, including the first computer unit 30 and the second computer unit 24 are hedged. For example, a shutdown of the component 12 by the first monitoring module 32, in which the first monitoring module sends a signal to the control at Abschalt site 34, by which, for example, a control voltage is removed.
  • the Abschalt site 34 is a WDA line from the first monitoring module 32 to the first FeldBusPort 28, and turns off the FeldBusPort 28 as soon as the count of the count register of the second monitoring module 22 has reached a certain value.
  • the question-answer communication between the second monitoring module 22 and the first computer unit 30 is disturbed.
  • the actuator 18 is deactivated by the second monitoring module 22.
  • the second control unit 16 has a safety rating ASIL-C compared to FIG.
  • the safety-relevant line 20 can thereby be shortened by sending the switch-off message to the second computer unit 24 via the field bus.
  • a charging cable 36 of a motor vehicle 38 for a battery 40 is connected to a socket 42.
  • a first control unit 14 placed in the motor vehicle 38 can request the charging voltage outside of the motor vehicle 38 via an external second control unit 16.
  • the motor vehicle 38 can be safely removed from the network.
  • the fieldbus also realizes a type of interlock line which first applies the voltage to the charging cable 36 when the first control unit 14 is connected to the external second control unit 16.
  • shutdown can take place in the event of a fault in the case of an application as a safety remote switch. Reliable shutdown increases safety.
  • the network connection can be reliably disconnected during charging, which supports and protects the fire brigade.

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Theoretical Computer Science (AREA)
  • Power Engineering (AREA)
  • Transportation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Sustainable Development (AREA)
  • Sustainable Energy (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Manufacturing & Machinery (AREA)
  • Chemical & Material Sciences (AREA)
  • Chemical Kinetics & Catalysis (AREA)
  • Electrochemistry (AREA)
  • General Chemical & Material Sciences (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Überwachung einer Komponente (12), insbesondere eine Batterie, eines Kraftfahrzeugs mit einem ersten Steuergerät (14) zum Überwachen der Komponente (12), einem zweiten Steuergerät (16) zum Überwachen der Komponente (12), wobei das zweite Steuergerät (16) beabstandet von dem ersten Steuergerät (14) angeordnet ist und mit dem ersten Steuergerät (14) kommuniziert, wobei das zweite Steuergerät (16) über eine Leitung (20), insbesondere Hardwareleitung, mit der Komponente (12) verbunden ist, mit den Schritten Übermitteln von Betriebsdaten an das erste Steuergerät (14) durch das zweite Steuergerät (16), Überprüfen der Betriebsdaten in dem ersten Steuergerät (14), Übermitteln von Daten von dem ersten Steuergerät (14) an das zweite Steuergerät (16), Abschalten der Komponente (12) durch das zweite Steuergerät (16), wenn durch das erste Steuergerät (14) und/oder das zweite Steuergerät (16) eine Störfall festgestellt wird. Durch die Erfindung kann eine räumliche Trennung des zu prüfenden Steuergeräts zu dem die Abschaltung durchführenden Steuergerät ermöglich werden, wobei die Einbauposition des zu prüfenden Steuergeräts frei gewählt sein werden kann.

