DE10032216A1 - Sicherheitssystem in einem Kraftfahrzeug und Verfahren - Google Patents

Sicherheitssystem in einem Kraftfahrzeug und Verfahren

Info

Publication number
DE10032216A1
DE10032216A1 DE2000132216 DE10032216A DE10032216A1 DE 10032216 A1 DE10032216 A1 DE 10032216A1 DE 2000132216 DE2000132216 DE 2000132216 DE 10032216 A DE10032216 A DE 10032216A DE 10032216 A1 DE10032216 A1 DE 10032216A1
Authority
DE
Germany
Prior art keywords
program
units
unit
controlled
security system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE2000132216
Other languages
English (en)
Inventor
Ernst Futterlieb
Stefan Hermann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Automotive GmbH
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE2000132216 priority Critical patent/DE10032216A1/de
Publication of DE10032216A1 publication Critical patent/DE10032216A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24125Watchdog, check at timed intervals
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24182Redundancy
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24187Redundant processors run identical programs
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2637Vehicle, car, auto, wheelchair

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Die Erfindung betrifft ein Sicherheitssystem in einem Kraftfahrzeug und ein Verfahren, bei dem ein Hauptrechner die Sensor- und Konfigurationseingänge steuert und diagnostiziert. Über einen SPI-Bus wird ein Schutzrechner eingangsseitig als Slave an den als Master fungierenden Hauptrechner angeschlossen. Der Schutzrechner überprüft den Zeitverlauf der Prozess-Signale, die vom Hauptrechner vorzungsweise über einen Prozess-Synchronisationsbus an den Schutzrechner herangeführt werden. Auf diese Weise ist ein anpassungsfähiges Sicherheitssystem mit konfigurierbarer Schutzfunktion realisierbar, die mit lediglich einer einzigen redundanten Hardwarekomponente (Schutzrechner) auskommt.

