-
Die
Erfindung betrifft eine Schaltungsanordnung zum Steuern einer Sicherheitseinrichtung
für ein
Fahrzeug gemäß dem Oberbegriff
von Anspruch 1 und ein entsprechendes Verfahren gemäß dem Oberbegriff
von Anspruch 22.
-
Im
Bereich der Automobiltechnik werden zunehmend komplexe Sicherheitseinrichtungen
bzw. Insassenschutzsysteme wie beispielsweise Airbag- und Gurtstraffersysteme
sowie Überrollsensoren
eingesetzt. Zum Überprüfen der
korrekten Funktion von derartigen Sicherheitseinrichtungen werden
in der Regel gesonderte Überwachungseinrichtungen
wie beispielsweise Mikroprozessoren oder spezielle Logikschaltungen
in Form von ASICs (Application Specific Integrated Circuits) eingesetzt.
-
Aus
der
DE 44 24 020 ist
eine festverdrahtete Logik (Ablaufsteuerung) bekannt, welche die Funktion
eines unabhängigen Überwachungsrechners
für eine
Sicherheitseinrichtung erfüllt.
Die Ablaufsteuerung überwacht
die Anlaufphase bzw. den Eigendiagnoseablauf einer Auslösevorrichtung
einer Fahrzeug-Sicherheitseinrichtung. Die Endstufen der Auslösevorrichtung
werden für
eine mögliche
Aktivierung der Sicherheitseinrichtung erst freigegeben, wenn der Überwachungsrechner
eine ordnungsgemäße Funktion
eines Mikroprozessors der Sicherheitseinrichtung festgestellt hat.
Dadurch wird bereits eine hohe Sicherheit vor Fehlfunktionen erzielt.
-
Allerdings
hängt die
Ausfallsicherheit dieser Sicherheitseinrichtung im Betrieb nach
der Eigendiagnose alleine von dem Mikroprozessor ab, der als Steuereinheit
im Crashfall eine Auslösentscheidung basierend
auf Eingangssignalen trifft, die von Sensoren stammen. Im Falle
eines während
des Betriebs auftretenden Fehlers im Mikroprozessor oder einer Störung kann es
daher bei den bekannten Sicherheitsvorrichtungen zu einer unerwünschten
Auslösung
der Sicherheitseinrichtung kommen.
-
Aufgabe
der vorliegenden Erfindung ist es, eine Schaltungsanordnung und
ein Verfahren zum Steuern einer Sicherheitseinrichtung für ein Fahrzeug
vorzuschlagen, bei denen die Gefahr einer unerwünschten Auslösung der
Sicherheitseinrichtung aufgrund von Fehlern, Ausfällen oder
Störungen
einer Steuereinheit im laufenden Betrieb der Sicherheitseinrichtung
reduziert ist.
-
Diese
Aufgabe wird durch eine Schaltungsanordnung zum Steuern einer Sicherheitseinrichtung für ein Fahrzeug
mit den Merkmalen von Anspruch 1 und ein entsprechendes Verfahren
mit den Merkmalen von Anspruch 22 gelöst. Bevorzugte Ausgestaltungen
der Erfindung ergeben sich aus den abhängigen Ansprüchen.
-
Ein
wesentlicher Gedanke der Erfindung besteht darin, zusätzlich zu
der üblichen
Steuereinheit, die maßgeblich
die Sicherheitseinrichtung und insbesondere das Aktivieren von Aktuatoren
der Sicherheitseinrichtung steuert, eine weitere Steuereinheit vorzusehen,
die eine Art parallele Steuerung implementiert. Dadurch wird eine
redundante Steuerung der Sicherheitseinrichtung geschaffen, die
einen wesentlich besseren Schutz vor einer unerwünschten Auslösung im
Fehlerfall bietet als bekannte Sicherheitseinrichtungen mit nur
einer Steuereinheit. Zur Realisierung des Schutzes verarbeiten beide
Steuereinheiten parallel, bzw. mehrere Eingangssignale und steuern
abhängig
von den verarbeiteten Eingangssignalen Schaltmittel zum Aktivieren
eines Aktuators der Sicherheitseinrichtung. Um zu verhindern, dass
bereits ein einziges fehlerhaftes Eingangssignal zu einer unerwünschten
Aktivierung eines Aktuators führen
kann, muss mindestens eine der beiden Steuereinheiten zur Bildung
eines Auslösesignals
mindestens Sensorsignale von zwei der zugeführten Eingangssignale erhalten,
welche eine Auslöseentscheidung
als angebracht erscheinen lassen. Gemäß dem Grundgedanken der Erfindung
genügen
den beiden Steuereinheiten jeweils für eine Auslöseentscheidung unterschiedliche
viele korrekte Eingangssignale, um eine Auslöseentscheidung zu treffen oder
freizugeben. Beispielsweise kann eine erste Steuereinheit wenigstens
zwei korrekte Eingangssignale und eine zweite Steuereinheiten nur ein
korrektes Eingangssignal für
die Bildung einer Auslöseentscheidung
verwenden; hierbei können beide
Steuereinheiten korrekte Eingangssignale von unterschiedlichen oder
den selben Sensoren verarbeiten. Mit anderen Worten gibt bei diesem
Beispiel also die erste Steuereinheit eine Auslöseentscheidung frei, wenn zwei
Eingangssignale aktiv sind bzw. eine Auslösung signalisieren, und die
zweite Steuereinheit gibt eine Auslöseentscheidung bereits frei, wenn
eines ihrer zugeführten
Eingangssignale aktiv ist bzw. eine Auslösung signalisiert. Die Wahrscheinlichkeit,
dass eine Aktivierung aufgrund eines fehlerhaften, beispielsweise
gestörten
Eingangssignals erfolgt, wird dadurch wesentlich verringert. Unter
einem fehlerhaften Eingangssignal wird hier ein Signal von beispielsweise
einem Beschleunigungssensor verstanden, dass signifikant von einem
erwarteten oder üblichen
Signalverlauf abweicht. Dies ist insbesondere bei einem defekten
Sensor oder einer defekten Leitung vom Sensor zur Steuereinheit
der Fall. Hierbei empfängt
die Steuereinheit im Falle eines Crashs kein oder nur ein ganz schwaches
Eingangssignal. Ein fehlerhaftes Eingangssignal kann aber auch vorliegen,
wenn durch eine Störung
ein Sensor ein Ausgangssignal liefert, das eine hohe Amplitude wie
bei einem Crash aufweist, ohne dass es zu einem Crash gekommen ist.
Umgekehrt bedeutet ein korrektes Eingangssignal, dass ein Signal
einen erwarteten oder üblichen
Verlauf oder Wert aufweist. Dies ist beispielsweise der Fall, wenn
ein Beschleunigungssensor fehlerfrei arbeitet und im Crashfall ein
Signal an die Steuereinheit überträgt, dass
einen für
einen Crash typischen Signalverlauf und insbesondere entsprechende
Signalamplituden aufweist.