Description

Beschreibung
Titel
Verfahren zur Überwachung einer Komponente in einem Kraftfahrzeug
Die vorliegende Erfindung betrifft ein Verfahren zur Überwachung einer Komponente, insbesondere Batterie, eines Kraftfahrzeugs, eine Anordnung zur Überwachung einer Komponente, eine Komponente die mit dem Verfahren überwacht wird, sowie ein Kraftfahrzeug.
Stand der Technik
Bei einem Großteil sicherheitsrelevanter Systeme, beispielsweise Motorsteuergerät oder Batteriemanagementgerät, befinden sich die zu prüfende Rechnereinheit, das Überwachungsmodul und der abzustellende Steller direkt im gleichen Steuergerät. Je weiter das Steuergerät entfernt ist, desto kostenintensiver ist die Hardwareleitung, beispielsweise Kabelbaum, um das Steuergerät mit der Komponente zu verbinden. Im Gesamtkomplex eines PKW wird der zur Verfügung stehende Bauraum so gut wie möglich genutzt. Die Teilsysteme werden immer umfangreicher, so dass zukünftig mehr Distanz zwischen der Rechnereinheit und dem Steller zu überbrücken sein wird.
Offenbarung der Erfindung
Gegenstand der vorliegenden Erfindung ist ein Verfahren zur Überwachung einer Komponente, insbesondere Batterie oder Kraftfahrzeugmotor, eines Kraftfahrzeugs.
Die Erfindung betrifft ein Verfahren zur Überwachung einer Komponente, insbesondere eine Batterie, eines Kraftfahrzeugs mit einem ersten Steuer- gerät zum Überwachen der Komponente, einem zweiten Steuergerät zum Überwachen der Komponente, wobei das zweite Steuergerät beabstandet von dem ersten Steuergerät angeordnet ist und mit dem ersten Steuergerät kommuniziert, wobei das zweite Steuergerät über eine Leitung, insbe- sondere Hardwareleitung, mit der Komponente verbunden ist, mit folgenden Schritten: Übermitteln von Betriebsdaten an das erste Steuergerät durch das zweite Steuergerät, Überprüfen der Betriebsdaten in dem ersten Steuergerät, Übermitteln von Daten von dem ersten Steuergerät an das zweite Steuergerät, Abschalten der Komponente durch das zweite Steuer- gerät, wenn durch das erste Steuergerät und/oder das zweite Steuergerät ein Störfall festgestellt wird.
Insbesondere kann das erste Steuergerät das zu prüfende Steuergerät, beispielsweise eine Batterie Control Unit (BCU) oder Motorsteuergerät, der Komponente sein und das zweite Steuergerät kann das die Abschaltung durchführende Steuergerät, beispielsweise ein Cell Supervision Circuit (CSC), der Komponente sein. Durch die mögliche Trennung des zu prüfenden Steuergerätes von dem die Abschaltung durchführenden Steuergerätes kann der Entwicklungsaufwand reduziert werden. Es ist nicht mehr nötig, das zu prüfende Steuergerät direkt neben der Komponente zu platzieren. Die Einbauposition des zu prüfenden Steuergerätes kann frei gewählt werden, wodurch sich die Flexibilität bei einem Entwurf eines elektronischen Systems in einem Kraftfahrzeug flexibler, einfacher und besser ausgestalten lässt.
Vorzugsweise kann in den übermittelten Betriebsdaten eine zufällig generierte Frage des zweiten Steuergeräts enthalten sein. Auf diese Weise kann sichergestellt werden, dass die Komponente durch das erste Steuergerät überwacht werden kann, und auch kontrolliert werden kann, dass die Komponente ordnungsgemäß arbeitet. Besonders bevorzugt kann das erste Steuergerät und/oder das zweite Steuergerät einen Watchdog (englisch für Wachhund; auch WDC für Watchdog Counter genannt) aufweisen. Ein Watchdog hat die Funktion die Komponente des Kraftfahrzeugs zu überwachen. Beispielsweise kann die Überwachung der Komponente durch die empfangenen Daten des ersten Steuergeräts durch das zweite
Steuergerät erfolgen. Der Watchdog in dem zweiten Steuergerät kann da- bei mit den übermittelten Betriebsdaten eine zufällig generierte Frage an das erste Steuergerät senden. Das erste Steuergerät kann die Frage empfangen und über die an das zweite Steuergerät übermittelten Daten eine Antwort an das zweite Steuergerät übermitteln. Das zweite Steuergerät kann nach dem Erhalt der übermittelten Antwort auf die Frage die erhaltene Antwort mit der ausgesendeten Frage überprüfen. Dadurch kann der Watchdog eine mögliche Fehlfunktion feststellen. Weiterhin ist es bevorzugt, wenn nur das erste Steuergerät die richtige Antwort auf die Frage kennt. Das zweite Steuergerät kann nicht in der Lage sein alleine korrekte Antworten zu generieren. Auf diese Weise kann die Korrektheit der Antworten garantiert werden. Ferner kann auch das erste Steuergerät selbst einen Watchdog aufweisen, der intern im ersten Steuergerät eine Frage- Antwort-Prüfung durchführt. Dadurch kann das erste Steuergerät selbst auf eine korrekte Funktion überprüft werden.
Weiterhin kann das zweite Steuergerät die Komponente über die Leitung abschalten, beispielsweise kann das zweite Steuergerät eine Steuerspannung an die Komponente übermitteln, so dass die Komponente in dem Kraftfahrzeug benutzt werden kann. Sobald das erste Steuergerät und/oder das zweite Steuergerät einen Störfall feststellt. Beispielsweise kann der Störfall durch eine unvollständige, falsche, zu späte oder keine Antwort auf die Frage des Watchdogs des ersten Steuergeräts und/oder des zweiten Steuergeräts ausgelöst werden. Beispielsweise kann dadurch eine Kommunikationsunterbrechung zwischen dem ersten Steuergerät und dem zweiten Steuergerät ausgelöst werden, welches beispielsweise durch den Watchdog des ersten Steuergeräts und/oder des zweiten Steuergeräts verursacht werden kann, wodurch eine Frage-Antwort- Kommunikation zwischen dem ersten Steuergerät und dem zweiten Steuergerät gestört werden kann. Auf diese Weise kann zu jeder Zeit im Stör- fall die Komponente in einen sicheren Zustand gebracht werden. Der Begriff abschalten oder Abschaltung bedeutet hierbei, dass die Komponente digital vom Kraftfahrzeug getrennt wird, in dem beispielsweise das zweite Steuergerät eine Steuerspannung in der Leitung zu der Komponente entfernt. Dadurch kann die Komponente nicht mehr vom Kraftfahrzeug be- nutzt werden. Vorzugsweise werden das erste Steuergerät und das zweite Steuergerät über einen FeldBus, insbesondere über CAN oder FlexRay, miteinander verbunden. Durch die Verwendung eines ersten Steuergerätes und eines zweiten Steuergeräts, wobei das erste Steuergerät beabstandet von dem zweiten Steuergerät angeordnet ist, kann der Bauraum in einem Kraftfahrzeug optimal ausgenutzt werden. Es ist nicht mehr nötig, dass erste und zweite Steuergerät in der Nähe der Komponente zu platzieren. Weiterhin kann eine kostenintensive Leitung, insbesondere Hardwareleitung, eingespart werden, in dem das zweite Steuergerät, welches eine Komponente abschaltet, in unmittelbarer Nähe der Komponente angeordnet wird, während das erste Steuergerät an einer beliebigen Stelle im Kraftfahrzeug platziert werden kann. Weiterhin kann für die Kommunikation zwischen dem ersten Steuergerät und dem Steuergerät auch über ein bestehendes Netzwerk, beispielsweise über Ethernet, WLan oder Bluetooth, erfolgen. Dadurch kann auf kostenintensive Hardwareleitungen verzichtet werden, und das erste Steuergerät kann überall im Fahrzeug angeordnet werden.
