Titel

Verfahren zum Überwachen des Betriebs einer Recheneinheit, Recheneinheit und Computerproqramm

Die vorliegende Erfindung betrifft ein Verfahren zum Überwachen des Betriebs einer Recheneinheit in einem Kommunikationsnetzwerk sowie eine Recheneinheit und ein Computerprogramm zu dessen Durchführung.

Hintergrund der Erfindung

Elektrofahrzeuge sind in unterschiedlichen Varianten verbreitet, beispielsweise mit einer angetriebenen Achse (als Frontantrieb oder Heckantrieb) oder mit mehreren angetriebenen Achsen (Allrad). Entsprechend können zur Ansteuerung der Elektromotoren auch mehrere Leistungselektroniken nötig sein, die aufeinander abgestimmt sein müssen. Eine typische Leistungselektronik weist einen sogenannten Inverter (als eine Art Steuergerät) sowie einen Spannungswandler auf. Der Inverter regelt und überwacht den Elektromotor und sorgt für die anforderungsgerechte Drehmomentversorgung und Drehzahlsteuerung. Außerdem wandelt der Inverter die Gleichspannung der Batterie in die vom Elektromotor benötigte Wechselspannung um. Die Ansteuerung der Elektromotoren bzw. der Inverter erfolgt in der Regel über einen Datenbus, insbesondere CAN.

Offenbarung der Erfindung

Erfindungsgemäß werden ein Verfahren zum Überwachen des Betriebs einer Recheneinheit in einem Kommunikationsnetzwerk sowie eine Recheneinheit und ein Computerprogramm zu dessen Durchführung mit den Merkmalen der unabhängigen Patentansprüche vorgeschlagen. Vorteilhafte Ausgestaltungen sind Gegenstand der Unteransprüche sowie der nachfolgenden Beschreibung.

Die Erfindung stellt eine Lösung vor, mit der eine Recheneinheit in einem Kommunikationsnetzwerk erkennen kann, dass wenigstens eine weitere Recheneinheit vorhanden ist, die dieselbe Konfiguration verwendet, indem das Kommunikationsnetzwerk bzw. eine Datenverbindung des Kommunikationsnetzwerks auf Nachrichten hin überwacht wird, die vorgeblich von der Recheneinheit stammen, obwohl dies nicht der Fall ist.

Üblicherweise können Teilnehmer in Kommunikationsnetzwerken zielgenau angesprochen bzw. adressiert werden. Auch in der CAN-Kommunikation als Beispiel ist genau festgelegt, welche Teilnehmer welche Nachrichten senden und welche Teilnehmer welche Nachrichten empfangen. Für jede Nachricht gibt es in der Regel genau einen Sender und mindestens einen Empfänger. Die Erfindung macht sich dies zunutze, um durch Analyse von eingehenden Nachrichten zu erkennen, ob sich in dem Kommunikationsnetzwerk ein zweiter Teilnehmer bzw. eine weitere Recheneinheit befindet, die die gleiche Konfiguration beinhaltet. Empfängt die Recheneinheit eine Nachricht, die sie nicht gesendet hat, deren Inhalt aber die Recheneinheit als Absender ergibt, lässt dies darauf schließen, dass eine zusätzliche Recheneinheit im System ist, die nicht korrekt konfiguriert ist.

In einer Ausführungsform der Erfindung stellt die Recheneinheit zusammen mit wenigstens einer weiteren Recheneinheit eine gemeinsame Funktionalität bereit, welche beispielsweise die Bereitstellung von Antriebsmoment beinhaltet. Je nach Anforderung werden in der Praxis insbesondere zur Bereitstellung hoher Antriebs- bzw. Drehmomente mehrere Elektromotoren parallel verwendet, deren Betrieb dann in entsprechender Weise koordiniert werden muss, so dass die Erfindung an dieser Stelle besondere Vorteile entfaltet. In einer Ausführungsform der Erfindung sind die Recheneinheit und die wenigstens eine weitere Recheneinheit jeweils in einer Leistungselektronik eines Elektromotors implementiert, insbesondere in einem Inverter. In einer anderen Ausführungsform der Erfindung sind die Recheneinheit und die wenigstens eine weitere Recheneinheit in einem Steuergerät eines Elektromotors implementiert, beispielsweise in einem Steuergerät für Fensterheber, Zentralverrieglung, Sitzverstellungen usw. In einer weiteren Ausführungsform der Erfindung sind die Recheneinheit und die wenigstens eine weitere Recheneinheit allgemein in einem Steuergerät einer anzusteuernden Komponente, wie einem DC/DC-Wandler, Elektromotor uvm. implementiert.

