DE102020210866A1 - Device for detecting and processing a measured variable of a sensor in a motor vehicle - Google Patents

Device for detecting and processing a measured variable of a sensor in a motor vehicle Download PDF

Info

Publication number
DE102020210866A1
DE102020210866A1 DE102020210866.8A DE102020210866A DE102020210866A1 DE 102020210866 A1 DE102020210866 A1 DE 102020210866A1 DE 102020210866 A DE102020210866 A DE 102020210866A DE 102020210866 A1 DE102020210866 A1 DE 102020210866A1
Authority
DE
Germany
Prior art keywords
data
memory
memory area
variable
energy store
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020210866.8A
Other languages
German (de)
Inventor
Daniel Domonkos Nagy
Gyurkó Péter
Roland Steffen
Tamás Balog
Attila Balog
Balázs Kun
Istvan Horvath
Norbert Medve
Sebestyen Andras Kardon
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102020210866.8A priority Critical patent/DE102020210866A1/en
Priority to PCT/EP2021/070275 priority patent/WO2022042950A1/en
Publication of DE102020210866A1 publication Critical patent/DE102020210866A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G01MEASURING; TESTING
    • G01DMEASURING NOT SPECIALLY ADAPTED FOR A SPECIFIC VARIABLE; ARRANGEMENTS FOR MEASURING TWO OR MORE VARIABLES NOT COVERED IN A SINGLE OTHER SUBCLASS; TARIFF METERING APPARATUS; MEASURING OR TESTING NOT OTHERWISE PROVIDED FOR
    • G01D21/00Measuring or testing not otherwise provided for
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01DMEASURING NOT SPECIALLY ADAPTED FOR A SPECIFIC VARIABLE; ARRANGEMENTS FOR MEASURING TWO OR MORE VARIABLES NOT COVERED IN A SINGLE OTHER SUBCLASS; TARIFF METERING APPARATUS; MEASURING OR TESTING NOT OTHERWISE PROVIDED FOR
    • G01D3/00Indicating or recording apparatus with provision for the special purposes referred to in the subgroups
    • G01D3/08Indicating or recording apparatus with provision for the special purposes referred to in the subgroups with provision for safeguarding the apparatus, e.g. against abnormal operation, against breakdown
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01MPROCESSES OR MEANS, e.g. BATTERIES, FOR THE DIRECT CONVERSION OF CHEMICAL ENERGY INTO ELECTRICAL ENERGY
    • H01M10/00Secondary cells; Manufacture thereof
    • H01M10/42Methods or arrangements for servicing or maintenance of secondary cells or secondary half-cells
    • H01M10/425Structural combination with electronic components, e.g. electronic circuits integrated to the outside of the casing
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01MPROCESSES OR MEANS, e.g. BATTERIES, FOR THE DIRECT CONVERSION OF CHEMICAL ENERGY INTO ELECTRICAL ENERGY
    • H01M10/00Secondary cells; Manufacture thereof
    • H01M10/42Methods or arrangements for servicing or maintenance of secondary cells or secondary half-cells
    • H01M10/48Accumulators combined with arrangements for measuring, testing or indicating the condition of cells, e.g. the level or density of the electrolyte
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/36Arrangements for testing, measuring or monitoring the electrical condition of accumulators or electric batteries, e.g. capacity or state of charge [SoC]
    • G01R31/385Arrangements for measuring battery or accumulator variables
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01MPROCESSES OR MEANS, e.g. BATTERIES, FOR THE DIRECT CONVERSION OF CHEMICAL ENERGY INTO ELECTRICAL ENERGY
    • H01M10/00Secondary cells; Manufacture thereof
    • H01M10/42Methods or arrangements for servicing or maintenance of secondary cells or secondary half-cells
    • H01M10/425Structural combination with electronic components, e.g. electronic circuits integrated to the outside of the casing
    • H01M2010/4278Systems for data transfer from batteries, e.g. transfer of battery parameters to a controller, data transferred between battery controller and main controller
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E60/00Enabling technologies; Technologies with a potential or indirect contribution to GHG emissions mitigation
    • Y02E60/10Energy storage using batteries

Abstract

Die Erfindung betrifft Vorrichtung zur Erfassung und Verarbeitung einer Messgröße eines Sensors in einem Kraftfahrzeug, wobei zumindest ein Sensor (10) zumindest eine Messgröße (Ub, Ib) eines Energiespeichers (12) erfasst, wobei zumindest eine eine Recheneinrichtung (11) vorgesehen ist, die unter Verwendung der zumindest einen Messgröße (Ub, Ib) zumindest eine Ausgangsgröße (50) des Energiespeichers (12) ermittelt, wobei die Recheneinrichtung (11) zumindest einen Arbeitsspeicher (30) umfasst, wobei der Arbeitsspeicher (30) zumindest einen statischen Speicherbereich (44) und zumindest einen weiteren Speicherbereich (54) umfasst, wobei der Speicherbereich (44) so ausgebildet ist, um bestimmte insbesondere sicherheitsrelevante Daten (49,50), nämlich die Ausgangsgröße (50) und/oder zumindest eine für die Ermittlung der Ausgangsgröße benötigte Variable (49), abzulegen, wobei der weitere Speicherbereich (54) so ausgebildet ist, um in dem Arbeitsspeicher (44) befindliche Daten (49,50) gespiegelt abzulegen.The invention relates to a device for detecting and processing a measured variable of a sensor in a motor vehicle, with at least one sensor (10) detecting at least one measured variable (Ub, Ib) of an energy store (12), with at least one computing device (11) being provided which at least one output variable (50) of the energy store (12) is determined using the at least one measured variable (Ub, Ib), the computing device (11) comprising at least one working memory (30), the working memory (30) having at least one static memory area (44 ) and at least one further memory area (54), the memory area (44) being designed in such a way that specific data (49, 50), in particular safety-relevant data, namely the output variable (50) and/or at least one variable required for determining the output variable (49) to be stored, the further memory area (54) being designed in such a way that data (49, 50) located in the working memory (44) are mirrored to take off.

Description

Die Erfindung betrifft eine Vorrichtung zur Erfassung und Verarbeitung einer Messgröße eines Sensors in einem Kraftfahrzeug nach der Gattung unabhängigen Anspruchs.The invention relates to a device for detecting and processing a measured variable of a sensor in a motor vehicle according to the generic claim.

Stand der TechnikState of the art

Aus der EP 1271170 B1 sind ein Verfahren und eine Vorrichtung zur Batteriezustandserkennung bekannt. Es werden Aussagen über einen Batteriezustand mittels eines ersten Batteriezustandserkennungssystems gewonnen, wobei bei fehlerhaftem Betrieb oder bei einem Ausfall des ersten Batteriezustandserkennungssystems Aussagen über den Batteriezustand mittels eines zweiten Batteriezustandserkennungssystems gewonnen werden, wobei das erste Batteriezustandserkennungssystem Aussagen über den Batteriezustand unter Verwendung einer Strommessung und unter zusätzlicher Verwendung einer Temperaturmessung ermittelt.From the EP 1271170 B1 a method and a device for detecting the state of the battery are known. Information about the battery condition is obtained using a first battery condition detection system, with faulty operation or failure of the first battery condition detection system, information about the battery condition being obtained using a second battery condition detection system, with the first battery condition detection system providing information about the battery condition using a current measurement and with additional use determined by a temperature measurement.

Das Fahrzeugbordnetz hat die Aufgabe, die elektrischen Verbraucher mit Energie zu versorgen. Fällt die Energieversorgung aufgrund eines Fehlers bzw. Alterung im Bordnetz bzw. in einer Bordnetzkomponente in heutigen Fahrzeugen aus, so entfallen wichtige Funktionen, wie die Servolenkung. Da die Lenkfähigkeit des Fahrzeugs nicht beeinträchtigt, sondern nur schwergängig wird, ist der Ausfall des Bordnetzes in heutigen in Serie befindlichen Fahrzeugen allgemein akzeptiert, da der Fahrer als Rückfallebene zur Verfügung steht. Zur Erhöhung der Verfügbarkeit wurden zweikanalige Bordnetz-Strukturen wie beispielsweise in der WO 2015/135729 A1 vorgeschlagen. Diese werden benötigt, um Systeme für den hoch- oder vollautomatischen Fahrbetrieb fehlertolerant zu versorgen.The vehicle electrical system has the task of supplying the electrical consumers with energy. If the energy supply fails due to a fault or aging in the on-board network or in an on-board network component in today's vehicles, important functions such as the power steering are no longer available. Since the steerability of the vehicle is not impaired, but only becomes stiff, the failure of the vehicle electrical system in today's mass-produced vehicles is generally accepted, since the driver is available as a fallback. To increase availability, two-channel vehicle electrical system structures such as in the WO 2015/135729 A1 suggested. These are required to supply fault-tolerant systems for highly or fully automatic driving operations.

Der Erfindung liegt die Aufgabe zugrunde, die Zuverlässigkeit des Gesamtsystems weiter zu erhöhen. Diese Aufgabe wird gelöst durch die Merkmale des unabhängigen Anspruchs.The object of the invention is to further increase the reliability of the overall system. This object is solved by the features of the independent claim.

Offenbarung der ErfindungDisclosure of Invention

Dadurch dass der Arbeitsspeicher zumindest einen statischen Speicherbereich und zumindest einen weiteren Speicherbereich umfasst, wobei der Speicherbereich so ausgebildet ist, um bestimmte insbesondere sicherheitsrelevante Daten, nämlich die Ausgangsgröße und/oder zumindest eine für die Ermittlung der Ausgangsgröße benötigte Variable, abzulegen, wobei der weitere Speicherbereich so ausgebildet ist, um in dem Arbeitsspeicher befindliche Daten gespiegelt abzulegen, kann die Sicherheit des Gesamtsystems weiter erhöht werden. Gerade Speicherkorrumptionen, hervorgerufen durch Softwarekomponenten mit niedrigerer Sicherheitsstufe, können unterbunden bzw. reduziert werden. Damit könnte eine Zertifizierung der Vorrichtung auf ASIL-Level erreicht werden. Gerade sicherheitsrelevante Ausgangssignale des Sensors, die für weitere sicherheitsrelevante Komponenten beispielsweise für das autonome Fahren verwendet werden, werden insbesondere durch das redundante Ablegen in unterschiedlichen Speicherbereichen nicht verfälscht bzw. eine Verfälschung könnte leichter detektiert werden und zu entsprechenden Gegenmaßnahmen führen.Because the main memory comprises at least one static memory area and at least one additional memory area, the memory area being designed to store certain data that is particularly relevant to safety, namely the output variable and/or at least one variable required for determining the output variable, the additional memory area is designed to store mirrored data in the main memory, the security of the overall system can be further increased. Especially memory corruption caused by software components with a lower security level can be prevented or reduced. A certification of the device at ASIL level could thus be achieved. Especially safety-relevant output signals of the sensor, which are used for other safety-relevant components, for example for autonomous driving, are not falsified, in particular due to the redundant storage in different memory areas, or falsification could be detected more easily and lead to appropriate countermeasures.

