DE10007008A1 - Verfahren zur Überwachung einer Datenverarbeitungseinrichtung - Google Patents

Verfahren zur Überwachung einer Datenverarbeitungseinrichtung

Info

Publication number
DE10007008A1
DE10007008A1 DE2000107008 DE10007008A DE10007008A1 DE 10007008 A1 DE10007008 A1 DE 10007008A1 DE 2000107008 DE2000107008 DE 2000107008 DE 10007008 A DE10007008 A DE 10007008A DE 10007008 A1 DE10007008 A1 DE 10007008A1
Authority
DE
Germany
Prior art keywords
calculation
error
input signals
signal
data processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE2000107008
Other languages
English (en)
Other versions
DE10007008B4 (de
Inventor
Werner Mayer
Erwin Schmid
Juergen Trost
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mayer Werner De
Schmid Erwin Dipl-Ing De
Original Assignee
DaimlerChrysler AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DaimlerChrysler AG filed Critical DaimlerChrysler AG
Priority to DE2000107008 priority Critical patent/DE10007008B4/de
Publication of DE10007008A1 publication Critical patent/DE10007008A1/de
Application granted granted Critical
Publication of DE10007008B4 publication Critical patent/DE10007008B4/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Ein Verfahren zur Überwachung einer Datenverarbeitungseinrichtung (2), bei dem aus einem ersten Eingangssignal (10) ein erstes Ergebnis (18) berechnet wird, aufgrund dessen ein Ansteuersignal (30) für einen Aktuator (5) erzeugt wird, bei dem aus einem zweiten Eingangssignal (9) ein zweites Ergebnis (20) berechnet wird, welches mit dem ersten Ergebnis (18) verglichen wird, wobei der Vergleichswert in einem Fehlerbehandlungsmittel (4) weiterverarbeitet wird und die beiden Eingangssignale (9, 10) von zweit redundant vorhandenen Sensoren oder einem eigensicheren Sensor stammen, die beiden Berechnungen (17, 19) aufgrund der beiden Eingangssignale (9, 10) auf derselben Datenverarbeitungseinrichtung (2) durchgeführt werden und im Fehlerfall ein zweites Ansteuersignal (31) die Ansteuerung des Aktuators (5) über das erste Ansteuersignal (30) beeinflusst.