Description

Die Erfindung betrifft ein Sicherheitssystem in einem Kraft­ fahrzeug sowie ein Verfahren zur Überwachung der ordnungsge­ mäßen Funktion eines Sicherheitssystems.
Sicherheitssysteme in Kraftfahrzeugen sind mit dem steigenden Bedürfnis nach mehr Sicherheit für die im Kraftfahrzeug zu schützenden Personen und Einrichtungen aus dem Kraftfahrzeug nicht mehr wegzudenken. Derartige Sicherheitssysteme sind häufig mit Rückhaltemitteln, wie z. B. Fahrer- und Beifahrer­ airbags, Seitenairbags, Gurtstraffern, Überrollbügeln und dergleichen, ausgestattet.
Bei sicherheitskritischen Systemen, wie sie in der Automobil­ industrie und in der Luftfahrtindustrie vorliegen, sind sehr hohe Sicherheitsanforderungen sowohl für die Hardware als auch die Software solcher Sicherheitssysteme gestellt. Ein Ausfallen oder eine Fehlfunktion eines Elementes des Sicher­ heitssystems muss definiert erkannt werden, ungeachtet, ob es sich hier um einen Hardwarefehler oder um einen Softwarefeh­ ler handelt. Solche Fehler können beispielsweise bei einem defekten Sensor- oder Konfigurationseingang, bei einem Aus­ fallen der Zeitbasis oder der Referenzspannung des Steuer­ rechners, einem Fehler im Programm, etc. vorliegen. Aus die­ sem Grund werden häufig redundante Hardwarekomponenten einge­ setzt, um eine möglichst sichere Funktionsweise der Sicher­ heitssysteme zu gewährleisten.
Die einfachste Form der Hardwareredundanz besteht aus einem Mikroprozessorsystem und einem, dieses System überwachenden, sogenannten Watchdog-Timer. Dieser Watchdog-Timer erhält pe­ riodisch, d. h. innerhalb einer vorbestimmten Zeitspanne, ein Statussignal vom Mikroprozessor. Wenn dieses Signal durch ei­ nen Software- oder Hardwarefehler nicht zeitlich korrekt generiert wird, so wird das System vom Watchdog-Timer in einen sicheren Zustand gesteuert (fail safe), eine Fehlermeldung wird ausgegeben (failure identification) und der Mikroprozes­ sor wird neu gestartet (reset). Der Vorteil dieses Sicher­ heitssystems besteht darin, dass der Mikroprozessor wie auch der Watchdog-Timer in einem Kraftfahrzeug ohnehin schon zur Steuerung verschiedener elektrischer und elektronischer Fahr­ zeugfunktionen, wie zum Beispiel Motorsteuerung, ABS, ESP, Klimaanlage, Fensterheber, etc., vorhanden ist und nicht erst bereitgestellt werden muss.
Ein solcher Watchdog-Timer besteht aus einem frei laufenden Zähler, der kurz vor seinem Überlaufen durch das aktuelle Programm zurück gesetzt wird. Ein Fehler im Sicherheitssystem kann also immer erst beim vollständigen Durchlaufen des Watchdog-Timers erkannt werden. Dieser Vorgang bis zum Über­ laufen des Watchdog-Timers kann je nach Einstellung mitunter sehr lang sein. Diese mitunter sehr lange Zeitdauer, die vielleicht bei den oben genannten "üblichen" Überwachungstä­ tigkeiten eines Mikroprozessor ausreichend sein können, sind jedoch bei einem sicherheitskritischem System nicht akzepta­ bel, da beispielsweise im Kraftfahrzeug das Auslösen eines Rückhaltemittels, wie z. B. der Zündpille für einen Airbag, möglichst verzögerungsfrei erfolgen muss.
Alternativ zu der genannten einfachsten Form einer Hardware­ redundanz wären auch komplexere hardware-redundante Sicher­ heitssysteme denkbar, bei denen jeweils für ein Eingangssig­ nal eine redundante Sicherheitskomponenten vorgesehen sind. Allerdings werden die Anforderungen an Sicherheitssysteme in Kraftfahrzeugen künftig stark zunehmen, um den Schutz der Fahrzeuginsassen weiter zu verbessern. Damit einhergehend wird gleichermaßen die Zahl der Rückhalteeinrichtungen und deren zugehörige Auslösemittel ansteigen. Gleiches gilt für die Sensor- und Konfigurationseinrichtungen. Dies bedeutet a­ ber, dass eine der Anzahl der Peripherieeinrichtungen ent­ sprechende Anzahl von redundanten Komponenten für die entsprechenden Eingangssignale bereitgestellt werden müssen. Da­ mit werden aber die genannten komplexen Sicherheitssysteme sehr umfangreich, was aus ökonomischen Gründen häufig nicht akzeptabel ist.
Es ist daher die Aufgabe der vorliegenden Erfindung, ein Si­ cherheitssystem anzugeben, welches eine vergleichsweise hohe Sicherheit bietet und das gleichzeitig möglichst einfach und kostengünstig herstellbar ist. Ferner soll ein Verfahren zum Betreiben des Sicherheitssystems angegeben werden.
Die systembezogene Aufgabe wird erfindungsgemäß durch ein Si­ cherheitssystem mit den Merkmalen des Patentanspruchs 1 ge­ löst. Demgemäss ist ein Sicherheitssystem in einem Kraftfahr­ zeug vorgesehen,
  • - mit einer ersten und mindestens einer weiteren programmge­ steuerten Einheit, die zur Abarbeitung eines gleichen Si­ cherheitsprogramms in Abhängigkeit von Signalen der Peri­ pherieeinheiten ausgelegt sind, wobei mindestens eine pro­ grammgesteuerte Einheit eingangsseitig mit mindestens ei­ ner Peripherieeinheit gekoppelt ist,
