WO2012139558A1

WO2012139558A1 - Schaltungsanordnung mit fail-silent-funktion

Info

Publication number: WO2012139558A1
Application number: PCT/DE2012/100081
Authority: WO
Inventors: Christian GÖPFERT; Peter Fritsche
Original assignee: Conti Temic Microelectronic GmbH
Current assignee: Aumovio Microelectronic GmbH
Priority date: 2011-04-11
Filing date: 2012-03-30
Publication date: 2012-10-18
Anticipated expiration: 2013-10-11
Also published as: JP5746791B2; DE102011016706A1; JP2014514206A; DE112012000632A5; US9594356B2; US20140058541A1

Abstract

Die Erfindung betrifft eine Schaltungsanordnung für ein Steuergerät (SG). Die Schaltungsanordnung dient der Umsetzung einer Fail-Silent-Funktion bzw. einer Fail-Safe-Funktion, insbesondere mit einer hardwarerealisierten Erkennung eines Fehlers bzw. Fehlerzustandes in einem MikroController MC) der Schaltungsanordnung, sowie einer Unterbrechung der Kommunikation des Steuergeräts (SG) mit einem Kommunikationsnetzwerk (BN) im Fehlerfall.

Description

Schaltungsanordnung mit Fail-Silent-Funktion

Die Erfindung betrifft eine Schaltungsanordnung für ein Steuergerät. Die Schaltungsanordnung dient der Umsetzung einer Fail-Silent-Funktion bzw. einer Fail-Safe-Funktion (deutsch: Ausfallsicherheits-Funktion) .

Kraftfahrzeuge verfügen über eine Vielzahl von elektronischen Komponenten bzw. Steuergeräten. In modernen Kraftfahrzeugen sind beispielsweise mehrere Steuergeräte über ein Kommunikationsnetzwerk bzw. über einen oder mehrere Kommunikationskanäle vernetzt. Bei dem Kommunikationsnetzwerk handelt es sich dabei häufig um eine Busleitung bzw. ein Bussystem, wobei dieses Bussystem bei einem Kraftfahrzeug in der Regel ein CAN-Bus, Flexray-Bus, oder Ethernet-Bus ist. Ein solches Bussystem wird beispielsweise in der Patentschrift DE 102 96 400 B4 beschrieben. Von sicherheitsrelevanten elektronischen Steuergeräten in Fahrzeugen wird häufig seitens des Fahrzeugherstellers gefordert, dass die Steuergeräte bei einem internen Fehler die Kommunikation mit dem Bus-Netzwerk des Fahrzeugs einstellen, auch bezeichnet als Fail-Silent- Funktion. Die Erkennung solcher Fehler sowie die Unterbrechung der Kommunikation erfolgt in der Regel mittels einer Software, die auf einem MikroController des Steuergeräts läuft. Die Software kann dabei sowohl auf dem zu überwachenden MikroController selbst oder auf einem zweiten MikroController ausgeführt werden, wobei der zweite MikroController zur Überwachungen eines ersten MikroControllers und zur Unterbrechung der Netzwerk-Kommunikation im Fehlerfall dient. Auch eine Überwachung mittels einer sogenannten Watchdog- Schaltung ist bekannt.

Die DE 102 55 430 AI zeigt beispielsweise eine Schaltungs^¬ anordnung für ein Steuergerät eines Insassenschutzsystems mit einem Mikroprozessor und einer Watchdog-Schaltung . Das Steuergerät dient dabei z.B. zum Auslösen von Airbags oder Gurtstraffern . Die Watchdog-Schaltung dient der Überwachung der Funktionsfähigkeit des Mikroprozessors.

Nachteilig bei bekannten Schaltungsanordnungen zur Umsetzungen einer Fail-Silent-Funktion eines Steuergeräts ist die Tatsache, dass entweder zusätzliche Hardware installiert sein muss, beispielsweise eine zusätzliche Watchdog-Schaltung oder ein zweiter Mikrocontroller, oder dass die Entwicklung spezieller Überwachungssoftware erforderlich ist. Darüber hinaus können die bekannten Lösungen eine Unterbrechung der Netzwerk-Kommunikation nicht immer hinreichend sicherstellen. Für den Fall, dass beispielsweise der Mikrocontroller, auf dem die Überwachungssoftware ausgeführt wird, selbst einen Fehler enthält, ist die Unterbrechung (Unterbindung) der Netzwerk- Kommunikation per Software nicht mehr möglich.

Der Erfindung liegt demnach die Aufgabe zugrunde, eine Vorrichtung bzw. eine Schaltungsanordnung anzugeben, mit der eine zuverlässige sowie einfache und damit kostengünstige Umsetzung einer Fail-Silent-Funktion für ein Steuergerät erreicht wird.

Diese Aufgabe wird durch eine Vorrichtung mit den Merkmalen nach Anspruch 1 gelöst. Vorteilhafte Ausgestaltungen und Weiterbildungen sind Gegenstand von Unteransprüchen, wobei auch Kombinationen und Weiterbildungen einzelner Merkmale miteinander denkbar sind.

Ein wesentlicher Gedanke der Erfindung besteht darin, eine Fail-Silent- bzw. Fail-Safe-Funktion in einem Steuergerät zu realisieren, die unabhängig von Softwareelementen arbeitet, wobei insbesondere vorhandene und in Hardware realisierte Fehlererkennungsmechanismen eines MikroControllers dazu genutzt werden, um einen Netzwerktreiber des Steuergeräts, z.B. einen Bustreiber, im Fehlerfall derart zu steuern, dass die Kommunikation des Steuergeräts mit dem Netzwerk unterbrochen wird. Durch die vorgeschlagene

Schaltungsanordnung kann vermieden werden, dass ein Steuergerät durch einen Fehler, beispielsweise während der Initialisierung, hängen bleibt oder in einem Dauer-Reset- Zustand verbleibt und infolge die Netzwerk-Kommunikation des Steuergeräts nicht mehr unterbrochen werden kann. Falls ein interner Schaden eines MikroControllers des Steuergeräts dazu führen würde, dass der MikroController bzw. das Steuergerät nichtmehr in den Reset-Zustand geht, ist somit gewährleistet, dass die Netzwerk-Kommunikation des Steuergeräts unterbrochen wird. Dadurch wird insbesondere eine gewisse Unabhängigkeit von der Fehlererkennung mittels Software erreicht.

