DE10030996A1 - Vorrichtung und Verfahren zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug - Google Patents

Vorrichtung und Verfahren zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug

Info

Publication number
DE10030996A1
DE10030996A1 DE10030996A DE10030996A DE10030996A1 DE 10030996 A1 DE10030996 A1 DE 10030996A1 DE 10030996 A DE10030996 A DE 10030996A DE 10030996 A DE10030996 A DE 10030996A DE 10030996 A1 DE10030996 A1 DE 10030996A1
Authority
DE
Germany
Prior art keywords
unit
functional unit
access
monitoring unit
bus system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE10030996A
Other languages
English (en)
Other versions
DE10030996B4 (de
Inventor
Horst Wagner
Jens Graf
Edwin Eberlein
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE10030996A priority Critical patent/DE10030996B4/de
Priority to JP2001197716A priority patent/JP4880135B2/ja
Priority to US09/896,216 priority patent/US6650976B2/en
Priority to FR0108620A priority patent/FR2811779B1/fr
Publication of DE10030996A1 publication Critical patent/DE10030996A1/de
Application granted granted Critical
Publication of DE10030996B4 publication Critical patent/DE10030996B4/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Debugging And Monitoring (AREA)
  • Safety Devices In Control Systems (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)

Abstract

Verfahren und Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug, wobei eine Funktionseinheit (101) mit einem Bussystem (105) in Verbindung steht, wobei die Funktionseinheit und/oder das Bussystem durch eine Überwachungseinheit (102) überwacht werden und die Überwachungseinheit die Verbindung (108, 104) der Funktionseinheit mit dem Bussystem in einem Sicherheitsfall durch Zugriff trennt, wobei der Zugriff der Überwachungseinheit durch die Funktionseinheit derart konfigurierbar ist, dass durch ein Konfigurationsmittel (103) der Zugriffpfad (110) der Überwachungseinheit unterbrochen werden kann.