In einer bevorzugten Ausgestaltungsform weist das erste Steuergerät eine Sicherheitseinstufung ASIL-X und das zweite Steuergerät eine Sicherheitseinstufung QM auf. Auf diese Weise kann der Entwicklungsaufwand für das zweite Steuergerät, welches die Komponente abschaltet, vereinfacht werden. Weiterhin kann in dem zweiten Steuergerät ein kostengünstigerer Prozessor verwendet werden. Der Begriff ASIL bedeutet hier „Automotive Safety Integrity Level", und ist ein Maß für die Sicherheitsrelevanz einer Fehlfunktion, beispielsweise eine ungewollte
Momentenerhöhung bei einer Motorsteuerung, gemäß dem Standard ISO 26262. Der Buchstabe X bezeichnet hierbei die Einstufung der ASIL auf einer Skala A bis D, wobei A die niedrigste und D die höchste Sicherheitseinstufung darstellt. Die Sicherheitseinstufung QM bezeichnet hierbei nicht sicherheitsrelevante Systeme. Die Anforderungen der ISO 26262 sind in Abhängigkeit des ermittelten ASIL umzusetzen.
In einer weiteren bevorzugten Ausgestaltungsform weist das erste Steuergerät eine Sicherheitseinstufung ASIL-X und das zweite Steuergerät eine Sicherheitseinstufung ASIL-X aufweist. Dadurch kann die sicherheitsrelevante Hardwareleitung verkürzt werden, in dem über den FlexBus die Ab- schaltbotschaft zu dem zweiten Steuergerät gesendet wird. Erst ab dem zweiten Steuergerät kann die sicherheitsrelevante Leitung in Hardware ausgeführt werden. Insbesondere weist die Komponente einen Steller zum Kommunizieren und Abschalten der Komponente auf, wobei der Steller mit dem zweiten Steuergerät verbunden ist und der Steller durch das zweite Steuergerät abgeschaltet wird, sobald eine sicherheitskritische Situation festgestellt wird, wodurch auch die Komponente abgeschaltet wird. Durch die Ver- wendung eines Stellers kann ein sicherheitsrelevantes Stellglied in dem zweiten Steuergerät eingespart werden, wodurch der Aufbau des zweiten Steuergeräts vereinfacht werden kann.
Vorzugsweise übermittelt das zweite Steuergerät die Betriebsdaten inner- halb einer vorbestimmten Zeit an das erste Steuergerät. Durch die Übermittlung in einer vorbestimmten Zeit kann sichergestellt werden, dass das erste Steuergerät seine sicherheitsrelevanten Prozesse stabil und fehlerfrei in korrekter Abfolge und in einem korrekten zeitlichen Zyklus abhandelt. Beispielsweise kann das zweite Steuergerät einen Watchdog aufwei- sen und der Watchdog kann in regelmäßigen Abständen eine Antwort auf eine zufällig genierte Frage von dem ersten Steuergerät einfordern. Zum Beispiel kann alle 100ms, vorzugsweise alle 90ms, insbesondere alle 80ms, eine korrekte Antwort auf eine Frage eingefordert werden. Weiterhin kann der Watchdog in dem ersten Steuergerät von dem ersten
Steuergerät innerhalb einer vorbestimmten Zeit von dem ersten Steuergerät eine Antwort auf eine Frage einfordern. Durch die Übermittlung der Antwort in einer vorbestimmten Zeit kann sichergestellt werden, dass das erste Steuergerät seine sicherheitsrelevanten Prozesse stabil und fehler- frei in korrekter Abfolge und in einem korrekten zeitlichen Zyklus abhandeln kann. Beispielsweise kann der Watchdog des ersten Steuergeräts in regelmäßigen Abständen eine Antwort auf eine zufällig genierte Frage von dem ersten Steuergerät einfordern. Zum Beispiel kann alle 100ms, vorzugsweise alle 90ms, insbesondere alle 80ms, eine korrekte Antwort auf eine Frage eingefordert werden. In einer bevorzugten Ausführungsform weist das erste Steuergerät eine erste Rechnereinheit und ein erstes Überwachungsmodul auf und das zweite Steuergerät weist eine zweite Rechnereinheit und ein zweites Überwachungsmodul auf, wobei über die zweite Rechnereinheit eine abgesicherte Leitung über den FeldBus mit der ersten Rechnereinheit aufgebaut wird um die erste Rechnereinheit mit dem zweiten Überwachungsmodul zu verbinden. Das zweite Überwachungsmodul kann die Aufgabe haben für die Frage-Antwort-Kommunikation über ein FeldBussystem einen sicheren Abschaltpfad aufzubauen. Das zweite Überwachungsmodul des zweiten Steuergeräts kann sich über die zweite Rechnereinheit mit der ersten Rechnereinheit über den FeldBus verbinden und auf diese Weise eine abgesicherte digitale Leitung bereit stellen. Für die Anwendung des zweiten Überwachungsmoduls als abgesicherter Remote Schalter kann die sichere Ankopplung an die erste Rechnereinheit durch die zweite Rechnereinheit vorteilhaft sein. Die erste Rechnereinheit und die zweite Rechnereinheit können jeweils für die Funktionalität der Komponente zuständig sein. Dabei kann die erste Rechnereinheit die komplette Logik zur Überwachung der Komponente enthalten. Die Überwachung der Komponente kann derart erfolgen, dass das erste Überwachungsmodul und das zweite Überwachungsmodul mit der ersten Rechnereinheit kommunizieren. Die zweite Rechnereinheit kann dabei für die Umsetzung der Befehle der ersten Rechnereinheit an das zweite Überwachungsmodul zuständig sein. Weiterhin kann die zweite Rechnereinheit die Betriebsdaten des zweiten Überwachungsmoduls an die erste Rechnereinheit weiterleiten. Insbesondere können das erste Überwachungsmodul und/oder das zweite Überwachungsmodul den Watchdog aufweisen. Das zweite Überwachungsmodul kann dabei sicherstellen, dass die Kommunikation zwischen der ersten Rechnereinheit und der zweiten Rechnereinheit fehlerfrei funktionieren kann, und dass im Falle eines Störfalls die Komponente über den Steller abgeschaltet wird. Auf diese Weise kann eine Absicherung der sämtlicher Protokolle und Daten in der ersten Rechnereinheit und in der zweiten Rechnereinheit vereinfacht werden. Das zweite Überwachungsmodul kann im Störfall die Absicherung der Kommunikation im Störfall übernehmen. Vorzugsweise kann die zweite Rechnereinheit von der ersten Rechnereinheit mehrmals die Daten empfangen, bevor die Daten an das zweite Überwachungsmodul übermittelt werden. Beispielsweise kann das zweite Überwachungsmodul eine Antwort auf eine zufällig genierte Frage von der ersten Rechnereinheit alle 80 ms einfordern. Die erste Rechnereinheit kann an die zweite Rechnereinheit innerhalb eines definierten Zeitfensters von 20ms, vorzugsweise 15ms, insbesondere von 5ms die Daten mit der Antwort auf die Frage von dem zweiten Überwachungsmodul übermitteln. Dadurch kann die zweite Rechnereinheit die Daten mit der Antwort auf die Frage mehrmals empfangen, bevor die zweite Rechnereinheit die Daten an das zweite Überwachungsmodul weiterleitet. Dadurch kann eine Unabhängigkeit von der FeldBus Übertragung erreicht werden. Beispielsweise können kurzzeitig auftretende Unterbrechungen im FeldBus überbrückt werden, wodurch die Sicherheit einer fehlerfreien und unterbrechungsfreien Überwachung gewährleitet werden kann.
