DE102013113404B4 - Controller unit for operating at least one power factor - Google Patents

Abstract

Controllereinheit (1) zum Betreiben zumindest eines Leistungsaktors (2), umfassend nur zwei unabhängig voneinander betriebene Rechenkerne (CO, C1), und nur einer Diagnoseeinrichtung (D1) zum gesteuerten Feststellen eines fehlerhaften Betriebszustands zumindest eines der Rechenkerne (CO, C1), dadurch gekennzeichnet, dass zumindest eine Test- und/oder Steuerfunktion (F) auf beiden Rechenkernen (CO, C1) zu jeweils einer den Rechenkernen (CO, C1) eindeutig zugeordneten Ergebnisfunktionen (F1(CO), F1(C1)) berechnet werden, wobei die Ergebnisfunktion F1(CO) des Rechenkerns (CO) sowohl an eine Schalteinheit (S1), zum Umschalten zwischen den beiden Ergebnisfunktionen (F1(CO), F1(C1)), als auch an den anderen Rechenkern (C1) ausgegeben wird, und der andere Rechenkern (C1) beide Ergebnisfunktionen (F1(CO), F1(C1)) gemäß zumindest einer Prüffunktion über eine Steuerung der Diagnoseeinrichtung (D1), miteinander vergleicht, wobei der andere Rechenkern (C1) die Diagnoseeinrichtung (D1) umfasst, und wobei im Falle einer Abweichung der beiden Ergebnisfunktionen (F1(CO), F1(C1)) voneinander ein Fehlerbetrieb erkannt wird und nur diejenige Ergebnisfunktion (F1(CO), F1(C1)), des von der Diagnoseeinrichtung (D1) und/oder dem anderen Rechenkern (C1), als funktionsfähig festgestellten Rechenkerns (CO, C1) an die Schalteinheit (S1) und von dieser an den Leistungsaktor (2) weitergeleitet wird.Controller unit (1) for operating at least one power actuator (2), comprising only two independently operated computing cores (CO, C1), and only one diagnostic device (D1) for the controlled detection of a faulty operating state of at least one of the computing cores (CO, C1) in that at least one test and / or control function (F) is calculated on both calculation cores (CO, C1) in each case one of the calculation cores (CO, C1) uniquely assigned result functions (F1 (CO), F1 (C1)) the result function F1 (CO) of the calculation kernel (CO) is output both to a switching unit (S1), to switch over between the two result functions (F1 (CO), F1 (C1)), and to the other calculation kernel (C1), and the other arithmetic core (C1) compares both result functions (F1 (CO), F1 (C1)) according to at least one test function via a control of the diagnostic device (D1), the other arithmetic core (C1) comprising the diagnosis device (D1), and wherein in the case of a deviation of the two result functions (F1 (CO), F1 (C1)) from each other an error operation is detected and only that result function (F1 (CO), F1 (C1)), of the diagnostic device (D1) and / or the other arithmetic core (C1), as functionally determined computing core (CO, C1) is forwarded to the switching unit (S1) and from this to the power actuator (2).

Description

Die vorliegende Erfindung betrifft eine Controllereinheit zum Betreiben zumindest eines Leistungsaktors, umfassend zumindest zwei unabhängig voneinander betriebene Rechenkerne, und zumindest einer Diagnoseeinrichtung zum gesteuerten Feststellen eines fehlerhaftere Betriebszustandes zumindest eines der Rechenkerne sowie ein dazugehöriges Verfahren zum Betreiben zumindest eines Leistungsaktors gemäß dem jeweiligen Oberbegriffen der Patentansprüche 1 und 8.The present invention relates to a controller unit for operating at least one power actuator, comprising at least two independently operated computing cores, and at least one diagnostic device for controlled detection of a faulty operating state of at least one of the computing cores and an associated method for operating at least one power actuator according to the respective preambles of the claims and 8.

Derartige Controllereinheiten zum Betreiben zumindest eines Leistungsaktors sind bereits aus dem Stand der Technik wohl bekannt. Insbesondere sind nämlich solche Controllereinheiten bekannt, bei denen im Falle eines Fehlerfalls innerhalb der Controllereinheit, d. h. insbesondere eines fehlerhaften Betreibens der Rechenkerne, eine Fortsetzung des Steuerbetriebs durch die Controllereinheit nicht mehr möglich ist. Derartige „fail safe” Systeme werden im Fehlerfall in einen sicheren Zustand versetzt.Such controller units for operating at least one power actuator are already well known in the art. In particular, such controller units are known in which in case of an error within the controller unit, d. H. in particular erroneous operation of the cores, a continuation of the control operation by the controller unit is no longer possible. Such "fail-safe" systems are set to a safe state in the event of a fault.

Insofern ist eine Fortführung eines beispielsweise normalen Regelbetriebs im Fehlerfall mit derartigen aus dem Stand der Technik bekannten Controllereinheiten zumindest erschwert oder gar nicht mehr möglich.In this respect, a continuation of, for example, normal control operation in the event of a fault with such known from the prior art controller units is at least difficult or even impossible.

Andererseits sind jedoch aus dem Stand der Technik auch solche Controllereinheiten zum Betreiben zumindest eines Leistungsaktors bekannt, in dem zwar ein derartiger Betrieb von Leistungsaktoren auch im Falle eines fehlerhaften Betriebs möglich ist, jedoch diese Ausgestaltung im Stand der Technik ganz besonders kostenintensiv und umfangreich ist. Insbesondere wird nämlich für ein derartiges „fail-operation” System zusätzlicher Hardwareaufwand benötigt, welches sich insbesondere durch die Integration von weiteren Rechenkernen und/oder weiteren Controllereinheiten oder aber auch von „Votern” niederschlägt.On the other hand, however, such controller units for operating at least one power actuator are known from the prior art, in which such operation of power actuators is possible even in the case of faulty operation, but this embodiment in the prior art is very cost-intensive and extensive. In particular, additional hardware expenditure is required for such a "fail-operation" system, which is reflected in particular by the integration of further processor cores and / or further controller units or else by "voters".

