DE10030996A1 - Vorrichtung und Verfahren zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug - Google Patents
Vorrichtung und Verfahren zur Steuerung von Betriebsabläufen, insbesondere bei einem FahrzeugInfo
- Publication number
- DE10030996A1 DE10030996A1 DE10030996A DE10030996A DE10030996A1 DE 10030996 A1 DE10030996 A1 DE 10030996A1 DE 10030996 A DE10030996 A DE 10030996A DE 10030996 A DE10030996 A DE 10030996A DE 10030996 A1 DE10030996 A1 DE 10030996A1
- Authority
- DE
- Germany
- Prior art keywords
- unit
- functional unit
- access
- monitoring unit
- bus system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Debugging And Monitoring (AREA)
- Safety Devices In Control Systems (AREA)
- Combined Controls Of Internal Combustion Engines (AREA)
Abstract
Verfahren und Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug, wobei eine Funktionseinheit (101) mit einem Bussystem (105) in Verbindung steht, wobei die Funktionseinheit und/oder das Bussystem durch eine Überwachungseinheit (102) überwacht werden und die Überwachungseinheit die Verbindung (108, 104) der Funktionseinheit mit dem Bussystem in einem Sicherheitsfall durch Zugriff trennt, wobei der Zugriff der Überwachungseinheit durch die Funktionseinheit derart konfigurierbar ist, dass durch ein Konfigurationsmittel (103) der Zugriffpfad (110) der Überwachungseinheit unterbrochen werden kann.
Description
Die Erfindung betrifft eine Vorrichtung und ein Verfahren
zur Steuerung von Betriebsabläufen, insbesondere bei einem
Fahrzeug. Gemäß den Oberbegriffen der unabhängigen Ansprüche
steht dabei eine Funktionseinheit mit einem Bussystem in
Verbindung, wobei die Funktionseinheit und/oder das
Bussystem durch eine Überwachungseinheit überwacht werden
und die Überwachungseinheit die Verbindung der
Funktionseinheit mit dem Bussystem in einem Sicherheitsfall
durch Zugriff trennt.
Dazu ist aus der EP 0 983 905 A2 eine Schaltungsanordnung
zur Abkopplung einer elektronischen Einrichtung von einer
Datenleitung in einem Kraftfahrzeug bekannt. Über die
Datenleitung tauschen die elektronische Einrichtung und
wenigstens ein weiteres elektrisches System in ihrem Betrieb
Informationen aus. Bei der Schaltungsanordnung, bei welcher
trotz Ausfall einer an die Datenleitung angeschlossenen
elektronischen Einrichtung der Fahrzeugbetrieb
aufrechterhalten werden kann, ist die elektronische
Einrichtung mit einer Fehlererkennungseinrichtung verbunden.
Bei Feststellung eines Fehlers der elektronischen
Einrichtung durch die Fehlererkennungseinrichtung wird die
elektronische Einrichtung von der Datenleitung durch die
Schaltungsanordnung abgekoppelt, wobei die Betriebsfähigkeit
des elektrischen Systems aufrechterhalten bleibt.
Daneben zeigt der VDI-Bericht Nr. 687, 1988
"Antriebsschlupfregelung - Realisierung bei Audi", Seite 219
bis 222, eine Elektronik mit zwei Mikroprozessoren, welche
sich gegenseitig überwachen und von denen einer eine
Endstufe ansteuert. Dabei kann jeder Prozessor im Fehlerfall
eine Sicherheitsschaltung aktivieren, welche dann die
Rücksetzleitungen der Mikroprozessoren aktiviert und für
definierte Softwareabarbeitung sorgt. Ein eventuell
auftretender Defekt in der Endstufe kann nach Rückmeldung an
den Prozessor durch Deaktivierung der Endstufenansteuerung
abgefangen werden oder, sollte dies nicht greifen, durch
Betätigung des Hauptrelais in der Sicherheitsschaltung durch
jeden der beiden Prozessoren.
Bei den aus dem Stand der Technik bekannten Systemen ist
eine Wiederankopplung der elektronischen Einrichtung an das
elektrische System ebenso wie eine Verhinderung der
Abtrennung in bestimmten Situationen nicht vorgesehen.
Insbesondere bei Fehlerheilung wäre eine leicht handhabbare
Wiederankopplung der elektronischen Einrichtung an das
elektrische System oder die Verhinderung einer sofortigen
Abtrennung wünschenswert.
Zum anderen kann ein Sicherheitsfall, welcher eine
Abtrennung der elektronischen Einheit vom elektrischen
System durch eine Sicherheitsschaltung nach sich zieht in
bestimmten Betriebsarten bzw. Betriebszuständen nicht
problematisch oder sogar gewünscht sein. Die zwingende
Abtrennung im Stand der Technik wäre dann eher ungünstig.
Durch einfache Wiederankopplung oder Verhinderung der
Abtrennung für diese Betriebszustände könnte diese Situation
leicht gehandhabt werden. Der Sicherheitsfall würde dann
entgegen dem Stand der Technik für diese Zustände nicht zu
einer Abtrennung führen, da die Ursachen für den
Sicherheitsfall in diesen Zuständen nicht
sicherheitskritisch sind.
Deshalb soll durch die Erfindung ein Verfahren und eine
Vorrichtung geschaffen werden, welche die Funktionalität bei
einer Steuerung von Betriebsabläufen im Hinblick auf die
Abtrennung im Sicherheitsfall gemäß obiger Ausführungen
optimiert.
