DE102005057066B4 - Dualprozessoraufsichtssteuersystem für ein Fahrzeug - Google Patents

Dualprozessoraufsichtssteuersystem für ein Fahrzeug Download PDF

Info

Publication number
DE102005057066B4
DE102005057066B4 DE102005057066.6A DE102005057066A DE102005057066B4 DE 102005057066 B4 DE102005057066 B4 DE 102005057066B4 DE 102005057066 A DE102005057066 A DE 102005057066A DE 102005057066 B4 DE102005057066 B4 DE 102005057066B4
Authority
DE
Germany
Prior art keywords
value
processor
control system
vehicle control
actuator unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102005057066.6A
Other languages
English (en)
Other versions
DE102005057066A1 (de
Inventor
Thomas M. Forest
Kerfegar K. Katrak
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Motors Liquidation Co
Original Assignee
Motors Liquidation Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Motors Liquidation Co filed Critical Motors Liquidation Co
Publication of DE102005057066A1 publication Critical patent/DE102005057066A1/de
Application granted granted Critical
Publication of DE102005057066B4 publication Critical patent/DE102005057066B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • B60W50/045Monitoring control system parameters
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/0098Details of control systems ensuring comfort, safety or stability not otherwise provided for

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Fahrzeugsteuersystem, das umfasst:eine Aktuatoreinheit (20, 22, 24, 64, 66, 68); undein Fahrzeugsteuermodul (30, 50) zum Steuern der Aktuatoreinheit (20, 22, 24, 64, 66, 68) in Ansprechen auf eine Eingabe, wobei das Fahrzeugsteuermodul umfasst:einen ersten Prozessor (32, 48, 52), der ausgebildet ist, um:einen ersten Wert auf der Grundlage der Eingabe zu erzeugen;den ersten Wert zu der Aktuatoreinheit zu übertragen; undeinen zweiten Wert von der Aktuatoreinheit zu empfangen, der auf der Grundlage des ersten Wertes erzeugt wird, der durch die Aktuatoreinheit von dem ersten Prozessor empfangen wird;eine erste Kommunikationsverbindung (38, 46, 58), die mit dem ersten Prozessor gekoppelt ist; undeinen zweiten Prozessor (36, 44, 56), der mit dem ersten Prozessor über die erste Kommunikationsverbindung gekoppelt ist, wobei die erste Kommunikationsverbindung ausgebildet ist, um die Eingabe und den zweiten Wert zu dem zweiten Prozessor zu transferieren, wobei der zweite Prozessor ausgebildet ist, um:einen dritten Wert auf der Grundlage der Eingabe zu bestimmen; undden ersten Wert auf der Grundlage eines Vergleichs des zweiten Werts mit dem dritten Wert zu verifizieren.