In dem Dokument NELSON. V. P.: Fault-tolerant computing: fundamental concepts. Computer, Vol. 23, No. 7, 1990, S 19–25) werden beispielsweise fundamentale Konzepte fehlertoleranter Rechnersysteme beschrieben. Es werden unter Anderem „fail-safe” Systeme mit einem Master- und einem Checkermodul beschrieben. Bei derartigen sogenannten Lockstep-Systemen wird eine Funktion von einem Mastermodul berechnet und ausgegeben. Das Checkermodul berechnet die gleiche Funktion parallel. Durch einen Vergleich der beiden Funktionen wird ein fehlerfreier Betrieb des Systems sichergestellt. Dabei können die beiden Ergebnisse von einer externen Vergleichslogik oder direkt durch das Checkermodul ausgewertet werden. Stimmen die beiden Funktionen nicht überein, wird eine Fehlermeldung ausgegeben. Diese Ausgabe erfolgt jedoch einzig durch das Mastermodul. Im Fehlerfall wird das System dann lediglich in einen sicheren Zustand versetzt. Weiterhin werden „fail-operational” Systeme beschrieben. In einer ersten Ausführungsform wird eines der erwähnten „fail-safe” Systeme dupliziert. Dabei werden die Datenausgänge der beiden Systeme über eine Schalteinheit mit dem Ausgang verbunden. Die Fehlerleitungen werden ebenso mit der Schalteinheit verbunden. Im Fehlerfall eines ersten Systems können somit die Daten des parallelen Systems ausgegeben werden. Alternativ sind zwei „self-checking” Module, mit jeweils einem Datenausgang und einer Fehlerleitung über eine Schalteinheit verbunden. Auch hier werden im Fehlerfall eines Moduls die Daten des parallelen Moduls ausgegeben.In the document NELSON. V. P .: Fault-tolerant computing: fundamental concepts. Computer, Vol. 7, 1990, pages 19-25), for example, fundamental concepts of fault-tolerant computer systems are described. Among other things, "fail-safe" systems with a master and a checker module are described. In such so-called lockstep systems, a function is calculated and output by a master module. The checker module calculates the same function in parallel. By comparing the two functions, error-free operation of the system is ensured. The two results can be evaluated by an external comparison logic or directly by the checker module. If the two functions do not match, an error message is output. However, this output is done solely by the master module. In the event of an error, the system is then merely put into a safe state. Furthermore, "fail-operational" systems are described. In a first embodiment, one of the mentioned "fail-safe" systems is duplicated. The data outputs of the two systems are connected to the output via a switching unit. The fault lines are also connected to the switching unit. In case of error of a first system, the data of the parallel system can thus be output. Alternatively, two "self-checking" modules are connected, each with a data output and a fault line via a switching unit. Again, in case of failure of a module, the data of the parallel module is output.

Insofern ist es eine Aufgabe der vorliegenden Erfindung eine Controllereinheit zum Betreiben von zumindest eines Leistungsaktors bereitzustellen, welche die oben genannten Probleme in besonders einfacher und kostengünstiger Art und Weise beseitigt und somit eine Controllereinheit bereitstellt, welche es in kostengünstiger Art und Weise ermöglicht auch im Falle eines Fehlers in einem der Rechenkerne der Controllereinheit immer noch einen regulären Betrieb der Controllereinheit gewährleisten zu können ohne die zusätzliche Integration eines zusätzlichen Hardwareaufwands.In this respect, it is an object of the present invention to provide a controller unit for operating at least one power actuator, which eliminates the above-mentioned problems in a particularly simple and cost-effective manner and thus provides a controller unit which allows it in a cost effective manner also in the case of Error in one of the cores of the controller unit still be able to ensure a regular operation of the controller unit without the additional integration of additional hardware.

Diese Aufgabe wird durch den Gegenstand des Patentanspruches 1 gelöst. Vorteilhafte Ausgestaltungen sind in den abhängigen Ansprüchen dargelegt.This object is solved by the subject matter of claim 1. Advantageous embodiments are set forth in the dependent claims.

Um nun eine Controllereinheit zum Betreiben zumindest eines Leistungsaktors anzugeben, welche in besonders kostengünstiger und einfacher Art und Weise auch bei einem Feststellen eines Fehlerfalls trotzdem beispielsweise in einem normalen Modus betreibbar ist, macht die vorliegenden Erfindung unter anderem von der Idee gebrauch, dass zumindest eine Test- und/oder Steuerfunktion auf beiden Rechenkernen zu jeweils einer den Rechenkernen eindeutig zugeordneten Ergebnisfunktion berechnet werden, wobei die Ergebnisfunktion eines Rechenkerns sowohl an eine Schalteinheit, zum Umschalten zwischen den beiden Ergebnisfunktionen, als auch an einen anderen Rechenkern ausgegeben wird, und der andere Rechenkern beide Ergebnisfunktionen gemäß zumindest einer Prüffunktion, über eine Steuerung der Diagnoseeinrichtung miteinander vergleicht, wobei der andere Rechenkern die Diagnoseeinrichtung umfasst. Erfindungswesentlich ist dabei, dass im Falle einer Abweichung der beiden Ergebnisfunktionen voneinander ein Fehlerbetrieb, durch die Diagnoseeinrichtung und/oder dem anderen Rechenkern, erkannt wird und nur diejenige Ergebnisfunktion, zur Steuerung des Leistungsaktors, des, von der Diagnoseeinrichtung und/oder dem anderen Rechenkern als funktionsfähig festgestellten Rechenkerns an die Schalteinheit und von dieser an den Leistungsaktor weitergeleitet wird.In order to specify a controller unit for operating at least one power factor, which can nevertheless be operated in a particularly cost-effective and simple manner, even when a fault is detected, for example, in a normal mode, the present invention makes use, inter alia, of the idea that at least one test - And / or control function on both arithmetic cores are calculated in each case one of the computation cores uniquely assigned result function, the result function of a computational core both to a switching unit to switch between the two result functions, as well as to another arithmetic core is output, and the other arithmetic both Result functions according to at least one test function, via a controller of the diagnostic device compares with each other, wherein the other processor core comprises the diagnostic device. It is essential to the invention that, in the event of a deviation of the two result functions from one another fault operation, by the diagnostic device and / or the other arithmetic core, and only that result function for controlling the power actuator, the, from the diagnostic device and / or the another arithmetic core is determined as functionally determined computing core to the switching unit and forwarded from this to the power actuator.

