DE102007038889A1 - Elektronisches Steuergerät mit Notabschaltung und Verfahren zur Prüfung eines Steuergeräts und zur Prüfung eines Systems von Steuergeräten - Google Patents

Elektronisches Steuergerät mit Notabschaltung und Verfahren zur Prüfung eines Steuergeräts und zur Prüfung eines Systems von Steuergeräten Download PDF

Info

Publication number
DE102007038889A1
DE102007038889A1 DE200710038889 DE102007038889A DE102007038889A1 DE 102007038889 A1 DE102007038889 A1 DE 102007038889A1 DE 200710038889 DE200710038889 DE 200710038889 DE 102007038889 A DE102007038889 A DE 102007038889A DE 102007038889 A1 DE102007038889 A1 DE 102007038889A1
Authority
DE
Germany
Prior art keywords
emergency signal
control unit
output
emergency
signal input
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE200710038889
Other languages
English (en)
Inventor
Hans-Joachim Vagt
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE200710038889 priority Critical patent/DE102007038889A1/de
Publication of DE102007038889A1 publication Critical patent/DE102007038889A1/de
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • G05B19/0425Safety, monitoring
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24127Disable, inhibit control signal in I-O interface if alarm status set

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Es wird ein elektronisches Steuergerät mit einem Ansteuerausgang (4), einer Steuereinheit (7) zur Steuerung des Ansteuerausgangs (4), einem Notsignaleingang (3) und einer Sicherheitsschaltung (12) zum Schalten des Ansteuerausgangs (4) in einen sicheren Zustand bei Anliegen eines Notsignals am Notsignaleingang (3) bereitgestellt. Dabei erfolgt das Schalten in den sicheren Zustand beim Anliegen des Notsignals unabhängig von dem Zustand der Steuereinheit (7). Die Erfindung betrifft auch ein Verfahren zum Testen eines Steuergeräts, bei dem ein Notsignalpuls an den Notsignaleingang (3) angelegt wird. Dabei ist der Notsignalpuls so kurz, dass der Notsignalpuls von der Steuereinheit (7) erkannt wird, aber kein Umschalten des Ansteuerausgangs (4) bewirkt.