Description

Die Erfindung betrifft ein Verfahren zur Überwachung einer Da­ tenverarbeitungseinrichtung, bei dem aus einem ersten Eingangs­ signal ein erstes Ergebnis berechnet wird, aufgrund dessen ein erstes Ansteuersignal für einen Aktuator erzeugt wird, und bei dem aus einem zweiten Eingangssignal ein zweites Ergebnis be­ rechnet wird, welches mit dem ersten Ergebnis verglichen wird, wobei der Vergleichswert in einem Fehlerbehandlungsmittel wei­ terverarbeitet wird.
Zur Bereitstellung ausfallsicherer Systeme in der Flugzeug-, Bahn- oder Fahrzeugtechnik, bspw. auf elektronischer Basis ar­ beitende Brems- oder Rückhaltesysteme, ist zur Erzielung hoher Sicherheit und Zuverlässigkeit die Datenverarbeitungseinrich­ tung, wie ein Mikrorechner, Mikroprozessor oder Mikrocontrol­ ler, zur Erzeugung einer Redundanz zweifach vorgesehen. Aus der WO 91/00200 ist bekannt, ein ausfallsicheres System lediglich mit einem Mikrorechner auszustatten und eine Mehrfachberechnung der erforderlichen Algorithmen in zwei zeitlich zueinander ver­ setzten Programmen durchzuführen. Dadurch werden kurzzeitige Störungen und Fehler erkannt. Länger andauernde oder dauerhafte Störungen, die bei beiden Programmen denselben Fehler verursa­ chen, werden nicht erkannt und können damit zu Fehlfunktionen führen. Bei einem aus der WO 97/06487 bekannten ausfallsicheren System, wird Redundanz entweder durch doppelte Rechnerbausteine oder Redundanz-ON-Chip dargestellt. Aufgrund der geschaffenen Redundanz zeichnen sich diese bekannten Sicherheitssysteme schon durch eine hohe Sicherheit und Zuverlässigkeit aus. Dies geht jedoch zu Lasten der Herstellungskosten, da ein entspre­ chend hoher Aufwand betrieben werden muß.
Die DE 196 22 041 A1 offenbart ein Verfahren zur Überwachung einer Rechnereinheit, wobei von der Rechnereinheit aus einem Eingangswert nach einer ersten Berechnungsmethode eine erste Ausgangsgröße ermittelt wird, und aus dem Eingangswert nach ei­ ner zweiten Berechnungsmethode, die unterschiedlich zur ersten Berechnungsmethode ist, eine zweite Ausgangsgröße ermittelt wird. Beide Berechnungsergebnisse werden miteinander verglichen und es wird ein Fehler erkannt, wenn die erste und die zweite Ausgangsgröße nicht in einem durch die erste und die zweite Be­ rechnungsmethode vorgegebenen Verhältnis zueinander stehen. Problematisch bei diesem Verfahren ist, dass die Ausfallsicher­ heit wegen der parallelen Berechnung zwar für das Berechnungs­ verfahren erhöht ist, jedoch die Fehlersicherheit für das ge­ samte System nicht wesentlich erhöht ist. Es ist hier für jedes Sensorsignal eine redundante Auslegung des Signalpfades erfor­ derlich, um eine hohe Fehlersicherheit zu erreichen. Infolge­ dessen sind hier auch zwei Mikrorechner im Signalpfad vorhan­ den.
Es ist Aufgabe der vorliegenden Erfindung, ein ausfallsicheres System der genannten Art, derart weiterzubilden, dass eine hohe Sicherheit und Zuverlässigkeit bei geringeren Kosten des aus­ fallsicheren Systems erzielbar ist.
Diese Aufgabe wird erfindungsgemäß durch die Merkmale des An­ spruchs 1 gelöst. Danach werden die beiden Eingangssignale von zwei redundant vorhandenen Sensoren oder von einem eigensiche­ ren Sensor mit nachgeschalteter redundanter Signalaufbereitung abgeleitet, die beiden Berechnungen werden aufgrund der beiden Eingangssignale auf derselben Datenverarbeitungseinrichtung redundant durchgeführt und im Fehlerfall beeinflusst ein zwei­ tes Ansteuersignal die Ansteuerung des Aktuators über das erste Ansteuersignal.
Erfindungsgemäß ist erkannt worden, dass Vorrichtungen für si­ cherheitskritische Anwendungen nicht mit zwei Datenverarbei­ tungseinrichtungen, insbesondere Mikrorechnern, Prozessoren o. dgl. ausgestattet sein müssen, die zur Erhöhung der Datensi­ cherheit eine gegenseitige Überwachung vornehmen. Mit dem Verfahren der vorliegenden Erfindung ist es vollkommen ausrei­ chend, lediglich eine Datenverarbeitungseinrichtung, bspw. in einem Steuergerät, mit unabhängigen Berechnungsroutinen vorzu­ sehen, die von zwei redundant angeordneten Sensoren Eingangs­ signale erhalten. Wenn die Überwachung mit den zur Erzeugung einer Redundanz zweifach angeordneten Berechnungsroutinen zu dem Ergebnis kommt, dass in der Datenverarbeitungseinrichtung oder einer externen Elektronik ein Fehler aufgetreten ist, wird die Vorrichtung gemäß der vorliegenden Erfindung in einen defi­ nierten, z. B. fehlerstummen Zustand überführt. Die Vorrichtung, insbesondere ein Steuergerät, weist dazu die erforderlichen Sy­ stemkomponenten auf.