Insofern ist mittels der hier beschriebenen Controllereinheit eine solche Controllereinheit vorgeschlagen, welche es mittels der erfindungsgemäßen Implementierung der obig beschriebenen Diagnoseeinrichtung in besonders einfacher und kostengünstiger Art und Weise ermöglicht, dass jeweils nur diejenige Ergebnisfunktion an die Schalteinheit und damit auch an den Leistungsaktor weitergeleitet wird, welche von dem funktionierenden Rechenkern errechnet wird.In this respect, by means of the controller unit described here, such a controller unit is proposed which makes it possible in a particularly simple and cost-effective manner by means of the inventive implementation of the above-described diagnostic device that only that result function is forwarded to the switching unit and thus also to the power actuator is calculated by the functioning calculation kernel.

Insofern ist statt mittels einer aufwendigen zusätzlichen Implementierung von weiteren Microcontrollern, es vorteilhaft ermöglicht, dass stattdessen lediglich durch die Hinzunahme der hier beschriebenen Diagnoseeinrichtung trotz eines fehlerhaften Betriebs einer der beiden Rechenkerne über die Weiterleitung derjenigen Ergebnisfunktion des noch funktionierenden Rechenkerns eine Steuerung des Leistungsaktors aufrechterhalten werden kann, ohne dass die Controllereinheit lediglich nur in einem sicheren Betriebsmodus betrieben werden müsste.In this respect, instead of using a complicated additional implementation of further microcontrollers, it advantageously allows that instead of adding the described diagnostic device despite a faulty operation of one of the two cores on the forwarding of those result function of the still functioning computational control of the power actuator can be maintained without the controller unit only having to be operated in a safe operating mode.

Gemäß zumindest einer Ausführungsform umfasst die Controllereinheit zum Betreiben zumindest eines Leistungsaktors zumindest zwei unabhängig voneinander betriebene Rechenkerne, und zumindest eine Diagnoseeinrichtung zum gesteuerten Feststellen eines fehlerhaften Betriebszustands zumindest eines der Rechenkerne. Dabei wird zumindest eine Test- und/oder Steuerfunktion auf beiden Rechenkernen zu einer jeweils einer dem Rechenkern eindeutig zugeordneten Ergebnisfunktion berechnet, wobei die Ergebnisfunktion des (einen) Rechenkerns sowohl an eine Schalteinheit, zum Umschalten der beiden Ergebnisfunktionen, als auch an den anderen Rechenkern ausgegeben wird und der andere Rechenkern beide Ergebnisfunktionen gemäß zumindest einer Prüffunktion, insbesondere über eine Steuerung der Diagnoseeinrichtung miteinander vergleicht. Dabei wird im Falle einer Abweichung der beiden Ergebnisfunktionen voneinander ein Fehlerbetrieb erkannt, wobei nur diejenige Ergebnisfunktion, des vorzugsweise von der Diagnoseeinrichtung und/oder dem anderen Rechenkern als funktionsfähig festgestellten Rechenkerns, an die Schalteinheit und von dieser an den Leistungsaktor weitergeleitet wird. Wird keine Abweichung zwischen den beiden Ergebnisfunktionen durch den anderen Rechenkern festgestellt, gibt dieser das Ergebnis (Signal) an die Schalteinheit weiter.In accordance with at least one embodiment, the controller unit for operating at least one power actuator comprises at least two independently operated computing cores, and at least one diagnostic device for controlled detection of a faulty operating state of at least one of the computing cores. In this case, at least one test and / or control function is calculated on both arithmetic cores for a result function uniquely assigned to the arithmetic kernel, the result function of the (one) arithmetic kernel being output both to a switching unit for switching over the two result functions and to the other arithmetic kernel and the other arithmetic unit compares both result functions in accordance with at least one test function, in particular via a control of the diagnostic device. In the case of a deviation of the two result functions from each other, an error operation is detected, wherein only that result function, preferably by the diagnostic device and / or the other arithmetic core determined to be functional computing core, is forwarded to the switching unit and from this to the power actuator. If no deviation between the two result functions is detected by the other arithmetic kernel, it forwards the result (signal) to the switching unit.

Gemäß zumindest einer Ausführungsform leitet im Falle eins Feststellens eines fehlerhaften Betreibens des Rechenkerns, insbesondere durch die Diagnoseeinrichtung und/oder dem anderen Rechenkern, die Schalteinheit nur die Ergebnisfunktion des anderen Rechenkerns an den Leistungsaktor weiter.In accordance with at least one embodiment, in the case of determining an erroneous operation of the calculation kernel, in particular by the diagnostic device and / or the other calculation kernel, the switching unit forwards only the result function of the other calculation kernel to the power factor.

Insofern ist besonders vorteilhaft gewährleistet, dass die Schalteinheit nicht durch einen ungewollten Schaltungsfehlstand „aus Versehend” die fehlerhafte Ergebnisfunktion des Rechenkerns weiterleitet, sondern die Schalteinheit daher derart ausgestaltet und in einem Nullmodus derart geschaltet ist, dass vorzugsweise ohne zusätzliche elektrische und/oder mechanische Beaufschlagung die Schalteinheit in diesen Nullmodus nur die Ergebnisfunktion des anderen Rechenkerns an den Leistungsaktor weiterleitet.In this respect, it is particularly advantageously ensured that the switching unit does not pass on the erroneous result function of the arithmetic unit due to an unintentional circuit malfunction, but the switching unit is configured and switched in a null mode such that preferably without additional electrical and / or mechanical loading In this null mode, the switch unit only forwards the result function of the other arithmetic core to the power factor.