Description

  • Elektronisches Steuergerät mit Notabschaltung und Verfahren zur Prüfung eines Steuergeräts sowie Verfahren zur Prüfung eines Systems von Steuergeräten Die Erfindung betrifft ein elektronisches Steuergerät mit Notabschaltung und ein Verfahren zur Prüfung eines Steuergeräts sowie ein Verfahren zur Prüfung eines Systems von Steuergeräten.
  • In sicherheitsrelevanten Anwendungen wie in der Fahrzeugtechnik werden oft mehrere Steuerungen nebeneinander eingesetzt. Sicherheitsrelevante Funktionen werden durch mehrere Steuergeräte überwacht, wobei über einen Kommunikationskanal Statusinformationen ausgetauscht werden. Bei einem Ausfall eines der Steuergeräte, beispielsweise durch Fehlfunktion in der Software des Steuergerätes, kann es zu einer Situation kommen, in der die sichere Funktion des Gesamtsystems von den Steuergeräten nicht mehr gewährleistet werden kann.
  • In der US 6,683,432 wird eine Sicherheitsschaltung für einen Antrieb gezeigt, die eine Vielzahl von Sensoren beobachtet, wobei in einer Steuereinheit abgeschätzt wird, ob das zu steuernde System einen für das System gefährlichen Zustand aufweist. In diesem Fall wird die Stromversorgung für den Antrieb abgeschaltet. Problematisch ist bei einer solchen Anordnung, die Steuereinheit so zu realisieren, dass sie auch bei Fehlfunktionen sicher das angesteuerte Gerät abschaltet.
  • Es ist daher Aufgabe der Erfindung, ein Steuergerät mit einer sicheren Notausschaltung anzugeben. Es ist auch Aufgabe der Erfindung, ein zuverlässiges Verfahren zum Prüfen von Steuergeräten mit einer Notausschaltung bereitzustellen. Es ist weiterhin Aufgabe, ein System von Steuergeräten mit sicheren Notausschaltungen und ein entsprechendes Prüfverfahren bereitzustellen.
  • Diese Aufgaben werden durch die Gegenstände der unabhängigen Ansprüche gelöst. Vorteilhafte Ausgestaltungen ergeben sich aus den jeweiligen Unteransprüchen.
  • Es wird ein elektronisches Steuergerät mit einem Ansteuerausgang, einer Steuereinheit zur Steuerung des Ansteuerausgangs, einem Notsignaleingang und einer Sicherheitsschaltung bereitgestellt. Steuergeräte sind elektronische Module, mit denen etwas gesteuert oder geregelt werden muss. Steuergeräte werden im Kfz-Bereich in allen erdenklichen elektronischen Bereichen eingesetzt, ebenso zur Steuerung von Maschinen, Anlagen und sonstigen technischen Prozessen. Die Sicherheitsschaltung des elektronischen Steuergeräts dient zum Schalten des Ansteuerausgangs in einen sicheren Zustand bei Anliegen eines Notsignals am Notsignaleingang. Das Schalten in den sicheren Zustand erfolgt unabhängig von dem Zustand der Steuereinheit, falls das Notsignal am Notsignaleingang anliegt. Dadurch wird gewährleistet, dass auch bei Ausfall der Steuereinheit beispielsweise aufgrund eines Softwarefehlers das Ansteuersignal und somit das Steuergerät zuverlässig in den sicheren Zustand geschaltet wird.
  • Das Gesamtsystem, das durch das Steuergerät und das von ihm angetriebene Gerät gebildet wird, kann so über einen zweiten, unabhängigen Pfad in einen vordefinierten sicheren Zustand versetzt werden, was auch als Notabschaltung bezeichnet wird.
  • Dass unabhängig vom Zustand der Steuereinheit in den sicheren Zustand geschaltet wird, kann dadurch gewährleistet werden, dass das Notsignal als dominantes Signal implementiert wird. Im Normalbetrieb hat das Notsignal einen rezessiven Zustand. Der rezessive Signalzustand gibt den Normalbetrieb für alle Teilnehmer, d. h. die Steuereinheiten der Steuergeräte, frei. Beispielsweise kann die Signaldefinition des Übertragungswegs als eine Oder-Verknüpfung ausgeführt werden. Dabei herrscht im Normalbetrieb der rezessive Zustand vor, der zur Aktivierung des Notsignals in den dominanten Zustand überführt wird. Dadurch ist gewährleistet, dass eine Aufforderung zur Abschaltung immer Priorität hat.
  • Der rezessive und dominante Zustand kann sich durch Pegel eines Einleiterverbindung unterscheiden. Allerdings gibt es auch Ausführungsformen, in denen sich der rezessive und der dominante Zustand durch unterschiedliche Frequenzen oder bei einer Pulsweitenmodu lation (PWM) durch unterschiedliche Tastgrade (engl. duty clycle) unterscheiden. Dies lässt sich durch eine Software einfacher verarbeiten, da nur regelmäßig überprüft werden muss, ob die erwartet Test-Frequenz auch übertragen wird.
  • Das elektronische Steuergerät weist in einer Ausführungsform eine Rückkoppeleinheit zum Melden des Anliegens eines Notsignals am Notsignaleingang an die Steuereinheit auf. Durch die Meldung des Notsignals erfährt die Steuereinheit, dass das Ansteuersignal in den sicheren Zustand überführt wird. Dadurch kann die Steuereinheit berücksichtigen, dass beispielsweise das angesteuerte Gerät angehalten worden ist, was für eine spätere Wiederaufnahme des Normalbetriebs wichtig ist.
  • Falls das Anliegen des Notsignals der Steuereinheit gemeldet wird, bevor der Ansteuerausgang in den sicheren Zustand schaltet, wird gewährleistet, dass kurze Pulse des Notsignals als Testsignale von der Steuereinheit erkannt werden können, bevor der Ansteuerausgang in den sicheren Zustand schaltet oder ohne dass der Ansteuerausgang in den sicheren Zustand schaltet.
  • Dies ist mit Hilfe eines Filters möglich, das zwischen dem Notsignaleingang und dem Ansteuerausgang angebracht ist und kurze Pulse des Notausgangsignals herausfiltert. Dieses Filter sollte allerdings nicht die Meldung der Notsignalpulse an die Steuereinheit herausfiltern, sondern nur das Signal, das an den Ansteuereingang geht. Das Anliegen des Notsignals kann so durch kurze Pulse geprüft werden, ohne das angesteuerte Gerät zu beeinflussen.
  • Alternativ wird ein Verzögerungsglied zwischen dem Notsignaleingang und dem Ansteuerausgang angebracht. Dieses sorgt beispielsweise bei kurzen Notsignalpulsen dafür, dass das Einschalten des sicheren Zustands so lange verzögert wird, bis der kurze Puls zu Ende ist. Damit wird bei diesen kurzen Pulsen der Ansteuerausgang gar nicht in den sicheren Zustand geschaltet.
  • Besonders geeignet ist ein solch beschriebenes Steuergerät für Systeme, die an einen CAN (Controller Area Network)-Bus angeschlossen sind. Dazu weist das Steuergerät auch Eingänge für den CAN-Bus auf. Bei Unterbrechung der Kommunikation über den CAN-Bus gibt es für die Notabschaltung noch einen redundanten Pfad, mit dem im Notfall das System in einen sicheren Zustand überführt werden kann.
  • Falls die Steuereinheit ein Mikroprozessor ist, ist es besonders angebracht, die Notabschaltung vorzunehmen. Da die Ausfallwahrscheinlichkeit des Programmablaufs im Prozessor sehr hoch ist, ist es notwendig, dass die Funktion der Notabschaltung von der Software der empfangenden Geräte nicht behindert werden kann.