Weiterhin kann das erste Überwachungsmodul von der ersten Rechnereinheit eine Antwort auf eine zufällig genierte Frage von der ersten Rechnereinheit, beispielsweise alle 80 ms, einfordern. Auf diese Weise kann eine fehlerfreie Funktion der ersten Rechnereinheit sichergestellt werden.
Insbesondere umfasst das zweite Überwachungsmodul ein Zählregister, welches bei Übermittlung von fehlerhaften Daten der ersten Rechnereinheit inkrementiert wird. Beispielsweise kann die erste Rechnereinheit eine fehlerhafte Antwort, eine falsche Antwort, eine unvollständige Antwort, eine zu späte Antwort oder keine Antwort an das zweite Überwachungsmodul übermitteln. Der aktuelle Zählstand kann durch die zweite Rechnereinheit immer zusammen mit den Betriebsdaten über den FeldBus an die erste Rechnereinheit übermittelt werden. Weiterhin kann bei einer korrekten Antwort der Zählstand wieder bis zu einem Zählstand von 0 dekrementiert werden.
In einer bevorzugten Ausgestaltungsform kann das erste Überwachungsmodul ein Zählregister umfassen, welches bei einer fehlerhaften Antwort der ersten Rechnereinheit auf die Frage des ersten Überwachungsmoduls inkrementiert wird. Eine fehlerhafte Antwort kann beispielsweise eine fal- sehe Antwort, eine unvollständige Antwort, eine zu späte Antwort oder keine Übermittlung einer Antwort sein. Der aktuelle Zählstand kann durch das erste Überwachungsmodul immer zusammen mit der Frage an die erste Rechnereinheit übermittelt werden. Weiterhin kann bei einer korrekten Antwort der Zählstand wieder bis zu einem Zählstand von 0 dekrementiert werden.
Vorzugsweise übermittelt die erste Rechnereinheit gezielt falsche Daten an das erste Überwachungsmodul und/oder an das zweite Überwa- chungsmodul. Das erste Steuergerät kann mit Hilfe der ersten Rechnereinheit gezielt falsche Antworten an das erste Überwachungsmodul und/oder an das zweite Überwachungsmodul übermitteln, um die Übertragungsstrecke bis in das Zählregister abzusichern. Die erste Rechnereinheit kann dabei das Zählregister des ersten Überwachungsmoduls und/oder des zweiten Überwachungsmoduls beispielsweise permanent auf einen Zählstand zwischen 0 und 2 halten.
In einer bevorzugten Ausgestaltungsform schaltet das erste Überwachungsmodul die abgesicherte Leitung über den FeldBus zu dem zweiten Überwachungsmodul ab, sobald das Zählregister einen vorbestimmten
Wert erreicht. Insbesondere kann bei einem vorgegebenen Zählstand, beispielsweise bei einem Zählstand von 5, die Abschaltung der abgesicherten Leitung über das erste Überwachungsmodul des ersten Steuergeräts eingeleitet werden. Beispielsweise können 3 bis 5 falsche Antworten versendet werden, bis die Abschaltung stattfinden kann. Bei 80ms bis
85ms (80ms Wiederholzeit + 5ms Toleranz) kann das mögliche Zeitfenster von 240ms bis 425ms lang sein. Durch die Abschaltung der FeldBus- Kommunikation kann die Frage-Antwort-Kommunikation zwischen dem zweiten Überwachungsmodul und der ersten Rechnereinheit gestört wer- den. Dadurch kann der Steller der Komponente durch das zweite Überwachungsmodul deaktiviert werden, wodurch auch die Komponente abgeschaltet werden kann. Die Abschaltung kann dabei rein digital erfolgen. Beispielsweise kann die Leitung von dem zweiten Überwachungsmodul zum Steller der Komponente eine Steuerspannung aufweisen, wodurch der Steller geschlossen ist. Eine Abschaltung der Komponente kann beispielsweise derart erfolgen, dass das zweite Überwachungsmodul ein Signal an die Leitung anlegt durch welche die Steuerspannung für den Steller abgeschaltet wird. Dadurch kann der Steller geöffnet werden, wodurch die Komponente von dem Kraftfahrzeug getrennt werden kann, wodurch die Komponente nicht mehr vom Kraftfahrzeug benutzt werden und dadurch abgeschaltet werden kann.
Insbesondere kann das zweite Überwachungsmodul über die Leitung die Komponente abschalten, sobald das Zählregister einen vorbestimmten Wert erreicht. Vorzugsweise kann bei einem vorgegebenen Zählstand, beispielsweise bei einem Zählstand von 5, die Abschaltung der Komponente über die Leitung durch das zweite Überwachungsmodul eingeleitet werden. Beispielsweise können 3 bis 5 falsche Antworten versendet werden, bis die Abschaltung stattfinden kann. Bei 80ms bis 85ms (80ms Wiederholzeit + 5ms Toleranz) kann das mögliche Zeitfenster von 240ms bis 425ms lang sein. Eine Abschaltung der Komponente durch das zweite Überwachungsmodul kann beispielsweise derart erfolgen, dass das zweite Überwachungsmodul ein Signal an die Leitung anlegt durch welche die Steuerspannung für den Steller abgeschaltet wird. Dadurch kann der Steller geöffnet werden, wodurch die Komponente von dem Kraftfahrzeug getrennt werden kann, wodurch kann die Komponente abgeschaltet werden.
In einer bevorzugten Ausgestaltungsform kann die Komponente wieder in Betrieb genommen werden, wenn das zweite Überwachungsmodul das Signal, beispielsweise zur Unterbrechung der Steuerspannung, entfernt. Auf diese Weise kann sichergestellt werden, dass die Komponente nach Behebung des Fehlers weiter verwendet werden kann.
Insbesondere wird das zweite Steuergerät mit mehreren Komponenten verbunden. Auf diese Weise kann das zweite Steuergerät mehrere Remoteschaltungen gleichzeitig ausführen. Weiterhin kann die Frage-Antwort- Kommunikation besser an die Schalterbedürfnisse eines Remote Switches angepasst werden.
Vorzugsweise umfasst das zweite Steuergerät eine zweite Rechnereinheit, wobei die zweite Rechnereinheit eine Vermittlungsrechnereinheit aufweist, um mehrere Leitungen, insbesondere Hardwareleitungen, anzusteuern. Insbesondere kann die Vermittlungsrechnereinheit einen schon vorhandenen FeldBus-Treiber selbst ansprechen. Weiterhin kann im FeldBus Protokoll noch eine 8Bit Portinformation enthalten sein. Dadurch kann das zweite Überwachungsmodul mehrere Hardwareleitungen ansteuern.
Hinsichtlich weiterer Merkmale und Vorteile des erfindungsgemäßen Verfahrens wird hiermit explizit auf die Erläuterungen im Zusammenhang mit dem erfindungsgemäßen Computerprogramm, der erfindungsgemäßen Anlage, der erfindungsgemäßen Komponente und dem erfindungsgemäßen Kraftfahrzeug, sowie auf die Figuren verwiesen.
Weiterhin betrifft die Erfindung ein Computerprogramm, das bei Ablauf auf einem Computer, insbesondere auf einem Bordcomputer eines Kraftfahrzeugs, oder auf einer Mehrzahl von Computern eines Computer- Netzwerks, insbesondere in einem Bordnetzwerk eines Kraftfahrzeugs, das erfindungsgemäße Verfahren ausführt. Insbesondere können die Programmcode-Mittel auf einem computerlesbaren Datenträger gespeichert sein.
Außerdem gehört zum Umfang der Erfindung ein Datenträger, auf dem eine Datenstruktur gespeichert ist, die nach einem Laden in einen Arbeitsund/oder Hauptspeicher eines Computers oder auf einer Mehrzahl von Computern eines Computer-Netzwerkes das erfindungsgemäße Verfahren in einer seiner Ausgestaltungen ausführen kann.
Auch gehört zum Umfang der Erfindung ein Computer-Programm-Produkt mit auf einem maschinenlesbaren Träger gespeicherten Programmcode- Mitteln, um das erfindungsgemäße Verfahren in einer seiner Ausgestaltungen durchzuführen, wenn das Programm auf einem Computer oder auf einer Mehrzahl von Computern eines Computer-Netzwerks ausgeführt wird.