Gemäß zumindest einer Ausführungsform wird im Falle eines Feststellens eines fehlerhaften Betreibens des anderen Rechenkerns, insbesondere durch die Diagnoseeinrichtung, die Schalteinheit durch die Diagnoseeinrichtung betätigt, wobei nur durch die Schalteinheit die Ergebnisfunktion an den Leistungsaktor weitergeleitet wird. Insofern ist auch ein, im Vergleich zu obiger Ausführungsform, umgekehrter Fehlerzustand beschrieben, in dem statt eines fehlerhaften Betreibens des Rechenkerns nun der andere Rechenkern fehlerhaft betrieben wird. Da, wie obig beschrieben, die Schalteinheit in den Null-Modus zunächst dazu eingerichtet ist, die Ergebnisfunktion des anderen Rechenkerns an den Leistungsaktor weiterzuleiten, muss daher die Schalteinheit betätigt werden. Ein derartiges Betätigen wird gemäß dieser Ausführungsform durch die Diagnoseeinrichtung vorgenommen, welche zumindest einen Schalter innerhalb der Schalteinheit betätigt und dadurch zwischen einer Weiterleitung der Ergebnisfunktion des anderen Rechenkerns zu einer Weiterleitung der Ergebnisfunktion des Rechenkerns umgeschaltet wird. Insofern wird statt einer ausschließlichen Weiterleitung der Ergebnisfunktion des anderen Rechenkerns nunmehr über die besonders vorteilhaft einfach zu implementierende Schalteinheit also stattdessen die Ergebnisfunktion des Rechenkerns weitergeleitet.In accordance with at least one embodiment, in the case of a determination of an erroneous operation of the other arithmetic core, in particular by the diagnostic device, the switching unit is actuated by the diagnostic device, wherein the result function is forwarded to the power actuator only by the switching unit. In this respect, a reverse error state is also described, in comparison to the above embodiment, in which instead of a faulty operation of the calculation kernel, the other calculation kernel is now erroneously operated. Since, as described above, the switching unit in the zero mode is initially set up to forward the result function of the other arithmetic core to the power actuator, therefore, the switching unit must be actuated. Such an operation is carried out according to this embodiment by the diagnostic device, which actuates at least one switch within the switching unit and thereby switched between a forwarding of the result function of the other arithmetic core to a forwarding of the result function of the arithmetic core. In this respect, instead of an exclusive forwarding of the result function of the other arithmetic kernel, the result function of the arithmetic kernel is instead forwarded via the switching unit which is particularly easy to implement.

Erfindungsgemäß umfasst der andere Rechenkern die Diagnoseeinrichtung. In einer derartigen Ausführungsform ist daher eine besonders kompakte und kostengünstige Bauweise der gesamten Controllereinheit ermöglicht. Es kann nämlich auf die separate Anordnung einer Diagnoseeinrichtung neben der separaten Anordnung von zwei unabhängig voneinander betriebenen Rechenkernen vollständig verzichtet werden. Insbesondere ist nämlich denkbar, dass der andere Rechenkern im Rahmen einer gemeinsamen Prozessoreinheit mit der Diagnoseeinrichtung ausgeführt ist. Zudem ist denkbar, dass der andere Rechenkern selbst die Diagnoseeinrichtung darstellen kann.According to the invention, the other calculation kernel comprises the diagnostic device. In such an embodiment, therefore, a particularly compact and cost-effective design of the entire controller unit is made possible. Namely, it can be completely dispensed with the separate arrangement of a diagnostic device in addition to the separate arrangement of two independently operated computing cores. In particular, it is conceivable that the other arithmetic kernel is designed as part of a common processor unit with the diagnostic device. It is also conceivable that the other arithmetic unit itself can represent the diagnostic device.

Gemäß zumindest einer Ausführungsform ist die Diagnoseeinrichtung dazu eingerichtet und dazu vorgesehen, im Falle eines Feststellens eines fehlerhaften Betreibens eines der Rechenkerne, den fehlerhaft betriebenen Rechenkern zu deaktivieren. Vorstellbar ist dazu, dass die Diagnoseeinrichtung mittels zumindest einer Schalt- und/oder Stromversorgungseinrichtung, eine Stromversorgung zu dem fehlerhaft betriebenen Rechenkern unterbrechen kann. Vorzugsweise ist eine derartige Unterbrechung von der Diagnoseeinrichtung reversible, sodass nach einer Reparatur des Rechenkerns und/oder eines Austausch des Rechenkerns ein stattdessen angeordneter regulär betriebener oder betreibbarer Rechenkern durch die Diagnoseeinrichtung wieder in das System eingeschaltet werden kann. In accordance with at least one embodiment, the diagnostic device is set up and provided for deactivating the incorrectly operated calculation kernel in the event of a faulty operation of one of the calculation kernels. It is conceivable that the diagnostic device by means of at least one switching and / or power supply device, a power supply to the erroneously operated computing core can interrupt. Preferably, such an interruption is reversible by the diagnostic device, so that after a repair of the arithmetic core and / or an exchange of the arithmetic core, a regularly operated or operable arithmetic core arranged instead can be switched back into the system by the diagnostic device.

Gemäß zumindest einer Ausführungsform umfasst jeder der Rechenkerne einen unabhängig von dem jeweils anderen Rechenkern betreibbaren Direkt-Zugriffsspeicher (RAM) und/oder Festwertspeicher (ROM). Insofern sind die vorliegenden Rechenkerne daher nicht nur grundsätzlich voneinander betreibbar, sondern bilden auch physisch voneinander getrennt angeordnete, beispielsweise auf einer gemeinsamen Platine kontaktierte Rechenkerne, welche sogar über unabhängige Speicher- und/oder Stromversorgungssysteme und/oder Taktsysteme verfügen.In accordance with at least one embodiment, each of the calculation cores comprises a direct access memory (RAM) and / or read-only memory (ROM) which can be operated independently of the respective other arithmetic logic unit. In this respect, the present calculation cores are therefore not only fundamentally operable from each other, but also physically separate from each other arranged, for example, contacted on a common board cores, which even have independent storage and / or power supply systems and / or clock systems.