Description

  • Die vorliegende Erfindung betrifft im Allgemeinen Steuersysteme in einem Kraftfahrzeug und betrifft spezieller eine Dualprozessorsteuerung von Fahrzeugsystemen. Aus der US 6,243,629 B1 , WO 01/45982 A2 , WO 97/06487 A1 und US 6,775,609 B2 sind Fahrzeugsteuersysteme bekannt, die eine Aktuatoreinheit und ein Fahrzeugsteuermodul umfassen. Aus der US 5,526,264 A ist ein Fahrzeugsteuersystem bekannt, das zwei Prozessoren umfasst, denen jeweils mehrere eigene Aktuatoren zugeordnet sind. Die beiden Prozessoren empfangen dieselben Eingabesignale, berechnen hieraus jeweils ein Steuersignal, und übermitteln das jeweilige Steuersignal an die jeweils zugeordneten Aktuatoren. Darüber hinaus sind die Prozessoren jeweils dazu ausgebildet, das berechnete Steuersignal für die jeweiligen eigenen Aktuatoren mit dem von dem anderen Prozessor an dessen zugeordnete Aktuatoren übermittelten Steuersignal zu vergleichen.
  • Während eines Betriebs eines Fahrzeugs steht eine Vielzahl von Steuermodulen mit verschiedenen Aktuatoren in Wechselwirkung. Verteilte Steuer- /Aktuatorsysteme verwenden im Allgemeinen eine Kommunikationsverbindung, um Steuerinformationen von einem Modul an einen Aktuator zu übermitteln. Zum Beispiel bestimmt das Modul typischerweise Steuerbefehle, die zugehörige Befehlsfunktionalitäten aufweisen, auf der Grundlage von verschiedenen Fahrzeugeingängen/ -ausgängen und Verarbeitungsalgorithmen. Das Modul überträgt die Steuerbefehle über die Kommunikationsverbindung zu dem Aktuator, und der Aktuator führt auf ein Empfangen der Steuerbefehle hin die Befehlsfunktionalitäten aus.
  • Einige Fahrzeugsysteme können von redundanten Verarbeitungselementen Gebrauch machen, um einen Betrieb von diesen zu verifizieren, wie beispielsweise ein Verifizieren von Steuerbefehlen, die von einem Modul übertragen werden. Wenn Befehlsinformationen, die durch ein Modul übertragen werden, verifiziert werden, greifen redundante Verarbeitungselemente im Allgemeinen auf die tatsächlichen Befehlsinformationen zu, die auf der Kommunikationsverbindung gesendet werden. Einige Steuermodularchitekturen verhindern jedoch, dass redundante Verarbeitungselemente einen direkten Zugriff auf die Kommunikationsverbindung haben, die zum Übermitteln der Befehlsfunktionalitäten verwendet wird. Bei diesen Architekturen ist es im Allgemeinen für die redundanten Verarbeitungselemente schwierig, Befehlsfunktionalitätenrichtig zu beaufsichtigen.
  • Eine herkömmliche Aufsichtssteuertechnik vergleicht Ergebnisse, die von einer Hauptverarbeitungseinheit erzeugt werden, mit einer redundanten Verarbeitungseinheit. Z.B. erzeugt die Hauptverarbeitungseinheit während eines Betriebs ein Ergebnis, und das redundante Verarbeitungselement versucht, ein identisches zu erzeugen, das zu dem Ergebnis der Hauptverarbeitungseinheit redundant ist. Unterschiede zwischen den Ergebnissen können ein Problem bei einer der Verarbeitungseinheiten anzeigen. Alternativ kann die redundante Verarbeitungseinheit eine Berechnung ausführen, die eine obere und eine untere Grenze zum Vergleich mit den durch die Hauptverarbeitungseinheit erzeugten Ergebnissen bestimmt. Diese Techniken basieren im Allgemeinen auf Vergleichen, die durch die redundante Verarbeitungseinheit mit der tatsächlichen Kommunikation von der Hauptverarbeitungseinheit zu einer beabsichtigten Aktuatorsteuereinheit durchgeführt werden.
  • Demgemäß ist es erwünscht, ein Fahrzeugsteuersystem bereitzustellen, das auf der Grundlage einer tatsächlichen Kommunikation von einem Steuermodul zu einer Aktuatoreinheit Steuerbefehle verifiziert. Es ist des Weiteren erwünscht, ein Fahrzeugsteuersystem bereitzustellen, das ein Dualprozessorsteuermodul zur Schnittstellenverbindung mit einer Fahrzeugaktuatoreinheit aufweist, und das Ausgabesteuerbefehle auf der Grundlage von Daten, die durch die Fahrzeugaktuatoreinheit von dem Steuermodul empfangen werden, beaufsichtigt. Schließlich werden andere erwünschte Merkmale und Eigenschaften der vorliegenden Erfindung aus der nachfolgenden detaillierten Beschreibung und den beigefügten Ansprüchen in Verbindung mit den begleitenden Zeichnungen und dem vorangehenden technischen Gebiet und dem Hintergrund ersichtlich.
  • Es ist ein Fahrzeugsteuersystem vorgesehen, um eine oder mehrere Aktuatoreinheiten zu steuern. In einer beispielhaften Ausführungsform umfasst ein Fahrzeugsteuermodul zum Steuern einer Aktuatoreinheit in Ansprechen auf eine Eingabe einen ersten Prozessor, eine erste Kommunikationsverbindung, die mit dem ersten Prozessor gekoppelt ist, und einen zweiten Prozessor, der mit dem ersten Prozessor über die erste Kommunikationsverbindung gekoppelt ist, aber ist nicht auf diese beschränkt. Der erste Prozessor ist ausgebildet, um auf der Grundlage der Eingabe einen ersten Wert zu erzeugen, den ersten Wert zu der Aktuatoreinheit zu übertragen, und einen zweiten Wert von der Aktuatoreinheit auf der Grundlage von Daten zu empfangen, die durch die Aktuatoreinheit von dem ersten Prozessor empfangen werden. Die erste Kommunikationsverbindung ist ausgebildet, um die Eingabe und den zweiten Wert zu dem zweiten Prozessor zu transferieren. Der zweite Prozessor ist ausgebildet, um einen dritten Wert auf der Grundlage der Eingabe zu bestimmen, und den ersten Wert auf der Grundlage eines Vergleichs des zweiten Werts mit dem dritten Wert zu verifizieren.
  • In einer weiteren beispielhaften Ausführungsform umfasst ein Fahrzeugsteuersystem eine Aktuatoreinheit, eine erste Kommunikationsverbindung, die mit der Aktuatoreinheit gekoppelt ist, einen ersten Prozessor, der über die erste Kommunikationsverbindung mit der Aktuatoreinheit gekoppelt ist, eine zweite Kommunikationsverbindung, die mit dem ersten Prozessor gekoppelt ist, und einen zweiten Prozessor, der mit dem ersten Prozessor über die zweite Kommunikationsverbindung gekoppelt ist, aber ist nicht auf diese beschränkt. Der erste Prozessor ist ausgebildet, um auf der Grundlage einer Systemeingabe einen ersten Wert zu erzeugen. Der erste Wert entspricht einer ersten Betriebsart des Fahrzeugsteuersystems. Die Aktuatoreinheit ist ausgebildet, um einen zweiten Wert auf der Grundlage des ersten Wertes, den die Aktuatoreinheit von dem ersten Prozessor empfängt, zu erzeugen. Der zweite Wert umfasst eine Signatur, aber ist nicht auf diese beschränkt. Der zweite Prozessor ist ausgebildet, um auf der Grundlage der Systemeingabe einen dritten Wert zu bestimmen, und den ersten Wert auf der Grundlage eines Vergleichs des zweiten Werts mit dem dritten Wert zu verifizieren.
  • In wieder einer anderen beispielhaften Ausführungsform umfasst ein Fahrzeugsteuersystem eine Aktuatoreinheit, eine erste Kommunikationsverbindung, die mit der Aktuatoreinheit gekoppelt ist, und einen Prozessor, der mit der Aktuatoreinheit über die erste Kommunikationsverbindung gekoppelt ist, aber ist nicht auf diese beschränkt. Der Prozessor umfasst einen ersten Steuerpfad, der ausgebildet ist, um einen ersten Wert auf der Grundlage einer Systemeingabe zu erzeugen, eine zweite Kommunikationsverbindung, die mit dem ersten Steuerpfad gekoppelt ist, und einen zweiten Steuerpfad, der mit dem ersten Steuerpfad über die zweite Kommunikationsverbindung gekoppelt ist, aber ist nicht auf diese beschränkt. Der erste Wert entspricht einer ersten Betriebsart des Fahrzeugsteuersystems. Die Aktuatoreinheit ist ausgebildet, um auf der Grundlage des ersten Wertes, den die Aktuatoreinheit von dem ersten Steuerpfad empfängt, einen zweiten Wert zu erzeugen. Der zweite Wert umfasst eine Signatur, aber ist nicht auf diese beschränkt. Der zweite Steuerpfad ist ausgebildet, um über die zweite Kommunikationsverbindung mit dem ersten Steuerpfad zu kommunizieren. Der zweite Steuerpfad ist ausgebildet, um einen dritten Wert auf der Grundlage der Eingabe zu bestimmen, und den ersten Wert auf der Grundlage eines Vergleichs des zweiten Werts mit dem dritten Wert zu verifizieren.
  • Die Erfindung wird im Folgenden beispielhaft anhand der Zeichnung beschrieben; in dieser zeigt:
    • 1 ein Blockdiagramm einer beispielhaften Ausführungsform eines Fahrzeugsteuersystems; und
    • 2 ein Blockdiagramm einer beispielhaften Ausführungsform eines Dualprozessorsteuermoduls; und
    • 3 ein Blockdiagramm einer weiteren beispielhaften Ausführungsform eines Dualprozessorsteuermoduls.
