Titel

Verfahren zum Überwachen von mindestens zwei Mikrocontrollern Die vorliegende Erfindung betrifft ein Verfahren zum Überwachen von mindestens zwei

Mikrocontrollern mittels eines Watchdogs, eine Schaltungsanordnung, welche dazu ausgebildet ist, das erfindungsgemäße Verfahren auszuführen, sowie eine Batterie und ein Kraftfahrzeug, welche die erfindungsgemäße Schaltungsanordnung umfassen. Stand der Technik

Aus dem Stand der Technik sind Verfahren zum Überwachen eines Mikrocontrollers mittels eines Watchdogs bekannt, bei welchen zur logischen und zeitlichen

Überwachung des Programmablaufs sicherheitsrelevanter Programmteile des

Mikrocontrollers ein externer Hardware-Watchdog mit unabhängiger Zeitbasis und festem Zeitfenster eingesetzt wird. Zum Einsatz kommt ein solcher Watchdog beispielsweise im Rahmen der Überwachung von Motorsteuergeräten, in welchen ein so genanntes Drei-Ebenen-Konzept Anwendung findet. Dabei umfasst eine erste Ebene die Software zur Steuerung des Motors, eine zweite Ebene die Software zur Überwachung der Motorsteuerung und schließlich eine dritte Ebene die Software zur

Überwachung der in den ersten beiden Ebenen verwendeten Hardware. Ein

Hardware-Watchdog wird hierbei in der dritten Ebene eingesetzt, um einen in der ersten oder zweiten Ebene eingesetzten Mikrocontroller zu überprüfen. Die Überwachung des Mikrocontrollers mittels des Watchdogs kann in einer einfachen

Konfiguration darin bestehen, dass der Watchdog das Eintreffen von

Rücksetzimpulsen innerhalb eines Zeitintervalls vorgegebener Dauer überwacht und bei Nichteintreffen der Rücksetzimpulse ein Reset des Mikrocontrollers veranlasst. In einer weiterentwickelten Konfiguration kann der Watchdog dem Mikrocontroller Testfragen übermitteln und dessen Antworten auf Richtigkeit und Zeitpunkt überprüfen. Ein solches Verfahren zur Überwachung eines Mikrocontrollers kann folgenden Ablauf aufweisen: Der Watchdog stellt dem Mikrocontroller zufällig eine von mehreren möglichen Fragen. Der Mikrocontroller bildet eine Antwort auf diese Frage, indem er zwei Antwortbeiträge kombiniert. Der erste Antwortbeitrag ergibt sich aus einer Prüfung der Logik des Mikrocontrollers. Der zweite Antwortbeitrag ergibt sich aus einer funktionsspezifischen Überprüfung einer vorbestimmten Vielzahl von

Softwaremodulen, bevorzugt mit zusätzlichen Bedingungen wie korrekter Reihenfolge und einer vorgegebenen Anzahl von Aufrufen jedes Moduls. Die beiden

Antwortbeiträge werden kombiniert und innerhalb eines bestimmten Zeitfensters an den Watchdog übermittelt. Der Watchdog überprüft die Antwort auf korrekten Inhalt und korrekten zeitlichen Eingang und inkrementiert einen Fehlerzähler, wenn ein Fehler erkannt wird, oder setzt den Fehlerzähler zurück, falls kein Fehler festgestellt wird. Danach wird das Überprüfungsverfahren vom Watchdog durch Stellen einer neuen Frage fortgesetzt.

Wenn der Fehlerzähler des Watchdogs eine vorbestimmte Schwelle überschreitet, so veranlasst der Watchdog einen sicherheitsrelevanten Verfahrensschritt, der beispielsweise darin bestehen kann, dass über einen Abschaltpfad die Endstufen des vom Mikrocontroller angesteuerten Systems abgeschaltet werden, so dass kein Betrieb mehr möglich ist.

