DE10032216A1 - Vehicle safety system - Google Patents

Vehicle safety system

Info

Publication number
DE10032216A1
DE10032216A1 DE2000132216 DE10032216A DE10032216A1 DE 10032216 A1 DE10032216 A1 DE 10032216A1 DE 2000132216 DE2000132216 DE 2000132216 DE 10032216 A DE10032216 A DE 10032216A DE 10032216 A1 DE10032216 A1 DE 10032216A1
Authority
DE
Germany
Prior art keywords
program
units
unit
controlled
security system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE2000132216
Other languages
German (de)
Inventor
Ernst Futterlieb
Stefan Hermann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Automotive GmbH
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE2000132216 priority Critical patent/DE10032216A1/en
Publication of DE10032216A1 publication Critical patent/DE10032216A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24125Watchdog, check at timed intervals
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24182Redundancy
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24187Redundant processors run identical programs
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2637Vehicle, car, auto, wheelchair

Abstract

The vehicle safety system has a first and second program controlled units. The units are arranged to process the same safety program in dependence on signals of peripheral units. The input of at least one program controlled unit is connected to at least one peripheral unit. Functional units are arranged within the program controlled units. Each functional unit in the first program controlled unit has and is coupled to an associated functional unit in the other program controlled units. The corresponding functional units process the same program segment of the safety program. These provide a status signal in dependence on the relevant program segment which is sent to the following functional unit. In the case of a fault, a reset release signal is output. A reset unit is coupled to the output of the function units. This generates a reset signal to reset the program controlled units in dependence on reset signal fed to it indicating a fault.

Description

Die Erfindung betrifft ein Sicherheitssystem in einem Kraft­ fahrzeug sowie ein Verfahren zur Überwachung der ordnungsge­ mäßen Funktion eines Sicherheitssystems.The invention relates to a security system in a power vehicle and a procedure for monitoring the order function of a security system.

Sicherheitssysteme in Kraftfahrzeugen sind mit dem steigenden Bedürfnis nach mehr Sicherheit für die im Kraftfahrzeug zu schützenden Personen und Einrichtungen aus dem Kraftfahrzeug nicht mehr wegzudenken. Derartige Sicherheitssysteme sind häufig mit Rückhaltemitteln, wie z. B. Fahrer- und Beifahrer­ airbags, Seitenairbags, Gurtstraffern, Überrollbügeln und dergleichen, ausgestattet.Security systems in motor vehicles are increasing with the Need for more security for those in the motor vehicle too protecting persons and facilities from the motor vehicle indispensable. Such security systems are often with restraining devices such as B. Driver and co-driver airbags, side airbags, belt tensioners, roll bars and the like.

Bei sicherheitskritischen Systemen, wie sie in der Automobil­ industrie und in der Luftfahrtindustrie vorliegen, sind sehr hohe Sicherheitsanforderungen sowohl für die Hardware als auch die Software solcher Sicherheitssysteme gestellt. Ein Ausfallen oder eine Fehlfunktion eines Elementes des Sicher­ heitssystems muss definiert erkannt werden, ungeachtet, ob es sich hier um einen Hardwarefehler oder um einen Softwarefeh­ ler handelt. Solche Fehler können beispielsweise bei einem defekten Sensor- oder Konfigurationseingang, bei einem Aus­ fallen der Zeitbasis oder der Referenzspannung des Steuer­ rechners, einem Fehler im Programm, etc. vorliegen. Aus die­ sem Grund werden häufig redundante Hardwarekomponenten einge­ setzt, um eine möglichst sichere Funktionsweise der Sicher­ heitssysteme zu gewährleisten.In safety-critical systems such as those used in automobiles industry and in the aviation industry are very high security requirements for both the hardware and also the software of such security systems. On Failure or malfunction of an element of security system must be recognized in a defined manner, regardless of whether it is a hardware error or a software error he acts. Such errors can occur with a defective sensor or configuration input, with an off fall the time base or the reference voltage of the control computer, an error in the program, etc. From the For this reason, redundant hardware components are often used relies on the safest possible functioning of the safe guarantee systems.

Die einfachste Form der Hardwareredundanz besteht aus einem Mikroprozessorsystem und einem, dieses System überwachenden, sogenannten Watchdog-Timer. Dieser Watchdog-Timer erhält pe­ riodisch, d. h. innerhalb einer vorbestimmten Zeitspanne, ein Statussignal vom Mikroprozessor. Wenn dieses Signal durch ei­ nen Software- oder Hardwarefehler nicht zeitlich korrekt generiert wird, so wird das System vom Watchdog-Timer in einen sicheren Zustand gesteuert (fail safe), eine Fehlermeldung wird ausgegeben (failure identification) und der Mikroprozes­ sor wird neu gestartet (reset). Der Vorteil dieses Sicher­ heitssystems besteht darin, dass der Mikroprozessor wie auch der Watchdog-Timer in einem Kraftfahrzeug ohnehin schon zur Steuerung verschiedener elektrischer und elektronischer Fahr­ zeugfunktionen, wie zum Beispiel Motorsteuerung, ABS, ESP, Klimaanlage, Fensterheber, etc., vorhanden ist und nicht erst bereitgestellt werden muss.The simplest form of hardware redundancy consists of one Microprocessor system and one that monitors this system, so-called watchdog timer. This watchdog timer receives pe periodic, d. H. within a predetermined period of time Status signal from the microprocessor. If this signal by ei software or hardware errors are not generated correctly in time  the system is switched from the watchdog timer to one controlled safe state (fail safe), an error message is output (failure identification) and the microprocesses sor is restarted (reset). The advantage of this sure system is that the microprocessor as well the watchdog timer in a motor vehicle anyway Control of various electrical and electronic driving tool functions, such as engine control, ABS, ESP, Air conditioning, window regulator, etc., is available and not only must be provided.

Ein solcher Watchdog-Timer besteht aus einem frei laufenden Zähler, der kurz vor seinem Überlaufen durch das aktuelle Programm zurück gesetzt wird. Ein Fehler im Sicherheitssystem kann also immer erst beim vollständigen Durchlaufen des Watchdog-Timers erkannt werden. Dieser Vorgang bis zum Über­ laufen des Watchdog-Timers kann je nach Einstellung mitunter sehr lang sein. Diese mitunter sehr lange Zeitdauer, die vielleicht bei den oben genannten "üblichen" Überwachungstä­ tigkeiten eines Mikroprozessor ausreichend sein können, sind jedoch bei einem sicherheitskritischem System nicht akzepta­ bel, da beispielsweise im Kraftfahrzeug das Auslösen eines Rückhaltemittels, wie z. B. der Zündpille für einen Airbag, möglichst verzögerungsfrei erfolgen muss.Such a watchdog timer consists of a free-running one Counter that is about to overflow with the current one Program is reset. An error in the security system can therefore only take place when the Watchdog timers are recognized. This process until over Depending on the setting, the watchdog timer can sometimes run be very long. This sometimes very long period of time perhaps with the "usual" surveillance tasks mentioned above capabilities of a microprocessor may be sufficient but not acceptable for a safety-critical system bel, for example in the motor vehicle triggering a Restraining means such. B. the squib for an airbag, must take place without any delay.