  • Die folgende detaillierte Beschreibung ist lediglich exemplarischer Natur und beabsichtigt nicht, die Erfindung oder die Anwendung und Verwendung der Erfindung zu beschränken. Des Weiteren besteht keine Absicht, durch irgendeine beschriebene oder implizierte Theorie, die in dem vorhergehenden technischen Gebiet, dem Hintergrund, der Kurzzusammenfassung oder der folgenden detaillierten Beschreibung dargestellt ist, gebunden zu sein.
  • 1 ist ein Blockdiagramm einer beispielhaften Ausführungsform eines Steuersystems 12 in einem Fahrzeug 10. Das Steuersystem 12 ist über ein Fahrzeugkommunikationsnetzwerk 18 mit einer elektrischen Infrastruktur 26 des Fahrzeugs verbunden und umfasst ein Steuermodul 14, das über das Fahrzeugkommunikationsnetzwerk 18 mit einer oder mehreren Aktuatorsteuereinheiten 20, 22, 24 verbunden ist, aber ist nicht auf dieses beschränkt. Das Steuermodul 14 empfängt indirekt verschiedene Fahrzeugbetriebseingaben/-ausgaben 17 über das Fahrzeugkommunikationsnetzwerk 18, wie beispielsweise von einer Vielzahl an anderen Systemen und Steuermodulen der elektrischen Infrastruktur 26 des Fahrzeugs, oder empfängt direkt Fahrzeugeingaben 16 wie beispielsweise von Fahrzeugsensoren, die mit dem Steuermodul 14 verbunden sind.
  • Die vorliegende Erfindung kann in Bezug auf Funktionsblöcke beschrieben werden. Es sei angemerkt, dass solche Funktionsblöcke in vielen verschiedenen Formen von Hardware-, Firmware- und/oder Softwarekomponenten realisiert sein können, die ausgebildet sind, um die verschiedenen Funktionen auszuführen. Z.B. kann die vorliegende Erfindung verschiedene Komponenten mit integriertem Schaltkreis z.B. Speicherelemente, Elemente für eine digitale Signalverarbeitung, Nachschlagtabellen und dergleichen einsetzen, um eine Vielzahl an Funktionen unter der Steuerung von einem oder mehreren Mikroprozessoren oder anderen Steuereinrichtungen durchzuführen. Solche allgemeinen Techniken sind Fachleuten bekannt und werden hierin nicht detailliert beschrieben.
  • Die elektrische Infrastruktur 26 des Fahrzeugs kann verschiedene Systeme und/oder Untersysteme auf dem Fahrzeug 10 umfassen, die beispielsweise eine Fahrzeugschnittstelle zu einem Menschen, ein Batterieenergieverwaltungssystem, ein Motorverwaltungssystem, ein Getriebeverwaltungssystem, ein Karosseriesteuermodul und Fahrzeuguntersysteme wie beispielsweise ein Antiblockiersystem (ABS von Antilock Brake System) und ein Allrad-(AWD von All- WheeI Drive-)System umfassen, aber nicht auf diese beschränkt sind. Das Fahrzeugsteuersystem 12 kommuniziert über das Fahrzeugkommunikationsnetzwerk 18, das z.B. ein Controller Area Network (CAN) umfasst, aber nicht auf dieses beschränkt ist, um Informationen zu und von verschiedenen Fahrzeugsystemen und Untersystemen der elektrischen Infrastruktur 26 des Fahrzeugs zu transferieren.
  • Das Steuermodul 14 erzeugt Steuerbefehle zur Übertragung zu den Aktuatorsteuereinheiten 20, 22, 24 in Ansprechen auf die Fahrzeugbetriebseingaben 16, ein Betriebsprogramm oder eine Kombination aus diesen. In einer beispielhaften Ausführungsform umfasst das Steuermodul 14 Eingänge und Ausgänge, die mit dem Fahrzeugkommunikationsnetzwerk 18 verbunden sind und eine Vielzahl an Fahrzeugdaten von der elektrischen Infrastruktur 26 des Fahrzeugs oder von verschiedenen Sensoren empfangen. In Abhängigkeit von einem gewünschten Betriebsablauf, der mit dem Steuermodul 14 in Verbindung steht, überträgt das Steuermodul 14 Befehle zu den Aktuatoren 20, 22, 24. Das Steuermodul 14 umfasst zusätzlich einen Speicher, der Betriebsalgorithmen zum Steuern der Aktuatoreinheiten 20, 22, 24 umfasst.
  • 2 ist ein Blockdiagramm einer beispielhaften Ausführungsform eines Dualprozessorsteuermoduls 30, wie beispielsweise das Steuermodul 14, das in 1 gezeigt ist. Das Steuermodul 30 umfasst einen primären Prozessor 48 mit einem direktem Zugriff auf eine oder mehrere Fahrzeugsystemkommunikationsverbindungen 34, wie beispielsweise über die elektrische Infrastruktur 26 des Fahrzeugs oder das Fahrzeugkommunikationsnetzwerk 18, das in 1 gezeigt ist, und einen sekundären Prozessor 36, der mit dem primären Prozessor 48 durch eine lokale Kommunikationsverbindung 46 wie beispielsweise eine serielle periphere Schnittstelle (SPI von serial peripheral interface) verbunden ist, aber ist nicht auf diese beschränkt. Die lokale Kommunikationsverbindung 38 transferiert Informationen wie beispielsweise die Eingabedaten, die durch den primären Prozessor 48 empfangen werden, zwischen dem primären Prozessor 48 und dem sekundären Prozessor 36.
  • In einer beispielhaften Ausführungsform umfasst der primäre Prozessor 48 einen primären Steuerpfad 32, der verschiedene Befehlswerte für eine Aktuatorsteuerung auf der Grundlage von verschiedenen Eingaben/Ausgaben von verschiedenen Fahrzeugsystemen, Untersystemen, Sensoren und zugehörigen Algorithmen berechnet. Die Befehle werden entlang der Fahrzeugkommunikationsverbindung 34 zu den Aktuatorsteuereinheiten 20, 22, 24 übertragen.
  • Jede Aktuatorsteuereinheit 20, 22, 24, die Daten von dem primären Prozessor 48 empfängt, erzeugt eine Nachricht, die zur Verifikation von Steuerbefehlen zu dem primären Prozessor 48 übertragen wird. In einer beispielhaften Ausführungsform umfasst die Nachricht eine Signatur, die eine Funktion der Daten (d.h. Befehlswerte) ist, die durch die Aktuatorsteuereinheit 20, 22, 24 empfangen werden, aber ist nicht auf diese beschränkt. Durch Übertragung der Nachricht zu dem primären Prozessor 48 führt eine Modifikation der Daten, wenn sie durch die Aktuatorsteuereinheit 20, 22, 24 übertragen werden, zu einer falschen Signatur. In einer anderen beispielhaften Ausführungsform umfasst die Nachricht zusätzlich eine Kopie der Daten, die durch die Aktuatorsteuereinheit 20, 22, 24 empfangen werden, die zur Verifikation des Steuerbefehls verwendet wird, der durch den primären Prozessor 48 übertragen wird, wie es hierin nachfolgend ausführlicher beschrieben ist.
  • Die Signatur wird unter Verwendung einer Technik erzeugt, die für den primären Prozessor 48 unzugänglich ist, um das Auftreten einer Beeinflussung durch den primären Prozessor 48 mit der Nachricht, die durch die Aktuatorsteuereinheiten 20, 22, 24 erzeugt wird, zu minimieren. Z.B. kann die Signatur durch die Aktuatorsteuereinheiten 20, 22, 24 mit einem Cyclic Redundancy Code (CRC) unter Verwendung eines Generatorpolynoms, das dem primären Prozessor 48 unbekannt ist, einem Message Authentication Code (MAC) auf der Grundlage eines Schlüssels, der dem primären Prozessor 48 unbekannt ist, einer digitalen Signatur oder dergleichen erzeugt werden. Die Nachrichten, die durch die Aktuatorsteuereinheiten 20, 22, 24 erzeugt werden, werden anschließend ohne Modifikation durch den primären Prozessor 48 über die lokale Kommunikationsverbindung 38 zu dem sekundären Prozessor 36 weitergeleitet.
  • In einer beispielhaften Ausführungsform der Verifikation leitet der primäre Prozessor 48 die Eingabedaten, die durch den primären Prozessor 48 zum Erzeugen der Steuerbefehle verwendet werden, an den sekundären Prozessor 36 weiter, wie es zuvor hierin erwähnt wurde. Der sekundäre Prozessor 36 erzeugt Befehlswerte unter Verwendung der Eingabedaten, und vergleicht solche Befehlswerte mit der Signatur, die in den Nachrichten von den Aktuatorsteuereinheiten 20, 22, 24 enthalten ist. Eine passende Signatur impliziert, dass der sekundäre Prozessor 36 eine im Wesentlichen unmodifizierte Kopie der Nachricht, die ursprünglich durch die Aktuatorsteuereinheit 20, 22, 24 gesendet wurde, aufweist.
  • In einer weiteren beispielhaften Ausführungsform umfasst die Nachricht von der Aktuatorsteuereinheit 20, 22, 24 zusätzlich die Kopie der Daten, die durch die Aktuatorsteuereinheit 20, 22, 24 von dem primären Prozessor 48 empfangen werden. Der sekundäre Prozessor 36 vergleicht die berechneten Befehlswerte mit den Daten in den Nachrichten von der Aktuatorsteuereinheit 20, 22, 24, die wiederum die Befehlsdaten sind, die tatsächlich durch den primären Prozessor 48 gesendet werden. Eine Abweichung bei dem Vergleich gibt eine gescheiterte Verifikation an. Alternativ kann der sekundäre Prozessor 36 einen Wertebereich auf der Grundlage der Eingabedaten, die von dem primären Prozessor 48 empfangen werden, zum Vergleich mit den Daten in den Nachrichten von der Aktuatorsteuereinheit 20, 22, 24 berechnen. Eine gescheiterte Verifikation ergibt sich, wenn die Daten in den Nachrichten außerhalb des Wertebereichs liegen.