Erfindungsgemäß ist das Verfahren derart weitergebildet, dass Fehler in einkanaligen sicherheitsrelevanten Systemkomponenten erkannt werden können und daraufhin die Vorrichtung mit Ihren Komponenten in einen definierten Zustand überführt werden kann. Mit dem erfindungsgemäßen Konzept können handelsübliche Mikro­ rechner durch geringen Aufwand, insbesondere durch externe Be­ schaltung und redundante Berechnungsroutinen, zu fehlerstummen Systemen ausgebaut werden. Einkanalig bedeutet, dass bei einer elektronischen Steuerung ein Sensor, eine Signalaufbereitung, eine Signalwandlung, eine Datenverarbeitungseinrichtung, eine Berechnung, eine Fehlererkennung, eine Leistungsstufe und/oder ein Aktuator nur einmal, insbesondere pro Eingang/Ausgang, vor­ handen sind.
Die Erfindung weist gegenüber der WO 91/00200 den Vorteil auf, dass durch die Referenzdaten und die Referenzsignale umfangrei­ che Überprüfungen der Hardware durchgeführt werden. Dabei wird die Fehlersicherheit der einkanaligen Schaltungen erheblich verbessert, indem die CPU, die Peripherie und/oder die Funktion des Speichers in bestimmten Zeitabständen oder beim Eintritt bestimmter Ereignisse überprüft wird. Dabei kann beispielsweise ein Watchdog zur Erkennung von Fehlern bei der Hard- oder Soft­ ware eingesetzt werden. Folglich wird eine hohe Fehlersicher­ heit bei einkanaligen Systemen erreicht, ohne dass eine redun­ dante Anordnung zweier sich gegenseitig kontrollierender Mikro­ rechner erforderlich ist.
Der definierte Zustand des Mikrorechners ist beispielsweise der Reset-, Idle- oder Halt-Zustand oder ein Programm, das auf dem Mikrorechner ein bestimmtes Verfahren durchführt, insbesondere die Ausgänge des Mikrorechners in einen definierten Zustand mit einem definierten Signal versetzt. Üblicherweise sind in diesem definierten Zustand die Endstufen stromlos geschaltet.
Bei einer Weiterbildung der vorliegenden Erfindung wird die einzige Datenverarbeitungseinrichtung der Vorrichtung, bspw. der Mikrorechner, zur Fehlererkennung mit Testalgorithmen und einem dritten Berechnungsalgorithmus versehen. Durch diese Aus­ gestaltung der Vorrichtung wird der Hardwareaufwand im Ver­ gleich zu bekannten redundanten Systemen erheblich reduziert und zum Teil durch Software-Programme ersetzt. Die Einsparung von redundanten Hardware-Einheiten führt zu einem erheblichen Kostenvorteil gegenüber Mehrrechnersystemen.
Es gibt nun verschiedenen Möglichkeiten, die Lehre der vorlie­ genden Erfindung in vorteilhafter Weise weiterzubilden. Dazu ist einerseits auf die untergeordneten Ansprüche und anderer­ seits auf die nachfolgende Erläuterung eines Verfahrens zu ver­ weisen. In der Zeichnung ist eine Weiterbildung des erfindungs­ gemäßen Verfahrens zur Überwachung dargestellt. Es zeigen je­ weils in schematischer Darstellung,
Fig. 1 eine Übersicht einer Vorrichtung mit einem Mikrorech­ ner, auf dem das erfindungsgemäße Verfahren durchge­ führt werden kann, und
Fig. 2 eine Darstellung des in dem Mikrorechner der Fig. 1 durchgeführten Verfahrens der Erfindung.
Die Vorrichtung ist als Steuergerät 1 ausgebildet und weist als Datenverarbeitungseinrichtung einen einzigen Mikrorechner 2 zur Erfüllung einer geforderten Systemfunktion auf. Die Vorrichtung 1 weist außerdem zur Überwachung der berechneten Daten ein Feh­ lererkennungsmittel 3 und ein Fehlerbehandlungsmittel 4 auf, das die Vorrichtung 1 bei einem Fehler in einen vorgegebenen und definierten Zustand versetzt. Das Steuergerät 1 des Ausfüh­ rungsbeispiels ist für ein Automobil vorgesehen und weist eine Eingangsschnittstelle 6 sowie Signalaufbereitungseinheiten 7, 8 zur Aufbereitung der Eingangssignale 9 und 10 auf. In den Signalaufbereitungseinheiten 7, 8 können die Eingangssignale 9, 10 bspw. analog/digital-gewandelt und durch das Fehlererken­ nungsmittel 3 bereits an dieser Stelle hinsichtlich Fehlern überprüft werden. Es können auch unterschiedliche Berechnungs­ routinen durchgeführt werden. Die Eingangssignale 9 und 10 stammen von einem eigensicheren Sensor, der dieselbe Größe oder sich redundant ergänzende Größen erfasst, die zur Erzeugung ei­ nes Ausgangssignals 11 zum Ansteuern eines Aktuator 5 erforder­ lich sind.
Beispielsweise ist zur Auslösung eines Airbags lediglich ein Sensorsignal erforderlich und das zweite dazu redundante Ein­ gangssignal ist lediglich zur Erhöhung der Sicherheit einsetz­ bar. Die beiden redundanten Eingangssignale stammen im Ausfüh­ rungsbeispiel von einem eigensicheren Sensor, d. h. der Sensor umfasst ein Mittel, das Fehler des Sensors erkennt und darauf reagiert. Das Sensorsignal wird in der Folge redundant aufbe­ reitet, gewandelt und/oder berechnet, so dass die beiden redun­ danten Signalpfade die Sicherheit des Systems erheblich erhö­ hen. Ein Sensorsignal könnte dazu mittels Fourieranalysen oder dgl. aufbereitet werden und mit einem zweiten in Echtzeit auf­ bereiteten Signal in vorgegebener Form verarbeitet werden. An­ derseits ist eine redundante Signalberechnung auf der Basis ei­ nes Geschwindigkeitssensors und eines dazu redundanten Be­ schleunigungssensors zu erzielen.
