DE10065118A1 - System und Verfahren zur Steuerung und/oder Überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbundes - Google Patents
System und Verfahren zur Steuerung und/oder Überwachung eines wenigstens zwei Steuergeräte aufweisenden SteuergeräteverbundesInfo
- Publication number
- DE10065118A1 DE10065118A1 DE10065118A DE10065118A DE10065118A1 DE 10065118 A1 DE10065118 A1 DE 10065118A1 DE 10065118 A DE10065118 A DE 10065118A DE 10065118 A DE10065118 A DE 10065118A DE 10065118 A1 DE10065118 A1 DE 10065118A1
- Authority
- DE
- Germany
- Prior art keywords
- control
- control device
- monitoring
- function
- control unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W10/00—Conjoint control of vehicle sub-units of different type or different function
- B60W10/04—Conjoint control of vehicle sub-units of different type or different function including control of propulsion units
- B60W10/06—Conjoint control of vehicle sub-units of different type or different function including control of propulsion units including control of combustion engines
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W10/00—Conjoint control of vehicle sub-units of different type or different function
- B60W10/04—Conjoint control of vehicle sub-units of different type or different function including control of propulsion units
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/023—Avoiding failures by using redundant parts
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/032—Fixing failures by repairing failed parts, e.g. loosening a sticking valve
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/22—Safety or indicating devices for abnormal conditions
- F02D41/221—Safety or indicating devices for abnormal conditions relating to the failure of actuators or electrically driven elements
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/24—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
- F02D41/26—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
- F02D41/266—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0001—Details of the control system
- B60W2050/0002—Automatic control, details of type of controller or control system architecture
- B60W2050/0004—In digital systems, e.g. discrete-time systems involving sampling
- B60W2050/0005—Processor details or data handling, e.g. memory registers or chip architecture
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0001—Details of the control system
- B60W2050/0043—Signal treatments, identification of variables or parameters, parameter estimation or state estimation
- B60W2050/0044—In digital systems
- B60W2050/0045—In digital systems using databus protocols
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0205—Diagnosing or detecting failures; Failure detection models
- B60W2050/021—Means for detecting failure or malfunction
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/029—Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
- B60W2050/0292—Fail-safe or redundant systems, e.g. limp-home or backup systems
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F16—ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
- F16H—GEARING
- F16H61/00—Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing
- F16H61/12—Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures
- F16H2061/122—Avoiding failures by using redundant parts
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F16—ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
- F16H—GEARING
- F16H61/00—Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing
- F16H61/12—Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures
- F16H2061/1256—Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures characterised by the parts or units where malfunctioning was assumed or detected
- F16H2061/126—Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures characterised by the parts or units where malfunctioning was assumed or detected the failing part is the controller
- F16H2061/1268—Electric parts of the controller, e.g. a defect solenoid, wiring or microprocessor
Landscapes
- Engineering & Computer Science (AREA)
- Chemical & Material Sciences (AREA)
- Combustion & Propulsion (AREA)
- Mechanical Engineering (AREA)
- Automation & Control Theory (AREA)
- Transportation (AREA)
- General Engineering & Computer Science (AREA)
- Human Computer Interaction (AREA)
- Computer Hardware Design (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Safety Devices In Control Systems (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Control By Computers (AREA)
- Selective Calling Equipment (AREA)
- Combined Controls Of Internal Combustion Engines (AREA)
Abstract
System zur Steuerung und/oder Überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbundes, mit einem ersten Steuergerät (10) und wenigstens einem zweiten Steuergerät (20), wobei das erste Steuergerät (10) mit Mitteln zur Durchführung seiner Steuerfunktion und zur Überwachung dieser Steuerfunktion, sowie mit Mitteln zur Überwachung der Steuerfunktion des wenigstens einen zweiten Steuergeräts (20) ausgebildet ist.
Description
Die vorliegende Erfindung betrifft ein System und ein
Verfahren zur Steuerung und/oder Überwachung eines
wenigstens zwei Steuergeräte aufweisenden
Steuergeräteverbundes nach dem Oberbegriff der
Patentansprüche 1 bzw. 7.
Für die Realisierung neuer Funktionen in der
Kraftfahrzeugelektronik ist das zunehmend intensivere
Zusammenspiel einzelner Steuergeräte von besonderer
Bedeutung.
Moderne Fahrzeugausstattungen umfassen mehrere digitale
Sreuergeräte, beispielsweise für die Zündung/Einspritzung,
ABS und Getriebesteuerung. Vorteilhafte Eigenschaften und
zusätzliche Funktionen lassen sich dadurch realisieren, daß
die von den einzelnen Steuergeräten kontrollierten Prozesse
synchronisiert und ihre Parameter laufend, d. h.
insbesondere in Echtzeit, aufeinander abgestimmt wer den.
Ein Beispiel für eine solche Funktion ist die
Antriebsschlupfregelung, die bei durchdrehenden
Antriebsrädern das Antriebsmoment der einzelnen Räder
entsprechend reduziert.
Der Informationsausstausch zwischen den Steuergeräten
erfolgte herkömmlicherweise im wesentlichen über
Einzelleitungen. Solche Punkt-zu-Punkt-Verbindungen lassen
sich jedoch nur für eine begrenzte Anzahl von Signalen
vorteilhaft einsetzen. Eine einfache, automobilgerechte
Netzwerktopologie zur seriellen Übertragung von Daten
zwischen den Steuergeräten kann hierbei die
Übertragungsmöglichkeiten erweitern.
Die sich abzeichnende erhebliche Zunahme des
Datenaustauschs zwischen den elektronischen Komponenten
kann mit herkömmlichen Verkabelungstechniken (Kabelbaum)
nicht mehr bewältigt werden, da beispielsweise ein
Kabelbaum unter anderem bei Oberklassefahrzeugen wegen
seines Umfangs kaum mehr zu handhaben ist und auch zu viele
PINs an einigen Steuergeräten vorhanden wären. Diese
Probleme können durch den Einsatz von CAN gelöst werden,
einem speziell für den Kfz-Einsatz konzipierten seriellen
Bussystem.
Als wesentliches Einsatzgebiet für CAN ergibt sich im
Krafrfahrzeugbereich die Steuergerätekopplung: Bei der
Steuergerätekopplung werden elektronische Systeme wie
Motronik, elektronische Getriebesteuerung, elektronische
Motorleistungssreuerung (EMS, "E-Gas") und
Antriebsschlupfregelung (ASR) miteinander gekoppelt.
Typische Überrragungsraten bewegen sich zwischen ca. 120 kBit/s
und 1 MBit/s. Sie müssen hoch genug sein, um das
geforderte Echtzeitverhalten gewährleisten zu können. Ein
Vorteil des seriellen Datenübertragungsmediums gegenüber
konventionellen Schnittstellen wie Tastverhältnissen,
Schaltsignalen und Analogsignalen ist die höhere
Geschwindigkeit ohne große Belastung der Steuergeräte-
Zentraleinheiten (CPU). Außerdem werden weniger PINs an den
Steuergeräten benötigt.
Defekte Steuergeräte können den Busverkehr erheblich
belasten und auch zu sicherheitskritischen Zuständen
führen. Deshalb sind beispielsweise CAN-Controller mit
Mechanismen ausgestattet, die gelegentlich auftretende
Störungen von anhaltenden Störungen unterscheiden und
Stationsausfälle (Steuergeräteausfälle) lokalisieren
können. Dies geschieht in der Regel über eine statistische
Auswertung von Fehlersituationen.