Die erfindungsgemäße Schaltungsanordnung für ein Steuergerät umfasst wenigstens einen MikroController und wenigstens einen Netzwerktreiber. Der Netzwerktreiber, der auch als Transceiver bzw. Netzwerk-Transceiver bezeichnet werden kann, dient insbesondere zur Kommunikation des Steuergeräts mit einem Kommunikationsnetzwerk, beispielsweise in einem Kraftfahrzeug. Bei dem Netzwerktreiber handelt es sich insbesondere um diejenige Baueinheit des Steuergeräts, die für das Senden und Empfangen von (Daten-) Signalen über das Kommunikationsnetzwerk zuständig ist, z.B. ein Bus-Transceiver oder Ethernet- Transceiver des Steuergeräts.

Der wenigstens eine MikroController des Steuergeräts umfasst vorzugsweise eine in Hardware realisierte

Überwachungseinrichtung, die Fehler bzw. Fehlerzustände in einzelnen Modulen des MikroControllers erfasst und z.B. speichert. Die Überwachungseinrichtung weist weiterhin wenigstens einen Ausgang auf, um externe Komponenten mittels einer Signalspannung über erfasste Fehler bzw. Fehlerzustände im MikroController zu informieren. Unter hardwarerealisierter Überwachungseinrichtung ist insbesondere eine softwareunabhängige Erkennung von Fehlern im MikroController bzw. in einzelnen Modulen des MikroControllers zu verstehen. Hierzu kann z.B. eine direktverdrahtete, diskrete und/oder integrierte Schaltung dienen, über die vorzugsweise ohne den Einsatz einer Software bzw. ohne den Einsatz von Softwareelementen Fehler an die Überwachungseinrichtung des MikroControllers gemeldet werden.

Die Signalspannung am Ausgang der Überwachungseinrichtung wird erfindungsgemäß dafür eingesetzt, um den Netzwerktreiber derart zu steuern, dass die Kommunikation des Steuergeräts mit dem Kommunikationsnetzwerk im Fehlerfall eingestellt bzw. unterbrochen wird.

In einer bevorzugten Ausgestaltung der erfindungsgemäßen Schaltungsanordnung umfasst der Netzwerktreiber einen Eingang, mittels dem sich die Netzwerk-Kommunikation des Netzwerktreibers, und damit auch die Netzwerk-Kommunikation des Steuergeräts, aktivieren und/oder deaktivieren lässt. Bei einem Bus-Transceiver als Netzwerktreiber kann es sich bei dem Eingang beispielsweise um einen BGE-Pin eines BUS-Guardians handeln, bei einem Ethernet-Transceiver als Netzwerktreiber beispielsweise um einen Reset-Pin. Der Ausgang der Überwachungseinrichtung, der zur Information externer Komponenten mittels einer Signalspannung über erfasste Fehler bzw. Fehlerzustände im MikroController dient, ist dabei vorzugsweise mit dem vorangehend genannten Eingang des Netzwerktreibers verbunden. Erfindungsgemäß kann somit ein bestimmter Spannungspegel der Signalspannung, der im Fehlerfall am Ausgang der Überwachungseinrichtung geführt wird, dazu genutzt werden, dass der Netzwerktreiber die Netzwerk-Kommunikation des Steuergeräts im Fehlerfall unterbricht .

Der Ausgang der Überwachungseinrichtung kann beispielsweise derart ausgebildet sein, dass dieser im Normalfall einen High- Pegel und im Fehlerfall einen Low-Pegel der Signalspannung führt, oder umgekehrt, d.h. im Normalfall einen Low-Pegel und im Fehlerfall einen High-Pegel. Die Überwachungseinrichtung kann insbesondere auch mit zwei Ausgängen ausgebildet sein, von denen der zweite Ausgang ein invertiertes Spannungssignal zum ersten Ausgang führt.

Je nachdem, ob der Eingang des Netzwerktreibers, mittels dem sich die Netzwerkkommunikation des Netzwerktreibers aktivieren und/oder deaktivieren lässt, low-aktiv oder high-aktiv ist, d.h. bei Anliegen eines Low-Pegels oder bei Anliegen eines High-Pegels die Netzwerk-Kommunikation unterbricht, kann der Ausgang bzw. einer der Ausgänge der Überwachungseinrichtung mit dem Eingang des Netzwerktreibers verbunden sein, so dass im Fehlerfall die Netzwerkkommunikation unterbrochen wird. Es kann dabei insbesondere auch ein Inverter zwischen dem Eingang des Netzwerktreibers und dem Ausgang der

Überwachungseinrichtung zwischengeschaltet sein.

Die erfindungsgemäße Schaltungsanordnung ist nicht auf eine bestimmte Netzwerktopologie oder eine bestimmte Netzwerkart beschränkt. Ein Steuergerät, dass mit der erfindungsgemäßen Schaltungsanordnung ausgebildet ist, kann insbesondere in einem Kommunikationsnetzwerk mit Bus- Ring-, oder Sterntopologie angeordnet sein und/oder auch direkt, beispielsweise mit einem anderen Steuergerät verbunden sein, d.h. über eine sogenannte Punkt-zu-Punkt-Verbindung . Als Netzwerkarten sind insbesondere Flexray-, CAN- oder Ethernet- Netzwerke vorgesehen. Gemäß einer bevorzugten Ausgestaltung der erfindungsgemäßen Schaltungsanordnung handelt es sich bei dem Netzwerktreiber der Schaltungsanordnung um einen Ethernet-Treiber, der auch als Ethernet-Transceiver bezeichnet werden kann und der zur Kommunikation des Steuergeräts mit einem Ethernet-Netzwerk dient. Die am Ausgang der Überwachungseinrichtung geführte Signalspannung wird dabei insbesondere dazu genutzt, um bei Erfassung eines Fehlers durch die Überwachungseinrichtung den Ethernet-Treiber derart zu steuern, dass dieser die Kommunikation des Steuergeräts mit dem Ethernet-Netzwerk unterbricht .