Alternativ zu der genannten einfachsten Form einer Hardware­ redundanz wären auch komplexere hardware-redundante Sicher­ heitssysteme denkbar, bei denen jeweils für ein Eingangssig­ nal eine redundante Sicherheitskomponenten vorgesehen sind. Allerdings werden die Anforderungen an Sicherheitssysteme in Kraftfahrzeugen künftig stark zunehmen, um den Schutz der Fahrzeuginsassen weiter zu verbessern. Damit einhergehend wird gleichermaßen die Zahl der Rückhalteeinrichtungen und deren zugehörige Auslösemittel ansteigen. Gleiches gilt für die Sensor- und Konfigurationseinrichtungen. Dies bedeutet a­ ber, dass eine der Anzahl der Peripherieeinrichtungen ent­ sprechende Anzahl von redundanten Komponenten für die entsprechenden Eingangssignale bereitgestellt werden müssen. Da­ mit werden aber die genannten komplexen Sicherheitssysteme sehr umfangreich, was aus ökonomischen Gründen häufig nicht akzeptabel ist.As an alternative to the simplest form of hardware mentioned redundancy would also be more complex hardware-redundant security unit systems conceivable, each for one input signal nal redundant security components are provided. However, the requirements for security systems in Motor vehicles will increase significantly in the future to protect the Vehicle occupants continue to improve. Consequently the number of restraints and the associated trigger means increase. The same applies to the sensor and configuration devices. This means a that one of the number of peripheral devices speaking number of redundant components for the corresponding  Input signals must be provided. because but with the complex security systems mentioned very extensive, which is often not for economic reasons is acceptable.

Es ist daher die Aufgabe der vorliegenden Erfindung, ein Si­ cherheitssystem anzugeben, welches eine vergleichsweise hohe Sicherheit bietet und das gleichzeitig möglichst einfach und kostengünstig herstellbar ist. Ferner soll ein Verfahren zum Betreiben des Sicherheitssystems angegeben werden.It is therefore the object of the present invention to provide an Si to specify security system, which is a comparatively high Offers security and at the same time as simply and easily is inexpensive to manufacture. Furthermore, a method for Operate the security system.

Die systembezogene Aufgabe wird erfindungsgemäß durch ein Si­ cherheitssystem mit den Merkmalen des Patentanspruchs 1 ge­ löst. Demgemäss ist ein Sicherheitssystem in einem Kraftfahr­ zeug vorgesehen,
The system-related object is achieved according to the invention by a safety system having the features of claim 1. Accordingly, a safety system is provided in a motor vehicle,

  • - mit einer ersten und mindestens einer weiteren programmge­ steuerten Einheit, die zur Abarbeitung eines gleichen Si­ cherheitsprogramms in Abhängigkeit von Signalen der Peri­ pherieeinheiten ausgelegt sind, wobei mindestens eine pro­ grammgesteuerte Einheit eingangsseitig mit mindestens ei­ ner Peripherieeinheit gekoppelt ist,- With a first and at least one other program controlled unit that is used to process the same Si safety program depending on signals from the Peri Pherie units are designed, at least one per Gram-controlled unit on the input side with at least one egg ner peripheral unit is coupled,
  • - mit in den programmgesteuerten Einheiten angeordneten Funktionseinheiten, wobei jeweils einer Funktionseinheit in der ersten programmgesteuerten Einheit eine weitere Funktionseinheit in der(den) weiteren programmgesteuerten Einheit(en) zugeordnet ist, die miteinander gekoppelt sind, die jeweils ein gleiches Programmsegment des Sicher­ heitsprogramms abarbeiten, die ein Statussignal in Abhän­ gigkeit von dem jeweils abgearbeiteten Programmsegment be­ reitstellen, welches der jeweils nachgeordneten Funktions­ einheit zuführbar ist, und die bei einem Fehler ein Re­ setfreigabe-Signal erzeugen,- arranged in the program-controlled units Functional units, one functional unit each another in the first program-controlled unit Functional unit in the other program-controlled Unit (s) is associated with each other are each the same program segment of the safe Execute unit program that a status signal depending depending on the program segment being processed provide which of the respective subordinate functions unit can be fed, and a re generate set enable signal,
  • - mit einer Rücksetzeinrichtung, die mit den Ausgängen der Funktionseinheiten der programmgesteuerten Einheiten ge­ koppelt ist und die abhängig von solchen ihr zugeführten Resetfreigabe-Signalen, die eine fehlerhafte Funktion anzeigen, ein Rücksetzsignal zum Rücksetzen der programmge­ steuerten Einheiten erzeugt.- With a reset device that is connected to the outputs of the Functional units of the program-controlled units is coupled and depending on those fed to it Reset enable signals that indicate a malfunction,  a reset signal to reset the program controlled units generated.

Die verfahrensbezogene Aufgabe wird erfindungsgemäß durch ein Verfahren mit den Merkmalen des Patentanspruchs 12 gelöst.According to the invention, the process-related object is achieved by a Method with the features of claim 12 solved.

Die erste programmgesteuerte Einheit (Hauptrechner) steuert und diagnostiziert die Sensor- und Konfigurationseingänge. Es wird dabei berücksichtigt, dass keine redundanten Aufnehmer für die Eingangsdaten eingesetzt werden, dafür wird die ein­ geschränkte Redundanz der Eingangsdaten berücksichtigt. Über den SPI-Bus wird die andere programmgesteuerte Einheit (Schutzrechner) eingangsseitig als Slave an den als Master fungierenden Hauptrechner angeschlossen. Der Schutzrechner ü­ berprüft den Zeitverlauf der Prozess-Signale, die vom Haupt­ rechner gesendet werden. Diese Prozess-Signale werden vor­ zugsweise über I/O-Ports und über den Prozess-Synchronisat­ ionsbus an den Schutzrechner herangeführt. Über diesen Pro­ zess-Synchronisationsbus werden Daten - beispielsweise über verschiedene Zustände des Hauptrechners wie dessen Einschalt­ phase, Steuerung und Lesen der einzelnen Eingangsschnittstel­ len, Diagnose der wichtigsten Funktionseinheiten, Aufpraller­ kennung, Ansteuerung von Ausgängen, Abschaltphase - an den Schutzrechner gesendet. Diese Schutzfunktionen können über Software an die jeweiligen Verhältnisse bzw. Anforderungen angepasst werden.The first program-controlled unit (main computer) controls and diagnoses the sensor and configuration inputs. It it is taken into account that there are no redundant transducers are used for the input data, for this the limited redundancy of the input data is taken into account. about the SPI bus becomes the other program-controlled unit (Protection computer) on the input side as slave to that as master acting main computer connected. The protection computer checks the timing of the process signals from the main computers are sent. These process signals are pre preferably via I / O ports and via process synchronization ionsbus brought up to the protection computer. About this pro zess synchronization bus data - for example via various states of the main computer, such as its activation phase, control and reading of the individual input interfaces len, diagnosis of the most important functional units, impact detection, control of outputs, switch-off phase - to the Protection calculator sent. These protective functions can be over Software to the respective conditions or requirements be adjusted.