Dabei wird unter einem Computer-Programmprodukt das Programm als handelbares Produkt verstanden. Es kann grundsätzlich in beliebiger Form vorliegen, so zum Beispiel auf Papier oder einem computerlesbaren Da- tenträger und kann insbesondere über ein Datenübertragungsnetz verteilt werden.
Weiterhin gehört zum Umfang der Erfindung ein moduliertes Datensignal, welches von einem Computersystem oder von einer Mehrzahl von Computern eines Computer-Netzwerks ausführbare Instruktionen zum Ausführen des erfindungsgemäßen Verfahrens in einer seiner Ausgestaltungsformen enthält. Als Computersystem kommen sowohl ein Stand-Alone- Computer in Betracht, als auch Netzwerk von Rechnern, beispielsweise ein hausinternes, geschlossenes Netz, oder auch Rechner, die über das Internet miteinander verbunden sind. Ferner kann das Computersystem durch eine Client-Server-Konstellation realisiert werden, wobei Teile der Erfindung auf dem Server, andere auf einem Client ablaufen.
Hinsichtlich weiterer Merkmale und Vorteile des erfindungsgemäßen Computerprogramms wird hiermit explizit auf die Erläuterungen im Zusammenhang mit dem erfindungsgemäßen Verfahren, der erfindungsgemäßen Anordnung, der erfindungsgemäßen Komponente und dem erfindungsgemäßen Kraftfahrzeug, sowie auf die Figuren verwiesen.
Weiterhin betrifft die Erfindung eine Anordnung zur Überwachung einer Komponente, insbesondere Batterie, eines Kraftfahrzeugs, mit einem ersten Steuergerät und einem zweiten Steuergerät, wobei die Anordnung derart eingerichtet ist, dass ein Verfahren zur Überwachung einer Komponente wie oben erläutert ausführbar ist. Weitere Komponenten können beispielsweise ein Kraftfahrzeugmotor, ein Boardcomputer oder ein Getriebe sein.
Hinsichtlich weiterer Merkmale und Vorteile der erfindungsgemäßen Anordnung wird hiermit explizit auf die Erläuterungen im Zusammenhang mit dem erfindungsgemäßen Verfahren, dem erfindungsgemäßen Computerprogramm, der erfindungsgemäßen Komponente und dem erfindungsgemäßen Kraftfahrzeug, sowie auf die Figuren verwiesen.
Weiterhin betrifft die Erfindung eine Komponente, insbesondere eine Batterie, eines Kraftfahrzeugs mit Anordnung zur Überwachung der Kompo- nente, wobei die Anordnung derart eingerichtet ist, dass ein Verfahren wie oben beschrieben ausführbar ist. Vorzugsweise handelt es sich bei der Komponente um eine Batterie, insbesondere um eine Lithium-Ionen Batterie oder die Batterie umfasst elektrochemische Zellen. Insbesondere kann es sich bei der Komponente auch um ein Kraftfahrzeugmotor, ein
Boardcomputer oder ein Getriebe handeln.
Hinsichtlich weiterer Merkmale und Vorteile der erfindungsgemäßen Komponente wird hiermit explizit auf die Erläuterungen im Zusammenhang mit dem erfindungsgemäßen Verfahren, dem erfindungsgemäßen Computerprogramm, der erfindungsgemäßen Anlage und dem erfindungsgemäßen Kraftfahrzeug, sowie auf die Figuren verwiesen.
Weiterhin betrifft die Erfindung ein Kraftfahrzeug mit einem elektrischen Antriebsmotor zum Antreiben des Kraftfahrzeugs und einer mit dem elektrischen Antriebsmotor verbundenen oder verbindbaren Batterie wie oben beschrieben. Die Batterie ist jedoch nicht auf einen solchen Einsatzzweck eingeschränkt, sondern kann auch in anderen elektrischen Systemen eingesetzt werden.
Hinsichtlich weiterer Merkmale und Vorteile des erfindungsgemäßen Kraftfahrzeugs wird hiermit explizit auf die Erläuterungen im Zusammenhang mit dem erfindungsgemäßen Verfahren, dem erfindungsgemäßen Computerprogramm, der erfindungsgemäßen Anordnung und der erfindungsgemäßen Komponente, sowie auf die Figuren verwiesen.
Zeichnungen und Beispiele
Weitere Vorteile und vorteilhafte Ausgestaltungen der erfindungsgemäßen Gegenstände werden durch die Zeichnungen und die Beispiele veranschaulicht und in der nachfolgenden Beschreibung erläutert. Dabei ist zu beachten, dass die Zeichnungen und die Beispiele nur beschreibenden Charakter haben und nicht dazu gedacht sind, die Erfindung in irgendeiner Form einzuschränken. Es zeigen: Fig.1 eine schematische Darstellung einer ersten Ausführungsform, bei der das erste Steuergerät eine ASIL-X Sicherheitseinstufung und das zweite Steuergerät eine QM Sicherheitseinstufung aufweist,
Fig. 2 eine schematische Darstellung einer zweiten Ausführungsform, beider das erste Steuergerät eine ASIL-X Sicherheitseinstufung und das zweite Steuergerät eine ASIL-X Sicherheitseinstufung aufweist, und
Fig. 3 eine schematische Darstellung eines Beispiels des Ladens einer Batterie eines Kraftfahrzeugs.
In Fig. 1 ist eine Anordnung 10 zur Überwachung einer Komponente 12 dargestellt. Die Komponente 12 kann eine Batterie für ein Kraftfahrzeug darstellen. Die Anordnung umfasst ein erstes Steuergerät 14 und ein zweites Steuergerät 16. Das erste Steuergerät 14 kann ein Batteriemanagementsystem BCU darstellen, und das zweite Steuergerät 16 kann das die Abschaltung durchführende Steuergerät CSC darstellen. Die Komponente 12 weist einen Steller 18 auf. Der Steller 18 der Komponente 12 ist über eine Leitung 20, beispielsweise eine Hardwareleitung eines Kabelbaums, mit dem zweiten Überwachungsmodul 22 des zweiten Steuergeräts 16 verbunden. Das zweite Überwachungsmodul 22 ist mit einer zweiten Rechnereinheit 24 verbunden. Die zweite Rechnereinheit 24 ist mit einem zweiten FeldBusPort 26 verbunden. Das verwendete Feld Bus-System kann CAN sein. Mit Hilfe des zweiten FeldBusPort 26 kann das zweite Steuergerät 16 mit einem ersten FeldBusPort 28 des ersten Steuergeräts 14 verbunden sein. Das erste Steuergerät 14 kann dabei sich an einer beliebigen Stelle im Kraftfahrzeug befinden. Der erste FeldBusPort 28 ist mit einer ersten Rechnereinheit 30 des ersten Steuergeräts 14 verbunden. Die erste Rechnereinheit 30 ist mit einem ersten Überwachungsmodul 32 verbunden. Weiterhin verfügt das erste Steuergerät 14 über eine Ansteuerung bei Abschaltbedarf 34, welche das erste Überwachungsmodul 32 mit dem FeldBusPort 28 verbindet, um bei Bedarf den FeldBusPort 28 abzuschalten.
