專利名稱:一種用于監(jiān)控至少兩個微控制器的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種借助于看門狗監(jiān)控至少兩個微控制器的方法���、一種被構(gòu)造為執(zhí)行依據(jù)本發(fā)明的方法的電路裝置以及一種包括依據(jù)本發(fā)明的電路裝置的蓄電池和一種包括依據(jù)本發(fā)明的電路裝置的機動車���。
背景技術(shù):
由現(xiàn)有技術(shù)已知了借助于看門狗來監(jiān)控微控制器的方法�����,其中���,將具有獨立的時基和固定的時間窗的外部的硬件看門狗用于與安全相關(guān)的程序部分的程序流程的邏輯上的和時間上的監(jiān)控�����。例如能夠在監(jiān)控電機控制器的范圍內(nèi)使用這樣的看門狗�,在這些電機控制器中能夠使用所謂的三平面概念�����。其中,第一平面包括用于控制電機的軟件����,第二平面包括用于監(jiān)控電機控制的軟件并且最后第三平面包括用于監(jiān)控在前兩個平面中所使用的硬件的軟件。硬件看門狗在此應(yīng)用于第三平面之中��,以檢驗在第一和第二平面中使用的微控制器�。借助于看門狗能夠以簡單的配置來監(jiān)控微控制器,即該看門狗在預(yù)定的持續(xù)時間的時間間隔內(nèi)監(jiān)控抵達的復(fù)位脈沖并且在沒有復(fù)位脈沖抵達時引起微控制器的重置��。在更進一步的配置中���,看門狗能夠向微控制器傳遞測試詢問并且在正確性和時間點上檢驗其應(yīng)答����。這樣的用于監(jiān)控微控制器的方法能夠具有以下流程:看門狗向微控制器隨機地發(fā)起多個可能的詢問中的一個詢問。該微控制器通過結(jié)合兩個應(yīng)答分量形成對該詢問的應(yīng)答�。第一應(yīng)答分量由對微控制器的邏輯的檢驗得出。第二應(yīng)答分量由對預(yù)定的多個軟件模塊的功能特有的檢驗得出�����,優(yōu)選地以諸如每個模塊的正確的順序和預(yù)先給定的數(shù)量的調(diào)用的附加的條件�����。該兩個應(yīng)答分量將被結(jié)合并且在確定的時間窗內(nèi)傳遞至看門狗�。該看門狗檢驗對正確的內(nèi)容和正確的時間上的輸入的應(yīng)答并且在識別出錯誤時,錯誤計數(shù)器增加��,或者倘若沒有確定到錯誤��,復(fù)位該錯誤計數(shù)器�。之后,由看門狗通過發(fā)起新的詢問來繼續(xù)該檢驗方法���。當(dāng)看門狗的錯誤計數(shù)器超過預(yù)定的閾值時�����,那么看門狗將引起安全相關(guān)的方法步驟,該方法步驟例如存在于,即經(jīng)由關(guān)閉路徑(Abschaltpfade)關(guān)閉由微控制器操控的系統(tǒng)的末級(Endstufe),從而使得其不再能運行�。以硬件實現(xiàn)的看門狗通常被非常簡單地構(gòu)建并且僅允許與單個的微控制器通信,從而使得根據(jù)現(xiàn)有技術(shù)僅能夠通過使用相同數(shù)量的看門狗來監(jiān)控多個微控制器是可能的�����。
發(fā)明內(nèi)容
依據(jù)本發(fā)明提供了一種用于借助于看門狗監(jiān)控至少兩個微控制器的方法��。所述看門狗與第一微控制器相關(guān)聯(lián)并且在預(yù)先給定的持續(xù)時間的時間間隔內(nèi)監(jiān)控所述第一微控制器的消息的通知����。當(dāng)?shù)谝徊考虻诙考ㄖ?尤其是詢問或者應(yīng)答)時,那么在本發(fā)明的范圍內(nèi)意味著所述第一部件向所述第二部件例如在總線系統(tǒng)上發(fā)送所述消息�����,或者意味著所述第一部件提供所述消息��,例如通過存儲在寄存器中�,并且所述第二部件詢問該消息。通常來說���,與所述微控制器的時鐘信號不同的時鐘信號被引入所述看門狗�����,從而使得所述看門狗能夠檢驗所述消息的正確的時間上的輸入�����。