  • - mit in den programmgesteuerten Einheiten angeordneten Funktionseinheiten, wobei jeweils einer Funktionseinheit in der ersten programmgesteuerten Einheit eine weitere Funktionseinheit in der(den) weiteren programmgesteuerten Einheit(en) zugeordnet ist, die miteinander gekoppelt sind, die jeweils ein gleiches Programmsegment des Sicher­ heitsprogramms abarbeiten, die ein Statussignal in Abhän­ gigkeit von dem jeweils abgearbeiteten Programmsegment be­ reitstellen, welches der jeweils nachgeordneten Funktions­ einheit zuführbar ist, und die bei einem Fehler ein Re­ setfreigabe-Signal erzeugen,
  • - mit einer Rücksetzeinrichtung, die mit den Ausgängen der Funktionseinheiten der programmgesteuerten Einheiten ge­ koppelt ist und die abhängig von solchen ihr zugeführten Resetfreigabe-Signalen, die eine fehlerhafte Funktion anzeigen, ein Rücksetzsignal zum Rücksetzen der programmge­ steuerten Einheiten erzeugt.
Die verfahrensbezogene Aufgabe wird erfindungsgemäß durch ein Verfahren mit den Merkmalen des Patentanspruchs 12 gelöst.
Die erste programmgesteuerte Einheit (Hauptrechner) steuert und diagnostiziert die Sensor- und Konfigurationseingänge. Es wird dabei berücksichtigt, dass keine redundanten Aufnehmer für die Eingangsdaten eingesetzt werden, dafür wird die ein­ geschränkte Redundanz der Eingangsdaten berücksichtigt. Über den SPI-Bus wird die andere programmgesteuerte Einheit (Schutzrechner) eingangsseitig als Slave an den als Master fungierenden Hauptrechner angeschlossen. Der Schutzrechner ü­ berprüft den Zeitverlauf der Prozess-Signale, die vom Haupt­ rechner gesendet werden. Diese Prozess-Signale werden vor­ zugsweise über I/O-Ports und über den Prozess-Synchronisat­ ionsbus an den Schutzrechner herangeführt. Über diesen Pro­ zess-Synchronisationsbus werden Daten - beispielsweise über verschiedene Zustände des Hauptrechners wie dessen Einschalt­ phase, Steuerung und Lesen der einzelnen Eingangsschnittstel­ len, Diagnose der wichtigsten Funktionseinheiten, Aufpraller­ kennung, Ansteuerung von Ausgängen, Abschaltphase - an den Schutzrechner gesendet. Diese Schutzfunktionen können über Software an die jeweiligen Verhältnisse bzw. Anforderungen angepasst werden.
Auf diese Weise ist ein anpassungsfähiges Sicherheitssystem mit konfigurierbarer Schutzfunktion realisierbar, die mit le­ diglich einer einzigen zusätzlichen Hardwarekomponente, näm­ lich die Bereitstellung des Schutzrechners, auskommt. Es muss hier lediglich sichergestellt werden, dass die Rechenleistung des Schutzrechners an die, aus der Sicht der Schutzfunktion, erforderlichen Aufgaben angepasst wird, um dadurch den Auf­ wand des erfindungsgemäßen Sicherheitssystems möglichst ge­ ring zu halten. Es lässt sich dann ein Sicherheitssystem be­ reitstellen, dessen Gesamtkosten signifikant geringer als die Kosten der eingangs beschriebenen klassischen Lösungen sind, wohingegen eine deutliche Verbesserung der Schutzfähigkeit gewährleistet werden kann.
Weitere vorteilhafte Ausgestaltungen und Weiterbildungen des Erfindungsgedankens sind den Unteransprüchen sowie der Be­ schreibung unter Bezugnahme auf die Zeichnung entnehmbar.
Die Erfindung wird nachfolgend anhand der in den Figuren der Zeichnung angegebenen Ausführungsbeispiele näher erläutert. Es zeigt dabei:
Fig. 1 das Blockschaltbild eines erfindungsgemäßen Sicher­ heitssystems mit parallel angeordneten programmge­ steuerten Einheiten;
Fig. 2 ein detailliertes Blockschaltbild der programmge­ steuerten Einheiten entsprechend Fig. 1.
In allen Figuren der Zeichnung sind gleiche bzw. funktions­ gleiche Elemente und Signale, sofern nichts anderes angegeben ist, mit gleichen Bezugszeichen versehen.
Fig. 1 zeigt in einem Blockschaltbild die Grundstruktur ei­ nes erfindungsgemäßen Sicherheitssystems 1. Das Sicherheits­ system 1 weist zwei programmgesteuerte Einheiten 2, 3 auf, von denen die erste programmgesteuerte Einheit 2 als Haupt­ rechner und die andere programmgesteuerte Einheit 3 als Schutzrechner ausgebildet ist. Der Hauptrechner 2 ist vor­ teilhafterweise derart ausgelegt, dass er neben der Verarbei­ tung der Programmabläufe für die Schutzfunktionen auch andere Programmabläufe, beispielsweise Steuerungs-, Regelungsfunkti­ onen und Statusinformationen verarbeiten kann. Der Schutz­ rechner 3 ist typischerweise lediglich zur Verarbeitung von solchen Programmabläufen ausgelegt, die für die Schutzfunkti­ on des Sicherheitssystems erforderlich sind. Es wäre jedoch auch denkbar, dass beide programmgesteuerte Einheiten 2, 3 als Hauptrechner ausgebildet sind und quasi eine Arbeitstei­ lung der zu verarbeitenden Programme vornehmen, wobei ledig­ lich sicherheitsrelevante Programmabläufe von beiden pro­ grammgesteuerte Einheiten 2, 3 gemeinsam bearbeitet werden. Besonders vorteilhaft ist ferner, wenn die beiden programmge­ steuerten Einheiten 2, 3 jeweils eine eigene Zeitbasis und ein eigenes Referenzpotential VDD aufweisen.