  • In einer weiteren beispielhaften Ausführungsform weist das Steuermodul 30 unabhängige duale Rechen-/Speichersteuerpfade 32, 44 in dem primären Prozessor 48 zum Verifizieren von Steuerbefehlen auf. In dieser beispielhaften Ausführungsform ist ein primärer Steuerpfad 32 mit einem redundanten Steuerpfad 44 über eine lokale Kommunikationsverbindung 46 verbunden. Zusätzlich ist der primäre Steuerpfad 32 mit dem sekundären Prozessor 36 über die lokale Kommunikationsverbindung 38 verbunden, und der redundante Steuerpfad 44 ist mit dem sekundären Prozessor 36 über eine andere lokale Kommunikationsverbindung 39 verbunden. In dieser beispielhaften Ausführungsform ist der redundante Steuerpfad 44 ein zusätzliches Verarbeitungselement, das mit dem sekundären Prozessor 36 verbunden ist. Der primäre Steuerpfad 32 übermittelt die Eingabedaten zum Berechnen von Befehlswerten, wie sie beispielsweise durch den primären Prozessor 48 von verschiedenen Fahrzeugeingaben 16 empfangen werden, zu dem redundanten Steuerpfad 44, und der redundante Steuerpfad 44 erzeugt Befehlswerte aus den Eingabedaten. Die Verwendung von unabhängigen dualen Rechen-/Speichersteuerpfaden 32, 44 weist im Allgemeinen den Vorteil von schnelleren Verarbeitungsraten auf und ist für Steueranwendungen geeignet, die auf Datenverarbeitungsdaten empfindlich sind.
  • In einer beispielhaften Ausführungsform, die die dualen Rechen-/Speichersteuerpfade 32, 44 umfasst, werden die Nachrichten, die durch die Aktuatorsteuereinheiten 20, 22, 24 erzeugt werden, ohne Modifikation von dem primären Steuerpfad 32 zu dem redundanten Steuerpfad 44 über die lokale Kommunikationsverbindung 46 weitergeleitet. Der redundante Steuerpfad 44 verifiziert auf eine Art und Weise, die im Wesentlichen einen ähnlichen Betriebsablauf wie der sekundäre Prozessor 36 aufweist, wie es zuvor erwähnt wurde, ob die Daten, die in den Nachrichten von den Aktuatorsteuereinheiten 20, 22, 24 enthalten sind, zu den entsprechenden Signaturen passen.
  • Um die Befehlswerte zu verifizieren, die durch den primären Prozessor 48 übertragen werden, berechnet der redundante Steuerpfad 44 Befehlswerte auf der Grundlage der Eingabedaten, die von dem primären Prozessor 48 empfangen werden, und vergleicht die berechneten Befehlswerte mit der Signatur, die in den Nachrichten enthalten ist, und optional mit den kopierten Daten in den Nachrichten von den Aktuatorsteuereinheiten 20, 22, 24, wie es durch das Nachrichtenformat bestimmt ist (d.h. Signatur mit oder ohne kopierten Daten). Eine Abweichung bei dem Vergleich gibt eine gescheiterte Verifikation an. Alternativ kann der duale Rechen- / Speichersteuerpfad 44 einen Wertebereich auf der Grundlage der Eingabedaten, die von dem primären Steuerpfad 32 empfangen werden, zum Vergleich mit den Daten in den Nachrichten von den Aktuatorsteuereinheiten 20, 22, 24 berechnen. Eine gescheiterte Verifikation ergibt sich, wenn die Daten in den Nachrichten außerhalb des Wertebereichs liegen. Wenn der redundante Steuerpfad 44 eine gescheiterte Verifikation bestimmt, gibt der redundante Steuerpfad 44 dem sekundären Prozessor 36 dieses, beispielsweise eine Fehlersignalübertragung über die lokale Kommunikationsverbindung 38 an.
  • Wenn der sekundäre Prozessor 36 bestimmt, dass eine gescheiterte Verifikation aufgetreten ist, schaltet der sekundäre Prozessor das Fahrzeugsteuersystem 12 (1) in eine sichere Betriebsart um. In einer beispielhaften Ausführungsform einer sicheren Betriebsart sperrt der sekundäre Prozessor 36 den primären Prozessor 48 unter einer oder mehreren der folgenden Bedingungen oder setzt ihn unter einer oder mehreren der folgenden Bedingungen zurück: wenn keine Daten durch den sekundären Prozessor 36 von dem primären Prozessor 48 für eine vorbestimmte Zeitdauer empfangen werden; wenn keine Daten durch den redundanten Steuerpfad 44 von dem primären Steuerpfad 32 für eine vorbestimmte Zeitdauer empfangen werden; wenn die Daten, die in der Nachricht von den Aktuatorsteuereinheiten 20, 22, 24 enthalten sind, nicht zu der entsprechenden Signatur passen; wenn die Daten, die in der Nachricht von den Aktuatorsteuereinheiten 20, 22, 24 enthalten sind, den Wertebereich übersteigen; wenn die Signatur nicht zu den Befehlswerten passt, die durch den sekundären Prozessor 36 berechnet werden; und wenn eine Anfrage von dem redundanten Steuerpfad 44 empfangen wird. Die vorbestimmte Zeitdauer kann auf der Grundlage einer erwarteten Antwortzeit für Datenübertragungen ausgewählt werden.
  • Es können andere Techniken verwendet werden, um den primären Prozessor 48 zu sperren/zurückzusetzen, wie beispielsweise ein Fahrzeuguntersystem 40, das zwischen dem sekundären Prozessor 36 und dem primären Prozessor 48 gekoppelt ist, und ein Rücksetz- oder Sperrsignal an den primären Prozessor 48 für eine Zeitdauer, die für die Aktuatorsteuereinheiten 20, 22, 24 ausreicht, um eine Abhilfe zu schaffen, überträgt. Zusätzlich können andere Techniken verwendet werden, um die Betriebsart des Fahrzeugsteuersystems 12 (1) in eine sichere Betriebsart umzuschalten, ohne den primären Prozessor 48 zu sperren oder zurückzusetzen.
  • 3 ist eine weitere beispielhafte Ausführungsform eines Dualprozessorsteuermoduls 50. Das Steuermodul 50 umfasst einen primären Prozessor 52, der mit Aktuatorsteuereinheiten 64, 66, 68 verbunden ist, so wie der primäre Prozessor 30 mit den Aktuatorsteuereinheiten 20, 22, 24 verbunden ist, die in 2 gezeigt sind, aber ist nicht auf diesen beschränkt. Der primäre Prozessor 52 verwendet unabhängige duale Rechen-/Speichersteuerpfade 54, 56, die über die lokale Kommunikationsverbindung 58 verbunden sind, so wie der primäre Steuerpfad 32 mit dem redundanten Steuerpfad 44 über die lokale Kommunikationsverbindung 46 verbunden ist, die in 2 gezeigt ist. Der redundante Steuerpfad 56 ist mit einem Rücksetz-/Sperruntersystem 60 verbunden, das mit dem primären Prozessor 52 verbunden ist. In dieser beispielhaften Ausführungsform verifiziert der primäre Prozessor 52 intern Befehlswerte und schaltet eine Betriebsart des Fahrzeugsteuersystems 12 (1) in Ansprechen auf gescheiterte Verifikationen durch das Rücksetz-/ Sperruntersystem 60 in die sichere Betriebsart um. Obwohl die sichere Betriebsart als eine Rücksetz-/Sperrfunktion beschrieben ist, kann die Betriebsart des Fahrzeugsteuersystems 12 (1) unter Verwendung verschiedener anderer Techniken in die sichere Betriebsart umgeschaltet werden.
  • In dieser beispielhaften Ausführungsform signalisiert der redundante Steuerpfad 56 dem Rücksetz-/ Sperruntersystem 60 eine gescheiterte Verifikation, um die Betriebsart in die sichere Betriebsart umzuschalten. Eine gescheiterte Verifikation wird durch den redundanten Steuerpfad 56 bestimmt, wenn eine oder mehrere der folgenden Bedingungen auftreten: wenn durch den redundanten Steuerpfad 56 von dem primären Steuerpfad 54 für eine vorbestimmte Zeitdauer keine Daten empfangen werden; wenn die Daten, die in der Nachricht von den Aktuatorsteuereinheiten 64, 66, 68 enthalten sind, nicht zu der entsprechenden Signatur passen; wenn die Daten, die in der Nachricht von den Aktuatorsteuereinheiten 64, 66, 68 enthalten sind, den Wertebereich übersteigen; und wenn die Signatur nicht zu den Befehlswerten, die durch den redundanten Steuerpfad 56 berechnet werden, passt.
  • Zusammengefasst betrifft die Erfindung ein Fahrzeugsteuermodul zum Steuern einer Aktuatoreinheit in Ansprechen auf eine Eingabe, das einen ersten Prozessor, eine erste Kommunikationsverbindung, die mit dem ersten Prozessor gekoppelt ist, und einen zweiten Prozessor, der mit dem ersten Prozessor über die erste Kommunikationsverbindung gekoppelt ist, umfasst. Der erste Prozessor ist ausgebildet, um einen ersten Wert auf der Grundlage der Eingabe zu erzeugen, den ersten Wert zu der Aktuatoreinheit zu übertragen, und einen zweiten Wert von der Aktuatoreinheit auf der Grundlage von Daten, die durch die Aktuatoreinheit von dem ersten Prozessor empfangen werden, zu empfangen. Die erste Kommunikationsverbindung ist ausgebildet, um die Eingabe und den zweiten Wert zu dem zweiten Prozessor zu transferieren. Der zweite Prozessor ist ausgebildet, um einen dritten Wert auf der Grundlage der Eingabe zu bestimmen und den ersten Wert auf der Grundlage eines Vergleichs des zweiten Werts mit dem dritten Wert zu verifizieren.