Dies gewährleistet daher, dass ein fehlerhaftes Betreiben und/oder ein Fehler selbst der Rechenkerne sich nicht ungewollter Weise auf beispielsweise einen gemeinsamen Speicher und/oder über diesen gemeinsamen Speicher auf den jeweils anderen Rechenkern überträgt. Somit ist in besonders vorteilhafter Art und Weise eine Sicherung vor negativen fehlerhaften Rückkopplungseffekten eines Fehlers des einen Rechenkerns auf den anderen Rechenkern vermieden.This therefore ensures that a faulty operation and / or a fault itself of the computing cores does not unintentionally transfer to, for example, a shared memory and / or this shared memory on the respective other computing core. Thus, in a particularly advantageous manner, a backup against negative erroneous feedback effects of an error of the one arithmetic kernel on the other arithmetic core is avoided.

Gemäß zumindest einer Ausführungsform umfasst die Controllereinheit zumindest eine Umschalteinrichtung zur gesteuerten, insbesondere automatischen, Umschaltung zwischen einer Weiterleitung der Ergebnisfunktion des Rechenkerns und/oder der Ergebnisfunktion des anderen Rechenkerns an die Schalteinrichtung und/oder den Leistungsaktor.In accordance with at least one embodiment, the controller unit comprises at least one switching device for controlled, in particular automatic, switching between forwarding the result function of the calculation kernel and / or the result function of the other calculation kernel to the switching device and / or the power actuator.

Dazu ist denkbar, dass die Umschalteinrichtung von der Schalteinrichtung umfasst ist. Alternativ jedoch ist auch denkbar, dass die Umschalteinrichtung getrennt von der Schalteinrichtung ein separates Bauteil bildet. Insofern ist denkbar, dass die Umschalteinrichtung zumindest ein Schaltelement umfasst mittels dem verschiedene Datenleitungen auf denen die einzelnen Ergebnisfunktionen transportiert werden kontaktiert werden können. Auch kann die Umschalteinrichtung zumindest teilweise in dem anderen Rechenkern und mit diesem integriert ausgeführt sein.For this purpose, it is conceivable that the switching device is covered by the switching device. Alternatively, however, it is also conceivable that the switching device forms a separate component separate from the switching device. In this respect, it is conceivable that the switching device comprises at least one switching element by means of the various data lines on which the individual result functions are transported can be contacted. Also, the switching device may be at least partially executed in the other arithmetic core and integrated with this.

Es wird darüber hinaus ein Verfahren zum Betreiben zumindest eines Leistungsaktors mittels einer Controllereinheit angegeben. Dabei kann insbesondere das hier beschriebene Verfahren zum Betreiben zumindest eines Leistungsaktors mit der obig beschriebenen Controllereinheit durchgeführt werden, d. h. für das hier beschriebene Verfahren offenbarte Merkmale sind auch für die hier beschriebene Controllereinheit offenbart und umgekehrt.In addition, a method for operating at least one power factor by means of a controller unit is specified. In this case, in particular, the method described here for operating at least one power factor with the controller unit described above can be carried out, i. H. Features disclosed for the method described herein are also disclosed for the controller unit described herein, and vice versa.

Gemäß zumindest einer Ausführungsformt umfasst das Verfahren zum Betreiben zumindest eines Leistungsaktors mittels einer Controllereinheit nur zwei unabhängig voneinander betriebene Rechenkerne und nur einer Diagnoseeinrichtung zum gesteuerten Feststellen eines fehlerhaften Betriebszustands zumindest eines der Rechenkerne. Erfindungswesentlich an dem Verfahren ist, dass zumindest eine Test- und/oder Steuerfunktion auf beiden Rechenkernen zur jeweils einer den Rechenkernen eindeutig zugeordneten Ergebnisfunktion berechnet werden, wobei die Ergebnisfunktion des Rechenkerns sowohl an eine Schalteinheit, zum Umschalten zwischen den beiden Ergebnisfunktionen, als auch an den anderen Rechenkern ausgegeben wird und der andere Rechenkern beide Ergebnisfunktionen gemäß zumindest einer Prüffunktion, über eine Steuerung der Diagnoseeinrichtung, miteinander vergleicht, wobei der andere Rechenkern die Diagnoseeinrichtung umfasst.According to at least one embodiment, the method for operating at least one power factor by means of a controller unit comprises only two independently operated computing cores and only one diagnostic device for controlled detection of a faulty operating state of at least one of the computing cores. It is essential to the invention that at least one test and / or control function be calculated on both arithmetic cores for each result function unambiguously assigned to the arithmetic cores, the result function of the arithmetic core being sent both to a switching unit, to switch between the two result functions, and to the another arithmetic core is output and the other arithmetic unit compares both result functions in accordance with at least one test function, via a controller of the diagnostic device, wherein the other arithmetic core comprises the diagnosis device.

Dabei wird im Falle einer Abweichung der beiden Ergebnisfunktionen voneinander ein Fehlerbetrieb erkannt und nur diejenige Ergebnisfunktion des vorzugsweise von der Diagnoseeinrichtung und/oder dem anderen Rechenkern als funktionsfähig festgestellten Rechenkerns an die Schalteinheit und von dieser einen Leistungsaktor weitergeleitet.In the event of a deviation of the two result functions from one another, an error operation is detected and only that result function of the arithmetic core, which is preferably determined to be functional by the diagnosis device and / or the other arithmetic core, is forwarded to the switching unit and from this one power actuator.

Dabei weist das hier beschriebene Verfahren die gleichen Ausgestaltungen und Vorteile wie in Zusammenhang mit der obig beschriebenen Controllereinheit auf.In this case, the method described here has the same configurations and advantages as in connection with the controller unit described above.

Im Folgenden werden die hier beschriebene Controllereinheit sowie das hier beschriebene Verfahren zum Betreiben einer Controllereinheit anhand eines Ausführungsbeispiels und der dazugehörigen Figur näher erläutert.The controller unit described here and the method described here for operating a controller unit based on an exemplary embodiment and the associated figure are explained in more detail below.

Die 1 zeigt in einer schematischen Darstellung ein Schaltbild eines Ausführungsbeispiels einer hier beschriebenen Controllereinheit sowie ein dazu korrespondierendes Verfahren.The 1 shows a schematic diagram of a circuit diagram of an embodiment of a controller unit described here and a corresponding thereto method.