設(shè)計了:由所述第一微控制器通知所述看門狗的所述消息包含由于所述第一微控制器和與所述第一微控制器相連接的第二微控制器之間的通信形成的分量�。基于這個分量��,所述看門狗附加于所述第一微控制器檢驗所述第二微控制器的正常工作方式�。通過依據(jù)本發(fā)明設(shè)計的擴展的監(jiān)控概念能夠通過看門狗監(jiān)控兩個微控制器。由此能夠節(jié)省掉用于所述第二微控制器的額外的看門狗并且也節(jié)省掉了與所述第二微控制器相關(guān)聯(lián)的關(guān)閉路徑����。然而,本發(fā)明不限于監(jiān)控兩個微控制器�。與之相反地,也能夠共同地通過一個看門狗來監(jiān)控多個微控制器�����。特別地���,所述第二微控制器不必直接與所述第一微控制器相連接����。與之相反地���,所述第二微控制器例如經(jīng)由第三微控制器間接地與所述第一微控制器相連接就足夠了���。在這樣的裝置中,所述第三微控制器能夠用作在所述第一和第二微控制器之間交換的消息的傳輸單元�,并且依據(jù)本發(fā)明,所述第二和所述第三微控制器能夠通過所述看門狗來監(jiān)控����。所述第一微控制器的消息能夠包括對詢問的應(yīng)答,所述詢問先前由所述看門狗通知給所述第一微控制器��。典型地���,所述看門狗在一個時刻將所述詢問通知給所述第一微控制器�����,該時刻形成了所述預(yù)先給定的持續(xù)時間的時間間隔的開始��。所述看門狗由此僅在詢問和應(yīng)答在所述時間間隔內(nèi)交換了時才確定兩個微控制器正常工作方式����。優(yōu)選地,所述應(yīng)答包括由所述第一微控制器形成的第一分量和由所述第二微控制器形成并且通知給所述第一微控制器的第二分量�。其中,在由所述第二微控制器形成所述應(yīng)答的所述第二分量之前�,所述詢問由所述第一微控制器通知給所述第二微控制器。典型地���,這個通知也發(fā)生在所述預(yù)先給定的時間間隔之內(nèi)���。此外,優(yōu)選地���,由所述第一微控制器形成的所述應(yīng)答的所述第一分量包括部件特有的組成部分和/或功能特有的組成部分�����,所述部件特有的組成部分由對所述第一微控制器的系統(tǒng)部件的檢驗����,尤其是對所述第一微控制器的主處理器的邏輯的檢驗得出����,所述功能特有的組成部分由對所述第一微控制器的多個軟件模塊的檢驗得出。對于由所述第二微控制器形成的所述應(yīng)答的所述第二分量�����,能夠根據(jù)對所述第二微控制器的監(jiān)控的要求有多高來設(shè)計不同的變型。當(dāng)對所述第二微控制器的監(jiān)控提出了高的要求時��,能夠也像在所述應(yīng)答的所述第一分量的設(shè)計中那樣�����,所述應(yīng)答的所述第二分量包括部件特有的組成部分和/或功能特有的組成部分���。在要求低時,所述應(yīng)答的所述第二分量能夠僅由數(shù)字的字組成����,其中,所述數(shù)字的字的單個位表示所述第二微控制器的單個的軟件模塊的正常工作方式�。可選地����,所述響應(yīng)的所述第二分量在此能夠通過詢問特有的組成部分來補充,所述詢問特有的組成部分尤其是通過讀出在所述第二微控制器中所存儲的表來形成���。所述看門狗能夠在所述第一或者第二微控制器的至少一個識別出的錯誤時使得錯誤計數(shù)器增加�����,或者����,當(dāng)所述錯誤計數(shù)器達到預(yù)先給定的值時引起與安全相關(guān)的方法步驟,例如關(guān)閉由所述微控制器操控的系統(tǒng)的末級����。本發(fā)明的另一個方面涉及一種具有第一微控制器、與所述第一微控制器相關(guān)聯(lián)的看門狗和至少一個與所述第一微控制器相連接的第二微控制器的電路裝置�����。所述電路裝置被構(gòu)造為執(zhí)行依據(jù)本發(fā)明所述的方法���。本發(fā)明的又一個方面涉及一種蓄電池�,尤其是里離子蓄電池����,其具有蓄電池管理單元,所述蓄電池管理單元包括依據(jù)本發(fā)明所述的電路裝置��,以及涉及一種機動車,所述機動車包括依據(jù)本發(fā)明所述的蓄電池���。所述機動車能夠是電機動車��,其中��,所述蓄電池與所述機動車的驅(qū)動系統(tǒng)相連接����。
