DE102010002468A1 - Method for stopping functional unit operated by controller in motor vehicle, involves operating functional unit by internal output circuit of controller - Google Patents

Method for stopping functional unit operated by controller in motor vehicle, involves operating functional unit by internal output circuit of controller Download PDF

Info

Publication number
DE102010002468A1
DE102010002468A1 DE102010002468A DE102010002468A DE102010002468A1 DE 102010002468 A1 DE102010002468 A1 DE 102010002468A1 DE 102010002468 A DE102010002468 A DE 102010002468A DE 102010002468 A DE102010002468 A DE 102010002468A DE 102010002468 A1 DE102010002468 A1 DE 102010002468A1
Authority
DE
Germany
Prior art keywords
controller
functional unit
monitoring
stage circuit
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102010002468A
Other languages
German (de)
Inventor
Chengxuan Fu
Wilfried FEUCHTER
Rene Bischof
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102010002468A priority Critical patent/DE102010002468A1/en
Priority to CN201110048980.9A priority patent/CN102189995B/en
Publication of DE102010002468A1 publication Critical patent/DE102010002468A1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0006Digital architecture hierarchy

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

The method involves operating a functional unit (220) by an internal output circuit (213) of a controller (210). Another controller (240) is provided for monitoring of the former controller. The internal output circuit of the former controller is disconnected by the latter controller during identification of a malfunctioning of the former controller. An independent claim is also included for a monitoring device.

Description

Die vorliegende Erfindung betrifft ein Verfahren zum Stillsetzen einer von einem ersten Steuergerät betriebenen Funktionseinheit, z. B. eines Elektromotors oder Aktors, in einem Kraftfahrzeug sowie eine Überwachungseinrichtung umfassend wenigstens zwei Steuergeräte.The present invention relates to a method for stopping a operated by a first control unit functional unit, for. As an electric motor or actuator, in a motor vehicle and a monitoring device comprising at least two control units.

Stand der TechnikState of the art

Bei sicherheitskritischen Funktionseinheiten in Fahrzeugen, bspw. bei elektronischen Motorfüllungssteuerungssystem (EGAS), wird ein sog. 3-Ebenen-Konzept zur Sicherheitsüberwachung in dem betreibenden Steuergerät eingesetzt. Wesentlich dabei ist eine gegenseitige Überwachung innerhalb des Steuergeräts zwischen dem Funktionsrechner (Recheneinheit, CPU) und einem separaten Überwachungsmodul (Watchdog). Funktionsrechner und Überwachungsmodul kommunizieren über eine Frage-/Antwort-Kommunikation und können im Fehlerfall Leistungsendstufen im Steuergerät, welche zum Betrieb der Funktionseinheit vorgesehen sind, stillsetzen und somit die Sicherheit des Fahrzeugs gewährleisten.In the case of safety-critical functional units in vehicles, for example in the case of an electronic engine fill control system (EGAS), a so-called 3-level concept for safety monitoring is used in the operating control unit. Essential here is a mutual monitoring within the control unit between the function computer (arithmetic unit, CPU) and a separate monitoring module (Watchdog). Function computer and monitoring module communicate via a question / answer communication and can shut down in case of failure power amplifiers in the control unit, which are intended to operate the functional unit, and thus ensure the safety of the vehicle.

Wird bspw. ein Elektromotor als Funktionseinheit von dem Steuergerät betrieben, bezeichnet Ebene 1 die eigentliche Funktionssoftware, die zum Betreiben der Funktionseinheit notwendig ist. Diese wird auf dem Funktionsrechner ausgeführt. In Ebene 2, die ebenfalls auf dem Funktionsrechner ausgeführt wird, wird ein anhand eines vereinfachten Motormodells berechnetes zulässiges Moment mit einem Motor-Istmoment verglichen. Diese Ebene wird in einem durch die Ebene 3 abgesicherten Hardwarebereich durchgeführt. Bestandteil der Ebene 3 sind der Befehlstest, die Programmablaufkontrolle, der A/D-Wandler-Test sowie zyklische und vollständige Speichertests. Bei aktuellen elektronischen Motorfüllungssteuerungssystemen befindet sich die gesamte Funktions- und Überwachungssoftware in einem Steuergerät, wie es aus der DE 44 38 714 A1 bekannt ist.If, for example, an electric motor is operated as a functional unit by the control unit, level 1 denotes the actual functional software which is necessary for operating the functional unit. This is executed on the function computer. In level 2, which is also executed on the function calculator, a permissible torque calculated on the basis of a simplified engine model is compared with an actual engine torque. This level is performed in a level 3 protected hardware area. Part of level 3 are the command test, the program flow control, the A / D converter test as well as cyclic and complete memory tests. In current electronic engine fill control systems, all the functional and monitoring software resides in a controller, such as the one disclosed in US Pat DE 44 38 714 A1 is known.