In dem Ausführungsbeispiel und der Figur sind gleiche oder gleichwirkende Bestandteile jeweils mit den gleichen Bezugszeichen versehen. Die hier dargestellten Elemente sind nicht als maßstabsgerecht anzusehen, vielmehr können die einzelnen Elemente zum besseren Verständnis übertrieben groß dargestellt sein.In the embodiment and the figure are the same or equivalent components respectively provided with the same reference numerals. The elements shown here are not to be considered as true to scale, but the individual elements may be shown exaggerated for better understanding.

In der 1 ist, wie obig bereits erwähnt, anhand einer schematischen Zeichnung ein schematisches Schaltbild eines Ausführungsbeispiels einer hier beschriebenen Controllereinheit 1 zum Betreiben zumindest eines Leistungsaktors 2 dargestellt.In the 1 is, as already mentioned above, with reference to a schematic drawing, a schematic circuit diagram of an embodiment of a controller unit described here 1 for operating at least one power factor 2 shown.

Dabei umfasst die Controllereinheit 1 einen Microcontroller 10 sowie eine Schalteinheit S1. Insbesondere ist aus der 1 erkennbar, dass der Mikrocontroller 10 zwei unabhängig voneinander betriebene Rechenkerne CO, C1 umfasst. Zudem umfasst der hier beschriebene Microcontroller 10 eine Diagnoseeinrichtung D1 zum gesteuerten Feststellen eines fehlerhaften Betriebszustands zumindest eines der Rechenkerne CO, C1. Beide Rechenkerne, also der Rechenkern CO und der andere Rechenkern C1, sind über eine erste Datenleitung 101 miteinander verbunden. Zwischen den beiden Rechenkernen CO und C1 ist an einer Verbindungsstelle an der Datenleitung 101 eine weitere Datenleitung 102 weggeführt und mündet unmittelbar in einer Schalteinheit S1 der Controllereinheit 1. Zudem mündet die Datenleitung 101 unmittelbar in dem anderen Rechenkern C1 und wird dort in eine Prüffunktion 3 des anderen Rechenkerns C1 einspeist. In beiden Rechenkernen CO, C1 wird eine Test- und/oder Steuerfunktion F unabhängig voneinander berechnet, wobei eine aus der Test- und/oder Steuerfunktion F erzeugte Ergebnisfunktion F1(CO) über die Datenleitung 101 sowohl an die Prüffunktion 3 als auch an die Schalteinheit S1 weitergeleitet wird.In this case, the controller unit comprises 1 a microcontroller 10 and a switching unit S1. In particular, from the 1 recognizable that the microcontroller 10 comprises two independently operated computing cores CO, C1. In addition, the microcontroller described here includes 10 a diagnostic device D1 for controlled detection of a faulty operating state of at least one of the computing cores CO, C1. Both calculation cores, that is to say the computation core CO and the other computation core C1, are via a first data line 101 connected with each other. Between the two cores CO and C1 is at a connection point on the data line 101 another data line 102 led away and opens directly in a switching unit S1 of the controller unit 1 , In addition, the data line opens 101 immediately in the other arithmetic core C1 and is there in a test function 3 the other computational core C1 feeds. In both calculation cores CO, C1, a test and / or control function F is calculated independently of each other, with a result function F1 (CO) generated from the test and / or control function F via the data line 101 both to the test function 3 as is forwarded to the switching unit S1.

Zum Weiterleiten der Ergebnisfunktion F1(CO) an die Schalteinheit S1 wird die Ergebnisfunktion F1(CO) an die andere Datenleitung 102 übergeben und von dieser unmittelbar in die Schalteinheit S1 eingespeist. Innerhalb des anderen Rechenkerns C1 wird, wie obig bereits erwähnt, eine Ergebnisfunktion F1(C1) neben der Einspeisung der Ergebnisfunktion F1(CO) des Rechenkerns CO in die Prüffunktion 3 eingespeist und von dem Rechenkern C1 entsprechend der Prüffunktion 3 dahingehend überprüft, ob beide Ergebnisfunktionen F1(CO) und F1(C1) vollständig miteinander überlappen und vorzugsweise eindeutig identisch sind.To forward the result function F1 (CO) to the switching unit S1, the result function F1 (CO) is sent to the other data line 102 passed and fed directly from this into the switching unit S1. Within the other calculation kernel C1, as already mentioned above, a result function F1 (C1) is added to the feed function of the result function F1 (CO) of the calculation kernel CO in the test function 3 fed and from the arithmetic core C1 according to the test function 3 to check whether both result functions F1 (CO) and F1 (C1) completely overlap with each other and are preferably uniquely identical.

Ist dies nicht der Fall, so wird nach einem Vergleich der beiden Ergebnisfunktionen F1(CO) und F1(C1), insbesondere durch den Rechenkern C1 selbst, zunächst festgestellt welcher der Rechenkerne CO, C1 von einem Normfunktionsbereich abweicht und nach der eindeutigen Identifizierung des fehlerhaften Rechenkerns an die Schalteinheit S1 nur diejenige Ergebnisfunktion F1 weitergeleitet, welche von dem funktionierenden Rechenkern erzeugt wurde.If this is not the case, after a comparison of the two result functions F1 (CO) and F1 (C1), in particular by the calculation kernel C1 itself, it is first determined which of the calculation kernels CO, C1 deviates from a standard function range and after the unambiguous identification of the faulty one Computing core forwarded to the switching unit S1 only that result function F1, which was generated by the functioning computing core.

Dazu ist aus der 1 entnehmbar, dass im Falle eines Abweichens der beiden Ergebnisfunktionen F1(CO) und F1(C1) voneinander über eine Datenleitung 31 und einen dazu korrespondierenden Schalter (oder Umschalteinrichtung (310)) nur die Ergebnisfunktion F1(C1) des anderen Rechenkerns C1 an den Leistungsaktor 2 über die Schalteinheit S1 weitergeleitet wird.This is from the 1 can be deduced that in the case of a deviation of the two result functions F1 (CO) and F1 (C1) from each other via a data line 31 and a corresponding switch (or switching device ( 310 )) only the result function F1 (C1) of the other arithmetic core C1 to the power factor 2 is forwarded via the switching unit S1.