In einer Ausführungsform der Erfindung werden die Recheneinheit und die wenigstens eine weitere Recheneinheit von einer übergeordneten Recheneinheit mittels der Nachrichten angesteuert, um die gemeinsame Funktionalität bereitzustellen. Die übergeordnete Recheneinheit kann baulich von den genannten Recheneinheiten separiert sein, wie beispielsweise ein sog. Fahrzeugsteuergerät (Vehicle Computer bzw. Vehicle Control Unit, VCU); die übergeordnete Recheneinheit kann baulich aber auch in die eine oder die weitere Recheneinheit integriert sein.

In einer Ausführungsform der Erfindung umfasst die Maßnahme das Einnehmen eines sicheren Zustands und/oder das Veranlassen der weiteren Recheneinheit, den sicheren Zustand einzunehmen. Unter sicherer Zustand wird insbesondere ein solcher gemäß ISO26262 verstanden, d.h. ein Zustand, in dem keine Gefahr mehr von dem System ausgeht. Dieser sichere Zustand ist von der Art des Gesamtsystems abhängig. Bei einer Motorsteuerung eines Pkw könnte dies der Zustand "Motor aus" sein, bei der Motorsteuerung eines Kleinflugzeuges hingegen "Vollgas".

Ein Sicherer Zustand im Elektrofahrzeug wäre, je nach Einsatzzweck, zum Beispiel das Verhindern von Drehmomentenanforderungen, Information des Fahrers, Abschalten des HV-Systems, grundsätzliches Verhindern von Fahrzeugbewegung zum Beispiel durch Aktivieren der Parkbremse oder -sperre usw.

Wie erläutert, ist ein Inverter eines Elektromotors eine gemäß einer Ausführungsform der Erfindung geeignete Recheneinheit. Sind in einer Maschine bzw. Anlage, wie z.B. einem Fahrzeug, mehrere Inverter verbaut (z.B. einer an der Vorderachse und einer an der Hinterachse), die über eine Datenverbindung mit einer übergeordneten Steuereinheit verbunden sind, wird das gewünschte Moment von jedem Inverter separat über eine eigene Nachricht angefordert bzw. erhalten. Die Definition, auf welche Nachricht jeder Inverter "hört", ist auf der jeweiligen Komponente einprogrammiert. D.h. ein Inverter, der für die Hinterachse gedacht ist, hört nur auf die Nachrichten, die auch für die Hinterachse gedacht sind. Entsprechendes gilt für die Vorderachse.

Um die Teilevarianz niedrig zu halten, wird in der Praxis üblicherweise dasselbe Bauteil (z.B. Inverter) für unterschiedliche Funktionen eingesetzt, welche letztlich nur durch unterschiedliche Software implementiert werden. Diese kann beispielsweise am Bandende beim Fahrzeughersteller entsprechend konfiguriert oder geflasht werden. Wird beispielsweise aus Fahrlässigkeit, Unwissenheit oder geplantem Missbrauch eine Fehlkonfiguration oder Fehlprogrammierung erzeugt, z.B. Inverter für unterschiedliche Achsen mit denselben Informationen konfiguriert, kann es passieren, dass mehrere Inverter auf die gleichen Nachrichten "hören". Dies kann zu einer unerwünschten und ggf. auch sicherheitsgefährdenden Situation durch ein zu hohes Antriebsmoment führen. Die Erfindung stellt nun eine Möglichkeit vor, wie eine nicht beabsichtigte Kombination an Komponenten oder der Antriebstopologie im Fahrzeug erkannt und ein sicherer Betrieb des Fahrzeugs gewährleistet werden kann. Die Erfindung stellt eine zusätzliche Sicherheitsfunktion bereit, um zu vermeiden, dass Konfigurationen entstehen, die vom Hersteller nicht gewünscht / geplant sind.