In einer zweckmäßigen Weiterbildung ist vorgesehen, dass der Arbeitsspeicher zumindest einen dritten statischen Speicherbereich umfasst für insbesondere nicht sicherheitsrelevante Daten, nämlich unter Verwendung der zumindest einen Messgröße ermittelte weitere Ausgangsgröße und/oder zumindest eine für die Ermittlung der weiteren Ausgangsgröße benötigte Variable. Gerade durch die getrennte Behandlung von Softwarekomponenten unterschiedlicher Sicherheitsniveaus (beispielsweise QM - ASIL B) wird eine eventuelle gegenseitige Beeinflussung reduziert und damit die Fehleranfälligkeit gesenkt.In an expedient development, it is provided that the main memory includes at least a third static memory area for data that is not safety-relevant in particular, namely further output variables determined using the at least one measured variable and/or at least one variable required for determining the further output variable. The separate treatment of software components with different safety levels (e.g. QM - ASIL B) reduces possible mutual influence and thus lowers the susceptibility to errors.

In einer zweckmäßigen Weiterbildung ist zumindest eine Speicherschutzeinrichtung vorgesehen ist, die einen Vergleich durchführt von zumindest Teilen der in dem Speicherbereich abgelegten Daten mit zumindest entsprechenden Teilen der in dem weiteren Speicherbereich gespiegelt abgelegten Daten. Damit wird in besonders einfacher Art und Weise eine mögliche Korrumption der Daten festgestellt. Gegenmaßnahmen wie beispielsweise die Überführung des Sensors in einen sicheren Zustand sowie das Unterdrücken einer Weiterverarbeitung eventuell korrumpierter Ausgangssignale erhöhen die Sicherheit weiter.In an expedient development, at least one memory protection device is provided, which carries out a comparison of at least parts of the data stored in the memory area with at least corresponding parts of the data stored mirrored in the further memory area. A possible corruption of the data is thus detected in a particularly simple manner. Countermeasures such as transferring the sensor to a safe state and suppressing further processing of any corrupted output signals further increase security.

In einer zweckmäßigen Weiterbildung ist vorgesehen, dass bei fehlender Übereinstimmung der verglichenen Teile der Daten zumindest ein Fehlereintrag generiert ist und/oder eine weitere Operation wie beispielsweise ein Speichern von Daten in dem Speicherbereich und/oder ein Inkrementieren und/oder ein Dekrementieren von Daten unterbunden ist. Damit wird sichergestellt, dass keine falschen Werte in dem sicherheitsrelevanten Speicherbereich eingetragen werden bzw. weiterverarbeitet werden.An expedient development provides that if the compared parts of the data do not match, at least one error entry is generated and/or a further operation such as storing data in the memory area and/or incrementing and/or decrementing data is prevented . This ensures that no incorrect values are entered or further processed in the safety-relevant memory area.

In einer zweckmäßigen Weiterbildung führt die Speicherschutzeinrichtung den Vergleich zyklisch und/oder vor einer Aktualisierung der Daten durch. Damit wird eine ständige Überprüfung insbesondere innerhalb einer Fehlertoleranzzeit möglich. Außerdem wird sichergestellt, dass keine falschen Daten abgespeichert werden.In an expedient development, the memory protection device carries out the comparison cyclically and/or before updating the data. This enables constant checking, in particular within a fault-tolerance time. It also ensures that no incorrect data is saved.

In einer zweckmäßigen Weiterbildung beruht der Vergleich auf einem Vergleich einzelner Daten wie beispielsweise Ausgangsgröße und/oder Variable oder auf dem Vergleich zumindest eines Blocks, der mehrere Daten wie Ausgangsgröße und/oder Variablen umfasst. Vergleiche auf Variablenbasis stellen eine besonders hohe Sicherheit bei der Erkennung einer Speicherkorrumption dar. Ein blockweiser Vergleich eignet sich insbesondere für Softwarekomponenten, die später erstellt bzw. nachträglich in der Software aufgenommen wurden und erhöht die Sicherheit für diese Konstellation weiter.In an expedient development, the comparison is based on a comparison of individual data, such as the output variable and/or variable, or on the comparison of at least one block that includes multiple data, such as the output variable and/or variables. Comparisons based on variables represent a particularly high degree of security when detecting memory corruption. A blockwise comparison is particularly suitable for software components that were created later or added to the software later and further increases the security for this constellation.

In einer zweckmäßigen Weiterbildung umfasst der Sensor zumindest ein Messelement wie beispielsweise einen Messwiderstand und/oder einen Analog-Digitalwandler. Gerade für diese Anordnung können durch eine entsprechende Überwachung der Signalverarbeitung bzw. auch des Analog-Digital-Wandlers Fehler vermieden werden.In an expedient development, the sensor comprises at least one measuring element such as a measuring resistor and/or an analog/digital converter. It is precisely for this arrangement that errors can be avoided by appropriate monitoring of the signal processing and also of the analog/digital converter.

In einer zweckmäßigen Weiterbildung ist vorgesehen, dass zur Ermittlung sicherheitsrelevanter Daten wie beispielsweise eine insbesondere gefilterte Spannung des Energiespeichers und/oder ein insbesondere gefilterter Strom des Energiespeichers und/oder ein Innenwiderstand des Energiespeichers und/oder eine Fehlerinformation betreffend eines im Sensor vorgesehenen Analog-Digital-Wandlers zumindest eine Softwarekomponente verwendet ist, welche einem hohen Sicherheitsstandard, wie beispielsweise ASIL B, genügt. Gerade diese Größen werden beispielsweise im Kontext des autonomen Fahrens benötigt, um Aussagen hinsichtlich der Zuverlässigkeit des Energiespeichers in die gewählte Fahrstrategie einfließen zu lassen.In an expedient development, it is provided that, in order to determine safety-relevant data such as, for example, a particularly filtered voltage of the energy store and/or a particularly filtered current of the energy store and/or an internal resistance of the energy store and/or error information relating to an analog/digital signal provided in the sensor Converter is used at least one software component, which satisfies a high safety standard, such as ASIL B. It is precisely these variables that are required, for example, in the context of autonomous driving in order to allow statements regarding the reliability of the energy storage device to be incorporated into the selected driving strategy.

In einer zweckmäßigen Weiterbildung ist vorgesehen, dass zur Ermittlung nicht sicherheitsrelevanter Daten wie beispielsweise eine Kapazität des Energiespeichers und/oder ein Ladezustand des Energiespeichers und/oder ein Ruhestrom des Energiespeichers zumindest eine Softwarekomponente verwendet ist, welche einem geringeren Sicherheitsstandard, wie beispielsweise QM, genügt. Durch eine entsprechende Differenzierung kann die Rechenleistung der Recheneinheit reduziert werden, da nun geringere Sicherheitsanforderungen an bestimmte Größen zu stellen sind.In an expedient development, it is provided that at least one software component that satisfies a lower safety standard, such as QM, is used to determine non-safety-relevant data such as a capacity of the energy store and/or a state of charge of the energy store and/or a quiescent current of the energy store. The computing power of the computing unit can be reduced by a corresponding differentiation, since lower security requirements are now to be placed on certain variables.

In einer zweckmäßigen Weiterbildung ist vorgesehen, dass zur Ermittlung einer Speicheradresse zur gespiegelten Ablage von Daten im weiteren Speicherbereich eine Speicheradresse der zu spiegelnden Daten mit einem festen Offset versehen wird. Damit lässt sich in besonders einfacher Art und Weise das Handling der zu spiegelnden und zu vergleichenden Daten umsetzen.In an expedient development it is provided that a memory address of the data to be mirrored is provided with a fixed offset in order to determine a memory address for the mirrored storage of data in the further memory area. This allows the handling of the data to be mirrored and compared to be implemented in a particularly simple manner.

In einer zweckmäßigen Weiterbildung ist vorgesehen, dass eine Ausführung der Softwarekomponente erst nach erfolgreich durchgeführtem Vergleich durch die Speicherschutzeinrichtung erfolgt. Damit werden bei korrumpierten Daten unnötige Rechenschritte unterbunden.In an expedient development, it is provided that the software component is only executed after a successful comparison by the memory protection device. This prevents unnecessary calculation steps in the case of corrupted data.

Weitere zweckmäßige Weiterbildungen ergeben sich aus weiteren abhängigen Ansprüchen und aus der Beschreibung.Further expedient developments result from further dependent claims and from the description.

Figurenlistecharacter list

Es zeigen

  • 1 ein Blockschaltbild eines Sensors zur Erfassung einer Messgröße,
  • 2 eine genauere Darstellung des Sensors bzw. der zugehörigen Recheneinrichtung,
  • 3 ein Flussdiagramm zur Durchführung eines Vergleichs sowie
  • 4 ein Flussdiagramm zur Durchführung einer Speicheroperation.
Show it
  • 1 a block diagram of a sensor for recording a measured variable,
  • 2 a more detailed representation of the sensor or the associated computing device,
  • 3 a flowchart for making a comparison, and
  • 4 a flowchart for performing a memory operation.

Ausführungsformen der ErfindungEmbodiments of the invention

Die Erfindung ist anhand von Ausführungsformen in den Zeichnungen schematisch dargestellt und wird nachfolgend unter Bezugnahme auf die Zeichnungen ausführlich beschrieben.The invention is shown schematically in the drawings using embodiments and is described in detail below with reference to the drawings.