  • Die Erfindung betrifft auch ein System von mehreren Steuergeräten, bei dem die Steuergeräte an einem gemeinsamen Bus angeschlossen sind, wobei die Notsignaleingänge an eine gemeinsame Verbindung angeschlossen sind. Ob diese gemeinsame Verbindung als Teil des gemeinsamen Busses aufgefasst werden oder zusätzlich zum Bus vorgesehen wird, ist dabei unerheblich.
  • Bei einem Ausfall der Kommunikationsverbindung oder dem Ausfall eines Steuergeräts, z. B. durch Fehlfunktion in seiner Software, kann die sichere Funktion des Gesamtsystems von den Steuergeräten nicht mehr über den Kommunikationspfad sichergestellt oder ausreichend überprüft werden. In diesem Fall kann es notwendig sein, das Gesamtsystem auf einem anderen, unabhängigen Pfad in den vordefinierten sicheren Zustand zu versetzen. Das Notsignal wird über eine einzelne Verbindung, an die die Steuergeräte mit ihren Notsignaleingängen verbunden sind, übertragen.
  • Vorzugsweise können mehrere Steuergeräte oder sogar alle Steuergeräte das Notsignal auslösen, womit eine Fehlfunktion in einem der Steuergeräte sofort zum Umschalten in sichere Zustände auch durch die anderen Steuergeräte führt.
  • Die physikalische Ebene der Verbindung kann unterschiedlich ausgelegt sein. Denkbar ist eine physikalische Ebene nach der CAN-Bus Lauer-O-Spezifikation. Falls es sich bei der gemeinsamen Verbindung für die Notsignaleingänge um eine Einleiter-pegelorientierte Verbindung handelt, kann diese mit wenig Aufwand realisiert werden.
  • Die Erfindung stellt auch ein Verfahren zum Prüfen eines elektronischen Steuergeräts bereit. Ein solches weist einen Ansteuerausgang, eine Steuereinheit zur Steuerung des Ansteuerausgangs, einen Notsignaleingang und eine Sicherheitsschaltung zum Schalten des Ansteuerausgangs in einen sicheren Zustand bei Anliegen eines Notsignals am Notsignaleingang auf. Bei einem solchen Steuergerät erfolgt das Schalten in den sicheren Zustand bei Anliegen des Notsignals unabhängig von dem Zustand der Steuereinheit.
  • Bei dem Verfahren wird ein Notsignalpuls an den Notsignaleingang angelegt. Dabei ist dieser Notsignalpuls so kurz, dass er von der Steuereinheit erkannt wird, und der Notsignalpuls kein oder ein kurzzeitiges Umschalten des Ansteuerausgangs bewirkt. Das kurzzeitige Umschalten wird so bemessen, dass es keine Fehlfunktion des angesteuerten Geräts bewirkt. Wenn beispielsweise ein träger Antrieb angesteuert wird, hat das kurze Umschalten keinen Einfluss auf den Antrieb.
  • Allerdings kann, wenn gar kein Umschalten erfolgt, das Steuergerät für eine Vielzahl von anzusteuernden Geräten verwendet werden. Der Benutzer des Steuergeräts kann das Steuergerät an die anzusteuernden Geräte anschließen, ohne sich Gedanken machen zu müssen, ob während des laufenden Betriebs der Ansteuerausgang kurzzeitig in den sicheren Zustand schaltet und wie träge das anzusteuernde Gerät sein muss.
  • Durch die kurzen Pulse wird vorteilhafterweise das Anliegen des Notsignals getestet, ohne dass das angesteuerte Gerät durch ein Umschalten des Ansteuerausgangs gestört wird. Dies ermöglicht eine Überprüfung während des laufenden Normalbetriebs des Systems. Dies spart Zeit beim Einschalten des Geräts und ermöglicht eine häufige Wiederholung dieser Überprüfung während des laufenden Betriebs.
  • Das Verfahren weist vorzugsweise einen zusätzlichen Test auf, in dem die Steuereinheit so programmiert wird, dass sie den Ansteuerausgang in den sicheren Zustand schaltet. Gemäß diesem Test wird anschließend der Wert des Ansteuerausgangs geprüft. Der Test überprüft den Signalpfad von der Steuereinheit zu dem Ansteuerausgang, was beim Einschalten des Steuergeräts durchgeführt werden kann.
  • Die Erfindung betrifft auch ein Verfahren zum Prüfen eines Systems von mehreren Steuergeräten, wobei das Verfahren einen Schritt des Anlegens eines Notsignalpulses an den Notsignaleingängen der Steuergeräte aufweist. Auch hier ist der Notsignalpuls so kurz, dass der Notsignalpuls von der Steuereinheit erkannt wird, und der Notsignalpuls kein oder ein kurzzeitiges Umschalten des Ansteuerausgangs bewirkt. Das kurzzeitige Umschalten wird so bemessen, dass es keine Fehlfunktion des angesteuerten Geräts bewirkt.
  • Durch das Anlegen des Notsignals kann in allen Steuergeräten gleichzeitig geprüft werden, ob der Notsignaleingang richtig verbunden ist und ob das Notsignal von dem Notsignaleingang zur Sicherheitsschaltung geleitet wird.
  • Falls der Schritt des Anlegens des Notsignalpulses während des Normalbetriebs des Gesamtsystems erfolgt, braucht dies nicht während des Einschaltens durchgeführt werden, was das Einschalten beschleunigt. Zudem kann der Test regelmäßig durchgeführt werden, ohne den Betrieb des Systems zu unterbrechen.
  • Falls das Notsignal mehrmals hintereinander jeweils von unterschiedlichen Steuergeräten ausgelöst wird, wird geprüft, ob die Steuergeräte alle das Notsignal sicher auslösen können und somit ihre Ausgangsschnittstellen für das Notsignal funktionieren.
  • Die Steuergeräte stellen vorzugsweise die Ergebnisse des Tests anderen Steuergeräten zur Verfügung, damit sie wissen, ob das Gesamtsystem betriebsbereit ist. Dazu kann ein beliebiger Kommunikationspfad wie CAN, ein Netzwerk oder ein definierter Systemzustand verwendet werden.
  • Durch das Zuführen von pulsförmigen Prüfsignalen an den Notsignaleingängen (3) des elektronischen Steuergeräts (1) bzw. des Systems kann effektiv das Funktionieren der Notsignalschaltung überprüft werden, ohne den Betrieb des von dem Steuergerät bzw. dem System zu stören.
  • Die Erfindung stellt somit eine busfähige Sicherheitseinrichtung zur Verfügung, die hier zur Software-unabhängigen Überführung von Geräten in einen sicheren Zustand verwendet wird. Diese Sicherheitseinrichtung dient in diesem Fall als redundanter Sicherungspfad, falls andere Kommunikationswege nicht mehr zur Verfügung stehen. Die Sicherungseinrichtung ist zudem im laufenden Betrieb testbar.
  • Die Erfindung ist in den Zeichnungen anhand eines Ausführungsbeispiels näher veranschaulicht.
  • 1 zeigt in einer schematischen Übersicht die Funktionsblöcke eines erfindungsgemäßen elektronischen Steuergeräts.
  • 2 zeigt eine Ausführungsform einer Notsignaleingangsschaltung für ein Steuergerät gemäß 1.
  • 3 stellt in einem Zeitdiagramm eine Ausführungsform eines erfindungsgemäßen Prüfverfahrens dar.
  • 4 zeigt eine weitere Ausführungsform des erfindungsgemäßen Prüfverfahrens.
