Die Erfindung betrifft eine Steuergeräteanordnung mit einem bezüglich einer Bearbeitungshierarchie übergeordneten und zumindest einem diesem untergeordneten Steuergerät mit jeweils einem Hauptprozessor und einem über drei Ebenen wirksamen Sicherheitskonzept, wobei eine übergeordnete, dritte Ebene als Prozess-Ablauf-Kontrolle vorgesehen ist, die eine zweite Ebene mit vorgegebenen Sicherheitsanforderungen auf Einhaltung dieser überwacht, und die zweite Ebene eine erste Ebene ohne vorgegebene Sicherheitsanforderungen auf Funktion überwacht.

Steuervorgänge insbesondere zur Steuerung von Kraftfahrzeugen sind sicherheitsrelevant und unterliegen strengen Sicherheitsanforderungen, die in der Regel nicht von einer einzigen Datenverarbeitungseinheit, beispielsweise von einem einzigen Mikroprozessor, erfüllt werden können. Es werden daher Anordnungen von Steuergeräten mit mehreren Mikroprozessoren vorgeschlagen, die sich gegenseitig überwachen. Derartige Steuergeräteanordnungen und die mit diesen durchgeführten Steuerverfahren können insbesondere für Steuerungsaufgaben in Kraftfahrzeugen verwendet werden, bei denen eine allgemeine Aufgabenstellung in dem übergeordneten Steuergerät und spezielle Aufgabenstellungen in zumindest einem, vorteilhafterweise in mehreren ähnlichen Steuergeräten, die beispielsweise direkt zugeordnete Aktoren oder Aktormodule steuern, abgearbeitet werden. Beispielsweise kann ein zentrales Getriebe- oder Kupplungssteuergerät vorgesehen sein, das einzelne Aktormodule mit untergeordneten Steuergeräten steuert und die jeweils einzelne Funktionen steuern, beispielsweise die Betätigung einer Reibungskupplung einer Doppelkupplung für ein Doppelkupplungsgetriebe, eine Gangbetätigung eines Teilantriebsstrangs eines Doppelkupplungsgetriebes, eine Teilfunktion, beispielsweise Schalten oder Wählen eines Getriebes wie Doppelkupplungsgetriebe und dergleichen. Weiterhin können Funktionen wie eine von einem elektronischen Fahrpedal gesteuerte Brennkraftmaschine, Bremsvorrichtungen und dergleichen von derartigen Steuergeräteanordnungen gesteuert werden.

Zur Erfüllung der beispielsweise aus den in den Sicherheitsnormen IEC 61508 und ISO 26262 geregelten Anforderungen hat sich ein Sicherheitskonzept als vorteilhaft erwiesen, bei dem drei Ebenen vorgesehen sind, auf denen jeweils Routinen zur Überwachung der einwandfreien Funktion eines Steuergeräts ablaufen. Hierzu besitzt ein eigensicher ausgelegtes Steuer- gerät jeweils einen ersten Mikroprozessor wie Hauptprozessor und einen zweiten Mikroprozessor in Form eines Überwachungsrechners. Die Durchführung der für die Steuerung eines Aktors mit entsprechender Betätigungsmechanik zur Ausübung der Betätigungsfunktion notwendigen Steuerungsroutinen wird dabei in eine erste Ebene mit nicht sicherheitsrelevanten Routinen und eine zweite Ebene mit sicherheitsrelevanten Routinen aufgeteilt, wobei die Prüfung der ersten Ebene durch den Hauptprozessor und die Prüfung der zweiten Ebene durch den Überwachungsrechner erfolgt. Tritt ein Fehler in diesen beiden Ebenen auf, werden das Steuergerät und damit der von diesem gesteuerte Aktor in einen definierten Sicherungszustand überführt. In der dritten Ebene überwacht der Überwachungsrechner in einer Prozess- Ablauf-Kontrolle die Funktion des Hauptprozessors durch Vergleich eines von diesem ausgegebenen Überwachungsbefehlssatzes mit einem von dem Hauptprozessor ausgegebenen Signalantwortsatz auf fehlerfreie Funktion. Tritt in der Ebene drei ein Fehler auf, wird das Steuergerät mit angeschlossenem Aktor in einen definierten Sicherzustand überführt.

