特許 5715257 少なくとも２つのマイクロコントローラを監視する方法

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】5715257

(24)【登録日】2015年3月20日

(45)【発行日】2015年5月7日

(54)【発明の名称】少なくとも２つのマイクロコントローラを監視する方法

(51)【国際特許分類】

   G06F 11/30 20060101AFI20150416BHJP

【ＦＩ】

   G06F11/30 310B

   G06F11/30 G

【請求項の数】9

【全頁数】8

(21)【出願番号】特願2013-528602(P2013-528602)

(86)(22)【出願日】2011年9月8日

(65)【公表番号】特表2013-541089(P2013-541089A)

(43)【公表日】2013年11月7日

(86)【国際出願番号】EP2011065515

(87)【国際公開番号】WO2012038260

(87)【国際公開日】20120329

【審査請求日】2013年3月19日

(31)【優先権主張番号】102010041003.9

(32)【優先日】2010年9月20日

(33)【優先権主張国】DE

【前置審査】

(73)【特許権者】

【識別番号】501125231

【氏名又は名称】ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング

(73)【特許権者】

【識別番号】590002817

【氏名又は名称】三星エスディアイ株式会社

【氏名又は名称原語表記】Ｓａｍｓｕｎｇ ＳＤＩ Ｃｏ．，Ｌｔｄ．

(74)【代理人】

【識別番号】110000981

【氏名又は名称】アイ・ピー・ディー国際特許業務法人

(72)【発明者】

【氏名】ビシト、サンディープ

(72)【発明者】

【氏名】ヴェーバー、ヨッヘン

(72)【発明者】

【氏名】ハイル、アンドレアス

【審査官】 多賀 実

(56)【参考文献】

【文献】 米国特許出願公開第２００５／０２６８１７８（ＵＳ，Ａ１）

【文献】 特開２０１０−２００５５２（ＪＰ，Ａ）

【文献】 特開２００３−１３１７３４（ＪＰ，Ａ）

【文献】 特開２００４−２５９１３７（ＪＰ，Ａ）

【文献】 特開２００１−３５０７３５（ＪＰ，Ａ）

【文献】 特開２００９−２９８３０８（ＪＰ，Ａ）

【文献】 特表２００４−５１４２１５（ＪＰ，Ａ）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ １１／３０

Ｂ６０Ｌ ３／００

(57)【特許請求の範囲】

【請求項1】

ウォッチドック（１０）を用いて少なくとも２つのマイクロコントローラ（１２、２０）を監視する方法であって、前記ウォッチドック（１０）は、第１のマイクロコントローラ（１２）に割り当てられ、所定期間の時間間隔内での前記第１のマイクロコントローラ（１２）のメッセージの通知を監視する（２２４）、前記方法において、
前記第１のマイクロコントローラ（１２）により前記ウォッチドック（１０）に通知された前記メッセージは、前記第１のマイクロコントローラ（１２）と、前記第１のマイクロコントローラ（１２）と接続された第２のマイクロコントローラ（２０）と、の間の通信（２０２、２１６）の結果として形成される（２２４）提供を含み、前記提供に基づいて、前記ウォッチドックは、前記第２のマイクロコントローラ（２０）が正しく動作しているかを検査し、
前記第１のマイクロコントローラ（１２）の前記メッセージは、以前に前記ウォッチドック（１０）により前記第１のマイクロコントローラ（１２）に通知された（２００）、前記所定期間の時間間隔の開始となる時点についての質問に対する回答であって、前記第１のマイクロコントローラ（１２）により形成される（２０４）第１の提供と、前記第２のマイクロコントローラ（２０）により形成されて（２１２）前記第１のマイクロコントローラ（１２）に通知される（２１４）第２の提供と、を含む回答を含み、
前記第２の提供は、１個のデジタルワードで構成され、前記デジタルワードのビット数は、前記第２のマイクロコントローラ（２０）の検査されるソフトウェアモジュールの数以上であり、前記デジタルワードの個々のビットは、前記第２のマイクロコントローラ（２０）の個々のソフトウェアモジュールが正しく動いているかを表し、
前記ウォッチドック（１０）は、前記質問及び回答が前記時間間隔内に交換されたか否かを判定する、方法。

【請求項2】

前記質問は、前記第２のマイクロコントローラ（２０）により前記回答の前記第２の提供が形成される（２１２）前に、前記第１のマイクロコントローラ（１２）によって前記第２のマイクロコントローラ（２０）に通知される、請求項１に記載の方法。