Das Fehlererkennungsmittel 3 kann als Hardware-Einheit ausge­ führt sein und ein Monitoring der Eingangssignale 9, 10 und der durch den Mikrorechner 2 ausgegebenen Ausgangssignale 11 durch­ führen. Das Fehlererkennungsmittel 3 und das Fehlerbehandlungs­ mittel 4 können aber auch in Form von Software-Modulen aufge­ baut sein, die im Speicher 12 des Mikrorechners 2 abgelegt sind. Das Fehlererkennungsmittel 3 vergleicht die Werte von redundanten Eingangssignale 9, 10 und die Ergebnisse von redundanten Berechnungen 17, 19. Außerdem vergleicht das Fehlerer­ kennungsmittel 3 das Ergebnis von der Referenzsignal-Wandlung 26 mit dem Referenzergebnis 28 sowie das Ergebnis 23 der Be­ rechnung 22 unter der Berücksichtigung der Referenzdaten 14 mit Referenzergebnis 24. Die Referenzsignale 13 und/oder die Refe­ renzdaten 14 beinhalten Daten und Signale aus einem Wertebe­ reich, die sicher entweder einen Fehler oder eine optimale Funktion des Steuergeräts 1 beschreiben. Referenzdaten 14 kön­ nen in Form eines Kennfeldes, eines Algorithmus oder zu be­ stimmten Wertebereichen abgelegt sein. Referenzsignale 13 kön­ nen von einer externen Hardware stammen, die zur Überwachung der Eingangssignale 9, 10 in Bezug auf Fehler geeignet sind.
Gemäß der vorliegenden Beschreibung sind Referenzsignale 13 de­ finierte Signale, die von Elektronikkomponenten, bspw. Taktge­ bern, Spannungsreferenzmitteln, Signalpegelmitteln, im Steuer­ gerät erzeugt werden. Diese Referenzsignale werden an einem entsprechenden Eingang des Mikrorechners, bspw. am Eingang für eine CAP/COM-Einheit, einem Analog-/Digitalwandlereingang oder einem Port-Eingang, angeschlossen. Einmal pro Regler- oder pro Programmzyklus werden diese Signale vom Mikrorechner erfasst und das aufbereitete Ergebnis mit einem im Speicher 12 abge­ speicherten Referenzergebnis verglichen. Dadurch können die üb­ licherweise nicht redundanten einkanaligen Eingänge 6 auf deren richtige Funktion überprüft werden.
Ausgangsseitig sind an den Mikrorechner 2 des Steuergeräts 1 zwei als Leistungsstufen 15, 16 ausgebildete Ansteuermittel an­ geschlossen, die die Ausgangssignale 11 des Mikrorechners 2 verstärken und/oder derart umwandeln, dass diese als Ansteuer­ signale 11 einer ausgangsseitig an das Steuergerät 1 ange­ schlossenen Komponente, bspw. einem Aktuator 5, dienen können. Eine separate Energieversorgung ist für die Leistungsstufen 15, 16 der Vorrichtung 1 vorgesehen.
In Fig. 2 ist der Mikrorechner 2 mit dem redundanten Überwa­ chungsverfahren dargestellt. Bei einer ersten Berechnungsrouti­ ne 17 wird ein erstes Ergebnis 18 zur Ansteuerung der ersten Leistungsstufe 15 nach einem der Anwendung entsprechenden Berechnungsverfahren aus mindestens einem Eingangssignal 10 be­ rechnet. Bei einer zweiten, insbesondere zeitlich versetzten und/oder identischen Berechnungsroutine 19 wird aus einem zwei­ ten Eingangssignal 9 ein zweites Ergebnis 20 berechnet und über einen Vergleicher 21 mit dem ersten Ergebnis 18 verglichen. Die Berechnungroutinen 17, 19 können auch ein Signalaufbereitungs­ mittel und ein Signalwandlungsmittel umfassen.
Hierbei gibt es zwei Realisierungsvarianten. Bei der ersten Va­ riante ist das zweite Eingangssignal 9 ein zum ersten Eingangs­ signal 10 redundantes Signal und die zweite Berechnung 19 ist eine zur ersten Berechnung 17 identische Berechnungsroutine. Durch zweimalige, zeitlich versetzte Berechnung des identischen Programms mit redundanten Eingangssignalen 9, 10, können kurz­ zeitige Störungen und Fehler erkannt werden. Die Eingangssigna­ le 9, 10 sind, wie schon beschrieben, zwei von redundanten Sen­ soren erfasste Signale. Dieses Verfahren gemäß der ersten Vari­ ante erkennt kurzzeitige Störungen durch die redundanten Be­ rechnungsroutinen 17 und 19. Die Wahrscheinlichkeit einer Stö­ rung durch denselben Berechnungsfehler über mehrere Reglerzy­ klen hinweg ist verschwindend gering.