In Hardware umgesetzte Watchdogs sind für gewöhnlich sehr einfach aufgebaut und erlauben eine Kommunikation lediglich mit je einem Mikrocontroller, so dass gemäß dem Stand der Technik eine Überwachung mehrerer Mikrocontroller nur durch die Verwendung der gleichen Anzahl von Watchdogs möglich ist.

Offenbarung der Erfindung

Erfindungsgemäß wird ein Verfahren zum Überwachen von mindestens zwei

Mikrocontrollern mittels eines Watchdogs bereitgestellt. Der Watchdog ist einem ersten Mikrocontroller zugeordnet und überwacht die Mitteilung einer Nachricht des ersten Mikrocontrollers innerhalb eines Zeitintervalls vorgegebener Dauer. Wenn eine erste Komponente einer zweiten Komponente eine Nachricht mitteilt, insbesondere eine Frage oder Antwort, so kann dies im Rahmen der Erfindung bedeuten, dass die erste Komponente der zweiten Komponente die Nachricht zusendet, zum Beispiel auf einem Bussystem, oder dass sie die Nachricht bereitstellt, zum Beispiel durch Ablage in einem Register, und die zweite Komponente diese Nachricht abfragt. Dem Watchdog wird für gewöhnlich ein von dem Taktsignal des Mikrocontrollers verschiedenes Taktsignal zugeführt, so dass er den korrekten zeitlichen Eingang der Nachricht überprüfen kann. Es ist vorgesehen, dass die dem Watchdog von dem ersten

Mikrocontroller mitgeteilte Nachricht einen Beitrag enthält, welcher infolge einer

Kommunikation zwischen dem ersten Mikrokontroller und einem mit diesem

verbundenen zweiten Mikrocontroller gebildet wird. Auf Grundlage dieses Beitrags überprüft der Watchdog die ordnungsgemäße Funktionsweise des zweiten

Mikrocontrollers zusätzlich zu derjenigen des ersten Mikrocontrollers.

Durch das erfindungsgemäß vorgesehene erweiterte Überwachungskonzept können zwei Mikrocontroller durch einen Watchdog überwacht werden. Ein zusätzlicher Watchdog für den zweiten Mikrocontroller und auch ein dem zweiten Mikrocontroller zugeordneter Abschaltpfad können somit eingespart werden. Die Erfindung ist jedoch nicht auf eine Überwachung von zwei Mikrocontrollern beschränkt. Vielmehr können auch eine Vielzahl von Mikrocontrollern gemeinsam durch einen Watchdog überwacht werden. Insbesondere muss der zweite Mikrocontroller mit dem ersten Mikrocontroller nicht direkt verbunden sein. Vielmehr reicht es aus, dass er mittelbar, beispielsweise über einen dritten Mikrocontroller, mit dem ersten Mikrocontroller verbunden ist. In einer solchen Anordnung kann der dritte Mikrocontroller als Übertragungseinheit der zwischen dem ersten und zweiten Mikrocontroller ausgetauschten Nachrichten dienen, und erfindungsgemäß kann sowohl der zweite, als auch der dritte Mikrocontroller durch den Watchdog überwacht werden. Die Nachricht des ersten Mikrocontrollers kann eine Antwort auf eine Frage umfassen, welche zuvor dem ersten Mikrocontroller von dem Watchdog mitgeteilt worden ist. Typischerweise teilt der Watchdog dem ersten Mikrocontroller die Frage zu einem Zeitpunkt mit, welcher den Anfang des Zeitintervalls vorgegebener Dauer bildet. Der Watchdog stellt somit eine ordnungsgemäße Funktionsweise beider Mikrocontroller nur dann fest, wenn sowohl Frage als auch Antwort innerhalb des Zeitintervalls

ausgetauscht werden.

