控制设备和用于运行控制设备的方法与流程

1.本发明涉及一种具有故障切断的可能性的控制设备、一种用于运行这种控制设备的方法以及一种用于执行该方法的计算机程序。


背景技术：

2.在如尤其是在车辆或机动车辆中使用的控制设备的情况下、在那里大多在所述控制设备的微控制器中，可以设置所谓的“故障管理模块”（error management module，emm），利用该“故障管理模块”可以管理在控制设备运行期间发生或可能发生的故障。在这种情况下，例如可以针对特定故障预先给定特定反应。可被报告给该模块的典型故障例如是这种来自微控制器的过压监控的故障、锁步故障或所谓的“纠错码（error correction code）”故障。
3.作为反应，这种模块可以操控到外部看门狗（为此也参见所谓的3级监控概念）的冗余的、更快的切断路径，以便因此根据应用来例如切断例如用于喷射的力矩输出级、节气门或者安全相关的通信（例如所计算出的力矩期望、起动器请求）。附加地，可以配置可用性措施，诸如复位（reset）或nmi（non maskable interrupt（不可屏蔽中断））。
4.为此，在控制设备中或在微控制器处通常设置（物理）故障切断接口或所谓的“errorpin（故障引脚）”，该“errorpin”在需要时被激活，由此接着将相对应的组件、诸如输出级切断。
5.还可以针对从软件（该软件在控制设备上运行）出发所识别出的故障来请求该模块的反应。为此，可以规定软件抽象层，以便协调不同的软件要求并且以便防止个别软件部分可能意外地开启故障切断接口或errorpin，这可能会导致不合理的状态。
6.在典型的控制设备的情况下，所提供的功能性或应用例如只能在控制设备层面上被完全切断。这样，例如可以在专用汽油发动机控制设备中将内燃机停止，其方式是经由故障切断接口来切断喷射和节气门。例如，在de 10 2015 213 831 a1中描述了：在发动机控制设备的情况下，切断用于压力控制阀的输出级和用于喷射器的操控电路。
7.在提供多个应用的控制设备、例如发动机和变速器控制设备中，应用的独立性还进一步受限，因为即使故障例如只存在于发动机控制设备的操控路径中，故障切断接口也将所有安全相关的（例如用于发动机控制设备的喷射和变速器控制设备的阀门操控的）输出级切断。两种情形都导致可用性受限直至停摆。
8.附加地，控制设备中的硬件布局通常是固定的并且随后不能更改。如果控制设备提供多个应用，则这些应用必须正确地与现有的故障切断接口适配。因此，在没有适配的情况下不可能将应用挪到具有不同的硬件布线（基本的切断路径仍相同）的另一控制设备上。


技术实现要素：

9.按照本发明，提出了具有独立专利权利要求的特征的一种用于运行控制设备的方法以及一种用于执行该方法的计算机程序。有利的设计方案是从属权利要求以及随后的描
述的主题。
10.本发明涉及一种控制设备或该控制设备的运行。这种控制设备、尤其是该控制设备的微控制器具有多个（物理）故障切断接口，这些故障切断接口具有已经提及的“故障引脚（errorpins）”，借助于所述“故障引脚”，在激活的情况下能分别切断至少一个借助于控制设备所要操控的组件。组件尤其可以是存在于控制设备中的装置，如操控电路（例如asic）、输出级等等，但是也可设想的是因此涉及外部的、与控制设备连接——以及在那里于是也与故障切断接口连接——的组件。
11.控制设备被设立为：实施一个或多个不同的应用，所述应用分别被设立为在需要时触发故障切断。这种应用可包括软件部分，该软件部分例如专门设置用于运行在车辆中的特定组件或单元，诸如内燃机、电机或变速器。所述应用也可包括硬件部分，例如用于实施应用的特定功能的特殊应用模块（例如ic、asic等等）。所述应用也可以分布到多个控制设备上，也就是说包括不在相关控制设备上实现的部分。如开头已经提及的那样，这种应用构造或设立为：在需要时、也就是说当例如识别出了故障时，触发（或首先请求）故障切断。在此，这些应用例如可以在控制设备的分别被分配给这些应用的分区上被实施。
12.控制设备还被设立为：为一个或多个应用提供内部接口，其中这些内部接口和故障切断接口能以可预先给定的方式来彼此分配，使得在调用这些内部接口中的一个内部接口时激活一个或多个被分配给该内部接口的故障切断接口。适宜地，这些内部接口和故障切断接口借助于软件配置、例如在使用适当的配置表的情况下能以可预先给定的方式来彼此分配。于是，在将控制设备例如用在车辆中之前、适宜地在制造该控制设备时，可以根据需求或要求、而且尤其是也根据在控制设备上所要实施的应用来进行该配置。