Daneben ist das sog. 2-Rechner-Konzept bekannt, das beim Betreiben besonders sicherheitskritischer Funktionseinheiten, wie z. B. ABS- oder ESP-Systeme, eingesetzt wird. In diesem Zusammenhang ist aus der DE 103 31 872 A1 ein Verfahren zur Überwachung eines Systems mit vernetzten Steuergeräten bekannt, wobei die Steuergeräte jeweils wenigstens ein Rechenelement aufweisen und jeweils überwachungsrelevante Steuerungsvorgänge sowie Überwachungsvorgänge durchführen.In addition, the so-called. 2-computer concept is known, the operation of particularly safety-critical functional units such. As ABS or ESP systems is used. In this context is from the DE 103 31 872 A1 a method for monitoring a system with networked control units known, wherein the control units each have at least one computing element and each perform monitoring-relevant control operations and monitoring operations.

Die Steuergeräte des Überwachungssystems kommunizieren miteinander über ein Bussystem, wie z. B. CAN, FlexRay oder Ethernet. Die Ebene-2 Funktionen/Module sind auf alle in dem Netzverbund angeschlossenen Steuergeräte frei verteilbar, so dass die Ebene-1 Module in einem Steuergerät von den Ebene-2 Modulen eines anderen oder mehrerer anderer Steuergeräte überwacht werden. Die verteilte Überwachung auf mehreren Steuergeräten hat den Vorteil, dass die Ausfallwahrscheinlichkeit der Überwachungsfunktionalitäten durch zusätzliche Redundanz reduziert werden kann. Damit kann die verteilte Überwachung ein höheres Automotive Safety Integrity Level (ASIL Level) als das 3-Ebenen Konzept erreichen.The control units of the monitoring system communicate with each other via a bus system, such. CAN, FlexRay or Ethernet. The level 2 functions / modules are freely distributable to all control units connected in the network, so that the level 1 modules in one control unit are monitored by the level 2 modules of another or several other control units. The distributed monitoring on several control devices has the advantage that the probability of failure of the monitoring functionalities can be reduced by additional redundancy. This means that distributed monitoring can achieve a higher Automotive Safety Integrity Level (ASIL level) than the 3-level concept.

Ein bekanntes Abschaltkonzept bei der verteilten Überwachung ist die Abschaltung der Energieversorgung. Wenigstens zwei Steuergeräte können über das Kommunikationsnetzwerk Abschaltanforderungen an das Energiemanagementsystem senden, welches dann die Energieversorgung für das gesamte Überwachungssystem abschaltet. Mit diesem Abschaltkonzept ist jedoch eine Reihe von Nachteilen verknüpft. Zum einen setzt es ein hohes ASIL Level in dem Energiemanagementsystem voraus, d. h. die Abschaltfunktionalität muss ”eigensicher” sein. Diese Problematik wird dadurch verschärft, dass der Hersteller des Energiemanagementsystems nicht auch der Hersteller des Überwachungssystems bzw. der Überwachungseinrichtung sein muss.A well-known shutdown concept in distributed monitoring is the shutdown of the power supply. At least two controllers may send shutdown requests to the power management system over the communications network, which then turns off power to the entire monitoring system. However, this shutdown concept has a number of disadvantages. First, it requires a high ASIL level in the energy management system, i. H. the shutdown functionality must be "intrinsically safe". This problem is aggravated by the fact that the manufacturer of the energy management system does not have to be the manufacturer of the monitoring system or the monitoring device.