Auf diese Weise ist ein anpassungsfähiges Sicherheitssystem mit konfigurierbarer Schutzfunktion realisierbar, die mit le­ diglich einer einzigen zusätzlichen Hardwarekomponente, näm­ lich die Bereitstellung des Schutzrechners, auskommt. Es muss hier lediglich sichergestellt werden, dass die Rechenleistung des Schutzrechners an die, aus der Sicht der Schutzfunktion, erforderlichen Aufgaben angepasst wird, um dadurch den Auf­ wand des erfindungsgemäßen Sicherheitssystems möglichst ge­ ring zu halten. Es lässt sich dann ein Sicherheitssystem be­ reitstellen, dessen Gesamtkosten signifikant geringer als die Kosten der eingangs beschriebenen klassischen Lösungen sind, wohingegen eine deutliche Verbesserung der Schutzfähigkeit gewährleistet werden kann.This is an adaptable security system can be implemented with a configurable protective function that can be implemented with le diglich a single additional hardware component, näm Lich the provision of the protective computer. It must here only ensure that the computing power of the protection computer to the, from the perspective of the protection function, required tasks is adjusted to thereby the on wall of the security system according to the invention if possible ge hold ring. A security system can then be used equities whose total cost is significantly less than that  The costs of the classic solutions described at the outset are whereas a significant improvement in the ability to protect can be guaranteed.

Weitere vorteilhafte Ausgestaltungen und Weiterbildungen des Erfindungsgedankens sind den Unteransprüchen sowie der Be­ schreibung unter Bezugnahme auf die Zeichnung entnehmbar.Further advantageous refinements and developments of the The concept of the invention is the subclaims and the Be writing can be removed with reference to the drawing.

Die Erfindung wird nachfolgend anhand der in den Figuren der Zeichnung angegebenen Ausführungsbeispiele näher erläutert. Es zeigt dabei:The invention is based on the in the figures of the Exemplary embodiments illustrated in the drawing. It shows:

Fig. 1 das Blockschaltbild eines erfindungsgemäßen Sicher­ heitssystems mit parallel angeordneten programmge­ steuerten Einheiten; Figure 1 shows the block diagram of a security system according to the invention with parallel program-controlled units.

Fig. 2 ein detailliertes Blockschaltbild der programmge­ steuerten Einheiten entsprechend Fig. 1. FIG. 2 is a detailed block diagram of the program-controlled units corresponding to FIG. 1.

In allen Figuren der Zeichnung sind gleiche bzw. funktions­ gleiche Elemente und Signale, sofern nichts anderes angegeben ist, mit gleichen Bezugszeichen versehen.In all figures of the drawing are the same or functional same elements and signals unless otherwise stated is provided with the same reference numerals.

Fig. 1 zeigt in einem Blockschaltbild die Grundstruktur ei­ nes erfindungsgemäßen Sicherheitssystems 1. Das Sicherheits­ system 1 weist zwei programmgesteuerte Einheiten 2, 3 auf, von denen die erste programmgesteuerte Einheit 2 als Haupt­ rechner und die andere programmgesteuerte Einheit 3 als Schutzrechner ausgebildet ist. Der Hauptrechner 2 ist vor­ teilhafterweise derart ausgelegt, dass er neben der Verarbei­ tung der Programmabläufe für die Schutzfunktionen auch andere Programmabläufe, beispielsweise Steuerungs-, Regelungsfunkti­ onen und Statusinformationen verarbeiten kann. Der Schutz­ rechner 3 ist typischerweise lediglich zur Verarbeitung von solchen Programmabläufen ausgelegt, die für die Schutzfunkti­ on des Sicherheitssystems erforderlich sind. Es wäre jedoch auch denkbar, dass beide programmgesteuerte Einheiten 2, 3 als Hauptrechner ausgebildet sind und quasi eine Arbeitstei­ lung der zu verarbeitenden Programme vornehmen, wobei ledig­ lich sicherheitsrelevante Programmabläufe von beiden pro­ grammgesteuerte Einheiten 2, 3 gemeinsam bearbeitet werden. Besonders vorteilhaft ist ferner, wenn die beiden programmge­ steuerten Einheiten 2, 3 jeweils eine eigene Zeitbasis und ein eigenes Referenzpotential VDD aufweisen. Fig. 1 shows the basic structure is a block diagram of egg nes security system 1 according to the invention. The security system 1 has two program-controlled units 2 , 3 , of which the first program-controlled unit 2 is designed as a main computer and the other program-controlled unit 3 is designed as a protective computer. The main computer 2 is advantageously designed such that, in addition to processing the program sequences for the protective functions, it can also process other program sequences, for example control functions, and status information. The protection computer 3 is typically only designed to process such program sequences that are required for the protection function of the security system. However, it would also be conceivable that both program-controlled units 2 , 3 are designed as main computers and virtually perform a work division of the programs to be processed, with only safety-relevant program sequences being processed jointly by both program-controlled units 2 , 3 . It is also particularly advantageous if the two program-controlled units 2 , 3 each have their own time base and their own reference potential VDD.

Ferner sind zwei, mit den programmgesteuerten Einheiten 2, 3 gekoppelte Peripherieeinheiten 4, 5 vorgesehen. Im vorliegen­ den Ausführungsbeispiel ist die eine Peripherieeinheit 4 als Sensor - beispielsweise als Aufprallsensor - ausgebildet, während die andere Peripherieeinheit 5 eine Konfigurations­ einheit umfasst. In Fig. 1 wurde lediglich eine einzige Sen­ soreinheit 4 und eine einzige Konfigurationseinheit 5 darge­ stellt; es sei jedoch schon an dieser Stelle darauf hingewie­ sen, dass ein Sicherheitssystem in einem Kraftfahrzeug typi­ scherweise eine Vielzahl solcher Sensor- und Konfigurations­ einheiten 4, 5 aufweist.Furthermore, two peripheral units 4 , 5 coupled to the program-controlled units 2 , 3 are provided. In the present exemplary embodiment, one peripheral unit 4 is designed as a sensor, for example as an impact sensor, while the other peripheral unit 5 comprises a configuration unit. In Fig. 1, only a single sensor unit 4 and a single configuration unit 5 Darge represents; However, it should be pointed out at this point that a security system in a motor vehicle typically has a large number of such sensor and configuration units 4 , 5 .

Die Peripherieeinheiten 4, 5 sind über eine synchrone Bus- Schnittstelle 6 mit den beiden programmgesteuerten Einheiten 2, 3 verbunden. Im vorliegenden Ausführungsbeispiel ist diese synchrone Schnittstelle 6 als serielle SPI-Schnittstelle (SPI = synchronous serial interface) ausgebildet. Eine SPI- Schnittstelle 6 ermöglicht eine schnelle serielle Datenüber­ tragung von bis zu 1 Mbit/sec zwischen Kommunikationsteilneh­ mern bei Entfernungen bis ca. 15 m. Für eine vollduplexe Da­ tenübertragung werden hier typischerweise zwei serielle Da­ tenleitungen 8, 9 zur Übertragung eines Datensignals (MOSI, MISO) und eine Taktleitung 10 für den Systemtakt (CLK) benö­ tigt. Die programmgesteuerten Einheiten 2, 3 und die Periphe­ rieeinheiten 4, 5 weisen hierfür entsprechende Ein-/Ausgänge MOSI, MISO, CLK auf.The peripheral units 4 , 5 are connected to the two program-controlled units 2 , 3 via a synchronous bus interface 6 . In the present exemplary embodiment, this synchronous interface 6 is designed as a serial SPI interface (SPI = synchronous serial interface). An SPI interface 6 enables fast serial data transmission of up to 1 Mbit / sec between communication participants at distances of up to approx. 15 m. For a full-duplex data transmission, two serial data lines 8 , 9 for the transmission of a data signal (MOSI, MISO) and a clock line 10 for the system clock (CLK) are typically required here. The program-controlled units 2 , 3 and the peripheral units 4 , 5 have corresponding inputs / outputs MOSI, MISO, CLK.