Aus der DE-OS 41 33 268 ist eine Vorrichtung zur Steuerung
der Antriebsleistung eines Fahrzeugs bekannt. Diese
Vorrichtung umfaßt eine erste Steuereinheit zur Steuerung
der einzuspritzenden Kraftstoffmenge und eine zweite
Steuereinheit zur Steuerung der Drosselklappenstellung. Des
weiteren ist eine Meßeinrichtung zur Erfassung
beispielsweise der Drehzahl des Fahrzeugs vorgesehen, wobei
diese Meßeinrichtung wenigstens zwei zueinander redundante
Sensoren umfaßt. Die erste Steuereinheit wertet das Signal
des ersten Sensors, und die zweite Steuereinheit das
Ausgangssignal eines weiteren Sensors der Meßeinrichtung
aus. Die beiden Signale werden von einer der
Steuereinheiten auf Plausibilität überprüft.
Mittels dieser Vorrichtung ist lediglich die Überprüfung
der Sensorsignale bzw. des Sensors möglich. Ein Fehler im
Bereich eines Steuergeräts bzw. der Signalübertragung
zwischen den Steuergeräten kann mit dieser Einrichtung
nicht erkannt werden.
Aus der DE 44 37 336 A1 ist ein Verfahren zur Steuerung
einer Brennkraftmaschine, insbesondere einer
Dieselbrennkraftmaschine, mit wenigstens einem
mengenbestimmenden Stellglied, bekannt, wobei eine erste
Steuereinheit abhängig von ersten Größen eine
Kraftstoffmengengröße vorgibt und eine zweite Steuereinheit
ausgehend von der Kraftstoffmengengröße und weiteren Größen
eine Stellgröße für das Stellglied bestimmt. Dieses
Verfahren zeichnet sich dadurch aus, daß die zweite
Steuereinheit die Stellgröße an die erste Steuereinheit
zurückmeldet, und die erste Steuereinheit die Stellgröße
und die Kraftstoffmengengröße miteinander auf eine
Unplausibilität vergleicht.
Aus der DE 44 38 714 A1 ist schließlich ein Verfahren und
eine Vorrichtung zur Steuerung der Antriebsleistung eines
Fahrzeugs bekannt, wobei zur Leistungssteuerung lediglich
ein Rechenelement (Mikrocomputer) zur Durchführung von
Steuerungsfunktionen und Überwachungsfunktionen vorgesehen
ist. Im Mikrocomputer sind dabei wenigstens zwei
unabhängige Ebenen festgelegt, wobei eine erste Ebene die
Steuerfunktionen, und eine zweite Ebene die
Überwachungsfunktionen durchführt.
Mit der vorliegenden Erfindung soll ein einfaches
Überwachungskonzept für ein Kraftfahrzeug mit verschiedenen
miteinander kooperierenden Steuergeräten bzw.
Rechenelementen, bei welchen im Fehlerfall
sicherheitskritische Zustände entstehen können,
bereitgestellt werden. Es wird angestrebt, derartige
sicherheitskritische Zustände zu erkennen und
gegebenenfalls Gegenmaßnahmen, beispielsweise eine
Notsteuerung oder ein Abschalten eines als defekt er kannten
Steuergerätes, einzuleiten. Ziel hierbei ist insbesondere,
den Hardwareaufwand gering zu halten.
Diese Aufgabe wird gelöst durch ein System mit den
Merkmalen des Patentanspruchs 1 sowie ein Verfahren mit den
Merkmalen des Patentanspruchs 7.
Mittels des vorgestellten Konzeptes, welches dem
erfindungsgemäßen System und dem erfindungsgemäßen
Verfahren zugrundeliegt, ist die Überwachung eines
Verbundes von Steuergeräten unter Verwendung nur eines
eigensicheren Steuergerätes, welches sich selbst und die
übrigen Steuergeräte überwacht, realisierbar. Die
erfindungsgemäße Vorgehensweise führt insgesamt zu einem
System, welches gegenüber herkömmlichen Systemen einen
wesentlich geringeren Hardwareaufwand erfordert und somit
kostengünstiger bereitstellbar ist. Die Anzahl von
Steuergeräten, welche zur Gewährleistung eines sicheren
Betriebes eines Kraftfahrzeugs mit mehreren Betriebsebenen
ausgestattet sein muß, läßt sich auf ein Minimum
reduzieren, da erfindungsgemäß lediglich eines der
verwendeten Steuergeräte die Überwachungsfunktion für
sämtliche Steuergeräte des Gesamtverbundes übernimmt. Das
erfindungsgemäße Konzept eignet sich insbesondere zur
Steuerung einer Antriebseinheit eines Kraftfahrzeuges,
insbesondere zur Steuerung einer Brennkraftmaschine.
Vorteilhafte Ausgestaltungen des erfindungsgemäßen Systems
bzw. des erfindungsgemäßen Verfahrens sind Gegenstand der
Unteransprüche.
Zweckmäßigerweise sind die Mittel zur Durchführung der
Steuerfunktion des ersten Steuergeräts und zur Überwachung
dieser Steuerfunktion sowie die Mittel zur Überwachung der
Steuerfunktionen des wenigstens einen zweiten Steuergeräts
als Mikrocomputer ausgebildet, welcher wenigstens zwei
zumindest außerhalb des Fehlerfalls voneinander unabhängige
Betriebsebenen aufweist, wobei in einer ersten Ebene die
Steuerungsfunktion und Überwachungsfunktion des ersten
Steuergeräts, und in einer zweiten Ebene die
Überwachungsfunktion für das wenigstens eine zweite
Steuergerät durchgeführt wird. Derartige Betriebsebenen
sind zweckmäßigerweise als zumindest außerhalb des
Fehlerfalls gegenseitig in ihrer Funktion sich nicht
beeinflussende Kanäle innerhalb des Mikrocomputers
ausgebildet. So kann unter Verwendung nur eines
Mikrocomputers eine mit einem Steuersystem mit zwei
Recheneinheiten bzw. Mikrocomputern für jedes Steuergerät
vergleichbare Betriebssicherheit und Verfügbarkeit erreicht
werden. Es sei angemerkt, daß die Definition der
Betriebsebenen auch auf andere Weise erfolgen kann: Es ist
beispielsweise denkbar, die Steuerungsfunktion des ersten
Steuergeräts in einer ersten, und sämtliche
Überwachungsfunktionen in einer zweiten Betriebsebene zu
organisieren.
Gemäß einer bevorzugten Ausführungsform des
erfindungsgemäßen Systems ist eine dritte Betriebsebene
vorgesehen, welche die Funktionsweise des ersten
Steuergeräts bzw. des diesem zugeordneten Mikrocomputers
durch Überwachung der die Überwachung durchführenden
zweiten Ebene überprüft. Eine derartige Überwachung erhöht
die Betriebssicherheit des Systems erheblich. Dabei ist es
beispielsweise von Vorteil, einen aktiven Watch-Dog zu
verwenden, der die Ablaufkontrolle als Frage-Antwort-Spiel
durchführen kann.