【請求項3】

前記第１のマイクロコントローラ（１２）により形成される（２０４）前記回答の前記第１の提供は、前記第１のマイクロコントローラ（１２）のシステム構成部品の検査から得られる構成部品固有の要素、及び／又は、前記第１のマイクロコントローラ（１２）の複数のソフトウェアモジュールの検査から得られる機能固有の要素を含む、請求項１又は２に記載の方法。

【請求項4】

前記第１のマイクロコントローラ（１２）のシステム構成部品は、前記第１のマイクロコントローラ（１２）の主プロセッサのロジック部である、請求項３に記載の方法。

【請求項5】

前記ウォッチドック（１０）は、前記第１のマイクロコントローラ（１２）又は前記第２のマイクロコントローラ（２０）の少なくとも１つのエラーが検出された際には、エラーカウンタを増分し、又は、前記エラーカウンタが所定の値に達した場合には、安全性に関わる工程ステップを開始する、請求項１〜４のいずれか１項に記載の方法。

【請求項6】

第１のマイクロコントローラ（１２）と、前記第１のマイクロコントローラ（１２）に割り当てられたウォッチドック（１０）と、前記第１のマイクロコントローラ（１２）と接続された少なくとも１つの第２のマイクロコントローラ（２０）と、を備える回路構成において、前記回路構成は、請求項１〜５のいずれか１項に記載の方法を実施するよう構成される、回路構成。

【請求項7】

請求項６に記載の回路構成を有するバッテリ管理ユニットを備えたバッテリ（１００）。

【請求項8】

請求項７に記載のバッテリ（１００）を備えた車両。

【請求項9】

前記車両は電気自動車である、請求項８に記載の車両。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、ウォッチドックを用いて少なくとも２つのマイクロコントローラを監視する方法、本発明に係る方法を実施するよう構成された回路構成、並びに、本発明に係る回路構成を備えるバッテリ及び車両に関する。

【背景技術】

【0002】

従来技術では、ウォッチドックを用いてマイクロコントローラを監視する方法であって、マイクロコントローラの安全性に関わるプログラム部分のプログラムシーケンスを論理的及び時間的に監視するために、独立したタイムベースと固定のタイムスロットとを有する外部のハードウェア・ウォッチドックが使用される上記方法が公知である。このようなウォッチドックは、例えば、所謂３レベル構想が適用されるエンジン制御装置の監視の枠組みにおいて使用される。その際に、第１のレベルは、エンジンを制御するためのソフトウェアを含み、第２のレベルは、エンジン制御を監視するためのソフトウェアを含み、最後に第３のレベルは、最初の２つのレベルで利用されるハードウェアを監視するためのソフトウェアを含む。その際に、ハードウェア・ウォッチドックは、第１又は第２のレベルで使用されるマイクロコントローラを監視するために、第３のレベルで使用される。

【0003】

ウォッチドックを用いたマイクロコントローラの監視は、簡単な構成では、ウォッチドックが、所定期間の時間間隔内でのリセットパルスの到着を監視し、リセットパルスが到着していない場合にはマイクロコントローラのリセットを促すことにある。更に発展させた構成では、ウォッチドックは、マイクロコントローラにテスト質問を伝達し、当該質問に対する回答の正当性及び時点を検査することが可能である。

【0004】

マイクロコントローラを監視するためのこのような方法は、以下の手続きを有する。即ち、ウォッチドックは、マイクロコントローラにランダムに、複数の質問のうちの１つの質問をする。マイクロコントローラは、２つの回答寄与を組み合わせることで、上記質問に対する回答を形成する。第１の回答の寄与は、マイクロコントローラのロジック部の検査から得られる。第２の回答の寄与は、好適には、各モジュールの呼び出しの正しい順序及び各モジュールの所定数の呼び出しのような追加的な条件の下での、所定数のソフトウェアモジュールの機能固有の検査から得られる。２つの回答寄与は組み合わされて、所定のタイムスロット内でウォッチドックへと伝達される。ウォッチドックは、正しい内容であるか、又は、時間に正しい到着したかについて回答を検査し、エラーが検出された場合にはエラーカウンタを増分し、又は、エラーが確認されない場合には、エラーカウンタをリセットする。その後、ウォッチドックによる検査工程は、新しい質問を設定することによって続行される。