In gleicher Weise wird das übergeordnete Steuergerät mit einem Hauptprozessor und einem Überwachungsrechner versehen und nach dem Sicherheitskonzept der drei Ebenen auf einwandfreie Funktion überwacht. In einer derartigen Steuergeräteanordnung sind für jedes Steuergerät zumindest zwei Mikroprozessoren in Form eines Hauptprozessors und eines Überwachungsrechners nötig. Dies führt zu hohen Kosten.

Aufgabe der Erfindung ist daher, eine Steuergeräteanordnung mit geringeren Herstellungskosten bei gleichwertiger Funktion vorzuschlagen.

Die Aufgabe wird durch eine Steuergeräteanordnung mit einem bezüglich einer Bearbeitungs hierarchie übergeordneten und zumindest einem diesem untergeordneten Steuergerät mit jeweils einem Hauptprozessor und einem über drei Ebenen wirksamen Sicherheitskonzept gelöst, wobei eine übergeordnete, dritte Ebene als Prozess-Ablauf-Kontrolle vorgesehen ist, die eine zweite Ebene mit vorgegebenen Sicherheitsanforderungen auf Einhaltung dieser überwacht, die zweite Ebene eine erste Ebene ohne vorgegebene Sicherheitsanforderungen auf Funktion überwacht und die Prozess-Ablauf-Kontrolle des zumindest einen untergeordneten Steuergeräts im übergeordneten Steuergerät angeordnet ist. Durch die Auslagerung der Überwachungsfunktion des Hauptprozessors aus einem Steuergerät, vorzugsweise aus einem untergeordneten in das übergeordnete Steuergerät, beispielsweise in einen dort vorhandenen Mikroprozessor, kann auf die Überwachungsrechner in den übrigen Steuergeräten ver ziehtet werden. Insbesondere bei mehreren untergeordneten Steuergeräten kann dabei ein großes Kostenpotential und gegebenenfalls Bauraum durch verkleinerte Schaltungshardware gespart werden. Es versteht sich, dass ein für die Überwachungsroutine der dritten Ebene vorgesehener Mikroprozessor für die Steuergeräte auch in einem untergeordneten Steuergerät angeordnet sein kann, wenn auch eine Unterbringung dieses Mikroprozessors im übergeordneten Steuergerät insbesondere wegen der dann gleichen Ausbildung der untergeordneten Steuergeräte bevorzugt vorgesehen ist.

In der Regel können in den Steuergeräten zwei Arten von Betriebssystemen verwendet werden. Die dritte Ebene und die Erstellung der Überwachungsbefehlssätze samt der Schnittstellen zu den Ebenen zwei und eins können von einem allgemeinen Betriebssystem bereitgestellt werden, während die Berechnungsvorgänge zur Steuerung des Aktors eines untergeordneten Steuergeräts in einem anwendungsspezifischen und von dem allgemeinen Betriebssystem unabhängigen Betriebssystem implementiert sein können. Auf diese Weise kann ein übergeordnetes Steuergerät mit untergeordneten Steuergeräten betrieben werden, die jeweils eigene Betriebssysteme aufweisen und von verschiedenen Herstellern stammen können.

Nach dem erfinderischen Gedanken kann die Prozess-Ablauf-Kontrolle der dritten Ebene des zumindest einen untergeordneten Steuergeräts in dem Hauptprozessor des übergeordneten Steuergeräts untergebracht sein. Dabei wird die dritte Ebene des übergeordneten Steuergeräts in dem Überwachungsrechner und die dritte Ebene des zumindest einen untergeordneten Steuergeräts in dem Hauptprozessor des übergeordneten Steuergeräts abgearbeitet. Die dritte Ebene einschließlich der Erstellung des Überwachungsbefehlssatzes erfolgt beispielsweise in der zweiten Ebene des Sicherheitskonzepts des übergeordneten Steuergeräts. Die Sicherheitskriterien der Ebene drei des untergeordneten Steuergeräts können dabei als Anwendersoftware in dem Hauptprozessor hinterlegt werden und werden ihrerseits durch die dritte Ebene des Überwachungsrechners für die zweite Ebene im Hauptprozessor abgesichert. Hierdurch kann eine hierarchische Überwachungsstruktur vorgesehen werden. Hierdurch kann für die Ebene drei des Überwachungsrechners Standardsoftware verwendet werden. Spezifische Erweiterungen des Betriebssystems und des Überwachungssystems des Überwachungsrechners können entfallen, da die Überwachung der dritten Ebene der untergeordneten Steuergeräte nicht in den Überwachungsrechner des übergeordneten Steuergeräts eingreift.