Wird durch die Diagnoseeinrichtung D1 ein Fehler im Rechenkern C1 erkannt so wird durch die Diagnoseeinrichtung D1 selbst die Schalteinheit 1 und dessen Schalter S1 betätigt und damit ein ausschließlicher Kontakt mit der weiteren Datenleitung 102 hergestellt. Insofern wird daher nur die Ergebnisfunktion F1(CO) des Rechenkerns CO an den Leistungsaktor weitergeleitet. Mit anderen Worten wird unabhängig wo und an welchen Rechenkern CO, C1, ein Fehler festgestellt wird, in jedem Fall zumindest eine der Ergebnisfunktionen eines der Rechenkerne CO, C1 an den Schalter S1 und damit auch zum Leistungsaktor 2 weitergeleitet, sodass der Leistungsaktor 2 stets immer noch trotz des Auftretens eines Fehlers in einen der Rechenkerne im Normalmodus betrieben werden kann, ohne gezwungenermaßen in einen „fail safe modus” übergehen zu müssen.If an error in the arithmetic core C1 is detected by the diagnostic device D1, then the switching unit is activated by the diagnostic device D1 itself 1 and its switch S1 is actuated, and thus an exclusive contact with the further data line 102 produced. In this respect, therefore, only the result function F1 (CO) of the calculation core CO is forwarded to the power factor. In other words, regardless of where and at which arithmetic unit CO, C1, an error is detected, in any case at least one of the result functions of the cores CO, C1 to the switch S1 and thus also to the power factor 2 forwarded so that the power factor 2 can still be operated despite the occurrence of a fault in one of the cores in normal mode, without having to go into a "fail safe mode" forced.

Die Erfindung ist nicht durch die Beschreibung anhand des Ausführungsbeispiels beschränkt. Vielmehr umfasst die Erfindung jedes neue Merkmal sowie jede Kombination von Merkmalen, was insbesondere jede Kombination von Merkmalen in den Patentansprüchen beinhaltet, auch wenn dieses Merkmal oder diese Kombination selbst nicht explizit in den Patentansprüchen oder in den Ausführungsbeispielen angegeben ist.The invention is not limited by the description with reference to the embodiment. Rather, the invention includes any novel feature as well as any combination of features, including in particular any combination of features in the claims, even if this feature or combination itself is not explicitly stated in the claims or in the embodiments.

BezugszeichenlisteLIST OF REFERENCE NUMBERS

11

Controllereinheitcontroller unit

22

Leistungsaktorpower actuator

33

PrüffunktionCheck feature

1010

Microcontrollermicrocontrollers

101101

Datenleitungdata line

102102

Datenleitungdata line

310310

Umschalteinrichtungswitchover

CO, C1CO, C1

Rechenkernecores

D1D1

Diagnoseeinrichtungdiagnostic device

FF

Test- und/oder SteuerfunktionTest and / or control function

F1(CO)F1 (CO)

Ergebnisfunktionresult function

F1(C1)F1 (C1)

Ergebnisfunktionresult function

RAMR.A.M.

DirektzugriffsspeicherRandom access memory

ROMROME

FestwertspeicherOnly memory

S1S1

Schalteinheitswitching unit

Claims (7)