Zweckmäßigerweise sind Sensoren vorgesehen, welche im
Normalzustand als redundante Sensoren für das wenigstens
eine zweite Steuergerät dienen, und bei Erkennen einer
Fehlfunktion des zweiten Steuergeräts dem ersten
Steuergerät zur Gewährleistung einer Notlauffunktion
bezüglich der Steuerfunktion des wenigstens einen zweiten
Steuergeräts zuordnenbar sind. Durch eine derartige
redundante Sensorik, welche im Falle einer Fehlfunktion
durch das erste, eigensichere Steuergerät auswertbar ist,
ist es auch möglich, unterschiedliche sichere Zustände der
Aktuatorik des wenigstens einen zweiten Steuergeräts
anzusteuern. Mittels derartiger Sensoren ist es möglich, im
Fehlerfall des zweiten Steuergeräts den für den aktuellen
Betriebspunkt des zweiten Steuergeräts sicheren Zustand in
optimaler Weise einzustellen.
Zweckmäßigerweise umfaßt die Einleitung von Sicherheits-
oder Notmaßnahmen die Abschaltung der Aktuatorik des
wenigstens einen zweiten Steuergeräts und/oder die
Abschaltung des wenigstens einen zweiten Steuergeräts.
Gemäß einer besonders bevorzugten Ausbildung des
erfindungsgemäßen Systems ist eine zentrale
Notlaufsignalleitung, über welche die einzelnen
Steuergeräte miteinander verbunden sind, vorgesehen. Diese
Maßnahme erweist sich insbesondere im Falle von
zusammengesetzten Einheiten, beispielsweise dem Triebstrang
des Kraftfahrzeugs, die einen gemeinsamen sicheren Zustand
aktiv ansteuern müssen, als vorteilhaft. Arbeiten sämtliche
Steuergeräte des Triebstrangs im normalen Betrieb, versorgt
keines der Steuergeräte diese Notlaufsignalleitung. Erkennt
jedoch eines der Steuergeräte einen Fehler, schaltet es
sich ab und versorgt dadurch die Notlaufsignalleitung. In
einem Steuergerät wird diese Notlaufsignalleitung inaktiv
versorgt, d. h. die Versorgung der Notlaufsignalleitung muß
das Steuergerät im Normalbetrieb aktiv unterdrücken.
Die Aktuatorik, welche mit dieser Leitung verbunden ist,
fährt in Notlaufposition, wenn die Leitung angesteuert
wird. Eine Ansteuerung durch das angeschlossene Steuergerät
hat keinen Einfluß mehr auf die Aktuatorik, das Steuergerät
hat eine niedrigere Priorität. Diese Notlaufstrategie ist
vorzugsweise in Hardware realisierbar, wodurch eine höhere
Zuverlässigkeit erzielbar ist. Beispielsweise ist es bei
einem Triebstrang möglich, im Fehlerfall mit einem
Zeitrelais, welches durch diese Notlaufsteuerung
angesteuert wird, die Kupplung beispielsweise fünf Sekunden
in Richtung auf "auf" zu fahren.
Die Erfindung wird nun anhand der beigefügten Zeichnung
weiter erläutert. In dieser zeigt
Fig. 1 ein Blockschaltbild zur Darstellung einer
bevorzugten Ausführungsform der erfindungsgemäßen
Vorrichtung, und
Fig. 2 eine schematische Darstellung zur Erläuterung
einer besonders bevorzugten Ausführungsform des
erfindungsgemäßen Verfahrens.
In Fig. 1 ist ein Übersichtsblockschaltbild eines zwei
Steuergeräte umfassenden Systems bzw. Steuergeräteverbundes
zur Steuerung der Antriebseinheit eines Kraftfahrzeugs als
bevorzugte Ausführungsform der Erfindung dargestellt. Man
erkennt ein erstes Steuergerät 10 und ein zweites
Steuergerät 20. Beispielhaft sei davon ausgegangen, daß das
Steuergerät 20 im Normalbetrieb die Kupplung und
gegebenenfalls weitere Aktuatorik des Kraftfahrzeugs
steuert.
Mit 12 ist in Fig. 1 eine Kommunikationsverbindung
zwischen den Steuergeräten 10 und 20 bezeichnet. über die
Kommunikationsverbindung 12 erfolgt die Überwachung der
Steuergeräte im Verbund, sowie die normale Kommunikation.
Die Kommunikationsverbindung 12 ist beispielsweise als CAN-
Verbindung realisiert.
Das Steuergerät 10 besitzt mehrere Funktionen, nämlich die
Ausführung seiner eigenen Steuerungsfunktion, die
Überwachung dieser Steuerungsfunktion sowie eine
Überwachung des Steuergeräts 20.
Ein (nicht im einzelnen dargestellter, jedoch schematisch
mit 14 bezeichneter) Mikrocomputer des ersten Steuergeräts
10 ist dabei in wenigstens zwei Betriebsebenen organisiert.
Eine erste Ebene (Funktion SG10) führt die Berechnungen zur
Durchführung der Steuerfunktion des Steuergeräts 10 durch.
Die erste Ebene umfasst ferner die Überwachung des zweiten
Steuergeräts (Überwachung SG20). In einer zweiten Ebene
(Überwachung SG10) wird die Steuerfunktion des ersten
Steuergeräts überwacht.
Stellt das erste Steuergerät 10 eine Fehlfunktion des
zweiten Steuergeräts 20 fest, schaltet das Steuergerät 10
über eine Ausgangsleitung 11 das Steuergerät 20 ab bzw.
stromlos. Da die Kupplung, welche durch das Steuergerät 20
gesteuert wird, in Abhängigkeit von der
Fahrzeuggeschwindigkeit betätigt bzw. geschlossen werden
soll, übernimmt das Steuergerät 10 eine Notlauffunktion
bezüglich des Steuergeräts 20. Für diese Notlauffunktion
genügt eine rudimentäre Ansteuerung. Die benötigten
Eingangsgrößen zur Erfüllung der Notlauffunktion der im
Normalbetrieb von dem Steuergerät 20 gesteuerten Kupplung
erhält das Steuergerät 10 durch (schematisch mit 15
bezeichnete) Sensoren, die im Normalbetrieb als redundante
Sensoren für das Steuergerät 20 fungieren. Ein
Mikrocomputer des Steuergerätes 20 ist schematisch
dargestellt und mit 14' bezeichnet.
Es muß hierbei sichergestellt sein, daß das erste
Steuergerät 10, welches in der Lage ist, das wenigstens
eine zweite (nicht eigensichere) Steuergerät 20
abzuschalten, eigensicher ist, d. h., im Betrieb des ersten
Steuergeräts 10 muß dessen korrekte Funktion sichergestellt
sein. Um dies zu gewährleisten, ist die zweite
Betriebsebene, nämlich die Überwachung der Steuerfunktion
des Steuergeräts 10 mittels der Überwachungsebene
(Überwachung SG10) vorgesehen. Wird also ein Fehlerzustand
des Steuergeräts 20 erkannt, führt dies in der
Überwachungsfunktion des zweiten Steuergeräts 20 in dem
ersten Steuergerät 10 zu einem Notlaufbetrieb des zweiten
Steuergeräts.