Ein Kommunikationsteilnehmer, im vorliegenden Beispiel der Hauptrechner 2, arbeitet als Master, der den Takt für die Datenübertragung nach dem Schieberegister-Prinzip bereitstellt. Der andere Kommunikationsteilnehmer, hier der Schutzrechner 2, fungiert als Slave, der auf eine Masteranforderung seine Daten ausgibt. Da jeder SPI-Kommunikationsteilnehmer über ein Aktivierungspin (in Fig. 1 nicht dargestellt) verfügt, las­ sen sich damit sehr einfach busähnliche Strukturen aufbauen. Obgleich eine derartige SPI-Schnittstelle 6 aus den genannten Gründen sehr vorteilhaft ist, sei die Erfindung jedoch nicht auf die Verwendung einer SPI-Schnittstelle 6 eingeschränkt, vielmehr sind auch andere Bus-Schnittstellen, wie z. B. ein I2C-Bus, ein CAN-Bus oder dergleichen, denkbar. Ferner soll die Erfindung nicht auf serielle Schnittstellen beschränkt sein, vielmehr wäre auch eine parallel Schnittstelle von Vor­ teil.A communication participant, in the present example the main computer 2 , works as a master, which provides the clock for the data transmission according to the shift register principle. The other communication participant, here the protection computer 2 , acts as a slave, which outputs its data on a master request. Since every SPI communication subscriber has an activation pin (not shown in FIG. 1), bus-like structures can be set up very easily. Although such an SPI interface 6 is very advantageous for the reasons mentioned, the invention is not restricted to the use of an SPI interface 6 , but rather other bus interfaces, such as e.g. B. an I 2 C bus, a CAN bus or the like, conceivable. Furthermore, the invention should not be limited to serial interfaces, rather a parallel interface would also be part of.

Ferner ist ein Synchronisationsbus 7 vorgesehen, der zwischen den programmgesteuerten Einheiten 2, 3 angeordnet ist und der der Synchronisation der Datenkommunikation zwischen den bei­ den programmgesteuerten Einheiten 2, 3 dient. Die Funktions­ weise des Synchronisationsbusses 7 wird nachfolgend noch an­ hand von Fig. 2 detailliert erläutert.Furthermore, a synchronization bus 7 is provided, which is arranged between the program-controlled units 2 , 3 and which serves for the synchronization of the data communication between those in the program-controlled units 2 , 3 . The function of the synchronization bus 7 is explained in detail below with reference to FIG. 2.

Schließlich weist das Sicherheitssystem 1 zwei Ausgabeeinhei­ ten 11, 12 auf. Im einfachsten Fall können die Ausgabeeinhei­ ten 11, 12 als UND-Gatter 13, 14 realisiert sein. Die Ausga­ beeinheiten 11, 12 sind mit den jeweiligen Ausgängen der pro­ grammgesteuerten Einheiten 2, 3 kreuzverschaltet. Über Ver­ bindungsleitungen sind den Ausgabeeinheiten 11, 12 Freigabe­ signale 15, 16 zuführbar. Den Ausgabeeinheiten 11, 12 können in Fig. 1 nicht dargestellte Rückhaltemittel, beispielsweise die Zündpille eines Airbags, die über einen Freigabebefehl 17, 18 ausgelöst werden, nachgeordnet sein.Finally, the security system 1 has two output units 11 , 12 . In the simplest case, the output units 11 , 12 can be implemented as AND gates 13 , 14 . The output units 11 , 12 are cross-connected to the respective outputs of the program-controlled units 2 , 3 . Release signals 15 , 16 can be supplied to the output units 11 , 12 via connecting lines. Retaining means, not shown in FIG. 1, for example the squib of an airbag, which are triggered by a release command 17 , 18 can be arranged downstream of the output units 11 , 12 .

Fig. 2 zeigt ein detailliertes Blockschaltbild der programm­ gesteuerten Einheiten 2, 3 entsprechend Fig. 1. Die pro­ grammgesteuerten Einheiten 2, 3 sind, wie bereits erwähnt, zur parallelen Abarbeitung desselben Sicherheitsprogramms ausgelegt. Im Ausführungsbeispiel in Fig. 1 weist der Haupt­ rechner 2 drei Funktionseinheiten 20, 21, 22 auf, die jeweils zur Abarbeitung eines einzelnen Programmsegmentes, das Teil des Sicherheitsprogramms ist, ausgelegt sind. Der Schutzrech­ ner 3 weist eine gleiche Anzahl Funktionseinheiten 30, 31, 32 auf, die weitestgehend identisch wie die Funktionseinheiten 20, 21, 22 aufgebaut sind und die entsprechende Programmseg­ mente des Sicherheitsprogramms abarbeiten. Die Funktionsein­ heiten 20, 21, 22; 30, 31, 32 sind jeweils über Verbindungs­ leitungen 70-73 des Synchronisationsbusses 7 miteinander gekoppelt. Durch die so ausgestaltete Hardwareredundanz, also durch das Bereitstellen doppelt vorhandener und miteinander gekoppelter Hardwareelemente, wird eine hardwaremäßige oder softwaremäßige Fehlfunktion sicher erkannt. 3 Fig. 2 shows a detailed block diagram of the program-controlled units 2, as shown in FIG. 1. They are per gram of controlled units 2, 3, as already mentioned, designed for parallel processing of the same security program. In the exemplary embodiment in FIG. 1, the main computer 2 has three functional units 20 , 21 , 22 , each of which is designed to process a single program segment which is part of the safety program. The protection computer 3 has an equal number of functional units 30 , 31 , 32 , which are largely identical to the functional units 20 , 21 , 22 and which process the corresponding program segments of the safety program. The functional units 20 , 21 , 22 ; 30 , 31 , 32 are each coupled via connecting lines 70-73 of the synchronization bus 7 . A hardware or software malfunction is reliably detected by the hardware redundancy configured in this way, that is to say by providing duplicate and coupled hardware elements.

Ferner ist in Fig. 2 eine Rücksetzeinrichtung 40 vorgesehen, die eingangsseitig mit den Funktionseinheiten 20, 21, 22; 30, 31, 32 und ausgangsseitig mit den Reset-Eingängen RES der programmgesteuerten Einheiten 2, 3 gekoppelt ist. Die Rück­ setzeinrichtung 40 weist ein ODER-Gatter 41 sowie eine dem ODER-Gatter 41 nachgeschaltete Reset-Schaltung 42 auf. Über Verbindungsleitungen ist dem ODER-Gatter ein Resetfreigabe- Signal 43, 44 zuführbar. Bei Vorliegen der entsprechenden Re­ set-Bedingungen erzeugt die Reset-Schaltung 42 ein Resetfrei­ gabe-Signal 45, das den programmgesteuerten Einheiten 2, 3 zugeführt wird. Die Reset-Schaltung 42 könnte beispielsweise auch durch einen Watchdog-Timer bzw. einen Trigger-Watchdog ausgebildet sein. gFurthermore, a reset device 40 is provided in FIG. 2, which is connected on the input side to the functional units 20 , 21 , 22 ; 30 , 31 , 32 and on the output side is coupled to the reset inputs RES of the program-controlled units 2 , 3 . The reset device 40 has an OR gate 41 and a reset circuit 42 connected downstream of the OR gate 41 . A reset enable signal 43 , 44 can be fed to the OR gate via connecting lines. In the presence of the corresponding reset conditions, the reset circuit 42 generates a reset-free signal 45 , which is supplied to the program-controlled units 2 , 3 . The reset circuit 42 could, for example, also be formed by a watchdog timer or a trigger watchdog. G