-
Die
Erfindung betrifft nun eine Schaltungsanordnung zum Steuern einer
Sicherheitseinrichtung für
ein Fahrzeug mit mindestens einem ersten Schaltmittel und mindestens
einem zweiten Schaltmittel zum Aktivieren von mindestens einem Aktuator
der Sicherheitseinrichtung, einer ersten Steuereinheit zum Steuern
des mindestens einen ersten Schaltmittels der Sicherheitseinrichtung,
und einer zweiten Steuereinheit zum Steuern des mindestens einen zweiten
Schaltmittels der Sicherheitseinrichtung. Die erste Steuereinheit
ist ausgebildet, um zum Steuern des mindestens einen ersten Schaltmittels
mindestens zwei Eingangssignale von zwei oder mehr unabhängigen Sensoren
auszuwerten; die zweite Steuereinheit ist ausgebildet, um zum Steuern
des mindestens einen zweiten Schaltmittels mindestens ein Eingangssignal
von zwei oder mehr unabhängigen
Sensoren auszuwerten. Unter Auswerten eines Eingangssignals wird
hier insbesondere verstanden, dass eine Steuereinheit ein „aktives" bzw. eine Auslösung signalisierendes
Eingangssignal aus einer zugeführten
Anzahl von Eingangssignalen für
die Bildung eines Steuersignals, z.B. eines Freigabesignals für ein Schaltmittel
zum Aktivieren des Aktuators, verwendet, z.B. ein in der Steuereinheit
implementierter Auslösealgorithmus
ein derartiges Eingangssignal für
die Bildung einer Auslöseentscheidung
verarbeitet.
-
Vorzugsweise
ist dieses mindestens eine Eingangssignal eine Untermenge aus den
mindestens zwei Eingangssignalen, die von der ersten Steuereinheit
ausgewertet werden. Bei einem Airbag-Insassenschutzsystem können beispielsweise
genau vier Eingangssignale von zwei in einem zentralen Steuergerät angeordneten
Beschleunigungssensoren und von zwei im Seitenbereich angeordneten
Satellitensensoren zur Verfügung
stehen.
-
Um
die Gefahr unerwünschter
Fehlauslösungen
aufgrund von Einzelausfällen
z.B. der ersten und zweiten Steuereinheit weiter zu verringern,
ist in einer bevorzugten Ausführungsform
die erste Steuereinheit zum Erzeugen von mindestens einem ersten Freigabesignal
für das
mindestens eine zweite Schaltmittel unabhängig von der zweiten Steuereinheit
und die zweite Steuereinheit zum Erzeugen von mindestens einem zweiten
Freigabesignal für
das mindestens eine erste Schaltmittel unabhängig von der ersten Steuereinheit
ausgebildet; ferner sind eine erste logische Verknüpfung zum
Bilden eines Aktivierungssignals für das mindestens eine erste
Schaltmittel abhängig
von einem Steuersignal der ersten Steuereinheit und vom zweiten Freigabesignal
und eine zweite logische Verknüpfung
zum Bilden eines Aktivierungssignals für das mindestens eine zweite Schaltmittel
abhängig
von einem Steuersignal der zweiten Steuereinheit und vom ersten
Freigabesignal vorgesehen. In die Aktivierung des mindestens einen ersten
sowie des mindestens einen zweiten Schaltmittels fliessen also jeweils
sowohl ein Steuersignal der ersten als auch ein Signal der zweiten
Steuereinheit ein. Durch die logische Verknüpfung wird sichergestellt,
dass nur bei vorhandenen Steuersignalen der ersten und zweiten Steuereinheit
das mindestens eine erste sowie das mindestens eine zweite Schaltmittel
geschlossen oder aktiviert werden kann.
-
Vorzugsweise
umfassen die erste und zweite logische Verknüpfung jeweils eine logische UND-Funktion.
Eine UND-Funktion ist beispielsweise mit einem einzelnen Transistor
realisierbar und daher kostengünstig
zu implementieren.
-
Insbesondere
ist das mindestens eine Eingangssignal der ersten Steuereinheit
und der zweiten Steuereinheit mindestens ein Sensorsignal. Die zweite
Steuereinheit ist ausgebildet, um das mindestens eine zweite Freigabesignal
für das
mindestens eine erste Schaltmittel abhängig von dem mindestens einen
Sensorsignal zu erzeugen. Eine Freigabe erfolgt hier also erst nach
Detektion eines Sensorsignals. Hierdurch wird eine besonders hohe
Sicherheit vor unerwünschten
Aktivierungen eines Aktuators der Sicherheitseinrichtung erzielt.
Das Sensorsignal kann beispielsweise von einem Beschleunigungs-, Druck-
oder sonstigen für
Sicherheitsbelange im Fahrzeug eingesetzten Sensor stammen. Beispielsweise
wird hierdurch einem Airbag-Insassenschutzsystem ein Freigabesignal
erst erzeugt werden, wenn ein Beschleunigungssensorsignal auftritt.
-
Die
erste Steuereinheit ist in einer bevorzugten Ausführungsform
ausgebildet, um zu Prüfzwecken
mindestens ein Ansteuersignal für
mindestens einen Sensor zu erzeugen, der das mindestens eine Eingangssignal
für die
erste und/oder zweite Steuereinheit generiert. Der mindestens eine
Sensor kann bei dieser Ausführungsform
also gezielt stimuliert werden, um ein Ausgangssignal zu liefern,
das als Eingangssignal von der ersten und/oder zweiten Steuereinheit
verarbeitet werden kann. Dadurch ist es möglich, das Verhalten und insbesondere
die korrekte Funktion der beiden Steuereinheiten zu überprüfen.
-
Insbesondere
ist die zweite Steuereinheit ausgebildet, um das mindestens eine
Ansteuersignal der ersten Steuereinheit für den mindestens einen Sensor
zu überwachen
und das mindestens eine zweite Freigabesignal und/oder das mindestens
eine Steuersignal zu deaktivieren, falls sie nach einer Prüfphase der
Vorrichtung das mindestens eine Ansteuersignal detektiert, um einen
Aktivierungspfad für den
mindestens einen Aktuator zu sperren. Im laufenden Betrieb der Vorrichtung
zum Steuern der Sicherheitseinrichtung können durch die erste Steuereinheit
Funktionstests durchgeführt
werden. Hierbei ist sicherzustellen, dass ein Aktuator auf keinen
Fall durch die Funktionstests aktiviert wird. Dies wird hier dadurch
gewährleistet,
dass die zweite Steuereinheit das mindestens eine Ansteuersignal
der ersten Steuereinheit überwacht
und ggf. den Aktivierungspfad für
den mindestens einen Aktuator sperrt.
-
Während einer
Prüfphase
der Vorrichtung muss umgekehrt gewährleistet sein, dass der Aktivierungspfad
teilweise freigegeben ist, um möglichst Tests
des Pfades durchführen
zu können.
Hierzu ist die zweite Steuereinheit vorzugsweise ausgebildet, um
das mindestens eine Ansteuersignal der ersten Steuereinheit für den mindestens
einen Sensor zu überwachen
und das mindestens eine zweite Freigabesignal zu deaktivieren, falls
sie während
einer Prüfphase
der Vorrichtung das mindestens eine Ansteuersignal detektiert, um
einen Aktivierungspfad für
den mindestens einen Aktuator teilweise freizugeben.
-
In
einer besonders bevorzugten Ausgestaltung ist die zweite Steuereinheit
zur Funktionsüberprüfung der
ersten Steuereinheit ausgebildet. Die zweite Steuereinheit kann
beispielsweise eine Überwachungseinheit
wie eingangs erwähnt
bilden, welche die erste Steuereinheit in ihrer Funktion überwacht.
Derartige Überwachungseinheiten
sind in vielen Sicherheitseinrichtungen wie Insassenschutzsystemen
vorgesehen, um zumindest während
einer Initialisierungsphase eines Steuergeräts die zentrale Steuereinheit
zu überprüfen.