Bei Ausgestaltung der erfindungsgemäßen Schaltungsanordnung mit einem Ethernet-Treiber als Netzwerktreiber, umfasst dieser bevorzugt einen Reset-Eingang bzw. einen Reset-Pin als vorangehend beschriebenen Eingang, mittels dem sich die Netzwerkkommunikation des Netzwerktreibers, und damit auch die des Steuergeräts, aktivieren und/oder deaktivieren lässt. Der Ausgang der Überwachungseinrichtung ist dabei vorzugsweise mit dem Reset-Eingang des Ethernet-Treibers verbunden, wobei ein High-Pegel oder Low-Pegel der Signalspannung, der im Fehlerfall an dem Ausgang der Überwachungseinrichtung geführt wird, dazu genutzt wird, dass über einen high-aktiven oder low-aktiven Reset des Ethernet-Treibers die Ethernet- Kommunikation des Steuergeräts unterbrochen wird.

Bei Ausgestaltung der erfindungsgemäßen Schaltungsanordnung mit einem Ethernet-Treiber als Netzwerktreiber, der gemäß der vorangehenden Beschreibung insbesondere mit einem Reset- Eingang ausgebildet ist, kann gemäß einer besonderen Ausgestaltung der erfindungsgemäßen Schaltungsanordnung ein GPIO-Pin des MikroControllers mit dem Reset-Eingang beispielsweise über einen elektronischen Schalter verbunden sein. Der Ausgang der Überwachungseinrichtung ist dabei bevorzugt derart mit einem Steuereingang des elektronischen Schalters verbunden, dass im Fehlerfall durch Anlegen eines geeigneten Spannungspegels der Signalspannung am Steuereingang des elektronischen Schalters ein Spannungspegel des GPIO-Pins überstimmt wird. Hierdurch kann der Reset-Eingang des Ethernet-Treibers derart gesteuert werden, dass der Ethernet- Treiber die Ethernet-Kommunikation des Steuergeräts unterbricht .

Gemäß einer weiteren bevorzugten Ausgestaltung der erfindungsgemäßen Schaltungsanordnung handelt es sich bei dem Netzwerktreiber der Schaltungsanordnung um einen Bustreiber. Der Bustreiber, der auch als Bus-Transceiver bezeichnet werden kann, dient insbesondere zur Kommunikation des Steuergeräts mit einem Bus-Netzwerk als Kommunikationsnetzwerk, beispielsweise in einem Kraftfahrzeug.

Der MikroController der Schaltungsanordnung umfasst vorzugsweise eine in Hardware realisierte

Die Signalspannung am Ausgang der Überwachungseinrichtung wird erfindungsgemäß dafür eingesetzt, um den Bustreiber derart zu steuern, dass die Kommunikation des Steuergeräts mit dem Bus- Netzwerk im Fehlerfall automatisch eingestellt bzw. unterbrochen wird.

Bei Ausgestaltung der erfindungsgemäßen Schaltungsanordnung mit einem Bustreiber als Netzwerktreiber umfasst dieser gemäß einer bevorzugten Ausgestaltung der erfindungsgemäßen Schaltungsanordnung eine Buswächter-Schnittstelle, die auch als Busguardian-Interface bezeichnet werden kann, mittels der sich die Netzwerk-Kommunikation des Netzwerktreibers, und damit auch die des Steuergeräts, aktivieren und/oder deaktivieren lässt. Die Buswächter-Schnittstelle weist weiterhin wenigstens einen Eingang auf, bevorzugt einen Auslöseanschluss (BGE-Pin, Busguardian Enable-Pin) . Mittels des Auslöseanschlusses bzw. mittels des BGE-Pins lässt sich dabei vorzugsweise die Bus-Kommunikation des Bustreibers aktivieren und deaktivieren, wobei z.B. durch Anlegen eines Low-Pegels einer Signalspannung am BGE-Pin die Bus- Kommunikation deaktiviert werden kann und bei Anliegen eines High-Pegels der Signalspannung die Bus-Kommunikation aktiv ist. Der BGE-Pin kann insbesondere auch invertiert sein, so dass bei Anliegen eines Low-Pegels die Bus-Kommunikation aktiv ist und bei Anliegen eines High-Pegels deaktiviert wird. Weiterhin kann der BGE-Pin derart ausgestaltet sein, dass dieser über einen internen Pulldown-Widerstand verfügt, der dafür sorgt, dass der Pegel auf Low gezogen wird, wenn ein anliegendes Eingangssignal hochohmig ist. In einer besondere Ausgestaltung der erfindungsgemäßen Schaltungsanordnung kann ein weiterer (externer) Pulldown-Widerstand am BGE-Pin des Bustreiber angeordnet sein, insbesondere um für einen hochohmigen Zustands des Ausgangs der Überwachungseinrichtung einen Low-Pegel sicherzustellen.

Die Überwachungseinrichtung des MikroControllers führt an deren Ausgang eine Signalspannung, die im Fehlerfall, d.h. wenn einer oder mehrere Fehler bzw. Fehlerzustände eines oder mehrere Module des MikroControllers durch die

Überwachungseinrichtung erfasst wurden, vorzugsweise einen Low-Pegel und im Normalfall, d.h. im fehlerfreien Fall, vorzugsweise einen High-Pegel aufweist. Die

Überwachungseinrichtung kann weitergehend derart ausgestaltet sein, dass an deren Ausgang ein hochohmiges Signal geführt wird, wenn sich der MikroController beispielsweise im Reset- Zustand befindet.