Weiterhin ist ein Funktionstest des Überwachungssystems erschwert, da eine Abschaltanforderung an das Energiemanagementsystem ggf. zur Stillsetzung der gesamten Fahrzeugelektrik führen kann. Daneben kann das Hauptschütz (z. B. Unterbrecher-Relais) in dem Batteriesystem in der Regel nicht unter Last geöffnet werden, weil dies zu einer Beschädigung oder Zerstörung des Hauptschützes führen kann. Eine Abschaltung, z. B. im Rahmen eines Funktionstests, führt daher zu erhöhtem Wartungsaufwand und zusätzlichen Kosten. Insgesamt wird dadurch auch das Testen der Abschaltung z. B. während der Entwicklung erschwert.Furthermore, a functional test of the monitoring system is more difficult since a shutdown request to the energy management system may possibly lead to the shutdown of the entire vehicle electrics. In addition, the main contactor (eg, breaker relay) in the battery system can not usually be opened under load, because this can lead to damage or destruction of the main contactor. A shutdown, z. As part of a functional test, therefore, leads to increased maintenance and additional costs. Overall, thereby testing the shutdown z. B. difficult during development.

Da außerdem die Abschaltanforderung von dem Steuergerät an das Energiemanagementsystem über das Kommunikationsnetzwerk übertragen wird, kann die Reaktionszeit im Fehlerfall erhöht sein, wenn z. B. Jitter oder Ausfall von Botschaften aufgrund von z. B. EMV-Störungen auftritt.In addition, since the shutdown request is transmitted from the controller to the energy management system via the communication network, the response time may be increased in the event of an error when z. As jitter or failure of messages due to z. B. EMC interference occurs.

Ausgehend von diesem Stand der Technik ist eine verbesserte Möglichkeit zur Abschaltung der Funktionseinheit bei einem 2-Rechner Konzept wünschenswert.Starting from this prior art, an improved possibility for switching off the functional unit in a 2-computer concept is desirable.

Offenbarung der ErfindungDisclosure of the invention

Erfindungsgemäß werden ein Verfahren zum Stillsetzen einer von einem ersten Steuergerät betriebenen Funktionseinheit sowie eine Überwachungseinrichtung mit den Merkmalen der unabhängigen Patentansprüche vorgeschlagen. Vorteilhafte Ausgestaltungen sind Gegenstand der Unteransprüche sowie der nachfolgenden Beschreibung.According to the invention, a method for stopping a functional unit operated by a first control unit and a Monitoring device proposed with the features of the independent claims. Advantageous embodiments are the subject of the dependent claims and the following description.

Vorteile der ErfindungAdvantages of the invention

Die Erfindung implementiert eine direkte Abschaltung der leistungsbestimmenden Endstufenschaltung eines ersten Steuergeräts durch ein überwachendes zweites Steuergerät. Dadurch werden die im Stand der Technik beschriebenen Nachteile vermieden. Die Fehlerreaktionszeit ist konstant und damit berechenbar und reproduzierbar. Die gesamte Überwachungseinrichtung mit mehreren Steuergeräten ist eigensicher. Somit hängt die funktionale Sicherheit des Systems nicht von Fremderzeugnisse, wie bspw. Energiemanagementsystemen, ab. Auch werden während des Abschaltvorgangs oder beim Testen keine Komponenten beschädigt, da Endstufenschaltungen bestimmungsgemäß schaltbar sind. Die Verfügbarkeit des Fahrzeugs wird dadurch im Vergleich zum Stand der Technik erhöht, die Wartbarkeit verbessert. Besonders hervorzuheben ist zusätzlich die Erhöhung der Sicherheit bzw. Reduzierung der Ausfallwahrscheinlichkeit durch zusätzliche Redundanz.The invention implements a direct shutdown of the power-determining output stage circuit of a first control unit by a monitoring second control unit. This avoids the disadvantages described in the prior art. The error response time is constant and thus calculable and reproducible. The entire monitoring device with several control units is intrinsically safe. Thus, the functional safety of the system does not depend on third-party products, such as energy management systems. Also, no components are damaged during the shutdown or during testing, since power stage circuits are switched as intended. The availability of the vehicle is thereby increased compared to the prior art, which improves maintainability. Particularly noteworthy is also the increase in security or reduction of the probability of default by additional redundancy.

Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.Further advantages and embodiments of the invention will become apparent from the description and the accompanying drawings.

Es versteht sich, dass die vorstehend genannten und die nachfolgend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.It is understood that the features mentioned above and those yet to be explained below can be used not only in the particular combination indicated, but also in other combinations or in isolation, without departing from the scope of the present invention.