Beispielhaft ist in dem Ausführungsbeispiel als möglicher Energiespeicher 12 eine Batterie bzw. Akkumulator beschrieben. Alternativ können jedoch andere für diese Aufgabenstellung geeignete Energiespeicher beispielsweise auf induktiver oder kapazitiver Basis, Brennstoffzellen, Kondensatoren oder Ähnliches gleichermaßen Verwendung finden.A battery or accumulator is described as an example in the exemplary embodiment as a possible energy store 12 . Alternatively, however, other energy stores suitable for this task, for example on an inductive or capacitive basis, fuel cells, capacitors or the like can also be used.

Ein Sensor 10, insbesondere ein Batteriesensor, erfasst bestimmte Messgrößen eines Energiespeichers 12 wie beispielsweise die Spannung Ub und/oder den Strom Ib und/oder die Temperatur Tb. Hierzu ist ein Messelement, beispielhaft ein Messwiderstand 13, vorgesehen. Die gemessenen analogen Größen (Ub, Ib, Tb) werden über einen Analog-Digital-Wandler digitalisiert und an eine Recheneinrichtung 11 weitergeleitet. Die Recheneinrichtung 11 umfasst beispielsweise eine Zustandserkennung 14, insbesondere eine Batteriezustandserkennung, und einen Arbeitsspeicher 30. Unter Verwendung der zugeführten Messgrößen (Ub, Ib, Tb) und eines hinterlegten Modells des Energiespeichers 12 werden relevante Kenngrößen des Energiespeichers 12 wie beispielsweise der Innenwiderstand Ri (insbesondere Batterieinnenwiderstand), Ladezustand (SOC) und gegebenenfalls weitere Größen wie beispielsweise State of Health (SOH), State of Function (SOF) oder Ähnliches bestimmt. Weiterhin verarbeitet die Recheneinrichtung 11 die gemessenen Größen beispielsweise durch entsprechende Signalverarbeitungsalgorithmen, Filter oder Ähnliches. Die Ausgangsgrößen 50 der Recheneinrichtung 11 können beispielsweise über ein Kommunikationssystem 16, beispielsweise ein Bussystem wie ein LIN-Bus oder Ähnliches, an ein Steuergerät 18 weitergeleitet werden. In diesem Steuergerät 18 können beispielsweise entsprechende Energiemanagement-Funktionen wie beispielsweise Freigabe eines Start-Stop-Systems oder Ähnliches realisiert sein. Der Sensor 10 kann beispielsweise in einer Polklemme integriert sein, welche an einem Pol des Energiespeichers 12, vorzugsweise einem Batteriepol angebracht wird. Der Sensor 10 ist sowohl mit der Fahrzeugmasse auch mit dem Plus-Potenzial des Energiespeichers 12 verbunden.A sensor 10, in particular a battery sensor, detects certain measured variables of an energy store 12 such as the voltage Ub and/or the current Ib and/or the temperature Tb. A measuring element, for example a measuring resistor 13, is provided for this purpose. The measured analog variables (Ub, Ib, Tb) are digitized using an analog-to-digital converter and forwarded to a computing device 11 . The computing device 11 includes, for example, a state detector 14, in particular a battery state detector, and a working memory 30. Using the supplied measured variables (Ub, Ib, Tb) and a stored model of the energy store 12, relevant parameters of the energy store 12 such as the internal resistance Ri (in particular Internal battery resistance), state of charge (SOC) and possibly other sizes such as State of Health (SOH), State of Function (SOF) or the like determined. Farther the computing device 11 processes the measured variables, for example, using appropriate signal processing algorithms, filters or the like. The output variables 50 of the computing device 11 can, for example, be forwarded to a control device 18 via a communication system 16, for example a bus system such as a LIN bus or the like. In this control unit 18, for example, corresponding energy management functions such as enabling a start-stop system or the like can be implemented. The sensor 10 can be integrated, for example, in a pole terminal which is attached to a pole of the energy store 12, preferably a battery pole. Sensor 10 is connected both to vehicle ground and to the plus potential of energy store 12 .

Um ein höheres funktionales Sicherheitsniveau zu erreichen, wird eine Einrichtung vorgeschlagen, die insbesondere Speicherinterferenzen zwischen den Softwarekomponenten 38, 48 verhindert oder zumindest reduziert. Das wird erreicht durch das Vorsehen einer Speicherschutzeinrichtung 32 sowie das Festlegen unterschiedlicher Speicherbereiche 34, 44, 54 des Arbeitsspeichers 30 (RAM), der Bestandteil der Recheneinrichtung 11 des Sensors 10 ist. Beispielhaft dargestellt umfasst die Recheneinrichtung 11 bzw. der Sensor 10 zumindest eine Softwarekomponente 38 mit vorzugsweise niedrigerem Sicherheitsniveau (beispielsweise QM). Außerdem umfasst die Recheneinrichtung 11 bzw. der Sensor 10 eine Softwarekomponente 48 mit vorzugsweise höherem Sicherheitsniveau (beispielsweise ASIL B). Die Softwarekomponenten 38,48 können wiederum weitere Softwarekomponenten 38.1, 38.2 bzw. 48.1 ,48.2 umfassen. Weiterhin umfasst der Arbeitsspeicher 30 einen dynamischen Bereich in Form eines sogenannten Stacks (Stapelspeicher) 31. Der Stack 31 kann sowohl von Softwarekomponenten 38, 48 mit niedrigerem oder höherem Sicherheitsniveau genutzt werden. Die Speicherbereiche 34, 44, 54 sind Bestandteile des statischen Bereichs des Arbeitsspeichers 30.In order to achieve a higher level of functional safety, a device is proposed which, in particular, prevents or at least reduces memory interference between the software components 38, 48. This is achieved by providing a memory protection device 32 and specifying different memory areas 34, 44, 54 of the main memory 30 (RAM), which is part of the computing device 11 of the sensor 10. Illustrated as an example, the computing device 11 or the sensor 10 comprises at least one software component 38 with a preferably lower security level (for example QM). In addition, the computing device 11 or the sensor 10 includes a software component 48 with a preferably higher security level (for example ASIL B). The software components 38.48 can in turn include further software components 38.1, 38.2 or 48.1, 48.2. The main memory 30 also includes a dynamic area in the form of a so-called stack (stack memory) 31. The stack 31 can be used by software components 38, 48 with a lower or higher security level. Memory areas 34, 44, 54 are part of the static area of main memory 30.

Die Softwarekomponente 38 mit vorzugsweise niedrigerem Sicherheitsniveau greift zur Ermittlung einer Ausgangsgröße 40 auf eine oder mehrere Variablen 39 zurück. Diese eine oder mehreren Variablen 39 und/oder die Ausgangsgröße 40 der Softwarekomponente 38 mit vorzugsweise niedrigerem Sicherheitsniveau werden in einem speziellen Speicherbereich 34 abgelegt.The software component 38, which preferably has a lower security level, uses one or more variables 39 to determine an output variable 40. These one or more variables 39 and/or the output variable 40 of the software component 38 with a preferably lower security level are stored in a special memory area 34 .

Die Softwarekomponente 48 mit vorzugsweise höherem Sicherheitsniveau greift zur Ermittlung einer Ausgangsgröße 50 auf eine oder mehrere Variablen 49 zurück. Diese eine oder mehreren Variablen 49 und/oder die Ausgangsgröße(n) 50 der Softwarekomponente 48 mit vorzugsweise höherem Sicherheitsniveau werden in dem speziellen Speicherbereich 44 abgelegt.The software component 48, which preferably has a higher security level, uses one or more variables 49 to determine an output variable 50. These one or more variables 49 and/or the output variable(s) 50 of the software component 48 with a preferably higher security level are stored in the special memory area 44 .

Weiterhin ist ein weiterer Speicherbereich 54 des Arbeitsspeichers 30 reserviert zur Spiegelung des Speicherbereichs 44 bzw. zur Ablage der in dem Speicherbereich 44 abgelegten Variablen 49 und/oder Ausgangsgröße 50 der zugehörigen Softwarekomponente 48. Die gespiegelten Daten des Speicherbereichs 44, die in dem Speicherbereich 54 abgelegt sind, werden mit 49' bzw. 50' in 2 bezeichnet. Eine Speicherschutzeinrichtung 32 übernimmt die Verwaltung insbesondere des Speicherbereichs 54 zur Ablage bzw. Spiegelung der Variable(n) 49 bzw. Ausgangsgröße(n) 50 sowie zur entsprechenden Verifikation (Vergleich) einer Übereinstimmung der Daten 49,50 wie im Speicherbereich 44 abgelegt mit den Daten 49', 50', die in dem Speicherbereich 54 abgelegt sind. Nach der Initialisierung des Arbeitsspeichers 30 während des Startvorgangs wird eine komplette Speicheroperation durchgeführt, in der der Inhalt des Speicherbereichs 44 in den Speicherbereich 54 gespiegelt wird.Furthermore, another memory area 54 of main memory 30 is reserved for mirroring memory area 44 or for storing variables 49 stored in memory area 44 and/or output variable 50 of associated software component 48. The mirrored data of memory area 44 stored in memory area 54 are marked with 49' or 50' in 2 designated. A memory protection device 32 takes over the management of the memory area 54 in particular for storing or mirroring the variable(s) 49 or output variable(s) 50 and for the corresponding verification (comparison) of a match between the data 49, 50 as stored in the memory area 44 and the data 49', 50', which are stored in the memory area 54. After the working memory 30 has been initialized during the start-up process, a complete memory operation is carried out in which the contents of the memory area 44 are mirrored in the memory area 54 .