Die Überwachung der Komponente kann folgendermaßen ablaufen: Das zweite Steuergerät 16 übermittelt Betriebsdaten in Form einer zufällig genierten Frage von dem zweiten Überwachungsmodul 22 an die zweite Rechnereinheit 24. Die Übertragung ist als gestrichelter Pfeil dargestellt. Die zweite Rechnereinheit 24 baut mit Hilfe der FeldBusports 26, 28 eine abgesicherte digitale Leitung zur ersten Rechnereinheit 30 auf. Weiterhin überträgt die zweite Rechnereinheit 24 die Betriebsdaten an die erste Rechnereinheit 30. Dies ist als gestrichelter Pfeil dargestellt. Das erste Überwachungsmodul 32 und das zweite Überwachungsmodul 22 senden jeweils in einer definierten Zykluszeit, beispielsweise alle 80 ms, Betriebsdaten an die erste Rechnereinheit 30. Die erste Rechnereinheit 30 muss in einem klar definierten Zeitfenster, beispielsweise alle 5 ms, die Frage beantworten. Die erste Rechnereinheit 30 sendet dabei Daten, welche die Antwort auf die Frage enthalten an das erste Überwachungsmodul 32 und/oder mit Hilfe der FeldBusports 26, 28 und der zweiten Rechnereinheit 24 an das zweite Überwachungsmodul 22. Dies wird als gestrichelter Pfeil dargestellt. Sollten die Daten mit der Antwort beispielsweise unvollständig, falsch, zu spät oder gar nicht ankommen, so beginnt das erste Überwachungsmodul 32 und/oder das zweite Überwachungsmodul 22 ein Zählregister zu inkrementieren. Sobald das Zählregister des ersten Überwachungsmoduls 22 und/oder des zweiten Überwachungsmoduls einen zuvor definierten Schwellwert, beispielsweise einen Zählstand von 5, erreicht hat, wird das erste Überwachungsmodul 32 über die Ansteuerung bei Abschaltbedarf 34 und/oder das zweite Überwachungsmodul 22 über die Leitung 20 ein Signal übermitteln, wodurch das jeweils angeschlossene Bauteil, bei dem ersten Steuergerät 14 der erste FeldBusPort 28 und bei dem zweiten Steuergerät 16 der Steller 18, beeinflusst wird. Beispielsweise müssen 3 bis 5 falsche Antworten versendet werden bis die Abschaltung stattfindet. Bei 80ms bis 85ms, mit einer 80ms Wiederholzeit und 5ms Toleranz, ergibt sich somit ein mögliches Zeitfenster von 240ms bis 425ms. Dabei ist dieses Beeinflussen rein digital. So gibt das erste Überwachungsmodul 32 und das zweite Überwachungsmodul 22 die Benutzung des Bauteils dadurch frei, dass eine Steuerspannung an die Ansteuerung bei Abschaltbedarf 34 und/oder an die Leitung 20 anlegt wird. Beispielsweise muss der Steller 18 geschlossen sein, damit die Komponente 12 funktioniert. Umgekehrt wird der Steller 18 sofort geöffnet, sobald das zweite Überwachungsmodul 22 seine Steuerspannung aufgrund eines Störfalls entfernt. Dadurch kann die Komponente vom Kraftfahrzeug nicht mehr benutzt werden. Bei einer korrekten Antwort wird das Zählregister wieder bis zu einem Zählstand von 0 dekrementiert. Die erste Rechnereinheit 30 hält das Zähl- register des ersten Uberwachungsmoduls 32 und/oder des zweiten Uberwachungsmoduls 22 permanent auf einen Zählstand zwischen 0 und 2. Es werden hierbei gezielt falsche Antworten durch die erste Rechnereinheit 30 eingeschoben, um die Übertragungsstrecke bis in das Zählregister abzusichern. Der aktuelle Zählstand des ersten Überwachungsmoduls 32 und/oder des zweiten Überwachungsmoduls 22 wird immer Zusammen mit den Betriebsdaten an die erste Rechnereinheit 30 übermittelt.
Die erste Rechnereinheit 30 und die zweite Rechnereinheiten 24 sind jeweils für die eigentliche Funktionalität der Komponente 12 zuständig. Dabei ist die Rechnereinheit 30 der Hauptrechner, welcher auch die komplette Logik enthält. Das erste Überwachungsmodul 32 und das zweite Überwachungsmodul 22 kommunizieren daher nur mit der ersten Rechnereinheit 30. Die Rechnereinheit 24 dagegen ist lediglich zur Umsetzung der Befehle aus der Rechnereinheit 30 zuständig. Daher werden auch alle Fragen des ersten Überwachungsmoduls 32 und des zweiten Überwachungsmoduls 22 ausschließlich von Rechnereinheit 30 beantwortet. Der zweiten Rechnereinheit 24 ist es nicht möglich alleine korrekte Antworten zu generieren. Die Rechnereinheit 24 empfängt von der ersten Rechnereinheit 30 die erzeugte Antwort häufiger als die Zykluszeit des zweiten Überwachungsmoduls 22. Die erzeugte Antwort wird in der zweiten Rechnereinheit 24 zwischengespeichert bis die von dem Übermittlungsmodul 22 geforderte Zykluszeit erreicht ist und leitet dann die Antwort weiter. Beispielsweise kann die zweite Rechnereinheit 24 und die erste Rechnereinheit 30 in einem 10ms Raster arbeiten. Dies bedeutet, dass die zweite Rechnereinheit 24 mindestens 6- mal die gleiche Antwort erhält bevor die Antwort an das zweite Überwachungsmodul 22 weitergeleitet wird. Dadurch kann eine Unabhängigkeit von der FeldBus-Kommunikation erreicht werden, und es kann sichergestellt werden, dass das System hinsichtlich FeldBus-Störungen robust ausgestaltet ist. Der Sinn des zweiten Überwachungsmoduls 22 ist der, dass nun einerseits sichergestellt ist, dass die Kommunikation zwischen der ersten Rechnereinheit 30 und der zweiten Rechnereinheit 24 fehlerfrei funktioniert, und zum Anderen wird im Falle einer Störung der Kommunikation zwischen der ersten Rechnereinheit 30 und der zweiten Rechnereinheit 24 die Komponente 12 über den Steller 18 vom Kraftfahrzeug getrennt. Ohne das zweite Überwachungsmodul 22 würden sämtliche Protokolle und Da- ten einschließlich der ersten Rechnereinheit 30 und der zweiten Rechnereinheit 24 abgesichert werden. Diese Absicherung der Kommunikation im Störfall übernimmt nun das Überwachungsmodul 22. Beispielsweise kann eine Abschaltung der Komponente 12 durch das erste Überwachungsmodul 32 erfolgen, in dem das erste Überwachungsmodul ein Signal an die Ansteuerung bei Abschaltbedarf 34 sendet, durch welche beispielsweise eine Steuerspannung entfernt wird. Dadurch erfolgt die Abschaltung des ersten FeldBusports 38 über die Ansteuerung bei Abschaltbedarf 34. Die Ansteuerung bei Abschaltbedarf 34 ist eine WDA-Leitung von dem ersten Überwachungsmodul 32 zum ersten FeldBusPort 28, und schaltet den FeldBusPort 28 ab, sobald der Zählstand des Zählregisters des zweiten Überwachungsmoduls 22 einen bestimmten Wert erreicht hat. Dadurch wird die Frage-Antwort-Kommunikation zwischen dem zweiten Überwachungsmodul 22 und der ersten Rechnereinheit 30 gestört. In Folge dessen wird der Steller 18 durch das zweite Überwachungsmodul 22 deaktiviert.
In Fig. 2 verfügt das zweite Steuergerät 16 im Vergleich zu Fig. 1 eine Sicherheitseinstufung ASIL-C. Die sicherheitsrelevante Leitung 20 kann dadurch verkürzt werden, in dem über den FeldBus die Abschaltbotschaft zu der zweiten Rechnereinheit 24 gesendet wird.
In Fig. 3 ist ein Ladekabel 36 eines Kraftfahrzeugs 38 für eine Batterie 40 mit einer Steckdose 42 verbunden. Ein in dem Kraftfahrzeug 38 platziertes erstes Steuergerät 14 kann über ein externes zweites Steuergerät 16 außerhalb des Kraftfahrzeugs 38 die Ladespannung anfordern. Bei Isolationsproblemen kann das Kraftfahrzeug 38 sicher vom Netz genommen werden. Durch eine zweifache Implementierung eines ASIL C Standalone Remote Safety Switch durch Verwendung eines internen und eines externen zweiten Steuergeräts 16 kann ein sicheres Laden der Batterie 40 ermöglicht werden. Der FeldBus realisiert hierbei auch eine Art Interlock Leitung, welche die Spannung erst auf das Ladekabel 36 legt, wenn das erste Steuergerät 14 mit dem externen zweiten Steuergerät 16 verbunden ist. Dadurch kann bei einer Anwendung als Safety Remote Switch im Störfall die Abschaltung weiträumig stattfinden. Durch die zuverlässige Abschaltung wird die Sicherheit erhöht. Beispielsweise kann bei einem Fahrzeug- brand während des Ladens die Netzverbindung zuverlässig getrennt werden, wodurch die Feuerwehr unterstützt und geschützt wird.