  • 5 zeigt ein System von Steuergeräten im Normalbetrieb.
  • 6 zeigt ein System von Steuergeräten bei ausgelöstem Notsignal.
  • 1 stellt eine schematische Übersicht der Funktionsblöcke eines erfindungsgemäßen elektronischen Steuergeräts 1 dar. Das elektronische Steuergerät 1 enthält neben Funktionseingängen 2 einen Notsignaleingang 3 und als Ausgang dient der Ansteuerausgang 4. Das elektronische Steuergerät 1 enthält eine Eingangsschnittstelle 5, eine Ausgangsschnittstelle 6, eine Steuereinheit 7, ein Stellglied 8, eine Rückkopplungseinheit 9, ein Filter 10 und eine Ansteuerschaltung 11.
  • Das elektronische Steuergerät 1 empfängt über einen externen CAN-Bus Signale an den Funktionseingängen 2 und dem Notsignaleingang 3 und steuert den externen Ansteuerausgang 4. Über den CAN-Bus empfängt das elektronische Steuergerät 1 z. B. Informationen über den Zustand weiterer Steuergeräte oder des Gesamtsystems. In einer Ausführung dient das elektronische Steuergerät zur Ansteuerung von Proportionalmagneten für hydrostatische Fahrantriebe, Arbeitshydrauliken oder Getriebesteuerungen.
  • Die Steuereinheit 7 ist hier als Mikroprozessor, auch CPU (Central Processing Unit) genannt, ausgebildet und steuert im Normalbetrieb die Funktion des Steuergeräts 1 und somit auch den Ansteuerausgang 4. Die Steuereinheit 7 greift dabei über das Stellglied 8 und das Filter 10 auf die Ansteuereinheit 11 zu. Der Ansteuerausgang 11 dient zur Verbindung mit einem externen Gerät, beispielsweise einem magnetischen Aktor wie einem Proportionalmagneten. Der Ansteuerausgang 4 kann verschiedene Signalwerte aufweisen, einer dieser Werte wird als sicher bezeichnet. Trägt der Ansteuerausgang 4 den sicheren Wert, wird der Zustand des Steuergeräts als der sichere Zustand bezeichnet. Im sicheren Zustand wird das anzusteuernde Gerät so geschaltet, dass es keine Gefahr für das Gesamtsystem bildet. Steuert der Ansteuerausgang 4 eine Kupplung eines Fahrzeugs, wird diese beispielsweise in den Leerlauf geschaltet.
  • Die Sicherheitsschaltung 12 empfängt die Ausgangssignale des Stellglieds 8 und der Eingangsschnittstelle 5. Diese sorgt dafür, dass bei Vorliegen eines Notsignals am Notsignaleingang 3 der Ansteuerausgang 4 in den sicheren Zustand schaltet. Dabei wird beispielsweise das Notsignal von der Eingangs-Schnittstelle 5, beispielsweise als Low-Pegel, empfangen. Dieses Signal schaltet das Ausgangssignal der Sicherheitsschaltung 12 dominant in den sicheren Zustand.
  • Für das folgende Beispiel wird angenommen, dass der sichere Zustand geschaltet wird, wenn am Eingang des Filters 10 ein digitaler Low-Pegel anliegt. Falls die Verknüpfung zwischen dem Ausgang des Stellgliedes 8 und der Eingangschnittstelle 5 durch ein ODER-Gatter gebildet wird, schaltet ein Low-Pegel von der Eingangsschnittstelle den Ausgang des ODER-Gatters ebenfalls auf einen Low-Pegel unabhängig vom Ausgangswert des Stellgliedes 8.
  • Das Ausgangssignal der Sicherheitsschaltung 12 wird über die Rückleseeinheit 9 auch an die Steuereinheit 7 weitergeben. Dabei muss darauf geachtet werden, dass die Steuereinheit 7 in keinem Fall einen anderen statischen Pegel als die Steuereinheit 7 empfängt. Ist nicht zu gewährleisten, dass die Rückleseeinheit 9 genau gleich sind, wird die Schaltschwelle der Rückleseeinheit 9 etwas enger gewählt. Dies bedeutet, dass im Zweifelsfall die Rückleseeinheit 9 das Anliegen des Notsignals meldet, auch wenn der Pegel des Ausgangssignals der Sicherheitsschaltung 12 noch nicht ausreicht, um in den sicheren Zustand zu schalten.
  • Das elektronische Steuergerät 1 verfügt auch über die Ausgangsschnittstelle 6, mit der das Notsignal auch selbst ausgelöst werden kann. Abhängig von der Anwendung des Gesamtsystems und der daraus resultierenden Aufteilung der Funktionen auf die einzelnen Teilnehmer kann es sinnvoll sein, einzelne Teilnehmer nur mit Eingangs- oder Ausgangsfunktionalität auszustatten.
  • In 2 sind Details der Eingangsschnittstelle 5 und der Ausgangsschnittstelle 6 gezeigt. Dabei gehören der Widerstand R2 und der Differenzverstärker A1 zu der Eingangsschnittstelle 5 und der Schalter S1, die Diode D1 sowie die Widerstände R1 und R3 zu der Ausgangsschnittstelle. Zwischen den Versorgungsknoten 20 und den Masseknoten 21 sind in dieser Reihenfolge die Laststrecke des Schalters S1, der Widerstand R3, die Diode D1 und der Widerstand R1 in Reihe geschaltet. Dabei ist ein Anschluss der Laststrecke des Schal ters S1 an den Versorgungsknoten 20 angeschlossen, während ein Anschluss des Widerstands R1 an den Masseknoten 21 angeschlossen ist. An den Verbindungsknoten 3 zwischen dem Widerstand R1 und der Diode D1 ist das Signal RLx, was für Reißleine extern steht, angeschlossen. Dieser Verbindungsknoten 3 wird in 1 als Notsignaleingang 3 bezeichnet.
  • Zwischen den Verbindungsknoten 3 und den Eingang des Differenzverstärkers A1 ist der Widerstand R2 geschaltet. Der Differenzverstärker A1 gibt das Signal RL_IN an die Sicherheitsschaltung 12 aus. Der Widerstand R2 hat einen Wert von 10 Ω, während R1 und R3 Widerstandswerte von 22 kΩ bzw. 200 Ω haben.
  • Das Signal RL wird von der Steuereinheit 7 getrieben und betätigt den Steuereingang des Schalters S1. Wird durch das Signal RL festgelegt, dass der Schalter geöffnet ist, fließt kein Strom durch die Laststrecke des Schalters S1. Der Verbindungsknoten 3 wird folglich durch den Widerstand R1 auf Massepotential aufgeladen. Durch den Widerstand R2 wird auch der Eingangsknoten des Differenzverstärkers A1 auf das gleiche Potential geladen. Dieses Potential wird im Differenzverstärker A1 mit einer in 2 nicht gezeigten Referenzspannung, beispielsweise 3 V, verglichen. Das Signal RL_IN, das als Eingangssignal für die Sicherheitsschaltung 12 dient, wird auf High-Pegel geschaltet, wodurch die Steuereinheit 7 weiterhin die Kontrolle über den Ansteuerausgang 4 hat.
  • Wird hingegen aufgrund eines Signalwechsels des Signals RL der Schalter S1 geschlossen, fließt ein Strom durch die Reihenschaltung von S1, R3, D1 und R1. Dadurch wird der Verbindungsknoten auf ein höheres Potential gezogen. Nimmt man zur Vereinfachung an, es würde kein Strom nach extern über den Knoten RLx abfließen und es fiele keine Spannung an der Diode D1 ab, stellt sich eine Spannung von 7,93 V am Verbindungsknoten 3 ein. Sind an dem Knoten RLx weitere elektronische Steuergeräte 1 mit Schaltungen wie in 2 angeschlossen, verändert sich die Spannung geringfügig.
  • Der Eingangsknoten des Differenzverstärkers A1 wird jetzt auch auf die am Knoten 3 anliegende Spannung aufgeladen, woraufhin das Signal RL_IN einen Low-Pegel annimmt. Dadurch schaltet die Sicherheitsschaltung 12 ihren Ausgang ebenfalls auf Low-Pegel.