Die Erfindung ist anhand von Ausführungsbeispielen in der Zeichnung schematisch dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnung ausführlich beschrieben.The invention is illustrated schematically by means of exemplary embodiments in the drawing and will be described in detail below with reference to the drawing.

Kurze Beschreibung der ZeichnungenBrief description of the drawings

1 zeigt eine Überwachungseinrichtung umfassend zwei Steuergeräte gemäß dem Stand der Technik. 1 shows a monitoring device comprising two control devices according to the prior art.

2 zeigt eine bevorzugte Ausführungsform einer erfindungsgemäßen Überwachungseinrichtung. 2 shows a preferred embodiment of a monitoring device according to the invention.

3 zeigt eine zweite bevorzugte Ausführungsform einer erfindungsgemäßen Überwachungseinrichtung. 3 shows a second preferred embodiment of a monitoring device according to the invention.

4 zeigt eine weitere bevorzugte Ausführungsform einer erfindungsgemäßen Überwachungseinrichtung. 4 shows a further preferred embodiment of a monitoring device according to the invention.

Ausführungsform(en) der ErfindungEmbodiment (s) of the invention

In 1 ist eine Überwachungseinrichtung 100 gemäß dem Stand der Technik umfassend ein erstes Steuergerät 110 zum Betreiben einer Funktionseinheit 120 sowie ein zweites Steuergerät 140 zum Betreiben einer Funktionseinheit 150 schaltplanartig und schematisch dargestellt. Das Steuergerät 110 verfügt über einen Funktionsrechner (Recheneinheit bzw. CPU) 111, der mit einer Schnittstelle 112 zum Empfang von beispielsweise Sensorsignalen eines Sensors 130 verbunden ist. Der Funktionsrechner 111 verarbeitet die Sensorsignale und steuert auf Grundlage der Verarbeitung und seiner Programmierung eine Endstufenschaltung 113 zum Betreiben der Funktionseinheit 120 an. Das Steuergerät 110 verfügt weiterhin über eine Schnittstelle 114 zur Ankopplung an einen Kommunikationsbus 160 sowie über ein Überwachungsmodul (Watch Dog) 115 zum Überwachen der Funktionsfähigkeit des Funktionsrechners 111.In 1 is a monitoring device 100 according to the prior art comprising a first control device 110 for operating a functional unit 120 and a second controller 140 for operating a functional unit 150 schematics and shown schematically. The control unit 110 has a function computer (arithmetic unit or CPU) 111 that with an interface 112 for receiving, for example, sensor signals of a sensor 130 connected is. The function calculator 111 processes the sensor signals and controls an output stage circuit based on the processing and its programming 113 for operating the functional unit 120 at. The control unit 110 also has an interface 114 for coupling to a communication bus 160 as well as a monitoring module (Watch Dog) 115 for monitoring the functionality of the function computer 111 ,

Die Endstufenschaltung 113 des Steuergeräts 110 ist über eine Zuleitung 180 und ein Hauptschütz 181 mit einer Energieversorgung, hier einer Batterie 182 verbunden. Zur Kontrolle der Energieversorgung ist ein Energiemanagementsystem 170 vorgesehen, das ebenfalls mit dem Kommunikationsbus 160 verbunden ist und auf entsprechende Anforderung hin das Hauptschütz 181 ansteuert, um die Stromversorgung abzustellen.The power stage circuit 113 of the control unit 110 is via a supply line 180 and a main contactor 181 with a power supply, here a battery 182 connected. To control the energy supply is an energy management system 170 provided, which also with the communication bus 160 is connected and upon request, the main contactor 181 controls to turn off the power supply.

Das zweite Steuergerät 140 entspricht in seinem Aufbau dem ersten Steuergerät 110 und soll daher nicht näher beschrieben werden. Die Komponenten innerhalb des Steuergeräts 140 sind mit um 30 erhöhten Bezugszeichen versehen. Das zweite Steuergerät 140 ist mit einem oder mehreren Sensoren 135 verbunden und betreibt eine Funktionseinheit 150.The second control unit 140 corresponds in its construction to the first control unit 110 and should therefore not be described in detail. The components inside the controller 140 are provided with increased by 30 reference numerals. The second control unit 140 is with one or more sensors 135 connected and operates a functional unit 150 ,

Bei den Funktionseinheiten 120, 150 kann es sich insbesondere um Elektromotoren handeln, wobei dann die Endstufenschaltungen 113, 143 beispielsweise die Transistoren bzw. IGBTs für einen Pulswechselrichter umfassen.For the functional units 120 . 150 these may in particular be electric motors, in which case the output stage circuits 113 . 143 For example, include the transistors or IGBTs for a pulse inverter.