Description

Stand der Technik
Die Erfindung betrifft eine Vorrichtung und ein Verfahren zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug. Gemäß den Oberbegriffen der unabhängigen Ansprüche steht dabei eine Funktionseinheit mit einem Bussystem in Verbindung, wobei die Funktionseinheit und/oder das Bussystem durch eine Überwachungseinheit überwacht werden und die Überwachungseinheit die Verbindung der Funktionseinheit mit dem Bussystem in einem Sicherheitsfall durch Zugriff trennt.
Dazu ist aus der EP 0 983 905 A2 eine Schaltungsanordnung zur Abkopplung einer elektronischen Einrichtung von einer Datenleitung in einem Kraftfahrzeug bekannt. Über die Datenleitung tauschen die elektronische Einrichtung und wenigstens ein weiteres elektrisches System in ihrem Betrieb Informationen aus. Bei der Schaltungsanordnung, bei welcher trotz Ausfall einer an die Datenleitung angeschlossenen elektronischen Einrichtung der Fahrzeugbetrieb aufrechterhalten werden kann, ist die elektronische Einrichtung mit einer Fehlererkennungseinrichtung verbunden. Bei Feststellung eines Fehlers der elektronischen Einrichtung durch die Fehlererkennungseinrichtung wird die elektronische Einrichtung von der Datenleitung durch die Schaltungsanordnung abgekoppelt, wobei die Betriebsfähigkeit des elektrischen Systems aufrechterhalten bleibt.
Daneben zeigt der VDI-Bericht Nr. 687, 1988 "Antriebsschlupfregelung - Realisierung bei Audi", Seite 219 bis 222, eine Elektronik mit zwei Mikroprozessoren, welche sich gegenseitig überwachen und von denen einer eine Endstufe ansteuert. Dabei kann jeder Prozessor im Fehlerfall eine Sicherheitsschaltung aktivieren, welche dann die Rücksetzleitungen der Mikroprozessoren aktiviert und für definierte Softwareabarbeitung sorgt. Ein eventuell auftretender Defekt in der Endstufe kann nach Rückmeldung an den Prozessor durch Deaktivierung der Endstufenansteuerung abgefangen werden oder, sollte dies nicht greifen, durch Betätigung des Hauptrelais in der Sicherheitsschaltung durch jeden der beiden Prozessoren.
Bei den aus dem Stand der Technik bekannten Systemen ist eine Wiederankopplung der elektronischen Einrichtung an das elektrische System ebenso wie eine Verhinderung der Abtrennung in bestimmten Situationen nicht vorgesehen. Insbesondere bei Fehlerheilung wäre eine leicht handhabbare Wiederankopplung der elektronischen Einrichtung an das elektrische System oder die Verhinderung einer sofortigen Abtrennung wünschenswert.
Zum anderen kann ein Sicherheitsfall, welcher eine Abtrennung der elektronischen Einheit vom elektrischen System durch eine Sicherheitsschaltung nach sich zieht in bestimmten Betriebsarten bzw. Betriebszuständen nicht problematisch oder sogar gewünscht sein. Die zwingende Abtrennung im Stand der Technik wäre dann eher ungünstig. Durch einfache Wiederankopplung oder Verhinderung der Abtrennung für diese Betriebszustände könnte diese Situation leicht gehandhabt werden. Der Sicherheitsfall würde dann entgegen dem Stand der Technik für diese Zustände nicht zu einer Abtrennung führen, da die Ursachen für den Sicherheitsfall in diesen Zuständen nicht sicherheitskritisch sind.
Deshalb soll durch die Erfindung ein Verfahren und eine Vorrichtung geschaffen werden, welche die Funktionalität bei einer Steuerung von Betriebsabläufen im Hinblick auf die Abtrennung im Sicherheitsfall gemäß obiger Ausführungen optimiert.
Vorteile der Erfindung
Dabei geht die Erfindung aus von einem Verfahren und einer Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug, wobei eine Funktionseinheit mit einem Bussystem in Verbindung steht und die Funktionseinheit und/oder das Bussystem durch eine Überwachungseinheit überwacht werden. Dabei trennt die Überwachungseinheit die Verbindung der Funktionseinheit mit dem Bussystem in einem Sicherheitsfall durch Zugriff. Dieser Zugriff der Überwachungseinheit soll dann vorteilhafter Weise durch die Funktionseinheit konfigurierbar sein. Dadurch kann in bestimmten Situationen eine Abtrennung der Funktionseinheit vom Bussystem verhindert werden. Ebenso kann dadurch die eventuell bereits in einer Situation oder einem Betriebszustand abgetrennte Funktionseinheit in einer anderen Situation oder einem anderen Betriebszustand wieder angekoppelt werden.
Dabei wird vorteilhafter Weise der Zugriff derart konfiguriert, dass die Funktionseinheit, welche mit einem Speicherbereich in Verbindung steht oder diesen enthält, in diesen Speicherbereich wenigstens einen Konfigurationswert schreibt oder aus diesem Speicherbereich löscht, wobei der Zugriff der Überwachungseinheit nur bei eingeschriebenem Konfigurationswert möglich ist.
Als weitere vorteilhafte Ausgestaltung kann vorgesehen sein, dass abhängig von unterschiedlichen Konfigurationswerten, welche überprüft werden, in unterschiedlichen Betriebsarten bzw. Betriebszuständen der Zugriff der Überwachungseinheit möglich ist oder gesperrt wird.
Dabei werden zweckmäßiger Weise verschiedene Betriebsarten bei einem System, welches wenigstens die Funktions- oder Steuereinheit und die Überwachungseinheit enthält unterschieden, wobei der Zugriff der Überwachungseinheit dann abhängig von den Betriebsarten konfiguriert wird.
Zweckmäßiger Weise werden dabei folgende Betriebsarten unterschieden und der Zugriff abhängig von wenigstens zwei dieser Betriebsarten konfiguriert: Systembetrieb, Systemnachlauf, Systemvorlauf, Systemprogrammierung, und Systemsimulation bzw. Systemapplikation.
In einer vorteilhaften Ausgestaltung des erfindungsgemäßen Gegenstandes ist die Überwachungseinheit, eine Verbindungseinheit zur Anbindung an ein Bussystem, insbesondere als Bustreiber, und ein Konfigurationsmittel, insbesondere als Speichermittel bzw. Speicherbereich oder Register, zur Konfiguration des Zugriffs der Überwachungseinheit, als eine räumlich integrierte Baugruppeneinheit zusammengefaßt bzw. als ein Schaltkreis als IC integriert.