  • Bei geöffnetem Schalter S1 kann die Notausschaltung auch durch externe, an den Knoten RLx angeschlossene Schaltungen auf ein hohes Potential getrieben werden. Sind mehrere Steuergeräte mit ihren Eingangsschnittstellen 5 und Ausgangsschnittstellen 6 an eine gemeinsame Verbindungsleitung RLx angeschlossen, kann jedes Steuergerät durch Schließen seines Schalters S1 das Notsignal auslösen, so dass alle Steuergeräte in den sicheren Zustand schalten. Es können auch mehrere Steuergeräte gleichzeitig das Notsignal auslösen. Es wird wieder freigegeben, wenn sämtliche auslösenden Steuergeräte ihre Schalter S1 wieder geöffnet haben.
  • Der vorgestellte Aufbau ist grundsätzlich für die Realisierung einer prüfbaren sicherheitstauglichen aktiven Notabschaltung geeignet. Um die Prüfbarkeit zu verbessern, wird in einer Ausführungsform dafür gesorgt, dass sehr kurze Impulse des Notsignals von der Steuereinheit zwar als Flanken sicher erkannt werden, nicht aber zur Abschaltung des Systems führen.
  • In einer Ausführungsform ist im Steuergerät die Bedingung erfüllt, dass die Übertragungszeit des Notsignals vom sendenden Teilnehmer bis zum Empfang des Signals über die Rückleseeinheit des empfangenden Geräts kürzer ist als die maximal tragbare Reaktionszeit der Notabschaltung auf eine Anforderung der Steuereinheit 7 im eigenen Gerät. In diesem Fall wird die Ansteuerung des Ansteuerausgangs durch als Filter 10 bezeichnete Verzögerungszeit verzögert. Dies bedeutet, dass im Beispiel von 2 die Verzögerung der auslösenden Flanke des Notsignals vom Notsignaleingang 3 bis zum Ansteuerausgang 4 größer ist als die Verzögerung von dem Notsignaleingang 3 bis zu demjenigen Eingang der Steuereinheit 7, der das Ausgangssignal der Rückkopplungseinheit 9 empfängt.
  • In einer weiteren Ausführungsform enthält das Filter 10 ein Tiefpass, mit dem kurze Pulse des Notsignals herausgefiltert werden. Im einfachsten Fall wird das Tiefpassfilter als RC-Glied implementiert. In einer anderen Ausführungsform verzögert das Filter 10 die auslösende Flanke des Notsignal, während die beendende Flanke des Notsignals ohne merkliche Verzögerung durchgeschaltet wird. Auch dadurch werden kurze Pulse herausgefiltert. Ist die Reaktionszeit des Ansteuersignals auf ein Notsignal am Notsignaleingang 3 mit 10 ms vorgegeben, und ist die mögliche Signalrate auf der Notsignalleitung beispielsweise 20 kHz, was einer 50 μs Signalpulslänge entspricht, so verbleibt für das Filtern genügend Zeit.
  • Alternativ lösen zwar kurze Pulse des Notsignals den sicheren Zustand aus. Dass der sichere Zustand für eine kurze Zeit angenommen wird, ist aber aufgrund der Trägheit des angesteuerten Geräts nicht kritisch. Hierbei kann das Filter 10 auch weggelassen werden.
  • Werden die Endstufen von Regelventilen mit 1000 Hz, was einer Pulslänge von 1 ms entspricht, im pulsweiten-modulierenden (PWM) Verfahren angesteuert, so bleibt eine kurze Abschaltung der Endstufe für 50 μs ohne unmittelbare Folgen.
  • 3 zeigt eine Ausführungsform des Ablaufs eines Prüfverfahrens für ein oben beschriebenes Steuergerät 1 bzw. für ein System von mehreren Steuergeräten 1. Dabei gibt das Signal "Master" an, dass die Steuereinheit 7 von extern programmiert wird. Das Signal "Reißleine" entspricht dem Eingangssignal am Verbindungsknoten 3 und das Signal "Zentralschalter" zeigt an, ob der sichere Zustand von der Steuereinheit eingeschaltet wird.
  • Das hier vorgestellte System hat die Funktion einer aktiven Sperre. Deshalb ist im Normalbetrieb eine aktive Überprüfung – in der Regel unter Zuhilfenahme eines weiteren Kommunikationspfades (z. B. CAN-Busses) – notwendig.
  • Um die vollständige Funktion sicherzustellen, muss die Verbindung von jedem auslösenden Gerät zu jedem einzelnen Empfänger getestet werden. Es müssen also alle Teilnehmer, die im System das Notsignal auslösen können bzw. sollen, dieses mindestens einmal tun und der Empfang muss von allen Teilnehmern bestätigt werden, die im System das Notsignal empfangen müssen.
  • Die Prüfung des Notsignals wird in zwei Phasen aufgeteilt. In der ersten Phase von t1 bis t5 wird die Notsignalfunktion intern ausgelöst und die Funktion von der Steuereinheit 7 bis zur Herstellung des sicheren Zustands überprüft. In der zweiten Phase ab t5 erfolgt die Prüfung im Betrieb, bei der nur noch der Signalpfad vom sendenden Teilnehmer bis zum Empfang durch die Steuereinheit 7 im Empfänger geprüft wird.
  • Für den sogenannten Gesamttest in der ersten Phase muss sich das Gesamtsystem bereits in einem sicheren bzw. inaktiven Zustand befinden, damit der Test nicht zu einer Gefährdung des Gesamtsystems führt. Dieser Zustand tritt normalerweise bei dem Systemstart, d. h. dem Einschalten, auf. Zum Zeitpunkt t0 wird das System von Steuergeräten 1 angeschaltet. Ein bestimmendes Gerät löst als Master das Notsignal aus. Dazu wird das Steuergerät 7 so programmiert, dass es zum Zeitpunkt 11 intern über das Stellglied 8, die Sicherheitsschaltung 12, das Filter 10 und die Ansteuerschaltung 11 den Ansteuerausgang 4 in den sicheren Zustand schaltet. Die Programmierung kann über die CAN-Schnittstelle erfolgen. Nach dem Schalten in den sicheren Zustand überprüfen alle Geräte die interne Funktion des Notsignals, also den ordnungsgemäßen Übergang in den vorgesehenen sicheren Zustand und die Funktionalität der Notsignaleinheit selbst. Dies kann in der Regel lokal innerhalb der Geräte geschehen.
  • Diese Überprüfung wird in der Regel für alle Teilnehmer gleichzeitig bei Systemstart durchgeführt. In dieser ersten Phase kann auch mit vertretbarem Zeitaufwand das Auslösen von einem der Teilnehmer geprüft werden.
  • In der Zeit zwischen t3 und t4 müssen alle Steuergeräte 1 prüfen, ob das Notsignal am Notsignaleingang 3 ausgelöst ist. Nach einer gewissen Zeit wird das Notsignal zurückgenommen und das System wird freigegeben. Dazu wird zum Zeitpunkt t4 durch den "Master", also die Steuereinheit 7, die die Reißleine gezogen hat, diese wieder freigegeben. Folglich werden die Ansteuerausgänge 4 wieder in ihre Betriebszustände gebracht. Nach dem Zeitpunkt t5 prüfen alle Steuergeräte 1 an ihren Ansteuerausgängen 4, ob der sichere Zustand tatsächlich wieder ausgeschaltet ist.
  • In einer alternativen Ausführung steuern die als Slave arbeitenden Steuergeräte 1 das Stellglied zeitversetzt ebenfalls an bzw. wechseln den Status der Ansteuerung des Stellgliedes. Durch Überprüfen des Zustandes der Ausgänge wird die Funktion der internen Komponenten in allen vier möglichen Zuständen überprüft. Wenn die interne Ansteuerung nicht benötigt wird, kann das Stellglied 8 entfallen.