Wird ein derartiges Überwachungskonzept verwirklicht,
besteht eine Funktionseinschränkung des ersten Steuergeräts
10 insofern, als wenn das erste Steuergerät 10 aufgrund
eines Fehlers abschaltet, im Fehlerfall des zweiten
Steuergeräts 20 nicht mehr sichergestellt ist, daß das
Steuergerät 10 den aktuell sicheren Zustand ansteuern bzw.
regeln kann. Es ist hier beispielsweise möglich, das zweite
Steuergerät 20 in einen beschränkten Betrieb zu überführen,
d. h., das zweite Steuergerät 20 bewegt sich nur in
Betriebspunkten, in welchen das Abschalten im Fehlerfall
einen sicheren Zustand bedeutet.
Da beim Abschalten des ersten Steuergeräts 10 die externe
Absicherung des Betriebs des zweiten Steuergeräts 20 nicht
mehr sichergestellt ist (da die Überwachungsfunktion des
zweiten Steuergeräts im ersten Steuergerät 10 läuft), ist
der sichere Betrieb des zweiten Steuergeräts 20 nicht mehr
gewährleistet. Es ist dann vorgesehen, daß das zweite
Steuergerät 20 den aktuellen sicheren Zustand ansteuert und
sich dann abschaltet.
Für zusammengesetzte Einheiten (Triebstrang), die einen
gemeinsamen sicheren Zustand aktiv ansteuern müssen, ist es
vorteilhaft, diese Einheiten über eine zentrale
Notlaufleitung (nicht dargestellt) zu verbinden. Arbeiten
alle Steuergeräte im Normalbetrieb, versorgt keines dieser
Steuergeräte diese Notlaufleitung. Erkennt eines der
Steuergeräte jedoch einen Fehler, schaltet es sich ab und
versorgt dadurch diese Notlaufleitung. In einem Steuergerät
wird diese Leitung inaktiv versorgt, d. h. die Versorgung
der Notlaufleitung muß das Steuergerät im Normalbetrieb
aktiv unterdrücken.
Die Aktuatorik, welche mit dieser Notlaufleitung verbunden
ist, fährt in Notlaufposition, wenn die Notleitung
angesteuert wird. Eine Ansteuerung durch das angeschlossene
Steuergerät hat keinen Einfluß auf die Aktuatorik, das
Steuergerät hat eine niedrigere Priorität. Diese
Notlaufstrategie wird vorzugsweise in Hardware realisiert,
da hierdurch eine höhere Zuverlässigkeit gegeben ist.
Die Anbindung des dargestellten Systems an eine Aktuatorik
ist schematisch mittels der Pfeile P und einer mit 14
bezeichneten, beliebig ausgebildeten Aktuatorik
dargestellt. Es ist bevorzugt, die Betätigung der
Aktuatorik 14 als Wired-Or-Funktion auszubilden, d. h. bei
Vorliegen eines Niedrigpegelsignals (bzw. "AUS"-Signals)
auf einem der beiden Steuergeräte kann ein Abschalten der
Aktuatorik eingeleitet werden. Mit anderen Worten, wenn
eines der Steuergeräte ein Niedrigpegelsignal auf die
Aktuatorik gibt, wird diese ausgeschaltet. Es sind
ebenfalls weitere alternative Ansteuerungen der Aktuatorik
denkbar. Durch eine redundante Sensorik des Steuergerätes
10 ist es ebenfalls möglich, unterschiedlich sichere
Zustände einer der z. B. dem Steuergerät 20 zugeordneten
Aktuatorik anzusteuern. Im Stand der Technik werden
beispielsweise Signale von verschiedenen Steuergeräten
redundant eingelesen und über einen Kommunikationskanal
(beispielsweise CAN) ausgetauscht, um Signale redundant zu
plausibilisieren. Ein derartiges Wissen ist im Steuergerät
10 verwendbar, um im Fehlerfall des Steuergerätes 20 den
für den aktuellen Betriebspunkt des Steuergerätes 20
sicheren Zustand einzustellen.
Eine besondere Fähigkeit der dargestellten Topologie
besteht in der Fähigkeit des Steuergeräts 10, zwischen
repetierenden und sporadischen Fehlern des Steuergeräts 20
zu unterscheiden. Auf der Grundlage dieser Fähigkeit können
entsprechende unterschiedliche Gegenmaßnahmen eingeleitet
werden, beispielsweise kann bei Erkennen eines sporadischen
Fehlers das Steuergerät 20 kurz abgeschaltet werden,
während bei Erkennen eines repetierenden Fehlers ein
Abschalten des Steuergeräts 20 bis zu dem Zeitpunkt, an dem
die Zündung des Kraftfahrzeugs ausgeschaltet ist, erfolgen
kann.
Erfindungsgemäß ist, dadurch, daß das Abschalten durch ein
separates Steuergerät durchgeführt wird, leichter möglich,
auch aktiv sichere Zustände des zweiten Steuergeräts
anzusteuern. Zum Beispiel kann das Steuergerät 10 durch
Abschalten des Steuergeräts 20 und einfaches Ansteuern der
wesentlichen Aktuatorik des Steuergeräts 20 einen sicheren
Zustand für das Gesamtsystem erzielen. Der Grund liegt in
der bereits redundanten Hardware des Steuergeräts 10. Ein
als Standalone ausgebildetes Steuergerät 20 könnte in
vielen Fehlerfällen keinen sicheren Zustand aktiv
einstellen, ohne erheblichen redundanten Hardwareeinsatz.
Dieser Sachverhalt ist in Fig. 2 schematisch dargestellt.
Es wird hier zwischen Betriebspunkten mit sicherem Zustand
1 im Fehlerfall, und Betriebspunkten mit sicherem Zustand 2
im Fehlerfall unterschieden. Im Falle eines festgestellten
Fehlers bei Vorliegen eines Betriebspunktes mit sicherem
Zustand 1 wird im Fehlerfall ein sicherer Zustand 1 durch
aktives Ansteuern einer Aktuatorik bewirkt. Bei Auftreten
eines Fehlers während eines Betriebspunktes mit sicherem
Zustand 2 wird ein sicherer Zustand 2 durch Abschalten der
Aktuatorik bzw. des Systems bewirkt. Dies sei anhand eines
Beispiels erläutert: tritt beispielsweise während einer
geschlossenen Kupplung ein Fehler auf, ist ein einfaches
Abschalten des Systems aus Sicherheitsgründen nicht
möglich. Es ist vielmehr notwendig, durch aktives Ansteuern
(sicherer Zustand 1) die Kupplung aufzufahren.
Claims (7)
1. System zur Steuerung und/oder Überwachung eines
wenigstens zwei Steuergeräte aufweisenden
Steuergeräteverbundes, mit einem ersten Steuergerät (10)
und wenigstens einem zweiten Steuergerät (20),
dadurch gekennzeichnet,
daß das erste Steuergerät (10) mit Mitteln (14) zur
Durchführung seiner Steuerfunktion und zur Überwachung
dieser Steuerfunktion, sowie mit Mitteln (14) zur
Überwachung der Steuerfunktion des wenigstens einen zweiten
Steuergeräts (20) ausgebildet ist.
2. System nach Anspruch 1, dadurch gekennzeichnet, daß
das erste Steuergerät (10) einen Mikrocomputer aufweist,
bei dem wenigstens zwei zumindest außerhalb des Fehlerfalls
voneinander unabhängige Betriebsebenen vorgesehen sind,
wobei in einer ersten Ebene die Steuerungsfunktion und
Überwachungsfunktion des ersten Steuergeräts (10), und in
einer zweiten Ebene die Überwachungsfunktion für das
wenigstens eine zweite Steuergerät (20) durchgeführt wird.