-
Weiterhin
kann in der zweiten Steuereinheit ferner ein Basisalgorithmus zum
Aktivieren eines oder mehrerer Aktuatoren der Sicherheitseinrichtung abhängig vom
mindestens einen Eingangssignal implementiert sein. Denkbar wäre beispielsweise,
dass eine bereits vorhandene Überwachungseinheit,
die als Mikroprozessor ausgebildet ist, zur zweiten Steuereinheit
weiter ausgebildet wird, indem ihre Betriebssoftware um Funktionen
zum Steuern der Sicherheitseinrichtung erweitert wird. Hierzu sind
keine umfangreichen Änderungen
der Hardware erforderlich, da sich die Anpassungen vor allem auf
die Software beschränken.
-
Um
zu bewerkstelligen, dass die beiden Steuereinheiten in der Prüf- oder
Testphase möglichst
synchron die Schaltmittel ansteuern, sind die erste und zweite Steuereinheit
vorzugsweise ausgebildet, um sich insbesondere während einer Initialisierungshase
der Sicherheitseinrichtung ereignisgesteuert zueinander zu synchronisieren.
In diesem Fall ist keine Befehlsübertragung
zwischen den beiden Steuereinheiten zum Synchronisieren erforderlich.
Statt dessen kann alleine anhand von Ereignissen synchronisiert
werden, die z.B. Signalflanken von bestimmten Test-, Prüf- oder
Statussignalen sein können.
-
Insbesondere
ist die erste Steuereinheit ausgebildet, um zum ereignisgesteuerten
Synchronisieren mindestens einen Sensor anzusteuern, der das mindestens
eine Eingangssignal für
die erste und zweite Steuereinheit erzeugt. Es werden also ein oder
mehrere Sensoren von der ersten Steuereinheit derart stimuliert,
dass sie Ausgangssignale liefern, die den Ausgangssignalen ähneln oder
entsprechen, die auch im normalen Betriebsfall auftreten können. Anhand
dieser Ausgangssignale kann dann die Synchronisation erfolgen.
-
Beispielsweise
kann die erste Steuereinheit ausgebildet sein, um zum ereignisgesteuerten
Synchronisieren ein Signal zum Ansteuern des mindestens einen Sensors
und der zweiten Steuereinheit zu erzeugen, die Zeitdauer bis zum
Empfang eines Statussignals zu messen und sich entsprechend der
gemessenen Zeitdauer mit der zweiten Steuereinheit zu synchronisieren.
-
Die
zweite Steuereinheit ist vorzugsweise ausgebildet, um während einer
ereignisgesteuerten Synchronisation das Steuersignal zum Bilden
des Aktivierungssignals für
das mindestens zweite Schaltmittel und/oder das zweite Freigabesignal
zu deaktivieren. Hierdurch wird vermieden, dass beim Ablauf eines
Synchronisationsvorgangs beispielsweise aufgrund eines fehlerhaften
Steuer- und/oder Freigabesignals der ersten Steuereinheit eine Aktivierung
eines oder gar mehrerer Aktuatoren der Sicherheitseinrichtung erfolgt.
-
Um
eine besonders hohe Ausfall- und Fehlersicherheit zu erzielen, sind
die erste und zweite Steuereinheit gesonderte Bauelemente, d.h. „physikalisch" getrennte Einheiten,
beispielsweise zwei Mikrokontroller oder -prozessoren mit jeweils
eigenem Gehäuse,
oder zumindest „physikalisch" getrennte integrierte
Schaltungen in einem Gehäuse.
-
Ebenso
können
zum Erhöhen
der Ausfall- und Fehlersicherheit das mindestens eine erste Schaltmittel
als ein erstes Bauelement und das mindestens eine zweite Schaltmittel
als ein zweites gesondertes Bauelement ausgebildet sein.
-
In
einer bevorzugten Ausführungsform
ist das mindestens eine erste Schaltmittel ein Transistor und das
erste Bauelement ein ASIC, das eine Ansteuerlogik für das mindestens
eine erste Schaltmittel aufweist. Als Transistor kann beispielsweise
ein Leistungs-MOSFET eingesetzt werden, über dessen Laststrecke die
für die
Zündung
einer Airbag-Zündpille
erforderlichen hohen Ströme
fliessen können.
-
Weiterhin
können
die erste und zweite Steuereinheit ausgebildet sein, um das mindestens
eine erste Freigabesignal bzw. das mindestens eine zweite Freigabesignal
für eine
bestimmte Zeitdauer und/oder unmittelbar oder zeitlich versetzt
nach Detektion eines Eingangssignals zu erzeugen.
-
Um
eine Aktivierung eines Aktuators der Sicherheitseinrichtung während einer
Test- oder Prüfphase
zu vermeiden, sind die erste und zweite Steuereinheit vorzugsweise
derart ausgebildet, dass eine Prüfung
von einem oder mehreren das mindestens eine Eingangssignal erzeugenden
Sensoren nur bei gesperrtem mindestens einem ersten oder zweiten Schaltmittel
erfolgen kann.
-
In
einer bevorzugten Ausführungsform
der Erfindung ist in der ersten Steuereinheit ein Basisalgorithmus
zur Funktionsüberprüfung der
zweiten Steuereinheit implementiert. Dadurch kann die Ausfall-Sicherheit
der gesamten Vorrichtung weiter verbessert werden, da nicht nur
ein Ausfall der ersten, sondern auch ein Ausfall der zweiten Steuereinheit beispielsweise
während
einer Prüfphase
detektiert werden kann.
-
Die
Erfindung betrifft ferner ein Verfahren zum Steuern einer Sicherheitseinrichtung
für ein Fahrzeug,
umfassend
Bereitstellen von mindestens einem ersten Schaltmittel
und mindestens einem zweiten Schaltmittel zum Aktivieren von mindestens
einem Aktuator der Sicherheitseinrichtung,
Bereitstellen von
einer ersten Steuereinheit zum Auslösen der Sicherheitseinrichtung
und zum Steuern des mindestens einen ersten Schaltmittels der Sicherheitseinrichtung
und
Bereitstellen von einer zweiten Steuereinheit zur Funktionsüberprüfung der
ersten Steuereinheit und zum Steuern des mindestens einen zweiten
Schaltmittels der Sicherheitseinrichtung;
die erste Steuereinheit
wertet zum Auslösen
der Sicherheitseinrichtung Eingangssignale von zwei oder mehr von
mindestes zwei unabhängigen
Sensoren aus, und
die zweite Steuereinheit wertet zum Auslösen der
Sicherheitseinrichtung Eingangssignale von mindestes einem oder
mehreren unabhängigen
Sensoren aus, wobei es sich in einer bevorzugten Ausführungsform bei
dem mindestens einem Eingangssignal um eine Untermenge aus den mindestens
zwei Eingangssignalen der ersten Steuereinheit handelt. Dadurch kann
eine hohe Sicherheit vor einem unerwünschten Aktivieren des mindestens
einen Aktuators beispielsweise im Falle eines fehlerhaften Eingangssignals
erzielt werden.