Bevorzugt ist, dass die Antwort einen ersten Beitrag, welcher vom ersten

Mikrocontroller gebildet wird, und einen zweiten Beitrag, welcher vom zweiten

Mikrocontroller gebildet und dem ersten Mikrocontroller mitgeteilt wird, umfasst. Dabei kann die Frage dem zweiten Mikrocontroller von dem ersten Mikrocontroller mitgeteilt werden, bevor von dem zweiten Mikrocontroller der zweite Beitrag der Antwort gebildet wird. Typischerweise geschieht diese Mitteilung auch innerhalb des vorgegebenen Zeitintervalls. Bevorzugt ist weiterhin, dass der erste Beitrag der Antwort, welcher vom ersten

Mikrocontroller gebildet wird, einen komponentenspezifischen Bestandteil, welcher sich aus einer Überprüfung von Systemkomponenten des ersten Mikrocontrollers, insbesondere der Logik eines Hauptprozessors des ersten Mikrocontrollers ergibt, und/oder einen funktionsspezifischen Bestandteil, welcher sich aus einer Überprüfung einer Mehrzahl von Softwaremodulen des ersten Mikrocontrollers ergibt, umfasst.

Für den zweiten Beitrag der Antwort, welcher vom zweiten Mikrocontroller gebildet wird, können verschiedene Varianten vorgesehen sein, je nachdem, wie hohe

Anforderungen an die Überwachung des zweiten Mikrocontrollers gestellt werden.

Wenn hohe Anforderungen an die Überwachung des zweiten Mikrocontrollers gestellt werden, kann auch der zweite Beitrag der Antwort einen komponentenspezifischen Bestandteil und/oder einen funktionsspezifischen Bestandteil umfassen, wie dies auch bei dem ersten Beitrag der Antwort vorgesehen ist.

Bei geringeren Anforderungen kann der zweite Beitrag der Antwort lediglich aus einem digitalen Wort bestehen, wobei einzelne Bits des digitalen Wortes die

ordnungsgemäße Funktionsweise einzelner Softwaremodule des zweiten

Mikrocontrollers repräsentieren. Wahlweise kann der zweite Beitrag der Antwort hierbei durch einen fragespezifischen Bestandteil ergänzt werden, welcher insbesondere durch Auslesen einer in dem zweiten Mikrocontroller hinterlegten Tabelle gebildet wird.

Der Watchdog kann bei wenigstens einem erkannten Fehler des ersten oder zweiten Mikrocontrollers einen Fehlerzähler inkrementieren, oder, wenn der Fehlerzähler einen vorgegebenen Wert erreicht hat, einen sicherheitsrelevanten Verfahrensschritt veranlassen, zum Beispiel eine Abschaltung der Endstufen des vom Mikrocontroller angesteuerten Systems.

Ein weiterer Aspekt der Erfindung betrifft eine Schaltungsanordnung mit einem ersten Mikrocontroller, einem diesem zugeordneten Watchdog und mindestens einem mit dem ersten Mikrocontroller verbundenen zweiten Mikrocontroller. Die Schaltungsanordnung ist dazu ausgebildet, das erfindungsgemäße Verfahren auszuführen.

Weitere Aspekte der Erfindung betreffen eine Batterie, bevorzugt eine

Lithium-Ionen-Batterie, mit einer Batteriemanagementeinheit, welche die

erfindungsgemäße Schaltungsanordnung umfasst, sowie ein Kraftfahrzeug, welches eine erfindungsgemäße Batterie umfasst. Bei dem Kraftfahrzeug kann es sich um ein elektrisches Kraftfahrzeug handeln, bei welchem die Batterie mit einem Antriebssystem des Kraftfahrzeugs verbunden ist.

Zeichnungen

Ausführungsbeispiele der Erfindung werden anhand der Zeichnungen und der nachfolgenden Beschreibung näher erläutert. Es zeigen:

Figur 1 eine Batterie mit einer Schaltungsanordnung gemäß einer Ausführungsform der Erfindung und

Figur 2 ein Flussdiagramm eines Verfahrens zur Überwachung zweier Mikrocontroller gemäß einer Ausführungsform der Erfindung.