Zur Realisierung eines 2-Rechner-Konzepts überwachen sich das erste Steuergerät 110 und das zweite Steuergerät 140 gegenseitig und senden im Falle eines festgestellten Fehlers eine Abschaltanforderung über den Kommunikationsbus 160 an das Energiemanagementsystem 170.To realize a 2-computer concept, monitor the first controller 110 and the second controller 140 mutually and send in case of a detected fault a shutdown request over the communication bus 160 to the energy management system 170 ,

In den nachfolgenden Figuren werden im Vergleich hierzu verbesserte Überwachungssysteme gemäß bevorzugter Ausführungsform der Erfindung beschrieben. In den 2 bis 4 sind gleiche Elemente mit gleichen Bezugszeichen versehen. Elemente, die denen in 1 entsprechen, sind mit einem um 100 erhöhten Bezugszeichen versehen.In the following figures, in comparison, improved monitoring systems according to a preferred embodiment of the invention described. In the 2 to 4 the same elements are provided with the same reference numerals. Elements similar to those in 1 match, are with one order 100 provided increased reference numerals.

Die bevorzugte Ausführungsform 200 einer erfindungsgemäßen Überwachungseinrichtung gemäß 2 verfügt über eine direkte Verbindungsleitung 201 zwischen dem Funktionsrechner 241 des zweiten Steuergeräts 240 und der Endstufenschaltung 213 des ersten Steuergeräts 210. Durch ein Signal auf der Leitung 201, beispielsweise ein Digitalsignal oder ein PWM-Signal, kann das zweite Steuergerät 240 direkt die Endstufenschaltung 213 des ersten Steuergeräts 210 aktivieren oder deaktivieren. Beispielsweise kann bei einem Digitalsignal der High-Pegel ”aktiv” und der Low-Pegel ”inaktiv” bedeuten oder bei einen PWM-Signal das Vorhandensein des Signals ”aktiv” und das Nichtvorhandensein des Signals ”inaktiv”.The preferred embodiment 200 a monitoring device according to the invention according to 2 has a direct connection line 201 between the function computer 241 of the second controller 240 and the power stage circuit 213 of the first controller 210 , By a signal on the line 201 For example, a digital signal or a PWM signal, the second controller 240 directly the power stage circuit 213 of the first controller 210 enable or disable. For example, for a digital signal, the high level may be "active" and the low level may be "inactive" or, for a PWM signal, the presence of the signal "active" and the absence of the signal "inactive".

Bei der zweiten bevorzugten Ausführungsform 300 des Überwachungssystems gemäß 3 ist zusätzlich eine Abschaltleitung 301 zwischen dem Überwachungsmodul 245 des zweiten Steuergeräts 240 und der Endstufenschaltung 213 des ersten Steuergeräts 210 vorgesehen. Diese Variante bietet den Vorteil, dass das Überwachungsmodul 245 des zweiten Steuergeräts 240 die Endstufenschaltung 213 in dem ersten Steuergerät 210 auch bei Auftreten einer Fehlfunktion des Funktionsrechners 241 des zweiten Steuergeräts 240 über die Abschaltleitung 301 abschalten kann.In the second preferred embodiment 300 of the monitoring system according to 3 is also a shutdown cable 301 between the monitoring module 245 of the second controller 240 and the power stage circuit 213 of the first controller 210 intended. This variant offers the advantage that the monitoring module 245 of the second controller 240 the power stage circuit 213 in the first controller 210 even if a malfunction of the function calculator occurs 241 of the second controller 240 via the shutdown line 301 can switch off.

In 3 ist eine bevorzugte Ausführungsform dargestellt, bei der neben der Abschaltleitung 301 auch die Abschaltleitung 201 gemäß 2 vorgesehen ist. Es sei dennoch erwähnt, dass ebenfalls eine Ausführungsform möglich ist, bei der nur die Abschaltleitung 301 vorgesehen ist.In 3 is a preferred embodiment shown in which in addition to the shutdown 301 also the shutdown line 201 according to 2 is provided. It should be noted, however, that also an embodiment is possible in which only the shutdown 301 is provided.