Alternativ kann die Prozess-Ablauf-Kontrolle in Form der dritten Ebene des zumindest einen untergeordneten Steuergeräts in dem Überwachungsrechner untergebracht sein. Hierbei wird das Betriebssystem des Überwachungsrechners an das Betriebssystem der untergeordneten Steuergeräte angepasst, so dass sämtliche Überwachungsfunktionen der Hauptprozessoren aller Steuergeräte in dem zentralen Überwachungsrechner ablaufen. Hierzu werden zwischen dem Überwachungsrechner und den Hauptprozessoren bevorzugt einheitliche Software- Schnittstellen und zu den untergeordneten Steuergeräten mit ihren Hauptprozessoren bevorzugt auch einheitliche Hardware-Schnittstellen geschaffen.

Die Überprüfung der Hauptprozessoren in der dritten Ebene erfolgt vorteilhafterweise durch eine zweigeteilte Unterebene, in der im Rechenbereich der dritten Ebene für jedes Steuergerät ein Überprüfungsbefehlssatz generiert wird, der beispielsweise statische Befehle enthalten kann und auf Basis einer richtigen Reihenfolge und im richtigen Zeitraster dieser die Prozess- Ablauf-Kontrolle einleitet. Der Überprüfungsbefehlssatz wird auf den zweiten Teil der Unterebene übertragen, der die Ausführung des Überprüfungsbefehlssatzes einleitet und einen Befehlsantwortsatz aus der zweiten Ebene im Rechenbereich des Hauptprozessors erfasst und als Signalantwort des Überprüfungssatzes auf die dritte Ebene überträgt, wo diese ausgewertet wird, wodurch die Prozess-Ablauf-Kontrolle beendet wird und gegebenenfalls ein Funktionsfehler ausgegeben wird.

Die Übertragung der Überwachungssignale zwischen dem übergeordneten Steuergerät und dem zumindest einen untergeordneten Steuergerät erfolgt durch eine erste Signalleitung, vorzugsweise eine standardisierte Schnittstelle, beispielsweise CAN-Bus, Flexray oder dergleichen, die unter anderem zur Kommunikation zwischen der zweiten und dritten Ebene des Sicherheitskonzepts vorgesehen ist. Um bei einem erkannten Fehler auf den Aktor einwirken zu können und beispielsweise den Aktor in einen gesicherten Zustand überführen zu können, ist zwischen dem übergeordneten Steuergerät und dem zumindest einen untergeordneten Steuergerät zumindest eine redundante Signalleitung zur Überführung des untergeordneten Steuergeräts in einen sicheren Zustand in einem Fehlerfall vorgesehen.

In gleicher Weise kann bei einer Verletzung des Sicherheitskonzepts durch das übergeordnete Steuergerät das zumindest eine untergeordnete Steuergerät in einen sicheren Zustand überführt werden.

Gemäß einem vorteilhaften Ausführungsbeispiel kann die beschriebene Steuergeräteanwendung in besonders vorteilhafter Weise mit einem als Getriebesteuergerät und/oder Kupplungssteuergerät ausgebildeten übergeordneten Steuergerät und zumindest zwei mit jeweils einem untergeordneten Steuergerät versehenen Aktormodulen vorgesehen sein. Die Aktor- module können ein oder zwei Kupplungsaktoren für eine oder zwei Reibungskupplungen wie Doppelkupplung und/oder ein oder mehrere Getriebeaktormodule zur Betätigung eines Getriebes, beispielsweise eines Doppelkupplungsgetriebes sein.

Die Erfindung wird anhand der in den Figuren 1 bis 3 dargestellten Ausführungsbeispiele näher erläutert. Dabei zeigen:

Figur 1 ein Flussdiagramm eines Sicherheitskonzepts einer Steuergeräteanordnung,

Figur 2 eine systematisch dargestellte Steuergeräteanordnung mit einem Sicherheitskonzept, bei dem eine dritte Ebene des Sicherheitskonzepts eines untergeordneten Steuergeräts in dem Hauptprozessor eines übergeordneten Steuergeräts durchgeführt wird

und

Figur 3 eine systematisch dargestellte Steuergeräteanordnung mit einem Sicherheitskonzept, bei dem eine dritte Ebene des Sicherheitskonzepts eines untergeordneten Steuergeräts in dem Überwachungsrechner zur Überwachung des Hauptprozessors eines übergeordneten Steuergeräts durchgeführt wird.