Bei einer zweiten Variante ist das zweite Eingangssignal 9 kein zum ersten Eingangssignal 10 redundantes Signal, sondern eine unabhängige Systeminformation, die eventuell auf einem zum er­ sten Eingangssignal 10 unterscheidenden physikalischem Meßprin­ zip basiert. Die zweite Berechnung 19 stellt in diesem Fall ei­ ne sich zur ersten Berechnung 17 unterscheidende Berechnungs­ vorschrift dar, die im fehlerfreien Zustand der Vorrichtung 1 zum gleichen Ergebnis führt, wie die erste Berechnung 17. Bei dieser Variante kann sowohl eine kurz- wie auch langzeitige Störung der Vorrichtung 1 durch die unterschiedlichen Berech­ nungspfade erkannt werden.
Zusätzlich zu einer der beiden redundanten Berechnungsalterna­ tiven erfolgt eine weitere zur ersten Berechnungsroutine 17, insbesondere identische und/oder zeitlich versetzte dritte Be­ rechnung 22, die aus gespeicherten Referenzdaten 14 ein drittes Ergebnis 23 berechnet, das mit einem gespeicherten Referenzergebnis 24 durch einen Vergleicher 25 verglichen wird. Es ist insbesondere vorgesehen, dass der Programmcode zur ersten und dritten Berechnungsroutine 17 und 22 doppelt im Programmspei­ cher abgelegt wird, also redundant vorhanden ist.
Die dritte Berechnung 22 dient zur Überprüfung der Mikrorech­ ner-Hardware, insbesondere der CPU, des Speichers 12, des Takt­ gebers und/oder der internen Datenbusse. Die Berechnungsroutine 22 vergleicht die Eingangssignale 9, 10 oder andere Daten mit den Referenzdaten 14 und die daraus resultierenden Ergebnisse werden mit dem Referenzergebnis 24 verglichen. Bei einer Fehl­ funktion eines Gatters innerhalb der Mikrorechner-Hardware wird das Ergebnis überprüft und korrigiert. Dabei wird der Fehler beim Vergleich 25 mit dem Referenzergebnis 24 erkannt und eine entsprechende Fehlerbehandlung wird durchgeführt. Bei der Be­ rechnung 22 kann es sich um einen der mehrere Algorithmen han­ deln, die mit einem oder mehreren Referenzdaten 14 zu einem oder mehreren Ergebnissen verrechnet werden. Dieses Ergebnis kann dann wiederum mit mehreren Referenzergebnissen verglichen werden.
Zusätzlich kann die Berechnungsroutine 22 ein spezielles Test­ programm vorsehen, das sämtliche relevanten Arithmetik- und Lo­ gikeinheiten des Mikrorechners 2 anspricht. Durch diese Art der Berechnung können insbesondere länger andauernde oder dauerhaf­ te Störungen der Arithmetik- und Logikeinheiten erkannt werden. Diese Berechnung kann auch zu einer Laufzeitüberwachung heran­ gezogen werden, da sie im Gegensatz zu den Berechnungen 17 und 19 immer den gleichen zeitlichen Ablauf vorsieht und es bei­ spielsweise keine ereignisabhängigen Verzweigungen gibt. Die aktuell gemessene oder aufgrund des Berechnungszeitvergleichs ermittelte Laufzeit wird dann mit einem gespeicherten Referenz­ wert der Referenzdaten 14 verglichen, wodurch sich Fehler durch das Fehlererkennungsmittel 3 ermitteln lassen. Auf diese Weise kann das Fehlererkennungsmittel 3 den Taktgeber, Timer und die CPU des Mikrorechners 2 überprüfen.
Zur Überprüfung der einkanaligen Systemkomponenten von Ein­ gangsschaltungen wird ein entsprechendes Referenzsignal 13 an einen Eingangskanal des Steuergeräts 1 gelegt. Über die rech­ nerinterne Signalwandlung 26 wird ein viertes Ergebnis 27 be­ rechnet, das mit einem Referenzergebnis 28 über einen Verglei­ cher 29 verglichen wird.
Das Verfahren gemäß der vorliegenden Erfindung läuft folgender­ maßen ab: Eine schnelle Fehlererkennung und -reaktion wird da­ durch erreicht, dass die Berechnungen 17 und 19 durchgeführt werden und deren Ergebnisse über den Vergleicher 21 verglichen und im Fehlererkennungsmittel 3 bewertet werden. Ferner können ein oder mehrere Zwischenergebnisse während den Berechnungen 17, 19 erzeugt werden, die dann dem Fehlererkennungsmittel 3 und dem Fehlerbehandlungsmittel 4 zur Auswertung zugeführt wer­ den. Um die richtige Funktion der Vergleicher 21, 25, 29 zu überprüfen, können die Ergebnisse zunächst mit einem gespei­ cherten speziellen, bspw. fehlerhaften Ergebnismuster, vergli­ chen werden.
Stimmen die erzeugten Ergebnisse überein, wird über ein an das Fehlererkennungsmittel 3 gekoppeltes Fehlerbehandlungsmittel 4 eine zweite Leistungsstufe 16 freigeschaltet und somit der Ak­ tuator 5 über die erste Leistungsstufe 15 gemäß dem Ergebnis 18 der ersten Berechnungsroutine 17 eingestellt. Sollten die Er­ gebnisse 18 und 20 nicht übereinstimmen, wird die zweite Lei­ stungsstufe 16 gesperrt bzw. abgeschaltet und/oder der Mikro­ rechner 2 in einen definierten Zustand zurückgesetzt. Anderer­ seits kann das Rücksetzen des Mikrorechners 2 auch erst dann erfolgen, wenn ein Zählwert eines Fehlerzählers eine bestimmte Fehlerzahl überschreitet. So ist es möglich das Rücksetzen des Mikrorechners 2 an eine erforderliche Fehlerzahl und damit an eine Reaktionszeit des Gesamtsystems anzupassen. Dadurch führt nicht jeder Fehler automatisch zu sofortigem Abschalten des Sy­ stems.