Nachfolgend wird die Funktionsweise der miteinander gekoppel­ ten programmgesteuerten Einheiten 2, 3 detailliert beschrie­ ben:The mode of operation of the coupled program-controlled units 2 , 3 is described in detail below:

Das Grundprinzip des erfindungsgemäßen Sicherheitssystems 1 besteht in der Bereitstellung zweier, in Bezug auf die Schutzfunktionen gleichberechtigter programmgesteuerter Ein­ heiten 2, 3. Eine Entscheidung des Gesamtsystems, beispielsweise das Auslösen eines Airbags oder eines Überrollbügels, muss daher auch von beiden programmgesteuerten Einheiten 2, 3 gleichzeitig getragen werden. Zu diesem Zweck werden alle si­ cherheitskritischen Eingangsdaten 50, d. h. solche Eingangsda­ ten, die für die Schutzfunktion relevant sein könnten, in beide programmgesteuerte Einheiten 2, 3 eingekoppelt und dort zumindest auf ihre Gültigkeit überprüft. Sicherheitsunkriti­ sche Eingangsdaten 51 werden hingegen lediglich in eine pro­ grammgesteuerten Einheiten 2, 3, im vorliegenden Fall in den Hauptrechner 2, eingekoppelt.The basic principle of the security system 1 according to the invention consists in the provision of two program-controlled units 2 , 3 which have equal rights with regard to the protective functions. A decision of the overall system, for example the deployment of an airbag or a roll bar, must therefore be carried out simultaneously by both program-controlled units 2 , 3 . For this purpose, all safety-critical input data 50 , that is to say those input data which could be relevant for the protective function, are coupled into both program-controlled units 2 , 3 and at least checked for their validity there. Security-uncritical input data 51 , on the other hand, are only coupled into a program-controlled units 2 , 3 , in the present case into the main computer 2 .

Ferner wird jede programmgesteuerte Einheit 2, 3 über die Vorgänge in der jeweils anderen programmgesteuerten Einheit 2, 3 informiert und überprüft die Reihenfolge und die Zeit­ dauer der durch die jeweiligen Funktionseinheiten 20, 21, 22; 30, 31, 32 bearbeiteten Programmsegmente. Beide programmge­ steuerten Einheiten 2, 3 können bei einer identifizierten festgestellten Fehlfunktion über ein Reset-Signal 45 beide programmgesteuerte Einheiten 2, 3 zurücksetzen. Das Reset- Signal 45 wird hier über die Reset-Schaltung 42, die bei­ spielsweise von dem Hauptrechner 2 getätigt und gesetzt wird, erzeugt. Vorteilhafterweise kann der Schutzrechner 3 jedoch das Setzen der Reset-Schaltung 42 verhindern und somit das Reset-Signal 45 selber auslösen. Zu diesem Zweck ist die Re­ set-Schaltung 42 und die vorgeschaltete ODER-Schaltung 41 je­ weils mit den Ausgängen der Funktionseinheiten 20, 21, 22; 30, 31, 32 verbunden, die jeweils ein Freigabe- bzw. Status­ signal über den Ablauf der von ihnen jeweils bearbeiteten Programmsegmente an die Rücksetzeinrichtung 40 sendet.Furthermore, each program-controlled unit 2 , 3 is informed of the processes in the other program-controlled unit 2 , 3 and checks the sequence and the time duration of the function units 20 , 21 , 22 ; 30 , 31 , 32 processed program segments. Both program controlled units 2, 3, 45 can both program-controlled units 2, 3 at a reset identified detected malfunction over a reset signal. The reset signal 45 is generated here via the reset circuit 42 , which is, for example, made and set by the main computer 2 . However, the protective computer 3 can advantageously prevent the reset circuit 42 from being set and thus trigger the reset signal 45 itself. For this purpose, the Re set circuit 42 and the upstream OR circuit 41 each with the outputs of the functional units 20 , 21 , 22 ; 30 , 31 , 32 connected, which in each case sends a release or status signal to the reset device 40 about the course of the program segments that they have processed.

Die Statussignal auf den Verbindungsleitungen können je nach Anwendung ein unterschiedliches Format aufweisen. Eine mögli­ che Bitstruktur der Statussignale auf den Verbindungsleitun­ gen 70-73 gemäß Fig. 2 wird nachfolgend anhand von Fig. 3 näher beschrieben: The status signals on the connecting lines can have a different format depending on the application. A possible bit structure of the status signals on the connecting lines 70-73 according to FIG. 2 is described in more detail below with reference to FIG. 3:

Im einfachsten Fall reicht hier ein 3-bit breites Statussig­ nal aus, um den ordnungsgemäßen oder ein fehlerhaften Betrieb zu erkennen. Ein solches Statussignal hat das Format "x1; x2; x3", wobei mit x1 das höchstwertige Bit (sog. MSB-Bit) und mit x3 das niedrigstwertige Bit (sog. LSB-Bit) bezeichnet ist. Das MSB-Bit x1 gibt im vorliegenden Beispiel an, von welcher programmgesteuerten Einheit 2, 3 das jeweilige Sta­ tussignal stammt. Das x2-Bit zeigt das Ende eines Programm­ segmentes an, während das LSB-Bit x3 anzeigt, ob dieses Ende jeweils erkannt wurde.In the simplest case, a 3-bit wide status signal is sufficient to detect correct or faulty operation. Such a status signal has the format "x1;x2;x3", with x1 being the most significant bit (so-called MSB bit) and x3 being the least significant bit (so-called LSB bit). In the present example, the MSB bit x1 indicates from which program-controlled unit 2 , 3 the respective status signal originates. The x2 bit indicates the end of a program segment, while the LSB bit x3 indicates whether this end was recognized in each case.