-
Um
die Sicherheit weiter zu erhöhen,
kann die erste Steuereinheit mindestens ein erstes Freigabesignal
für das
mindestens eine zweite Schaltmittel unabhängig von der zweiten Steuereinheit
und die zweite Steuereinheit mindestens ein zweites Freigabesignal
für das
mindestens eine erste Schaltmittel unabhängig von der ersten Steuereinheit
erzeugen. Durch eine erste logische Verknüpfung kann dann ein Aktivierungssignal
für das
mindestens eine erste Schaltmittel abhängig von mindestens einem Steuersignal
der ersten Steuereinheit und vom mindestens einen zweiten Freigabesignal
und durch eine zweite logische Verknüpfung kann ein Aktivierungssignal
für das
mindestens eine zweite Schaltmittel abhängig von mindestens einem Steuersignal
der zweiten Steuereinheit und vom mindestens einem ersten Freigabesignal
gebildet werden.
-
Vorzugsweise
synchronisieren sich die erste und zweite Steuereinheit ereignisgesteuert
insbesondere während
einer Initialisierungs- oder Prüfphase der
Sicherheitseinrichtung zueinander.
-
Die
erste Steuereinheit steuert zum ereignisgesteuerten Synchronisieren
beispielsweise mindestens einen Sensor an, der das mindestens eine
Eingangssignal für
die erste und zweite Steuereinheit erzeugt.
-
In
einer bevorzugten Ausführungsform
erzeugt die erste Steuereinheit zum ereignisgesteuerten Synchronisieren
ein Signal zum Ansteuern des mindestens einen Sensors und der zweiten
Steuereinheit, misst die Zeitdauer bis zum Empfang eines Statussignals
und synchronisiert sich entsprechend der gemessenen Zeitdauer mit
der zweiten Steuereinheit.
-
Um
ein Aktivieren des mindestens einen Aktuators der Vorrichtung insbesondere
während
dem Synchronisieren zu verhindern, kann die zweite Steuereinheit
während
einer ereignisgesteuerten Synchronisation das Steuersignal zum Bilden
des Aktivierungssignals für
das mindestens eine zweite Schaltmittel und/oder das zweite Freigabesignal deaktivieren.
-
Die
erste und zweite Steuereinheit können das
mindestens eine erste Freigabesignal bzw. das mindestens eine zweite
Freigabesignal für
eine bestimmte Zeitdauer und/oder unmittelbar oder zeitlich versetzt
nach Detektion eines Eingangssignals erzeugen.
-
Insbesondere
führen
die erste und zweite Steuereinheit eine Prüfung von einem oder mehreren das
mindestens eine Eingangssignal erzeugenden Sensoren nur bei gesperrtem
mindestens einem ersten oder zweiten Schaltmittel durch.
-
Weitere
Vorteile und Anwendungsmöglichkeiten
der vorliegenden Erfindung ergeben sich aus der nachfolgenden Beschreibung
in Verbindung mit dem in den Zeichnungen dargestellten Ausführungsbeispielen.
-
In
der Beschreibung, in den Ansprüchen,
in der Zusammenfassung und in den dazugehörenden Zeichnungen werden die
in der hinten angeführten Liste
der Bezugszeichen verwendeten Begriffe und zugeordneten Bezugszeichen
verwendet.
-
Die
Zeichnungen zeigen in
-
1 ein
Blockschaltbild zur Erläuterung
der Funktion der Erfindung,
-
2 ein
erstes Ausführungsbeispiel
einer Schaltungsanordnung gemäß der Erfindung;
-
3 ein
Ausführungsbeispiel
eines Ablaufs eines Prüfverfahrens,
bei dem eine ereignisgesteuerte Synchronisation von Steuer- und Überwachungseinheit
gemäß der Erfindung
erfolgt;
-
4 eine
zweites Ausführungsbeispiel
einer Schaltungsanordnung gemäß der Erfindung;
und
-
5 ein
Ausführungsbeispiel
eines UND-Gatters für
den Einsatz in einer Schaltungsanordnung gemäß der Erfindung.
-
1 zeigt
ein Blockschaltbild mit zwei Sensoren S3 und S4, die unabhängige Beschleunigungssensoren
sind, d.h. voneinander unabhängig
eine Ausgangssignal erzeugen können.
Die Sensoren S3 und S4 sind in einem zentralen Steuergerät (siehe Bezugszeichen 1 in 2)
einer Fahrzeugssicherheitseinrichtung in einem Winkel von ± 45° zur Fahrzeuglängsachse
in bekannter Weise angeordnet. Ferner sind unabhängige Satellitensensoren S1
und S2 vorgesehen, die beispielsweise im Seitenbereich, z.B. in
den Türen,
im Front- oder Heckbereich des Fahrzeugs angeordnet sein können. Die
Signale der vier Sensoren S1 bis S4 werden sowohl einer ersten Steuereinheit 3 als
auch einer zweiten Steuereinheit 5 des Steuergeräts zugeführt. Beide
Steuereinheiten 3 und 5 sind beispielsweise in
Form von Mikroprozessoren oder ASICs implementiert und führen Basisalgorithmen
zum Erzeugen eines Auslösesignals
für einen
Aktuator der Fahrzeugssicherheitseinrichtung, beispielsweise einen
Airbag, aus. Zum Erzeugen eines Auslösesignals benötigt die
erste Steueeinheit 3 mindestens zwei korrekte der vier
zugeführten
Signale, beispielsweise benötigt
sie mindestens ein korrektes Signal der beiden Sensoren S3 und S4
und zusätzlich
ein korrektes Signal der beiden Satellitensensoren S1 und S2 zum
Plausibilisieren des einen korrekten Signals der beiden Signale
der Sensoren S3 und S4. Die zweite Steuereinheit 5 benötigt dagegen
bei diesem Ausführungsbeispiel
nur ein korrektes Signal der zugeführten Signale der Sensoren
S1 bis S4; dieses eine Signal kann auch eine Untermenge der von
der ersten Steuereinheit 3 verarbeiteten korrekten Signale
sein. Hierdurch wird die Gefahr einer unerwünschten Auslösung des
Aktuators aufgrund eines fehlerhaften Sensorsignals verringert. An
dieser Stelle sei angemerkt, dass beide Steuereinheiten auch unterschiedliche
Signale aus der Menge der Eingangssignale verarbeiten können, z.B. die
erste Steuereinheit 3 Signale der Sensoren S1 und S3 und
die zweite Steuereinheit 5 ein Signal des Sensors S4.
-
Beide
Steuereinheiten 3 und 5 müssen zum gleichen Verarbeitungsergebnis
gelangen, d.h. entweder ein Auslösesignal
aktivieren oder deaktivieren abhängig
von ihren jeweiligen Eingangssignalen. Die Verarbeitung von den
Signalen ist in 1 durch logische Funktionen 20 und 21 angedeutet.
Die erste logische Funktion 20, die durch die erste Steuereinheit 3 implementiert
wird, verarbeitet ähnlich
einer logischen UND-Verknüpfung
wenigstens zwei korrekte von vier Eingangssignalen. Durch die UND-Verknüpfung wird
angedeutet, dass zwei oder mehr Eingangssignale eine Auslösung bzw.
Aktivierung des Aktuators signalisieren müssen, damit von der ersten Steuereinheit 3 ein
aktives Auslösesignal
erzeugt wird. Die zweite logische Funktion 21, die durch
die zweite Steuereinheit 5 implementiert wird, verarbeitet ähnlich einer
logischen ODER-Verknüpfung
wenigstens ein korrektes der zugeführten Eingangssignale. Durch
die ODER-Verknüpfung
wird angedeutet, dass es ausreicht, wenn bereits ein oder auch zwei
Eingangssignale eine Auslösung
bzw. Aktivierung des Aktuators signalisieren, dass die zweite Steuereinheit 5 ein
aktives Auslösesignal
erzeugt. Die von der ersten und zweiten Steuereinheit 3 und 5 erzeugten Auslösesignale
werden schließlich
mittels einer dritten logischen Funktion 22 verknüpft, um
ein Auslösesignal
für den
Aktuator zu erzeugen.