Ferner sind zwei, mit den programmgesteuerten Einheiten 2, 3 gekoppelte Peripherieeinheiten 4, 5 vorgesehen. Im vorliegen­ den Ausführungsbeispiel ist die eine Peripherieeinheit 4 als Sensor - beispielsweise als Aufprallsensor - ausgebildet, während die andere Peripherieeinheit 5 eine Konfigurations­ einheit umfasst. In Fig. 1 wurde lediglich eine einzige Sen­ soreinheit 4 und eine einzige Konfigurationseinheit 5 darge­ stellt; es sei jedoch schon an dieser Stelle darauf hingewie­ sen, dass ein Sicherheitssystem in einem Kraftfahrzeug typi­ scherweise eine Vielzahl solcher Sensor- und Konfigurations­ einheiten 4, 5 aufweist.
Die Peripherieeinheiten 4, 5 sind über eine synchrone Bus- Schnittstelle 6 mit den beiden programmgesteuerten Einheiten 2, 3 verbunden. Im vorliegenden Ausführungsbeispiel ist diese synchrone Schnittstelle 6 als serielle SPI-Schnittstelle (SPI = synchronous serial interface) ausgebildet. Eine SPI- Schnittstelle 6 ermöglicht eine schnelle serielle Datenüber­ tragung von bis zu 1 Mbit/sec zwischen Kommunikationsteilneh­ mern bei Entfernungen bis ca. 15 m. Für eine vollduplexe Da­ tenübertragung werden hier typischerweise zwei serielle Da­ tenleitungen 8, 9 zur Übertragung eines Datensignals (MOSI, MISO) und eine Taktleitung 10 für den Systemtakt (CLK) benö­ tigt. Die programmgesteuerten Einheiten 2, 3 und die Periphe­ rieeinheiten 4, 5 weisen hierfür entsprechende Ein-/Ausgänge MOSI, MISO, CLK auf.
Ein Kommunikationsteilnehmer, im vorliegenden Beispiel der Hauptrechner 2, arbeitet als Master, der den Takt für die Datenübertragung nach dem Schieberegister-Prinzip bereitstellt. Der andere Kommunikationsteilnehmer, hier der Schutzrechner 2, fungiert als Slave, der auf eine Masteranforderung seine Daten ausgibt. Da jeder SPI-Kommunikationsteilnehmer über ein Aktivierungspin (in Fig. 1 nicht dargestellt) verfügt, las­ sen sich damit sehr einfach busähnliche Strukturen aufbauen. Obgleich eine derartige SPI-Schnittstelle 6 aus den genannten Gründen sehr vorteilhaft ist, sei die Erfindung jedoch nicht auf die Verwendung einer SPI-Schnittstelle 6 eingeschränkt, vielmehr sind auch andere Bus-Schnittstellen, wie z. B. ein I2C-Bus, ein CAN-Bus oder dergleichen, denkbar. Ferner soll die Erfindung nicht auf serielle Schnittstellen beschränkt sein, vielmehr wäre auch eine parallel Schnittstelle von Vor­ teil.
Ferner ist ein Synchronisationsbus 7 vorgesehen, der zwischen den programmgesteuerten Einheiten 2, 3 angeordnet ist und der der Synchronisation der Datenkommunikation zwischen den bei­ den programmgesteuerten Einheiten 2, 3 dient. Die Funktions­ weise des Synchronisationsbusses 7 wird nachfolgend noch an­ hand von Fig. 2 detailliert erläutert.
Schließlich weist das Sicherheitssystem 1 zwei Ausgabeeinhei­ ten 11, 12 auf. Im einfachsten Fall können die Ausgabeeinhei­ ten 11, 12 als UND-Gatter 13, 14 realisiert sein. Die Ausga­ beeinheiten 11, 12 sind mit den jeweiligen Ausgängen der pro­ grammgesteuerten Einheiten 2, 3 kreuzverschaltet. Über Ver­ bindungsleitungen sind den Ausgabeeinheiten 11, 12 Freigabe­ signale 15, 16 zuführbar. Den Ausgabeeinheiten 11, 12 können in Fig. 1 nicht dargestellte Rückhaltemittel, beispielsweise die Zündpille eines Airbags, die über einen Freigabebefehl 17, 18 ausgelöst werden, nachgeordnet sein.
Fig. 2 zeigt ein detailliertes Blockschaltbild der programm­ gesteuerten Einheiten 2, 3 entsprechend Fig. 1. Die pro­ grammgesteuerten Einheiten 2, 3 sind, wie bereits erwähnt, zur parallelen Abarbeitung desselben Sicherheitsprogramms ausgelegt. Im Ausführungsbeispiel in Fig. 1 weist der Haupt­ rechner 2 drei Funktionseinheiten 20, 21, 22 auf, die jeweils zur Abarbeitung eines einzelnen Programmsegmentes, das Teil des Sicherheitsprogramms ist, ausgelegt sind. Der Schutzrech­ ner 3 weist eine gleiche Anzahl Funktionseinheiten 30, 31, 32 auf, die weitestgehend identisch wie die Funktionseinheiten 20, 21, 22 aufgebaut sind und die entsprechende Programmseg­ mente des Sicherheitsprogramms abarbeiten. Die Funktionsein­ heiten 20, 21, 22; 30, 31, 32 sind jeweils über Verbindungs­ leitungen 70-73 des Synchronisationsbusses 7 miteinander gekoppelt. Durch die so ausgestaltete Hardwareredundanz, also durch das Bereitstellen doppelt vorhandener und miteinander gekoppelter Hardwareelemente, wird eine hardwaremäßige oder softwaremäßige Fehlfunktion sicher erkannt.