Controllereinheit (1) zum Betreiben zumindest eines Leistungsaktors (2), umfassend nur zwei unabhängig voneinander betriebene Rechenkerne (CO, C1), und nur einer Diagnoseeinrichtung (D1) zum gesteuerten Feststellen eines fehlerhaften Betriebszustands zumindest eines der Rechenkerne (CO, C1), dadurch gekennzeichnet, dass zumindest eine Test- und/oder Steuerfunktion (F) auf beiden Rechenkernen (CO, C1) zu jeweils einer den Rechenkernen (CO, C1) eindeutig zugeordneten Ergebnisfunktionen (F1(CO), F1(C1)) berechnet werden, wobei die Ergebnisfunktion F1(CO) des Rechenkerns (CO) sowohl an eine Schalteinheit (S1), zum Umschalten zwischen den beiden Ergebnisfunktionen (F1(CO), F1(C1)), als auch an den anderen Rechenkern (C1) ausgegeben wird, und der andere Rechenkern (C1) beide Ergebnisfunktionen (F1(CO), F1(C1)) gemäß zumindest einer Prüffunktion über eine Steuerung der Diagnoseeinrichtung (D1), miteinander vergleicht, wobei der andere Rechenkern (C1) die Diagnoseeinrichtung (D1) umfasst, und wobei im Falle einer Abweichung der beiden Ergebnisfunktionen (F1(CO), F1(C1)) voneinander ein Fehlerbetrieb erkannt wird und nur diejenige Ergebnisfunktion (F1(CO), F1(C1)), des von der Diagnoseeinrichtung (D1) und/oder dem anderen Rechenkern (C1), als funktionsfähig festgestellten Rechenkerns (CO, C1) an die Schalteinheit (S1) und von dieser an den Leistungsaktor (2) weitergeleitet wird.Controller unit ( 1 ) for operating at least one performance factor ( 2 ), comprising only two independently operated computing cores (CO, C1), and only one diagnostic device (D1) for the controlled detection of a faulty operating state of at least one of the computing cores (CO, C1), characterized in that at least one test and / or control function (F) are calculated on both calculation cores (CO, C1) in each case one of the calculation cores (CO, C1) uniquely assigned result functions (F1 (CO), F1 (C1)), wherein the result function F1 (CO) of the calculation kernel (CO) both to a switching unit (S1), to switch between the two result functions (F1 (CO), F1 (C1)), as well as to the other arithmetic core (C1) is output, and the other arithmetic core (C1) both result functions (F1 (F1) CO), F1 (C1)) according to at least one test function via a controller of the diagnostic device (D1), wherein the other processor (C1) comprises the diagnostic device (D1), and wherein in the case of a deviation of the two result functions (F1 (CO), F1 (C1)) from each other an error operation is detected and only those result function (F1 (CO), F1 (C1)), of the diagnostic device (D1) and / or the other arithmetic core (C1), found to be functional Calculator (CO, C1) to the switching unit (S1) and from this to the power actuator ( 2 ) is forwarded. Controllereinheit (1) nach Anspruch 1, dadurch gekennzeichnet, dass im Falle eines Feststellens eines fehlerhaften Betreibens des anderen Rechenkerns (CO), insbesondere durch die Diagnoseeinrichtung (D1) und/oder dem Rechenkern (C1), die Schalteinheit (S1) nur die Ergebnisfunktion (F1(C1)) an den Leistungsaktor (2) weiterleitet.Controller unit ( 1 ) according to claim 1, characterized in that in the case of a determination of an erroneous operation of the other arithmetic core (CO), in particular by the diagnostic device (D1) and / or the arithmetic core (C1), the switching unit (S1) only the result function (F1 (F1) C1)) to the power factor ( 2 ). Controllereinheit (1) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass im Falle eines Feststellens eines fehlerhaften Betreibens des anderen Rechenkerns (C1), insbesondere durch die Diagnoseeinrichtung (D1), die Schalteinheit (S1) durch die Diagnoseeinrichtung (D1) betätigt wird und nur durch die Schalteinheit (S1) die Ergebnisfunktion (F1(CO)) an den Leistungsaktor (2) weitergeleitet wird.Controller unit ( 1 ) according to claim 1 or 2, characterized in that in the case of detecting a faulty operation of the other arithmetic core (C1), in particular by the diagnostic device (D1), the switching unit (S1) by the diagnostic device (D1) is actuated and only by the Switching unit (S1) the result function (F1 (CO)) to the power factor ( 2 ) is forwarded. Controllereinheit (1) nach zumindest einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Diagnoseeinrichtung (D1) dazu eingerichtet und dazu vorgesehen ist, im Falle eines Feststellens eines fehlerhaften Betreibens eines der Rechenkerne (CO, C1) den fehlerhaft betriebenen Rechenkern (CO, C1) zu deaktivieren.Controller unit ( 1 ) according to at least one of the preceding claims, characterized in that the diagnostic device (D1) is set up and provided to disable the erroneously operated computing core (CO, C1) in the event of a faulty operation of one of the computing cores (CO, C1) , Controllereinheit (1) nach zumindest einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das jeder der Rechenkerne (CO, C1) einen unabhängig von dem jeweils anderen Rechenkern (CO, C1) betreibbaren Direktzugriffsspeicher (RAM) und/oder Festwertspeicher (ROM) umfassen.Controller unit ( 1 ) according to at least one of the preceding claims, characterized in that each of the computing cores (CO, C1) comprises an independently of the respective other arithmetic core (CO, C1) operable random access memory (RAM) and / or read-only memory (ROM). Controllereinheit (1) nach zumindest einem der vorhergehenden Ansprüche, gekennzeichnet, durch zumindest eine Umschalteinrichtung (310) zur gesteuerten, insbesondere automatischen, Umschaltung zwischen einer Weiterleitung der Ergebnisfunktion (F1(CO)) und/oder der Ergebnisfunktion (F1(C1)) an die Schalteinrichtung (S1) und/oder den Leistungsaktor (2).Controller unit ( 1 ) according to at least one of the preceding claims, characterized by at least one switching device ( 310 ) for the controlled, in particular automatic, switching between a forwarding of the result function (F1 (CO)) and / or the result function (F1 (C1)) to the switching device (S1) and / or the power actuator ( 2 ). Verfahren (100) zum Betreiben zumindest eines Leistungsaktors mittels einer Controllereinheit, umfassend nur zwei unabhängig voneinander betriebene Rechenkerne (CO, C1), und nur einer Diagnoseeinrichtung (D1) zum gesteuerten Feststellen eines fehlerhaften Betriebszustands zumindest eines der Rechenkerne (CO, C1), dadurch gekennzeichnet, dass zumindest eine Test- und/oder Steuerfunktion (F) auf beiden Rechenkernen (CO, C1) zu jeweils einer den Rechenkernen (CO, C1) eindeutig zugeordneten Ergebnisfunktionen (F1(CO), F1(C1)) berechnet werden, wobei die Ergebnisfunktion F1(CO) des Rechenkerns (CO) sowohl an eine Schalteinheit (S1), zum Umschalten zwischen den beiden Ergebnisfunktionen (F1(CO), F1(C1)), als auch an den anderen Rechenkern (C1) ausgegeben wird, und der andere Rechenkern (C1) beide Ergebnisfunktionen (F1(CO), F1(C1)) gemäß zumindest einer Prüffunktion über eine Steuerung der Diagnoseeinrichtung (D1), miteinander vergleicht, wobei der andere Rechenkern (C1) die Diagnoseeinrichtung (D1) umfasst, und wobei im Falle einer Abweichung der beiden Ergebnisfunktionen (F1(CO), F1(C1)) voneinander ein Fehlerbetrieb erkannt wird und nur diejenige Ergebnisfunktion (F1(CO), F1(C1)), des von der Diagnoseeinrichtung (D1) und/oder dem anderen Rechenkern (C1), als funktionsfähig festgestellten Rechenkerns (CO, C1) an die Schalteinheit (S1) und von dieser an den Leistungsaktor (2) weitergeleitet wird.Procedure ( 100 ) for operating at least one power actuator by means of a controller unit, comprising only two independently operated computing cores (CO, C1), and only one diagnostic device (D1) for the controlled detection of a faulty operating state of at least one of the computing cores (CO, C1), characterized in that at least one test and / or control function (F) on both arithmetic cores (CO, C1) in each case one of the calculation cores (CO, C1) uniquely assigned result functions (F1 (CO), F1 (C1)) are calculated, the result function F1 (CO) of the arithmetic kernel (CO) both to a switching unit (S1), for switching between the two result functions (F1 (CO), F1 (C1)), and the other arithmetic core (C1) is output, and the other arithmetic core (C1) compares both result functions (F1 (CO), F1 (C1)) according to at least one test function via a controller of the diagnostic device (D1), wherein the other processor (C1) compares the diagnostic device (D1) and in the event of a deviation of the two result functions (F1 (CO), F1 (C1)) from each other an error operation is detected and only that result function (F1 (CO), F1 (C1)), of the diagnostic device (D1) and / or the other arithmetic core (C1), as functionally determined computing core (CO, C1) to the switching unit (S1) and from this to the power actuator ( 2 ) is forwarded.

Images