Claims

Ansprüche
1 . Verfahren zur Überwachung einer Komponente (12), insbesondere eine Batterie, eines Kraftfahrzeugs mit
einem ersten Steuergerät (14) zum Überwachen der Komponente (12), einem zweiten Steuergerät (16) zum Überwachen der Komponente (12), wobei das zweite Steuergerät (16) beabstandet von dem ersten Steuergerät (14) angeordnet ist und mit dem ersten Steuergerät (14) kommuniziert, wobei das zweite Steuergerät (16) über eine Leitung (20), insbesondere Hardwareleitung, mit der Komponente (12) verbunden ist,
mit folgenden Schritten:
Übermitteln von Betriebsdaten an das erste Steuergerät (14) durch das zweite Steuergerät (16),
Überprüfen der Betriebsdaten in dem ersten Steuergerät (14),
Übermitteln von Daten von dem ersten Steuergerät (14) an das zweite Steuergerät (16),
Abschalten der Komponente (12) durch das zweite Steuergerät (16), wenn durch das erste Steuergerät (14) und/oder das zweite Steuergerät (16) ein Störfall festgestellt wird.
2. Verfahren nach Anspruch 1 , wobei das erste Steuergerät (14) und das zweite Steuergerät (16) über einen FeldBus, insbesondere über CAN oder FlexRay, miteinander kommunizieren.
3. Verfahren nach einem der Ansprüche 1 oder 2, wobei das erste Steuergerät (14) eine Sicherheitseinstufung ASIL-X und das zweite Steuergerät (16) eine Sicherheitseinstufung QM aufweist.
4. Verfahren nach einem der Ansprüche 1 oder 2, wobei das erste Steuergerät (14) eine Sicherheitseinstufung ASIL-X und das zweite Steuergerät (16) eine Sicherheitseinstufung ASIL-X aufweist.
5. Verfahren nach einem der Ansprüche 1 bis 4, wobei die Komponente einen Steller (18) zum Kommunizieren und Abschalten der Komponente (12) aufweist, wobei der Steller (18) mit dem zweiten Steuergerät (16) verbunden ist und der Steller (18) durch das zweite Steuergerät (16) abgeschaltet wird, sobald eine Kommunikationsunterbrechung zwischen dem ersten Steuergerät (14) und dem zweiten Steuergerät (16) festgestellt wird, wodurch auch die Komponente (12) abgeschaltet wird.
6. Verfahren nach einem der Ansprüche 1 bis 5, wobei das zweite Steuergerät (16) die Betriebsdaten innerhalb einer vorbestimmten Zeit an das erste Steuergerät (14) übermittelt.
7. Verfahren nach einem der Ansprüche 1 bis 6, wobei das erste Steuer- gerät (14) eine erste Rechnereinheit (30) und ein erstes Überwachungsmodul (32) aufweist und das zweite Steuergerät (16) eine zweite Rechnereinheit (24) und ein zweites Überwachungsmodul (22) aufweist, wobei über die zweite Rechnereinheit (24) eine abgesicherte Leitung über den FeldBus mit der ersten Rechnereinheit (30) aufgebaut wird um die erste Rechnereinheit (30) mit dem zweiten Überwachungsmodul (22) zu verbinden.
8. Verfahren nach Anspruch 7, wobei das erste Überwachungsmodul (32) und/oder das zweite Überwachungsmodul (22) ein Zählregister um- fasst, welches bei Übermittlung von fehlerhaften Daten der ersten Rechnereinheit (30) inkrementiert wird.
9. Verfahren nach einem der Ansprüche 7 oder 8, wobei die erste Rechnereinheit (30) gezielt falsche Daten an das erste Überwachungsmodul (32) und/oder das zweite Überwachungsmodul (22) übermittelt.
10. Verfahren nach einem der Ansprüche 7 bis 9, wobei das erste Überwa- chungsmodul (32) die abgesicherte Leitung über den FeldBus zu dem zweiten Überwachungsmodul (22) abschaltet, sobald das Zählregister einen vorbestimmten Wert erreicht.
1 1 . Verfahren nach einem der Ansprüche 1 bis 10, wobei das zweite Steuergerät (16) mit mehreren Komponenten verbunden wird.
12. Verfahren nach Anspruch 11 , wobei das zweite Steuergerät (16) eine zweite Rechnereinheit umfasst, wobei die zweite Rechnereinheit eine Vermittlungsrechnereinheit aufweist, um mehrere Leitungen, insbesondere Hardwareleitungen, anzusteuern.
13. Anordnung zur Überwachung einer Komponente (12), insbesondere Batterie, eines Kraftfahrzeugs, mit einem ersten Steuergerät (14) und einem zweiten Steuergerät (16), wobei die Anordnung derart eingerichtet ist, dass ein Verfahren zur Überwachung einer Komponente (12) gemäß einem Verfahren der Ansprüche 1 bis 12 ausführbar ist.
14. Komponente, insbesondere eine Batterie, eines Kraftfahrzeugs mit An- Ordnung (10) zur Überwachung der Komponente (12), wobei die Anord- nung (10) derart eingerichtet ist, dass ein Verfahren nach einen der Ansprüche 1 bis 12 ausführbar ist.
15. Kraftfahrzeug mit einem elektrischen Antriebsmotor zum Antreiben des Kraftfahrzeugs und einer mit dem elektrischen Antriebsmotor verbunde- nen oder verbindbaren Batterie gemäß Anspruch 14.
PCT/EP2014/068323 2013-09-02 2014-08-29 Verfahren zur überwachung einer komponente in einem kraftfahrzeug WO2015028581A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201480048213.XA CN105517850B (zh) 2013-09-02 2014-08-29 用于监控机动车中的部件的方法
US14/915,835 US9725054B2 (en) 2013-09-02 2014-08-29 Method for monitoring a component in a motor vehicle

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102013217461.6 2013-09-02
DE102013217461.6A DE102013217461B4 (de) 2013-09-02 2013-09-02 Verfahren und Anordnung zur Überwachung einer Komponente in einem Kraftfahrzeug

Publications (1)

Publication Number Publication Date
WO2015028581A1 true WO2015028581A1 (de) 2015-03-05

Family

ID=51429298

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2014/068323 WO2015028581A1 (de) 2013-09-02 2014-08-29 Verfahren zur überwachung einer komponente in einem kraftfahrzeug

Country Status (4)

Country Link
US (1) US9725054B2 (de)
CN (1) CN105517850B (de)
DE (1) DE102013217461B4 (de)
WO (1) WO2015028581A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3893113A1 (de) * 2020-04-07 2021-10-13 Elektrobit Automotive GmbH Überwachung einer komponente eines steuerungssystems für ein fortbewegungsmittel

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015222427A1 (de) * 2015-11-13 2017-05-18 Robert Bosch Gmbh Verfahren zum Betreiben eines Steuergeräts eines Kraftfahrzeugs
GB2546789A (en) * 2016-01-29 2017-08-02 Bombardier Primove Gmbh Arrangement with battery system for providing electric energy to a vehicle
GB2560780A (en) * 2017-08-22 2018-09-26 Daimler Ag A method to monitor program flow for multitasking real-time embedded software with ASIL rating
DE102017218898A1 (de) 2017-10-23 2019-04-25 Volkswagen Aktiengesellschaft Kontrollsystem für ein Batteriesystem
DE102018210966A1 (de) 2018-07-04 2020-01-09 Volkswagen Aktiengesellschaft Schaltungsanordnung
KR20220125897A (ko) 2021-03-05 2022-09-15 삼성전자주식회사 시스템 온 칩 및 시스템 온 칩에 포함된 연결 버스

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5548601A (en) * 1992-12-02 1996-08-20 Mazda Motor Corporation Apparatus and method for diagnosing failures in control system
EP1002699A2 (de) * 1998-11-18 2000-05-24 Fuji Jukogyo Kabushiki Kaisha Überwachungsvorrichtung für ein Kraftfahrzeugsteuerungssystem
DE10238547A1 (de) * 2002-08-22 2004-03-04 Bayerische Motoren Werke Ag Steuersystem und Verfahren zur Fehlerbehebung in elektronischen Einheiten oder Teilnetzen
JP2010244311A (ja) * 2009-04-07 2010-10-28 Hitachi Automotive Systems Ltd 車載用電子制御装置
DE102010038886A1 (de) * 2010-08-04 2012-02-09 Sb Limotive Company Ltd. Verteiltes Batteriesystem für Kraftfahrzeuge
US20120062158A1 (en) * 2010-09-13 2012-03-15 Denso Corporation Electronic control apparatus for a vehicle
DE102011082937A1 (de) * 2011-09-19 2013-03-21 Sb Limotive Company Ltd. Batteriemanagementsystem, Batterie, Kraftfahrzeug mit Batteriemanagementsystem sowie Verfahren zur Überwachung einer Batterie