Bei Ausgestaltung der erfindungsgemäßen Schaltungsanordnung mit einem Bustreiber als Netzwerktreiber, welcher insbesondere einen BGE-Pin umfasst, ist gemäß einer bevorzugten Ausgestaltung der Ausgang der Überwachungseinrichtung mit dem BGE-Pin des Bustreibers verbunden. Hierdurch liegt vorzugsweise im Normalfall ein High-Pegel vom Ausgang der Überwachungseinrichtung am BGE-Pin des Buswächters an und das Steuergerät kann uneingeschränkt über den Bustreiber mit dem Bus-Netzwerk kommunizieren. Im Fehlerfall wird vorzugsweise ein Low-Pegel vom Ausgang der Überwachungseinrichtung am BGE- Pin des Buswächters angelegt und die Bus-Kommunikation des Steuergeräts wird unterbrochen. Für den Fall, dass sich der MikroController im Reset-Zustand befindet, befindet sich der Ausgang der Überwachungseinrichtung vorzugsweise in einem hochohmigen Zustand. Auch in diesem Fall ist die Bus- Kommunikation durch den Bustreiber deaktiviert, insbesondere wenn durch einen internen Pulldown-Widerstand des BGE-Pins der Pegel auf Low gezogen wird.

Bei Ausgestaltung der erfindungsgemäßen Schaltungsanordnung mit einem Bustreiber als Netzwerktreiber, welcher insbesondere einen BGE-Pin umfasst, führt gemäß einer optionalen Ausgestaltung der Ausgang der Überwachungseinrichtung ein invertiertes Spannungssignal, so dass im Normalfall ein Low- Pegel am Ausgang der Überwachungseinrichtung geführt wird und im Fehlerfall ein High-Pegel. In diesem Fall ist der Ausgang der Überwachungseinrichtung bevorzugt über einen Inverter mit dem BGE-Pin des Bustreibers verbunden. Der Inverter wandelt dabei den Pegel des Spannungssignals des Ausgangs der Überwachungseinrichtung um, so dass im Normalfall ein High- Pegel am BGE-Pin anliegt und die Bus-Kommunikation des Steuergeräts möglich ist. Analog zum Normalfall, wird Fehlerfall der am Ausgang der Überwachungseinrichtung geführte High-Pegel in einen Low-Pegel invertiert, so dass die Bus- Kommunikation des Steuergeräts über den Bustreiber unterbrochen wird.

Bei Ausgestaltung der erfindungsgemäßen Schaltungsanordnung mit einem Bustreiber als Netzwerktreiber, welcher insbesondere einen BGE-Pin umfasst, kann die Überwachungseinrichtung insbesondere zwei Ausgänge umfassen, von denen einer ein invertiertes Spannungssignal führt. In diesem Fall wird bevorzugt der Ausgang der Überwachungseinrichtung mit dem BGE- Pin des Buswächters verbunden, der im Fehlerfall einen Low- Pegel führt, so dass kein zusätzlicher Inverter erforderlich ist .

Bei Ausgestaltung der erfindungsgemäßen Schaltungsanordnung mit einem Bustreiber als Netzwerktreiber, welcher insbesondere einen BGE-Pin umfasst, können sowohl der Eingang der Buswächter-Schnittstelle des Bustreibers, als auch der Ausgang der Überwachungseinrichtung des MikroControllers jeweils invertiert ausgestaltet sein bzw. ein invertiertes Spannungssignal liefern. Die Verbindung zwischen dem Ausgang der Überwachungseinrichtung und dem Eingang der Buswächter- Schnittstelle erfolgt dabei erfindungsgemäß derart, dass im Bedarfsfall ein Inverter zwischengeschaltet wird, so dass im Fehlerfall ein solcher Pegel am Eingang der Buswächter- Schnittstelle des Bustreibers anliegt, dass die Bus- Kommunikation im Fehlerfall unterbrochen wird. Bevorzugt wird dabei ein Inverter zwischengeschaltet, wenn entweder nur der Eingang der Buswächter-Schnittstelle oder nur der Ausgang des MikroControllers invertiert ausgestaltet ist. Für den Fall, dass sowohl Eingang als auch Ausgang invertiert, sowie für den Fall, dass weder Eingang noch Ausgang invertiert ausgestaltet sind, ist vorzugsweise kein zwischengeschalteter Inverter vorgesehen .

In einer bevorzugten Ausführungsvariante der erfindungsgemäßen Schaltungsanordnung handelt es sich bei dem Netzwerkreiber um einen Bustreiber, sowie insbesondere um einen FlexRay- Bustreiber bzw. FlexRay- (Bus- ) Transceiver und bei dem Kommunikationsnetzwerk um ein Bus-Netzwerk, insbesondere um einen FlexRay-Bus in einem Kraftfahrzeug.

In einer weiteren bevorzugten Ausführungsvariante der erfindungsgemäßen Schaltungsvorrichtung handelt es sich bei dem Netzwerktreiber um einen Bustreiber, sowie insbesondere um einen CAN-Bustreiber bzw. CAN- (Bus- ) Transceiver und bei dem Kommunikationsnetzwerk um ein Bus-Netzwerk, insbesondere um einen CAN-Bus in einem Kraftfahrzeug.

Bei Ausgestaltung der erfindungsgemäßen Schaltungsanordnung mit einem Bustreiber als Netzwerktreiber, umfasst gemäß einer vorteilhaften Ausgestaltung der MikroController wenigstens einen Universal Ein-/Ausgang bzw. einen GPIO-Pin (General Purpose Input/Output-Pin) . Der GPIO-Pin ist vorzugsweise mit einem STB- und/oder EN-Pin des Bustreibers verbunden, wobei die Verbindung insbesondere über wenigstens einen elektronischen Schalter erfolgt. Der elektronische Schalter ist dabei bevorzugt an einem Steuereingang zusätzlich mit dem Ausgang der Überwachungseinrichtung verbunden. Durch Anlegen eines geeigneten Pegels vom Ausgang der

Überwachungseinrichtung am Steuereingang des elektronischen Schalters, wird im Fehlerfall ein vom GPIO-Pin des MikroControllers am elektronischen Schalter anliegender Spannungspegel durch den vom Ausgang der

Überwachungseinrichtung überstimmt. Bevorzugt wird der elektronische Schalter und der STB- und/oder EN-Pin des Bustreibers dadurch derart gesteuert, dass die Bus- Kommunikation des Steuergeräts mit dem Bus-Netzwerk unterbrochen wird.