【発明の概要】

【発明が解決しようとする課題】

【0005】

ウォッチドックのエラーカウンタが所定の閾値を超えた場合には、ウォッチドックは、例えば、停止経路を介してマイクロコントローラにより制御されるシステムの最終段を停止するということであってもよい安全性に関わる工程ステップを開始するため、稼働がもはや可能ではない。

【0006】

ハードウェアで使用されるウォッチドックは、通常では非常に簡単に構成されており、１つのマイクロコントロ―ラとだけの通信を可能とし、従って従来技術によれば、複数のマイクロコントローラの監視は、同数のウォッチドックの利用によってのみ可能である。

【課題を解決するための手段】

【0007】

本発明によれば、ウォッチドックを用いて少なくとも２つのマイクロコントローラを監視する方法が提供される。ウォッチドックは、第１のマイクロコントローラに割り当てられ、所定期間の時間間隔での第１のマイクロコントローラのメッセージの通知を監視する。第１の構成要素が第２の構成要素にメッセージ、特に質問又は回答を通知する場合に、このことは本発明の範囲において、第１の構成要素が、第２の構成要素に、例えばバスシステム上でメッセージを送信することを意味し、又は、第１の構成要素が例えばレジスタへの格納によりメッセージを提供して、第２の構成要素がこのメッセージについて問い合わせをするということを意味しうる。通常では、ウォッチドックには、マイクロコントローラのクロック信号とは異なるクロック信号が供給され、従って、ウォッチドックは、メッセージが正しい時間に到着したかを検査することが可能である。第１のマイクロコントローラによりウォッチドックに通知されたメッセージが、第１のマイクロコントローラと、当該第１のマイクロコントローラと接続された第２のマイクロコントローラと、の間の通信の結果として形成される寄与を含むことが構想される。この寄与に基づいて、ウォッチドックは、第１のマイクロコントローラが正しく動作しているかに加えて、第２のマイクロコントローラが正しく動作しているかを検査する。

【0008】

本発明に基づき構想された拡大された監視構想によって、２つのマイクロコントローラを、１つのウォッチドックによって監視することが可能である。従って、第２のマイクロコントローラのための追加的なウォッチドックや、第２のマイクロコントローラに割り当てられる停止経路を削減することが可能である。しかしながら、本発明は、２つのマイクロコントローラの監視には限定されない。むしろ、複数のマイクロコントローラを一緒に、１つのウォッチドックによって監視することも可能である。特に、第２のマイクロコントローラは、第１のマイクロコントローラと直接的に接続される必要がない。むしろ、第２のマイクロコントローラは間接的に、例えば第３のマイクロコントローラを介して、第１のマイクロコントローラと接続されるということで十分である。このような構成では、第３のマイクロコントローラは、第１のマイクロコントローラと第２のマイクロコントローラとの間で交換されるメッセージの伝送ユニットとして機能することが可能であり、本発明に基づいて、第２のマイクロコントローラ、及び、第３のマイクロコントローラは、ウォッチドックによって監視されうる。

【0009】

第１のマイクロコントローラのメッセージは、以前にウォッチドックにより第１のマイクロコントローラに通知された質問を含みうる。典型的に、ウォッチドックは、第１のマイクロコントローラに、所定期間の時間間隔の開始となる時点についての質問を通知する。従って、ウォッチドックは、質問及び回答が上記時間間隔内に交換される場合にのみ、２つのマイクロコントローラが正しく動作していることを確認する。

【0010】

好適に、回答は、第１のマイクロコントローラにより形成される第１の寄与と、第２のマイクロコントローラにより形成されて第１のコントローラに通知される第２の寄与と、を含む。その際に質問は、第２のマイクロコントローラにより回答の第２の寄与が形成される前に、第１のマイクロコントローラによって第２のマイクロコントローラに通知される。典型的に、この通知は、所定の時間間隔内でも行われる。

【0011】

さらに好適に、第１のマイクロコントローラにより形成される回答の第１の寄与は、第１のマイクロコントローラのシステム構成部品、特に、第１のマイクロコントローラの主プロセッサのロジック部の検査から得られる構成部品固有の要素、及び／又は、第１のマイクロコントローラの複数のソフトウェアモジュールの検査から得られる機能固有の要素を含む。

【0012】

第２のマイクロコントローラにより形成される回答の第２の寄与については、第２のマイクロコントローラの監視に対してどのくらい高い要求が出されているかに従って、様々なバリエーションを設けることが可能である。