Im Sensor 10 zur Erfassung und Ermittlung bestimmter Kenngrößen des Energiespeichers 12 sind beispielsweise unterschiedliche Softwarekomponenten 48.1, 48.2 hinterlegt, die unter Verwendung der entsprechenden Variablen 49 die jeweiligen Ausgangsgrößen 50 ermitteln. Hierbei kann es sich bei den entsprechenden Ausgangsgrößen 50 um einen Strom Ib, insbesondere gefiltert Strom Ib des Energiespeichers 12 und/oder eine Spannung Ub, insbesondere um eine gefiltert Spannung Ub, am Energiespeicher 12 und/oder eine Temperatur Tb am Energiespeicher 12 und/oder ein Innenwiderstand Ri des Energiespeichers 12 und/oder um ein Fehlersignal eines Kanals des Analog-Digital-Wandlers 15, insbesondere für den Spannungskanal und/oder für den Stromkanal, handeln. Es handelt sich insbesondere um solche Ausgangsgrößen 50, welche solche Kenngrößen des Energiespeichers 12 beschreiben, die eine hohe Zuverlässigkeit aufweisen müssen, insbesondere indem sie als Eingangsgrößen für Komponenten mit hohen Sicherheitsanforderungen, wie sie beispielsweise für das autonome Fahren oder Ähnliches verwendet werden, dienen.Different software components 48.1, 48.2, for example, are stored in the sensor 10 for detecting and determining specific parameters of the energy store 12, which software components determine the respective output variables 50 using the corresponding variables 49. The corresponding output variables 50 can be a current Ib, in particular a filtered current Ib of energy store 12 and/or a voltage Ub, in particular a filtered voltage Ub, at energy store 12 and/or a temperature Tb at energy store 12 and/or an internal resistance Ri of the energy store 12 and/or an error signal of a channel of the analog/digital converter 15, in particular for the voltage channel and/or for the current channel. In particular, these are output variables 50 that describe such parameters of energy store 12 that must have high reliability, in particular by serving as input variables for components with high safety requirements, such as those used for autonomous driving or the like.

Im vorliegenden Sensor 10 zur Erfassung und Ermittlung bestimmter Kenngrößen des Energiespeichers 12 sind beispielsweise unterschiedliche Softwarekomponenten 38.1, 38.2 mit geringeren Sicherheitsanforderungen hinterlegt, die unter Verwendung der entsprechenden Variablen 39 die jeweiligen Ausgangsgrö-ßen 40 ermitteln. Hierbei kann es sich bei den entsprechenden Ausgangsgrößen 40 um eine Sulfatierung, ein Ladezustand SOC des Energiespeichers 12, eine Kapazität des Energiespeichers 12 und/oder einen Ruhestrom des Energiespeichers 12 oder ähnliche Kenngrößen des Energiespeichers 12 handeln. Es sind insbesondere solche Ausgangsgrößen 50, welche solche Kenngrößen des Energiespeichers 12 beschreiben, die zwar beispielsweise für Diagnose- oder Informationszwecke interessant sind, jedoch keine hohe Zuverlässigkeit aufweisen müssen, insbesondere indem sie nicht als Eingangsgrößen für Komponenten mit hohen Sicherheitsanforderungen, wie sie beispielsweise für das autonome Fahren oder Ähnliches verwendet werden, dienen.For example, different software components 38.1, 38.2 with lower security requirements are stored in the present sensor 10 for detecting and determining certain parameters of the energy store 12, which determine the respective output variables 40 using the corresponding variables 39. The corresponding output variables 40 can be a sulfation, a state of charge SOC of the energy store 12, a capacity of the energy store 12 and/or a quiescent current of the Act energy storage 12 or similar parameters of the energy storage 12. In particular, output variables 50 are those that describe such parameters of energy store 12 that are of interest, for example, for diagnostic or information purposes, but do not have to be highly reliable, in particular because they are not used as input variables for components with high safety requirements, such as those used for the autonomous driving or the like are used.

Beispielhaft wird eine Softwarekomponente 48 beschrieben, die eine Strommessung und Filterung durch den Sensor 10 und somit als Ausgangsgröße 50 einen Strom Ib des Energiespeichers 12 liefert. Beispielsweise über den Messwiderstand 13, der im Sensor 10 integriert ist, und den Analog-Digital-Wandler 15 wird ein Stromwert abgegriffen und im Stack 31 als zugehörige Variable abgelegt. Eine Speicherschutz-Operation ist nicht erforderlich, da lediglich eine Schreiboperation für den Stack 31 bzw. das Auslesen des Registers des Analog-Digital-Wandlers 15 vorgenommen wurde.A software component 48 is described as an example, which supplies a current measurement and filtering by the sensor 10 and thus a current Ib of the energy store 12 as an output variable 50 . For example, a current value is tapped via the measuring resistor 13, which is integrated in the sensor 10, and the analog/digital converter 15 and stored in the stack 31 as an associated variable. A memory protection operation is not required since only a write operation for the stack 31 or the reading out of the register of the analog/digital converter 15 was carried out.

Anschließend wird eine Kalibrierung für die im Stack 31 abgelegte Variable wie oben beschrieben durchgeführt unter Verwendung eines Verstärkungsfaktors und eines Offsetwertes. Verstärkungsfaktor und Offsetwert werden als Variable 49 im sicherheitsrelevanten Speicherbereich 44 abgelegt. Hierbei ist eine Speicherschutzoperation vorgesehen, da beispielsweise ein FIFO-Speicher des sicherheitsrelevanten statischen Speicherbereichs 44 beschrieben wird. Das Lesen des FIFO-Index (Speicheradresse) selbst benötigt keine Speicherschutzeinheit.A calibration for the variable stored in the stack 31 is then carried out as described above using an amplification factor and an offset value. Amplification factor and offset value are stored as variables 49 in safety-relevant memory area 44 . In this case, a memory protection operation is provided since, for example, a FIFO memory of the safety-relevant static memory area 44 is being written to. Reading the FIFO index (memory address) itself does not require a memory protection unit.

Der kalibrierte Stromwert wird beispielsweise in den FIFO-Puffer im statischen sicherheitsrelevanten Speicherbereich 44 geschoben entsprechend dem aktuellen FIFO-Index (Speicheradresse). Der entsprechende aktuelle FIFO-Index (Speicheradresse) wird ebenfalls in dem sicherheitsrelevanten Speicherbereich 44 neben dem kalibrierten Stromwert Ib (als Ausgangsgröße 50) abgelegt. Wiederum führt die Speicherschutzeinrichtung 32 die entsprechenden Schutzoperationen durch.For example, the calibrated current value is shifted into the FIFO buffer in the static safety-relevant memory area 44 according to the current FIFO index (memory address). The corresponding current FIFO index (memory address) is also stored in the safety-relevant memory area 44 next to the calibrated current value Ib (as output variable 50). Again, the memory protector 32 performs the appropriate protection operations.

Beispielhaft wird eine Softwarekomponente 48 beschrieben, die eine Stromfilterungs-Sequenz beschreibt. Zunächst wird der Stromstatus und/oder Strom Ib als Variable in den Stack 31 eingelesen. Da der Stack 31 beschrieben und der statische Speicherbereich 44 ausgelesen wird, ist die Speicherschutzeinrichtung 32 nicht aktiv. Diese Werte gehen in ein Signalfilter. Die ausgegebene Ausgangsgröße, nämlich der gefilterte Stromwert, wird in dem statischen sicherheitsrelevanten Speicherbereich 44 abgespeichert. Für diese Operation wird wieder die Speicherschutzeinrichtung 32 (Durchführung eines Vergleichs) aktiviert.A software component 48 that describes a current filtering sequence is described as an example. First, the current status and/or current Ib is read into the stack 31 as a variable. Since the stack 31 is being written to and the static memory area 44 is being read, the memory protection device 32 is not active. These values go into a signal filter. The output variable that is output, namely the filtered current value, is stored in the static, safety-relevant memory area 44 . For this operation, the memory protection device 32 (performing a comparison) is activated again.

Beispielhaft erfolgt in einer weiteren Softwarekomponente 48 die Verarbeitung des Stromwerts. Hierzu wird der kalibrierte Stromwert aus dem statischen sicherheitsrelevanten Speicherbereich 44 ausgelesen und gelangt als Variable in den Stack 31 entsprechend einer bestimmten Stack-Adresse. Eine Speicherschutzoperation (Vergleich) ist hierbei nicht erforderlich, da lediglich Leseoperationen des sicherheitsrelevanten Speicherbereichs 44 durchgeführt werden. Die Stackadresse wird in dem Speicherbereich 44 abgelegt. Deshalb ist eine Speicherschutz-Operation erforderlich. Der Stromwert wird im Stack 31 verarbeitet abgespeichert. Der dort abgelegte Stromwert wird als Ausgangswert 50 im statischen sicherheitsrelevanten Speicherbereich 44 abgespeichert unter Durchführung der Speicherschutzoperation.For example, the current value is processed in a further software component 48 . For this purpose, the calibrated current value is read from the static safety-relevant memory area 44 and reaches the stack 31 as a variable corresponding to a specific stack address. A memory protection operation (comparison) is not required here, since only read operations of the safety-relevant memory area 44 are carried out. The stack address is stored in memory area 44. Therefore, a memory protection operation is required. The current value is processed and stored in the stack 31 . The current value stored there is stored as an initial value 50 in the static, safety-relevant memory area 44 while the memory protection operation is carried out.

Für die Realisierung der Speicherschutzeinrichtung 32 gibt es unterschiedliche Möglichkeiten. Zum einen können bestimmte Hardware-Komponenten vorgesehen werden, die selbst die Speicherschutzeinrichtung 32 enthalten. Alternativ kann die Speicherschutzeinrichtung 32 realisiert werden durch die Implementierung einer bestimmten Software-Architektur. Diese Softwarearchitektur stellt sicher, dass keine Interferenzen beim Speicherzugriff auftreten. Eine spezielle Software-Komponente wird jedoch nicht benötigt. Alternativ kann die Speicherschutzeinrichtung 32 durch eine spezielle Software-Komponente realisiert werden. Diese Software-Komponente läuft während ihrer Nutzung zyklisch in einem anwenderspezifischen Schaltkreis (ASIC) des Sensors 10 und überwacht insbesondere die RAM-Bereiche bzw. Speicherbereiche 44,54 der SoftwareKomponenten 48.There are different possibilities for the realization of the memory protection device 32 . On the one hand, specific hardware components can be provided which themselves contain the memory protection device 32 . Alternatively, the memory protector 32 may be realized through the implementation of a specific software architecture. This software architecture ensures that there are no memory access interferences. However, a special software component is not required. Alternatively, the memory protection device 32 can be implemented by a special software component. During its use, this software component runs cyclically in an application-specific circuit (ASIC) of the sensor 10 and in particular monitors the RAM areas or memory areas 44, 54 of the software components 48.