Claims (26)

  1. Fahrzeugsteuersystem, das umfasst: eine Aktuatoreinheit (20, 22, 24, 64, 66, 68); und ein Fahrzeugsteuermodul (30, 50) zum Steuern der Aktuatoreinheit (20, 22, 24, 64, 66, 68) in Ansprechen auf eine Eingabe, wobei das Fahrzeugsteuermodul umfasst: einen ersten Prozessor (32, 48, 52), der ausgebildet ist, um: einen ersten Wert auf der Grundlage der Eingabe zu erzeugen; den ersten Wert zu der Aktuatoreinheit zu übertragen; und einen zweiten Wert von der Aktuatoreinheit zu empfangen, der auf der Grundlage des ersten Wertes erzeugt wird, der durch die Aktuatoreinheit von dem ersten Prozessor empfangen wird; eine erste Kommunikationsverbindung (38, 46, 58), die mit dem ersten Prozessor gekoppelt ist; und einen zweiten Prozessor (36, 44, 56), der mit dem ersten Prozessor über die erste Kommunikationsverbindung gekoppelt ist, wobei die erste Kommunikationsverbindung ausgebildet ist, um die Eingabe und den zweiten Wert zu dem zweiten Prozessor zu transferieren, wobei der zweite Prozessor ausgebildet ist, um: einen dritten Wert auf der Grundlage der Eingabe zu bestimmen; und den ersten Wert auf der Grundlage eines Vergleichs des zweiten Werts mit dem dritten Wert zu verifizieren.
  2. Fahrzeugsteuersystem nach Anspruch 1, wobei der zweite Wert eine Signatur auf der Grundlage der Daten, die durch die Aktuatoreinheit (20, 22, 24, 64, 66, 68) von dem ersten Prozessor (32, 48, 52) empfangen werden, umfasst.
  3. Fahrzeugsteuersystem nach Anspruch 2, wobei die Signatur eine mathematische Funktion der Daten ist, die durch die Aktuatoreinheit (20, 22, 24, 64, 66, 68) von dem ersten Prozessor (32, 48, 52) empfangen werden.
  4. Fahrzeugsteuersystem nach Anspruch 2, wobei der erste Prozessor (32, 48, 52) des Weiteren ausgebildet ist, um den ersten Wert über die erste Kommunikationsverbindung (38, 46, 58) zu dem zweiten Prozessor (36, 44, 56) zu übertragen; und wobei der zweite Prozessor ausgebildet ist, um den ersten Prozessor zu sperren, wenn: keine Daten durch den zweiten Prozessor von dem ersten Prozessor für eine vorbestimmte Zeitdauer empfangen werden; und / oder der zweite Wert und der dritte Wert nicht zusammenpassen; und/oder die Signatur und der erste Wert, der durch den zweiten Prozessor von dem ersten Prozessor empfangen wird, nicht zusammenpassen.
  5. Fahrzeugsteuersystem nach Anspruch 4, wobei der zweite Wert des Weiteren die Daten umfasst, die durch die Aktuatoreinheit (20, 22, 24, 64, 66, 68) von dem ersten Prozessor (32, 48, 52) empfangen werden; und wobei der zweite Prozessor (36, 44, 56) des Weiteren ausgebildet ist, um den ersten Prozessor zu sperren, wenn die Signatur und die Daten, die durch die Aktuatoreinheit von dem ersten Prozessor empfangen werden, nicht zusammenpassen.
  6. Fahrzeugsteuersystem nach Anspruch 1, wobei der zweite Prozessor (44, 56) ein unabhängiger Rechenpfad in dem ersten Prozessor (48, 52) ist.
  7. Fahrzeugsteuersystem nach Anspruch 5, wobei der dritte Wert einen Wertebereich umfasst; und wobei der zweite Prozessor (36, 44, 56) des Weiteren ausgebildet ist, um den ersten Prozessor (32, 48, 52) zurückzusetzen, wenn der zweite Wert außerhalb des Wertebereichs liegt.
  8. Fahrzeugsteuersystem nach Anspruch 2, wobei die Aktuatoreinheit (20, 22, 24, 64, 66, 68) mit dem ersten Prozessor über eine zweite Kommunikationsverbindung (34) gekoppelt ist, und ausgebildet ist, um die Signatur ohne Duplikation durch den ersten Prozessor (32, 48, 52) zu erzeugen.
  9. Fahrzeugsteuersystem nach Anspruch 1, wobei der erste Prozessor (32, 48, 52) ausgebildet ist, um den zweiten Wert zu dem zweiten Prozessor (36, 44, 56) ohne Veränderung des zweiten Werts zu transferieren.
  10. Fahrzeugsteuersystem, das umfasst: eine Aktuatoreinheit (20, 22, 24, 64, 66, 68); eine erste Kommunikationsverbindung (34), die mit der Aktuatoreinheit gekoppelt ist; einen ersten Prozessor (32, 48, 52), der mit der Aktuatoreinheit über die erste Kommunikationsverbindung gekoppelt ist, wobei der erste Prozessor ausgebildet ist, um einen ersten Wert auf der Grundlage einer Systemeingabe zu erzeugen, wobei der erste Wert einer ersten Betriebsart des Fahrzeugsteuersystems entspricht, wobei die Aktuatoreinheit ausgebildet ist, um einen zweiten Wert auf der Grundlage des ersten Wertes, den die Aktuatoreinheit von dem ersten Prozessor empfängt, zu erzeugen, wobei der zweite Wert eine Signatur umfasst; eine zweite Kommunikationsverbindung (38, 46, 58), die mit dem ersten Prozessor gekoppelt ist; und einen zweiten Prozessor (36, 44, 56), der mit dem ersten Prozessor über die zweite Kommunikationsverbindung gekoppelt ist, wobei der zweite Prozessor ausgebildet ist, um: einen dritten Wert auf der Grundlage der Systemeingabe zu bestimmen; und den ersten Wert auf der Grundlage eines Vergleichs des zweiten Werts mit den Dritten Wert zu verifizieren.
  11. Fahrzeugsteuersystem nach Anspruch 10, wobei die Signatur eine mathematische Funktion der Daten ist, die durch die Aktuatoreinheit (20, 22, 24, 64, 66, 68) empfangen werden und dem ersten Wert entsprechen.
  12. Fahrzeugsteuersystem nach Anspruch 10, wobei der erste Prozessor (32, 48, 52) des Weiteren ausgebildet ist, um den ersten Wert über die zweite Kommunikationsverbindung (38, 46, 58) an den zweiten Prozessor (36, 44, 56) zu übertragen; und wobei der zweite Prozessor ausgebildet ist, um das Fahrzeugsteuersystem in eine zweite Betriebsart umzuschalten, wenn: für eine erste Zeitdauer keine Daten von dem ersten Prozessor durch den zweiten Prozessor empfangen werden; und/oder der zweite Wert und der dritte Wert nicht zusammenpassen; und/oder eine Signatur nicht dem ersten Wert entspricht.
  13. Fahrzeugsteuersystem nach Anspruch 12, wobei der zweite Wert des Weiteren die Daten umfasst, die durch den Aktuator (20, 22, 24, 64, 66, 68) empfangen werden und dem ersten Wert entsprechen; und wobei der zweite Prozessor (36, 44, 56) des Weiteren ausgebildet ist, um das Fahrzeugsteuersystem in die zweite Betriebsart umzuschalten, wenn die Signatur nicht den Daten entspricht.