Figur 1 zeigt eine insgesamt mit 100 bezeichnete Batterie, bevorzugt eine

Lithium-Ionen-Batterie, welche eine Schaltungsanordnung gemäß einer

Ausführungsform der Erfindung umfasst. Ein Hardware-Watchdog 10 ist einem ersten Mikrocontroller 12 zugeordnet und mit diesem über einen Bus 14 verbunden, wobei über den Bus 14 in beiden Richtungen Nachrichten ausgetauscht werden,

insbesondere Fragen des Watchdogs 10 und dazugehörige Antworten des ersten Mikrocontrollers 12. Sowohl der Watchdog 10 als auch der erste Mikrocontroller 12 verfügen über Abschaltpfade 16, 18, über welche bei einer festgestellten

sicherheitskritischen Situation eine nicht dargestellte Hochvolt-Schütze der Batterie

100 geöffnet werden kann.

Der erste Mikrocontroller 12 ist mit einem zweiten Mikrocontroller 20 über einen Bus 22 verbunden, über welchen ebenfalls in beiden Richtungen Nachrichten ausgetauscht werden, insbesondere eine von dem ersten Mikrocontroller 12 weitergeleitete Frage des Watchdogs 10 und eine dazugehörige Antwort des zweiten Mikrocontrollers 20. Dadurch, dass der zweite Mikrocontroller 20 eine Frage des Watchdogs 10 über den ersten Mikrocontroller 12 empfängt und eine dazugehörige Antwort auf dem gleichen Wege zurückschickt, kann der Watchdog 10 die ordnungsgemäße Funktionsweise des zweiten Mikrocontrollers 20 überprüfen und bei Feststellen eines Fehlers die

Hochvolt-Schütze der Batterie über den Abschaltpfad 16 öffnen. Somit ist es nicht erforderlich, einen separaten Abschaltpfad vorzusehen, auf weichen der zweite Mikrocontroller 20 direkten Zugriff hat.

Figur 2 zeigt ein Flussdiagramm des erfindungsgemäßen Verfahrens. Im

Verfahrensschritt 200 wird eine Frage des Watchdogs 10 vom ersten Mikrocontroller 12 abgefragt. Im Verfahrensschritt 202 wird die Frage des Watchdogs 10 dem zweiten Mikrocontroller 20 vom ersten Mikrocontroller 12 mitgeteilt, entweder durch Senden der Frage an den zweiten Mikrocontroller 20 oder durch Bereitstellen für eine Abfrage des zweiten Mikrocontrollers 20. Im Verfahrensschritt 204 wird ein erster Beitrag der Antwort im ersten Mikrocontroller 12 gebildet. Im Verfahrensschritt 206 erhält der zweite Mikrocontroller 20 die Frage mit möglichst geringem Zeitversatz, beispielsweise durch Empfang der Daten des ersten Mikrocontrollers 12 oder durch eine Abfrage seitens des zweiten Mikrocontrollers 20. Im Verfahrensschritt 208 wird die Aktualität der Frage vom zweiten Mikrocontroller 20 überprüft, beispielsweise durch Vergleich mit einer gespeicherten früheren Frage, welche sich unterscheiden muss, oder durch Bewertung eines Statusbits, welches der erste Mikrocontroller 12 mit der Frage mitsendet. Falls der zweite Mikrocontroller 20 feststellt, dass die ihm mitgeteilte Frage nicht aktuell ist, wird im Verfahrenschritt 210 ein Fehlerzähler inkrementiert oder bei Überschreitung einer bestimmten Stelle eine Fehlerreaktion eingeleitet. Anderenfalls beginnt der zweite Mikrocontroller 20 im Verfahrensschritt 212 damit, den zweiten Beitrag der Antwort, welche an den Watchdog 10 übermittelt werden soll, zu bilden.