Die Speicherschutzeinrichtung 32 ist in der Lage, Software bzw. Softwarekomponenten 38,48 unterschiedlichen Sicherheitsniveaus (beispielsweise Softwarekomponenten 38 mit niedrigem Sicherheitsniveau nach QM; bzw. Softwarekomponenten 48 mit hohem Sicherheitsniveau wie beispielsweise nach ASIL- B erstellt entsprechend ISO 26262) zu erkennen bzw. differenziert zu behandeln. Die Speicherschutzeinrichtung 32 ist beispielsweise in der Lage, QM- Softwarekomponenten, ASIL B- Softwarekomponenten mit den zugehörigen Variablen 39, 49 bzw. Ausgangsgrößen 40, 50 zu identifizieren. Hierbei werden insbesondere Softwarekomponenten 38 mit niedrigerem Sicherheitsniveau (QM) erkannt, die den Speicherinhalt von mit höherem Sicherheitsniveau (beispielsweise ASIL B) bewerteten Softwarekomponenten 48 beschädigen könnten und im Fall einer Beschädigung bzw. Verfälschung des Speicherinhalts innerhalb einer bestimmten Zeitspanne in einen sicheren Zustand überführt werden können. Dies wird durch die dezidierte Zuordnung bestimmter Speicherbereiche 34 bzw. 44 für unterschiedliche Softwarekomponenten 38 zw. 48 wie oben beschrieben behoben.The memory protection device 32 is able to recognize or differentiate software or software components 38, 48 with different security levels (e.g. software components 38 with a low security level according to QM; or software components 48 with a high security level, for example according to ASIL-B according to ISO 26262). to treat. The memory protection device 32 is able, for example, to identify QM software components, ASIL B software components with the associated variables 39, 49 or output variables 40, 50. In particular, software components 38 with a lower security level (QM) are identified that could damage the memory content of software components 48 rated with a higher security level (e.g. ASIL B) and, in the event of damage or falsification of the memory content, to a safe state within a certain period of time can be transferred. This is remedied by the dedicated allocation of certain memory areas 34 or 44 for different software components 38 or 48 as described above.

Softwarekomponenten 48 mit einem höheren Sicherheitsniveau (beispielsweise ASIL B) werden unter Einhaltung eines strengen Prozesses entwickelt, der sicherstellt, dass insbesondere keine Speicherinterferenzen verursacht werden. Software components 48 with a higher security level (e.g. ASIL B) are developed following a strict process that ensures that in particular no memory interference is caused.

Unterschiedliche Mechanismen können Ursache für Korrumption sein. So könnte beispielsweise ein unbeabsichtigter bzw. unerwünschter Speicherzugriff durch eine Referenzierung des Variablennamens oder der Adresse einer Komponente 48 mit höherem Sicherheitsniveau erfolgen. Zur Behebung dieses Problems kann der Zugriff über Variablen-Namen durch eine Begrenzung der Sichtbarkeit der Variablen vermieden werden. Der Zugriff über die Adresse erfolgt durch die Verwendung eines falschen Werts als Adresse oder aufgrund einer Durchführung einer falschen Pointer-Arithmetik bezogen auf eine Adresse.Different mechanisms can be the cause of corruption. For example, an unintentional or undesired memory access could take place by referencing the variable name or the address of a component 48 with a higher security level. To solve this problem, access via variable names can be avoided by limiting the visibility of the variable. Access via address occurs by using an incorrect value as an address or by performing incorrect pointer arithmetic with respect to an address.

Die unterschiedlich adressierbaren Speicherbereiche 34, 44, 54 weisen einen Unterschied in der Verwundbarkeit gegen unberechtigten Zugriff über die Adresse auf.The differently addressable memory areas 34, 44, 54 have a difference in vulnerability to unauthorized access via the address.

Nachfolgend werden Maßnahmen zur Ermittlung einer Speicherkorrumption beschrieben. Bei einem statischen Speicherschutz basiert die Erkennung einer Speicherkorrumption auf einer Duplizierung eines Speicherinhalts des Speicherbereichs 44, insbesondere eines sicherheitsrelevanten Speicherinhalts in Form der Variablen 49 und/oder der Ausgangsgrößen 50. So wird insbesondere der Speicherbereich 34 für Softwarekomponenten 38 mit niedrigerem Sicherheitsniveau (QM) von einem Speicherbereich 44, auf den die Softwarekomponente 48 mit höherem Sicherheitsniveau (ASIL B) zugreift, getrennt. Entsprechend wird ein Speicherbereich 54 als zu dem Arbeitsspeicherbereich 44 gespiegelter Bereich für die Softwarekomponente(n) 48 mit höherem Sicherheitsniveau vorgesehen. Dadurch wird ein redundantes Abbild des Speicherberichs 44 bezüglich statischer Variablen 49 und/oder Ausgangsgröße(n) in einem gespiegelten Bereich 54 (Variable(n) 49' und/oder Ausgangsgröße(n) 50') sichergestellt. Ein entsprechender Speicherbereich 54 soll verfügbar sein für ein Spiegeln bzw. Duplizieren eines Bereichs des Arbeitsspeichers 44 für die Softwarekomponenten 48 mit höherem Sicherheitsniveau, insbesondere eines solchen Speicherbereichs 44, in dem sicherheitsrelevante Daten abgelegt werden. Anschließend wird die Konsistenz zwischen dem entsprechenden Bereich des Arbeitsspeichers 44 und dem gespiegelten Speicherbereich 54 überprüft, beispielsweise durch regelmäßige Vergleiche mit einer Periodizität, die kürzer ist als die Fehlertoleranzzeit und insbesondere vor einer Modifizierung des Speicherbereichs 54. So wird zumindest ein Bereich des Arbeitsspeichers 44 der Komponente 48 mit höherem Sicherheitsniveau gespiegelt in den Speicherbereich 54, nachdem der Speicherbereich 44 modifiziert wurde, und/oder bevor die Softwarekomponente 38 mit niedrigerem Sicherheitsniveau (QM) ausgeführt wurde.Measures for detecting memory corruption are described below. In the case of static memory protection, the detection of memory corruption is based on a duplication of a memory content in memory area 44, in particular a security-relevant memory content in the form of variables 49 and/or output variables 50. In particular, memory area 34 for software components 38 with a lower security level (QM) is a memory area 44, which the software component 48 with a higher security level (ASIL B) accesses separately. Accordingly, a memory area 54 is provided as an area mirrored to the main memory area 44 for the software component(s) 48 with a higher security level. This ensures a redundant image of the memory area 44 with regard to static variables 49 and/or output variable(s) in a mirrored area 54 (variable(s) 49' and/or output variable(s) 50'). A corresponding memory area 54 should be available for mirroring or duplicating an area of the main memory 44 for the software components 48 with a higher security level, in particular such a memory area 44 in which security-relevant data is stored. The consistency between the corresponding area of main memory 44 and the mirrored memory area 54 is then checked, for example by regular comparisons with a periodicity that is shorter than the fault tolerance time and in particular before a modification of the memory area 54. In this way, at least one area of main memory 44 is Higher security level component 48 is mirrored into memory area 54 after memory area 44 has been modified and/or before lower security level (QM) software component 38 has been executed.

Die Konsistenzprüfung (Vergleich) erfolgt, indem der Inhalt des entsprechend ausgebildeten Bereichs des Arbeitsspeichers 44 verglichen wird mit dem zugehörigen Inhalt des Speicherbereichs 54. Das Layout des Bereichs des Arbeitsspeicherbereichs 44 und des Arbeitsspeicherbereichs 54 ist identisch. Hierbei können die einzelnen abgespeicherten Werte bzw. Daten (Variable(n) 49, Ausgangsgröße(n) 50) des Speicherbereichs 44 mit den zugehörigen Werten bzw. Daten (Variable(n) 49', Ausgangsgröße(n) 50') des Speicherbereichs 54 verglichen werden. Oder es können komplette Blöcke, die mehrere Variable(n) 49, 49' bzw. Ausgangsgröße(n) 50, 50' in den unterschiedlichen Bereichen 44,54 jeweils miteinander komplett verglichen werden.The consistency check (comparison) takes place by comparing the content of the correspondingly designed area of main memory 44 with the associated content of memory area 54. The layout of the area of main memory area 44 and main memory area 54 is identical. The individual stored values or data (variable(s) 49, output variable(s) 50) of memory area 44 can be compared with the associated values or data (variable(s) 49', output variable(s) 50') of memory area 54 be compared. Or complete blocks containing a plurality of variable(s) 49, 49' or output variable(s) 50, 50' in the different areas 44, 54 can be completely compared with one another.

Sofern ein korrumpierter Speicherbereich 44 detektiert wurde (keine Übereinstimmung der verglichenen Daten), wechselt der Sensor 10 in den sicheren Zustand. Die Konsistenz der Speicheradressen wird mit einer vorgegebenen Periodizität überprüft und/oder insbesondere vor jeder Modifikation und/oder bevor eines entsprechenden Zugriffs. Die Periodizität der Überprüfung kann so gewählt werden, dass die Fehlertoleranzzeit, die je nach individuellen Anforderungen vorgegeben werden kann, eingehalten wird.If a corrupted memory area 44 was detected (the compared data do not match), the sensor 10 switches to the safe state. The consistency of the memory addresses is checked with a predetermined periodicity and/or in particular before each modification and/or before a corresponding access. The periodicity of the check can be selected in such a way that the error tolerance time, which can be specified depending on individual requirements, is observed.

Alternativ könnte eine unterschiedliche Vorgehensweise danach ausgerichtet werden, von wem die Software bzw. der Softwarecode erstellt wurde. So könnte die Software vom Ersteller auf Konsistenz überprüft werden und die Spiegelung auf Variablen-Level erfolgen, also nur bestimmte Teile könnten gespiegelt werden.Alternatively, a different approach could be based on who created the software or software code. The software could be checked for consistency by the creator and mirroring could take place at variable level, i.e. only certain parts could be mirrored.