Den beiden Funktionseinheiten 20, 30 werden jeweils kritische Eingangsdaten 50 zugeführt, die in den Funktionseinheiten 20, 30 ein gleiches Programmsegment durchlaufen. Funktionseinheit 20 sendet den Funktionseinheiten 21, 31 über die Verbindungs­ leitung 70 ein Statussignal, das das Ende des ersten Pro­ grammsegmentes anzeigt. Funktionseinheit 31 sendet daraufhin über Verbindungsleitung 71 seinerseits ein Statussignal, dass das Ende des ersten Programmsegmentes erkannt wurde. In der zweiten Stufe zeigt Funktionseinheit 21 den Funktionseinhei­ ten 22, 32 über die Verbindungsleitung 72 das Ende des zwei­ ten Programmsegmentes an. Aufgrund eines software- oder hard­ waremäßigen Fehlers konnte Funktionseinheit 32 jedoch das En­ de des zweiten Programmsegmentes nicht erkennen, so dass der Funktionseinheit 22 ein entsprechendes negatives Statussignal übermittelt wird, was in Fig. 2 durch die gestrichelte Ver­ bindungsleitung 73 dargestellt wurde. Von dem Hauptrechner 2 wird deshalb kein Freigabesignal 15 ausgegeben. Gleichzeitig erzeugt der Hauptrechner 2 ein Resetfreigabe-Signal 43. Die Reset-Schaltung 42 setzt daraufhin über das Resetsignal 45 die beiden programmgesteuerten Einheiten 2, 3 zurück.The two functional units 20 , 30 are each supplied with critical input data 50 , which run through the same program segment in the functional units 20 , 30 . Functional unit 20 sends the functional units 21 , 31 via the connecting line 70 a status signal which indicates the end of the first program segment. Functional unit 31 then in turn sends a status signal via connecting line 71 that the end of the first program segment has been recognized. In the second stage, functional unit 21 shows the functional units 22 , 32 via the connecting line 72 to the end of the second program segment. Due to a software or hardware error, however, functional unit 32 could not recognize the end of the second program segment, so that functional unit 22 receives a corresponding negative status signal, which was shown in FIG. 2 by dashed line 73 . Therefore, no release signal 15 is output by the main computer 2 . At the same time, the main computer 2 generates a reset enable signal 43 . The reset circuit 42 then resets the two program-controlled units 2 , 3 via the reset signal 45 .

Auf diese Weise kann eine Fehler - beispielsweise der Ausfall irgendeiner Funktionseinheit inklusive der Versorgungsspan­ nungseinheit - bereits am Ende jeder ein Programmsegment aus­ führenden Funktionseinheit 20, 21, 22; 30, 31, 32 erkannt werden und nicht erst nach einer vorbestimmten Zeitdauer der Reset-Schaltung 42. Dadurch ist eine Echtzeit-Fehlererkennung möglich. Darüber hinaus wird auch eine softwareseitige Fehl­ funktion definiert erkannt, wodurch der ganze Entwicklungs- und Prüfprozess signifikant verbessert wird.In this way, an error - for example the failure of any functional unit including the supply voltage supply unit - can already lead a program segment from functional units 20 , 21 , 22 ; 30 , 31 , 32 are recognized and not only after a predetermined period of time of the reset circuit 42 . This enables real-time error detection. In addition, a software malfunction is identified in a defined manner, which significantly improves the entire development and testing process.

Wie bereits erwähnt beschreibt das Ausführungsbeispiel gemäß Fig. 3 ein einfache Ausgestaltung des Busprotokoll auf dem Synchronisationsbus 7. Es wäre jedoch auch denkbar und ggf. je nach Anwendung auch vorteilhaft, ein komfortableres Bus­ protokoll zu verwenden, das beispielsweise auch die folgenden zusätzlichen Informationen liefert:
As already mentioned, the exemplary embodiment according to FIG. 3 describes a simple configuration of the bus protocol on the synchronization bus 7 . However, it would also be conceivable and, depending on the application, possibly also advantageous to use a more comfortable bus protocol which, for example, also provides the following additional information:

  • - Art des Fehlers, z. B. Software- oder Hardwarefehler, Fehler in der Referenzspannung oder Taktversorgung;- Type of error, e.g. B. software or hardware errors, Errors in the reference voltage or clock supply;
  • - Umfang des Fehlers, d. h. wird dadurch die Funktionsfä­ higkeit des Sicherheitssystem beeinträchtigt;- extent of error, d. H. is the function ability of the security system is impaired;
  • - In welcher Funktionseinheit ist der Fehler entstanden; etc.- In which functional unit did the error occur; Etc.

Ferner wurden im vorliegenden Ausführungsbeispiel die Re­ setfreigabe-Signale jeweils als 1-Bit breite Signale be­ schrieben, die bei einer "1" die nachgeordnete Schaltung 40, 11 freigeben, wodurch ein Zündimpuls 17 oder ein Resetsignal 45 ausgelöst wird. Bei einer "0" wird die nachgeordnete Schaltung 40, 11 gesperrt, dass heißt es wird kein Zündimpuls 17 oder Resetsignal 45 ausgelöst. Denkbar wäre jedoch auch hier, dass die Signale eine Bitbreite größer als eins aufwei­ sen. Damit wäre es möglich, dass bei einem Fehler das System je nach Fehlertyp ein unterschiedliches Verhalten zeigt. Ein solches System kann abhängig von der Bitzahl des Signals 43, 44; 15, 16 beispielsweise ein oder mehrere der folgenden Feh­ lerverhalten zeigen:
Furthermore, in the present exemplary embodiment, the reset enable signals were each written as 1-bit wide signals which release the downstream circuit 40 , 11 at a "1", thereby triggering an ignition pulse 17 or a reset signal 45 . With a "0", the downstream circuit 40 , 11 is blocked, which means that no ignition pulse 17 or reset signal 45 is triggered. However, it would also be conceivable here that the signals have a bit width greater than one. This would make it possible for the system to behave differently depending on the type of error. Such a system can, depending on the number of bits of the signal 43 , 44 ; 15 , 16, for example, show one or more of the following error behaviors:

  • - Keine Vorkehrungen für den Ausfall des Systems;- No precautions for system failure;
  • - Identifikation und Anzeigen des Fehlers (failure identi­ fication); - Identification and display of the fault (failure identi fication);  
  • - Umschalten in einen definierten, sicheren Zustand bei Auftreten eines Fehlers (Fail Safe; zum Beispiel bei ei­ nem Airbag-System;- Switch to a defined, safe state at Occurrence of an error (fail safe; e.g. with ei airbag system;
  • - Bereitstellung einer Minimalfunktionalität (Limb Home; zum Beispiel bei einem ABS-System);- Provision of minimal functionality (Limb Home; for example with an ABS system);
  • - Voll Funktionalität auch im Falle eines Fehlers (Failure Redundant, Fail Operational; zum Beispiel bei einem Sa­ tellitensystem).- Full functionality even in the event of an error (Failure Redundant, fail operational; for example on a Saturday tellitensystem).

Die Erfindung wurde anhand eines Sicherheitssystems im Kraft­ fahrzeug beschrieben. Jedoch sei die Erfindung nicht aus­ schließlich auf solche Anwendungen beschränkt; vielmehr ist sie vorteilhafterweise bei sämtlichen Sicherheitssystemen an­ wendbar, so zum Beispiel bei Sicherheitssystemen für die Luft- und Raumfahrtechnik sowie für Satellitensysteme. Die Erfindung eignet sich insbesondere für sehr komplexe Sicher­ heitssysteme mit einer Vielzahl von eingangsseitigen Sensor- und Konfigurationseinheiten und ausgangsseitigen Rückhalte­ mitteln.The invention was based on a security system in place vehicle described. However, the invention was not out finally limited to such applications; rather is it advantageously on all security systems reversible, for example in security systems for the Aerospace technology and for satellite systems. The Invention is particularly suitable for very complex security systems with a multitude of input-side sensor and configuration units and exit-side restraints convey.

Im vorliegenden Ausführungsbeispiel wurde das Sicherheitssys­ tem der Einfachheit halber anhand einer einzigen redundanten Hardwarekomponente beschrieben. Selbstverständlich ließen sich, wenn dies erforderlich wäre, weitere programmgesteuerte Einheiten parallel anordnen, wodurch die Sicherheit bei der Erkennung einer Fehlfunktion noch erheblich gesteigert werden könnte.In the present exemplary embodiment, the security system system for the sake of simplicity using a single redundant Hardware component described. Of course, let if necessary, additional program-controlled ones Arrange units in parallel, which ensures security when Detection of a malfunction can be significantly increased could.