Somit können vorteilhafter Weise im Sicherheitsfall im Systembetrieb keine potentiell falschen oder nicht gewünschten CAN-Werte versendet werden, wodurch eigensichere Einzelsysteme im Netzwerkverbund entstehen.
Daneben wird zweckmäßiger Weise gewährleistet, daß z. B. für die Steuergeräteprüfung oder -programmierung und gegebenenfalls im Nachlauf oder anderen Betriebsarten sich der Funktionsrechner bzw. die Funktionseinheit durch eine geeignete Prozedur freischalten kann. Dazu wird vorteilhafter Weise dann in einer Ausführungsform z. B. der Konfigurationswert durch den Funktionsrechner gelöscht wodurch dieser trotz ansprechendem Überwachungsmodul bz. Überwachungseinheit weiter CAN-Botschaften versenden kann. Weitere Vorteile und vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand der Ansprüche und der Beschreibung.
Zeichnung
Die Erfindung wird im weiteren anhand der in der Zeichnung dargestellten Figuren beschrieben.
In Fig. 1 ist schematisch eine erfindungsgemäße Vorrichtung mit Überwachungseinheit, Funktionseinheit, Verbindungseinheit und Speicherbereich dargestellt.
Ein entsprechendes erfindungsgemäßes Verfahren wird in Fig. 2 in Form eines Flußdiagramms dargestellt.
Beschreibung der Ausführungsbeispiele
In Fig. 1 ist eine Funktionseinheit 101 beispielsweise eine Steuereinheit zur Steuerung von Betriebsabläufen bei einem Fahrzeug dargestellt. Diese Funktionseinheit 101 ist über ein System von Datenleitungen, insbesondere ein Bussystem, mit weiteren Funktionseinheiten, insbesondere weiteren Steuereinheiten, Aktuatorik oder Sensorik, verbunden. Am Bussystem 105 sind weitere Funktionseinheiten als weitere Busteilnehmer angekoppelt, die aber im einzelnen nicht dargestellt sind. Die Summe der weiteren Funktionseinheiten mit den Datenleitungen könnte auch im Bussystem 105 zusammengefaßt werden.
Die Verbindung zum Bussystem 105 ist in Fig. 1 symbolisch als bidirektionale Verbindung 108 und eine Verbindungseinheit 104 dargestellt. Dabei stellt die Verbindungseinheit 104 beispielsweise eine Signalverstärkungseinrichtung, insbesondere eine Bustreiberschaltung z. B. einen CAN-Treiber für ein CAN-Bussystem dar. Die Funktionseinheit 101 bzw. das Bussystem 105 und/oder der Bustreiber 104 sind durch eine Überwachungseinheit 102 kontrollierbar. Beispielsweise anhand von Signalen des Bussystems 105 der Verbindungseinheit 104 oder der Funktionseinheit 101 erkennt die Überwachungseinheit 102 Fehlfunktionen, oder sonstige einen Sicherheitsfall hervorrufende Ursachen.
Ein solcher Sicherheitsfall kann bei Fehlern im System auftreten, aber auch z. B. im Systemnachlauf bei Parametereinstellungen oder beispielsweise bei Initialisierungsvorgängen im Systemvorlauf. Diese Initialisierungsvorgänge im Systemvorlauf können aber z. B. bei einer Programmierung, Simulation, Applikation oder Prüfung gewünscht sein. Ein Sicherheitsfall, z. B. ausgelöst im Systemvorlauf sollte dabei nicht die Abtrennung der Verbindung der Funktionseinheit mit dem Bussystem durch Zugriff der Überwachungsschaltung zur Folge haben. Ebenso sollten bestimmte Vorgänge bei der Systemprogrammierung, der Systemprüfung oder der Systemsimulation bzw. Systemapplikation, welche eigentlich im normalen Systembetrieb, z. B. dem Fahrbetrieb eines Fahrzeugs, einen Sicherheitsfall auslösen würden, aber in diesen Betriebsarten gewünscht sind keinen wirkenden Zugriff des Überwachungsmoduls zur Folge haben. Im Systembetrieb selbst, also z. B. im Fahrbetrieb wird aber das Versenden von Botschaften durch die Funktionseinheit in einem solchen Sicherheitsfall durch die Überwachungseinheit bzw. das Überwachungsmodul unterbunden.
Somit können im Sicherheitsfall im Systembetrieb keine potentiell falschen oder nicht gewünschten CAN-Werte versendet werden, wodurch eigensichere Einzelsysteme im Netzwerkverbund entstehen.
Daneben wird gewährleistet, daß z. B. für die Steuergeräteprüfung oder -programmierung und gegebenenfalls im Nachlauf oder anderen Betriebsarten sich der Funktionsrechner bzw. die Funktionseinheit durch eine geeignete Prozedur freischalten kann. Dazu wird dann in einer Ausführungsform z. B. der Konfigurationswert durch den Funktionsrechner gelöscht wodurch dieser trotz ansprechendem Überwachungsmodul weiter CAN-Botschaften versenden kann.
Dabei kann eine einzelne Überwachungseinheit ebenso vorgesehen sein, wie jeweils eine Überwachungseinheit für jede oder auch für mehrere Funktionseinheiten, wobei dann die in Fig. 1 dargestellte Anordnung prinzipiell bei jedem Busteilnehmer bzw. für eine Gruppe von Busteilnehmern eingesetzt würde.
Die Überwachungseinheit 102 steuert bzw. bedient ein erstes Zugriffselement 106 durch welches im Sicherheitsfall die Verbindung 108 unterbrochen werden kann. In einer weiteren Ausführungsform kann der Zugriff der Überwachungseinheit auch auf die Verbindungseinheit 104 direkt erfolgen, wobei dann in der Verbindungseinheit 104 selbst die Unterbrechung der Funktionseinheit 101 zum Bussystem 105 initiiert wird, beispielsweise durch ein Zugriffselement in der Verbindungseinheit 104.
Neben dem ersten Zugriffselement 106 ist im Zugriffspfad 110 der Überwachungseinheit auf die Verbindung von Funktionseinheit 101 zu Bussystem 105 ein zweites Zugriffselement 107 vorgesehen. Dieses zweite Zugriffselement 107 wird über Zugriffspfad 111 durch ein Konfigurationsmittel 103 bedient. Das Konfigurationsmittel 103 selbst wird über Pfad 109 durch die Funktionseinheit 101 angesprochen.