Claims (14)

1. Verfahren zur Überwachung einer Datenverarbeitungseinrich­ tung (2), bei dem aus einem ersten Eingangssignal (10) ein er­ stes Ergebnis (18) berechnet wird, aufgrund dessen ein erstes Ansteuersignal (30) für einen Aktuator (5) erzeugt wird, und bei dem aus einem zweiten Eingangssignal (9) ein zweites Ergeb­ nis (20) berechnet wird, welches mit dem ersten Ergebnis (18) verglichen wird, wobei der Vergleichswert in einem Fehlerbe­ handlungsmittel (4) weiterverarbeitet wird, dadurch gekennzeichnet, dass die beiden Eingangssignale (9, 10) von zwei redundant vorhandenen Sensoren oder von einem eigensicheren Sensor mit nachgeschalteter redun­ danter Signalaufbereitung abgeleitet werden, die beiden Berech­ nungen (17, 19) aufgrund der beiden Eingangssignale (9, 10) auf derselben Datenverarbeitungseinrichtung (2) redundant durchge­ führt werden und im Fehlerfall ein zweites Ansteuersignal (31) die Ansteuerung des Aktuators (5) über das erste Ansteuersignal (30) beeinflusst.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Ausgangssignal (31) des Fehlerbehandlungsmittels (4) eine Lei­ stungsstufe (16) ansteuert, die dadurch die Anteuerung des Ak­ tuators (5) freigibt.
3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass zu­ sätzlich zu den beiden gegenseitig redundanten Berechnungspro­ zeduren (17, 19) Referenzsignale (13) von der Datenverarbei­ tungseinrichtung (2) eingelesen werden, wodurch eine Aussage über die Funktion der einkanaligen Systemkomponenten, wie Ein­ gangsschaltung (6) oder Signalwandlungsmittel (7, 8), getroffen werden kann.
4. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass aus Referenzdaten (14) durch die Berechnung (22) ein oder mehrere Ergebnisse berechnet werden, woraus durch den Vergleich mit den Referenzdaten (14) ein definierter Fehlerzustand oder ein defi­ nierter fehlerloser Zustand der Vorrichtung (1) oder deren Kom­ ponenten beschrieben wird.
5. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass aufgrund des zeitlichen Verlaufs einer Berechnung (22) aus Re­ ferenzdaten (14) bzw. des zeitlichen Verlaufs von Referenzsi­ gnalen (13) die Laufzeit der Berechnung zur Ansteuerung des Ak­ tuators (5) überprüft wird.
6. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die einzelne Berechnungen (17, 19, 22, 26) zeitlich gegeneinander versetzt sind, um Berechnungsschritte aufeinanderfolgender Be­ rechnungszyklen miteinander zu vergleichen.
7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekenn­ zeichnet, dass die Eingangssignale (9, 10) von zueinander iden­ tischen Elektroniken, insbesondere Sensoren, stammen und unter­ schiedliche Berechnungsroutinen (17, 19) durchlaufen.
8. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass zwei von nicht identischen Sensoren stammende Eingangssignale (9, 10) durch zwei sich unterscheidende Berechnungsroutinen (17, 19) weiterverarbeitet werden, so dass die Berechnungser­ gebnisse (18, 20) in einem bestimmten Verhältnis zueinander stehen.
9. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass zwei Eingangssignale (9, 10) von identischen Sensoren stammen und/oder identische Berechnungsroutinen (17, 19) durchlaufen.
10. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die dritte Berechnungsroutine (22) eine zu den anderen Berechnungs­ routinen (17, 19) identische Routine ist, die im Datenverarbeitungsmittel (2) abgespeicherte Referenzdaten (14) als Eingangs­ signale erhält.
11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass die Berechnungsergebnisse (23) mit in dem Datenverarbeitungs­ mittel (2) abgespeicherten Referenzergebnissen (24) verglichen werden.
12. Verfahren nach einem der Ansprüche 10 oder 11, dadurch ge­ kennzeichnet, dass der Programmcode der identischen Berech­ nungsroutinen (17, 19, 22), sowie die Parameter, Berechnungser­ gebnisse, Variablen, in identischen oder unterschiedlichen Speicherbereichen abgelegt werden.
13. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass für die unterschiedlichen Eingangskanäle (6) des Datenverarbei­ tungsmittels (2), insbesondere A/D-Wandler-Eingänge, Impulsein­ gänge, Ports, im Steuergerät (1) Referenzsignale (13) erzeugt werden, bei deren Erfassung durch das Datenverarbeitungsmittel (2) die korrekte Funktion der entsprechenden Systemkomponenten überprüft wird.
14. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass ei­ ne Fehlerdatenbank vorgesehen ist, in der Daten, insbesondere Fehlerklassen, Fehlerzähler, Fehlerreaktionen, hinterlegt sind.
DE2000107008 2000-02-16 2000-02-16 Verfahren zur Überwachung einer Datenverarbeitungseinrichtung Expired - Lifetime DE10007008B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE2000107008 DE10007008B4 (de) 2000-02-16 2000-02-16 Verfahren zur Überwachung einer Datenverarbeitungseinrichtung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE2000107008 DE10007008B4 (de) 2000-02-16 2000-02-16 Verfahren zur Überwachung einer Datenverarbeitungseinrichtung

