-
Stand der Technik
-
Die Erfindung geht aus von einem Sicherheitsverfahren für ein Insassenschutzsystem nach der Gattung des unabhängigen Patentanspruchs 1.
-
Ein wichtiges Element eines Sicherheitskonzepts für ein Insassenschutzsystem, beispielsweise ein Airbagsystem, bildet ein Überwachungsverfahren für einen korrekten Programmablauf im zugehörigen Steuergerät mit einer Steuereinheit und einer Watchdog-Einheit. Damit soll ein Fehlerzustand der Steuereinheit möglichst früh erkannt werden, um unkontrollierte Aktionen des Steuergerätes zu verhindern. Die externe Watchdog-Einheit muss von dem in der Steuereinheit ablaufenden Programm in einem festen Zeitraster korrekt bedient werden. Um bei einer Störung der Steuereinheit eine Fehlauslösung des Insassenschutzsystems zu verhindern, wird bei einer erkannten Fehlbedienung der Watchdog-Einheit eine Auslöseeinheit des Insassenschutzsystems gesperrt.
-
Selbst wenn die Störung nur temporär ist und die Watchdog-Einheit nach einiger Zeit wieder korrekt bedient wird, bleibt die Auslöseeinheit bei bekannten Sicherheitsverfahren für Insassenschutzsysteme bis zum Ende des aktuellen Betriebszyklus gesperrt, d. h. bis zum Ausschalten der Fahrzeugzündung, da sich die Steuereinheit, insbesondere ein Mikrocontroller und/oder RAM-Speicher und/oder Register, nicht in einem definierten, sicheren Zustand befinden. Dadurch können die die Fahrzeuginsassen bis zum Ausschalten des Steuergeräts nicht durch Airbags geschützt werden.
-
Da auch beim störungsfreien Betrieb nach dem Einschalten des Steuergerätes die Watchdog-Einheit erst nach Ablauf einer vorgebbaren Zeitspanne korrekt bedient wird, wird das dauerhafte Sperren der Auslöseeinheit nur bei einem Wechsel von einer korrekten Bedienung zu einer Fehlbedienung der Watchdog-Einheit aktiviert.
-
Aus der
DE 39 24 595 A1 ist eine Steueranordnung für ein Rückhaltesystem in Kraftfahrzeugen bekannt. Die Funktion der Steueranordnung für ein Rückhaltesystem in Kraftfahrzeugen wird durch eine Überwachungsschaltung permanent überwacht. Die Überwachungsschaltung überwacht ein von dem Mikrocomputer-Taktsignal abgeleitetes Prüfsignal mittels einer durch einen eigenen stabilen Oszillator angesteuerten Zähleinrichtung auf korrekte Frequenz. Die Überwachungsschaltung gibt ein Freigabesignal an den Mikrocomputer ab, wenn das Prüfsignal die korrekte Frequenz aufweist. Wenn das Prüfsignal als nicht korrekt gefunden wird, gibt die Überwachungsschaltung ein Ansteuersignal zur Aktivierung einer Kontrolllampe aus. Gleichzeitig wird die Abgabe des Auslösesignals an die Auslösevorrichtung verhindert. Damit das kurzzeitige Auftreten eines Fehlers nicht zur Funktionsuntüchtigkeit des Systems führt, ist vorgesehen, dass die Überwachungsschaltung nach dem Erkennen eines Fehlers ein Rücksetzsignal an den Mikrocomputer abgibt. Der Mikrocomputer wird dann neu gestartet und kann seine normale Funktion wieder aufnehmen, so lange keine Fehler auftreten. Dauert der Fehlerzustand an, gibt die Überwachungsschaltung periodisch Rücksetzsignal an den Mikrocomputer ab. Eine Fehlermeldung und eine Sperrung des Auslösesignals erfolgt auch dann, wenn die Überwachungsschaltung selbst ausfällt. Nachdem ein Fehler gemeldet wurde, gibt die Überwachungsschaltung über eine Leitung ein Rücksetzsignal an den Mikrocomputer ab. Durch dieses Rücksetzsignal wird der Mikrocomputer initialisiert und veranlasst, seinen Betrieb wiederaufzunehmen, was dann innerhalb einer kurzen Zeitspanne geschieht, sofern keine erneute Störung auftritt. Bei einer andauernden Störung gibt die Überwachungsschaltung periodisch Rücksetzsignale über eine Leitung an den Mikrocomputer ab.