  14. Fahrzeugsteuersystem nach Anspruch 10, wobei der erste Prozessor (48) des Weiteren umfasst: einen ersten Steuerpfad (32), der mit der Aktuatoreinheit (20, 22, 24, 64, 66, 68) über die erste Kommunikationsverbindung (34) gekoppelt ist und mit dem zweiten Prozessor (36) über die zweite Kommunikationsverbindung (38) gekoppelt ist, wobei der erste Steuerpfad ausgebildet ist, um den ersten Wert auf der Grundlage der Systemeingabe zu erzeugen; eine dritte Kommunikationsverbindung (46), die mit dem ersten Steuerpfad gekoppelt ist; einen zweiten Steuerpfad (44), der mit dem ersten Steuerpfad über die dritte Kommunikationsverbindung gekoppelt ist, wobei der zweite Steuerpfad ausgebildet ist, um: einen vierten Wert auf der Grundlage der Systemeingabe zu erzeugen; und den ersten Wert auf der Grundlage eines Vergleichs des vierten Werts mit dem zweiten Wert zu verifizieren; und eine vierte Kommunikationsverbindung (39), die den zweiten Steuerpfad mit dem zweiten Prozessor koppelt.
  15. Fahrzeugsteuersystem nach Anspruch 14, wobei der zweite Prozessor (36) des Weiteren ausgebildet ist, um das Fahrzeugsteuersystem in die zweite Betriebsart umzuschalten, wenn: keine Daten von dem ersten Steuerpfad (32) durch den zweiten Steuerpfad (44) für eine vorbestimmte Zeitdauer empfangen werden; und/oder die Signatur nicht dem vierten Wert entspricht; und/oder der erste Wert und der vierte Wert nicht zusammenpassen.
  16. Fahrzeugsteuersystem nach Anspruch 12, wobei die zweite Betriebsart entweder umfasst, dass: der zweite Prozessor (36, 44, 56) den ersten Prozessor (32, 48, 52) für eine zweite Zeitdauer sperrt, die für eine Abhilfe durch die Aktuatoreinheit (20, 22, 24, 64, 66, 68) ausreicht; oder dass der zweite Prozessor den ersten Prozessor für eine dritte Zeitdauer zurücksetzt, die für eine Abhilfe durch die Aktuatoreinheit ausreicht.
  17. Fahrzeugsteuersystem nach Anspruch 10, wobei der dritte Wert einen Wertebereich umfasst; wobei der erste Prozessor (32, 48, 52) des Weiteren ausgebildet ist, um den ersten Wert über die zweite Kommunikationsverbindung (38, 46, 58) zu dem zweiten Prozessor (36, 44, 56) zu übertragen; und wobei der zweite Prozessor des Weiteren ausgebildet ist, um das Fahrzeugsteuersystem in eine zweite Betriebsart umzuschalten, wenn der zweite Wert außerhalb des dritten Werts liegt.
  18. Fahrzeugsteuersystem nach Anspruch 14, wobei der vierte Wert einen Wertebereich umfasst; und wobei der zweite Prozessor (36, 44, 56) des Weiteren ausgebildet ist, um das Fahrzeugsteuersystem in die zweite Betriebsart umzuschalten, wenn der erste Wert außerhalb des vierten Werts liegt.
  19. Fahrzeugsteuersystem nach Anspruch 10, wobei die Aktuatoreinheit (20, 22, 24, 64, 66, 68) ausgebildet ist, um die Signatur ohne Duplikation durch den ersten Prozessor zu erzeugen.
  20. Fahrzeugsteuersystem, das umfasst: eine Aktuatoreinheit (20, 22, 24, 64, 66, 68); eine erste Kommunikationsverbindung (34), die mit der Aktuatoreinheit gekoppelt ist; und einen Prozessor (32, 48, 52), der mit der Aktuatoreinheit über die erste Kommunikationsverbindung gekoppelt ist, wobei der Prozessor umfasst: einen ersten Steuerpfad (32, 54), der ausgebildet ist, um einen ersten Wert auf der Grundlage einer Systemeingabe zu erzeugen, wobei der erste Wert einer ersten Betriebsart des Fahrzeugsteuersystems entspricht, wobei die Aktuatoreinheit ausgebildet ist, um einen zweiten Wert auf der Grundlage des ersten Wertes, den die Aktuatoreinheit von dem ersten Steuerpfad empfängt, zu erzeugen, wobei der zweite Wert eine Signatur umfasst; eine zweite Kommunikationsverbindung (46, 58), die mit dem ersten Steuerpfad gekoppelt ist; und einen zweiten Steuerpfad (44, 56), der mit dem ersten Steuerpfad über die zweite Kommunikationsverbindung gekoppelt ist, wobei der zweite Steuerpfad ausgebildet ist, um mit dem ersten Steuerpfad über die zweite Kommunikationsverbindung zu kommunizieren, wobei der zweite Steuerpfad ausgebildet ist, um: einen dritten Wert auf der Grundlage der Eingabe zu bestimmen; und den ersten Wert auf der Grundlage eines Vergleichs des zweiten Werts mit dem dritten Wert zu verifizieren.
  21. Fahrzeugsteuersystem nach Anspruch 20, wobei die Signatur eine mathematische Funktion der Daten ist, die von dem ersten Steuerpfad (32, 54) empfangen werden und dem ersten Wert entsprechen.
  22. Fahrzeugsteuersystem nach Anspruch 20, wobei der zweite Steuerpfad (44, 56) ausgebildet ist, um das Fahrzeugsteuersystem in eine zweite Betriebsart umzuschalten, wenn: keine Daten von dem ersten Steuerpfad durch den zweiten Steuerpfad für eine erste Zeitdauer empfangen werden; und/oder der zweite Wert und der dritte Wert nicht zusammenpassen; und/oder die Signatur nicht dem ersten Wert entspricht.
  23. Fahrzeugsteuersystem nach Anspruch 22, wobei der zweite Wert des Weiteren die Daten umfasst, die von dem ersten Steuerpfad (32, 54) empfangen werden und dem ersten Wert entsprechen; und wobei der zweite Steuerpfad (44, 56) des Weiteren ausgebildet ist, um das Fahrzeugsteuersystem in die zweite Betriebsart umzuschalten, wenn die Signatur nicht den Daten entspricht.
  24. Fahrzeugsteuersystem nach Anspruch 22, wobei die zweite Betriebsart entweder umfasst, dass: der zweite Steuerpfad (44, 56) den Prozessor (32, 48, 52) für eine zweite Zeitdauer sperrt, die für eine Abhilfe durch die Aktuatoreinheit (20, 22, 24, 64, 66, 68) ausreicht; oder dass der zweite Steuerpfad den Prozessor für eine dritte Zeitdauer zurücksetzt, die für eine Abhilfe durch die Aktuatoreinheit ausreicht.
  25. Fahrzeugsteuersystem nach Anspruch 20, wobei der dritte Wert einen Wertebereich umfasst; wobei der erste Steuerpfad (32, 54) des Weiteren ausgebildet ist, um den ersten Wert über die zweite Kommunikationsverbindung (46, 58) zu dem zweiten Steuerpfad (44, 56) zu übertragen; und wobei der zweite Steuerpfad des Weiteren ausgebildet ist, um das Fahrzeugsteuersystem in eine zweite Betriebsart umzuschalten, wenn der zweite Wert außerhalb des dritten Werts liegt.
  26. Fahrzeugsteuersystem nach Anspruch 20, wobei die Aktuatoreinheit (20, 22, 24, 64, 66, 68) ausgebildet ist, um die Signatur ohne Duplikation durch den ersten Steuerpfad (32, 56) zu erzeugen.
DE102005057066.6A 2004-12-15 2005-11-30 Dualprozessoraufsichtssteuersystem für ein Fahrzeug Active DE102005057066B4 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US63676804P 2004-12-15 2004-12-15
US60/636,768 2004-12-15
US11/054,571 US7467029B2 (en) 2004-12-15 2005-02-09 Dual processor supervisory control system for a vehicle
US11/054,571 2005-02-09