3. System nach einem der Ansprüche 1 oder 2, dadurch
gekennzeichnet, daß eine dritte Betriebsebene vorgesehen
ist, welche die Funktionsweise des ersten Steuergeräts (10)
durch Überwachung der die Überwachung durchführenden
zweiten Betriebsebene überprüft.
4. System nach Anspruch 1, gekennzeichnet durch Sensoren
(15), welche im Normalzustand als redundante Sensoren für
das wenigstens eine zweite Steuergerät (20) dienen, und bei
Erkennen einer Fehlfunktion des wenigstens einen zweiten
Steuergeräts dem ersten Steuergerät (10) zur Gewährleistung
einer Notlauffunktion bezüglich einer Normalzustand-
Steuerfunktion des wenigstens einen zweiten Steuergeräts
zuordnenbar sind.
5. System nach einem der vorstehenden Ansprüche 2 bis 4,
dadurch gekennzeichnet, daß mittels des Mikrocomputers (14)
des ersten Steuergeräts (10) die Einleitung von
Sicherheits- oder Notmaßnahmen ermöglicht wird, wobei diese
Sicherheits- oder Notmaßnahmen insbesondere die Abschaltung
der Aktuatorik des wenigstens einen zweiten Steuergeräts
(20) und/oder die Abschaltung des wenigstens einen zweiten
Steuergeräts (20) umfassen.
6. System nach einem der vorstehenden Ansprüche,
gekennzeichnet durch eine zentrale Notlaufsignalleitung,
welche im Falle einer Fehlfunktion eines Steuergeräts
ansteuerbar ist.
7. Verfahren zur Steuerung und/oder Überwachung eines
wenigstens zwei Steuergeräte aufweisenden
Steuergeräteverbundes, wobei eine erste Steuerfunktion der
Antriebseinheit mittels eines ersten Steuergeräts (10), und
wenigstens eine zweite Funktion der Antriebseinheit mittels
wenigstens eines zweiten Steuergeräts (20) gesteuert wird,
dadurch gekennzeichnet,
daß die Steuerfunktion des ersten Steuergeräts (10), eine
Überwachung der Steuerfunktion des ersten Steuergeräts
sowie eine Überwachung der wenigstens einen Steuerfunktion
des wenigstens einen zweiten Steuergeräts (20) mittels des
ersten Steuergeräts (10) durchgeführt wird.
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10065118A DE10065118A1 (de) | 2000-12-28 | 2000-12-28 | System und Verfahren zur Steuerung und/oder Überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbundes |
EP01126823A EP1219489B1 (de) | 2000-12-28 | 2001-11-10 | System und Verfahren zur Steuerung und/oder überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbunde |
DE50114615T DE50114615D1 (de) | 2000-12-28 | 2001-11-10 | System und Verfahren zur Steuerung und/oder überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbunde |
JP2001400312A JP4571357B2 (ja) | 2000-12-28 | 2001-12-28 | 複合制御装置の制御及び監視システム、及び方法 |
US10/228,407 US6804564B2 (en) | 2000-12-28 | 2002-08-26 | System and method for controlling and/or monitoring a control-unit group having at least two control units |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10065118A DE10065118A1 (de) | 2000-12-28 | 2000-12-28 | System und Verfahren zur Steuerung und/oder Überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbundes |
Publications (1)
Publication Number | Publication Date |
---|---|
DE10065118A1 true DE10065118A1 (de) | 2002-07-04 |
Family
ID=7669061
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10065118A Withdrawn DE10065118A1 (de) | 2000-12-28 | 2000-12-28 | System und Verfahren zur Steuerung und/oder Überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbundes |
DE50114615T Expired - Lifetime DE50114615D1 (de) | 2000-12-28 | 2001-11-10 | System und Verfahren zur Steuerung und/oder überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbunde |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE50114615T Expired - Lifetime DE50114615D1 (de) | 2000-12-28 | 2001-11-10 | System und Verfahren zur Steuerung und/oder überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbunde |
Country Status (4)
Country | Link |
---|---|
US (1) | US6804564B2 (de) |
EP (1) | EP1219489B1 (de) |
JP (1) | JP4571357B2 (de) |
DE (2) | DE10065118A1 (de) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10236747A1 (de) * | 2002-08-10 | 2004-02-19 | Adam Opel Ag | Vorrichtung zur Sicherung der Signalübertragung in einem Kraftfahrzeug |
DE10303383A1 (de) * | 2003-01-29 | 2004-08-05 | Zf Lenksysteme Gmbh | Verfahren und Vorrichtung zur Überwachung des sicheren Betriebs einer Funktionseinheit in einem Kraftfahrzeug |
DE10343305A1 (de) * | 2003-09-19 | 2005-04-21 | Volkswagen Ag | Steuerungssystem für eine Antriebs- oder Bremseinrichtung eines Kraftfahrzeugs |
DE102004039998A1 (de) * | 2004-08-18 | 2006-03-02 | Knorr-Bremse Systeme für Nutzfahrzeuge GmbH | Nutzfahrzeug mit mehreren jeweils von mindestens einem elektronischen Steuergerät gesteuerten elektrischen Einrichtungen |
DE10332194B4 (de) * | 2003-07-15 | 2012-03-29 | Volkswagen Ag | Verfahren und Vorrichtung zur Fehlerlokalisierung bei vernetzten Steuergeräten |
EP3385934A1 (de) * | 2017-04-07 | 2018-10-10 | Volkswagen Aktiengesellschaft | Vorrichtung für die steuerung eines sicherheitsrelevanten vorganges, verfahren zum testen der funktionsfähigkeit der vorrichtung, sowie kraftfahrzeug mit der vorrichtung |
DE102017209721A1 (de) * | 2017-04-07 | 2018-10-11 | Volkswagen Aktiengesellschaft | Vorrichtung für die Steuerung eines sicherheitsrelevanten Vorganges, Verfahren zum Testen der Funktionsfähigkeit der Vorrichtung, sowie Kraftfahrzeug mit der Vorrichtung |
DE10331873B4 (de) | 2003-07-14 | 2022-09-01 | Robert Bosch Gmbh | Verfahren zur Überwachung verteilter Software |
Families Citing this family (84)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
BR0315624A (pt) | 2002-10-22 | 2005-08-23 | Jason A Sullivan | Sistema de processamento em computador personalizável robusto |
US7256991B2 (en) | 2002-10-22 | 2007-08-14 | Sullivan Jason A | Non-peripherals processing control module having improved heat dissipating properties |
AU2003290533B2 (en) * | 2002-10-22 | 2009-04-09 | Jason Sullivan | Systems and methods for providing a dynamically modular processing unit |
JP4348950B2 (ja) * | 2003-01-23 | 2009-10-21 | 株式会社デンソー | 電子制御装置 |
DE10331872A1 (de) * | 2003-07-14 | 2005-02-10 | Robert Bosch Gmbh | Verfahren zur Überwachung eines technischen Systems |
TW200505157A (en) * | 2003-07-21 | 2005-02-01 | Realtek Semiconductor Corp | Linear-in-decibel variable gain amplifier |
DE102004017386A1 (de) * | 2004-04-08 | 2005-10-27 | Robert Bosch Gmbh | Fahrzeugsystem mit zusammengefassten Steuergeräten |
DE102004022624A1 (de) | 2004-05-07 | 2005-12-08 | Robert Bosch Gmbh | Verfahren zur Überwachung eines Systems |