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005003916B4 (de) 2005-01-27 2012-06-06 Continental Automotive Gmbh Überwachen der Funktionssicherheit einer Brennkraftmaschine
DE102008004208A1 (de) 2008-01-14 2009-07-16 Robert Bosch Gmbh Steuergerät für ein Kraftfahrzeug sowie Einrichtung und Verfahren zum Überprüfen eines Apparats in einen sicheren Zustand
CN101417637B (zh) 2008-03-14 2012-09-05 北京理工大学 用于纯电动客车电池管理系统的通讯系统及其管理方法
CN201619539U (zh) * 2009-12-29 2010-11-03 中国电力科学研究院 一种电动车动力蓄电池监控终端
DE102010002468A1 (de) * 2010-03-01 2011-09-01 Robert Bosch Gmbh Verfahren zum Stillsetzen einer von einem Steuergerät betriebenen Funktionseinheit in einem Kraftfahrzeug
DE102010031456A1 (de) 2010-07-16 2012-01-19 Robert Bosch Gmbh Verfahren zur sicherheitsbedingten Abschaltung eines elektrischen Netzes
DE102010041003A1 (de) 2010-09-20 2012-03-22 Sb Limotive Company Ltd. Verfahren zum Überwachen von mindestens zwei Mikrocontrollern
DE102010041492A1 (de) 2010-09-28 2012-03-29 Robert Bosch Gmbh Verfahren und Anordnung zur Überwachung mindestens einer Batterie, Batterie mit einer solchen Anordnung sowie ein Kraftfahrzeug mit einer entsprechenden Batterie
DE102011084669B4 (de) 2011-05-27 2020-06-04 Continental Teves Ag & Co. Ohg Verfahren zur Überwachung und Steuerung eines pneumatischen Niveauregelsystems eines Fahrwerksystems
WO2014125338A1 (en) * 2013-02-15 2014-08-21 Freescale Semiconductor, Inc. A method of operating a multi-thread capable processor system, an automotive system comprising such multi-thread capable processor system, and a computer program product

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5548601A (en) * 1992-12-02 1996-08-20 Mazda Motor Corporation Apparatus and method for diagnosing failures in control system
EP1002699A2 (de) * 1998-11-18 2000-05-24 Fuji Jukogyo Kabushiki Kaisha Überwachungsvorrichtung für ein Kraftfahrzeugsteuerungssystem
DE10238547A1 (de) * 2002-08-22 2004-03-04 Bayerische Motoren Werke Ag Steuersystem und Verfahren zur Fehlerbehebung in elektronischen Einheiten oder Teilnetzen
JP2010244311A (ja) * 2009-04-07 2010-10-28 Hitachi Automotive Systems Ltd 車載用電子制御装置
DE102010038886A1 (de) * 2010-08-04 2012-02-09 Sb Limotive Company Ltd. Verteiltes Batteriesystem für Kraftfahrzeuge
US20120062158A1 (en) * 2010-09-13 2012-03-15 Denso Corporation Electronic control apparatus for a vehicle
DE102011082937A1 (de) * 2011-09-19 2013-03-21 Sb Limotive Company Ltd. Batteriemanagementsystem, Batterie, Kraftfahrzeug mit Batteriemanagementsystem sowie Verfahren zur Überwachung einer Batterie

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3893113A1 (de) * 2020-04-07 2021-10-13 Elektrobit Automotive GmbH Überwachung einer komponente eines steuerungssystems für ein fortbewegungsmittel
US11613266B2 (en) 2020-04-07 2023-03-28 Elektrobit Automotive Gmbh Monitoring a component of a control system for a means of transport

Also Published As

Publication number Publication date
US20160193973A1 (en) 2016-07-07
US9725054B2 (en) 2017-08-08
CN105517850B (zh) 2018-09-07
DE102013217461A1 (de) 2015-03-05
CN105517850A (zh) 2016-04-20
DE102013217461B4 (de) 2023-10-05

Similar Documents

Publication Publication Date Title
DE102013217461B4 (de) Verfahren und Anordnung zur Überwachung einer Komponente in einem Kraftfahrzeug
DE102011120872B4 (de) Verfahren zur Nachrichtenübertragungs-Deaktivierungsprüfung eines Controllerbereichsnetzes
DE102012215343A1 (de) Verfahren zum Durchführen einer Sicherheitsfunktion eines Fahrzeugs und System zum Durchführen des Verfahrens
DE102011014142A1 (de) Fahrzeugsteuervorrichtung für eine CAN-Kommunikation und Diagnoseverfahren hierfür
WO2004029737A1 (de) Redundante steuergeräteanordnung
EP3523941B1 (de) Kommunikationsdaten-authentifizierungsvorrichtung für ein fahrzeug
DE10236080A1 (de) Verfahren und Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere in einem Fahrzeug
WO2011072662A1 (de) Überwachungsrechner in einem steuergerät
DE102018113863A1 (de) Fehlerisolierung für ein Controller Area Network
DE102016102282B4 (de) Verfahren und Vorrichtung zum Überwachen einer Datenverarbeitung und -übertragung in einer Sicherheitskette eines Sicherheitssystems
DE102008009652A1 (de) Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor
DE102008029948B4 (de) Überwachungssystem
EP2239752B2 (de) Sichere Schalteinrichtung und modulares fehlersicheres Steuerungssystem
EP3215946B1 (de) Überprüfungsvorrichtung für datenaufbereitungseinrichtung
DE102012110712B4 (de) Verfahren und System zur Funktionsprüfung einer Fehlererkennungseinheit einer CAN-Bus-Controllereinheit
DE102012107717B3 (de) Berührungslos arbeitender Sicherheitsschalter
EP3470939A1 (de) Verfahren und vorrichtungen zum überwachen der sicherheitsintegrität einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
WO2017080942A1 (de) Verfahren zum betreiben eines steuergeräts eines kraftfahrzeugs
EP2612059A2 (de) Vorrichtung und verfahren zur regelung eines doppelkupplungsgetriebes
EP2435915B1 (de) Verringerung der reaktionszeit in einem system zur überwachung eines funktionsrechners
DE102011078793A1 (de) Dokumentation von Fehlern in einem Fehlerspeicher eines Kraftfahrzeugs
DE102017218898A1 (de) Kontrollsystem für ein Batteriesystem
DE10329196A1 (de) Verfahren zum Reset von elektronischen Fahrzeug-Steuergeräten
DE10238547A1 (de) Steuersystem und Verfahren zur Fehlerbehebung in elektronischen Einheiten oder Teilnetzen
EP4088375B1 (de) Sicherheitsmodul für eine gesicherte antriebssteuerung eines antriebssystems in einem automatisierungssystem, antriebssystem und automatisierungssystem

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 14757924

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 14915835

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 14757924

Country of ref document: EP

Kind code of ref document: A1