Figur 1 zeigt das Flussdiagramm 1 zur Durchführung eines Sicherheitskonzepts für eine aus einem übergeordneten und zumindest einem untergeordneten Steuergerät in einem übergeordneten Steuergerät, in dem eine dritte Ebene eines Überwachungskonzepts zur Überwachung der Hauptprozessoren der übergeordneten und untergeordneter Steuergeräte in einem Überwachungsrechner implementiert ist. Das Flussdiagramm 1 zeigt eine in dem Überwachungsrechner implementierte Routine.

Nach dem Start der Routine wird in der Verzweigung 2 geprüft, ob ein Fehler in dem

Hauptprozessor des übergeordneten Steuergeräts vorliegt. Ist dies der Fall, werden in Block 3 alle untergeordneten Steuergeräte beziehungsweise die von diesen gesteuerten Aktoren in einen gesicherten Zustand gebracht. Beispielsweise werden Kupplungsaktoren so gesteuert, dass von Ihnen gesteuerte Reibungskupplungen geöffnet werden beziehungsweise Getriebeaktoren einen neutralen Gang einlegen.

Liegt kein Fehler im Hauptprozessor des übergeordneten Steuergeräts vor, wird in Feld 4 der Start der Unterroutine eingeleitet, die nacheinander oder parallel in der Verzweigung 5 die untergeordneten Steuergeräte auf Fehler in deren Hauptprozessor prüft. Wird in einem der untergeordneten Steuergeräte ein Fehler im Hauptprozessor festgestellt, wird dieses in den ge- sicherten Zustand gebracht beziehungsweise der Aktor zur Erzielung eines gesicherten Zustande des von diesem betätigten Funktionsbauteils wie Reibungskupplung, Getriebe und dergleichen entsprechend gesteuert. Zusätzlich können weitere zusammenwirkende Steuergeräte entsprechend behandelt werden. Beispielsweise kann bei einem defekten Steuergerät für eine Betätigung einer Teilfunktion eines Getriebes auch ein zweites Steuergerät zur Betätigung einer weiteren Teilfunktion in einem gesicherten Zustand betrieben werden. Nach Abarbeitung der Überprüfung aller untergeordneter Steuergeräte wird die Unterroutine in Feld 7 und die gesamte Routine zur Überwachung der Steuergeräteanordnung beendet und gegebenenfalls neu gestartet, um eine kontinuierliche Überwachung zu gewährleisten.

Figur 2 zeigt in schematischer Darstellung die Steuergeräteanordnung 8 mit dem übergeordneten Steuergerät 9 und dem untergeordneten Steuergerät 10. Das übergeordnete Steuergerät 9 übernimmt die übergeordneten Funktionen, die beispielsweise mehreren untergeordneten Steuergeräten 10 gemeinsam sind, beispielsweise die Kommunikation mit anderen Funktionsträgern eines Kraftfahrzeugs, die Erfassung von Sensorsignalen, Paramet- rierungen und dergleichen. Die untergeordnete Steuereinheit 10 steuert beziehungsweise regelt den beispielsweise in demselben Gehäuse angeordneten Aktor, beispielsweise einen Elektromotor zur Betätigung eines Funktionsbauteils des Kraftfahrzeugs, beispielsweise eine Reibungskupplung, ein Getriebe und dergleichen. Hierzu weist jedes Steuergerät 9, 10 einen Hauptprozessor 11 , 12 auf.