Dabei geht die Erfindung aus von einem Verfahren und einer
Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere
bei einem Fahrzeug, wobei eine Funktionseinheit mit einem
Bussystem in Verbindung steht und die Funktionseinheit
und/oder das Bussystem durch eine Überwachungseinheit
überwacht werden. Dabei trennt die Überwachungseinheit die
Verbindung der Funktionseinheit mit dem Bussystem in einem
Sicherheitsfall durch Zugriff. Dieser Zugriff der
Überwachungseinheit soll dann vorteilhafter Weise durch die
Funktionseinheit konfigurierbar sein. Dadurch kann in
bestimmten Situationen eine Abtrennung der Funktionseinheit
vom Bussystem verhindert werden. Ebenso kann dadurch die
eventuell bereits in einer Situation oder einem
Betriebszustand abgetrennte Funktionseinheit in einer
anderen Situation oder einem anderen Betriebszustand wieder
angekoppelt werden.
Dabei wird vorteilhafter Weise der Zugriff derart
konfiguriert, dass die Funktionseinheit, welche mit einem
Speicherbereich in Verbindung steht oder diesen enthält, in
diesen Speicherbereich wenigstens einen Konfigurationswert
schreibt oder aus diesem Speicherbereich löscht, wobei der
Zugriff der Überwachungseinheit nur bei eingeschriebenem
Konfigurationswert möglich ist.
Als weitere vorteilhafte Ausgestaltung kann vorgesehen sein,
dass abhängig von unterschiedlichen Konfigurationswerten,
welche überprüft werden, in unterschiedlichen Betriebsarten
bzw. Betriebszuständen der Zugriff der Überwachungseinheit
möglich ist oder gesperrt wird.
Dabei werden zweckmäßiger Weise verschiedene Betriebsarten
bei einem System, welches wenigstens die Funktions- oder
Steuereinheit und die Überwachungseinheit enthält
unterschieden, wobei der Zugriff der Überwachungseinheit
dann abhängig von den Betriebsarten konfiguriert wird.
Zweckmäßiger Weise werden dabei folgende Betriebsarten
unterschieden und der Zugriff abhängig von wenigstens zwei
dieser Betriebsarten konfiguriert: Systembetrieb,
Systemnachlauf, Systemvorlauf, Systemprogrammierung, und
Systemsimulation bzw. Systemapplikation.
In einer vorteilhaften Ausgestaltung des erfindungsgemäßen
Gegenstandes ist die Überwachungseinheit, eine
Verbindungseinheit zur Anbindung an ein Bussystem,
insbesondere als Bustreiber, und ein Konfigurationsmittel,
insbesondere als Speichermittel bzw. Speicherbereich oder
Register, zur Konfiguration des Zugriffs der
Überwachungseinheit, als eine räumlich integrierte
Baugruppeneinheit zusammengefaßt bzw. als ein Schaltkreis
als IC integriert.
Somit können vorteilhafter Weise im Sicherheitsfall im
Systembetrieb keine potentiell falschen oder nicht
gewünschten CAN-Werte versendet werden, wodurch eigensichere
Einzelsysteme im Netzwerkverbund entstehen.
Daneben wird zweckmäßiger Weise gewährleistet, daß z. B. für
die Steuergeräteprüfung oder -programmierung und
gegebenenfalls im Nachlauf oder anderen Betriebsarten sich
der Funktionsrechner bzw. die Funktionseinheit durch eine
geeignete Prozedur freischalten kann. Dazu wird
vorteilhafter Weise dann in einer Ausführungsform z. B. der
Konfigurationswert durch den Funktionsrechner gelöscht
wodurch dieser trotz ansprechendem Überwachungsmodul bz.
Überwachungseinheit weiter CAN-Botschaften versenden kann.
Weitere Vorteile und vorteilhafte Ausgestaltungen der
Erfindung sind Gegenstand der Ansprüche und der
Beschreibung.
Die Erfindung wird im weiteren anhand der in der Zeichnung
dargestellten Figuren beschrieben.
In Fig. 1 ist schematisch eine erfindungsgemäße Vorrichtung
mit Überwachungseinheit, Funktionseinheit,
Verbindungseinheit und Speicherbereich dargestellt.
Ein entsprechendes erfindungsgemäßes Verfahren wird in Fig.
2 in Form eines Flußdiagramms dargestellt.
In Fig. 1 ist eine Funktionseinheit 101 beispielsweise eine
Steuereinheit zur Steuerung von Betriebsabläufen bei einem
Fahrzeug dargestellt. Diese Funktionseinheit 101 ist über
ein System von Datenleitungen, insbesondere ein Bussystem,
mit weiteren Funktionseinheiten, insbesondere weiteren
Steuereinheiten, Aktuatorik oder Sensorik, verbunden. Am
Bussystem 105 sind weitere Funktionseinheiten als weitere
Busteilnehmer angekoppelt, die aber im einzelnen nicht
dargestellt sind. Die Summe der weiteren Funktionseinheiten
mit den Datenleitungen könnte auch im Bussystem 105
zusammengefaßt werden.