13.优选地，控制设备还被设立为使得一个或多个硬件故障源和这些故障切断接口能以可预先给定的方式来彼此分配，使得在发生在这些硬件故障源或这些硬件故障源之一方面的故障时激活一个或多个被分配给所述硬件故障源的故障切断接口。适宜地，一个或多个硬件故障源和这些故障切断接口借助于硬件配置、例如借助于可配置的例如同样具有适合的配置表的逻辑门能以可预先给定的方式来彼此分配。于是，在将控制设备例如用在车辆中之前、适宜地在制造该控制设备时，可以根据需求或要求来进行该配置。在此适宜地，硬件故障源被分配给不同的分区，应用也可以在这些不同的分区上被实施。
14.以这种方式，在故障切断接口或故障引脚与这些应用之间的灵活分配是可能的，其中这些应用保持从硬件布局中抽象出来。因此，应用可具有不同的切断路径。此外，由于针对高可用性系统（直至自主或自动驾驶）的部分切断的可能性，得出可用性的提高。最终，这也用于避免各个应用之间的干扰，因为可以分配单独的切断路径或故障切断接口。此外，由于在控制设备中呈现多个独立的应用而得到一定的成本节约，这些独立的应用能彼此独立地被切断。因为应用能在不同的控制设备中未经改变地被使用，所以由于开发花费更低而得到进一步的成本节约。
15.优选地，控制设备还被设立为：在调用这些内部接口中的一个内部接口时，如果这种调用尚不存在，则将该调用录入到所分配的故障切断接口的缓冲存储器中，并且在停用请求的情况下将该调用从缓冲存储器中移除，并且如果调用是在缓冲存储器中录入的，则激活故障切断接口，并且如果没有调用录入在缓冲存储器中且不存在被分配给该故障切断接口的硬件故障源的故障，则将该故障切断接口停用。因此，简单且可靠地实现对故障切断
接口的激活以及必要时停用是可能的。
16.有利地，控制设备具有安全相关的故障切断接口并且被设立为使得能给多个故障切断接口中的一个可预先给定的故障切断接口分配安全相关的故障切断接口，使得当该可预先给定的故障切断接口被激活时，该安全相关的故障切断接口也被激活。适宜地，该安全相关的故障切断接口和这些故障切断接口能借助于硬件配置、例如像之前所阐述的那样来彼此分配。于是，在将控制设备例如用在车辆中之前、适宜地在制造该控制设备时，可以根据需求或要求来进行该配置。原则上，该安全相关的故障切断接口可以像其余的故障切断接口那样来构造，然而可以接线或被接线为使得因此当发生本身有可能与安全相关的组件没有什么直接关系的另一故障时切断（或可以切断）该安全相关的组件。可理解的是：也还可以规定其它的这种安全相关的故障切断接口，所述其它的这种安全相关的故障切断接口接着能以相同方式来被分配。
17.优选地，控制设备还被设立为使得在其中分配有或分配这些故障切断接口的模块中发生故障时激活所有故障切断接口。因此保证了：以后不在应用（软件和/或硬件）中发生故障，但是该故障由于模块中的故障而不再导致故障切断接口的激活。即，因此这是一种预防措施。
18.即，概括来说，本发明提供了一种可能性，该可能性如开头所阐述的那样将现有的故障引脚处理（也就是说对故障切断接口的管理）扩展了数目可增减的故障切断接口或故障引脚（大多与硬件相关），其中这些故障切断接口或故障引脚可以灵活地被分配给不同应用并且因此在控制设备之内对应用的部分切断是可能的。这导致可用性提高以及开发花费更低。
19.在其中例如电动机（或一般来说电机）的控制设备也集成到内燃机的控制设备中的混合动力系统中，因此例如在电动机的操控路径中有故障的情况下，如果只有电动机的输出级被切断（这当然也反过来适用于内燃机的输出级），则可以使车辆总是仍驶回家或者向车间行驶。
20.在具有发动机控制和集成的变速器控制的系统（或控制设备）中，例如存在其中变速器的切断导致插入低挡位的系统设计。这里，本发明也能够实现：例如在变速器控制设备的调节路径中的故障使得能够在不必同样切断内燃机（或一般来说驱动装置）的情况下行驶到车间。
21.在具有多个通信信道的通信控制设备中，例如得到如下可能性：只切断有故障的通信信道（故障静默（fail silent）），而其它没有涉及到的通信信道可以继续发送。
22.另外，该控制设备优选地被设立用于运行如下单元中的至少一个、尤其是至少两个：内燃机、变速器、电机、蓄能设备、制动系统以及数据传输或通信装置、燃料电池、直流电压或dc/dc转换器、转向系统、驾驶员辅助系统和尿素计量系统。即，该控制设备因此例如可以是发动机控制设备、变速器控制设备、电池组控制设备、燃料电池控制设备、车载电网控制设备、转向控制设备或者用于尿素计量的控制设备。该控制设备例如同样可以同时用作这些控制设备中的两个。