Im Verfahrensschritt 214 berechnet der zweite Mikrocontroller 20 den zweiten Beitrag der Antwort, welche an den Watchdog 10 übermittelt werden soll, und teilt sie dem ersten Mikrocontroller 12 mit, entweder durch Senden der Daten an den ersten

Mikrocontroller 12 oder durch Bereitstellen für eine Abfrage durch den ersten

Mikrocontroller 12. Im Verfahrensschritt 216 übernimmt der erste Mikrocontroller 12 den zweiten Beitrag der Antwort und stellt im Verfahrensschritt 218 die Aktualität des Beitrages der Antwort fest, beispielsweise durch Vergleich mit einem gespeicherten vorangehenden Antwortbeitrag, welcher sich unterscheiden muss, oder durch

Bewertung eines Statusbits, das der erste Mikrocontroller 12 mit der Frage mitsendet. Falls die Bewertung negativ ausfällt, wird im Verfahrensschritt 220 ein Fehlerzähler inkrementiert oder bei Überschreitung einer Schwelle eine Fehlerreaktion eingeleitet. Gleichzeitig berechnet der erste Mikrocontroller 12 im Verfahrensschritt 204 den ersten Beitrag der Antwort, welche an den Watchdog gesandt werden soll. Im

Verfahrensschritt 222 kombiniert der erste Mikrocontroller den ersten und den zweiten

Beitrag der Antwort zu einer Gesamtantwort und schickt diese Gesamtantwort als Nachricht im passenden Zeitfenster an den Watchdog 10 (Verfahrensschritt 224).

Bei einer Anwendung des erfindungsgemäßen Verfahrens im Fall von mehr als zwei Mikrocontrollern kann der erste Mikrocontroller 12 eine Vielzahl von Antwortbeiträgen empfangen und zu einer Gesamtantwort an den Watchdog 10 kombinieren. Hierbei muss das Zusammensetzen der verschiedenen Antwortbeiträge nicht

notwendigerweise im ersten Mikrocontroller 12 erfolgen, sondern kann auch wechselnd in verschiedenen Mikrocontrollern erfolgen.

In einem nicht detailliert dargestellten Ausführungsbeispiel besteht der zweite Beitrag der Antwort, welcher vom zweiten Mikrocontroller 20 gebildet wird, lediglich aus einem digitalen Wort. Dies ist besonders dann vorteilhaft, wenn die Sicherheitsanforderungen an den zweiten Mikrocontroller 20 relativ gering sind und eine weniger komplexe Überprüfung einer bestimmten Anzahl von Softwaremodulen des zweiten

Mikrocontrollers 20 ausreicht. Hierbei muss die Anzahl der Bits des digitalen Wortes größer oder gleich der Anzahl der zu überprüfenden Softwaremodule des zweiten Mikrocontrollers 20 sein. Die Bits des digitalen Wortes werden zu Beginn eines durch einen Frage-Antwort-Zyklus definierten Zeitintervalls, beispielsweise bei Mitteilung einer neuen Frage durch den Watchdog, auf logische 0 gesetzt. Es wird daraufhin die

Vielzahl von zu überprüfenden Softwaremodulen in einer bestimmten Reihenfolge aufgerufen und das entsprechende Bit des digitalen Wortes auf logische 1 gesetzt, wenn das zugehörige Softwaremodul erfolgreich ausgeführt wurde. Ein zusätzliches Bit des digitalen Wortes kann das Vorhandensein einer neuen Frage repräsentieren, ohne welches ein Setzen der übrigen einzelnen Bits nicht zugelassen wird.

In einem weiteren, nicht genauer dargestellten Ausführungsbeispiel umfasst der zweite Beitrag der Antwort, welcher vom zweiten Mikrocontroller 20 gebildet wird, neben dem beschriebenen digitalen Wort lediglich einen fragespezifischen Bestandteil, welcher insbesondere durch Auslesen einer in dem zweiten Mikrocontroller 20 hinterlegten

Tabelle gebildet wird. In einem weiteren, nicht genauer dargestellten Ausführungsbeispiel wird ein Wert eines Bits des digitalen Prüfwortes nur dann geändert, wenn bei der Überprüfung eines dem Bit zugeordneten Softwaremoduls ein Fehler festgestellt wird. Dadurch wird

sichergestellt, dass der zweite Mikrocontroller 20 die ihm mitgeteilte Frage korrekt verstanden hat und alle zu überprüfenden Softwaremodule innerhalb des

vorgegebenen Zeitintervalls mindestens einmal ausgeführt hat.