In einem bevorzugten Ausführungsbeispiel ist das Konfigurationsmittel 103 lediglich als ein Speichermittel bzw. ein Speicherbereich ausgebildet, in welchen wenigstens ein Konfigurationswert eingeschrieben bzw. aus welchem dieser gelöscht wird. Das Einschreiben, bzw. Löschen des Konfigurationswertes im Speichermittel 103 führt die Funktionseinheit 101 über Pfad 109 durch. Abhängig von dem Konfigurationswert im Speichermittel 103 wird der Zugriff bzw. der Zugriffspfad 110 der Überwachungseinheit 102 konfiguriert. Im einfachsten Fall erfolgt die Konfiguration derart, dass ein eingeschriebener Konfigurationswert TDI (Transmit Disable) den Zugriff der Überwachungseinheit 102 auf die Verbindung von Funktionseinheit 101 und Bussystem 105 also Verbindungspfad 108 bzw. Verbindungseinheit 104 unterbindet. Dies kann einerseits dadurch geschehen, dass die Überwachungseinheit 102 vor jedem Zugriff den Speicherbereich bzw. das Speichermittel als Konfigurationsmittel 103 auf die Präsenz des Konfigurationswertes TDI untersucht und nur bei fehlendem Wert TDI einen Zugriff durchführt wird oder das ein eingeschriebener Konfigurationswert TDI von vornherein eine Blockierung des Zugriffs, also des Zugriffspfades 110 der Überwachungseinheit 102 zu Folge hat. Somit ist das zweite Zugriffselement 107 symbolisch zu verstehen. Dies kann einerseits ein tatsächliches Schaltmittel zum Öffnen und Schließen des Zugriffspfades sein, andererseits kann diese Funktion auch in Software in der Überwachungseinheit 102 oder im Zugriffspfad 110 oder auch im Konfigurationsmittel 103 realisiert sein.
Gleiches gilt im Prinzip auch für das erste Zugriffselement 106, wobei aus Sicherheitsgründen eine Realisierung als Schaltmittel und damit eine galvanische Trennung der Funktionseinheit 101 vom Bussystem 105 bzw. der Verbindungseinheit 104 zweckmäßig ist.
In einer vorteilhaften Ausgestaltung des erfindungsgemäßen Gegenstandes ist die Überwachungseinheit 102, die Verbindungseinheit 104, insbesondere als Bustreiber, und das Konfigurationsmittel 103, insbesondere als Speichermittel bzw. Speicherbereich oder Register als integrierte Baugruppeneinheit 100 zusammengefaßt bzw. als ein Schaltkreis als IC integriert.
Der Funktionsrechner bzw. die Funktionseinheit 101 kann den. Konfigurationswert TDI über eine beispielsweise serielle Datenverbindung 109 setzen und löschen. Ein beispielhafter Ablauf kanh dann wie folgt, insbesondere für ein Fahrzeug, dargelegt werden:
Beim Einschalten des Systems, welches wenigstens Funktionseinheit 101 und Überwachungseinheit 102 enthält, ist der Konfigurationswert TDI gelöscht. Die Funktionseinheit 101 kann ohne Bedienung der Überwachungseinheit 102 senden, d. h. der Zugriff der Überwachungseinheit ist gesperrt. Bevor der Betrieb, insbesondere bei einem Fahrzeug der Fahrbetrieb, aufgenommen wird, wird der Konfigurationswert TDI gesetzt. Somit ist für den Betriebsfall, insbesondere den Fahrbetrieb bei Fahrzeugen die Sicherheit insofern gewährleistet, als das ein Versenden von Busbotschaften, insbesondere CAN-Botschaften im Sicherheitsfall durch die Überwachungseinheit 102 unterbunden werden kann. Im Rahmen einer besonderen Betriebsart bzw. einem besonderen Betriebszustand beispielsweise dem Systemnachlauf, Systemvorlauf einer Systemprogrammierung, einer Systemprüfung oder Systemsimulation kann dann der Konfigurationswert TDI wieder gelöscht werden. Somit kann z. B. ohne Bedienung der Überwachungseinheit 102 eine Neu- bzw. Umprogrammierung des Steuergerätes, insbesondere der Funktionseinheit 101 oder auch einer anderen am Bus angekoppelten Steuereinheit durch die Funktionseinheit 101 via das Bussystem 105 erfolgen.
Dabei kann die Prozedur zum Setzen bzw. Löschen des Konfigurationswertes TDI zusätzlich abgesichert werden. Beispielsweise müssen zuerst andere Speicherbereiche bzw. Register geeignet beschrieben werden und/oder ein, insbesondere codierter, Schreibschutz aufgehoben werden.
Die Darstellung eines solchen erfindungsgemäßen Verfahrens ist im Rahmen des Flußdiagramms in Fig. 2 dargestellt. Block 200 markiert dabei den Start, speziell das Einschalten des Systems. In Abfrage 201 wird überprüft, ob der Systembetrieb, insbesondere der Fahrbetrieb bei Fahrzeugen vorgesehen ist.
Diese Überprüfung kann mit tatsächlichen Betriebsgrößen wie Motordrehzahl, Geschwindigkeit oder anderen durchgeführt werden. Andererseits ist eine Überprüfung anhand spezieller Werte oder Systembetriebsgrößen möglich, die für bestimmte Betriebszustände wie den Fahrbetrieb vorhanden sind bzw. bestimmte Werte einnehmen und für andere Betriebszustände wie einen Programmierbetrieb fehlen oder andere Werte einnehmen. Dabei können auch ganze Softwareteile die für einzelne Betriebszustände geladen bzw. vorhanden sein müssen für andere Betriebszustände fehlen woraus ebenfalls speziell auf den Fahrbetrieb vorab geschlossen werden kann.
Wird in Abfrage 201 erkannt, dass ein Fahrbetrieb vorgesehen ist, gelangt man zu Block 202 wo die Funktionseinheit 201 den Konfigurationswert TDI im Konfigurationsmittel 103, insbesondere im Speichermittel setzt. In der darauffolgenden Abfrage 203 wird nochmals überprüft, ob ein Fahrbetrieb vorliegt. Ist dies der Fall, gelangt man zu Abfrage 204 in welcher nun die Überwachungseinheit den Sicherheitsfall kontrolliert. Liegt kein Sicherheitsfall vor, gelangt man zu Block 205 wo die gewünschten Funktionen und Programme im Rahmen des Fahrbetriebs ausgeführt werden.
Von Block 205 gelangt man erneut zur Abfrage 203 und der Kontrolle ob bzw. ob weiter ein Fahrbetrieb vorliegt. Ist dies nicht der Fall, gelangt man zu Abfrage 207, zu der ebenso von Abfrage 201 verzweigt wird wenn in dieser festgestellt wird, dass kein Fahrbetrieb vorgesehen ist.
In Abfrage 207 wird überprüft, ob ein anderer Betriebsfall vorliegt. In Fig. 2 ist beispielhaft nur ein weiterer Betriebsfall aus Gründen der Übersichtlichkeit gewählt. Ebenso könnten weitere Betriebsarten bzw. Betriebsfälle nacheinander analog der dargestellten Form geprüft werden. Diese weiteren Betriebsfälle sind beispielsweise der Systemnachlauf oder Nachlaufbetrieb, der Systemvorlauf oder Vorlaufbetrieb, die Systemprogrammierung, Systemprüfung oder Systemsimulation bzw. -applikation.