Publications (2)

Publication Number Publication Date
DE10007008A1 true DE10007008A1 (de) 2001-09-06
DE10007008B4 DE10007008B4 (de) 2007-03-08

Family

ID=7631161

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2000107008 Expired - Lifetime DE10007008B4 (de) 2000-02-16 2000-02-16 Verfahren zur Überwachung einer Datenverarbeitungseinrichtung

Country Status (1)

Country Link
DE (1) DE10007008B4 (de)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1517175A1 (de) * 2003-09-19 2005-03-23 Fuji Photo Film Co., Ltd. Verwaltungssystem für medizinische Bilddateien
DE10211571B4 (de) * 2002-03-15 2006-03-02 Infineon Technologies Ag Vorrichtung und Verfahren zur Überwachung eines Zustandes einer elektronischen Komponente, insbesondere einer Sicherung
DE102005021140A1 (de) * 2005-05-06 2006-11-09 Bayerische Motoren Werke Ag Verfahren zur Überwachung einer Auslöseschwelle und/oder eines Auslösezeitpunktes von Insassenschutzeinrichtungen
DE102009016485A1 (de) * 2009-04-06 2010-10-07 Siemens Aktiengesellschaft Steuereinrichtung und zugehöriges Steuerverfahren zur Steuerung einer elektrischen Einrichtung
EP2693278A3 (de) * 2012-07-31 2015-12-23 Audi Ag Verfahren zur effizienten Absicherung sicherheitskritischer Funktionen eines Steuergeräts und Steuergerät
WO2017032513A1 (de) * 2015-08-24 2017-03-02 Robert Bosch Gmbh Verfahren und vorrichtung zum überwachen eines zustandes einer elektronischen schaltungseinheit eines fahrzeugs
CN115335270A (zh) * 2020-03-30 2022-11-11 西门子交通有限公司 用于运输工具中的数据管理的方法和系统

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6151201A (ja) * 1985-07-31 1986-03-13 Hitachi Ltd 三重化制御装置
DE3920791A1 (de) * 1989-06-26 1991-01-10 Elan Schaltelemente Gmbh Sicherheitseinrichtung mit mindestens einem beruehrungslosen geber
DE3921250A1 (de) * 1989-06-29 1991-01-03 Bosch Gmbh Robert Insassen-sicherheitssystem und verfahren zum betreiben desselben
US5583757A (en) * 1992-08-04 1996-12-10 The Dow Chemical Company Method of input signal resolution for actively redundant process control computers
DE19529434B4 (de) * 1995-08-10 2009-09-17 Continental Teves Ag & Co. Ohg Microprozessorsystem für sicherheitskritische Regelungen
DE19732764B4 (de) * 1997-07-30 2004-04-29 Rheinmetall Landsysteme Gmbh Übertragungseinrichtung für Steuersignale, insbesondere in Fahrzeugen
FR2776103A1 (fr) * 1998-03-11 1999-09-17 Jay Electronique Sa Ensemble de securite notamment pour des equipements de protection electrosensible

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7483326B2 (en) 2002-03-15 2009-01-27 Infineon Technologies Ag Apparatus and method for monitoring a state, in particular of a fuse
DE10211571B4 (de) * 2002-03-15 2006-03-02 Infineon Technologies Ag Vorrichtung und Verfahren zur Überwachung eines Zustandes einer elektronischen Komponente, insbesondere einer Sicherung
EP1517175A1 (de) * 2003-09-19 2005-03-23 Fuji Photo Film Co., Ltd. Verwaltungssystem für medizinische Bilddateien
US7448533B2 (en) 2003-09-19 2008-11-11 Fujifilm Corporation Medical image file management system and medical image film
DE102005021140B4 (de) * 2005-05-06 2014-06-12 Bayerische Motoren Werke Aktiengesellschaft Verfahren zur Überwachung einer Auslöseschwelle und/oder eines Auslösezeitpunktes von Insassenschutzeinrichtungen
DE102005021140A1 (de) * 2005-05-06 2006-11-09 Bayerische Motoren Werke Ag Verfahren zur Überwachung einer Auslöseschwelle und/oder eines Auslösezeitpunktes von Insassenschutzeinrichtungen
DE102009016485A1 (de) * 2009-04-06 2010-10-07 Siemens Aktiengesellschaft Steuereinrichtung und zugehöriges Steuerverfahren zur Steuerung einer elektrischen Einrichtung
EP2693278A3 (de) * 2012-07-31 2015-12-23 Audi Ag Verfahren zur effizienten Absicherung sicherheitskritischer Funktionen eines Steuergeräts und Steuergerät
US9335756B2 (en) 2012-07-31 2016-05-10 Audi Ag Method for the efficient protection of safety-critical functions of a controller and a controller
WO2017032513A1 (de) * 2015-08-24 2017-03-02 Robert Bosch Gmbh Verfahren und vorrichtung zum überwachen eines zustandes einer elektronischen schaltungseinheit eines fahrzeugs
US10782697B2 (en) 2015-08-24 2020-09-22 Robert Bosch Gmbh Method and apparatus for monitoring a state of an electronic circuit unit of a vehicle
CN115335270A (zh) * 2020-03-30 2022-11-11 西门子交通有限公司 用于运输工具中的数据管理的方法和系统
CN115335270B (zh) * 2020-03-30 2024-01-26 西门子交通有限公司 用于运输工具中的数据管理的方法和系统