  • Im Erfolgsfall sind bei allen Empfängern des Notsignals folgende Teile des Systems getestet:
    • – der Übertragungsweg zwischen CPU und der Ansteuereinheit,
    • – die Funktion der Ansteuereinheit und die Herstellung des vorgesehenen sicheren Zustands, sowie das Aufheben desselben,
    • – die einwandfreie physikalische Verbindung des Signalbusses zwischen allen Teilnehmern,
    • – der Eingang des Notsignalsystems für alle empfangenden Teilnehmer, aber auch des Senders,
    • – das dominante Auslösen des sicheren Zustands gegen die Ansteuerung durch die Steuereinheit und somit die Dominanz des Notsystems,
    • – das Rücklesen des Zustands des Notsignals,
    • – die Auslösefunktion des auslösenden Gerätes.
  • Noch nicht geprüft ist allerdings, ob auch andere Teilnehmer im System das Notsignal erfolgreich auslösen können und ob auch alle Teilnehmer das Signal einwandfrei empfangen können, auch wenn es z. B. Pegelunterschiede durch unsaubere Masse oder ähnliches gibt.
  • Dazu wird in einer zweiten Phase ein Test im laufenden Betrieb durchgeführt. Dabei wird nur noch der Signalpfad vom sendenden Teilnehmer bis zum Empfang durch die CPU im Empfänger geprüft.
  • Um die oben genannten Fehler auszuschließen, wird im laufenden Betrieb der Übertragungspfad zwischen allen Teilnehmern getestet. Zu diesem Zweck wird zu dem Zeitpunkt t6 das Notsignal am Notsignaleingang 3 für eine kurze Zeit eingeschaltet. Das Notsignal muss lediglich für eine Dauer ausgelöst werden, in der das Signal sicher von allen Teilnehmern rückgelesen wird. Damit entfällt die Notwendigkeit, den gesamten Testumfang zu wiederholen, was bei vielen Systemen entweder zuviel Zeit beim Systemstart beanspruchen würde, oder das System im Betrieb unzulässig beeinflussen würde. In der 3 wird der Zentralschalterausgang kurz auf niedriges Potential gebracht, ohne dass er über das Stellglied 8 den Ansteuerausgang in den sicheren Zustand schaltet. Auch verhindert in diesem Ausführungsbeispiel das Filter 10, dass von der Eingangsschnittstelle 5 über die Sicherheitsschaltung in den sicheren Zustand geschaltet wird, da der Puls für ein Auslösen zu kurz ist.
  • Wird das Notsignal von der Steuereinheit 7 in Form einer Flankenauswertung überprüft, so ist nur die erste Flanke für die Geschwindigkeit der Signalübertragung prägend. Würde beispielsweise das Notsignal physikalisch auf Basis der physikalischen Schicht des CAN-Busses implementiert, so beträgt der Übertragungsweg des gesamten Notsignal-Systems deutlich unter einer Mikrosekunde, solange die Gatterlogik im empfangenden Gerät schnell ausgelegt wird. Der CAN-Bus ist als Übertragungsmedium hervorragend spezifiziert und daher als Beispiel gut geeignet, allerdings dürfte der technische Aufwand in vielen Fällen für ein pegelbasiertes Ein-Leitersystem sprechen.
  • In der Praxis übermittelt der sendende Teilnehmer einen sehr kurzen Impuls.
  • Diese Prüfung kann im laufenden Betrieb vorgenommen werden, wodurch Zeit beim Einschalten gespart wird. Der Ansteuerimpuls ist so kurz bemessen, dass er über den Bus sicher übertragen und über die Rückleseeinheit von der CPU der Empfänger erkannt wird. Die Impulse müssen so kurz sein, dass die Ansteuereinheit des Empfängers den Impuls entweder nicht erkennt oder die kurze Reaktion das Gesamtsystem nicht unzulässig beeinflusst. Um diese Prüfung zu gewährleisten, wird in einer optional Ausführungsform durch Programmierung das Auslösen des sicheren Zustands durch die CPU deaktiviert.
  • Dieser Test in der zweiten Phase wird nun während des Betriebs von allen dafür vorgesehenen Geräten nacheinander durchgeführt, so dass jedes Gerät mindestens einmal das Notsignal über die Reißleine aktiviert hat.
  • Für die Verifikation aller Tests ist es angebracht, dass alle Teilnehmer das Ergebnis eines jeden Tests den anderen Teilnehmern zur Verfügung stellen. Ferner ist vorteilhaft, die Tests vorher anzukündigen, damit die Teilnehmer keine ungewollten Notreaktionen auslösen bzw. damit die Empfänger den Empfang des kurzen Impulses vorbereiten können, z. B. durch Aktivieren eines für den Empfang vorgesehenen Interrupt-Eingangs.
  • Grundsätzlich ist es notwendig, dass aufgrund der Tests die völlige vorgesehene Funktion des Systems gewährleistet ist, und dass dies den dafür vorgesehenen Überwachungseinheiten bekannt ist. Dafür ist es nicht zwingend notwendig, dass alle Teilnehmer an allen Teilen der Tests aktiv teilnehmen, wenn die Funktion bereits gewährleistet ist, z. B. weil bestimmte Fehler, z. B. Masseprobleme, auf anderem Wege ausgeschlossen werden können.
  • Es ist daher auch möglich, dass die zweite Phase nur mit einem Teil der Teilnehmer als Empfänger durchgeführt wird, so dass der Aufwand in den restlichen Teilnehmern in Hardware und Software reduziert werden kann.
  • 4 unterscheidet sich von 3 dadurch, dass Notsignale mit Hilfe der Reißleine seltener aktiviert werden. Das System wird bereits ab dem Zeitpunkt t5 zum Betrieb freigegeben. Für den Fall, dass mit dem ersten Test eine ausreichende Systemsicherheit so gewährleistet ist, kann das System danach bereits freigegeben werden, wenn die weiteren Teilnehmer in ausreichend kurzem Abstand, z. B. deutlich unter der Zweitfehlereintrittszeit, getestet werden können. Die Zweitfehlereintrittszeit ist die Zeit, die vergeht, bis nach einem ersten Fehler ein zweiter kritischer Fehler gleichzeitig auftritt, obwohl keinerlei technischer Zusammenhang besteht. Man geht hier von 24 h bis 3 Tagen aus.
  • In einer weiteren Ausprägung kann die Überprüfung des Signalweges kontinuierlich erfolgen, insbesondere, da durch die konstruktive Auslegung gewährleistet ist, dass die kurzen Prüfimpulse sicher nicht zu einem Auslösen der Notfunktion führen, z. B. durch geeignete Auslegung des Filters 10 vor der Auslöseeinheit 11.
  • 5 und 6 zeigen Systeme von elektronischen Steuergeräten SG1, SG2, SG3 und SG4, die jeweils über ihre Notsignaleingänge 3 an die gemeinsame Reißleinenverbindung 50 angeschlossen sind. In 5 laufen alle Steuergeräte im Normalbetrieb und der Zustand der Reißleine ist rezessiv.
  • In 6 löst das Steuergerät SG2 das Notsignal aus und ändert den Zustand der Reißleine in den dominanten Zustand, was am Potential, das größer als 4 V ist, erkennbar ist. Daraufhin stoppen alle Steuergeräte SG1, SG2, SG3, SG4 und schalten jeweils in ihren sicheren Zustand.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • - US 6683432 [0003]