Liegt also der weitere Betriebsfall in Abfrage 207 nicht vor, gelangt man zu Block 215, in welchem der Konfigurationswert TDI durch die Funktionseinheit bzw. den Funktionsrechner 101 gelöscht wird und dann zum Verfahrensende in Block 216. Liegt wenigstens ein weiterer Betriebsfall vor, gelangt man zu Block 212 und optional zu Block 2080o. In Block 212 wird der Konfigurationswert TDI durch den Funktionsrechner bzw. die Funktionseinheit gelöscht. Danach wird in Block 213 der weitere Betriebsfall auf den in Abfrage 207 geprüft wurde im Rahmen der dabei nötigen Funktionen und Programme durchgeführt.
In Abfrage 214 wird kontrolliert, ob der weitere Betriebsfall noch vorliegt, bzw. dieser weiterhin ausgeführt werden soll. Ist dies der Fall, gelangt man wieder zu Block 213 wo weitere Funktionen bzw. Programme des weiteren Betriebsfalls ausgeführt werden. Ist der weitere Betriebsfall beendet, bzw. abgeschlossen, gelangt man zu Block 216 dem Verfahrensende.
Durch den gelöschten Konfigurationswert TDI in Block 212 ist im weiteren 213, 214 sichergestellt, dass die Überwachungseinheit 102 das erste Zugriffselement 106 mittels Zugriffspfad 110 nicht bedienen kann. Damit wird gewährleistet, dass beispielsweise für die Steuergeräteprüfung/-programmierung oder im Nachlauf also in einer der weiteren Betriebsarten die Funktionseinheit bzw. der Funktionsrechner sich durch eine geeignete Prozedur freischalten kann. Dazu löscht der Funktionsrechner 101 den Konfigurationswert TDI und kann dann trotz beispielsweise ansprechender Überwachungseinheit 102 noch Busbotschaften versenden.
Im Sicherheitsfall, beispielsweise erkannt durch Abfrage 204 bei gesetztem (Block 202) Konfigurationswert TDI trennt nämlich die Überwachungseinheit 102 die Verbindung Funktionseinheit, bzw. Funktionsrechner 101 und Bussystem 105 bzw. Verbindungseinheit 104. Dies wird bei Erkennung eines Sicherheitsfalls in Abfrage 204 in Block 206 durchgeführt. Ein weiterer Fahrbetrieb ist danach in der Regel dennoch möglich und wird in Abfrage 203 erneut abgefragt.
Optional eingefügt ist Block 208o. Dieser Block kann zur Erhöhung der Sicherheit zusätzlich eingebracht werden. Darin gelangt man dann aus Abfrage 207 für den Fall das der weitere Betrieb vorliegt zur Abfrage 209o. Darin wird nun überprüft, ob ein Sicherheitsfall bei Abfrage 204 vorliegt oder nicht. Liegt kein Sicherheitsfall vor, gelangt man wieder zu Block 212.
Ist aber ein Sicherheitsfall aufgetreten, wird in Abfrage 210o abgefragt, ob der Konfigurationswert TDI gesetzt werden soll oder nicht. Dies hat den Hintergrund, dass in einem zum Systembetrieb, insbesondere zum Fahrbetrieb, unterschiedlichen Betriebsart bzw. Betriebsfall ein erkannter Sicherheitsfall, wie oben ausgeführt nicht zwangsläufig die gleiche Bedeutung hat wie im Fahrbetrieb. Gerade in den genannten Betriebsfällen können Bedingungen bzw. Zustände die im Systembetrieb sofort zu einer Verbindungstrennung führen würden, durchaus gewünscht sein.
Stellt sich also heraus, dass zwar durch die Überwachungseinheit ein Sicherheitsfall erkannt wurde der Konfigurationswert TDI aber nicht gesetzt werden muß bzw. darf weil bezüglich der anderen Betriebsart die Zustandskombination gewünscht ist, gelangt man ebenfalls zu Block 212 worin der Konfigurationswert gelöscht wird sofern er gesetzt war. Stellt sich in Abfrage 210o heraus, dass der Sicherheitsfall sehr wohl kritisch ist, beispielsweise aufgrund eines schwerwiegenden Defektes, welcher auch für die weitere Betriebsart problematisch ist so wird in Block 211o der Konfigurationswert TDI gesetzt bzw. sofern dieser bereits gesetzt ist, nicht gelöscht und man gelangt zu Block 206, worin erneut die Verbindung durch die Überwachungseinheit 102 getrennt wird.
Somit wird das Versenden von Bus-, insbesondere CAN- Botschaften im Sicherheitsfall durch die Überwachungseinheit 102 unterbunden. Diese Unterbindung ist durch die Funktionseinheit bzw. in Funktionsrechner 101 konfigurierbar, in dem dieser den Konfigurationswert TDI (Transmit Disable) setzt bzw. löscht.
In einer weiteren vorteilhaften Ausgestaltung ist eine feinere Differenzierung im Rahmen des Konfigurationswertes denkbar. Dabei ist nicht allein das Setzen oder Nichtsetzen des Konfigurationswertes von Bedeutung sondern es spielt eine Rolle, welcher Konfigurationswert gesetzt ist. So kann z. B. nach Betriebsarten unterschieden mit unterschiedlichen Konfigurationswerten je nach Betriebsart differenziert werden, ob die Funktionseinheit in die Lage versetzt wird, den Zugriff der Überwachungseinheit zu konfigurieren oder nicht. So gilt ein Konfigurationswert beispielsweise ausschließlich für die Systemprogrammierung. Ein Löschen dieses Konfigurationswertes läßt eine Systemprüfung trotz Sicherheitsfall aber nicht zu, dazu müßte ein anderer Konfigurationswert gelöscht werden bzw. der Konfigurationswert müßte ein anderer sein.
Bei Einsatz eines Fehlerzählers z. B. ist denkbar, dass ein Konfigurationswert TDI1 diesen sperrt, so dass dieser seinen Maximalwert, der den Sicherheitsfall repräsentiert nicht erreichen kann. Ein zweiter Konfigurationswert TDI2 überbrückt den Fehlerzähler und läßt den Zugriff des Überwachungsmodules trotz längst erreichtem Maximalwert nicht zu. Dies hat den Vorteil, dass bei Löschen von TDI2 sofort der Zugriff der Überwachungseinheit erfolgt wohingegen im ersten Fall bei TDI1 erst der Maximalwert des Zählers nach Löschen von TDI1 erreicht werden muß. Mehere Konfigurationswerte TDI1, TDI", . . . können dann je Betriebsart oder für alle Betriebsarten gemeinsam eingesetzt werden.
Damit gewährleistet die Erfindung, dass im Sicherheitsfall keine potentiell falschen Bus- bzw. CAN-Werte gesendet werden können. Dies ist eine wichtige Eigenschaft für eigensichere Einzelsysteme in einem Netzverbund. Gleichzeitig kann aber eine Korrektur beispielsweise des aufgetretenen Fehlers erfolgen, weil beispielsweise eine Neuprogrammierung trotz ansprechende Überwachungseinheit offengehalten wird.