-
Durch
die oben erläuterte
Verarbeitungsstrategie kann die Gefahr verringert werden, dass bereits ein
einziges fehlerhaftes Eingangssignal eine Auslösung des Aktuators bewirkt.
-
2 zeigt
nun detailliert eine Schaltungsanordnung, die in einem Steuergerät 1 einer
Fahrzeugsicherheitseinrichtung wie beispielsweise einem Airbag-Insassenschutzsystem
eingesetzt wird. Die Schaltungsanordnung umfasst eine Sicherheitseinrichtung 2,
eine Steuereinheit 3 (erste Steuereinheit, Master-μP), eine Überwachungseinheit 5 (zweite Steuereinheit,
Slave-μP)
und ein Netzteil 8. An das Steuergerät 1 sind ein oder
mehrere Sensoren 10, 1.1 angeschlossen, die beispielsweise
Beschleunigungssensoren sind (zentraler Beschleunigungssensor 10 und
Satellitensensoren 1.1) und Eingangssignale für die erste
und zweite Steuereinheit 3 bzw. 5 liefern. Hier
liefert der Sensor 10 zwei Ausgangssignale, die von zwei
abhängigen
Sensoren stammen. Dies ist beispielsweise dann der Fall, wenn der
Sensor 10 zwei jeweils in einem Winkel von etwa 45° zur Fahrzeugslängsachse
angeordnete Beschleunigungsaufnehmer umfasst, die in einem gemeinsamen
Gehäuse
untergebracht sind und beide mit derselben Versorgung verbunden
sind. Bei einem Ausfall der Versorgung liefern dann beide Beschleunigungsaufnehmer
fehlerhafte Eingangssignale an die Steuereinheit 3 und
die Überwachungseinheit 5.
Dagegen werden die Satellitensensoren 1.1 von jeweils einer
eigenen Versorgung unabhängig
voneinander versorgt. Ein Ausfall der Versorgung des einen Sensors 1.1 muss
daher nicht zwangsläufig
die Versorgung des anderen Sensors 1.1 beeinträchtigen.
Die Signale der Sensoren 1.1 sind daher unabhängig voneinander
im Sinne dieser Beschreibung.
-
Eine
Steuereinheit ist vorzugsweise als ein Mikroprozessor mit einem
Auslösealgorithmus
oder als ein ASIC ausgebildet, das eine Ablaufsteuerung und/oder
eine einfache Auswerte- oder Signalverarbeitungseinheit implementiert
hat.
-
Das
Netzteil 8 erzeugt aus einer Bordspannung eine Zündspannung,
die zum Zünden
eines Aktuators 7 dient, der an das Steuergerät 1,
genauer gesagt an die Sicherheitseinrichtung 2 angeschlossen
ist. Die Zündspannung
wird einem Kondensator 8.1 (Energiespeicher) eines Aktivierungspfades
(dicke Linie) der Sicherheitseinrichtung 2 zugeführt, um diesen
zu laden. Die im Kondensator 8.1 gespeicherte Energie kann
im Bedarfsfall über
ein zweites Schaltmittel 6 einer Ansteuerung 4 des
Aktuators 7 der Sicherheitseinrichtung 2 zugeführt werden.
-
Der
Aktivierungspfad der Sicherheitseinrichtung 2 umfasst neben
dem Energiespeicher 8.1 und dem zweiten Schaltmittel 6 erste
Schaltmittel 4.1 und 4.2, die hier Teil der Ansteuerung 4 sind.
Die ersten Schaltmittel 4.1 und 4.2 können aus
Sicherheitsgründen
redundant ausgeführt
sein und beispielsweise in einem ASIC zusammen mit einer Ansteuerlogik
integriert sein. Der Aktuator 7, der beispielsweise ein Zündmittel
zum Aufblasen eines Airbags oder zum Auslösen eines Gurtstrammers oder
automatischen Überrollschutzbügels sein
kann, ist an die Ansteuerung 4 angeschlossen und zwischen
die beiden ersten Schaltmitteln 4.1 und 4.2 geschaltet.
-
Die
Schaltmittel 6, 4.1, 4.2 und der Aktuator 7 sind
in Reihe geschaltet. Eine Zündung
des Aktivierungspfades der Sicherheitseinrichtung 2 im
Falle eines Unfalles, beispielsweise eines Frontalzusammenstosses
oder eines Überrollvorganges,
erfolgt daher durch das gleichzeitige Schließen aller sich im Aktivierungspfad
der Sicherheitseinrichtung 2 befindlichen Schaltmittel 4.1, 4.2 und 6.
In diesem Fall entlädt
sich der Kondensator 8.1 über den Aktivierungspfad, d.h. über die
Schaltmittel 6, 4.1 und 4.2 und den Aktuator 7 auf
Masse. Beim Entladungsvorgang fließt ein so hoher elektrischer
Strom über
den Aktuator 7, dass dieser aktiviert wird, z.B. im Falle
einer Zündpille
eine Zündung
erfolgt.
-
Zum
Aktivieren werden sowohl Aktivierungs- als auch Freigabesignale
benötigt,
die von der Steuer- und der Überwachungseinheit 3 bzw. 5 generiert werden.
Die ersten Schaltmittel 4.1 und 4.2 der Ansteuerung 4 werden
maßgeblich
von der Steuereinheit 3 und das zweite Schaltmittel 6 wird
maßgeblich von
der Überwachungseinheit 5 mittels
Aktivierungssignalen aktiviert. Weiterhin werden zur Aktivierung der
entsprechenden Schaltmittel 4.1, 4.2, 6 jeweils zeitgleich
zu den Aktivierungssignalen mindestens zwei Freigabesignale benötigt, die
jeweils von der Steuereinheit 3 bzw. der Überwachungseinheit 5 unabhängig voneinander
erzeugt werden. Hierbei sei angemerkt, dass die Steuereinheit 3 und
die Überwachungseinheit 5 jeweils
für sich
eigenständig
funktionsfähig
sind, vor allem im SW-Programmablauf bzw. im Programmablauf des
Algorithmus zur Aktivierungsentscheidung. Insbesondere ist in der Überwachungseinheit 5 ein
Basisalgorithmus implementiert, der ebenfalls wie der in der Steuereinheit 3 implementierte
Algorithmus zur Aktivierung des Aktuators 7 anhand von
Eingangssignalen 1.2 und 3.2 der Sensoren 1.1 bzw. 10 eingerichtet
ist. Die unabhängigen Eingangssignale 3.2 und 1.2 von
den unabhängigen Sensoren 10 bzw. 1.1 werden
also sowohl von der Steuereinheit 3 als auch der Überwachungseinheit 5 verarbeitet,
so dass von beiden Einheiten 3 und 5 unabhängig voneinander
Steuer- und Freigabesignale parallel erzeugt werden. Hier sei angemerkt,
dass beide Einheiten 3 und 5 nicht zwangsläufig dieselben Eingangssignale
erhalten müssen;
stattdessen kann beispielsweise die Überwachungseinheit 5 auch durchaus
mit einer Untermenge der Eingangssignale der Steuereinheit 3 Ausgangssignale
zum Freigeben und Steuern der Schaltmittel erzeugen.