Also Published As

Publication number Publication date
DE10007008B4 (de) 2007-03-08

Similar Documents

Publication Publication Date Title
DE10056408C1 (de) Vorrichtung zur Überwachung eines Prozessors
DE60309928T2 (de) Verfahren zur erhöhung der sicherheitsintegritätsstufe eines kontrollsystems
EP0479792B1 (de) Insassen-sicherheitssystem
EP2210151B1 (de) FELDGERÄT FÜR DIE BESTIMMUNG ODER ÜBERWACHUNG EINER PROZESSGRÖßE IN DER PROZESSAUTOMATISIERUNG
EP1597643B1 (de) Vorrichtung und verfahren zur modellbasierten on-board-diagnose
DE19631309A1 (de) Mikroprozessoranordnung für ein Fahrzeug-Regelungssystem
WO2008040641A2 (de) Verfahren und vorrichtung zur fehlerverwaltung
DE19500188B4 (de) Schaltungsanordnung für eine Bremsanlage
DE19919504A1 (de) Triebwerksregler, Triebwerk und Verfahren zum Regeln eines Triebwerks
EP0799143B1 (de) Verfahren und schaltungsanordnung zur überwachung der funktion einer programmgesteuerten schaltung
DE102017123615A1 (de) Konfigurierbares Sicherheitsmodul zur Erfassung digitaler oder analoger Eingangs- oder Ausgangssignale
DE10007008A1 (de) Verfahren zur Überwachung einer Datenverarbeitungseinrichtung
DE2701159A1 (de) Verfahren und einrichtung zur pruefung der funktion einer antiblockier-regelanlage
WO2003096540A1 (de) Elektronische schaltungsanordnung zur fehlerabgesicherten analog-/digital-umwandlung von signalen
EP1615087A2 (de) Steuer- und Regeleinheit
DE102007045509A1 (de) Fahrzeug-Steuereinheit mit einem Versorgungspannungsüberwachten Mikrocontroller sowie zugehöriges Verfahren
DE102008043374A1 (de) Vorrichtung und Verfahren zur Generierung redundanter, aber unterschiedlicher Maschinencodes aus einem Quellcode zur Verifizierung für ein sicherheitskritisches System
WO2017032513A1 (de) Verfahren und vorrichtung zum überwachen eines zustandes einer elektronischen schaltungseinheit eines fahrzeugs
WO2005001692A2 (de) Verfahren und vorrichtung zur überwachung eines verteilten systems
DE102009002734A1 (de) Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Prozessautomatisierung
DE10002519C1 (de) Verfahren zur Verhinderung von Fehlfunktionen in einem signalverarbeitenden System und Prozessorsystem
DE102006032938A1 (de) Verfahren zur Verarbeitung eines Signals zumindest eines Beschleunigungssensors sowie entsprechende Signalverarbeitungseinrichtung
EP0694451B1 (de) Fahrzeugsicherungsanordnung
EP1561165A2 (de) Steuereinheit zur auslösung eines insassenschutzmittels in einem kraftfahrzeug und verfahren zur überwachung der ordnungsgemässen funktion einer vorzugsweise solchen steuereinheit
EP4106200B1 (de) Näherungsschalter mit funktionaler sicherheit

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8327 Change in the person/name/address of the patent owner

Owner name: DAIMLERCHRYSLER AG, 70327 STUTTGART, DE

8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: DAIMLER AG, 70327 STUTTGART, DE

R081 Change of applicant/patentee

Owner name: MAYER, WERNER, DE

Free format text: FORMER OWNER: DAIMLER AG, 70327 STUTTGART, DE

Effective date: 20120509

Owner name: SCHMID, ERWIN, DIPL.-ING., DE

Free format text: FORMER OWNER: DAIMLER AG, 70327 STUTTGART, DE

Effective date: 20120509

R120 Application withdrawn or ip right abandoned