23.本发明的主题还是一种用于运行具有多个故障切断接口的控制设备、尤其是按照本发明的控制设备的方法，借助于这些故障切断接口，在激活的情况下，能分别切断至少一个借助于该控制设备所要操控的组件。在这种情况下，在该控制设备上实施一个或多个不
同的应用，其中在需要时利用这些应用或这些应用之一来触发故障切断，其方式是调用被分配给应用的内部接口。在此，将该内部接口分配给这些故障切断接口中的一个故障切断接口，并且激活该内部接口（也就是说该故障切断接口）。适宜地，也将在一个或多个硬件故障源中或一个或多个硬件故障源方面的故障分配给这些故障切断接口中的一个故障切断接口，并且接着激活该故障切断接口。
24.如果这种应用在两个不同的控制设备上被实施，则经由该内部接口可以给该应用分配两个不同的故障切断接口，即虽然在各一个控制设备中分别有一个故障切断接口，但是这两个不同的故障切断接口并不对应，即例如具有不同的具体规格。
25.按照本发明的控制设备、例如（机动）车辆的控制设备尤其以程序技术方式被设立为执行按照本发明的方法。
26.尤其是当进行实施的控制设备还被用于其它任务并且因而总归存在时，按照本发明的方法的以具有用于执行所有方法步骤的程序代码的计算机程序或计算机程序产品的形式的实现方案也是有利的，因为这引起了特别低的成本。尤其是，适合于提供该计算机程序的数据载体是磁存储器、光存储器和电存储器，诸如硬盘、闪速存储器、eeprom、dvd以及其它等等。通过计算机网络（互联网、内联网等等）来下载程序也是可行的。
27.本发明的其它优点和设计方案从描述以及随附的附图中得到。
28.本发明依据实施例在附图中示意性地示出并且在下文参考附图予以描述。
附图说明
29.图1在一个优选的实施方式中示意性示出了具有按照本发明的控制设备的车辆。
30.图2在另一优选的实施方式中示意性示出了按照本发明的控制设备。
31.图3以详细的、但示意性的视图示出了图2中的控制设备。
32.图4在不同的优选的实施方式中示意性示出了两个按照本发明的控制设备。
具体实施方式
33.在图1中，在一个优选的实施方式中示意性示出了具有按照本发明的控制设备120的车辆100。控制设备120示例性地用于运行或操控作为车辆100中的驱动单元的内燃机110以及电机115。但是，这仅仅示例性地是这种控制设备的一种可能的设计和应用，用于解说目的。
34.在图2中，在另一优选的实施方式中示意性示出了按照本发明的控制设备120，依据该控制设备，不仅关于硬件而且关于软件的构造都应该进一步被阐述，在运行时的过程同样如此。
35.控制设备120可以是在图1中示出的控制设备，其中这里示例性地在控制设备120上实施四个应用p0、p1、p2和p3，给这些应用分别分配四个故障切断接口或故障引脚ep0、ep1、ep2和ep3之一。例如通过运行时环境（runtime environment，rte）121来触发故障，该运行时环境用作软件组件与所谓的基础软件（basic software，bsw）122之间的接口。但是，这种用于触发的接口也可以以其它方式来实现。
36.通过模块125中的一个或多个配置表来进行该分配。示例性地，在控制设备120中有用于操控或运行如下单元的输出级110'、111'、112'和113'，所述单元是内燃机110、制动
系统111、蓄能设备或电池组112以及用于充电桩113和外部单元114（所谓的云或其它服务器）的通信装置。
37.通过以软件来构造的配置表130，使应用p0、p1、p2和p3到它们的物理故障切断接口的分配抽象化。这样，例如给应用p3分配故障切断接口ep0。在故障情况下，只切断与它们的故障切断接口ep0耦合的输出级和通信（这里是发动机输出级110'）。
38.附加地，通过以硬件来构造（并且要通过软件来加载的）配置表150，给每个故障切断接口分配不同的硬件故障源hw0、hw1、hw2和hw3。在这种硬件故障源中的故障或硬件故障例如只须导致故障切断接口ep0的切断（这里假设故障仅位于应用p3的控制路径中，例如在应用p3的存储器中的ecc故障）。
39.同样可以规定附加的安全相关的故障切断接口或安全关键的引脚sp0、sp1、sp2和sp3，这些附加的安全相关的故障切断接口或安全关键的引脚可以通过以硬件来构造（并且要通过软件来加载）的配置表140来对所分配的故障切断接口的切断做出反应并且同样进行切断。