US7398137B2 (en) * | 2004-08-25 | 2008-07-08 | Caterpillar Inc. | System and method for remotely controlling machine operations using mapping information |
DE102005046072B4 (de) * | 2005-09-27 | 2009-04-02 | Daimler Ag | Verfahren und Vorichtung zur Prozeßregelung |
US20090018745A1 (en) * | 2006-12-31 | 2009-01-15 | Caterpillar Inc | System and method for operating a machine |
DE102007035584B4 (de) * | 2007-07-30 | 2009-12-17 | Texas Instruments Deutschland Gmbh | Watchdog-Vorrichtung zur Überwachung eines elektronischen Systems |
DE102007035586B4 (de) * | 2007-07-30 | 2009-12-17 | Texas Instruments Deutschland Gmbh | Watchdog-Vorrichtung zur Überwachung eines elektronischen Systems |
JP4525762B2 (ja) * | 2008-02-04 | 2010-08-18 | 株式会社デンソー | 車両用電子制御装置 |
DE102008000904A1 (de) * | 2008-04-01 | 2009-10-08 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Steuerung einer elektrischen Maschine eines Hybridantriebs bei erhöhter Verfügbarkeit |
JP5237034B2 (ja) * | 2008-09-30 | 2013-07-17 | 株式会社日立製作所 | イベント情報取得外のit装置を対象とする根本原因解析方法、装置、プログラム。 |
US8892797B2 (en) | 2008-10-27 | 2014-11-18 | Lennox Industries Inc. | Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network |
US8788100B2 (en) | 2008-10-27 | 2014-07-22 | Lennox Industries Inc. | System and method for zoning a distributed-architecture heating, ventilation and air conditioning network |
US9268345B2 (en) | 2008-10-27 | 2016-02-23 | Lennox Industries Inc. | System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network |
US9152155B2 (en) | 2008-10-27 | 2015-10-06 | Lennox Industries Inc. | Device abstraction system and method for a distributed-architecture heating, ventilation and air conditioning system |
US8463442B2 (en) | 2008-10-27 | 2013-06-11 | Lennox Industries, Inc. | Alarm and diagnostics system and method for a distributed architecture heating, ventilation and air conditioning network |
US9651925B2 (en) | 2008-10-27 | 2017-05-16 | Lennox Industries Inc. | System and method for zoning a distributed-architecture heating, ventilation and air conditioning network |
US8661165B2 (en) | 2008-10-27 | 2014-02-25 | Lennox Industries, Inc. | Device abstraction system and method for a distributed architecture heating, ventilation and air conditioning system |
US8615326B2 (en) | 2008-10-27 | 2013-12-24 | Lennox Industries Inc. | System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network |
US8543243B2 (en) | 2008-10-27 | 2013-09-24 | Lennox Industries, Inc. | System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network |
US9678486B2 (en) | 2008-10-27 | 2017-06-13 | Lennox Industries Inc. | Device abstraction system and method for a distributed-architecture heating, ventilation and air conditioning system |
US8855825B2 (en) | 2008-10-27 | 2014-10-07 | Lennox Industries Inc. | Device abstraction system and method for a distributed-architecture heating, ventilation and air conditioning system |
US8774210B2 (en) | 2008-10-27 | 2014-07-08 | Lennox Industries, Inc. | Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network |
US8564400B2 (en) | 2008-10-27 | 2013-10-22 | Lennox Industries, Inc. | Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network |
US8798796B2 (en) | 2008-10-27 | 2014-08-05 | Lennox Industries Inc. | General control techniques in a heating, ventilation and air conditioning network |
US8977794B2 (en) | 2008-10-27 | 2015-03-10 | Lennox Industries, Inc. | Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network |
US8744629B2 (en) | 2008-10-27 | 2014-06-03 | Lennox Industries Inc. | System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network |
US8437878B2 (en) | 2008-10-27 | 2013-05-07 | Lennox Industries Inc. | Alarm and diagnostics system and method for a distributed architecture heating, ventilation and air conditioning network |
US9632490B2 (en) | 2008-10-27 | 2017-04-25 | Lennox Industries Inc. | System and method for zoning a distributed architecture heating, ventilation and air conditioning network |
US8463443B2 (en) | 2008-10-27 | 2013-06-11 | Lennox Industries, Inc. | Memory recovery scheme and data structure in a heating, ventilation and air conditioning network |
US8655491B2 (en) | 2008-10-27 | 2014-02-18 | Lennox Industries Inc. | Alarm and diagnostics system and method for a distributed architecture heating, ventilation and air conditioning network |
US9432208B2 (en) | 2008-10-27 | 2016-08-30 | Lennox Industries Inc. | Device abstraction system and method for a distributed architecture heating, ventilation and air conditioning system |
US8600559B2 (en) | 2008-10-27 | 2013-12-03 | Lennox Industries Inc. | Method of controlling equipment in a heating, ventilation and air conditioning network |
US8433446B2 (en) | 2008-10-27 | 2013-04-30 | Lennox Industries, Inc. | Alarm and diagnostics system and method for a distributed-architecture heating, ventilation and air conditioning network |
US8452456B2 (en) | 2008-10-27 | 2013-05-28 | Lennox Industries Inc. | System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network |
US8352081B2 (en) | 2008-10-27 | 2013-01-08 | Lennox Industries Inc. | Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network |
US8442693B2 (en) | 2008-10-27 | 2013-05-14 | Lennox Industries, Inc. | System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network |
US8874815B2 (en) | 2008-10-27 | 2014-10-28 | Lennox Industries, Inc. | Communication protocol system and method for a distributed architecture heating, ventilation and air conditioning network |
US8548630B2 (en) | 2008-10-27 | 2013-10-01 | Lennox Industries, Inc. | Alarm and diagnostics system and method for a distributed-architecture heating, ventilation and air conditioning network |
US8600558B2 (en) | 2008-10-27 | 2013-12-03 | Lennox Industries Inc. | System recovery in a heating, ventilation and air conditioning network |
US8452906B2 (en) | 2008-10-27 | 2013-05-28 | Lennox Industries, Inc. | Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network |
US8994539B2 (en) | 2008-10-27 | 2015-03-31 | Lennox Industries, Inc. | Alarm and diagnostics system and method for a distributed-architecture heating, ventilation and air conditioning network |
US8802981B2 (en) | 2008-10-27 | 2014-08-12 | Lennox Industries Inc. | Flush wall mount thermostat and in-set mounting plate for a heating, ventilation and air conditioning system |