Insbesondere wird in der Recheneinheit (zum Beispiel Inverter) bewertet, ob unter den empfangenen Nachrichten solche sind, deren Absender vorgeblich die Recheneinheit ist, obwohl die Recheneinheit diese nicht selbst versendet hat. Zur Erkennung solcher Nachrichten kann das Vorhandensein einer Nachricht selbst sowie deren Inhalt (Daten, sowie Rolling Counter & Checksummen) genutzt werden. Wird dies festgestellt, wird (durch die Recheneinheit) eine passende Maßnahme eingeleitet, insbesondere eine Fehlermeldung versandt und/oder die Recheneinheit oder zweckmäßigerweise alle an der Funktion beteiligten Recheneinheiten in einen sicheren Zustand überführt. Eine erfindungsgemäße Recheneinheit, z.B. ein Inverter, ist, insbesondere programmtechnisch, dazu eingerichtet, ein erfindungsgemäßes Verfahren durchzuführen.

Auch die Implementierung eines erfindungsgemäßen Verfahrens in Form eines Computerprogramms oder Computerprogrammprodukts mit Programmcode zur Durchführung aller Verfahrensschritte ist vorteilhaft, da dies besonders geringe Kosten verursacht, insbesondere wenn ein ausführendes Steuergerät noch für weitere Aufgaben genutzt wird und daher ohnehin vorhanden ist. Schließlich ist ein maschinenlesbares Speichermedium vorgesehen mit einem darauf gespeicherten Computerprogramm wie oben beschrieben. Geeignete Speichermedien bzw. Datenträger zur Bereitstellung des Computerprogramms sind insbesondere magnetische, optische und elektrische Speicher, wie z.B. Festplatten, Flash- Speicher, EEPROMs, DVDs u.a.m. Auch ein Download eines Programms über Computernetze (Internet, Intranet usw.) ist möglich. Ein solcher Download kann dabei drahtgebunden bzw. kabelgebunden oder drahtlos (z.B. über ein WLAN- Netz, eine 3G-, 4G-, 5G- oder 6G-Verbindung, etc.) erfolgen.

Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.

Die Erfindung ist anhand eines Ausführungsbeispiels in der Zeichnung schematisch dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnung beschrieben.

Kurze Beschreibung der Zeichnungen

Figur 1 zeigt ein Kommunikationsnetzwerk mit drei Recheneinheiten, die korrekt konfiguriert sind.

Figur 2 zeigt ein Kommunikationsnetzwerk mit drei Recheneinheiten, von denen eine nicht konfiguriert ist. Figur 3 zeigt das Kommunikationsnetzwerk aus Figur 2 bei Anwendung einer Ausführungsform der Erfindung.

Ausführungsform(en) der Erfindung

In Figur 1 ist ein Kommunikationsnetzwerk 100, wie es der Erfindung zugrundeliegen kann, schematisch dargestellt. Das Kommunikationsnetzwerk 100 weist drei Recheneinheiten 110, 120, 130 als Netzwerkteilnehmer auf, die über eine hier als CAN-Bus ausgebildete Netzwerkverbindung 140 datenübertragend verbunden sind. In dem gezeigten Beispiel fungiert die Recheneinheit 130 als übergeordnete Recheneinheit, um die Recheneinheiten 110 und 120 zur Bereitstellung einer gemeinsamen Funktion anzusteuern, indem auf dem CAN-Bus 140 verschiedene Nachrichten N1 , ... ausgetauscht werden. Die Nachrichten sind durch von den Recheneinheiten ausgehenden bzw. auf die Recheneinheiten zugehenden Pfeile illustriert. Bei der gemeinsamen Funktion kann es sich insbesondere um den Betrieb von Elektromotoren zur Bereitstellung eines gewünschten Antriebsmoments bzw. Drehmoments handeln. In diesem Fall sind die Recheneinheiten 110 und 120 beispielsweise als sogenannte Inverter ausgebildet, die Recheneinheit 130 beispielsweise als sogenanntes Fahrzeugsteuergerät, VCU. Es sei jedoch betont, dass sich die Erfindung für jede Art von anzusteuernden Komponenten, die mehrfach existieren, eignet, z.B. Fensterheber, Türschließmotoren, DC/DC-Wandler usw.