Publications (2)

Publication Number Publication Date
DE102005057066A1 DE102005057066A1 (de) 2006-07-06
DE102005057066B4 true DE102005057066B4 (de) 2021-03-04

Family

ID=36583527

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102005057066.6A Active DE102005057066B4 (de) 2004-12-15 2005-11-30 Dualprozessoraufsichtssteuersystem für ein Fahrzeug

Country Status (3)

Country Link
US (1) US7467029B2 (de)
CN (1) CN1790201B (de)
DE (1) DE102005057066B4 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11396301B2 (en) * 2020-01-30 2022-07-26 Honda Motor Co., Ltd. Vehicle control apparatus, vehicle control method, and non-transitory computer-readable storage medium storing program

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7783397B2 (en) * 2003-12-22 2010-08-24 General Electric Company Method and system for providing redundancy in railroad communication equipment
DE102006045139B4 (de) * 2006-09-25 2016-02-11 Continental Automotive Gmbh Vorrichtung und Verfahren zur Zustandverwaltung eines Betriebssteuergeräts eines Kraftfahrzeugs
DE102006056668A1 (de) 2006-11-30 2008-06-05 Continental Teves Ag & Co. Ohg Verfahren zum Sicherstellen oder Aufrechterhalten der Funktion eines komplexen sicherheitskritischen Gesamtsystems
US7693638B2 (en) 2007-01-23 2010-04-06 Gm Global Technology Operations, Inc. Commanded clutch diagnostic for hybrid vehicles
US20100257139A1 (en) * 2007-03-29 2010-10-07 Gm Global Technology Operations, Inc. Vehicle Data Security Method and System
JP4426611B2 (ja) * 2007-09-28 2010-03-03 矢崎総業株式会社 車両用負荷バックアップ回路
US7983812B2 (en) * 2008-08-04 2011-07-19 Scott Potter & Associates, Llc Method and apparatus for managing battery power in emergency vehicles
US8396680B2 (en) * 2008-10-20 2013-03-12 GM Global Technology Operations LLC System and method for identifying issues in current and voltage measurements
FR2941913B1 (fr) * 2009-02-10 2012-08-31 Airbus France Systeme de commande de vol et aeronef le comportant
WO2011086693A1 (ja) * 2010-01-15 2011-07-21 トヨタ自動車 株式会社 バルブ作用角可変システム
DE102011005766A1 (de) 2011-03-18 2012-09-20 Zf Friedrichshafen Ag Steuergerät für ein Kraftfahrzeug
US9002533B2 (en) * 2011-06-28 2015-04-07 Gm Global Technology Operations Message transmission control systems and methods
US8843218B2 (en) * 2011-07-22 2014-09-23 GM Global Technology Operations LLC Method and system for limited time fault tolerant control of actuators based on pre-computed values
KR101850273B1 (ko) * 2011-12-20 2018-04-20 에스프린팅솔루션 주식회사 화상형성장치 및 화상형성장치에서 에러 알림 및 복구 기능을 수행하는 방법
DE102012200181B4 (de) * 2012-01-09 2024-06-20 Robert Bosch Gmbh Steuereinrichtungen an Bord des Kraftfahrzeugs
AT515454A3 (de) * 2013-03-14 2018-07-15 Fts Computertechnik Gmbh Verfahren zur Behandlung von Fehlern in einem zentralen Steuergerät sowie Steuergerät
US9274998B2 (en) * 2013-07-30 2016-03-01 Infineon Technologies Ag Drive train control
US9604585B2 (en) * 2014-07-11 2017-03-28 Ford Global Technologies, Llc Failure management in a vehicle
FR3024783B1 (fr) * 2014-08-11 2017-07-21 Somfy Sas Configuration securisee d'une installation domotique
US10053036B2 (en) * 2014-12-31 2018-08-21 Harman International Industries, Incorporated Shape-changing surface
US10578465B2 (en) * 2015-02-03 2020-03-03 Infineon Technologies Ag Sensor bus system and unit with internal event verification
US10708976B2 (en) * 2015-09-04 2020-07-07 Ford Global Technologies, Llc Methods and systems for a vehicle computing system to wirelessly communicate data
US10135384B2 (en) * 2016-02-15 2018-11-20 Rockwell Automation Technologies, Inc. Systems and methods for implementing multiple motor control modes in a motor drive controller
JP6758173B2 (ja) * 2016-12-16 2020-09-23 株式会社クボタ 自動走行作業車
EP3652037B1 (de) * 2017-07-13 2023-09-13 Danfoss Power Solutions II Technology A/S Elektromechanische steuerung
EP3758301B1 (de) * 2019-06-25 2022-05-04 KNORR-BREMSE Systeme für Nutzfahrzeuge GmbH Vorrichtung und verfahren zur bereitstellung einer redundanten kommunikation in einer fahrzeugarchitektur und entsprechende steuerarchitektur