US8239066B2 (en) | 2008-10-27 | 2012-08-07 | Lennox Industries Inc. | System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network |
US8762666B2 (en) | 2008-10-27 | 2014-06-24 | Lennox Industries, Inc. | Backup and restoration of operation control data in a heating, ventilation and air conditioning network |
US8655490B2 (en) | 2008-10-27 | 2014-02-18 | Lennox Industries, Inc. | System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network |
US8560125B2 (en) | 2008-10-27 | 2013-10-15 | Lennox Industries | Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network |
US9261888B2 (en) | 2008-10-27 | 2016-02-16 | Lennox Industries Inc. | System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network |
US8255086B2 (en) | 2008-10-27 | 2012-08-28 | Lennox Industries Inc. | System recovery in a heating, ventilation and air conditioning network |
US8694164B2 (en) | 2008-10-27 | 2014-04-08 | Lennox Industries, Inc. | Interactive user guidance interface for a heating, ventilation and air conditioning system |
US8437877B2 (en) | 2008-10-27 | 2013-05-07 | Lennox Industries Inc. | System recovery in a heating, ventilation and air conditioning network |
US9325517B2 (en) | 2008-10-27 | 2016-04-26 | Lennox Industries Inc. | Device abstraction system and method for a distributed-architecture heating, ventilation and air conditioning system |
US8295981B2 (en) | 2008-10-27 | 2012-10-23 | Lennox Industries Inc. | Device commissioning in a heating, ventilation and air conditioning network |
US8352080B2 (en) | 2008-10-27 | 2013-01-08 | Lennox Industries Inc. | Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network |
US9377768B2 (en) | 2008-10-27 | 2016-06-28 | Lennox Industries Inc. | Memory recovery scheme and data structure in a heating, ventilation and air conditioning network |
US8725298B2 (en) | 2008-10-27 | 2014-05-13 | Lennox Industries, Inc. | Alarm and diagnostics system and method for a distributed architecture heating, ventilation and conditioning network |
US20100229022A1 (en) * | 2009-03-03 | 2010-09-09 | Microsoft Corporation | Common troubleshooting framework |
DE102009019096A1 (de) * | 2009-04-20 | 2010-11-04 | Pilz Gmbh & Co. Kg | Sicherheitssteuerung und Verfahren zum Steuern einer automatisierten Anlage |
USD648642S1 (en) | 2009-10-21 | 2011-11-15 | Lennox Industries Inc. | Thin cover plate for an electronic system controller |
USD648641S1 (en) | 2009-10-21 | 2011-11-15 | Lennox Industries Inc. | Thin cover plate for an electronic system controller |
EP2513456B1 (de) * | 2009-12-18 | 2015-02-25 | Conti Temic microelectronic GmbH | Überwachungsrechner in einem steuergerät |
US8260444B2 (en) | 2010-02-17 | 2012-09-04 | Lennox Industries Inc. | Auxiliary controller of a HVAC system |
US20110230979A1 (en) * | 2010-03-19 | 2011-09-22 | Microsoft Corporation | Scalable and flexible control system having symmetrical control units |
US20110307746A1 (en) * | 2010-06-07 | 2011-12-15 | Sullivan Jason A | Systems and Methods for Intelligent and Flexible Management and Monitoring of Computer Systems |
US8862938B2 (en) * | 2011-04-18 | 2014-10-14 | General Electric Company | System, method, and apparatus for resolving errors in a system |
US8847535B2 (en) * | 2011-11-08 | 2014-09-30 | Autoliv Asp, Inc. | System and method to determine the operating status of an electrical system having a system controller and an actuator controller |
DE102013201702C5 (de) | 2013-02-01 | 2017-03-23 | Mtu Friedrichshafen Gmbh | Verfahren und Anordnung zur Steuerung einer Brennkraftmaschine |
US9266518B2 (en) * | 2013-11-08 | 2016-02-23 | GM Global Technology Operations LLC | Component control system for a vehicle |
DE102014208853A1 (de) * | 2014-05-12 | 2015-11-12 | Robert Bosch Gmbh | Verfahren zum Betreiben eines Steuergeräts |
DE102014208855A1 (de) * | 2014-05-12 | 2015-11-12 | Robert Bosch Gmbh | Verfahren zum Durchführen einer Kommunikation zwischen Steuergeräten |
KR101704787B1 (ko) * | 2014-12-31 | 2017-02-22 | 주식회사 효성 | 제어기의 이중화 시스템 |
US10176034B2 (en) | 2016-02-16 | 2019-01-08 | International Business Machines Corporation | Event relationship analysis in fault management |
DE102017100119A1 (de) * | 2017-01-04 | 2018-07-05 | Connaught Electronics Ltd. | Steuersystem für ein Kraftfahrzeug mit Hardware-Ausfallsicherung |
WO2018179446A1 (ja) | 2017-03-31 | 2018-10-04 | 本田技研工業株式会社 | 汎用エンジンの制御装置 |
DE102017218643A1 (de) * | 2017-10-19 | 2019-04-25 | Volkswagen Aktiengesellschaft | Funktionsmodul, Steuereinheit für ein Betriebsassistenzsystem und Arbeitsvorrichtung |
DE102018213182A1 (de) | 2018-08-07 | 2020-02-13 | Bayerische Motoren Werke Aktiengesellschaft | Kontrollsystem für ein Kraftfahrzeug und Verfahren zur Fehlerdiagnose bei einem Kontrollsystem |
DE102018215476A1 (de) * | 2018-09-12 | 2020-03-12 | Audi Ag | Verfahren zum Betrieb eines Assistenzsystems eines Kraftfahrzeugs |
DE102019103559A1 (de) * | 2019-02-13 | 2020-08-13 | Bayerische Motoren Werke Aktiengesellschaft | Antriebsstrang mit einer antreibbaren Hinterachse und einem Fahrzeuggetriebe, Verfahren zum Betreiben dieses Antriebsstrangs und Kraftfahrzeug mit diesem Antriebsstrang |
US11036573B2 (en) | 2019-05-16 | 2021-06-15 | Ford Global Technologies, Llc | Control processor unit (CPU) error detection by another CPU via communication bus |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4347563A (en) * | 1980-06-16 | 1982-08-31 | Forney Engineering Company | Industrial control system |
US4432064A (en) * | 1980-10-27 | 1984-02-14 | Halliburton Company | Apparatus for monitoring a plurality of operations |
DE3934974A1 (de) | 1989-08-08 | 1991-02-14 | Bosch Gmbh Robert | Vorrichtung zur funktionskontrolle mehrerer steuergeraete in einem kraftfahrzeug |
DE4133268A1 (de) * | 1991-10-08 | 1993-04-15 | Bosch Gmbh Robert | Vorrichtung zur steuerung der antriebsleistung eines fahrzeuges |
DE69217084T2 (de) * | 1991-10-10 | 1997-05-07 | Koyo Seiko Co | Elektrische Servolenkung |
JPH07262148A (ja) * | 1994-03-22 | 1995-10-13 | Nec Corp | コンピュータシステム |
DE4437336A1 (de) | 1994-10-19 | 1996-04-25 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Steuerung einer Brennkraftmaschine |
DE4438714A1 (de) * | 1994-10-29 | 1996-05-02 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs |
JP3752022B2 (ja) * | 1995-08-25 | 2006-03-08 | 株式会社デンソー | 故障診断機能付き電子制御装置 |
DE19609242A1 (de) * | 1996-03-09 | 1997-09-11 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Steuerung einer Antriebseinheit eines Fahrzeugs |