-
Im
folgenden wird nun die Erzeugung von Steuersignalen und Freigabesignalen
durch die Steuer- und Überwachungseinheit 3 bzw. 5 und
deren Zusammenwirken beim Aktivieren des Aktuators 7 erläutert.
-
Die
Steuereinheit 3 erzeugt abhängig von den Eingangssignalen 1.2 und/oder 3.2 insgesamt drei
Steuersignale, ein Master-Steuersignal (4.0.1) und zwei
Slave-Steuersignale (4.1.1, 4.2.1) für die beiden
ersten Schaltmittel 4.1 und 4.2, sowie ein erstes
Freigabesignal (Master-Steuerleitung 6.0.1 für das zweite
Schaltmittel 6), das mit einem Steuersignal (Slave-Steuerleitung 6.0.2 für das zweite
Schaltmittel 6) der Überwachungseinheit 5 logisch
verknüpft
wird. Die Erzeugung der Steuersignale und des ersten Freigabesignals
erfolgt hierbei wie in Zusammenhang mit 1 erläutert. Das
Master-Steuersignal der Steuereinheit 3 wird über eine
Master-Steuerleitung 4.0.1 einem UND-Gatter 11 zugeführt, das
es mit einem zweiten, über
eine Slave-Steuerleitung 4.0.2 von der Überwachungseinheit 5 empfangenen
Freigabesignal logisch verknüpft. Das
Ausgangssignal des UND-Gatters 11 steuert zwei weitere UND-Gatter 13 und 14,
die jeweils über eine
Steuerleitung 4.1.1 bzw. 4.2.1 Schaltsignale für die Schaltmittel 4.1 bzw. 4.2 von
der Steuereinheit 3 empfangen. Aufgrund der logischen Verknüpfung durch
die UND-Gatter 13 und 14 werden die ersten Schaltmittel 4.1 und 4.2 nur
aktiviert, d.h. geschlossen, wenn jeweils beide Eingangssignale
jedes der UND-Gatter 13 und 14 logisch HIGH sind.
Dies ist dann der Fall, wenn die Steuerleitungen 4.1.1 und 4.2.1 logische
HIGH-Signale führen
und gleichzeitig das Ausgangssignal des UND-Gatters 11 logisch HIGH
ist. Letzteres ist wiederum der Fall, wenn die Master-Steuerleitung 4.0.1 und
die Slave-Steuerleitung 4.0.2 jeweils ein logisches HIGH-Signal
führen. Dadurch
fließt
also eine Entscheidung der Überwachungseinheit 5 in
die Aktivierungsentscheidung der Steuereinheit 3 für die Schaltmittel 4.1 und 4.2 mit ein.
Die UND-Gatter 13 und 14 sind zusammen mit den
ersten Schaltmitteln 4.1 und 4.2 in der Ansteuerung 4 enthalten,
beispielsweise auf einem ASIC integriert.
-
Die Überwachungseinheit 5 erzeugt
abhängig
von den Eingangssignalen 1.2 und/oder 3.2 ein Steuersignal
für das
zweite Schaltmittel 6. Die Erzeugung des Steuersignals
und des zweiten Freigabesignals erfolgt hierbei wie in Zusammenhang
mit 1 erläutert.
Dieses Master-Steuersignal wird über
die Slave-Steuerleitung 6.0.2 einem UND-Gatter 12 zugeführt, das
dieses Signal mit dem ersten, über
die Master-Steuerleitung 6.0.1 zugeführten Freigabesignal der Steuereinheit 3 logisch
verknüpft.
Nur wenn beide Signale logisch HIGH sind, wird auch das Ausgangssignal
des UND-Gatters 12 logisch HIGH und schließt das zweite
Schaltmittel 6. In die Aktivierungsentscheidung der Überwachungseinheit 5 für das zweite
Schaltmittel 6 fließt
also eine Entscheidung der Steuereinheit 3 mit ein.
-
Aus
Sicherheitsgründen
wird hier das von den ersten Schaltmitteln 4.1 und 4.2 unabhängige und
physikalisch getrennte zweite Schaltmittel 6 maßgeblich
von der Überwachungseinheit 5 aktiviert (das
erste Freigabesignal von der Steuereinheit 3 kann allerdings
die Aktivierung verhindern), damit eine Fail-Safe-Funktion erzielt
wird. Eine derartige Fail-Safe-Funktion bedeutet, dass es bei einem
Fehler oder Ausfalls im Steuergerät 1, insbesondere
bei einer oder mehreren der Einheiten 3, 4 oder 5,
zu keiner Aktivierung des Aktuators 7 kommen darf. Ein Ausfall
soll „sicher" derart erfolgen,
dass die gesamte Sicherheitseinrichtung nicht fehlerhaft auslösen kann.
Die Fail-Safe-Funktion
ist hinsichtlich einer ungewollten Auslösung im Fehlerfall von wesentlicher Bedeutung,
insbesondere im Falle eines beliebigen Fehlers wie beispielsweise
im ASIC 4, das die ersten Schaltmittel 4.1, 4.2 enthält, oder
auch eines beliebigen Fehlers in der Steuereinheit 3. Durch
die entkoppelten bzw. physikalisch unabhängigen Pfade im Aktivierungspfad
als auch durch die entkoppelten bzw. physikalisch getrennten Pfade
in der Generierung von Ansteuersignalen für die ersten Schaltmittel 4.1 und 4.2 einerseits
und 6 andererseits soll sicher vermieden werden, dass es
zu einer unerwünschten Fehlauslösung der
Sicherheitseinrichtung kommen kann.
-
Insbesondere
beinhaltet der der Fail-Safe-Funktion zugrunde liegende Sicherheitsgedanke
auch den Fall, dass die Steuereinheit 3 nicht die Möglichkeit
besitzt, mittels einer Schnittstellenkommunikation oder mittels
einer Port-Verbindung zur Befehlsübertragung an die Überwachungseinheit 5 eine
Befehlssequenz zu senden, damit mit Hilfe der oder durch einen Umweg über die Überwachungseinheit 5 indirekt
eine fehlerhafte Aktivierung des zweiten Schaltmittels 6 und/oder
aller sich im Aktivierungspfad befindlichen Schaltmittel 4.1, 4.2 und 6 von
der Steuereinheit 3 initiiert werden kann.
-
Das
zweite Schaltmittel 6 kann im Aktivierungspfad der Sicherheitseinrichtung 2 maßgeblich von
der Überwachungseinheit 5 aktiviert
werden. Ferner besteht zwischen den physikalisch getrennten Einheiten 5 und 3 keine
direkte Möglichkeit,
dass von der Steuereinheit 3 über die Überwachungseinheit 5 eine
Aktivierung des zweiten Schaltmittels 6 ausschließlich und
unabhängig
von der jeweils anderen Einheit initiiert werden kann. Daher implementiert
neben der Steuereinheit 3 auch die Überwachungseinheit 5 einen
Basis-Algorithmus, damit z.B. im Falle eines Crashs oder Überrollvorgangs
eine Auslöseanforderung
der Fahrzeug-Sicherheitseinrichtung 1 abhängig von
einem oder mehreren Eingangsignalen 1.2 und 3.2 von
den Sensoren 1.1 und 10 umgesetzt werden kann,
indem sowohl die ersten Schaltmittel 4.1 und 4.2,
die der Steuereinheit 3 zugeordnet sind, als auch das zweite
Schaltmittel 6, das der Überwachungseinheit 5 zugeordnet
ist, gleichzeitig geschlossen werden können und den Aktivierungspfad zum
Aktivieren des Aktuators 7 freischalten.