In einer vorteilhaften Ausgestaltung sind der Inverter, zur Umwandlung des am Ausgang der Überwachungseinrichtung geführten invertierten Spannungssignals, und/oder der elektronische Schalter, der zwischen wenigstens einem GPIO-Pin des MikroControllers und einem STB- und/oder EN-Pin des Netzwerktreibers geschaltet ist, als Transistoren ausgestaltet .

Die erfindungsgemäße Schaltungsanordnung ist bevorzugt in einem Steuergerät angeordnet, das über ein

Kommunikationsnetzwerk mit anderen Steuergeräten und elektronischen Komponentenverbunden ist und kommuniziert, beispielsweise über ein Bus-Netzwerk in einem Kraftfahrzeug. Bei dem Steuergerät kann es sich beispielweise um verschiedene aus dem Stand der Technik bekannte Fahrzeugkomponenten bzw. elektronische oder elektromechanische Anlagen handeln, beispielsweise um Steuergeräte für Motor, ABS, Klimaanalage, Instrumententafel, Navigationssystem, Differentialelektronik, Tempomat, Verdeck, Getriebe, Kraftstoffpumpe, Zündung, Airbag, ASR, ESP, Einparksysteme, KE-Jetronic, L-Jetronic,

Bremsanlage, Lichtanlage, etc. Das Steuergerät kann auch Bestandteil eines Fahrerassistenzsystems sein, beispielsweise adaptives Kurvenlicht, Auf- und Abblendassistent für das Fahr- licht, Nachtsichtsysteme, Einparkhilfe, Bremsassistent, Abstandsregeltempomat , Geschwindigkeitsregelung, Abstandswarner, Abbiegeassistent, Stauassistent,

Spurhalteassistent, Spurhalteunterstützung, Spurwechselassistent, Kurvenassistent, Reifendruckkontrollsystem, Fahrerzustandserkennung und

Verkehrszeichenerkennung. Auch Kombinationen der vorangehend genannten Systeme und Funktionen sind denkbar.

Weitere Vorteile sowie optionale Ausgestaltungen der erfindungsgemäßen Schaltungsanordnung gehen aus der Beschreibung und den Zeichnungen hervor. Ausführungsbeispiele sind in den Zeichnungen vereinfacht dargestellt und in der nachfolgenden Beschreibung näher erläutert.

Es zeigt

Figur 1: eine Schaltungsanordnung mit einem Bustreiber als

Netzwerkreiber und mit direkter Verbindung zwischen Ausgang der Überwachungseinrichtung und BGE-Pin des Bustreibers .

Figur 2: eine Schaltungsanordnung mit einem Bustreiber als

Netzwerkreiber und mit Verbindung zwischen Ausgang der Überwachungseinrichtung und BGE-Pin des Bustreibers über einen Inverter.

Figur 3: eine Schaltungsanordnung mit einem Bustreiber als

Netzwerkreiber und mit über den Ausgang der Überwachungseinrichtung steuerbarem elektronischem Schalter zwischen GPIO des MikroController und Hostinterface des Bustreibers.

Figur 4: ein Beispiel für ein Ablaufdiagramm für das Auftreten eines Fehlers in einem Modul des MikroControllers aus Fig. 1. Figur 5 : ein Steuergerät mit einer erfindungsgemäßen

Schaltungsanordnung, einen Ethernet-Treiber als

Netzwerktreiber umfasst, wobei das Steuergerät in einem Ethernet-Netzwerk mit Sterntopologie mit weiteren Steuergeräten kommuniziert.

In Fig. 1 ist ein Beispiel für eine erfindungsgemäße Schaltungsanordnung für ein Steuergerät SG dargestellt. Die Schaltungsanordnung umfasst einen MikroController MC und in diesem Fall einen Bustreiber BT als Netzwerktreiber.

Der Bustreiber BT dient zur Kommunikation des Steuergeräts SG mit einem Bus-Netzwerk BN, beispielsweise über ein Businterface mit BP und/oder BM Eingängen und Ausgängen, und umfasst eine Buswächter-Schnittstelle BG-I mit einen BGE-Pin BGE sowie einen Kommunikationscontroller BT-KC, beispielsweise mit TxD, TxEN und RxD Anschlüssen. Der Bustreiber BT kann zudem weitere Module und Anschlüsse aufweisen, beispielsweise ein Hostinterface BT-HI mit STB, EN, ERRN und/oder SPI Anschlüssen sowie eine Spannungsversorgungseinheit mit Vcc, Vio, Vbat und/oder GND Anschlüssen.

Der MikroController MC umfasst ebenfalls einen Kommunikationscontroller MC-KC, zur Kommunikation mit dem Bustreiber BT, beispielsweise über RxD, TxD und TxEN Schnittstellen, sowie einen Überwachungseinrichtung UE.

Die Überwachungseinrichtung UE ist derart ausgestaltet, dass durch diese Fehler bzw. Fehlerzustände von einzelnen Modulen Ml, M2, Mn des MikroControllers MC erfasst und gesammelt werden können. Die Erfassung der Fehler erfolgt dabei hardwarerealisiert insbesondere über eine integrierte Schaltung, beispielsweise über eine oder mehrere Logikschaltungen, so dass eine Fehlererkennung ohne den Einsatz von Software im MikroController MC erfolgen kann. Die Überwachungseinrichtung UE kann zudem derart ausgestaltet sein, dass diese im Fehlerfall, d.h. bei erfasstem Fehler eines oder mehrere Module Ml, M2, Mn des MikroControllers MC, den MikroController MC in einen sicheren Zustand (Reset) bringen. Darüber hinaus führt die Überwachungseinrichtung UE abhängig davon, ob ein Normalfall, d.h. ein fehlerfreier Zustand, oder ein Fehlerfall vorliegt, eine Signalspannung an einem Ausgang UE-A. In diesem Fall führt die Überwachungseinrichtung UE im Normalfall einen High-Pegel und im Fehlerfall einen Low-Pegel am Ausgang UE-A.

Der Bustreiber BT der Schaltungsanordnung in Fig. 1 ist derart ausgestaltet, dass bei Anliegen eines Low-Pegels einer Signalspannung am Eingang BGE der Buswächter-Schnittstelle BG- I die Kommunikation des Bustreibers BT mit dem Bus-Netzwerk BN unterbrochen bzw. eingestellt wird. Bei dem Eingang BGE der Buswächter-Schnittstelle BG-I handelt es sich in diesem Fall um einen BGE-Pin.