Anhand 3 werden die verschiedenen Schritte für die Vergleichsoperation zwischen den Daten bzw. Werten des Speicherbereichs 44 und des gespiegelten Speicherbereichs 54 dargestellt. Zunächst wird die Bestimmungsadresse ermittelt, Schritt 101. Dies erfolgt beispielsweise unter Verwendung eines festen Offsets zwischen der ursprünglichen Adresse im Speicherbereich 44 und derjenigen im gespiegelten Speicherbereich 54. In der Abfrage 102 wird überprüft, ob der Bestimmungswert (Variable 49' und/oder Ausgangsgröße 50') des gespiegelten Speicherbereichs 54 übereinstimmt mit dem Quellenwert (Variable 49 und/oder Ausgangsgröße 50) des Speicherbereichs 44. Bei einer Abweichung schließt sich Schritt 103 an. Dann wird die entsprechende Adresse des korrumpierten Speicherbereichs 44 gespeichert (Schritt 103) und eine Fehler-Information generiert (Schritt 104). Anschließend endet die Vergleichsoperation. Gegebenenfalls wird der Sensor 10 in einen sicheren Zustand überführt.Based 3 the various steps for the comparison operation between the data or values of the memory area 44 and the mirrored memory area 54 are illustrated. First, the destination address is determined, step 101. This is done, for example, using a fixed offset between the original address in memory area 44 and that in mirrored memory area 54. In query 102, it is checked whether the determination value (variable 49' and/or output variable 50 ') of the mirrored memory area 54 matches with the source value (variable 49 and/or output variable 50) of the memory area 44. If there is a deviation, step 103 follows. Then the corresponding address of the corrupted memory area 44 is stored (step 103) and error information is generated (step 104). Then the comparison operation ends. If necessary, the sensor 10 is transferred to a safe state.

In 4 sind die verschiedenen Schritte für eine Speicheroperation gezeigt. Die Speicheroperation startet mit der in 3 beschriebenen Vergleichsoperation. Sofern die Vergleichsoperation erfolgreich durchlaufen wurde, dann wird der neue abzuspeichernde Wert (Variable 49 und/oder Ausgangsgröße 50) als zugehöriger neuer Quellwert in dem Speicherbereich 44 abgelegt (Schritt 105), die Zieladresse in dem gespiegelten Speicherbereich 56 (beispielsweise durch einen definierten Offset gegenüber der Speicheradresse im Speicherbereich 44) ermittelt (Schritt 106) und der aktualisierte Wert (als Variable 49' und/oder Ausgangsgröße 50') in dem gespiegelten Speicherbereich 54 abgelegt, Schritt 107. Damit ist die Speicheroperation beendet.In 4 shows the different steps for a memory operation. The save operation starts with the in 3 described comparison operation. If the comparison operation was successfully completed, then the new value to be stored (variable 49 and/or output variable 50) is stored as the associated new source value in memory area 44 (step 105), the target address in the mirrored memory area 56 (for example by a defined offset opposite the memory address in memory area 44) is determined (step 106) and the updated value (as variable 49' and/or output variable 50') is stored in mirrored memory area 54, step 107. The memory operation is thus ended.

Ähnlich wie die Speicheroperation kann eine Inkrementierungsoperation durchgeführt werden, nachdem die Vergleichsoperation wie in 3 gezeigt erfolgreich durchlaufen wurde. Anschließend wird die zugehörige Variable in dem Speicherbereich 44 inkrementiert und nach Ermittlung der Speicheradresse des gespiegelten Speicherbereichs 54 auch dort abgelegt. Die Speicheradresse des gespiegelten Speicherbereichs 54 kann beispielsweise wiederum durch einen feststehenden Offset auf die ursprüngliche Speicheradresse des Speicherbereichs 44 ermittelt werden.Similar to the store operation, an increment operation can be performed after the compare operation as in 3 shown has been completed successfully. The associated variable is then incremented in the memory area 44 and, after the memory address of the mirrored memory area 54 has been determined, also stored there. The memory address of the mirrored memory area 54 can in turn be determined, for example, by a fixed offset to the original memory address of the memory area 44 .

Ähnlich wie die Speicheroperation kann eine Dekrementierungsoperation durchgeführt werden, nachdem die Vergleichsoperation wie in 3 gezeigt erfolgreich durchlaufen wurde. Anschließend wird die zugehörige Variable in dem Speicherbereich 44 dekrementiert und nach Ermittlung der Speicheradresse des gespiegelten Speicherbereichs 54 auch dort abgelegt. Die Speicheradresse des gespiegelten Speicherbereichs 54 kann beispielsweise wiederum durch einen feststehenden Offset auf die ursprüngliche Speicheradresse des Speicherbereichs 44 ermittelt werden.Similar to the store operation, a decrement operation can be performed after the compare operation as in 3 shown has been completed successfully. The associated variable is then decremented in the memory area 44 and, after the memory address of the mirrored memory area 54 has been determined, also stored there. The memory address of the mirrored memory area 54 can in turn be determined, for example, by a fixed offset to the original memory address of the memory area 44 .

Die beschriebenen Funktionen Vergleichen, Speichern, Inkrementieren, Dekrementieren könnten beispielsweise für für Softwarekomponenten 38,48 zum Einsatz kommen, die beispielsweise intern bzw. vorab erstellt wurden im Gegensatz zu weiteren beispielsweise von Dritten bzw. später hinzugefügten Softwarekomponenten. Für diese (intern bzw. vorab erstellten) Komponenten 38,48 können die beschriebenen Funktionen basierend auf den einzelnen Variablen 49 bzw. Ausgangsgrößen 50 durchgeführt werden. Hierzu können entsprechende Makros angewendet werden, in denen insbesondere statische (selbst erstellte) Variablenwerte modifiziert werden. In diesem Fall erfolgt zuerst die Vergleichsoperation und anschließend die neue Wertzuordnung. Im Fall einer Leseaktion von statischen Variablen ist kein spezieller Speicherschutz erforderlich, da bei einer späteren Modifikation eines variablen Werts eine eventuell stattgefundene Korrumption identifiziert wird. Je nach Datengröße oder Datenart der Variablen 49 und/oder Ausgangsgrößen 50 können unterschiedliche Schnittstellen bzw. Makros implementiert werden.The described functions of comparing, storing, incrementing, decrementing could be used, for example, for software components 38, 48 that were created internally or in advance, for example, in contrast to other software components, for example by third parties or added later. For these components 38, 48 (created internally or in advance), the functions described can be carried out based on the individual variables 49 or output variables 50. Appropriate macros can be used for this purpose, in which in particular static (self-created) variable values are modified. In this case, the comparison operation is performed first and then the new value assignment. In the case of a read action of static variables, no special memory protection is required, since any corruption that may have taken place is identified when a variable value is later modified. Depending on the data size or data type of the variables 49 and/or output variables 50, different interfaces or macros can be implemented.

Es gibt bestimmte statische Variablen 49 und/oder Ausgangsgrößen 50 (insbesondere intern bzw. vorab erstellt), die seltener aktualisiert werden als eine sogenannte Fehlertoleranzzeit. Um eine mögliche Speicherkorrumption innerhalb der Fehlertoleranzzeit für solche Variablen 49 und/oder Ausgangsgrößen 50 zu identifizieren, erfolgt ein zusätzlicher Vergleich, der häufiger durchgeführt wird als die Fehlertoleranzzeit neben einer ohnehin üblichen Überprüfung bei einer Aktualisierung der entsprechenden Variablen 49 und/oder Ausgangsgröße 50. So kann beispielsweise der sicherheitsrelevante Speicherbereich 44 über eine bestimmte Speichergröße in Blöcke aufgeteilt werden, wobei Vergleiche der entsprechend festgelegten Blöcke des Speicherbereichs 44 mit den zugehörigen Blöcken des gespiegelten Speicherbereichs 54 zyklisch durchgeführt werden. So kann beispielsweise das gesamte statische Variablen-Set verglichen werden innerhalb der Fehlertoleranzzeit. Zur Ermittlung der zugehörigen Adressen der zu vergleichenden Blöcke wird überprüft, ob die Anfangsadresse sowie die Blockgröße innerhalb des zulässigen Speicherbereichs 44 bzw. 54 liegen, bzw. es werden nur solche Blöcke überprüft, die innerhalb des entsprechenden Speicherbereichs 44,54 liegen.There are certain static variables 49 and/or output variables 50 (in particular created internally or in advance) that are updated less frequently than a so-called fault tolerance time. In order to identify possible memory corruption within the error tolerance time for such variables 49 and/or output variables 50, an additional comparison is carried out, which is carried out more frequently than the error tolerance time in addition to a check that is usual anyway when the corresponding variables 49 and/or output variable 50 are updated For example, the safety-relevant memory area 44 can be divided into blocks over a specific memory size, with comparisons of the correspondingly defined blocks of the memory area 44 being carried out cyclically with the associated blocks of the mirrored memory area 54 . For example, the entire static variable set can be compared within the error tolerance time. To determine the associated addresses of the blocks to be compared, it is checked whether the start address and the block size are within the permissible memory area 44 or 54, or only those blocks which are within the corresponding memory area 44, 54 are checked.