DE19731972C2 (de) * | 1997-07-24 | 2001-11-22 | Siemens Ag | Verfahren zum Steuern einer Brennkraftmaschine |
JP3257971B2 (ja) * | 1997-09-12 | 2002-02-18 | 本田技研工業株式会社 | 電動パワーステアリング装置 |
DE19933086B4 (de) * | 1999-07-15 | 2008-11-20 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur gegenseitigen Überwachung von Steuereinheiten |
DE10030996B4 (de) * | 2000-06-30 | 2010-07-22 | Robert Bosch Gmbh | Vorrichtung und Verfahren zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug |
DE10113917B4 (de) * | 2001-03-21 | 2019-05-23 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Überwachung von Steuereinheiten |
US6636779B2 (en) * | 2001-10-26 | 2003-10-21 | Storage Technology Corporation | Tape library mirrored redundant controllers |
-
2000
- 2000-12-28 DE DE10065118A patent/DE10065118A1/de not_active Withdrawn
-
2001
- 2001-11-10 EP EP01126823A patent/EP1219489B1/de not_active Expired - Lifetime
- 2001-11-10 DE DE50114615T patent/DE50114615D1/de not_active Expired - Lifetime
- 2001-12-28 JP JP2001400312A patent/JP4571357B2/ja not_active Expired - Fee Related
-
2002
- 2002-08-26 US US10/228,407 patent/US6804564B2/en not_active Expired - Lifetime
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10236747A1 (de) * | 2002-08-10 | 2004-02-19 | Adam Opel Ag | Vorrichtung zur Sicherung der Signalübertragung in einem Kraftfahrzeug |
DE10303383A1 (de) * | 2003-01-29 | 2004-08-05 | Zf Lenksysteme Gmbh | Verfahren und Vorrichtung zur Überwachung des sicheren Betriebs einer Funktionseinheit in einem Kraftfahrzeug |
DE10331873B4 (de) | 2003-07-14 | 2022-09-01 | Robert Bosch Gmbh | Verfahren zur Überwachung verteilter Software |
DE10332194B4 (de) * | 2003-07-15 | 2012-03-29 | Volkswagen Ag | Verfahren und Vorrichtung zur Fehlerlokalisierung bei vernetzten Steuergeräten |
DE10343305A1 (de) * | 2003-09-19 | 2005-04-21 | Volkswagen Ag | Steuerungssystem für eine Antriebs- oder Bremseinrichtung eines Kraftfahrzeugs |
DE102004039998A1 (de) * | 2004-08-18 | 2006-03-02 | Knorr-Bremse Systeme für Nutzfahrzeuge GmbH | Nutzfahrzeug mit mehreren jeweils von mindestens einem elektronischen Steuergerät gesteuerten elektrischen Einrichtungen |
US7433771B2 (en) | 2004-08-18 | 2008-10-07 | Knorr-Bremse Systeme Fuer Nutzfahrzeuge Gmbh | Utility vehicle having a plurality of electric devices which are controlled by at least one electronic control device |
DE102004039998B4 (de) * | 2004-08-18 | 2014-03-27 | Knorr-Bremse Systeme für Nutzfahrzeuge GmbH | Nutzfahrzeug mit mehreren, von mindestens einem elektronischen Steuergerät gesteuerten elektrischen Einrichtungen |
EP3385934A1 (de) * | 2017-04-07 | 2018-10-10 | Volkswagen Aktiengesellschaft | Vorrichtung für die steuerung eines sicherheitsrelevanten vorganges, verfahren zum testen der funktionsfähigkeit der vorrichtung, sowie kraftfahrzeug mit der vorrichtung |
DE102017209721A1 (de) * | 2017-04-07 | 2018-10-11 | Volkswagen Aktiengesellschaft | Vorrichtung für die Steuerung eines sicherheitsrelevanten Vorganges, Verfahren zum Testen der Funktionsfähigkeit der Vorrichtung, sowie Kraftfahrzeug mit der Vorrichtung |
US10870421B2 (en) | 2017-04-07 | 2020-12-22 | Volkswagen Ag | Device for controlling a safety-relevant process, method for testing the functionality of the device, and motor vehicle with the device |
DE102017209721B4 (de) | 2017-04-07 | 2022-02-03 | Volkswagen Aktiengesellschaft | Vorrichtung für die Steuerung eines sicherheitsrelevanten Vorganges, Verfahren zum Testen der Funktionsfähigkeit der Vorrichtung, sowie Kraftfahrzeug mit der Vorrichtung |
Also Published As
Publication number | Publication date |
---|---|
JP2002251215A (ja) | 2002-09-06 |
EP1219489B1 (de) | 2008-12-31 |
US20030105537A1 (en) | 2003-06-05 |
DE50114615D1 (de) | 2009-02-12 |
EP1219489A3 (de) | 2004-08-18 |
US6804564B2 (en) | 2004-10-12 |
JP4571357B2 (ja) | 2010-10-27 |
EP1219489A2 (de) | 2002-07-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1219489B1 (de) | System und Verfahren zur Steuerung und/oder überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbunde | |
DE10113917B4 (de) | Verfahren und Vorrichtung zur Überwachung von Steuereinheiten | |
DE10243713B4 (de) | Redundante Steuergeräteanordnung | |
EP0610316B1 (de) | Verfahren und vorrichtung zur fehlerbehandlung in elektronischen steuergeräten | |
EP1040028B1 (de) | Verfahren zur fehlererkennung von mikroprozessoren in steuergeräten eines kfz | |
EP2146881A1 (de) | Elektromechanisches bremssystem mit einer ausfallsicheren energieversorgung und verfahren zur ausfallsicheren energieversorgung in einem elektromechanischen bremssystem für fahrzeuge | |
DE102005040780B4 (de) | Verfahren und Motorsteuerungsgerät zur Verfügbarkeitserhöhung von Kraftfahrzeugmotoren | |
EP3661819B1 (de) | Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium | |
DE10064673B4 (de) | Fehlertolerante elektromechanische Stelleinrichtung | |
EP1989470B1 (de) | Sicherheitskonzept für eine getriebestellvorrichtung | |
DE10236080A1 (de) | Verfahren und Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere in einem Fahrzeug | |
DE19500188B4 (de) | Schaltungsanordnung für eine Bremsanlage | |
EP1972514B1 (de) | Kraftfahrzeug mit einem X-by-wire-System und Verfahren zum Betreiben eines X-by-wire-Systems eines Kraftfahrzeugs | |
WO2008028648A2 (de) | Antriebssystem und verfahren zur überwachung eines hydrostatischen antriebs | |
EP3650292A1 (de) | Verfahren zur funktionsüberprüfung eines druckmittelbetriebenen elektronischen bremssystems eines fahrzeugs | |
DE102008009652A1 (de) | Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor | |
EP3286060A1 (de) | Steueranordnung für ein fahrzeug | |
DE19735015B4 (de) | Verfahren und Vorrichtung für Sicherheitsstrategien in Kraftfahrzeugen | |
EP2612059B1 (de) | Vorrichtung und verfahren zur regelung eines doppelkupplungsgetriebes | |
DE102007046706A1 (de) | Steuervorrichtung für Fahrzeuge | |
EP0639706B1 (de) | System zur Ansteuerung eines Stellglieds zur Einstellung der Luftzufuhr eines Kraftfahrzeugmotors | |
EP1371523A2 (de) | Fahrzeugbusystem mit redundanten Leitungen | |
WO2011091996A1 (de) | Verfahren und vorrichtung zur erzeugung eines bremslichtausgangssignals einer bremsanlage für ein fahrzeug | |
DE102019132428A1 (de) | Funktionsorientierte Elektronik-Architektur | |
WO2011113405A1 (de) | Steuergeräteanordnung |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8141 | Disposal/no request for examination |