【0013】

第２のマイクロコントローラの監視に対する高い要求が出される場合には、回答の第１の寄与の場合に構想されたように、回答の第２の寄与も、第２のマイクロコントローラのシステム構成部品、特に、第１のマイクロコントローラの主プロセッサのロジック部の検査から得られる構成部品固有の要素、及び／又は、機能固有の要素を含みうる。

【0014】

要求がより小さい場合には、回答の第２の寄与は、１個のデジタルワードで構成され、デジタルワードの個々のビットは、第２のマイクロコントローラの個々のソフトウェアモジュールが正しく動作しているかを表しうる。代替的に、回答の第２の寄与は、特に第２のマイクロコントローラに格納されたテーブルの読出しにより形成される質問固有の要素により補完されてもよい。

【0015】

ウォッチドックは、第１のマイクロコントローラ又は第２のコントローラの少なくとも１つのエラーが検出された際には、エラーカウンタを増分し、又は、エラーカウンタが所定の値に達した場合には、安全性に関わる工程ステップを開始し、例えば、マイクロコントローラにより制御されるシステムの最終段の停止を促す。

【0016】

本発明の更なる別の観点は、第１のマイクロコントローラと、第１のマイクロコントローラに割り当てられたウォッチドックと、第１のマイクロコントローラと接続された少なくとも１つの第２のマイクロコントローラと、を備える回路構成に関する。回路構成は、本発明に係る方法を実施するよう構成される。

【0017】

本発明の更なる別の観点は、本発明に係る回路構成を備えるバッテリ管理ユニットを有するバッテリ、好適にリチウムイオンバッテリと、本発明に係るバッテリを備えた車両と、を含む。車両は、バッテリが車両の駆動システムに接続された電気自動車であってもよい。

【図面の簡単な説明】

【0018】

本発明の実施例が、図面と以下の明細書の記載によってより詳細に解説される。

【図1】本発明の一実施形態に係る回路構成を備えたバッテリを示す。

【図2】本発明の一実施形態に係る２つのマイクロコントローラを監視する方法のフロー図を示す。

【発明を実施するための形態】

【0019】

図１は、全体として符号１００が付されたバッテリ、好適に、本発明の一実施形態に係る回路構成を備えるリチウムイオンバッテリを示す。ハードウェア・ウォッチドック１０は、第１のマイクロコントローラ１２に割り当てられ、この第１のマイクロコントローラ１２とはバス１４を介して接続され、その際に、バス１４を介してメッセージが両方向に交換され、特に、ウォッチドック１０の質問と、これに対応する第１のマイクロコントローラ１２の回答と、が交換される。ウォッチドック１０と、第１のマイクロコントローラ１２は停止経路１６、１８を有し、安全性に関わる状況が確認された場合には、この停止経路１６、１８を介して、バッテリ１００の図示されない高電圧接触器が解放されうる。

【0020】

第１のマイクロコントローラ１２は、バス２２を介して第２のマイクロコントローラ２０と接続され、このバス２２を介して、同様にメッセージが両方向に交換され、特に、第１のマイクロコントローラ１２によって転送されたウォッチドック１０の質問と、これに対応する第２のマイクロコントローラ２０の回答と、が交換される。

【0021】

第２のマイクロコントローラ２０が第１のマイクロコントローラ１２を介してウォッチドック１０の質問を受信し、これに対応する回答を同じ経路で送り返すことによって、ウォッチドック１０は、第２のマイクロコントローラ２０が正しく動作しているかを検査し、エラーを確認した際には、停止経路１６を介してバッテリの高電圧接触器を解放することが可能である。従って、第２のマイクロコントローラ２０が直接的なアクセス権を有する別の停止経路を設ける必要がない。