本發(fā)明的實施例將借助于附圖以及后續(xù)的說明書進一步闡述�。其中:圖1示出了具有依據(jù)本發(fā)明的實施形式的電路裝置的蓄電池����;以及圖2示出了依據(jù)本發(fā)明的實施形式的、用于監(jiān)控兩個微控制器的方法的流程圖����。
具體實施例方式圖1示出了總體上以100標記的蓄電池,優(yōu)選地為鋰離子蓄電池���,其包括依據(jù)本發(fā)明的一種實施形式的電路裝置�。硬件看門狗10與第一微控制器12相關(guān)聯(lián)并且與其經(jīng)由總線14相連接��,其中,經(jīng)由該總線14在兩個方向上交換消息���,尤其是看門狗10的詢問和所屬的第一微控制器12的應(yīng)答����??撮T狗10和第一微控制器12具有關(guān)閉路徑16、18�����,通過其在確定的安全有危險的情況下能夠斷開該蓄電池100的未示出的高壓接觸器���。第一微控制器12與第二微控制器20經(jīng)由總線22相連接��,經(jīng)由該總線同樣在兩個方向上交換消息�,尤其是由第一微控制器12轉(zhuǎn)發(fā)的看門狗10的詢問和所屬的第二微控制器20的應(yīng)答���。第二微控制器20經(jīng)由第一微控制器12接收看門狗10的詢問并且在相同的路徑上發(fā)回所屬的應(yīng)答����,由此看門狗10能夠檢驗第二微控制器20的正常工作方式并且在確定錯誤時經(jīng)由關(guān)閉路徑16斷開蓄電池的高壓接觸器�����。由此使得設(shè)計在其上第二微控制器20具有直接通路的單獨的關(guān)閉路徑不是必須的。圖2示出了依據(jù)本發(fā)明的方法的流程圖��。在方法步驟200中��,由第一微控制器12來回答看門狗10的詢問��。在方法步驟202中��,由第一微控制器12通過將該詢問發(fā)送至第二微控制器20或者通過提供第二微控制器20的回答來向第二微控制器20通知該看門狗10的詢問���。在方法步驟204中����,在第一微控制器12中形成應(yīng)答的第一分量�。在方法步驟206中����,第二微控制器20以盡可能小的時間偏移來接收該詢問,例如通過接收第一微控制器12的數(shù)據(jù)或者通過從第二微控制器20 —方的詢問�。在方法步驟208中,由第二微控制器20檢驗該詢問的更新���,例如通過與所存儲的之前的詢問的比較(該之前的詢問必須不同)或者通過對狀態(tài)位的分析����,第一微控制器12將該狀態(tài)位隨該詢問一起發(fā)送。倘若第二微控制器20確定其所被通知的詢問不是最新的���,那么在方法步驟210中錯誤計數(shù)器將增加或者在超過確定的位置時引入錯誤響應(yīng)���。否則,在方法步驟212中第二微控制器20開始形成應(yīng)該傳遞給看門狗10的應(yīng)答的第二分量�����。在方法步驟214中�,第二微控制器20計算應(yīng)該被傳遞給看門狗10的應(yīng)答的第二分量并且通過將數(shù)據(jù)發(fā)送至第一微控制器12或者通過由第一微控制器12來提供回答來將其通知給第一微控制器12。在方法步驟216中���,第一微控制器12接收該應(yīng)答的第二分量并且在方法步驟218中例如通過與存儲的先前的應(yīng)答分量的比較(該應(yīng)答分量必須不同)或者對第一微控制器12隨該詢問一起發(fā)送的狀態(tài)位的分析來確定該應(yīng)答的分量的更新���。