-
Vorteile der Erfindung
-
Das erfindungsgemäße Sicherheitsverfahren für ein Insassenschutzsystem mit den Merkmalen des unabhängigen Patentanspruchs hat demgegenüber den Vorteil, dass das Sicherheitsverfahren durch eine Wiederholung einer Systemzustandüberprüfung optimal an verschiedene Arten von Störungen einer Steuereinheit angepasst werden kann. Dadurch kann in vorteilhafter Weise die Verfügbarkeit des Insassenschutzsystems wesentlich erhöht und die Sicherheit gegen eine ungewollte Fehlauslosungen, trotzdem voll erhalten werden. Außerdem kann in vorteilhafter Weise die Diagnosefähigkeit eines zugehörigen Steuergeräts des Insassenschutzsystems erhalten werden, auch wenn die Auslöseeinheit gesperrt ist. So werden beispielsweise einfache Störungen durch ein Zurücksetzen von mindestens einer Komponente des Insassenschutzsystems beseitigt. Temporäre Störungen, die nur eine gewisse Zeit auftreten, können durch die wiederholte Systemzustandsüberprüfung erkannt und die Verfügbarkeit des Insassenschutzsystems kann durch die Freigabe der Auslöseinheit wieder hergestellt werden, wenn die Störung nicht mehr vorliegt. Zudem bleibt die Auslöseeinheit beim Auftreten einer dauerhaften Störung gesperrt, um die Sicherheit gegen eine ungewollte Fehlauslosungen zu erhalten.
-
Durch die in den abhängigen Ansprüchen aufgeführten Maßnahmen und Weiterbildungen sind vorteilhafte Verbesserungen des im unabhängigen Patentanspruch angegebenen Sicherheitsverfahrens für ein Insassenschutzsystem möglich.
-
Besonders vorteilhaft ist, dass die Auslöseeinheit nach einem Einschaltvorgang und/oder nach dem Rücksetzvorgang der mindestens einen Komponente des Insassenschutzsystems bis zum Vorliegen des ersten Systemzustandes gesperrt wird. Dadurch kann sichergestellt werden, dass bei einem Einschaltvorgang oder beim Vorliegen einer Störung keine Fehlauslösung des Insassenschutzsystems erfolgen kann.
-
Weiterhin ist es von Vorteil, dass beim Auftreten einer Störung wenigstens die Steuereinheit, welche vorzugsweise einen Mikrocontroller umfasst, zurückgesetzt wird, wodurch einfache Fehler beseitigt werden können, wie beispielsweise ein durch statische Aufladung gekipptes Speicherbit. Zudem wird die Steuereinheit, insbesondere der Mirkocontroller und/oder RAM-Speicher und/oder Register, durch den Rücksetzvorgang in einen definierten Zustand versetzt.
-
In vorteilhafter Weise werden der Rücksetzvorgang der mindestens einen Komponente und/oder der Sperrvorgang der Auslöseeinheit von einer Überwachungseinheit durchgeführt, welche vorzugsweise als Watchdog-Einheit ausgeführt ist. Durch die außerhalb der Steuereinheit angeordnete Überwachungseinheit kann der ordnungsgemäße Betrieb der Komponenten des Steuergerätes überwacht werden.
-
So kann beispielsweise der erste Systemzustand erkannt werden, wenn eine korrekte Bedienung der Überwachungseinheit vorliegt. Der zweite Systemzustand kann beispielsweise erkannt werden, wenn eine Fehlbedienung der Überwachungseinheit vorliegt, wobei die Überwachungseinheit von der Steuereinheit bedient wird. Dadurch können in vorteilhafter Weise Störungen im Programmablauf der Steuereinheit erkannt werden, wenn durch den Programmablauf vorgesehene Bediensignale fehlerhaft von der Steuereinheit an die Überwachungseinheit übertragen werden.
-
In vorteilhafter Weise entspricht die definierte Zeitspanne einer maximalen Zeitdauer, welche die Steuereinheit nach einem Einschaltvorgang und/oder einem Rücksetzvorgang benötigt, um die Überwachungseinheit korrekt zu bedienen.
-
Durch eine zyklische Vorgabe der Zeitpunkte zur wiederholten Überprüfung des Systemzustandes mittels eines Zeitgebers kann das erfindungsgemäße Sicherheitsverfahren in vorteilhafter Weise einfach in einem Insassenschutzsystem implementiert werden.
-
Zeichnung
-
Ein Ausführungsbeispiel der Erfindung ist in der Zeichnung dargestellt und wird in der nachfolgenden Beschreibung näher erläutert.
-
Es zeigen
-
1 ein schematisches Blockdiagramm eines herkömmlichen Insassenschutzsystems, und
-
2 ein schematisches Blockdiagramm eines Insassenschutzsystems mit einem implementierten erfindungsgemäßen Sicherheitsverfahren.