-
Falls
die Überwachungseinheit 5 als
spezielle Logikschaltung in Form eines ASICs oder eines Low-Cost-Mikroprozessor
ausgebildet ist, sind in der Regel die Möglichkeiten einer individuellen
Prüfung mit
fein abgestuften Auswertemöglichkeiten
zum Teil begrenzt, so dass gewisse Überwachungsfunktionen der Steuereinheit 3 zugeordnet
werden sollten. Diese Aufgabentrennung, insbesondere bei zeitkritischen Prüfungen der
Schaltmittel 6, 4.1, 4.2 der Sicherheitseinrichtung 2,
bei denen teilweise sowohl die Überwachungseinheit 5 als
auch die Steuereinheit 3 beteiligt sind, erfordert, dass
zwischen den beiden Einheiten 3, 5 eine gewisse
Synchronisation besteht, damit der zeitliche Ablauf der Prüfung mit
den daraus resultierenden zeitlich kurzzeitig anstehenden Ergebnissen
und Statusinformationen (Statusleitung 82) ausgewertet
werden kann. Das daher zu lösende Synchronisationsproblem,
wie es im folgenden anhand von 3 beschrieben
wird, tritt insbesondere für
den Fall auf, dass die Steuereinheit 3 eine Prüf- oder Überwachungsfunktion
wahrnimmt, bei der die Prüfung
von der Überwachungseinheit 5 initiiert
wird, insbesondere die Prüfung
des zweiten Schaltmittels 6, da die Steuereinheit 3,
infolge der fehlenden Möglichkeit
zur Initialisierung der Prüfung
den exakten Prüfzeitpunkt
(Schließvorgang
des zweiten Schaltmittels 6) nicht selbst festlegt.
-
Weiterhin
kann das Synchronisationsproblem dadurch gelöst werden, dass die beschriebene Prüfung des
zweiten Schaltmittels 6 in die Prüf- oder Arbeitsequenz zeitlich
derart integriert wird, dass eine Synchronisation der beiden Einheiten 3 und 5 durch
eine vorangegangene unabhängige
Prüfung erfolgen
kann, bei der sowohl die Steuereinheit 3 als auch die Überwachungseinheit 5 beteiligt
sind bzw. sowohl die Steuereinheit 3 als auch die Überwachungseinheit 5 das
Initialisierungssignal 3.1' zur Prüfung oder
das Ergebnis daraus in Form eines Ausgangssignals 32' erfassen können.
-
Wie
in der 2 dargestellt und in der Beschreibung zur 3 näher erläutert wird
hier die Prüfung
des Sensors 10 verwendet. Zur Initialisierung der Prüfung wird
in der Initialisierungsphase des Steuergeräts 1 der Fahrzeug-Sicherheitseinrichtung ein
Steuersignal zur Initialisierung der Sensorprüfung mittels der Steuerleitung 3.1 von
der Steuereinheit 3 an den zu überprüfenden Sensor 10 übertragen.
Mittels der Prüfimpulsgenerierung über die
Steuerleitung 3.1 zur Prüfung des Sensors 10 besteht über die Überwachungseinheit 5 die
Möglichkeit,
eine Schließung
des weiteren Schaltmittels 6 zu generieren, so dass durch
die Überwachung
des Status oder des Pegels der Prüfimpulsgenerierung durch die Überwachungseinheit 5 eine
logische Differenzierung vorgenommen werden kann, indem die Überwachungseinheit 5
- – sofern
sie nach der erfolgten Selbsttestphase der Schaltungsanordnung ein
Ansteuersignal 3.1 erkennt, mindestens für eines
der der Überwachungseinheit 5 zugänglichen
Schaltmittel 6, 4.1, 4.2 ein Sperrsignal
erzeugt, und/oder eine vorgesehene Freigabe nicht erteilt, und/oder
ein bereits erteiltes Freigabesignal 6.0.2, 4.0.2 zurücknimmt, bzw.
- – sofern
sie während
der Selbsttestphase der Schaltungsanordnung ein Ansteuersignal 3.1 erkennt,
mindestens für
eines der der Überwachungseinheit 5 zugänglichen
Schaltmittel 6, 4.1, 4.2 ein Freigabesignal 6.0.2, 4.0.2 erzeugt.
-
3 zeigt
einen Prüfablauf,
bei dem die Synchronisation der Steuereinheit 3 (Master-μP) und der Überwachungseinheit 5 (Slave-μP) zueinander während der
kritischen sequentiell durchzuführenden Schalterprüfungen der
Sicherheitseinrichtung nicht mittels einer direkten Befehlsübermittlung
per Datenkommunikation erfolgt, sondern stattdessen ereignisgesteuert
gemäß der Erfindung
erfolgt, insbesondere anhand von Ereignissen, die während der
Initialisierungsphase auftreten.
-
In
den Prüfablauf
ist sowohl die Steuereinheit 3 (Master-μP) als auch die Überwachungseinheit 5 (Slave-μP) eingebunden.
Hierbei wird von der Steuereinheit 3 (Master-μP) mittels
der Steuerleitung 3.1 ein Steuersignal 3.1' zur Initialisierung
der Sensorprüfung
erzeugt. Daraufhin erscheint am Ausgang 3.2 (BA-Ausgang)
des Sensors 10 ein Ausgangssignal 3.2'. Die Initialisierung
der Prüfung
kann hierbei, wie in 3 gezeigt, sowohl flankengetriggert
als auch ereignisgetriggert erfolgen. Die Steuerleitung 3.1,
genauer gesagt das darüber
gesendete Initialisierungssignal 3.1' zur Sensorprüfung wird der Überwachungseinheit 5 (Slave-μP) am Eingang
zugeführt,
worauf diese das empfange Initialisierungssignal als Synchronisationssignal 16 verwendet,
um nach einer Verzögerungszeit Δt 9 das
erste Schaltmittel 6 für
Prüfzwecke
für einen
definierten Zeitbereich 17 von z.B. x μsec zu schließen. Das
von der Überwachungseinheit 5 initiierte
Schließen
des ersten Schaltmittels 6 bewirkt eine auswertbare Änderung,
d.h. ein auswertbares Ergebnissignal 8.2' mit einer Zeitdauer 18 von
z.B. ebenfalls etwa x μsec, insbesondere
eine Potentialänderung,
die als Status-Information 8.2' der Steuereinheit 3 zur
Auswertung zugeführt
wird. Hierzu pollt die Steuereinheit 3, beispielsweise über einen
sogenannten Capture-Input-Eingang, in einem vorgegebenen Toleranzbereich 9.1 von
z.B. einigen ms nach der Status-Information 8.2'' an ihrem Capture-Input-Eingang
und entscheidet anhand vom erfassten Signal, ob die Prüfung korrekt
oder fehlerhaft verlaufen ist. Beispielsweise wird bewertet, ob
die erwartete Statusinformation 8.2'' im
Toleranzbereich 9.1 mit der richtigen zeitlichen Länge 19,
d.h. Impulsdauer, erscheint ist. Eine Übereinstimmung wird als Kriterium
einer korrekten Schalterprüfung
als auch einer zeitlichen Übereinstimmung
der Arbeitssequenzen/Arbeitsfrequenzen der beiden an der Prüfung beteiligten
Einheiten 3 und 5 gewertet. Eine exakte Synchronisation
zwischen den an der Prüfung
des ersten Schaltmittels 6 beteiligten Einheiten 3 und 5 ist
u.a. auch deswegen erforderlich, da aus Gründen der Sicherheit die Prüfzeit beispielsweise
im 100 μsec-Bereich
bzw. die Schließzeit
des ersten Schaltmittels 6 sehr gering zu halten ist, da
die Schließzeit
geringer gewählt
ist als die kritische Zeit, die zur Aktivierung des Prüfmittels
(Aktuator 7) benötigt
wird.