倘若該分析是負面的,那么在方法步驟220中錯誤計數(shù)器將增加或者在超過閾值時引入錯誤響應(yīng)����。同時�,第一微控制器12在方法步驟204中計算該應(yīng)該被發(fā)送至看門狗的應(yīng)答的第一分量����。在方法步驟222中,第一微控制器將該應(yīng)答的第一和第二分量結(jié)合為總應(yīng)答并且將該總應(yīng)答作為消息在適當(dāng)?shù)臅r間窗中發(fā)送至看門狗10 (方法步驟224)���。在多于兩個微控制器的情況下應(yīng)用依據(jù)本發(fā)明的方法時���,第一微控制器12能夠接收多個應(yīng)答分量并且結(jié)合成看門狗10處的總應(yīng)答。在此���,不同的應(yīng)答分量的合成不是必須在第一微控制器12中進行的�����,而是也能夠替換地在不同的微控制器中進行的�。在一個未詳細示出的實施例中��,由第二微控制器20所形成的該應(yīng)答的第二分量僅由數(shù)字的字組成��。然后���,當(dāng)在第二微控制器20處的安全要求相對低并且第二微控制器20的確定的數(shù)量的軟件模塊的不是很復(fù)雜的檢驗就足夠了時��,這是特別有利的�����。在此��,數(shù)字的字的位的數(shù)量必須大于或者等于第二微控制器20的待檢驗的軟件模塊的數(shù)量���。在通過詢問-應(yīng)答周期限定的時間間隔開始時,例如通過看門狗通知新的詢問時����,數(shù)字的字的位被置位為邏輯O。接下來將以確定的順序調(diào)用多個待檢驗的軟件模塊并在當(dāng)所屬的軟件模塊成功地執(zhí)行時將數(shù)字的字的相應(yīng)的位置位為邏輯I����。數(shù)字的字的附加的位能夠表示新的詢問的存在,在不存在新的詢問的情況下將不允許置位其余的單個的位�����。在另一個未精確地示出的實施例中�,由第二微控制器20形成的應(yīng)答的第二分量除了所描述的數(shù)字的字以外僅包括詢問特有的組成部分,其尤其是通過讀出在第二微控制器20中所存儲的表來形成���。在又一個未精確地示出的實施例中����,數(shù)字的檢驗字的位的值僅在檢驗與該位相關(guān)聯(lián)的軟件模塊時確定有錯誤時被更改。由此能夠確保:該第二微控制器20正確地理解通知它的詢問并且所述待檢驗的軟件模塊在該預(yù)先給定的時間間隔內(nèi)執(zhí)行至少一次�。
權(quán)利要求
1.一種用于借助于看門狗(10)監(jiān)控至少兩個微控制器(12、20)的方法����,其中,所述看門狗(10)與第一微控制器(12)相關(guān)聯(lián)且在預(yù)先給定的持續(xù)時間的時間間隔內(nèi)監(jiān)控(224)所述第一微控制器的消息的通知�����,其特征在于�����,由所述第一微控制器(12)通知所述看門狗(10)的消息含有如下分量��,所述分量由于所述第一微控制器(12)和與所述第一微控制器相連接的第二微控制器(20)之間的通信(202����、216)而形成(224)���,并且基于所述分量����,所述看門狗檢驗所述第二微控制器(20)的正常工作方式。
2.如權(quán)利要求1所述的方法����,其中,所述第一微控制器(12)的所述消息包括對于詢問的應(yīng)答����,所述詢問先前由所述看門狗(10)通知(200)給所述第一微控制器(12),尤其是在預(yù)先給定的持續(xù)時間的所述時間間隔的起始時間點上����。
3.如權(quán)利要求2所述的方法,其中���,所述應(yīng)答包括由所述第一微控制器(12)形成(204)的第一分量和由所述第二微控制器(20)形成(212)并且向所述第一微控制器(12)通知(214)的第二分量����。
4.如權(quán)利要求3所述的方法�,其中,在由所述第二微控制器(20)形成(212)所述應(yīng)答的所述第二分量之前����,所述詢問由所述第一微控制器(12)通知(202)給所述第二微控制器(20)��。