-
Beschreibung
-
Sicherheitsverfahren für Insassenschutzsysteme überwachen einen korrekten Programmablauf in einer Steuereinheit mit einer Watchdog-Einheit. 1 zeigt ein schematisches Blockdiagramm eines solchen herkömmlichen Insassenschutzsystems 10. Die externe Watchdog-Einheit 3 muss von dem in der Steuereinheit 2 ablaufenden Programm in einem festen Zeitraster korrekt bedient werden. Um bei einer Störung der Steuereinheit 2 eine Fehlauslösung des Insassenschutzsystems 10 zu verhindern, wird bei einer erkannten Fehlbedienung der Watchdog-Einheit 3 eine Auslöseeinheit 1 des Insassenschutzsystems 10 dauerhaft bis zum nächsten Ausschaltvorgang des Insassenschutzsystems 10 gesperrt.
-
Um die Verfügbarkeit des Steuergerätes 2 zu erhöhen, ist ein Rücksetzkonzept bekannt, bei welchem bei einem Wechsel von einer Gutbedienung zu einer Fehlbedienung die Steuereinheit 2 und eventuell weitere Komponenten des Insassenschutzsystems 10 von der Watchdog-Einheit 3 zurücksetzt werden. Dadurch können einfache Störungen beim Programmablauf der Steuereinheit 2 beseitigt werden, beispielsweise das Kippen eines Speicherbits durch statische Aufladung. Besteht die Störung nach dem Rücksetzvorgang jedoch fort, d. h. wird die Watchdog-Einheit 3 innerhalb einer definierten Zeitspanne von der Steuereinheit 2 nicht korrekt bedient, dann wird die Auslöseeinheit 1 dauerhaft bis zum nächsten Ausschaltvorgang des Insassenschutzsystems 10 gesperrt.
-
Erfindungsgemäß wird vorgeschlagen, nach Ablauf der definierten Zeitspanne die Überprüfung, ob ein Übergang von einem zweiten in einen ersten Systemzustand innerhalb der definierten Zeitspanne erfolgt ist, zu vorgebbaren Zeitpunkten zu wiederholen. Bei einem erkannten Übergang vom zweiten in den ersten Systemzustand wird dann die Auslöseeinheit wieder freigegeben.
-
2 zeigt eine schematische Darstellung eines Insassenschutzsystems, in welchem das erfindungsgemäße Sicherheitsverfahren implementiert ist. Das dargestellte Insassenschutzsystem 10 umfasst zusätzlich zu den in 1 gezeigten Komponenten Auslöseeinheit 1, Steuereinheit 2 und Überwachungseinheit 3 einen Zeitgeber 4.
-
Bei den Komponenten eines Insassenschutzsystems 10 können grundsätzlich drei Arten von Störungen unterschiedenen werden. Eine einfache Störung, welche beispielsweise durch Kippen eines Speicherbits in Folge einer statischen Aufladung verursacht wird, eine temporäre Störung, welche nur für eine gewisse Zeitdauer vorliegt und beispielsweise durch eine elektromagnetische Einstrahlung während des Durchfahrens eines starken elektromagnetischen Feldes verursacht wird, und eine dauerharte Störung, welche beispielsweise durch einen defekten Transistor in der Steuereinheit 2 verursacht wird.
-
Um eine optimale Verfügbarkeit des Insassenschutzsystems 10 bei diesen Störungen zu erreichen, werden durch das erfindungsgemäße Sicherheitsverfahren Systemreaktionen ausgelöst, welche nachfolgend beschrieben werden. Bei einer einfachen Störung wird zunächst die Auslöseinheit 1 gesperrt und dann mindestens eine Komponente des Insassenschutzsystems 10 zurückgesetzt, vorzugsweise die Steuereinheit 2. Durch den Rücksetzvorgang wird die vorliegende einfache Störung innerhalb einer definierten Zeitspanne beseitigt und die Verfügbarkeit des Insassenschutzsystems 10 kann durch eine Freigabe der Auslöseinheit 1 wieder hergestellt werden.
-
Bei einer temporären Störung wird zunächst die Auslöseinheit 1 gesperrt und das System 10 zurückgesetzt. Anschließend wird zu vorgebbaren Zeitpunkten, welche beispielsweise zyklisch durch den Zeitgeber 4 vorgegeben werden, überprüft, ob die Störung noch vorliegt. Liegt die Störung nicht mehr vor, dann wird die Auslöseinheit 1 wieder freigegeben, wodurch die Verfügbarkeit des Insassenschutzsystems 10 wird hergestellt wird. Die Sicherheit ist gewährleistet, da das Insassenschutzsystem 10 nach der Störung durch den Rücksetzvorgang einen definierten Zustand einnimmt.