Zum Ansteuern des Inverters 110, 120 sendet das Fahrzeugsteuergerät 130 eine Nachricht N1 und eine Nachricht N2, welche jeweils an einen bestimmten Inverter 110 bzw. 120 adressiert sind und für diesen jeweils ein bereitzustellendes Soll-Antriebsmoment enthalten. Dementsprechend wird die Nachricht N1 vom Inverter 110 und die Nachricht N2 vom Inverter 120 empfangen und verarbeitet, wobei eine Rückmeldenachricht R1 vom Inverter 110 und eine Rückmeldenachricht R2 vom Inverter 120 ebenfalls auf den CAN-Bus 140 ausgegeben werden, welche beispielsweise die erreichten Ist-Antriebsmomente enthalten und wiederum vom Fahrzeugsteuergerät 130 empfangen und verarbeitet werden können. In Figur 2 ist nun eine Situation gezeigt, in der neben dem Inverter 110 ein weiterer Inverter 110' als weitere Recheneinheit an dem CAN-Bus 140 angeschlossen ist, welcher jedoch durch eine Fehlkonfiguration als gleicher Netzwerkteilnehmer wie der Inverter 110 fungiert. Dementsprechend wird die Nachricht N1 sowohl vom Inverter 110 als auch vom Inverter 110' empfangen und verarbeitet, sodass das sich ergebende Gesamtantriebsmoment nicht dem gewünschten Moment entspricht. Dabei können kritische Situationen entstehen, sodass dieser Zustand erkannt und verhindert werden soll. In entsprechender Weise geben der Inverter 110 eine Rückmeldenachricht R1 und der Inverter 110' eine Rückmeldenachricht RT auf den CAN-Bus 140 aus.

Gemäß einer bevorzugten Ausführungsform der Erfindung, wie sie in Figur 3 illustriert ist, erkennt nun der Inverter 110 das Vorhandensein der Rückmeldenachricht RT auf dem CAN-Bus 140, und ebenso der Inverter 110' das Vorhandensein der Rückmeldenachricht R1 auf dem CAN-Bus 140. Beide Inverter 110, 110' sind gemäß der hier dargestellten Ausführungsform der Erfindung dazu eingerichtet, die Rückmeldenachricht R1 bzw. RT zu analysieren und den Absender zu ermitteln.

Beispielsweise kann ein Nachrichteninhalt der Rückmeldenachricht R1 bzw. RT, beispielsweise eine Absenderadresse und/oder Nutzdaten, welche beispielsweise einen Istwert des Antriebsmoments angeben, analysiert werden. In der Folge können der Inverter 110 bzw. 110' erkennen, dass die jeweilige Rückmeldenachricht von einem Inverter mit der eigenen CAN-Konfiguration stammt, obwohl der jeweilige Inverter diese Nachricht nicht versandt hat. Somit wird die Fehlkonfiguration erkannt und eine Maßnahme eingeleitet, welche insbesondere das Einnehmen eines sicheren Zustands und/oder das Veranlassen von anderen Recheneinheiten, den sicheren Zustand einzunehmen, beinhaltet. Insbesondere können dazu entsprechende Nachrichten auf den CAN-Bus 140 ausgegeben werden (nicht dargestellt), welche beim Empfang durch eine andere Recheneinheit diese veranlassen, den sicheren Zustand einzunehmen.