5.如權(quán)利要求3或4所述的方法�,其中���,由所述第一微控制器(12)所形成(204)的所述應(yīng)答的所述第一分量包括部件特有的組成部分和/或功能特有的組成部分�,所述部件特有的組成部分根據(jù)對所述第一微控制器(12)的系統(tǒng)部件����,尤其是對所述第一微控制器(12)的主處理器的邏輯的檢驗得出,所述功能特有的組成部分根據(jù)對所述第一微控制器(12)的多個軟件模塊的檢驗得出�����。
6.如權(quán)利要求3至5中任一項所述的方法��,其中�,由所述第二微控制器(20)所形成(214)的所述應(yīng)答的所述第二分量包括部件特有的組成部分和/或功能特有的組成部分,所述部件特有的組成部分根據(jù)對所述第二微控制器(20)的系統(tǒng)部件尤其是對所述第二微控制器(20)的主處理器的邏輯的檢驗得出��,所述功能特有的組成部分根據(jù)對所述第二微控制器(20)的多個軟件模塊的檢驗得出��。
7.如權(quán)利要求3至5中任一項所述的方法,其中���,由所述第二微控制器(20)所形成(214)的所述應(yīng)答的所述第二分量僅由數(shù)字的字組成,其中�����,所述數(shù)字的字的單個的位表示所述第二微控制器(20)的單個的軟件模塊的正常工作方式��。
8.如權(quán)利要求3至5中任一項所述的方法��,其中���,由所述第二微控制器(20)所形成(214)的所述應(yīng)答的所述第二分量僅由詢問特有的組成部分以及數(shù)字的字組成��,所述詢問特有的組成部分尤其是通過讀出在所述第二微控制器(20)中所存儲的表來形成��,其中����,所述數(shù)字的字的單個的位表示所述第二微控制器(20)的單個的軟件模塊的正常工作方式�。
9.如前述權(quán)利要求中任一項所述的方法,其中�����,所述看門狗(10)在所述第一微控制器(12)或所述第二微控制器(20)的至少一個識別出的錯誤時使得錯誤計數(shù)器增加,或者���,當(dāng)所述錯誤計數(shù)器達到預(yù)定的值時引起安全相關(guān)的方法步驟��。
10.一種電路裝置�,其具有第一微控制器(12)�、與所述第一微控制器相關(guān)聯(lián)的看門狗(10)和至少一個與所述第一微控制器(12)相連接的第二微控制器(20),其特征在于�,所述電路裝置被構(gòu)造為執(zhí)行如前述權(quán)利要求中任一項所述的方法。
11.一種蓄電池(100)���,其包括具有如權(quán)利要求10所述的電路裝置的蓄電池管理單元��。
12.—種機動車 ����,尤其是電機動車��,其包括如權(quán)利要求11所述的蓄電池(100)�����。
全文摘要
本發(fā)明涉及一種用于借助于看門狗(10)監(jiān)控至少兩個微控制器(12、20)的方法�����。所述看門狗(10)與第一微控制器(12)相關(guān)聯(lián)且在預(yù)先給定的持續(xù)時間的時間間隔內(nèi)監(jiān)控(224)所述第一微控制器的消息的通知���。由所述第一微控制器(12)通知所述看門狗(10)的所述消息含有如下分量,所述分量由于所述第一微控制器(12)和與所述第一微控制器相連接的第二微控制器(20)之間的通信(202���、216)而形成(224)���,并且基于所述分量,所述看門狗檢驗所述第二微控制器(20)的正常工作方式����。此外涉及一種電路裝置和一種具有蓄電池管理單元的蓄電池(100),他們被構(gòu)造為執(zhí)行依據(jù)本發(fā)明的方法�。
文檔編號G05B19/042GK103168292SQ201180044943
公開日2013年6月19日 申請日期2011年9月8日 優(yōu)先權(quán)日2010年9月20日
發(fā)明者S·比斯特, J·韋伯, A·海爾 申請人:羅伯特·博世有限公司, 三星Sdi株式會社