Bei Softwarekomponenten 48, die von Dritten erstellt wurden, ist davon auszugehen, dass die entsprechenden Source-Files nicht modifiziert werden können, sodass die zuvor beschriebene variablen basierten Schutzmechanismen in dieser Form nicht angewendet werden können. Vielmehr erfolgt in diesem Fall eine blockweise Überprüfung von Blöcken, die in dem sicherheitsrelevanten Speicherbereich 44 und gespiegelt auch in dem Speicherbereich 54 abgelegt sind. Blöcke können definiert und erkannt werden durch die Startadresse und die Blockgröße als Eingangsgrößen für die nachfolgenden Funktionen. Vor dem Aufruf einer solchen (von Dritten erstellten oder generierten) Softwarekomponente 48 wird die Block-Vergleichsoperation parametrisiert durchgeführt mit dem entsprechenden statischen Speicherblock. Nach einem erfolgreichen Vergleich (die verglichenen Blöcke im sicherheitsrelevanten Speicherbereich 44 und im Speicherbereich 54 jeweils gespiegelt abgespeichert stimmen überein) wird die zugehörige Softwarekomponente 48 ausgeführt. Anschließend kann eine Kopierfunktion für den entsprechenden Block durchgeführt werden, parametrisiert mit dem jeweils relevanten statischen Speicherblock. Hierzu wird an die Speicherschutzeinrichtung 32 beispielsweise die Startadresse des Blocks und die Blockgröße übermittelt, über die der beschriebene Blockvergleich für den identifizierten Block durchgeführt wird. Gegebenenfalls erfolgt eine Fehlerbehandlung. Bei einer Übereinstimmung wird der Aufruf der entsprechenden Softwarekomponente 48 zugelassen, die ihrerseits wieder auf den entsprechenden Block beispielsweise im Rahmen einer Kopierfunktion zugreifen kann. Der Vergleich basierend auf Blöcken erfolgt für einen oder mehrere Blöcke ähnlich wie in Verbindung mit 3 für die Variablen 49 und/oder Ausgangsgrößen 50 beschrieben, nur anstelle auf Variablenbasis auf Blockbasis.In the case of software components 48 created by third parties, it can be assumed that the corresponding source files cannot be modified, so that the variable-based protection mechanisms described above cannot be used in this form. Rather, in this case, blocks that are stored in the safety-relevant memory area 44 and mirrored in the memory area 54 are checked in blocks. Blocks can be defined and recognized by the start address and the block size as input values for the following functions. Before such a software component 48 (created or generated by a third party) is called, the block comparison operation is performed parameterized with the corresponding static memory block. After a successful Comparison (the compared blocks in the safety-relevant memory area 44 and in the memory area 54 stored mirrored in each case match), the associated software component 48 is executed. A copy function can then be performed for the corresponding block, parameterized with the respective relevant static memory block. For this purpose, for example, the start address of the block and the block size, via which the block comparison described is carried out for the identified block, are transmitted to the memory protection device 32 . If necessary, error handling is carried out. If there is a match, the corresponding software component 48 can be called up, which in turn can access the corresponding block again, for example as part of a copy function. The comparison based on blocks is performed for one or more blocks in a similar way as in connection with 3 for the variables 49 and/or outputs 50, only on a block basis instead of on a variable basis.

Die im sicherheitsrelevanten Speicherbereich 44 abgelegten Werte (beispielsweise mehrere Variablen 49 und/oder Ausgangsgrößen 50), die zu einem Block gehören, werden erforderlichenfalls im Block in den gespiegelten Speicherbereich 54 kopiert. Die Zieladresse des Speicherbereichs 54 wird beispielsweise ermittelt über einen fixen Offset auf die Speicheradresse des Speicherbereichs 44. Nach dem entsprechenden Abspeichern wird beispielsweise die Zieladresse des Speicherbereichs 44 und/oder des Speicherbereichs 54 inkrementiert, sodass die zugehörige Operation für den nächsten zu kopierenden Block durchgeführt werden kann, bis alle Blöcke entsprechend gespiegelt wurden.The values stored in the safety-relevant memory area 44 (for example a number of variables 49 and/or output variables 50), which belong to a block, are copied to the mirrored memory area 54 in the block if necessary. The target address of memory area 54 is determined, for example, via a fixed offset to the memory address of memory area 44. After the corresponding storage, the target address of memory area 44 and/or memory area 54 is incremented, for example, so that the associated operation can be carried out for the next block to be copied until all blocks have been appropriately mirrored.

Die hohe Anzahl an redundanten Speicher- und Vergleichs-Operationen kann eine hohe Belastung der Recheneinheit zufolge haben und zu einem wachsenden Speicherbedarf (ROM) führen. Durch die folgenden Optionen kann die Rechenleistung reduziert werden. Zum einen kann die Periodizität der regulären Überprüfung angepasst werden. Zum einen könnte die Überprüfung in einem Makro programmiert werden, was zwar einen höheren Speicherbedarf (ROM) zur Folge hätte, jedoch geringere Rechenleistung benötigt. Die Ausführung könnte basierend auf der Funktion erfolgen, was zwar höhere Rechenleistung, jedoch geringeren Speicherbedarf nach sich zöge. Alternativ könnte die Funktion zumindest zeitweise deaktiviert werden.The high number of redundant storage and comparison operations can result in a high load on the processing unit and lead to a growing memory requirement (ROM). The following options can reduce the computing power. On the one hand, the periodicity of the regular check can be adjusted. On the one hand, the check could be programmed in a macro, which would result in a higher memory requirement (ROM), but would require less computing power. Execution could be based on the function, which would require more computing power but less memory. Alternatively, the function could be deactivated at least temporarily.

Um Anfälligkeiten des Stacks 31 zu minimieren, könnte das entsprechende Layout einfach gehalten werden. So soll die Abfolge einfach gehalten werden. Es werden nur Interrupts von Komponenten 48 mit höherem Sicherheitsniveau zugelassen. Softwarekomponenten 38 mit niedrigerem Sicherheitsniveau werden nur aufgerufen von Komponenten 48 mit höherem Sicherheitsniveau bzw. zugehörigem Betriebssystem bzw. die Programme springen dorthin wieder zurück. Das Betriebssystem verwendet keine Stack-Variablen bis zum Aufruf der Softwarekomponente 38 mit niedrigerem Sicherheitsniveau. Die Funktionen der Softwarekomponente 38 mit niedrigerem Sicherheitsniveau, die durch das Betriebssystem aufgerufen werden, umfassen keine Rücksprungswerte. Es wird nur ein einziger Stack 31 benutzt. Die Daten im Stack 31 werden jedoch dann überprüft, wenn eine entsprechende Anweisung erfolgt. In der überwiegenden Anzahl der Fälle werden entsprechende Werte zu Hardware-Ausnahmen führen, die eine Überleitung in den sicheren Zustand zur Folge haben.In order to minimize the susceptibility of the stack 31, the corresponding layout could be kept simple. This is to keep the sequence simple. Only interrupts from components 48 with a higher security level are permitted. Software components 38 with a lower security level are only called up by components 48 with a higher security level or the associated operating system, or the programs jump back there. The operating system does not use any stack variables until the software component 38 with a lower security level is called. The lower security level software component 38 functions that are invoked by the operating system do not include return values. Only a single stack 31 is used. However, the data in the stack 31 is checked when an appropriate instruction is given. In the majority of cases, corresponding values will lead to hardware exceptions, which result in a transition to the safe state.

Werden Programme der Komponenten 38 mit niedrigerem Sicherheitsniveau ausgeführt, enthält der Programmspeicher bzw. Stack 31 keine Daten, die von Komponenten 48 mit höherem Sicherheitsniveau verwendet werden.If programs of the components 38 are executed with a lower security level, the program memory or stack 31 does not contain any data that is used by components 48 with a higher security level.

Die beschriebene Vorrichtung eignet sich insbesondere für die Erhöhung der Zuverlässigkeit des Gesamtsystems insbesondere für das autonome Fahren, an das besonders strenge Sicherheitsanforderungen für die beteiligten Komponenten gestellt werden. Die Verwendung ist jedoch hierauf nicht eingeschränkt.The device described is particularly suitable for increasing the reliability of the overall system, in particular for autonomous driving, which places particularly strict safety requirements on the components involved. However, the use is not limited to this.

ZITATE ENTHALTEN IN DER BESCHREIBUNGQUOTES INCLUDED IN DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of documents cited by the applicant was generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturPatent Literature Cited

  • EP 1271170 B1 [0002]EP 1271170 B1 [0002]
  • WO 2015/135729 A1 [0003]WO 2015/135729 A1 [0003]

Claims (11)