Ferner ist in Fig. 2 eine Rücksetzeinrichtung 40 vorgesehen, die eingangsseitig mit den Funktionseinheiten 20, 21, 22; 30, 31, 32 und ausgangsseitig mit den Reset-Eingängen RES der programmgesteuerten Einheiten 2, 3 gekoppelt ist. Die Rück­ setzeinrichtung 40 weist ein ODER-Gatter 41 sowie eine dem ODER-Gatter 41 nachgeschaltete Reset-Schaltung 42 auf. Über Verbindungsleitungen ist dem ODER-Gatter ein Resetfreigabe- Signal 43, 44 zuführbar. Bei Vorliegen der entsprechenden Re­ set-Bedingungen erzeugt die Reset-Schaltung 42 ein Resetfrei­ gabe-Signal 45, das den programmgesteuerten Einheiten 2, 3 zugeführt wird. Die Reset-Schaltung 42 könnte beispielsweise auch durch einen Watchdog-Timer bzw. einen Trigger-Watchdog ausgebildet sein. g
Nachfolgend wird die Funktionsweise der miteinander gekoppel­ ten programmgesteuerten Einheiten 2, 3 detailliert beschrie­ ben:
Das Grundprinzip des erfindungsgemäßen Sicherheitssystems 1 besteht in der Bereitstellung zweier, in Bezug auf die Schutzfunktionen gleichberechtigter programmgesteuerter Ein­ heiten 2, 3. Eine Entscheidung des Gesamtsystems, beispielsweise das Auslösen eines Airbags oder eines Überrollbügels, muss daher auch von beiden programmgesteuerten Einheiten 2, 3 gleichzeitig getragen werden. Zu diesem Zweck werden alle si­ cherheitskritischen Eingangsdaten 50, d. h. solche Eingangsda­ ten, die für die Schutzfunktion relevant sein könnten, in beide programmgesteuerte Einheiten 2, 3 eingekoppelt und dort zumindest auf ihre Gültigkeit überprüft. Sicherheitsunkriti­ sche Eingangsdaten 51 werden hingegen lediglich in eine pro­ grammgesteuerten Einheiten 2, 3, im vorliegenden Fall in den Hauptrechner 2, eingekoppelt.
Ferner wird jede programmgesteuerte Einheit 2, 3 über die Vorgänge in der jeweils anderen programmgesteuerten Einheit 2, 3 informiert und überprüft die Reihenfolge und die Zeit­ dauer der durch die jeweiligen Funktionseinheiten 20, 21, 22; 30, 31, 32 bearbeiteten Programmsegmente. Beide programmge­ steuerten Einheiten 2, 3 können bei einer identifizierten festgestellten Fehlfunktion über ein Reset-Signal 45 beide programmgesteuerte Einheiten 2, 3 zurücksetzen. Das Reset- Signal 45 wird hier über die Reset-Schaltung 42, die bei­ spielsweise von dem Hauptrechner 2 getätigt und gesetzt wird, erzeugt. Vorteilhafterweise kann der Schutzrechner 3 jedoch das Setzen der Reset-Schaltung 42 verhindern und somit das Reset-Signal 45 selber auslösen. Zu diesem Zweck ist die Re­ set-Schaltung 42 und die vorgeschaltete ODER-Schaltung 41 je­ weils mit den Ausgängen der Funktionseinheiten 20, 21, 22; 30, 31, 32 verbunden, die jeweils ein Freigabe- bzw. Status­ signal über den Ablauf der von ihnen jeweils bearbeiteten Programmsegmente an die Rücksetzeinrichtung 40 sendet.
Die Statussignal auf den Verbindungsleitungen können je nach Anwendung ein unterschiedliches Format aufweisen. Eine mögli­ che Bitstruktur der Statussignale auf den Verbindungsleitun­ gen 70-73 gemäß Fig. 2 wird nachfolgend anhand von Fig. 3 näher beschrieben:
Im einfachsten Fall reicht hier ein 3-bit breites Statussig­ nal aus, um den ordnungsgemäßen oder ein fehlerhaften Betrieb zu erkennen. Ein solches Statussignal hat das Format "x1; x2; x3", wobei mit x1 das höchstwertige Bit (sog. MSB-Bit) und mit x3 das niedrigstwertige Bit (sog. LSB-Bit) bezeichnet ist. Das MSB-Bit x1 gibt im vorliegenden Beispiel an, von welcher programmgesteuerten Einheit 2, 3 das jeweilige Sta­ tussignal stammt. Das x2-Bit zeigt das Ende eines Programm­ segmentes an, während das LSB-Bit x3 anzeigt, ob dieses Ende jeweils erkannt wurde.
Den beiden Funktionseinheiten 20, 30 werden jeweils kritische Eingangsdaten 50 zugeführt, die in den Funktionseinheiten 20, 30 ein gleiches Programmsegment durchlaufen. Funktionseinheit 20 sendet den Funktionseinheiten 21, 31 über die Verbindungs­ leitung 70 ein Statussignal, das das Ende des ersten Pro­ grammsegmentes anzeigt. Funktionseinheit 31 sendet daraufhin über Verbindungsleitung 71 seinerseits ein Statussignal, dass das Ende des ersten Programmsegmentes erkannt wurde. In der zweiten Stufe zeigt Funktionseinheit 21 den Funktionseinhei­ ten 22, 32 über die Verbindungsleitung 72 das Ende des zwei­ ten Programmsegmentes an. Aufgrund eines software- oder hard­ waremäßigen Fehlers konnte Funktionseinheit 32 jedoch das En­ de des zweiten Programmsegmentes nicht erkennen, so dass der Funktionseinheit 22 ein entsprechendes negatives Statussignal übermittelt wird, was in Fig. 2 durch die gestrichelte Ver­ bindungsleitung 73 dargestellt wurde. Von dem Hauptrechner 2 wird deshalb kein Freigabesignal 15 ausgegeben. Gleichzeitig erzeugt der Hauptrechner 2 ein Resetfreigabe-Signal 43. Die Reset-Schaltung 42 setzt daraufhin über das Resetsignal 45 die beiden programmgesteuerten Einheiten 2, 3 zurück.