Erfindungsgemäß ist der Ausgang UE-A der

Überwachungseinrichtung UE mit dem BGE-Pin BGE des Bustreibers BT verbunden. Im Fehlerfall liegt somit am BGE-Pin BGE des Bustreibers BT ein Low-Pegel an, so dass im Fehlerfall die Kommunikation des Steuergeräts SG mit dem Bus-Netzwerk BN automatisch unterbrochen wird und auf einfache Weise eine zuverlässige und softwareunabhängige Fail-Silent-Funktion des Steuergeräts SG mit der Schaltungsanordnung aus Fig. 1 realisiert ist.

In Fig. 2 ist eine weitere erfindungsgemäße

Schaltungsanordnung für ein Steuergerät SG dargestellt. Die Schaltungsanordnung ist dabei in weiten Teilen entsprechend der Beschreibung zu Fig. 1 ausgestaltet. In diesem Fall führt die Überwachungseinrichtung UE am Ausgang UE-A ein invertiertes Spannungssignal, d.h. im Normalfall einen Low- Pegel und im Fehlerfall einen High-Pegel. Der Ausgang UE-A ist, wie bereits in Fig. 1, mit einem BGE-Pin BGE des Bustreibers BT verbunden, wobei die Verbindung in diesem Fall über einen Inverter IN (z.B. ein Transistor), erfolgt welcher das vom Ausgang UE-A der Überwachungseinrichtung UE geführte Spannungssignal invertiert, so dass im Normalfall ein High- Pegel und im Fehlerfall ein Low-Pegel am BGE-Pin BGE des Bustreibers BT anliegt. Im Normalfall ist somit eine uneingeschränkte Kommunikation des Steuergeräts SG mit dem Bus-Netzwerk BN über den Bustreiber BT möglich, wobei im Fehlerfall und bei Anliegen eines Low-Pegels am BGE-Pin BGE, der Bustreibers BT die Kommunikation des Bustreibers BT und damit die des Steuergeräts SG mit dem Bus-Netzwerk BN unterbricht .

In Fig. 3 ist ein weiteres Beispiel für eine erfindungsgemäße Schaltungsanordnung dargestellt. Die Schaltungsanordnung ist dabei teilweise entsprechend den Beschreibungen zu den Figuren 1 und 2 aufgebaut. Bei der Ausgestaltung der Schaltungsanordnung entsprechend Fig. 3 ist wenigstens ein GPIO-Pin GPIO des MikroControllers MC mit einem Anschluss des Hostinterfaces BT-HI des Bustreibers BT, beispielsweise mit einer STBN und/oder EN Schnittstelle, verbunden. Die Verbindung erfolgt dabei über einen elektronischen Schalter ES, beispielsweise ein Transistor, der an einem Steuereingang zusätzlich mit dem Ausgang UE-A der Überwachungseinrichtung UE des MikroControllers verbunden ist. Im Fehlerfall steuert der Low-Pegel der Überwachungseinrichtung UE den elektronischen Schalter ES so an, dass der Spannungspegel des GPIO-Pins GPIO am elektronischen Schalter ES überstimmt wird und damit der STBN- und/oder EN-Pin des Bustreibers BT derart gesteuert werden, dass die Kommunikation mit dem Bus-Netzwerk BN über den Bustreiber BT unterbrochen wird.

Erfindungsgemäß kann das Steuergerät SG bzw. die Schaltungsanordnung aus den Figuren 1, 2 und 3 auch weitere elektrische und/oder elektromechanische bzw. mechanische Elemente sowie Schaltkreise umfassen.

In Fig. 4 ist beispielhaft ein Ablaufdiagramm gezeigt für eine Schaltungsanordnung aus Fig. 1. Für den Fall, dass zum Zeitpunkt tl ein Fehler F im MikroController MC auftritt, wird dieser durch die Überwachungseinrichtung UE zum Zeitpunkt t2 erfasst, worauf am Ausgang UE-A der Überwachungseinrichtung UE etwa ab dem Zeitpunkt t3 ein Low-Pegel L geführt wird. Dadurch dass der Ausgang UE-A der Überwachungseinrichtung UE mit dem BGE-Pin BGE des Bustreibers BT bzw. dessen Buswächter- Schnittstelle BG-I verbunden ist, liegt spätestens zum Zeit t3 auch am BGE-Pin BGE ein Low-Pegel L an, worauf die Kommunikation BK des Bustreibers BT bzw. des Steuergeräts SG mit dem Bus-Netzwerk BN unterbrochen wird. Für den Fall, dass kein Fehler F erfasst wurde, d.h. im Normalfall bzw. in diesem Fall bis zum Zeitpunkt tl, wird ein High-Pegel H am Ausgang UE-A geführt und die Buskommunikation BK ist möglich m. Ab dem Zeitpunkt t3, d.h. im Fehlerfall, ist die Buskommunikation BK nichtmehr möglich nm.

Im konkreten Anwendungsfall kann beispielsweise ein MikroController des Herstellers Freescale Semiconductor verwendet werden, z.B. der MPC5643L oder der MPC567xK Microcontroller. Dieser umfasst eine „Fault Collection and Control Unit" (FCCU) die eine in Hardware realisierte Fehlererkennung aufweist und einen Ausgang (FCCU-Ausgang) umfasst, der eine Signalspannung mit einem High-Pegel und Low- Pegel in Abhängigkeit der Fehlererkennung der FCCU führt. Der FCCU-Ausgang könnte in diesem Fall mit einem „bus guardian enable"-Pin eines Bustreibers, beispielsweise eines FlexRay- Transceives, verbunden werden. Fig. 5 zeigt ein Steuergerät SG mit einer erfindungsgemäßen Schaltungsanordnung, die in diesem Fall einen Ethernet-Treiber ET als Netzwerktreiber umfasst. Das Steuergerät SG ist weiterhin in einem Ethernet-Netzwerk, in diesem Fall mit Sterntopologie, angeordnet und kommuniziert über einen Ethernet-Switch ES sowie über Ethernet-Zweige EZ mit weiteren Steuergeräten SGI und SG2.