-
Bei einer dauerhaften Störung wird analog zum Vorliegen einer temporären Störung zunächst die Auslöseinheit 1 gesperrt und das System 10 zurückgesetzt. Anschließend wird zu vorgebbaren Zeitpunkten, welche beispielsweise zyklisch durch den Zeitgeber 4 vorgegeben werden, überprüft, ob die Störung noch vorliegt. Da bei einer dauerhaften Störung, die Störung bei jedem Überprüfungsvorgang erkannt wird, bleibt die Auslöseinheit 1 bis zum Ausschalten der Zündung gesperrt und die Sicherheit gegen eine versehentliche Auslösung des Insassenschutzsystems 10 ist gewährleistet. Die Steuereinheit 2 wird jedoch bei keiner der Störungsarten dauerhaft in einem zurückgesetzten Zustand gehalten, wodurch das zugehörige Insassenschutzsystem 10 trotz einer Störung weiterhin diagnosefähig bleibt.
-
Die Störungen werden von der als Watchdog-Einheit ausgeführten Überwachungseinheit 3 erkannt, wenn eine Fehlbedienung durch die Steuereinheit 2 vorliegt. Durch eine solche Fehlbedienung wechselt die Überwachungseinheit 3 vom Normalzustand in einen Fehlerzustand. Durch diesen Zustandwechsel führt die Überwachungseinheit 3 durch ein Rücksetzsignal Reset einen Rücksetzvorgang der Steuereinheit 2 durch. Zusätzlich können weitere Systemkomponenten durch das Rücksetzsignal Reset zurückgesetzt werden, beispielsweise die Auslöseinheit 1. Nach dem Zustandswechsel oder nach der Aktivierung des Rücksetzsignals Reset wird die Auslöseeinheit 1 von der Überwachungseinheit 3 gesperrt.
-
Erfolgt nach dem Rücksetzvorgang innerhalb der definierten Zeitspanne eine korrekte Bedienung der Überwachungseinheit 3 durch die Steuereinheit 2, d. h. eine so genannte „Gutbedienung”, dann wechselt die Überwachungseinheit 3 in den Normalzustand. Dies geschieht beispielsweise dann, wenn eine einfache Störung vorliegt, welche durch einen einfachen Rücksetzvorgang beseitigt werden kann. Nach dem Wechsel vom Fehlerzustand in den Normalzustand gibt die Überwachungseinheit 3 die Auslöseeinheit 1 frei und das Insassenschutzsystem 10 ist wieder voll verfügbar. Die definierte Zeitspanne entspricht beispielsweise einer maximalen Zeitdauer, welche eine störungsfreie Steuereinheit 2 benötigt, um die Überwachungseinheit 3 korrekt zu bedienen.
-
Erfolgt nach dem Zustandswechsel oder nach dem von der Überwachungseinheit 3 ausgelösten Rücksetzvorgang innerhalb einer definierten Zeitspanne keine korrekte Bedienung der Überwachungseinheit 3 durch die Steuereinheit 2, d. h. keine „Gutbedienung”, dann bleibt die Auslöseinheit 1 gesperrt und das Insassenschutzsystem 10 wird zu vorgebbaren Zeitpunkten wiederholt zurückgesetzt und auf eine Gutbedienung überprüft. Die vorgebbaren Zeitpunkte für die wiederholte Überprüfung auf eine Gutbedienung werden beispielsweise vom Zeitgeber 4 zyklisch vorgegeben.
-
Erfolgt nach einem erneuten Rücksetzvorgang innerhalb der definierten Zeitspanne eine korrekte Bedienung der Überwachungseinheit 3 durch die Steuereinheit 2, d. h. eine Gutbedienung, dann wechselt die Überwachungseinheit 3 in den Normalzustand. Nach dem Wechsel vom Fehlerzustand in den Normalzustand gibt die Überwachungseinheit 3 die Auslöseeinheit 1 frei und das Insassenschutzsystem 10 ist wieder voll verfügbar.
-
Der erneute Rücksetzvorgang und die folgende Überprüfung auf eine Gutbedienung wird in Abhängigkeit von den vom Zeitgeber 4 vorgegebenen Zeitpunkten so oft wiederholt, bis die Störung, in diesem Fall eine temporäre Störung, nicht mehr vorliegt und die Überwachungseinheit 3 in den Normalzustand wechselt und die Auslöseinheit 1 wieder freigibt.
-
Liegt eine dauerhafte Störung vor, dann wird der erneute Rücksetzvorgang und die folgende Überprüfung auf eine Gutbedienung in Abhängigkeit von den vom Zeitgeber 4 vorgegebenen Zeitpunkten so oft wiederholt, bis die Fahrzeugzündung ausgeschaltet wird, wobei die Auslöseeinheit 1 gesperrt bleibt.