Die Verbindung zum Bussystem 105 ist in Fig. 1 symbolisch
als bidirektionale Verbindung 108 und eine
Verbindungseinheit 104 dargestellt. Dabei stellt die
Verbindungseinheit 104 beispielsweise eine
Signalverstärkungseinrichtung, insbesondere eine
Bustreiberschaltung z. B. einen CAN-Treiber für ein
CAN-Bussystem dar. Die Funktionseinheit 101 bzw. das Bussystem
105 und/oder der Bustreiber 104 sind durch eine
Überwachungseinheit 102 kontrollierbar. Beispielsweise
anhand von Signalen des Bussystems 105 der
Verbindungseinheit 104 oder der Funktionseinheit 101 erkennt
die Überwachungseinheit 102 Fehlfunktionen, oder sonstige
einen Sicherheitsfall hervorrufende Ursachen.
Ein solcher Sicherheitsfall kann bei Fehlern im System
auftreten, aber auch z. B. im Systemnachlauf bei
Parametereinstellungen oder beispielsweise bei
Initialisierungsvorgängen im Systemvorlauf. Diese
Initialisierungsvorgänge im Systemvorlauf können aber z. B.
bei einer Programmierung, Simulation, Applikation oder
Prüfung gewünscht sein. Ein Sicherheitsfall, z. B. ausgelöst
im Systemvorlauf sollte dabei nicht die Abtrennung der
Verbindung der Funktionseinheit mit dem Bussystem durch
Zugriff der Überwachungsschaltung zur Folge haben. Ebenso
sollten bestimmte Vorgänge bei der Systemprogrammierung, der
Systemprüfung oder der Systemsimulation bzw.
Systemapplikation, welche eigentlich im normalen
Systembetrieb, z. B. dem Fahrbetrieb eines Fahrzeugs, einen
Sicherheitsfall auslösen würden, aber in diesen
Betriebsarten gewünscht sind keinen wirkenden Zugriff des
Überwachungsmoduls zur Folge haben. Im Systembetrieb selbst,
also z. B. im Fahrbetrieb wird aber das Versenden von
Botschaften durch die Funktionseinheit in einem solchen
Sicherheitsfall durch die Überwachungseinheit bzw. das
Überwachungsmodul unterbunden.
Somit können im Sicherheitsfall im Systembetrieb keine
potentiell falschen oder nicht gewünschten CAN-Werte
versendet werden, wodurch eigensichere Einzelsysteme im
Netzwerkverbund entstehen.
Daneben wird gewährleistet, daß z. B. für die
Steuergeräteprüfung oder -programmierung und gegebenenfalls
im Nachlauf oder anderen Betriebsarten sich der
Funktionsrechner bzw. die Funktionseinheit durch eine
geeignete Prozedur freischalten kann. Dazu wird dann in
einer Ausführungsform z. B. der Konfigurationswert durch den
Funktionsrechner gelöscht wodurch dieser trotz ansprechendem
Überwachungsmodul weiter CAN-Botschaften versenden kann.
Dabei kann eine einzelne Überwachungseinheit ebenso
vorgesehen sein, wie jeweils eine Überwachungseinheit für
jede oder auch für mehrere Funktionseinheiten, wobei dann
die in Fig. 1 dargestellte Anordnung prinzipiell bei jedem
Busteilnehmer bzw. für eine Gruppe von Busteilnehmern
eingesetzt würde.
Die Überwachungseinheit 102 steuert bzw. bedient ein erstes
Zugriffselement 106 durch welches im Sicherheitsfall die
Verbindung 108 unterbrochen werden kann. In einer weiteren
Ausführungsform kann der Zugriff der Überwachungseinheit
auch auf die Verbindungseinheit 104 direkt erfolgen, wobei
dann in der Verbindungseinheit 104 selbst die Unterbrechung
der Funktionseinheit 101 zum Bussystem 105 initiiert wird,
beispielsweise durch ein Zugriffselement in der
Verbindungseinheit 104.
Neben dem ersten Zugriffselement 106 ist im Zugriffspfad 110
der Überwachungseinheit auf die Verbindung von
Funktionseinheit 101 zu Bussystem 105 ein zweites
Zugriffselement 107 vorgesehen. Dieses zweite
Zugriffselement 107 wird über Zugriffspfad 111 durch ein
Konfigurationsmittel 103 bedient. Das Konfigurationsmittel
103 selbst wird über Pfad 109 durch die Funktionseinheit 101
angesprochen.
In einem bevorzugten Ausführungsbeispiel ist das
Konfigurationsmittel 103 lediglich als ein Speichermittel
bzw. ein Speicherbereich ausgebildet, in welchen wenigstens
ein Konfigurationswert eingeschrieben bzw. aus welchem
dieser gelöscht wird. Das Einschreiben, bzw. Löschen des
Konfigurationswertes im Speichermittel 103 führt die
Funktionseinheit 101 über Pfad 109 durch. Abhängig von dem
Konfigurationswert im Speichermittel 103 wird der Zugriff
bzw. der Zugriffspfad 110 der Überwachungseinheit 102
konfiguriert. Im einfachsten Fall erfolgt die Konfiguration
derart, dass ein eingeschriebener Konfigurationswert TDI
(Transmit Disable) den Zugriff der Überwachungseinheit 102
auf die Verbindung von Funktionseinheit 101 und Bussystem
105 also Verbindungspfad 108 bzw. Verbindungseinheit 104
unterbindet. Dies kann einerseits dadurch geschehen, dass
die Überwachungseinheit 102 vor jedem Zugriff den
Speicherbereich bzw. das Speichermittel als
Konfigurationsmittel 103 auf die Präsenz des
Konfigurationswertes TDI untersucht und nur bei fehlendem
Wert TDI einen Zugriff durchführt wird oder das ein
eingeschriebener Konfigurationswert TDI von vornherein eine
Blockierung des Zugriffs, also des Zugriffspfades 110 der
Überwachungseinheit 102 zu Folge hat. Somit ist das zweite
Zugriffselement 107 symbolisch zu verstehen. Dies kann
einerseits ein tatsächliches Schaltmittel zum Öffnen und
Schließen des Zugriffspfades sein, andererseits kann diese
Funktion auch in Software in der Überwachungseinheit 102
oder im Zugriffspfad 110 oder auch im Konfigurationsmittel
103 realisiert sein.