Vorrichtung zur Erfassung und Verarbeitung einer Messgröße eines Sensors in einem Kraftfahrzeug, wobei zumindest ein Sensor (10) zumindest eine Messgröße (Ub, Ib) eines Energiespeichers (12) erfasst, wobei zumindest eine eine Recheneinrichtung (11) vorgesehen ist, die unter Verwendung der zumindest einen Messgröße (Ub, Ib) zumindest eine Ausgangsgröße (50) des Energiespeichers (12) ermittelt, wobei die Recheneinrichtung (11) zumindest einen Arbeitsspeicher (30) umfasst, dadurch gekennzeichnet, dass der Arbeitsspeicher (30) zumindest einen statischen Speicherbereich (44) und zumindest einen weiteren Speicherbereich (54) umfasst, wobei der Speicherbereich (44) so ausgebildet ist, um bestimmte insbesondere sicherheitsrelevante Daten (49,50), nämlich die Ausgangsgröße (50) und/oder zumindest eine für die Ermittlung der Ausgangsgröße benötigte Variable (49), abzulegen, wobei der weitere Speicherbereich (54) so ausgebildet ist, um in dem Arbeitsspeicher (44) befindliche Daten (49,50) gespiegelt abzulegen.Device for detecting and processing a measured variable of a sensor in a motor vehicle, with at least one sensor (10) detecting at least one measured variable (Ub, Ib) of an energy store (12), with at least one computing device (11) being provided, which uses the at least one measured variable (Ub, Ib) determines at least one output variable (50) of the energy store (12), the computing device (11) comprising at least one working memory (30), characterized in that the working memory (30) has at least one static memory area (44 ) and at least one further memory area (54), the memory area (44) being designed in such a way that specific data (49, 50), in particular safety-relevant data, namely the output variable (50) and/or at least one variable required for determining the output variable (49) to store, wherein the further memory area (54) is designed to store data (49,50) located in the working memory (44). must be discarded. Vorrichtung nach Anspruch 1, dadurch gekennzeichnet, dass der Arbeitsspeicher (30) zumindest einen dritten statischen Speicherbereich (34) umfasst für insbesondere nicht sicherheitsrelevante Daten (39,40), nämlich unter Verwendung der zumindest einen Messgröße (Ub, Ib) ermittelte weitere Ausgangsgröße (40) und/oder zumindest eine für die Ermittlung der weiteren Ausgangsgröße (40) benötigte Variable (39).device after claim 1 , characterized in that the working memory (30) comprises at least a third static memory area (34) for data (39, 40) that is in particular not relevant to safety, namely further output variables (40) determined using the at least one measured variable (Ub, Ib) and/ or at least one variable (39) required for determining the further output variable (40). Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zumindest eine Speicherschutzeinrichtung (32) vorgesehen ist, die einen Vergleich durchführt von zumindest Teilen der in dem Speicherbereich (44) abgelegten Daten (49,50) mit zumindest entsprechenden Teilen der in dem weiteren Speicherbereich (54) gespiegelt abgelegten Daten (49', 50').Device according to one of the preceding claims, characterized in that at least one memory protection device (32) is provided, which carries out a comparison of at least parts of the data (49, 50) stored in the memory area (44) with at least corresponding parts of the data in the further memory area (54) mirrored data (49', 50'). Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei fehlender Übereinstimmung der verglichenen Teile der Daten zumindest ein Fehlereintrag generiert ist und/oder eine weitere Operation wie beispielsweise ein Speichern von Daten (49,50) in dem Speicherbereich (44) und/oder ein Inkrementieren und/oder ein Dekrementieren von Daten unterbunden ist.Device according to one of the preceding claims, characterized in that if the compared parts of the data do not match, at least one error entry is generated and/or a further operation such as storing data (49, 50) in the memory area (44) and/or incrementing and/or decrementing of data is prevented. Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Speicherschutzeinrichtung (32) den Vergleich zyklisch und/oder vor einer Aktualisierung der Daten (49,50) durchführt.Device according to one of the preceding claims, characterized in that the memory protection device (32) carries out the comparison cyclically and/or before updating the data (49, 50). Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Vergleich auf einem Vergleich einzelner Daten wie beispielsweise Ausgangsgröße (50) und/oder Variable (49) oder auf dem Vergleich zumindest eines Blocks, der mehrere Daten wie Ausgangsgröße (50) und/oder Variablen (49) umfasst, beruht.Device according to one of the preceding claims, characterized in that the comparison is based on a comparison of individual data such as output variable (50) and/or variable (49) or on the comparison of at least one block which contains multiple data such as output variable (50) and/or includes variables (49). Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Sensor (10) zumindest ein Messelement wie beispielsweise einen Meßwiderstand (13) und/oder einen Analog-Digitalwandler (15) umfasst.Device according to one of the preceding claims, characterized in that the sensor (10) comprises at least one measuring element such as a measuring resistor (13) and/or an analogue/digital converter (15). Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zur Ermittlung sicherheitsrelevanter Daten (49,50) wie beispielsweise eine insbesondere gefilterte Spannung (Ub) des Energiespeichers (12) und/oder ein insbesondere gefilterter Strom (Ib) des Energiespeichers (12) und/oder ein Innenwiderstand (Ri) des Energiespeichers (12) und/oder eine Fehlerinformation betreffend eines im Sensor (10) vorgesehenen Analog-Digital-Wandlers zumindest eine Softwarekomponente (48) verwendet ist, welche einem hohen Sicherheitsstandard, wie beispielsweise ASIL B, genügt.Device according to one of the preceding claims, characterized in that for determining safety-relevant data (49, 50) such as a particularly filtered voltage (Ub) of the energy store (12) and/or a particularly filtered current (Ib) of the energy store (12) and /or an internal resistance (Ri) of the energy store (12) and/or error information relating to an analog/digital converter provided in the sensor (10), at least one software component (48) is used which satisfies a high safety standard, such as ASIL B, for example . Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zur Ermittlung nicht sicherheitsrelevanter Daten (39,40) wie beispielsweise eine Kapazität des Energiespeichers (12) und/oder ein Ladezustand (SOC) des Energiespeichers (12) und/oder ein Ruhestrom des Energiespeichers (12) zumindest eine Softwarekomponente (38) verwendet ist, welche einem geringeren Sicherheitsstandard, wie beispielsweise QM, genügt.Device according to one of the preceding claims, characterized in that for determining non-safety-relevant data (39, 40) such as a capacity of the energy store (12) and/or a state of charge (SOC) of the energy store (12) and/or a quiescent current of the energy store (12) at least one software component (38) is used which satisfies a lower security standard, such as QM. Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zur Ermittlung einer Speicheradresse zur gespiegelten Ablage von Daten (49',50') im weiteren Speicherbereich (54) eine Speicheradresse der zu spiegelnden Daten (49,50) mit einem festen Offset versehen wird.Device according to one of the preceding claims, characterized in that a memory address of the data (49, 50) to be mirrored is provided with a fixed offset to determine a memory address for mirrored storage of data (49', 50') in the further memory area (54). . Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eine Ausführung der Softwarekomponente (48) erst nach erfolgreich durchgeführtem Vergleich durch die Speicherschutzeinrichtung (32) erfolgt.Device according to one of the preceding claims, characterized in that the software component (48) is only executed after a successful comparison by the memory protection device (32).
DE102020210866.8A 2020-08-28 2020-08-28 Device for detecting and processing a measured variable of a sensor in a motor vehicle Pending DE102020210866A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102020210866.8A DE102020210866A1 (en) 2020-08-28 2020-08-28 Device for detecting and processing a measured variable of a sensor in a motor vehicle
PCT/EP2021/070275 WO2022042950A1 (en) 2020-08-28 2021-07-20 Device for capturing and processing a measurement value of a sensor in a motor vehicle

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020210866.8A DE102020210866A1 (en) 2020-08-28 2020-08-28 Device for detecting and processing a measured variable of a sensor in a motor vehicle

Publications (1)

Publication Number Publication Date
DE102020210866A1 true DE102020210866A1 (en) 2022-03-03

Family

ID=77071575

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020210866.8A Pending DE102020210866A1 (en) 2020-08-28 2020-08-28 Device for detecting and processing a measured variable of a sensor in a motor vehicle

Country Status (2)

Country Link
DE (1) DE102020210866A1 (en)
WO (1) WO2022042950A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022211197A1 (en) 2022-10-21 2024-05-02 Robert Bosch Gesellschaft mit beschränkter Haftung Sensor with a dynamic data range

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1271170B1 (en) 2001-06-30 2009-12-23 Robert Bosch Gmbh Device and method for determining the condition of batteries
WO2015135729A1 (en) 2014-03-13 2015-09-17 Robert Bosch Gmbh Arrangement for supplying electrical energy to a motor vehicle

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10361465A1 (en) * 2003-12-23 2005-08-11 Endress + Hauser Gmbh + Co. Kg Process meter with extended hardware error detection
DE202007016235U1 (en) * 2007-11-20 2009-04-16 Pepperl + Fuchs Gmbh sensor
WO2016143678A1 (en) * 2015-03-11 2016-09-15 日立オートモティブシステムズ株式会社 Battery managing device, battery monitoring circuit, control system
DE102017219241A1 (en) * 2017-10-26 2019-05-02 Audi Ag Method and semiconductor circuit for protecting an operating system of a security system of a vehicle
JP7004204B2 (en) * 2017-12-04 2022-01-21 株式会社Gsユアサ Measuring device, power storage device, measuring system, offset error measuring method
CN109143091B (en) * 2018-10-15 2020-12-29 四川长虹电器股份有限公司 Battery management system fault FDIR system and method based on double redundancy

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1271170B1 (en) 2001-06-30 2009-12-23 Robert Bosch Gmbh Device and method for determining the condition of batteries
WO2015135729A1 (en) 2014-03-13 2015-09-17 Robert Bosch Gmbh Arrangement for supplying electrical energy to a motor vehicle

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022211197A1 (en) 2022-10-21 2024-05-02 Robert Bosch Gesellschaft mit beschränkter Haftung Sensor with a dynamic data range

Also Published As

Publication number Publication date
WO2022042950A1 (en) 2022-03-03

Similar Documents

Publication Publication Date Title
DE112018002176T5 (en) Abnormality determination device, abnormality determination method and abnormality determination program
DE112018006702T5 (en) DETERMINING THE RELIABILITY OF VEHICLE CONTROL COMMANDS USING A MATCHING MECHANISM
DE19839680B4 (en) Method and device for modifying the memory contents of control units
EP2907072B1 (en) Method for controlling separated running of linked program blocks and control device
DE102014222860A1 (en) Electronic vehicle control unit
DE102019219427A1 (en) Method for monitoring an energy store in a motor vehicle
DE60002618T2 (en) Method and analysis tool for fault location in a computer
WO2007025816A2 (en) Memory arrangement and method for the operation thereof
EP1955164A1 (en) Program-controlled unit and method for the operation thereof
WO2022042950A1 (en) Device for capturing and processing a measurement value of a sensor in a motor vehicle
DE102013221098B4 (en) VEHICLE CONTROL UNIT
DE102007045509B4 (en) Vehicle control unit with a supply voltage monitored microcontroller and associated method
DE102018202093A1 (en) Method and device for calculating data models in safety-critical systems
DE102013202961A1 (en) Method for monitoring stack memory in operating system of control unit of motor vehicle, involves carrying out predefined action if characteristic parameters of stack memory before and after execution of program codes are not identical
WO2013004589A1 (en) Documentation of faults in a fault memory of a motor vehicle
DE102009002898A1 (en) Method for actualizing controller of vehicle, involves providing comparative results based on comparison of two conditions, and accomplishing actualization of controller based on one of comparative results
DE102018219700B4 (en) Control device
DE102019208129B4 (en) Electronic control unit
DE10128996B4 (en) Method and device for monitoring memory cells of a volatile data memory
DE102018210733A1 (en) Method for monitoring at least one computing unit
DE102022125619A1 (en) Method for starting a data processing device, data processing device and motor vehicle
WO2009103728A1 (en) Method and device for storing information data
DE102017214610A1 (en) Method for checking at least one vehicle function and testing device
DE102010042574A1 (en) Method for operating microcontroller of automobile, involves interrupting specific functions by mechanism such that functions are executed without interference from execution of other functions
DE102017110154B4 (en) Method for ISO 26262 compliant monitoring of the supply voltage VCC of an integrated sensor circuit of a pedestrian impact absorption device