Auf diese Weise kann eine Fehler - beispielsweise der Ausfall irgendeiner Funktionseinheit inklusive der Versorgungsspan­ nungseinheit - bereits am Ende jeder ein Programmsegment aus­ führenden Funktionseinheit 20, 21, 22; 30, 31, 32 erkannt werden und nicht erst nach einer vorbestimmten Zeitdauer der Reset-Schaltung 42. Dadurch ist eine Echtzeit-Fehlererkennung möglich. Darüber hinaus wird auch eine softwareseitige Fehl­ funktion definiert erkannt, wodurch der ganze Entwicklungs- und Prüfprozess signifikant verbessert wird.
Wie bereits erwähnt beschreibt das Ausführungsbeispiel gemäß Fig. 3 ein einfache Ausgestaltung des Busprotokoll auf dem Synchronisationsbus 7. Es wäre jedoch auch denkbar und ggf. je nach Anwendung auch vorteilhaft, ein komfortableres Bus­ protokoll zu verwenden, das beispielsweise auch die folgenden zusätzlichen Informationen liefert:
  • - Art des Fehlers, z. B. Software- oder Hardwarefehler, Fehler in der Referenzspannung oder Taktversorgung;
  • - Umfang des Fehlers, d. h. wird dadurch die Funktionsfä­ higkeit des Sicherheitssystem beeinträchtigt;
  • - In welcher Funktionseinheit ist der Fehler entstanden; etc.
Ferner wurden im vorliegenden Ausführungsbeispiel die Re­ setfreigabe-Signale jeweils als 1-Bit breite Signale be­ schrieben, die bei einer "1" die nachgeordnete Schaltung 40, 11 freigeben, wodurch ein Zündimpuls 17 oder ein Resetsignal 45 ausgelöst wird. Bei einer "0" wird die nachgeordnete Schaltung 40, 11 gesperrt, dass heißt es wird kein Zündimpuls 17 oder Resetsignal 45 ausgelöst. Denkbar wäre jedoch auch hier, dass die Signale eine Bitbreite größer als eins aufwei­ sen. Damit wäre es möglich, dass bei einem Fehler das System je nach Fehlertyp ein unterschiedliches Verhalten zeigt. Ein solches System kann abhängig von der Bitzahl des Signals 43, 44; 15, 16 beispielsweise ein oder mehrere der folgenden Feh­ lerverhalten zeigen:
  • - Keine Vorkehrungen für den Ausfall des Systems;
  • - Identifikation und Anzeigen des Fehlers (failure identi­ fication);
  • - Umschalten in einen definierten, sicheren Zustand bei Auftreten eines Fehlers (Fail Safe; zum Beispiel bei ei­ nem Airbag-System;
  • - Bereitstellung einer Minimalfunktionalität (Limb Home; zum Beispiel bei einem ABS-System);
  • - Voll Funktionalität auch im Falle eines Fehlers (Failure Redundant, Fail Operational; zum Beispiel bei einem Sa­ tellitensystem).
Die Erfindung wurde anhand eines Sicherheitssystems im Kraft­ fahrzeug beschrieben. Jedoch sei die Erfindung nicht aus­ schließlich auf solche Anwendungen beschränkt; vielmehr ist sie vorteilhafterweise bei sämtlichen Sicherheitssystemen an­ wendbar, so zum Beispiel bei Sicherheitssystemen für die Luft- und Raumfahrtechnik sowie für Satellitensysteme. Die Erfindung eignet sich insbesondere für sehr komplexe Sicher­ heitssysteme mit einer Vielzahl von eingangsseitigen Sensor- und Konfigurationseinheiten und ausgangsseitigen Rückhalte­ mitteln.
Im vorliegenden Ausführungsbeispiel wurde das Sicherheitssys­ tem der Einfachheit halber anhand einer einzigen redundanten Hardwarekomponente beschrieben. Selbstverständlich ließen sich, wenn dies erforderlich wäre, weitere programmgesteuerte Einheiten parallel anordnen, wodurch die Sicherheit bei der Erkennung einer Fehlfunktion noch erheblich gesteigert werden könnte.
Zusammenfassend kann festgestellt werden, dass durch das wie beschrieben aufgebaute Sicherheitssystem ein für die Zwecke einer möglichst hohen Sicherheit gegen Fehlfunktion optimier­ tes System bereitgestellt wird, ohne dass gleichzeitig die Nachteile von Sicherheitssystemen nach dem Stand der Technik in Kauf genommen werden müssen. Insbesondere bei sehr komplex ausgestalteten Sicherheitssystemen, beispielsweise mit einer Vielzahl von eingangsseitigen Sensor- und Konfigurationsein­ heiten und ausgangsseitigen Rückhaltemittel, lässt sich das erfindungsgemäße Sicherheitssystem durch die Bereitstellung lediglich einer redundanten Hardwarekomponente denkbar ein­ fach und somit kostengünstig implementieren.
Die vorliegende Erfindung wurde anhand der vorstehenden Be­ schreibung so dargelegt, um das Prinzip und dessen praktische Anwendung bestmöglichst zu erklären. Selbstverständlich lässt sich die vorliegende Erfindung im Rahmen des fachmännischen Handelns und Wissens in geeigneter Weise in mannigfaltigen Ausführungsformen und Abwandlungen realisieren.