Gleiches gilt im Prinzip auch für das erste Zugriffselement
106, wobei aus Sicherheitsgründen eine Realisierung als
Schaltmittel und damit eine galvanische Trennung der
Funktionseinheit 101 vom Bussystem 105 bzw. der
Verbindungseinheit 104 zweckmäßig ist.
In einer vorteilhaften Ausgestaltung des erfindungsgemäßen
Gegenstandes ist die Überwachungseinheit 102, die
Verbindungseinheit 104, insbesondere als Bustreiber, und das
Konfigurationsmittel 103, insbesondere als Speichermittel
bzw. Speicherbereich oder Register als integrierte
Baugruppeneinheit 100 zusammengefaßt bzw. als ein
Schaltkreis als IC integriert.
Der Funktionsrechner bzw. die Funktionseinheit 101 kann den.
Konfigurationswert TDI über eine beispielsweise serielle
Datenverbindung 109 setzen und löschen. Ein beispielhafter
Ablauf kanh dann wie folgt, insbesondere für ein Fahrzeug,
dargelegt werden:
Beim Einschalten des Systems, welches wenigstens
Funktionseinheit 101 und Überwachungseinheit 102 enthält,
ist der Konfigurationswert TDI gelöscht. Die
Funktionseinheit 101 kann ohne Bedienung der
Überwachungseinheit 102 senden, d. h. der Zugriff der
Überwachungseinheit ist gesperrt. Bevor der Betrieb,
insbesondere bei einem Fahrzeug der Fahrbetrieb, aufgenommen
wird, wird der Konfigurationswert TDI gesetzt. Somit ist für
den Betriebsfall, insbesondere den Fahrbetrieb bei
Fahrzeugen die Sicherheit insofern gewährleistet, als das
ein Versenden von Busbotschaften, insbesondere CAN-Botschaften
im Sicherheitsfall durch die Überwachungseinheit
102 unterbunden werden kann. Im Rahmen einer besonderen
Betriebsart bzw. einem besonderen Betriebszustand
beispielsweise dem Systemnachlauf, Systemvorlauf einer
Systemprogrammierung, einer Systemprüfung oder
Systemsimulation kann dann der Konfigurationswert TDI wieder
gelöscht werden. Somit kann z. B. ohne Bedienung der
Überwachungseinheit 102 eine Neu- bzw. Umprogrammierung des
Steuergerätes, insbesondere der Funktionseinheit 101 oder
auch einer anderen am Bus angekoppelten Steuereinheit durch
die Funktionseinheit 101 via das Bussystem 105 erfolgen.
Dabei kann die Prozedur zum Setzen bzw. Löschen des
Konfigurationswertes TDI zusätzlich abgesichert werden.
Beispielsweise müssen zuerst andere Speicherbereiche bzw.
Register geeignet beschrieben werden und/oder ein,
insbesondere codierter, Schreibschutz aufgehoben werden.
Die Darstellung eines solchen erfindungsgemäßen Verfahrens
ist im Rahmen des Flußdiagramms in Fig. 2 dargestellt.
Block 200 markiert dabei den Start, speziell das Einschalten
des Systems. In Abfrage 201 wird überprüft, ob der
Systembetrieb, insbesondere der Fahrbetrieb bei Fahrzeugen
vorgesehen ist.
Diese Überprüfung kann mit tatsächlichen Betriebsgrößen wie
Motordrehzahl, Geschwindigkeit oder anderen durchgeführt
werden. Andererseits ist eine Überprüfung anhand spezieller
Werte oder Systembetriebsgrößen möglich, die für bestimmte
Betriebszustände wie den Fahrbetrieb vorhanden sind bzw.
bestimmte Werte einnehmen und für andere Betriebszustände
wie einen Programmierbetrieb fehlen oder andere Werte
einnehmen. Dabei können auch ganze Softwareteile die für
einzelne Betriebszustände geladen bzw. vorhanden sein müssen
für andere Betriebszustände fehlen woraus ebenfalls speziell
auf den Fahrbetrieb vorab geschlossen werden kann.
Wird in Abfrage 201 erkannt, dass ein Fahrbetrieb vorgesehen
ist, gelangt man zu Block 202 wo die Funktionseinheit 201
den Konfigurationswert TDI im Konfigurationsmittel 103,
insbesondere im Speichermittel setzt. In der darauffolgenden
Abfrage 203 wird nochmals überprüft, ob ein Fahrbetrieb
vorliegt. Ist dies der Fall, gelangt man zu Abfrage 204 in
welcher nun die Überwachungseinheit den Sicherheitsfall
kontrolliert. Liegt kein Sicherheitsfall vor, gelangt man zu
Block 205 wo die gewünschten Funktionen und Programme im
Rahmen des Fahrbetriebs ausgeführt werden.