【0022】

図２は、本発明に係る方法のフロー図を示す。工程ステップ２００で、ウォッチドック１０の質問が、第１のマイクロコントローラ１２によって問い合わせされる。工程ステップ２０２で、ウォッチドック１０の質問が第１のマイクロコントローラ１２によって、第２のマイクロコントローラ２０への質問の送信により、又は、第２のマイクロコントロ―ラ２０への問い合わせのための提供により、第２のマイクロコントローラ２０に通知される。工程ステップ２０４で、回答の第１の寄与が、第１のマイクロコントローラ１２内で形成される。工程ステップ２０６で、第２のマイクロコントローラ２０は、例えば、第１のマイクロコントローラ１２のデータの受信によって、又は、第２のマイクロコントローラ２０側の問い合わせによって、タイムオフセットが最も小さい質問を獲得する。工程ステップ２０８で第２のマイクロコントローラ２０によって、例えば、区別がつかなければならない格納された以前の質問との比較によって、又は、第１のマイクロコントローラ１２が質問と共に送信する状態ビットの評価によって、質問が最新のものであるかが検査される。第２のマイクロコントローラ２０が、自身に通知された質問が最新のものではないことを確認した場合には、工程ステップ２１０で、エラーカウンタが増分され、又は、所定の箇所を超えた際にはエラー応答が開始される。質問が最新のものであることを確認した場合には、第２のマイクロコントロ―ラ２０は、工程ステップ２１２で、ウォッチドック１０に伝達される回答の第２の寄与を形成することを開始する。

【0023】

工程ステップ２１４で、第２のマイクロコントロ―ラ２０は、ウォッチドック１０に伝達される回答の第２の寄与を計算し、第１のマイクロコントローラ１２へのデータの送信によって、又は、第１のマイクロコントローラ１２による問い合わせのための提供によって第１のマイクロコントローラ１２に通知する。工程ステップ２１６で、第１のマイクロコントローラ１２は、回答の第２の寄与を受け取り、工程ステップ２１８で、例えば、区別が付かなければならない先行する格納された回答寄与との比較によって、又は、第１のマイクロコントローラ１２が質問と共に送信する状態ビットの評価によって、回答の寄与が最新のものであるかを確認する。評価が否定的な結果になった場合には、工程ステップ２２０で、エラーカウンタが増分され、又は、閾値を超えた場合には、エラー応答が開始される。同時に、第１のマイクロコントロ―ラ１２は、工程ステップ２０４で、ウォッチドック１０に送信される回答の第１の寄与を計算する。工程ステップ２２２で、第１のマイクロコントローラは、回答の第１の寄与と第２の寄与とを結合して１つの回答とし、このまとめられた回答をメッセージとして、適切なタイムスロットでウォッチドック１０へと送る（工程ステップ２２４）。

【0024】

マイクロコントローラが２つ以上の場合に本発明に係る方法を利用する際には、第１のマイクロコントローラ１２は、複数の回答寄与を受信し、ウォッチドック１０宛ての１つの回答へと結合する。その際に、様々な回答寄与をまとめることは必ずしも第１のマイクロコントローラ１２で行われる必要はなく、様々なマイクロコントローラ内で交互に行われてもよい。

【0025】

詳細に記載されない実施例において、第２のマイクロコントローラ２０により形成される回答の第２の寄与は、１個のデジタルワードのみで構成されてもよい。このことは特に、第２のマイクロコントローラ２０に対する安全要求が比較的小さく、第２のマイクロコントローラ２０の所定数のソフトウェアモジュールを簡単に検査するだけで十分な場合には有利である。その場合に、デジタルワードのビット数は、第２のマイクロコントローラ２０の検査されるソフトウェアモジュールの数より大きく又は当該数と等しい必要がある。デジタルワードのビットは、質問−回答サイクルにより定義される時間間隔の開始に際して、例えばウォッチドックにより新しい質問が通知された際に、論理的０に設定される。これに応じて、検査される複数のソフトウェアモジュールは所定の順序で呼び出され、対応するソフトウェアモジュールの実行が成功した場合には、デジタルワードの対応するビットが論理的１に設定される。デジタルワードの追加的なビットは、残りの個々のビットの設定がそれ無しでは許可されない新しい質問の存在を表してもよい。

【0026】

詳細には示されない更なる別の実施例において、第２のマイクロコントローラ２０により形成される回答の第２の寄与は、上記のデジタルワードの他に、特に第２のマイクロコントローラ２０内に格納されたテーブルの読出しにより形成される質問固有の要素を含む。

【0027】

詳細には示されない更なる別の実施例において、デジタル検査ワードのビットの値が、当該ビットに割り当てられたソフトウェアモジュールの検査の際にエラーが確認された場合には、変更される。これにより、第２のマイクロコントローラ２０が、自身に通知された質問を正しく理解して、所定の時間間隔内に少なくとも１回、検査すべき全てのソフトウェアモジュールを実行したことが保証される。

【図1】

【図2】