40.由此，硬件故障直接影响被分配给该硬件故障的故障切断接口以及该硬件故障的所分配的安全关键的引脚。在（包含故障处理sw的）模块125的有效路径pm中有硬件故障的情况下，由于不再保证实施，所以相对应的故障激活所有故障切断接口（包括所有安全关键的引脚在内）。
41.在图3中以详细的、但示意性的视图示出了图2中的控制设备。以应用p0为例，这里示出了从应用的软件部分出发对故障切断接口的激活的请求。
42.对相应的请求的管理在缓冲区（puffer）中或在缓冲存储器126中进行，其中每个故障切断接口都分派有具有特定数目的可能录入项的缓冲区（通过16个矩形来呈现）。现在，应用p0通过内部或通用接口122以明确的标志idx（该标志只在应用之内有效）来请求该应用的故障切断接口或对该故障切断接口的激活。
43.该接口在控制设备上的软件中通用，也就是说如果标志idx在另一应用中同样被授予，则调用对于该另一应用来说完全相同。模块125收到该调用并且确定该调用来自哪个分区。这例如可以通过应用p0在其上运行的内核号或者通过操作系统中的任务号来实现。
44.紧接着，模块125可以通过配置表来确定所属的故障切断接口。这也可能是多个故障切断接口，或者当应用在一种情形下不承担安全负载时，也可能完全没有故障切断接口。
45.在激活请求的情况下，当该调用尚未被录入时，模块125将标志idx和进行调用的应用录入到所确定的故障切断接口的缓冲区中。在停用请求的情况下，将缓冲区中的录入项删除。一旦缓冲区包含录入项，就激活所属的故障切断接口。如果缓冲区不再包含录入项，则一旦被分配给所属的故障切断接口的硬件故障不再活跃，就将该故障切断接口停用。
46.对各个硬件故障的状态的确定可以在模块125中被读取。对相应的故障切断接口的激活和停用通过该模块来进行，其中为此通过软件来对单独的硬件源进行响应（ansprechen）。
47.如果例如硬件具有有限资源，则可以通过软件来模拟附加的故障切断接口。为此，当识别出了故障时，该模块（故障引脚处理器sw）接管对微控制器的任意引脚的切断。对于硬件故障来说，这例如可以通过对模块的相应状态的轮询来实现，或者也可以从该模块出发以受中断控制的方式来实现。在从应用或软件出发的请求（在sw中模拟的故障引脚的请
求）的情况下，处理等效于上文的描述，在该处理中，也给在sw中模拟的故障切断接口分派相对应的缓冲区。
48.在故障引脚处理器sw的有效路径中的故障自动导致包括以软件来模拟的故障切断接口在此的所有故障切断接口的切断，因为为此针对该模块或故障引脚处理sw使用中央故障切断接口，该中央故障切断接口导致所有安全关键的引脚的切断。
49.在图4中，在不同的优选的实施方式中示意性示出了两个按照本发明的控制设备120'和120''。控制设备120'和120''的基本构造或基本功能对应于按照图2的控制设备120的基本构造或基本功能，使得也参阅在那里的描述。
50.示例性地，控制设备120'只具有应用p0、p2和p3以及故障切断接口ep0、ep1和ep2。通过包括参考图2所阐述的配置表（130、140和150）的配置层，将该实现抽象到在应用与硬件之间的所属的故障切断接口上。同样可设想的是如下情形，在所述情形中，出于硬件技术原因（例如解耦合），当硬件资源有限或不需要高可用性时，应用需要多个故障切断接口或者该应用在其它控制设备中访问另一应用的同一故障切断接口。
51.这导致：软件中的应用只须调用通用或内部接口来激活和/或停用故障切断接口，由此在不适配到不同控制设备的情况下实现更快的开发是可能的。这样，即使这里实施另一应用p1并且在控制设备120''中的硬件电路设计得不一样，例如在控制设备120'中的应用p0也可以简单地被挪到控制设备120''上。这样，应用p0在控制设备120'中分配有故障切断接口ep1，而在控制设备120''中分配有故障切断接口ep2。（故障切断接口ep1在控制设备120''中不连接）。
52.总体而言，以这种方式可以提供一种控制设备，在该控制设备上可以运行不同的应用，但是在故障情况下可以单独切断这些应用以及通过这些应用来被操控或运行的不同组件。
53.在进一步参考图4的情况下，也优选如下实施方式，在所述实施方式中，应用、这里例如是p0分布到多个控制设备上。从这个意义上说，应用在一个控制设备上也只包括一个应用部分。