Bei der bevorzugten Ausführungsform 400 gemäß 4 werden die Abschaltleitungen innerhalb des zweiten Steuergeräts 240 ausgehend von dem Funktionsrechner 241 und dem Überwachungsmodul 245 zunächst in einem Konzentrator 246, beispielsweise einem UND-Glied, zusammengeführt, und anschließend über die Abschaltleitung 401 an die Endstufenschaltung 213 des ersten Steuergeräts 210 geführt. Auf diese Weise kann der Vorteil der Abschaltmöglichkeit sowohl durch den Funktionsrechner 241 als auch das Überwachungsmodul 245 eines zweiten Steuergeräts beibehalten werden, wobei dennoch nur eine physikalische Abschaltleitung zwischen den Steuergeräten vorgesehen sein muss.In the preferred embodiment 400 according to 4 become the shutdown lines within the second controller 240 starting from the function computer 241 and the monitoring module 245 first in a concentrator 246 , For example, an AND gate, merged, and then on the shutdown 401 to the power stage circuit 213 of the first controller 210 guided. In this way, the advantage of Abschaltmöglichkeit both by the function calculator 241 as well as the monitoring module 245 a second control device are maintained, yet only a physical shutdown line between the control units must be provided.

Das Abschalten der Endstufenschaltung kann beispielsweise das Stilllegen von in der Endstufenschaltung vorhandenen Transistoren, IGBTs, Schaltern usw. beinhalten. Alternativ oder zusätzlich kann das Abschalten der Endstufenschaltung auch das Stilllegen eines gegebenenfalls in der Endstufenschaltung vorhandenen Spannungswandlers o. ä. beinhalten. Auch können speziell für die Abschaltung vorgesehene Schaltelemente in der Endstufenschaltung bereitgestellt werden, welche von der Abschaltleitung des zweiten Steuergeräts angesteuert werden. Obwohl in den 2 bis 4 nur die Abschaltung der Endstufenschaltung des ersten Steuergeräts durch das zweite Steuergerät dargestellt ist, ist in Ausgestaltung der Erfindung auch eine gegenseitige Überwachung und Abschaltung möglich.The turning off of the power stage circuit may involve, for example, the shutdown of transistors, IGBTs, switches, etc. present in the power stage circuit. Alternatively or additionally, switching off the output stage circuit may also include the decommissioning of a voltage converter or the like which may be present in the output stage circuit. Also provided specifically for the shutdown switching elements can be provided in the power amplifier circuit, which are controlled by the shutdown of the second controller. Although in the 2 to 4 only the shutdown of the output stage circuit of the first control device is represented by the second control device, in the embodiment of the invention, a mutual monitoring and shutdown is possible.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • DE 4438714 A1 [0003] DE 4438714 A1 [0003]
  • DE 10331872 A1 [0004] DE 10331872 A1 [0004]

Claims (8)