Claims (25)

  1. Elektronisches Steuergerät mit – einem Ansteuerausgang (4), – einer Steuereinheit (7) zur Steuerung des Ansteuerausgangs (4), – einem Notsignaleingang (3), – einer Sicherheitsschaltung (12) zum Schalten des Ansteuerausgangs (4) in einen sicheren Zustand bei Anliegen eines Notsignals am Notsignaleingang (3), dadurch gekennzeichnet, dass die Sicherheitsschaltung so ausgebildet ist, dass bei Anliegen des Notsignals der Ansteuerausgang (4) in den sicheren Zustand unabhängig von dem Zustand der Steuereinheit (7) schaltbar ist.
  2. Elektronisches Steuergerät nach Anspruch 1, dadurch gekennzeichnet, dass eine Rückkoppeleinheit (9) vorgesehen ist, mit der das Anliegen eines Notsignals am Notsignaleingang (3) an die Steuereinheit (7) gemeldet wird, und das elektronische Steuergerät (1) so ausgebildet ist, dass der Steuereinheit (7) das Anliegen des Notsignals gemeldet wird, bevor der Ansteuerausgang (4) in den sicheren Zustand schaltet.
  3. Elektronisches Steuergerät nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ein Filter (10) zwischen dem Notsignaleingang (3) und dem Ansteuerausgang (4) angeordnet ist, mit dem kurze Pulse am Notsignaleingang (3) herausfilterbar sind.
  4. Elektronisches Steuergerät nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ein Verzögerungsglied (10) zwischen dem Notsignaleingang (3) und dem Ansteuerausgang (4) vorgesehen ist.
  5. Elektronisches Steuergerät nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das elektronische Steuergerät (7) eine Ausgangsschnittstelle (6) zum Auslösen eines Notsignals am Notsignaleingang (3) aufweist.
  6. Elektronisches Steuergerät nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das elektronische Steuergerät (1) Eingänge (2) zum Anschluss eines CAN (Controller Area Network)-Busses aufweist.
  7. Elektronisches Steuergerät nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass als Steuereinheit (7) ein Mikroprozessor vorgesehen ist.
  8. Verwendung eines elektronisches Steuergeräts nach einem der vorhergehenden Ansprüche zur Steuerung von magnetischen Aktoren.
  9. System bestehend aus mehreren Steuergeräten (1) nach einem der Ansprüche 1 bis 7, wobei die Steuergeräte (1) an einem gemeinsamen Bus (2) angeschlossen und die Notsignaleingänge (3) an eine gemeinsame Verbindung angeschlossen sind.
  10. System nach Anspruch 9, dadurch gekennzeichnet, dass als gemeinsame Verbindung eine Einleiter-pegelorientierte Verbindung vorgesehen ist.
  11. System nach Anspruch 9 oder 10, dadurch gekennzeichnet, dass mehrere Steuergeräte (1) des Systems jeweils Ausgabeschnittstellen (6) zum Auslösen eines Notsignals an der gemeinsamen Verbindung aufweisen.
  12. System nach einem der Ansprüche 9 bis 11, dadurch gekennzeichnet, dass die gemeinsame Verbindung busartig mit dominatem und rezessivem Zustand ist.
  13. Verfahren zum Prüfen eines elektrischen Steuergeräts, das nach einem der Ansprüche 1 bis 8 ausgebildet ist, mit folgendem Schritt: Anlegen eines Notsignalpulses an den Notsignaleingang (3), wobei die Dauer des Notsignalpulses so bemessen ist, dass der Notsignalpuls von der Steuereinheit (7) erkannt wird, und der Notsignalpuls kein oder ein kurzzeitiges Umschalten des Ansteuerausgangs (4) bewirkt.
  14. Verfahren zum Prüfen eines elektrischen Steuergeräts nach Anspruch 13, gekennzeichnet durch folgenden Schritt: Schalten des Ansteuerausgangs in den sicheren Zustand mittels der Steuereinheit (7) und anschließendes Überprüfen des Wertes des Ansteuerausgangs (4).
  15. Verfahren nach einem der Ansprüche 13 bis 14, dadurch gekennzeichnet, dass die Prüfung fortlaufend in Form eines periodischen Signals erfolgt.
  16. Verfahren nach einem der Ansprüche 13 bis 15, dadurch gekennzeichnet, dass bei Vorliegen eines rezessiven Zustands am Notsignaleingang kein Notsignal ausgelöst und durch Vorlegen eines dominanten Pegels am Notsignaleingang das Notsignal ausgelöst wird.
  17. Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass der rezessive und der dominante Zustand sich durch unterschiedliche Ausprägungen des Signals unterscheiden.
  18. Verfahren nach Anspruch 17, dadurch gekennzeichnet, dass die unterschiedlichen Ausprägungen sich aus unterschiedlichen Frequenzen oder Signalformen ergeben.
  19. Verfahren zum Prüfen eines Systems nach einem der Ansprüche 9 bis 12, gekennzeichnet durch folgenden Schritt: Anlegen eines Notsignalpulses an die Notsignaleingänge (3) der Steuergeräte (1), wobei die Dauer des Notsignalpulses so bemessen ist, dass der Notsignalpuls von der Steuereinheit (7) erkannt wird und der Notsignalpuls kein oder ein kurzzeitiges Umschalten des Ansteuerausgangs (4) bewirkt.
  20. Verfahren nach Anspruch 19, wobei das Anlegen des Notsignalpulses mehrmals hintereinander durchgeführt wird, wobei der Notsignalpuls jeweils von unterschiedlichen Steuergeräten (1) ausgelöst wird.
  21. Verfahren nach Anspruch 19 oder 20, wobei das Anlegen des Notsignalpulses während des Normalbetriebs des Gesamtsystems durchgeführt wird.
  22. Verfahren nach Anspruch 19, 20 oder 21, dadurch gekennzeichnet, dass es zusätzlich folgenden Testschritt aufweist: Schalten des Ansteuerausgangs in den sicheren Zustand mittels der Steuereinheit (7) und anschließendes Überprüfen des Wertes des Ansteuerausgangs (4).
  23. Verfahren nach Anspruch 22, dadurch gekennzeichnet, dass der Test für alle Steuergeräte (1) gleichzeitig erfolgt.
  24. Verfahren nach einem der Ansprüche 22 bis 23, dadurch gekennzeichnet, dass die Steuergeräte (1) jeweils die Ergebnisse des Tests anderen Steuergeräten (1) zur Verfügung stellen.
  25. Verfahren zum Prüfen eines elektronischen Steuergeräts oder eines Systems bestehend aus mehreren Steuergeräten mit folgendem Schritt: Zuführen von pulsförmigen Prüfsignalen an den Notsignaleingängen (3) des elektronischen Steuergeräts (1) bzw. des Systems bestehend aus mehreren Steuergeräten (1).
DE200710038889 2007-08-17 2007-08-17 Elektronisches Steuergerät mit Notabschaltung und Verfahren zur Prüfung eines Steuergeräts und zur Prüfung eines Systems von Steuergeräten Ceased DE102007038889A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200710038889 DE102007038889A1 (de) 2007-08-17 2007-08-17 Elektronisches Steuergerät mit Notabschaltung und Verfahren zur Prüfung eines Steuergeräts und zur Prüfung eines Systems von Steuergeräten