Von Block 205 gelangt man erneut zur Abfrage 203 und der
Kontrolle ob bzw. ob weiter ein Fahrbetrieb vorliegt. Ist
dies nicht der Fall, gelangt man zu Abfrage 207, zu der
ebenso von Abfrage 201 verzweigt wird wenn in dieser
festgestellt wird, dass kein Fahrbetrieb vorgesehen ist.
In Abfrage 207 wird überprüft, ob ein anderer Betriebsfall
vorliegt. In Fig. 2 ist beispielhaft nur ein weiterer
Betriebsfall aus Gründen der Übersichtlichkeit gewählt.
Ebenso könnten weitere Betriebsarten bzw. Betriebsfälle
nacheinander analog der dargestellten Form geprüft werden.
Diese weiteren Betriebsfälle sind beispielsweise der
Systemnachlauf oder Nachlaufbetrieb, der Systemvorlauf oder
Vorlaufbetrieb, die Systemprogrammierung, Systemprüfung oder
Systemsimulation bzw. -applikation.
Liegt also der weitere Betriebsfall in Abfrage 207 nicht
vor, gelangt man zu Block 215, in welchem der
Konfigurationswert TDI durch die Funktionseinheit bzw. den
Funktionsrechner 101 gelöscht wird und dann zum
Verfahrensende in Block 216. Liegt wenigstens ein weiterer
Betriebsfall vor, gelangt man zu Block 212 und optional zu
Block 2080o. In Block 212 wird der Konfigurationswert TDI
durch den Funktionsrechner bzw. die Funktionseinheit
gelöscht. Danach wird in Block 213 der weitere Betriebsfall
auf den in Abfrage 207 geprüft wurde im Rahmen der dabei
nötigen Funktionen und Programme durchgeführt.
In Abfrage 214 wird kontrolliert, ob der weitere
Betriebsfall noch vorliegt, bzw. dieser weiterhin ausgeführt
werden soll. Ist dies der Fall, gelangt man wieder zu Block
213 wo weitere Funktionen bzw. Programme des weiteren
Betriebsfalls ausgeführt werden. Ist der weitere
Betriebsfall beendet, bzw. abgeschlossen, gelangt man zu
Block 216 dem Verfahrensende.
Durch den gelöschten Konfigurationswert TDI in Block 212 ist
im weiteren 213, 214 sichergestellt, dass die
Überwachungseinheit 102 das erste Zugriffselement 106
mittels Zugriffspfad 110 nicht bedienen kann. Damit wird
gewährleistet, dass beispielsweise für die
Steuergeräteprüfung/-programmierung oder im Nachlauf also in
einer der weiteren Betriebsarten die Funktionseinheit bzw.
der Funktionsrechner sich durch eine geeignete Prozedur
freischalten kann. Dazu löscht der Funktionsrechner 101 den
Konfigurationswert TDI und kann dann trotz beispielsweise
ansprechender Überwachungseinheit 102 noch Busbotschaften
versenden.
Im Sicherheitsfall, beispielsweise erkannt durch Abfrage 204
bei gesetztem (Block 202) Konfigurationswert TDI trennt
nämlich die Überwachungseinheit 102 die Verbindung
Funktionseinheit, bzw. Funktionsrechner 101 und Bussystem
105 bzw. Verbindungseinheit 104. Dies wird bei Erkennung
eines Sicherheitsfalls in Abfrage 204 in Block 206
durchgeführt. Ein weiterer Fahrbetrieb ist danach in der
Regel dennoch möglich und wird in Abfrage 203 erneut
abgefragt.
Optional eingefügt ist Block 208o. Dieser Block kann zur
Erhöhung der Sicherheit zusätzlich eingebracht werden. Darin
gelangt man dann aus Abfrage 207 für den Fall das der
weitere Betrieb vorliegt zur Abfrage 209o. Darin wird nun
überprüft, ob ein Sicherheitsfall bei Abfrage 204 vorliegt
oder nicht. Liegt kein Sicherheitsfall vor, gelangt man
wieder zu Block 212.
Ist aber ein Sicherheitsfall aufgetreten, wird in Abfrage
210o abgefragt, ob der Konfigurationswert TDI gesetzt werden
soll oder nicht. Dies hat den Hintergrund, dass in einem zum
Systembetrieb, insbesondere zum Fahrbetrieb,
unterschiedlichen Betriebsart bzw. Betriebsfall ein
erkannter Sicherheitsfall, wie oben ausgeführt nicht
zwangsläufig die gleiche Bedeutung hat wie im Fahrbetrieb.
Gerade in den genannten Betriebsfällen können Bedingungen
bzw. Zustände die im Systembetrieb sofort zu einer
Verbindungstrennung führen würden, durchaus gewünscht sein.