Claims (12)

1. Sicherheitssystem in einem Kraftfahrzeug
mit einer ersten und mindestens einer weiteren programmge­ steuerten Einheit (2, 3),
die zur Abarbeitung eines gleichen Sicherheitsprogramms in Abhängigkeit von Signalen (50) der Peripherieein­ heiten (4, 5) ausgelegt sind,
wobei mindestens eine programmgesteuerte Einheit (2, 3) eingangsseitig mit mindestens einer Peripherieeinheit (4, 5) gekoppelt ist,
mit in den programmgesteuerten Einheiten (2, 3) angeordneten Funktionseinheiten (20, 21, 22; 30, 31, 32),
wobei jeweils einer Funktionseinheit (20, 21, 22) in der ersten programmgesteuerten Einheit (2) eine weitere Funktionseinheit (30, 31, 32) in der(den) weiteren programmgesteuerten Einheit(en) (3) zugeordnet ist,
die miteinander gekoppelt sind,
die jeweils ein gleiches Programmsegment des Sicherheits­ programms abarbeiten,
die ein Statussignal in Abhängigkeit von dem jeweils ab­ gearbeiteten Programmsegment bereitstellen, welches der jeweils nachgeordneten Funktionseinheit (20, 21, 22; 30, 31, 32) zuführbar ist, und
die bei einem Fehler ein Resetfreigabe-Signal erzeugen (43, 44),
mit einer Rücksetzeinrichtung (40),
die mit den Ausgängen der Funktionseinheiten (20, 21, 22; 30, 31, 32) der programmgesteuerten Einheiten (2, 3) gekoppelt ist und
die abhängig von solchen ihr zugeführten Resetfreigabe- Signalen (43, 44), die eine fehlerhafte Funktion an­ zeigen, ein Rücksetzsignal (45) zum Rücksetzen der programmgesteuerten Einheiten (2, 3) erzeugt.
2. Sicherheitssystem nach Anspruch 1, dadurch gekennzeichnet, dass die Rücksetzeinrichtung (40) ein über Resetfreigabe- Signale (43, 44) angesteuertes ODER-Gatter (41) sowie eine dem ODER-Gatter (41) nachgeschaltete die von Ausgangssignalen des ODER-Gatters (41) getriggert wird, aufweist.
3. Sicherheitssystem nach Anspruch 2, dadurch gekennzeichnet, dass die Reset-Schaltung (42) als Watchdog-Timer ausgebildet ist.
4. Sicherheitssystem nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass ein Synchronisationsbus (7) vorgesehen ist, der zwischen den programmgesteuerten Einheiten (2, 3) angeordnet ist und der dazu ausgelegt ist, Statussignale jeweils gleicher Funk­ tionseinheiten (20, 21, 22; 30, 31, 32) miteinander zu syn­ chronisieren.
5. Sicherheitssystem nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass mindestens eine Ausgabeeinrichtung (11, 12) vorgesehen ist, die mit den Ausgängen der programmgesteuerten Einheiten (2, 3) gekoppelt ist und die abhängig von ihr zugeführten weiteren Freigabesignalen (15, 16) ein Freigabebefehl (17) zum Auslösen mindestens eines Rückhaltemittels erzeugt.
6. Sicherheitssystem nach Anspruch 5, dadurch gekennzeichnet, dass eine Ausgabeeinrichtung (11, 12) jeweils ein UND-Gatter (13, 14) aufweist.
7. Sicherheitssystem nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass eine programmgesteuerte Einheiten (2, 3) eine eigene Zeitbasis und/oder ein eigenes Referenzpotential (VDD) auf­ weist.
8. Sicherheitssystem nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass die programmgesteuerten Einheiten (2, 3) eingangsseitig über eine synchrone Schnittstelle (6) miteinander und mit mindestens einer Peripherieeinheit (4, 5) gekoppelt sind, wo­ bei jeweils die erste programmgesteuerte Einheit (2) als Mas­ ter und die weiteren programmgesteuerten Einheiten (3) als Slave konfiguriert sind.
9. Sicherheitssystem nach Anspruch 8, dadurch gekennzeichnet, dass die synchrone Schnittstelle (6) eine sogenannte serielle Peripherieschnittstelle (SPI) ist.
10. Sicherheitssystem nach Anspruch 8, dadurch gekennzeichnet, dass die synchrone Schnittstelle (6) an einem sogenannten In­ ter Integrated Circuit Bus (I2C-Bus) angekoppelt ist.
11. Sicherheitssystem nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass mindestens eine Peripherieeinheit (4, 5) einen Sensor (4), insbesondere einen Aufprallsensor, und/oder mindestens eine Peripherieeinheit (4, 5) eine Konfigurationseinheit (5) aufweist.
12. Verfahren zur Überwachung der ordnungsgemäßen Funktion eines Sicherheitssystems nach einem der vorstehenden Ansprü­ che.
DE2000132216 2000-07-03 2000-07-03 Sicherheitssystem in einem Kraftfahrzeug und Verfahren Withdrawn DE10032216A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE2000132216 DE10032216A1 (de) 2000-07-03 2000-07-03 Sicherheitssystem in einem Kraftfahrzeug und Verfahren