In der Steuergeräteanordnung 8 ist das Sicherheitskonzept 13 aktiv, das das übergeordnete Steuergerät 9 und das untergeordnete Steuergerät 10 drei Ebenen mit Überwachungsroutinen unterwirft. Die drei Ebenen des übergeordneten Steuergeräts 9 sind die erste Ebene 14, die zweite Ebene 15 und die dritte Ebene 16. Die erste Ebene 14 umfasst die Überwachung von in dem Hauptprozessor 11 ablaufenden, nicht sicherheitsrelevanten Softwareroutinen, die beispielsweise durch weitere Softwareroutinen des Hauptprozessors 11 auf Plausibilität beispielsweise in der zweiten Ebene 15 überprüft werden. In der zweiten Ebene 15 werden sicherheitsrelevante Softwareroutinen des Hauptprozessors 11 überprüft. Wird beispielsweise eine Kupplungskennlinie falsch berechnet, kann mittels eines Überwachungsmodells in der zweiten Ebene 15 der Fehler erfasst werden, in der Maßnahmen zum gesicherten Betrieb des untergeordneten Steuergeräts 10 bei einem Fehler in der zweiten Ebene 15 des Sicherheitskonzepts 13 im übergeordneten Steuergerät 9, nämlich im Hauptprozessor 11 , eingeleitet werden. Die dritte Ebene 16 zur Überwachung der einwandfreien Funktion des Hauptprozessors 11 ist in dem Überwachungsrechner 17 angeordnet, der zudem den Hauptprozessor mittels des Überwachungsbefehlssatzes 18 beispielsweise mittels statischer Befehle auf Einhaltung der Bearbeitungsreihenfolge und des einzuhaltenden Zeitrasters prüft. Hierzu wird der Überprüfungsbefehlssatz 18 in dem Hauptprozessor 11 ausgeführt und ein korrespondierender Befehlsantwortsatz 19 an die dritte Ebene 16 im Überwachungsrechner ausgegeben.

Zur Vermeidung eines weiteren Überwachungsrechners im untergeordneten Steuergerät 10 erfolgt die Aufteilung der ersten Ebene 20, der zweiten Ebene 21 und der dritten Ebene 22 des Sicherheitskonzepts 23 für das untergeordnete Steuergerät 10 beziehungsweise den Hauptprozessor 12 zwischen dem Hauptprozessor 11 des übergeordneten Steuergeräts 9 und dem Hauptprozessor 12 des untergeordneten Steuergeräts 10, wobei der Hauptprozessor 11 als Überwachungsrechner für den Hauptprozessor 12 eingesetzt wird. In dieser Funktion übernimmt er die Überwachungsfunktionen der dritten Ebene 22 des untergeordneten Steuergeräts 10 in dessen zweiter Ebene 15. Eine Fehlfunktion des Hauptprozessors 12 wird daher in einer Überwachung der zweiten Ebene 15 erkannt. Die Kommunikation der beiden Hauptprozessoren 11 , 12 untereinander zum Austausch der Daten der Überwachung erfolgt mittels der Signalleitungen 24, 25, die redundant ausgelegt sind, so dass bei einer Fehlfunktion des Hauptprozessors 12 oder einer Unterbrechung einer Signalleitung, beispielsweise durch Kabelbruch, eine Steuerung des untergeordneten Steuergeräts 10 ausführbar bleibt.

Die Überwachungen des Hauptprozessors 12 bezüglich der zweiten Ebene 21 und der ersten Ebene 20 entsprechen weitgehend den Überwachungsfunktionen der ersten Ebene 14 und zweiten Ebene 15.

Im Unterschied zu der Steuergeräteanordnung 8 der Figur 2 erfolgt in der Steuergeräteanordnung 8a der Figur 3 die Überwachung der Hauptprozessoren 11a, 12a des übergeordneten Steuergeräts 9a und des untergeordneten Steuergeräts 10a im Überwachungsrechner 17a in einer einzigen dritten Ebene 16a. Dementsprechend sind die Signalleitungen 24a, 25a zwischen dem Hauptprozessor 12a und dem Überwachungsrechner 17a ausgebildet. Die beiden übrigen Ebenen 14a, 15a, 20a, 21a werden jeweils entsprechend Figur 2 in den Hauptprozessoren 11a, 12a ausgeführt. Bezuqszeichenliste

Flussdiagramm

Verzweigung

Block

Feld

Verzweigung

Block

Feld

Steuergeräteanordnung

a Steuergeräteanordnung

übergeordnetes Steuergerät

a übergeordnetes Steuergerät

0 untergeordnetes Steuergerät

0a untergeordnetes Steuergerät

1 Hauptprozessor

1a Hauptprozessor

2 Hauptprozessor

2a Hauptprozessor

3 Sicherheitskonzept

4 erste Ebene

4a erste Ebene

5 zweite Ebene

5a zweite Ebene

6 dritte Ebene

6a dritte Ebene

7 Überwachungsrechner

7a Überwachungsrechner

8 Überprüfungsbefehlssatz

9 Befehlsantwortsatz

0 erste Ebene

0a erste Ebene

1 zweite Ebene

1a zweite Ebene dritte Ebene Sicherheitskonzept Signalleitunga Signalleitung

Signal leitunga Signalleitung