Zusammenfassend kann festgestellt werden, dass durch das wie beschrieben aufgebaute Sicherheitssystem ein für die Zwecke einer möglichst hohen Sicherheit gegen Fehlfunktion optimier­ tes System bereitgestellt wird, ohne dass gleichzeitig die Nachteile von Sicherheitssystemen nach dem Stand der Technik in Kauf genommen werden müssen. Insbesondere bei sehr komplex ausgestalteten Sicherheitssystemen, beispielsweise mit einer Vielzahl von eingangsseitigen Sensor- und Konfigurationsein­ heiten und ausgangsseitigen Rückhaltemittel, lässt sich das erfindungsgemäße Sicherheitssystem durch die Bereitstellung lediglich einer redundanten Hardwarekomponente denkbar ein­ fach und somit kostengünstig implementieren.In summary, it can be said that by how described built security system for the purposes optimizing the highest possible security against malfunction system is provided without the Disadvantages of prior art security systems have to be accepted. Especially with very complex designed security systems, for example with a Variety of input and sensor configuration and restraining devices on the output side  security system according to the invention by the provision only a redundant hardware component is conceivable implement professionally and therefore cost-effectively.

Die vorliegende Erfindung wurde anhand der vorstehenden Be­ schreibung so dargelegt, um das Prinzip und dessen praktische Anwendung bestmöglichst zu erklären. Selbstverständlich lässt sich die vorliegende Erfindung im Rahmen des fachmännischen Handelns und Wissens in geeigneter Weise in mannigfaltigen Ausführungsformen und Abwandlungen realisieren.The present invention has been accomplished based on the foregoing Be spelling out the principle and its practical Explain application as best as possible. Of course leaves the present invention within the scope of the expert Action and knowledge in a suitable manner in varied Realize embodiments and modifications.

Claims (12)

1. Sicherheitssystem in einem Kraftfahrzeug
mit einer ersten und mindestens einer weiteren programmge­ steuerten Einheit (2, 3),
die zur Abarbeitung eines gleichen Sicherheitsprogramms in Abhängigkeit von Signalen (50) der Peripherieein­ heiten (4, 5) ausgelegt sind,
wobei mindestens eine programmgesteuerte Einheit (2, 3) eingangsseitig mit mindestens einer Peripherieeinheit (4, 5) gekoppelt ist,
mit in den programmgesteuerten Einheiten (2, 3) angeordneten Funktionseinheiten (20, 21, 22; 30, 31, 32),
wobei jeweils einer Funktionseinheit (20, 21, 22) in der ersten programmgesteuerten Einheit (2) eine weitere Funktionseinheit (30, 31, 32) in der(den) weiteren programmgesteuerten Einheit(en) (3) zugeordnet ist,
die miteinander gekoppelt sind,
die jeweils ein gleiches Programmsegment des Sicherheits­ programms abarbeiten,
die ein Statussignal in Abhängigkeit von dem jeweils ab­ gearbeiteten Programmsegment bereitstellen, welches der jeweils nachgeordneten Funktionseinheit (20, 21, 22; 30, 31, 32) zuführbar ist, und
die bei einem Fehler ein Resetfreigabe-Signal erzeugen (43, 44),
mit einer Rücksetzeinrichtung (40),
die mit den Ausgängen der Funktionseinheiten (20, 21, 22; 30, 31, 32) der programmgesteuerten Einheiten (2, 3) gekoppelt ist und
die abhängig von solchen ihr zugeführten Resetfreigabe- Signalen (43, 44), die eine fehlerhafte Funktion an­ zeigen, ein Rücksetzsignal (45) zum Rücksetzen der programmgesteuerten Einheiten (2, 3) erzeugt. 1. Security system in a motor vehicle
with a first and at least one further program-controlled unit ( 2 , 3 ),
which are designed to process an identical safety program as a function of signals ( 50 ) from the peripheral units ( 4 , 5 ),
at least one program-controlled unit ( 2 , 3 ) being coupled on the input side to at least one peripheral unit ( 4 , 5 ),
with functional units ( 20 , 21 , 22 ; 30 , 31 , 32 ) arranged in the program-controlled units ( 2 , 3 ),
wherein each functional unit ( 20 , 21 , 22 ) in the first program-controlled unit ( 2 ) is assigned a further functional unit ( 30 , 31 , 32 ) in the further program-controlled unit (s) ( 3 ),
that are linked together
which each process the same program segment of the safety program,
which provide a status signal as a function of the program segment being processed, which can be fed to the respective downstream functional unit ( 20 , 21 , 22 ; 30 , 31 , 32 ), and
which generate a reset enable signal in the event of an error ( 43 , 44 ),
with a reset device ( 40 ),
which is coupled to the outputs of the functional units ( 20 , 21 , 22 ; 30 , 31 , 32 ) of the program-controlled units ( 2 , 3 ) and
which generates a reset signal ( 45 ) for resetting the program-controlled units ( 2 , 3 ) as a function of such reset enable signals ( 43 , 44 ) supplied to it which indicate a faulty function. 2. Sicherheitssystem nach Anspruch 1, dadurch gekennzeichnet, dass die Rücksetzeinrichtung (40) ein über Resetfreigabe- Signale (43, 44) angesteuertes ODER-Gatter (41) sowie eine dem ODER-Gatter (41) nachgeschaltete die von Ausgangssignalen des ODER-Gatters (41) getriggert wird, aufweist.2. Security system according to claim 1, characterized in that the reset device ( 40 ) a via reset enable signals ( 43 , 44 ) controlled OR gate ( 41 ) and one of the OR gate ( 41 ) downstream of the output signals of the OR gate ( 41 ) is triggered. 3. Sicherheitssystem nach Anspruch 2, dadurch gekennzeichnet, dass die Reset-Schaltung (42) als Watchdog-Timer ausgebildet ist.3. Security system according to claim 2, characterized in that the reset circuit ( 42 ) is designed as a watchdog timer. 4. Sicherheitssystem nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass ein Synchronisationsbus (7) vorgesehen ist, der zwischen den programmgesteuerten Einheiten (2, 3) angeordnet ist und der dazu ausgelegt ist, Statussignale jeweils gleicher Funk­ tionseinheiten (20, 21, 22; 30, 31, 32) miteinander zu syn­ chronisieren.4. Security system according to one of the preceding claims, characterized in that a synchronization bus ( 7 ) is provided, which is arranged between the program-controlled units ( 2 , 3 ) and which is designed to status signals of the same function units ( 20 , 21 , 22nd ; 30 , 31 , 32 ) to synchronize with each other. 5. Sicherheitssystem nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass mindestens eine Ausgabeeinrichtung (11, 12) vorgesehen ist, die mit den Ausgängen der programmgesteuerten Einheiten (2, 3) gekoppelt ist und die abhängig von ihr zugeführten weiteren Freigabesignalen (15, 16) ein Freigabebefehl (17) zum Auslösen mindestens eines Rückhaltemittels erzeugt.5. Security system according to one of the preceding claims, characterized in that at least one output device ( 11 , 12 ) is provided, which is coupled to the outputs of the program-controlled units ( 2 , 3 ) and which, depending on it, supplied further release signals ( 15 , 16 ) generates a release command ( 17 ) for triggering at least one restraint. 6. Sicherheitssystem nach Anspruch 5, dadurch gekennzeichnet, dass eine Ausgabeeinrichtung (11, 12) jeweils ein UND-Gatter (13, 14) aufweist.6. Security system according to claim 5, characterized in that an output device ( 11 , 12 ) each has an AND gate ( 13 , 14 ). 7. Sicherheitssystem nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass eine programmgesteuerte Einheiten (2, 3) eine eigene Zeitbasis und/oder ein eigenes Referenzpotential (VDD) auf­ weist.7. Security system according to one of the preceding claims, characterized in that a program-controlled units ( 2 , 3 ) has its own time base and / or its own reference potential (VDD). 8. Sicherheitssystem nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass die programmgesteuerten Einheiten (2, 3) eingangsseitig über eine synchrone Schnittstelle (6) miteinander und mit mindestens einer Peripherieeinheit (4, 5) gekoppelt sind, wo­ bei jeweils die erste programmgesteuerte Einheit (2) als Mas­ ter und die weiteren programmgesteuerten Einheiten (3) als Slave konfiguriert sind.8. Security system according to one of the preceding claims, characterized in that the program-controlled units ( 2 , 3 ) are coupled on the input side via a synchronous interface ( 6 ) to one another and to at least one peripheral unit ( 4 , 5 ), where in each case the first program-controlled unit ( 2 ) as master and the other program-controlled units ( 3 ) are configured as slaves. 9. Sicherheitssystem nach Anspruch 8, dadurch gekennzeichnet, dass die synchrone Schnittstelle (6) eine sogenannte serielle Peripherieschnittstelle (SPI) ist.9. Security system according to claim 8, characterized in that the synchronous interface ( 6 ) is a so-called serial peripheral interface (SPI). 10. Sicherheitssystem nach Anspruch 8, dadurch gekennzeichnet, dass die synchrone Schnittstelle (6) an einem sogenannten In­ ter Integrated Circuit Bus (I2C-Bus) angekoppelt ist.10. Security system according to claim 8, characterized in that the synchronous interface ( 6 ) is coupled to a so-called In ter Integrated Circuit Bus (I 2 C-Bus). 11. Sicherheitssystem nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass mindestens eine Peripherieeinheit (4, 5) einen Sensor (4), insbesondere einen Aufprallsensor, und/oder mindestens eine Peripherieeinheit (4, 5) eine Konfigurationseinheit (5) aufweist.11. Safety system according to one of the preceding claims, characterized in that at least one peripheral unit ( 4 , 5 ) has a sensor ( 4 ), in particular an impact sensor, and / or at least one peripheral unit ( 4 , 5 ) has a configuration unit ( 5 ). 12. Verfahren zur Überwachung der ordnungsgemäßen Funktion eines Sicherheitssystems nach einem der vorstehenden Ansprü­ che.12. Procedures for monitoring proper functioning a security system according to one of the preceding claims che.
DE2000132216 2000-07-03 2000-07-03 Vehicle safety system Withdrawn DE10032216A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE2000132216 DE10032216A1 (en) 2000-07-03 2000-07-03 Vehicle safety system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE2000132216 DE10032216A1 (en) 2000-07-03 2000-07-03 Vehicle safety system