Claims (9)

1. Verfahren zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug, wobei eine Funktionseinheit mit einem Bussystem in Verbindung steht, wobei die Funktionseinheit und/oder das Bussystem durch eine Überwachungseinheit überwacht werden und die Überwachungseinheit die Verbindung der Funktionseinheit mit dem Bussystem in einem Sicherheitsfall durch Zugriff trennt, dadurch gekennzeichnet, dass der Zugriff der Überwachungseinheit durch die Funktionseinheit konfigurierbar ist.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der Zugriff derart konfigurierbar ist, dass die Funktionseinheit mit einem Konfigurationsmittel, insbesondere einem Speicherbereich, in Verbindung steht und in das Konfigurationsmittel wenigstens ein Konfigurationswert schreibt oder aus dem Konfigurationsmittel löscht und der Zugriff der Überwachungseinheit nur bei eingeschriebenem Konfigurationswert möglich ist.
3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass bei einem System das wenigstens die Funktionseinheit und die Überwachungseinheit enthält verschiedene Betriebsarten unterschieden werden und abhängig von den Betriebsarten der Zugriff der Überwachungseinheit konfiguriert wird.
4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass der Zugriff abhängig von wenigstens einer der folgenden Betriebsarten konfiguriert wird: Systembetrieb, Systemnachlauf, Systemvorlauf, Systemprogrammierung, Systemprüfung, Systemsimulation und/oder -applikation.
5. Verfahren nach Anspruch 2 und 3, dadurch gekennzeichnet, dass mehrere Konfigurationswerte eingesetzt werden, und je Betriebsart ein eigener Konfigurationswert verwendet wird und/oder pro Betriebsart verschiedene Konfigurationswerte unterschieden werden.
6. Vorrichtung zur Steuerung von Betriebsabläufen insbesondere beim Fahrzeug, mit einer Funktionseinheit, insbesondere einer Steuereinheit, welche eine Verbindung zu einem Bussystem aufweist, sowie einer Überwachungseinheit, welche die Funktionseinheit und/oder das Bussystem überwacht, wobei die Überwachungseinheit die Verbindung der Steuereinheit mit dem Bussystem in einem Sicherheitsfall durch Zugriff trennt, dadurch gekennzeichnet, dass die Vorrichtung weiterhin Mittel enthält, durch welche die Funktionseinheit den Zugriff der Überwachungseinheit konfiguriert.
7. Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug, welche mit einer Funktionseinheit, insbesondere einer Steuereinheit in Verbindung steht, wobei die Vorrichtung eine Verbindung zu einem Bussystem aufweist, wobei die Vorrichtung eine Überwachungseinheit enthält, welche die Funktionseinheit und/das Bussystem überwacht, wobei die Überwachungseinheit die Verbindung der Funktionseinheit mit dem Bussystem in einem Sicherheitsfall durch Zugriff trennt, dadurch gekennzeichnet, dass die Vorrichtung weiterhin Mittel enthält, durch welche die Funktionseinheit den Zugriff der Überwachungseinheit konfiguriert.
8. Vorrichtung nach Anspruch 6 oder 7, dadurch gekennzeichnet, dass die Mittel als Konfigurationsmittel einen Speicherbereich umfassen, in welchem wenigstens ein Konfigurationswert speicherbar ist und der Zugriff abhängig von den Konfigurationswert konfiguriert wird.
9. Vorrichtung nach Anspruch 8, dadurch gekennzeichnet, dass die Verbindung der Funktionseinheit zum Bussystem mit einer Verbindungseinheit, insbesondere einer Treiberschaltung, realisiert ist und dass die Überwachungseinheit und/oder die Mittel, insbesondere der Speicherbereich, und/oder die Verbindungseinheit in einer Schaltungseinheit integriert sind.
DE10030996A 2000-06-30 2000-06-30 Vorrichtung und Verfahren zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug Expired - Lifetime DE10030996B4 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE10030996A DE10030996B4 (de) 2000-06-30 2000-06-30 Vorrichtung und Verfahren zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug
JP2001197716A JP4880135B2 (ja) 2000-06-30 2001-06-29 車両の駆動シーケンスの制御方法及びその装置
US09/896,216 US6650976B2 (en) 2000-06-30 2001-06-29 Device and method for controlling operational sequences, in particular in a motor vehicle
FR0108620A FR2811779B1 (fr) 2000-06-30 2001-06-29 Dispositif et procede de commande des deroulements de fonctionnement