Der Ethernet-Treiber ET umfasst dabei einen Reset-Pin RE sowie einen Kommunikationscontroller ET-KC. Der Bustreiber ET kann zudem weitere Module und Anschlüsse aufweisen.

Der MikroController MC umfasst ebenfalls einen Kommunikationscontroller MC-KC, zur Kommunikation mit dem Ethernet-Treiber ET, sowie einen Überwachungseinrichtung UE. Der MikroController MC kann ebenfalls weitere Module und Anschlüsse aufweisen.

Die Überwachungseinrichtung UE ist derart ausgestaltet, dass durch diese Fehler bzw. Fehlerzustände von einzelnen Modulen erfasst und/oder gesammelt werden können. Die Erfassung der Fehler erfolgt dabei hardwarerealisiert, insbesondere über eine integrierte Schaltung, beispielsweise über eine oder mehrere Logikschaltungen, so dass eine Fehlererkennung ohne den Einsatz von Software im MikroController MC erfolgen kann. Die Überwachungseinrichtung UE kann weiterhin derart ausgestaltet sein, dass diese im Fehlerfall, d.h. bei erfasstem Fehler eines oder mehrere Module des MikroControllers MC, den MikroController MC in einen sicheren Zustand (Reset) bringen. Darüber hinaus führt die Überwachungseinrichtung UE abhängig davon, ob ein Normalfall, d.h. ein fehlerfreier Zustand, oder ein Fehlerfall vorliegt, einen bestimmten Spannungspegel einer Signalspannung an einem Ausgang UE-A.

Der Ethernet-Treiber ET der Schaltungsanordnung in Fig. 5 ist derart ausgestaltet, dass bei Anliegen eines bestimmten Spannungsegels, insbesondere eines High- oder Low-Pegels, einer am Reset-Pin RE angelegten Spannung, die Kommunikation des Ethenet-Treibers ET mit dem Ethernet-Netzwerk EN unterbrochen bzw. eingestellt wird. Der Reset-Pin RE dient somit beispielsweise zur Umsetzung eines high-aktiven oder low-aktiven Resets des Ethernet-Tansceivers ET.

Gemäß Fig. 5 ist der Ausgang UE-A der Überwachungseinrichtung UE mit dem Reset-Pin RE des Ethernet-Treibers ET verbunden. Je nachdem, ob der Reset-Pin RE mit einem high-aktiven oder low- aktiven Reset ausgebildet ist, und je nachdem, ob der Ausgang UE-A der Überwachungseinrichtung UE einen High-Pegel oder Low- Pegel der Signalspannung im Fehlerfall führt, kann der Ausgang UE-A direkt oder beispielsweise über einen Inverter IN mit dem Reset-Pin RE verbunden sein.

Bezeichnungsliste

SG Steuergerät

BT Bustreiber

ET Ethernet-Treiber

MC MikroController

Ml Modul 1 des MikroControllers

M2 Modul 2 des MikroControllers

Mn Modul n des MikroControllers

BN Bus-Netzwerk

UE Überwachungseinrichtung

BG- I Buswächter-Schnittstelle

BGE BGE-Pin

RE Reset-Pin

IN Inverter

ES elektronischer Schalter

BT- KC Bustreiber-Kommunikationscontroller

ET- KC Ethernet-Treiber-Kommunikationscontroller

MC- KC Mikrocontroller-Kommunikationscontroller

BT- HI Bustreiber-Hostinterface

GPIO Universal Ein-/Ausgang

EZ Ethernet- Zweig

ES Ethernet- Switch

SGI weiteres Steuergerät 1

SG2 weiteres Steuergerät 2

T Zeit

tl Zeitpunkt 1

t2 Zeitpunkt 2

t3 Zeitpunkt 3

F Fehler

BK Buskommunikation

m Buskommunikation möglich

nm Buskommunikation nicht möglich H High L Low

Claims

Patentansprüche

1. Schaltungsanordnung für ein Steuergerät (SG) ,

zur Umsetzung einer Fail-Silent- bzw. Fail-Safe-Funktion, umfassend

einen MikroController (MC) , der eine hardwarerealisierte Überwachungseinrichtung (UE) umfasst, die Fehler in einzelnen Modulen (Ml, M2, Mn) des MikroControllers (MC) erfasst und mindestens einen Ausgang (UE-A)

aufweist, um externe Komponenten mittels einer

Signalspannung über erfasste Fehler zu informieren, und einen Netzwerktreiber (BT, ET) , der zur Kommunikation des Steuergeräts (SG) mit einem Kommunikationsnetzwerk (BN) dient,

dadurch gekennzeichnet, dass

die am Ausgang (UE-A) der Überwachungseinrichtung (UE) geführte Signalspannung dazu genutzt wird, um bei

Erfassung eines Fehlers durch die Überwachungseinrichtung (UE) den Netzwerktreiber (BT, ET) derart zu steuern, dass die Netzwerk-Kommunikation des Steuergeräts (SG)

unterbrochen wird.

2. Schaltungsanordnung nach Anspruch 1, dadurch

gekennzeichnet, dass

der Netzwerktreiber (BT, ET) einen Eingang (BGE, RE) umfasst, über den sich die Netzwerk-Kommunikation

deaktivieren lässt, und

der Ausgang (UE-A) der Überwachungseinrichtung (UE) mit dem Eingang (BGE, RE) verbunden ist,

wobei ein bestimmter Spannungspegel der Signalspannung, der im Fehlerfall am Ausgang (UE-A) der

Überwachungseinrichtung (UE) geführt wird, dazu genutzt wird, dass der Netzwerktreiber (BT, ET) die Netzwerk-Kommunikation des Steuergeräts (SG) im Fehlerfall unterbricht.

3. Schaltungsanordnung nach einem der vorangegangenen

Ansprüche,

dadurch gekennzeichnet, dass

es sich bei dem Kommunikationsnetzwerk (BN) um ein

Netzwerk mit Bus-, Ring-, Punkt-zu-Punkt- oder Stern- Topologie handelt.