Publications (1)

Publication Number Publication Date
DE10032216A1 true DE10032216A1 (en) 2002-01-24

Family

ID=7647564

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2000132216 Withdrawn DE10032216A1 (en) 2000-07-03 2000-07-03 Vehicle safety system

Country Status (1)

Country Link
DE (1) DE10032216A1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004021093A2 (en) * 2002-08-22 2004-03-11 Robert Bosch Gmbh Control device
DE102015203250A1 (en) * 2015-02-24 2016-08-25 Zf Friedrichshafen Ag Safety device and method for transferring an actuator system to a safe state, actuator system and method for operating an actuator system
WO2020173682A1 (en) 2019-02-25 2020-09-03 Robert Bosch Gmbh Security system and method for operating a security system

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004021093A2 (en) * 2002-08-22 2004-03-11 Robert Bosch Gmbh Control device
WO2004021093A3 (en) * 2002-08-22 2004-12-23 Bosch Gmbh Robert Control device
US7787582B2 (en) 2002-08-22 2010-08-31 Robert Bosch Gmbh Control unit
DE102015203250A1 (en) * 2015-02-24 2016-08-25 Zf Friedrichshafen Ag Safety device and method for transferring an actuator system to a safe state, actuator system and method for operating an actuator system
WO2020173682A1 (en) 2019-02-25 2020-09-03 Robert Bosch Gmbh Security system and method for operating a security system
CN113474230A (en) * 2019-02-25 2021-10-01 罗伯特·博世有限公司 Security system and method for operating a security system

Similar Documents

Publication Publication Date Title
EP0479792B1 (en) Vehicle-occupant safety system
DE10326287B4 (en) Vehicle communication system, initialization unit and in-vehicle control unit
DE102005030770B4 (en) Circuit arrangement and method for controlling a safety device for a vehicle
DE19509150C2 (en) Method for controlling and regulating vehicle brake systems and vehicle brake system
DE102006013381A1 (en) Motor vehicle safety system`s e.g. brake and/or occupant protection system, control device, has watchdog monitoring malfunctioning or incorrect program flow of microcontroller, and auxiliary logic activating actuators
DE102016220197A1 (en) Method for processing data for an automated vehicle
EP1639465B1 (en) Method for monitoring the execution of a program in a micro-computer
WO1996020103A1 (en) Process and circuit for monitoring the functioning of a program-controlled circuit
EP1524803A1 (en) Method and apparatus to change a first mode of a controller to a second mode through a data-bus
EP1807760B1 (en) Data processing system with a variable clock speed
DE3926377C2 (en) Electronic control device for an internal combustion engine
EP0996060A2 (en) Single processor system
EP1615087A2 (en) Control and regulation unit
DE102017011685A1 (en) Method and device for processing alarm signals
EP2203795B1 (en) Vehicle control unit having a microcontroller the supply voltage of which is monitored and associated method
DE10127054B4 (en) Method for monitoring a voltage supply of a control device in a motor vehicle
EP0693726B1 (en) Method of data transmission in a real-time data processing system
DE10312553B3 (en) Automobile with several control devices switched between active and inactive conditions and central monitoring control device providing watch-dog function
DE10032216A1 (en) Vehicle safety system
EP1561165B1 (en) Control unit for activating a protection mechansim for passengers of a motor vehicle and method for monitoring the proper operation of such a control unit
DE19845220A1 (en) Process and device for synchronization and checking of processor and monitoring circuit
DE19541734C2 (en) Circuit arrangement for performing a reset
DE19605606B4 (en) Device for resetting a computing element
DE102015222248A1 (en) Method and control unit for commissioning a sensor series circuit designed in a daisy-chain topology, sensor series circuit in daisy-chain topology and restraint means
DE19743914A1 (en) Method of controlling motor vehicle occupant protection system

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8127 New person/name/address of the applicant

Owner name: CONTINENTAL AUTOMOTIVE GMBH, 30165 HANNOVER, DE

R120 Application withdrawn or ip right abandoned

Effective date: 20140208