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10030996A DE10030996B4 (de) 2000-06-30 2000-06-30 Vorrichtung und Verfahren zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug

Publications (2)

Publication Number Publication Date
DE10030996A1 true DE10030996A1 (de) 2002-01-10
DE10030996B4 DE10030996B4 (de) 2010-07-22

Family

ID=7646785

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10030996A Expired - Lifetime DE10030996B4 (de) 2000-06-30 2000-06-30 Vorrichtung und Verfahren zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug

Country Status (4)

Country Link
US (1) US6650976B2 (de)
JP (1) JP4880135B2 (de)
DE (1) DE10030996B4 (de)
FR (1) FR2811779B1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1529253A1 (de) * 2002-08-07 2005-05-11 Robert Bosch Gmbh Verfahren und vorrichtung zur steuerung von betriebsabläufen insbesondere in einem fahrzeug
DE102011120872B4 (de) 2010-12-17 2020-06-18 GM Global Technology Operations, LLC (n.d. Ges. d. Staates Delaware) Verfahren zur Nachrichtenübertragungs-Deaktivierungsprüfung eines Controllerbereichsnetzes

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10065118A1 (de) * 2000-12-28 2002-07-04 Bosch Gmbh Robert System und Verfahren zur Steuerung und/oder Überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbundes
US7467029B2 (en) * 2004-12-15 2008-12-16 General Motors Corporation Dual processor supervisory control system for a vehicle
US9894050B1 (en) * 2014-08-11 2018-02-13 Google Llc Server based settings for client software with asymmetric signing