4. Schaltungsanordnung nach einem der vorangegangenen

Ansprüche, dadurch gekennzeichnet, dass

es sich bei dem Netzwerktreiber (BT, ET) um einen

Ethernet-Treiber (ET) handelt, der zur Kommunikation des Steuergeräts (SG) mit dem Ethernet-Netzwerk dient, wobei die am Ausgang der Überwachungseinrichtung (UE-A) geführte Signalspannung dazu genutzt wird, um bei

Erfassung eines Fehlers durch die Überwachungseinrichtung (UE) den Ethernet-Treiber (ET) derart zu steuern, dass die Kommunikation des Steuergeräts (SG) mit dem Ethernet- Netzwerk unterbrochen wird.

5. Schaltungsanordnung nach Anspruch 4, dadurch

gekennzeichnet, dass

der Ethernet-Treiber (ET) einen Reset-Eingang (RE) umfasst und

der Ausgang (UE-A) der Überwachungseinrichtung (UE) mit dem Reset-Eingang (RE) des Ethernet-Treibers (ET) verbunden ist,

wobei ein High-Pegel oder Low-Pegel der Signalspannung, der im Fehlerfall am Ausgang (UE-A) der

Überwachungseinrichtung (UE) geführt wird, dazu genutzt wird, dass der Ethernet-Treiber (ET) über einen high- aktiven oder low-aktiven Reset die Ethernet-Kommunikation des Steuergeräts (SG) im Fehlerfall unterbricht.

6. Schaltungsanordnung nach Anspruch 4, dadurch

gekennzeichnet, dass

der Ethernet-Treiber (ET) einen Reset-Eingang (RE) umfasst und ein GPIO-Pin (GPIO) des MikroControllers (MC) mit dem Reset-Eingang (RE) über einen elektronischen Schalter (ES) verbunden ist und

der Ausgang (UE-A) der Überwachungseinrichtung (UE) mit einem Steuereingang des elektronischen Schalters (ES) verbunden ist,

wobei im Fehlerfall durch Anlegen einen geeigneten

Spannungspegels der Signalspannung am Steuereingang des elektronischen Schalters (ES) ein Spannungspegel des GPIO-Pins (GPIO) überstimmt wird, wodurch der Reset- Eingang (RE) des Ethernet-Treibers (ET) derart gesteuert wird, dass der Ethernet-Treiber (ET) die Ethernet- Kommunikation des Steuergeräts (SG) unterbricht.

7. Schaltungsanordnung nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet,

dass es sich bei dem Netzwerktreiber (BT, ET) um einen Bustreiber (BT) handelt, der zur Kommunikation des

Steuergeräts (SG) mit einem Busnetzwerk (BN) dient, wobei

Erfassung eines Fehlers durch die Überwachungseinrichtung (UE) den Bustreiber (BT) derart zu steuern, dass die Bus- Kommunikation des Steuergeräts (SG) unterbrochen wird.

8. Schaltungsanordnung nach Anspruch 7, dadurch

gekennzeichnet, dass der Bustreiber (BT) eine Buswächter-Schnittstelle (BG-I) mit einem Eingang (BGE) umfasst und

der Ausgang (UE-A) der Überwachungseinrichtung (UE) mit dem Eingang (BGE) der Buswächter-Schnittstelle (BG-I) verbunden ist,

wobei im Normalfall ein High-Pegel und im Fehlerfall ein Low-Pegel der Signalspannung am Ausgang (UE-A) der

Überwachungseinrichtung (UE) geführt wird und

der Bustreiber (BT) die Bus-Kommunikation unterbricht, wenn am Eingang (BGE) der Buswächter-Schnittstelle (BG-I) ein Low-Pegel anliegt.

9. Schaltungsanordnung nach Anspruch 7, dadurch

gekennzeichnet, dass

der Bustreiber (BT) eine Buswächter-Schnittstelle (BG-I) mit einem Eingang (BGE) umfasst und

der Ausgang (UE-A) der Überwachungseinrichtung (UE) ein invertiertes Spannungssignal führt,

wobei im Normalfall ein Low-Pegel und im Fehlerfall ein High-Pegel der Signalspannung am Ausgang (UE-A) der

Überwachungseinrichtung (UE) geführt wird,

der Ausgang (UE-A) der Überwachungseinrichtung (UE) über einen Inverter (IN) mit dem Eingang (BGE) der

Buswächterschnittstelle (BG-I) des Bustreibers (BT) verbunden ist und

10. Schaltungsanordnung nach Anspruch 7, dadurch

gekennzeichnet, dass

ein GPIO-Pin (GPIO) des MikroControllers (MC) mit einem STB- und/oder EN-Pin eines Hostinterface (BT-HI) des Bustreibers (BT) über einen elektronischen Schalter (ES) verbunden ist und

wobei im Fehlerfall durch Anlegen eines geeigneten Pegels am Steuereingang des elektronischen Schalters (ES) ein Spannungspegel des GPIO-Pins (GPIO) überstimmt wird, wodurch der STB- und/oder EN-Pin des Bustreibers (BT) derart gesteuert werden,

dass der Bustreiber (BT) die Bus-Kommunikation

unterbricht .

11. Schaltungsanordnung nach einem der Ansprüche 7 bis 10, dadurch gekennzeichnet, dass

es sich bei dem Bustreiber (BT) um einen CAN- (Bus-)

Transceiver handelt.

12. Schaltungsanordnung nach einem der Ansprüche 7 bis 10, dadurch gekennzeichnet, dass

es sich bei dem Bustreiber (BT) um einen FlexRay- (Bus-) Transceiver handelt.

13. Schaltungsanordnung nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass

der elektronische Schalter (ES) und/oder der Inverter (IN) als Transistoren ausgestaltet sind.

14. Steuergerät (SG) in dem eine Schaltungsanordnung nach einem der vorangegangenen Ansprüche angeordnet ist.

15. Kraftfahrzeug in dem eine Schaltungsanordnung nach einem der Ansprüche 1 bis 13 und/oder ein Steuergerät (SG) nach Anspruch 14 angeordnet ist.