Stellt sich also heraus, dass zwar durch die
Überwachungseinheit ein Sicherheitsfall erkannt wurde der
Konfigurationswert TDI aber nicht gesetzt werden muß bzw.
darf weil bezüglich der anderen Betriebsart die
Zustandskombination gewünscht ist, gelangt man ebenfalls zu
Block 212 worin der Konfigurationswert gelöscht wird sofern
er gesetzt war. Stellt sich in Abfrage 210o heraus, dass der
Sicherheitsfall sehr wohl kritisch ist, beispielsweise
aufgrund eines schwerwiegenden Defektes, welcher auch für
die weitere Betriebsart problematisch ist so wird in Block
211o der Konfigurationswert TDI gesetzt bzw. sofern dieser
bereits gesetzt ist, nicht gelöscht und man gelangt zu Block
206, worin erneut die Verbindung durch die
Überwachungseinheit 102 getrennt wird.
Somit wird das Versenden von Bus-, insbesondere CAN-
Botschaften im Sicherheitsfall durch die Überwachungseinheit
102 unterbunden. Diese Unterbindung ist durch die
Funktionseinheit bzw. in Funktionsrechner 101
konfigurierbar, in dem dieser den Konfigurationswert TDI
(Transmit Disable) setzt bzw. löscht.
In einer weiteren vorteilhaften Ausgestaltung ist eine
feinere Differenzierung im Rahmen des Konfigurationswertes
denkbar. Dabei ist nicht allein das Setzen oder Nichtsetzen
des Konfigurationswertes von Bedeutung sondern es spielt
eine Rolle, welcher Konfigurationswert gesetzt ist. So kann
z. B. nach Betriebsarten unterschieden mit unterschiedlichen
Konfigurationswerten je nach Betriebsart differenziert
werden, ob die Funktionseinheit in die Lage versetzt wird,
den Zugriff der Überwachungseinheit zu konfigurieren oder
nicht. So gilt ein Konfigurationswert beispielsweise
ausschließlich für die Systemprogrammierung. Ein Löschen
dieses Konfigurationswertes läßt eine Systemprüfung trotz
Sicherheitsfall aber nicht zu, dazu müßte ein anderer
Konfigurationswert gelöscht werden bzw. der
Konfigurationswert müßte ein anderer sein.
Bei Einsatz eines Fehlerzählers z. B. ist denkbar, dass ein
Konfigurationswert TDI1 diesen sperrt, so dass dieser seinen
Maximalwert, der den Sicherheitsfall repräsentiert nicht
erreichen kann. Ein zweiter Konfigurationswert TDI2
überbrückt den Fehlerzähler und läßt den Zugriff des
Überwachungsmodules trotz längst erreichtem Maximalwert
nicht zu. Dies hat den Vorteil, dass bei Löschen von TDI2
sofort der Zugriff der Überwachungseinheit erfolgt
wohingegen im ersten Fall bei TDI1 erst der Maximalwert des
Zählers nach Löschen von TDI1 erreicht werden muß. Mehere
Konfigurationswerte TDI1, TDI", . . . können dann je
Betriebsart oder für alle Betriebsarten gemeinsam eingesetzt
werden.
Damit gewährleistet die Erfindung, dass im Sicherheitsfall
keine potentiell falschen Bus- bzw. CAN-Werte gesendet
werden können. Dies ist eine wichtige Eigenschaft für
eigensichere Einzelsysteme in einem Netzverbund.
Gleichzeitig kann aber eine Korrektur beispielsweise des
aufgetretenen Fehlers erfolgen, weil beispielsweise eine
Neuprogrammierung trotz ansprechende Überwachungseinheit
offengehalten wird.
Claims (9)
1. Verfahren zur Steuerung von Betriebsabläufen,
insbesondere bei einem Fahrzeug, wobei eine Funktionseinheit
mit einem Bussystem in Verbindung steht, wobei die
Funktionseinheit und/oder das Bussystem durch eine
Überwachungseinheit überwacht werden und die
Überwachungseinheit die Verbindung der Funktionseinheit mit
dem Bussystem in einem Sicherheitsfall durch Zugriff trennt,
dadurch gekennzeichnet, dass der Zugriff der
Überwachungseinheit durch die Funktionseinheit
konfigurierbar ist.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass
der Zugriff derart konfigurierbar ist, dass die
Funktionseinheit mit einem Konfigurationsmittel,
insbesondere einem Speicherbereich, in Verbindung steht und
in das Konfigurationsmittel wenigstens ein
Konfigurationswert schreibt oder aus dem
Konfigurationsmittel löscht und der Zugriff der
Überwachungseinheit nur bei eingeschriebenem
Konfigurationswert möglich ist.
3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass
bei einem System das wenigstens die Funktionseinheit und die
Überwachungseinheit enthält verschiedene Betriebsarten
unterschieden werden und abhängig von den Betriebsarten der
Zugriff der Überwachungseinheit konfiguriert wird.
4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass
der Zugriff abhängig von wenigstens einer der folgenden
Betriebsarten konfiguriert wird: Systembetrieb,
Systemnachlauf, Systemvorlauf, Systemprogrammierung,
Systemprüfung, Systemsimulation und/oder -applikation.
5. Verfahren nach Anspruch 2 und 3, dadurch gekennzeichnet,
dass mehrere Konfigurationswerte eingesetzt werden, und je
Betriebsart ein eigener Konfigurationswert verwendet wird
und/oder pro Betriebsart verschiedene Konfigurationswerte
unterschieden werden.