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE2000132216 DE10032216A1 (de) 2000-07-03 2000-07-03 Sicherheitssystem in einem Kraftfahrzeug und Verfahren

Publications (1)

Publication Number Publication Date
DE10032216A1 true DE10032216A1 (de) 2002-01-24

Family

ID=7647564

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2000132216 Withdrawn DE10032216A1 (de) 2000-07-03 2000-07-03 Sicherheitssystem in einem Kraftfahrzeug und Verfahren

Country Status (1)

Country Link
DE (1) DE10032216A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004021093A2 (de) * 2002-08-22 2004-03-11 Robert Bosch Gmbh Steuergerät
DE102015203250A1 (de) * 2015-02-24 2016-08-25 Zf Friedrichshafen Ag Sicherheitsvorrichtung und Verfahren zum Überführen eines Aktorsystems in einen sicheren Zustand, Aktorsystem und Verfahren zum Betreiben eines Aktorsystems
WO2020173682A1 (de) 2019-02-25 2020-09-03 Robert Bosch Gmbh Sicherheitssystem und verfahren zum betreiben eines sicherheitssystems

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004021093A2 (de) * 2002-08-22 2004-03-11 Robert Bosch Gmbh Steuergerät
WO2004021093A3 (de) * 2002-08-22 2004-12-23 Bosch Gmbh Robert Steuergerät
US7787582B2 (en) 2002-08-22 2010-08-31 Robert Bosch Gmbh Control unit
DE102015203250A1 (de) * 2015-02-24 2016-08-25 Zf Friedrichshafen Ag Sicherheitsvorrichtung und Verfahren zum Überführen eines Aktorsystems in einen sicheren Zustand, Aktorsystem und Verfahren zum Betreiben eines Aktorsystems
WO2020173682A1 (de) 2019-02-25 2020-09-03 Robert Bosch Gmbh Sicherheitssystem und verfahren zum betreiben eines sicherheitssystems
CN113474230A (zh) * 2019-02-25 2021-10-01 罗伯特·博世有限公司 安全系统和用于运行安全系统的方法

Similar Documents

Publication Publication Date Title
EP0479792B1 (de) Insassen-sicherheitssystem
DE10326287B4 (de) Fahrzeug-Kommunikationssystem, Initialisierungseinheit sowie im Fahrzeug eingebaute Steuereinheit
WO2002041148A1 (de) Vorrichtung zur überwachung eines prozessors
DE102005030770B4 (de) Schaltungsanordnung und Verfahren zum Steuern einer Sicherheitseinrichtung für ein Fahrzeug
DE19509150C2 (de) Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage
DE102006013381A1 (de) Steuervorrichtung für ein Kfz-Sicherheitssystem, insbesondere Brems- und/oder Insassenschutzsystem
DE102016220197A1 (de) Verfahren zum Verarbeiten von Daten für ein automatisiertes Fahrzeug
WO1996020103A1 (de) Verfahren und schaltungsanordnung zur überwachung der funktion einer programmgesteuerten schaltung
EP1524803A1 (de) Verfahren und Vorrichtung zur Umstellung eines ersten Modus einer Steuereinrichtung in einen zweiten Modus über einen Daten-Bus
EP1807760B1 (de) Datenverarbeitungssystem mit variabler taktrate
DE3926377C2 (de) Elektronisches Steuergerät für eine Brennkraftmaschine
EP0996060A2 (de) Einzelprozessorsystem
EP1615087A2 (de) Steuer- und Regeleinheit
DE102017011685A1 (de) Verfahren und Vorrichtung zur Verarbeitung von Alarmsignalen
EP2203795B1 (de) Fahrzeug-steuereinheit mit einem versorgungspannungsüberwachten mikrocontroller sowie zugehöriges verfahren
DE10127054B4 (de) Verfahren zur Überwachung einer Spannungsversorgung eines Steuergeräts in einem Kraftfahrzeug
EP0693726B1 (de) Datenübertragungsverfahren in einem Echtzeitdatenverarbeitungssystem
DE10312553B3 (de) Kraftfahrzeug
DE10032216A1 (de) Sicherheitssystem in einem Kraftfahrzeug und Verfahren
EP1561165B1 (de) Steuereinheit zur auslösung eines insassenschutzmittels in einem kraftfahrzeug und verfahren zur überwachung der ordnungsgemässen funktion einer vorzugsweise solchen steuereinheit
DE19845220A1 (de) Verfahren und Vorrichtung zur Synchronisation und Überprüfung von Prozessor und Überwachungsschaltung
DE19541734C2 (de) Schaltungsanordnung zur Durchführung eines Reset
DE112004000083B4 (de) Schaltungsanordnung zum Überwachen einer Kraftfahrzeug-Sicherheitseinrichtung
DE19605606A1 (de) Einrichtung zum Rücksetzen eines Rechenelements
DE102015222248A1 (de) Verfahren und Steuergerät zum Inbetriebnehmen einer in einer Daisy-Chain-Topologie gestalteten Sensorserienschaltung, Sensorserienschaltung in Daisy-Chain-Topologie und Rückhaltemittel

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8127 New person/name/address of the applicant

Owner name: CONTINENTAL AUTOMOTIVE GMBH, 30165 HANNOVER, DE

R120 Application withdrawn or ip right abandoned

Effective date: 20140208