Verfahren zum Stillsetzen einer von einem ersten Steuergerät (210) betriebenen Funktionseinheit (220) in einem Kraftfahrzeug, wobei das erste Steuergerät (210) eine interne Endstufenschaltung (213) zum Betreiben der Funktionseinheit (220) aufweist, wobei ein zweites Steuergerät (240) zur Überwachung des ersten Steuergeräts (210) vorgesehen ist, wobei bei Erkennung einer Fehlfunktion des ersten Steuergeräts (210) durch das zweite Steuergerät (240) die interne Endstufenschaltung (213) des ersten Steuergeräts (210) von dem zweiten Steuergerät (240) abgeschaltet wird.Method for stopping one of a first control unit ( 210 ) operated functional unit ( 220 ) in a motor vehicle, wherein the first control device ( 210 ) an internal power stage circuit ( 213 ) for operating the functional unit ( 220 ), wherein a second control device ( 240 ) for monitoring the first control device ( 210 ) is provided, wherein upon detection of a malfunction of the first control device ( 210 ) by the second control device ( 240 ) the internal power stage circuit ( 213 ) of the first controller ( 210 ) from the second controller ( 240 ) is switched off. Verfahren nach Anspruch 1, wobei zum Abschalten wenigstens eine eigene Abschaltleitung (201, 301, 401) verwendet wird.Method according to Claim 1, in which at least one dedicated shutdown line ( 201 . 301 . 401 ) is used. Verfahren nach Anspruch 1 oder 2, wobei die interne Endstufenschaltung (213) des ersten Steuergeräts (210) von einem Funktionsrechner (241) des zweiten Steuergeräts (240) abgeschaltet wird.Method according to claim 1 or 2, wherein the internal output stage circuit ( 213 ) of the first controller ( 210 ) from a function computer ( 241 ) of the second controller ( 240 ) is switched off. Verfahren nach einem der vorstehenden Ansprüche, wobei die interne Endstufenschaltung (213) des ersten Steuergeräts (210) von einem Überwachungsmodul (245) des zweiten Steuergeräts (240) abgeschaltet wird.Method according to one of the preceding claims, wherein the internal output stage circuit ( 213 ) of the first controller ( 210 ) from a monitoring module ( 245 ) of the second controller ( 240 ) is switched off. Verfahren nach einem der vorstehenden Ansprüche, wobei Schaltelemente in der Endstufenschaltung (213) abgeschaltet oder stillgesetzt werden.Method according to one of the preceding claims, wherein switching elements in the output stage circuit ( 213 ) shut down or shut down. Verfahren nach einem der vorstehenden Ansprüche, wobei eine Spannungsversorgungsschaltung in der Endstufenschaltung (213) ausgeschaltet oder stillgesetzt wird.Method according to one of the preceding claims, wherein a voltage supply circuit in the output stage circuit ( 213 ) is switched off or shut down. Überwachungseinrichtung (200, 300, 400) umfassend wenigstens ein erstes (210) und wenigstens ein zweites (240) Steuergerät zum Überwachen des ersten Steuergeräts (210), wobei das erste Steuergerät (210) eine interne Endstufenschaltung (213) zum Betreiben der Funktionseinheit (213) aufweist, wobei eine direkte Abschaltleitung (201, 301, 401) zwischen dem zweiten Steuergerät (240) und dem ersten Steuergerät (210) zum Abschalten der internen Endstufenschaltung (213) des ersten Steuergeräts (210) durch das zweite Steuergerät (240) vorgesehen ist.Monitoring device ( 200 . 300 . 400 ) comprising at least a first ( 210 ) and at least a second ( 240 ) Control device for monitoring the first control device ( 210 ), wherein the first control unit ( 210 ) an internal power stage circuit ( 213 ) for operating the functional unit ( 213 ), wherein a direct shutdown line ( 201 . 301 . 401 ) between the second control device ( 240 ) and the first control unit ( 210 ) for switching off the internal power stage circuit ( 213 ) of the first controller ( 210 ) by the second control device ( 240 ) is provided. Überwachungseinrichtung nach Anspruch 7, wobei die Abschaltleitung so vorgesehen ist, dass sie von einem Funktionsrechner (241) und/oder von einem Überwachungsmodul (245) des zweiten Steuergeräts (240) ansteuerbar ist.Monitoring device according to claim 7, wherein the cut-off line is provided such that it is provided by a function computer ( 241 ) and / or from a monitoring module ( 245 ) of the second controller ( 240 ) is controllable.
DE102010002468A 2010-03-01 2010-03-01 Method for stopping functional unit operated by controller in motor vehicle, involves operating functional unit by internal output circuit of controller Withdrawn DE102010002468A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102010002468A DE102010002468A1 (en) 2010-03-01 2010-03-01 Method for stopping functional unit operated by controller in motor vehicle, involves operating functional unit by internal output circuit of controller
CN201110048980.9A CN102189995B (en) 2010-03-01 2011-02-28 For making method out of service by the functional unit of controller controlling run in the car

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102010002468A DE102010002468A1 (en) 2010-03-01 2010-03-01 Method for stopping functional unit operated by controller in motor vehicle, involves operating functional unit by internal output circuit of controller

Publications (1)

Publication Number Publication Date
DE102010002468A1 true DE102010002468A1 (en) 2011-09-01

Family

ID=44501883

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102010002468A Withdrawn DE102010002468A1 (en) 2010-03-01 2010-03-01 Method for stopping functional unit operated by controller in motor vehicle, involves operating functional unit by internal output circuit of controller

Country Status (2)