6. Vorrichtung zur Steuerung von Betriebsabläufen
insbesondere beim Fahrzeug, mit einer Funktionseinheit,
insbesondere einer Steuereinheit, welche eine Verbindung zu
einem Bussystem aufweist, sowie einer Überwachungseinheit,
welche die Funktionseinheit und/oder das Bussystem
überwacht, wobei die Überwachungseinheit die Verbindung der
Steuereinheit mit dem Bussystem in einem Sicherheitsfall
durch Zugriff trennt, dadurch gekennzeichnet, dass die
Vorrichtung weiterhin Mittel enthält, durch welche die
Funktionseinheit den Zugriff der Überwachungseinheit
konfiguriert.
7. Vorrichtung zur Steuerung von Betriebsabläufen,
insbesondere bei einem Fahrzeug, welche mit einer
Funktionseinheit, insbesondere einer Steuereinheit in
Verbindung steht, wobei die Vorrichtung eine Verbindung zu
einem Bussystem aufweist, wobei die Vorrichtung eine
Überwachungseinheit enthält, welche die Funktionseinheit
und/das Bussystem überwacht, wobei die Überwachungseinheit
die Verbindung der Funktionseinheit mit dem Bussystem in
einem Sicherheitsfall durch Zugriff trennt, dadurch
gekennzeichnet, dass die Vorrichtung weiterhin Mittel
enthält, durch welche die Funktionseinheit den Zugriff der
Überwachungseinheit konfiguriert.
8. Vorrichtung nach Anspruch 6 oder 7, dadurch
gekennzeichnet, dass die Mittel als Konfigurationsmittel
einen Speicherbereich umfassen, in welchem wenigstens ein
Konfigurationswert speicherbar ist und der Zugriff abhängig
von den Konfigurationswert konfiguriert wird.
9. Vorrichtung nach Anspruch 8, dadurch gekennzeichnet, dass
die Verbindung der Funktionseinheit zum Bussystem mit einer
Verbindungseinheit, insbesondere einer Treiberschaltung,
realisiert ist und dass die Überwachungseinheit und/oder die
Mittel, insbesondere der Speicherbereich, und/oder die
Verbindungseinheit in einer Schaltungseinheit integriert
sind.
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10030996A DE10030996B4 (de) | 2000-06-30 | 2000-06-30 | Vorrichtung und Verfahren zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug |
JP2001197716A JP4880135B2 (ja) | 2000-06-30 | 2001-06-29 | 車両の駆動シーケンスの制御方法及びその装置 |
US09/896,216 US6650976B2 (en) | 2000-06-30 | 2001-06-29 | Device and method for controlling operational sequences, in particular in a motor vehicle |
FR0108620A FR2811779B1 (fr) | 2000-06-30 | 2001-06-29 | Dispositif et procede de commande des deroulements de fonctionnement |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10030996A DE10030996B4 (de) | 2000-06-30 | 2000-06-30 | Vorrichtung und Verfahren zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug |
Publications (2)
Publication Number | Publication Date |
---|---|
DE10030996A1 true DE10030996A1 (de) | 2002-01-10 |
DE10030996B4 DE10030996B4 (de) | 2010-07-22 |
Family
ID=7646785
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10030996A Expired - Lifetime DE10030996B4 (de) | 2000-06-30 | 2000-06-30 | Vorrichtung und Verfahren zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug |
Country Status (4)
Country | Link |
---|---|
US (1) | US6650976B2 (de) |
JP (1) | JP4880135B2 (de) |
DE (1) | DE10030996B4 (de) |
FR (1) | FR2811779B1 (de) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1529253A1 (de) * | 2002-08-07 | 2005-05-11 | Robert Bosch Gmbh | Verfahren und vorrichtung zur steuerung von betriebsabläufen insbesondere in einem fahrzeug |
DE102011120872B4 (de) | 2010-12-17 | 2020-06-18 | GM Global Technology Operations, LLC (n.d. Ges. d. Staates Delaware) | Verfahren zur Nachrichtenübertragungs-Deaktivierungsprüfung eines Controllerbereichsnetzes |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10065118A1 (de) * | 2000-12-28 | 2002-07-04 | Bosch Gmbh Robert | System und Verfahren zur Steuerung und/oder Überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbundes |
US7467029B2 (en) * | 2004-12-15 | 2008-12-16 | General Motors Corporation | Dual processor supervisory control system for a vehicle |
US9894050B1 (en) * | 2014-08-11 | 2018-02-13 | Google Llc | Server based settings for client software with asymmetric signing |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE4118558A1 (de) * | 1991-06-06 | 1992-12-10 | Bosch Gmbh Robert | System zur steuerung einer brennkraftmaschine |
DE19609076C1 (de) * | 1996-03-08 | 1997-08-14 | Siemens Ag | Verfahren zum Auslösen eines Rückhaltemittels in einem Fahrzeug |
JP3991384B2 (ja) * | 1996-07-15 | 2007-10-17 | 株式会社デンソー | 電子制御装置 |
US5957985A (en) * | 1996-12-16 | 1999-09-28 | Microsoft Corporation | Fault-resilient automobile control system |
JP3566517B2 (ja) * | 1997-11-11 | 2004-09-15 | 三菱電機株式会社 | 車両用エンジンの駆動制御装置 |