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4118558A1 (de) * 1991-06-06 1992-12-10 Bosch Gmbh Robert System zur steuerung einer brennkraftmaschine
DE19609076C1 (de) * 1996-03-08 1997-08-14 Siemens Ag Verfahren zum Auslösen eines Rückhaltemittels in einem Fahrzeug
JP3991384B2 (ja) * 1996-07-15 2007-10-17 株式会社デンソー 電子制御装置
US5957985A (en) * 1996-12-16 1999-09-28 Microsoft Corporation Fault-resilient automobile control system
JP3566517B2 (ja) * 1997-11-11 2004-09-15 三菱電機株式会社 車両用エンジンの駆動制御装置
DE19813964A1 (de) * 1998-03-28 1999-08-19 Telefunken Microelectron Bussystem mit einer Zentraleinheit eine Mehrzahl von Steuermodulen, insbesondere für Insassenschutzsysteme in Kraftfahrzeugen
DE19813921A1 (de) * 1998-03-28 1999-09-30 Telefunken Microelectron Verfahren zum Betreiben eines über eine Busleitung vernetzten Rückhaltesystems bei einer fehlerhaften Stromversorgung
DE19833462A1 (de) * 1998-07-24 2000-01-27 Mannesmann Vdo Ag Schaltungsanordnung zur Abkopplung einer elektronischen Einrichtung von einer Datenleitung in einem Kraftfahrzeug

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1529253A1 (de) * 2002-08-07 2005-05-11 Robert Bosch Gmbh Verfahren und vorrichtung zur steuerung von betriebsabläufen insbesondere in einem fahrzeug
US7418316B2 (en) 2002-08-07 2008-08-26 Robert Bosch Gmbh Method and device for controlling operational processes, especially in a vehicle
DE102011120872B4 (de) 2010-12-17 2020-06-18 GM Global Technology Operations, LLC (n.d. Ges. d. Staates Delaware) Verfahren zur Nachrichtenübertragungs-Deaktivierungsprüfung eines Controllerbereichsnetzes

Also Published As

Publication number Publication date
FR2811779B1 (fr) 2005-03-04
JP2002108403A (ja) 2002-04-10
US6650976B2 (en) 2003-11-18
JP4880135B2 (ja) 2012-02-22
US20020080026A1 (en) 2002-06-27
FR2811779A1 (fr) 2002-01-18
DE10030996B4 (de) 2010-07-22

Similar Documents

Publication Publication Date Title
EP2171549B1 (de) Sicherheitsvorrichtung zum mehrkanaligen steuern einer sicherheitstechnischen einrichtung
EP3140816B1 (de) Verfahren zur diagnose eines zustands in einem fahrzeug
DE102007017865A1 (de) Adaptions-Element und Testanordnung sowie Verfahren zum Betrieb derselben
EP3113984B1 (de) Steuergerät für ein mehrspannungsbordnetz eines fahrzeugs
DE102018121960A1 (de) Vorrichtung zur Entkopplung und zum Schutz vor Ausgleichsströmen in einem redundanten System für autonomes Fahren
EP2977905A1 (de) Anordnung zur selektiven freigabe einer debuggingschnittstelle
AT510379A2 (de) Diagnosetool zum anschluss an eine fahrzeug-diagnosebuchse
DE102018121957A1 (de) Schutzvorrichtung zur Entkopplung elektrischer Steuerkreise in einem redundanten System für autonomes Fahren
EP2154587B1 (de) System zum Stellen eines Stellorgans
DE4113959A1 (de) Ueberwachungseinrichtung
DE102004020539B3 (de) Elektronische Steuereinrichtung und Verfahren zur Steuerung des Betriebs von Kraftfahrzeugkomponenten
DE10030996A1 (de) Vorrichtung und Verfahren zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug
EP0553443B1 (de) Schaltung zur Ansteuerung und Überwachung induktiver Lasten, insbesondere von Magnetventilen, in einem Antiblockierregelsystem
DE102015206483A1 (de) Schaltvorrichtung und Betriebsverfahren hierfür
EP3557598A1 (de) Sicherheitsschalter
EP1679729B1 (de) Vorrichtung zur sicheren Signalerzeugung
DE102015201278B4 (de) Steuersystem
EP2503669B1 (de) Sicherheitsgerichtete Automatisierungsanlage mit überwachtem Abschaltverhalten und mit Abschalt-Beschleunigungseinrichtung
EP2337727B1 (de) Servo-lenksystem und verfahren zum betreiben eines servo-lenksystems
EP2013731B1 (de) Schaltungsanordnung und verfahren zum betrieb einer schaltungsanordnung
DE102022108193A1 (de) Schaltverstärker für Sicherheitsanwendungen und Verfahren zum Betreiben eines Schaltverstärkers für Sicherheitsanwendungen
DE102015119611B4 (de) Verbesserung der Diagnostizierbarkeit von Fail-operational Systemen
EP3322620B1 (de) Vorrichtung und verfahren zum ansteuern einer endstufe für einen aktuator in einem fahrzeug
EP3459204B1 (de) Verfahren zur realisierung einer diagnosefähigkeit von nicht-automotive-steuergeräten in einem automotive-umfeld
DE102015203250A1 (de) Sicherheitsvorrichtung und Verfahren zum Überführen eines Aktorsystems in einen sicheren Zustand, Aktorsystem und Verfahren zum Betreiben eines Aktorsystems

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
8364 No opposition during term of opposition
R071 Expiry of right