Country Link
CN (1) CN102189995B (en)
DE (1) DE102010002468A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013217461B4 (en) * 2013-09-02 2023-10-05 Robert Bosch Gmbh Method and arrangement for monitoring a component in a motor vehicle
DE102018213182A1 (en) 2018-08-07 2020-02-13 Bayerische Motoren Werke Aktiengesellschaft Control system for a motor vehicle and method for fault diagnosis in a control system

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4438714A1 (en) 1994-10-29 1996-05-02 Bosch Gmbh Robert Method and device for controlling the drive unit of a vehicle
DE10331872A1 (en) 2003-07-14 2005-02-10 Robert Bosch Gmbh Method for monitoring a technical system

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3639055C2 (en) * 1986-11-14 1998-02-05 Bosch Gmbh Robert Process for monitoring and correcting errors in computers of a multi-computer system and multi-computer system
JPH01172668A (en) * 1987-12-28 1989-07-07 Aisin Aw Co Ltd Failure detecting device for interface circuit of other party in communication
DE19933086B4 (en) * 1999-07-15 2008-11-20 Robert Bosch Gmbh Method and device for mutual monitoring of control units
FI119508B (en) * 2007-04-03 2008-12-15 Kone Corp Fail safe power control equipment
KR101400399B1 (en) * 2008-01-28 2014-06-27 엘지전자 주식회사 Device controlling system and emergency controlling method thereof

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4438714A1 (en) 1994-10-29 1996-05-02 Bosch Gmbh Robert Method and device for controlling the drive unit of a vehicle
DE10331872A1 (en) 2003-07-14 2005-02-10 Robert Bosch Gmbh Method for monitoring a technical system

Also Published As

Publication number Publication date
CN102189995A (en) 2011-09-21
CN102189995B (en) 2016-03-16

Similar Documents

Publication Publication Date Title
EP2974156B1 (en) Device and method for the autonomous control of motor vehicles
EP3138175B1 (en) Power transmission device and vehicle electrical system
DE102018201119A1 (en) Method for monitoring the power supply of a motor vehicle with automated driving function
WO2015082113A1 (en) Vehicle electrical system for fault-tolerant and redundant supply
DE10331873B4 (en) Method for monitoring distributed software
DE102017119408A1 (en) BRAKE-BY-WIRE SYSTEM
DE102018103196A1 (en) CONTROLLING A REDUNDANT PERFORMANCE ARCHITECTURE FOR A VEHICLE
WO2017041930A1 (en) Method for performing a diagnosis in a motor vehicle
DE102017119692A1 (en) Brake-by-wire system
EP2720900B1 (en) Method for the safe deactivation of a high voltage network of a motor vehicle
DE102017119396A1 (en) BRAKE-BY-WIRE SYSTEM
EP2715860B1 (en) Security architecture, battery and motor vehicle having a corresponding battery
DE102008048952A1 (en) Device and method for controlling an electric steering
DE102008009652A1 (en) Monitoring device and monitoring method for a sensor, and sensor
WO2019170351A1 (en) Method and device for operating a drive system, and drive system for a vehicle
DE102013217461A1 (en) Method for monitoring a component in a motor vehicle
DE102017119413A1 (en) BRAKE-BY-WIRE SYSTEM
DE102012209144A1 (en) Method for transferring electrical drive system to safe state, involves switching off arrangement access to power supply over switching off path, where switching off path is formed such that path is tested in regular time spacings
DE102016203974A1 (en) Method and device for supplying electrical energy to a device
DE102010002468A1 (en) Method for stopping functional unit operated by controller in motor vehicle, involves operating functional unit by internal output circuit of controller
EP2786162B1 (en) Method of detecting a fault in connecting lines between a central unit and a plurality of electronic components which are independent of one another
DE102013200528A1 (en) Method for operating e.g. controlled area network bus of e.g. electric vehicle, involves connecting control devices over communication network for recognizing changes in control device in operation mode concerned by data manipulation
WO2006131255A2 (en) Method for operating an electric machine and control system therefor
DE102010017863A1 (en) Method for detecting error in hybrid power train of electrically propelled vehicle, involves stopping energy supply to electromotor of vehicle when fault drive torque is identified at electromotor
DE102018102105A1 (en) PERFORMANCE SYSTEM AND ITS CONTROL PROCESS

Legal Events

Date Code Title Description
R005 Application deemed withdrawn due to failure to request examination