DE19813964A1 (de) * | 1998-03-28 | 1999-08-19 | Telefunken Microelectron | Bussystem mit einer Zentraleinheit eine Mehrzahl von Steuermodulen, insbesondere für Insassenschutzsysteme in Kraftfahrzeugen |
DE19813921A1 (de) * | 1998-03-28 | 1999-09-30 | Telefunken Microelectron | Verfahren zum Betreiben eines über eine Busleitung vernetzten Rückhaltesystems bei einer fehlerhaften Stromversorgung |
DE19833462A1 (de) * | 1998-07-24 | 2000-01-27 | Mannesmann Vdo Ag | Schaltungsanordnung zur Abkopplung einer elektronischen Einrichtung von einer Datenleitung in einem Kraftfahrzeug |
-
2000
- 2000-06-30 DE DE10030996A patent/DE10030996B4/de not_active Expired - Lifetime
-
2001
- 2001-06-29 FR FR0108620A patent/FR2811779B1/fr not_active Expired - Fee Related
- 2001-06-29 US US09/896,216 patent/US6650976B2/en not_active Expired - Lifetime
- 2001-06-29 JP JP2001197716A patent/JP4880135B2/ja not_active Expired - Fee Related
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1529253A1 (de) * | 2002-08-07 | 2005-05-11 | Robert Bosch Gmbh | Verfahren und vorrichtung zur steuerung von betriebsabläufen insbesondere in einem fahrzeug |
US7418316B2 (en) | 2002-08-07 | 2008-08-26 | Robert Bosch Gmbh | Method and device for controlling operational processes, especially in a vehicle |
DE102011120872B4 (de) | 2010-12-17 | 2020-06-18 | GM Global Technology Operations, LLC (n.d. Ges. d. Staates Delaware) | Verfahren zur Nachrichtenübertragungs-Deaktivierungsprüfung eines Controllerbereichsnetzes |
Also Published As
Publication number | Publication date |
---|---|
FR2811779B1 (fr) | 2005-03-04 |
JP2002108403A (ja) | 2002-04-10 |
US6650976B2 (en) | 2003-11-18 |
JP4880135B2 (ja) | 2012-02-22 |
US20020080026A1 (en) | 2002-06-27 |
FR2811779A1 (fr) | 2002-01-18 |
DE10030996B4 (de) | 2010-07-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2171549B1 (de) | Sicherheitsvorrichtung zum mehrkanaligen steuern einer sicherheitstechnischen einrichtung | |
EP3140816B1 (de) | Verfahren zur diagnose eines zustands in einem fahrzeug | |
DE102007017865A1 (de) | Adaptions-Element und Testanordnung sowie Verfahren zum Betrieb derselben | |
EP3113984B1 (de) | Steuergerät für ein mehrspannungsbordnetz eines fahrzeugs | |
DE102018121960A1 (de) | Vorrichtung zur Entkopplung und zum Schutz vor Ausgleichsströmen in einem redundanten System für autonomes Fahren | |
EP2977905A1 (de) | Anordnung zur selektiven freigabe einer debuggingschnittstelle | |
AT510379A2 (de) | Diagnosetool zum anschluss an eine fahrzeug-diagnosebuchse | |
DE102018121957A1 (de) | Schutzvorrichtung zur Entkopplung elektrischer Steuerkreise in einem redundanten System für autonomes Fahren | |
EP2154587B1 (de) | System zum Stellen eines Stellorgans | |
DE4113959A1 (de) | Ueberwachungseinrichtung | |
DE102004020539B3 (de) | Elektronische Steuereinrichtung und Verfahren zur Steuerung des Betriebs von Kraftfahrzeugkomponenten | |
DE10030996A1 (de) | Vorrichtung und Verfahren zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug | |
EP0553443B1 (de) | Schaltung zur Ansteuerung und Überwachung induktiver Lasten, insbesondere von Magnetventilen, in einem Antiblockierregelsystem | |
DE102015206483A1 (de) | Schaltvorrichtung und Betriebsverfahren hierfür | |
EP3557598A1 (de) | Sicherheitsschalter | |
EP1679729B1 (de) | Vorrichtung zur sicheren Signalerzeugung | |
DE102015201278B4 (de) | Steuersystem | |
EP2503669B1 (de) | Sicherheitsgerichtete Automatisierungsanlage mit überwachtem Abschaltverhalten und mit Abschalt-Beschleunigungseinrichtung | |
EP2337727B1 (de) | Servo-lenksystem und verfahren zum betreiben eines servo-lenksystems | |
EP2013731B1 (de) | Schaltungsanordnung und verfahren zum betrieb einer schaltungsanordnung | |
DE102022108193A1 (de) | Schaltverstärker für Sicherheitsanwendungen und Verfahren zum Betreiben eines Schaltverstärkers für Sicherheitsanwendungen | |
DE102015119611B4 (de) | Verbesserung der Diagnostizierbarkeit von Fail-operational Systemen | |
EP3322620B1 (de) | Vorrichtung und verfahren zum ansteuern einer endstufe für einen aktuator in einem fahrzeug | |
EP3459204B1 (de) | Verfahren zur realisierung einer diagnosefähigkeit von nicht-automotive-steuergeräten in einem automotive-umfeld | |
DE102015203250A1 (de) | Sicherheitsvorrichtung und Verfahren zum Überführen eines Aktorsystems in einen sicheren Zustand, Aktorsystem und Verfahren zum Betreiben eines Aktorsystems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8110 | Request for examination paragraph 44 | ||
8364 | No opposition during term of opposition | ||
R071 | Expiry of right |