-
Mittels
dieser ereignisgesteuerten bzw. von Ereignissen während der
Initialisierungsphase gesteuerten Synchronisation der Steuereinheit 3 zur Überwachungseinheit 5 und/oder
umgekehrt, insbesondere während
der kritischen sequentiell durchzuführenden Schaltmittelprüfungen der
Sicherheitseinrichtung 2, wird eine Möglichkeit geschaffen, bei der die
Synchronisation der Steuereinheit 3 zur Überwachungseinheit 5 nicht
mittels einer direkten Befehlsübermittlung
per Datenkommunikation erfolgen muss, sondern unabhängig von
einer Kommunikation und/oder Befehlsübertragung der Steuereinheit 3 zur Überwachungseinheit 5 und/oder
umgekehrt auf Basis einer Schnittstelle und/oder einer Port-Verbindung
stattfindet.
-
4 zeigt
eine Darstellung eines Steuergerätes
der erfindungsgemäßen Fahrzeug-Sicherheitseinrichtung, ähnlich zu
der in 2 dargestellten Anordnung, bei der eine Verriegelungsfunktion
durch Hardware implementiert ist. Da durch die Prüfimpulsgenerierung
zur Prüfung
der Sensoren 10 über
den Überwachungsrechner 5 indirekt
die Möglichkeit
besteht, eine Schließung
des ersten Schaltmittels 6 zu generieren, kann die Prüfung der
Sensoren 10 in der Initialisierungsphase bzw. während des
aktiven Betriebes der Fahrzeug-Sicherheitseinrichtung 1 nur dann
aktiviert werden, wenn sich die zweiten Schaltmittel 4.1, 4.2 der
Sicherheitseinrichtung 2 in einem verriegelten Zustand
befinden. Die Verriegelung der Schaltmittel 4.1 und 4.2 der
Sicherheitseinrichtung 2 kann hierbei entweder über Software-Routinen
erfolgen oder auch unabhängig
von den Software-Routinen durch eine Hardware-Schaltung erfolgen.
Die Hardware-Schaltung kann z.B. durch eine Logik- oder Auswahlschaltung
wie beispielsweise ein Flip-Flop mit Q- und invertiertem Q-Ausgang 5.1 implementiert
sein. Das Flip-Flop 5.1 sorgt dafür, dass eine gleichzeitige
Aktivierung der Prüfimpulsgenerierung
als auch der Aktivierung der Endstufenschalter 4.1, 4.2 der
Sicherheitseinrichtung 2 ausgeschlossen ist.
-
Nach
einem Systemstart, der nach Freigeben eines LOW-aktiven System-Resetsignals 15 erfolgt,
führt der
Q-Ausgang des Flip-Flops 5.1 ein LOW-Signal. Der Q-Ausgang
ist über
die Leitung 4.0.2 mit einem Eingang des UND-Gatters 11 verbunden.
Dadurch sind die zweiten Schaltmittel 4.1 und 4.2 gesperrt.
Da der Q-Quer-Ausgang zu diesem Zeitpunkt ein HIGH-Signal führt, kann
die Steuereinheit 3 ein Steuersignal zur Initialisierung
der Sensorprüfung
an den dafür
entsprechenden Eingang des Sensors 10 anlegen. Nach Abschluss
dieser Prüfungssequenz
kann die Überwachungseinheit 5 (Slave-μP) über den Set-Eingang das Flip-Flop 5.1 zum Wechseln
der Ausgangssignale am Q- und am Q-Quer-Ausgang veranlassen. Dadurch
können
ab diesem Zeitpunkt die Schaltmittel 4.1, 4,2 im
Bedarfsfall aktiviert werden; die Initialisierung der Sensorprüfung durch
das Steuersignal der Steuereinheit 3 ist dadurch jedoch
nicht mehr gegeben.
-
5 zeigt
eine Implementierung der Funktion eines UND-Gliedes für die UND-Gatter 11-14 der in
den 2 und 3 dargestellten Schaltungsanordnungen,
die einen geringen schaltungstechnischen Aufwand erfordert. Das
in 5 oben dargestellte UND-Gatter kann mit Hilfe
eines einzigen pnp-Bipolartransistors, der eine logische UND-Funktion
nachbildet, implementiert werden. Bei dieser Schaltung wird der
Ausgang des UND-Gliedes
durch den Kollektor des Transistors gebildet. Ein HIGH-Signal am
Ausgang wird dann erzeugt, wenn die Steuereinheit 3 ein
HIGH-Signal am Emitter des Transistors und zeitgleich die Überwachungseinheit 5 ein LOW-Signal
an der Transistor-Basis generiert.
-
- 1
- Steuergerät
- 1.1
- Satellitensensor
- 1.2
- Signalausgang
des Satellitensensors 1.1
- 2
- Sicherheitseinrichtung
- 3
- Steuereinheit
- 3.1
- Steuerleitung
zur Initialisierung der Sensorprüfung
- 3.1'
- Initialisierungssignal
für Sensorprüfung
- 3.2
- Signalausgang
des Sensors 10
- 3.2'
- Beschleunigungssensorausgangssignal
- 4
- ASIC
- 4.0.1
- Master-Steuerleitung
für die
Schaltmittel 4.1 und 4.2
- 4.0.2
- Slave-Steuerleitung
für die
Schaltmittel 4.1 und 4.2
- 4.0.3
- Steuerleitung
für die
Schaltmittel 4.1 und 4.2
- 4.1
- erstes
Schaltmittel des Aktivierungspfades
- 4.1.1
- Steuerleitung
für das
Schaltmittel 4.1
- 4.2
- erstes
Schaltmittel des Aktivierungspfades
- 4.2.1
- Steuerleitung
für das
Schaltmittel 4.2
- 5
- Überwachungseinheit
- 5.1
- Set-Reset-Flip-Flop
- 6
- zweites
Schaltmittel des Aktivierungspfades
- 6'
- Steuersignal
für zweites
Schaltmittel 6
- 6.0.1
- Master-Steuerleitung
für das
zweite Schaltmittel 6
- 6.0.2
- Slave-Steuerleitung
für das
zweite Schaltmittel 6
- 6.0.3
- Steuerleitung
für das
zweite Schaltmittel 6
- 7
- Zündmittel
- 8
- Netzteil
- 8.1
- Kondensator
- 8.2
- Status-Leitung
- 8.2'
- Statussignal
- 8.2''
- Statussignal
am Eingang der Steuereinheit 3
- 9
- Verzögerungszeit Δt
- 9.1
- Toleranzbereich
- 10
- Sensor
- 11-14
- UND-Gatter
- 15
- System-Reset
- 16
- Synchronisationssignal
für Überwachungseinheit 5
- 17
- Signaldauer
des Steuersignals 6'
- 18
- Signaldauer
des Statussignals 8.2'
- 19
- Signaldauer
des Statussignals 8.2''
- 20
- erste
logische Funktion
- 21
- zweite
logische Funktion
- 22
- dritte
logische Funktion
- S1-S2
- Satellitensensoren
- S3-S4
- zentral
im Fahrzeug angeordnete Sensoren