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5526264A (en) * 1991-07-03 1996-06-11 Hella Kg Hueck Co. Anti-lock brake control system
WO1997006487A1 (de) * 1995-08-10 1997-02-20 Itt Automotive Europe Gmbh Microprozessorsystem für sicherheitskritische regelungen
US6243629B1 (en) * 1996-04-19 2001-06-05 Honda Giken Kogyo Kabushiki Kaisha Electronic control unit for automotive vehicles
WO2001045982A2 (en) * 1999-12-21 2001-06-28 Motorola Limited Fault-tolerant system
US6775609B2 (en) * 2001-09-27 2004-08-10 Denso Corporation Electronic control unit for vehicle having operation monitoring function and fail-safe function

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19744230B4 (de) * 1997-10-07 2007-10-25 Robert Bosch Gmbh Steuergeräte für ein System und Verfahren zum Betrieb eines Steuergeräts
DE19744375A1 (de) * 1997-10-08 1999-04-15 Philips Patentverwaltung Steuerschaltung für einen Microcontroller
JP4279912B2 (ja) * 1997-10-15 2009-06-17 株式会社日立製作所 車両用ブレーキ制御装置
US6944532B2 (en) * 1998-06-18 2005-09-13 Cummins, Inc. System for controlling an internal combustion engine in a fuel efficient manner
US6493616B1 (en) * 1999-08-13 2002-12-10 Clark Equipment Company Diagnostic and control unit for power machine
US6411061B1 (en) * 1999-12-14 2002-06-25 Delphi Technologies, Inc. High performance brush motor driver in conjuction with low cost SR motor driver
DE10030996B4 (de) * 2000-06-30 2010-07-22 Robert Bosch Gmbh Vorrichtung und Verfahren zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug
JP4253110B2 (ja) * 2000-09-04 2009-04-08 株式会社日立製作所 車両制御システム
US6963524B2 (en) * 2001-01-25 2005-11-08 Dphi Acquisitions, Inc. System and method for controlling interrupts in a control system for an optical disc drive
JP3721089B2 (ja) * 2001-03-01 2005-11-30 株式会社日立製作所 車両診断システム及び該システムを用いた自動車
DE10237167B4 (de) * 2001-08-24 2018-01-11 Schaeffler Technologies AG & Co. KG Verfahren zur Steuerung eines automatisierten Schaltgetriebes
JP3883842B2 (ja) * 2001-11-02 2007-02-21 株式会社デンソー 車両用電子制御装置
JP3967599B2 (ja) * 2002-01-28 2007-08-29 株式会社デンソー 車両用電子制御装置
JP3835312B2 (ja) * 2002-03-07 2006-10-18 株式会社デンソー 車両用電子制御装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5526264A (en) * 1991-07-03 1996-06-11 Hella Kg Hueck Co. Anti-lock brake control system
WO1997006487A1 (de) * 1995-08-10 1997-02-20 Itt Automotive Europe Gmbh Microprozessorsystem für sicherheitskritische regelungen
US6243629B1 (en) * 1996-04-19 2001-06-05 Honda Giken Kogyo Kabushiki Kaisha Electronic control unit for automotive vehicles
WO2001045982A2 (en) * 1999-12-21 2001-06-28 Motorola Limited Fault-tolerant system
US6775609B2 (en) * 2001-09-27 2004-08-10 Denso Corporation Electronic control unit for vehicle having operation monitoring function and fail-safe function

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11396301B2 (en) * 2020-01-30 2022-07-26 Honda Motor Co., Ltd. Vehicle control apparatus, vehicle control method, and non-transitory computer-readable storage medium storing program

Also Published As

Publication number Publication date
DE102005057066A1 (de) 2006-07-06
US20060126256A1 (en) 2006-06-15
CN1790201A (zh) 2006-06-21
US7467029B2 (en) 2008-12-16
CN1790201B (zh) 2010-05-12

Similar Documents

Publication Publication Date Title
DE102005057066B4 (de) Dualprozessoraufsichtssteuersystem für ein Fahrzeug
DE10113917B4 (de) Verfahren und Vorrichtung zur Überwachung von Steuereinheiten
EP0136398B2 (de) Einrichtung zum Abfragen und Steuern von mehreren Konponenten eines Fahrzeugs
DE102005014550B4 (de) Brake By-Wire Steuersystem
EP1600831B1 (de) Verfahren und Vorrichtung zur Überwachung mehrerer Steuergeräte mittels einer Frage-Antwort-Kommunikation
EP2981926B1 (de) Datenspeichervorrichtung zum geschützten datenaustausch zwischen verschiedenen sicherheitszonen
DE10152235B4 (de) Verfahren zum Erkennen von Fehlern bei der Datenübertragung innerhalb eines CAN-Controllers und ein CAN-Controller zur Durchführung dieses Verfahrens
WO2013131900A1 (de) Verfahren zur verbesserung der funktionalen sicherheit und steigerung der verfügbarkeit eines elektronischen regelungssystems sowie ein elektronisches regelungssystem
DE112006003180T5 (de) Anlagensteuersystem
EP3473512B1 (de) Funktionsmodul, steuereinheit für ein betriebsassistenzsystem und arbeitsvorrichtung
WO2005101145A1 (de) Sicherheitssteuerung
DE19509150C2 (de) Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage
DE10331873A1 (de) Verfahren zur Überwachung verteilter Software
WO2018233934A1 (de) Vorrichtung und verfahren zum ansteuern eines fahrzeugmoduls
EP1043641A2 (de) Fehlersicheres Automatisierungssystem mit Standard-CPU und Verfahren für ein fehlersicheres Automatisierungssystem
EP4126614A1 (de) Bremssystem mit wenigstens zwei energiequellen
DE102019201515A1 (de) Fahrzeugkommunikationsnetzwerk und -verfahren
WO2005001692A2 (de) Verfahren und vorrichtung zur überwachung eines verteilten systems
DE102017218274A1 (de) Lenkungssteuersystem für ein Lenksystem eines Kraftfahrzeuges sowie Verfahren zum Betreiben eines Lenkungssteuersystems
DE102021117324A1 (de) Sendeeinheit und Empfangseinheit zum Senden und Empfangen von Datenpaketen
EP1683016A1 (de) Sichere erfassung von eingabewerten
EP2246761B1 (de) Verfahren zum sicheren Ändern von Parametern einer fehlersicheren industriellen Automatisierungskomponente
DE102013200525A1 (de) Verfahren und Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs
DE102010044280A1 (de) Vorrichtung und Verfahren zur Regelung eines Doppelkupplungsgetriebes
DE102020113451A1 (de) Sendeeinheit und Empfangseinheit zum Senden und Empfangen von Datenpaketen

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8180 Miscellaneous part 1

Free format text: PFANDRECHT

8180 Miscellaneous part 1

Free format text: PFANDRECHT AUFGEHOBEN

8180 Miscellaneous part 1

Free format text: PFANDRECHT

R018 Grant decision by examination section/examining division
R020 Patent grant now final