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200710038889 DE102007038889A1 (de) 2007-08-17 2007-08-17 Elektronisches Steuergerät mit Notabschaltung und Verfahren zur Prüfung eines Steuergeräts und zur Prüfung eines Systems von Steuergeräten

Publications (1)

Publication Number Publication Date
DE102007038889A1 true DE102007038889A1 (de) 2009-02-19

Family

ID=40279511

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200710038889 Ceased DE102007038889A1 (de) 2007-08-17 2007-08-17 Elektronisches Steuergerät mit Notabschaltung und Verfahren zur Prüfung eines Steuergeräts und zur Prüfung eines Systems von Steuergeräten

Country Status (1)

Country Link
DE (1) DE102007038889A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016124544A1 (de) * 2016-12-15 2018-06-21 Mtu Friedrichshafen Gmbh Verfahren zur Steuerung einer Notfalleinrichtung

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6683432B2 (en) 2001-09-12 2004-01-27 Eigenpoint Company Safety circuit with automatic recovery

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6683432B2 (en) 2001-09-12 2004-01-27 Eigenpoint Company Safety circuit with automatic recovery

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016124544A1 (de) * 2016-12-15 2018-06-21 Mtu Friedrichshafen Gmbh Verfahren zur Steuerung einer Notfalleinrichtung
DE102016124544B4 (de) * 2016-12-15 2018-11-08 Mtu Friedrichshafen Gmbh Verfahren zur Steuerung einer Notfalleinrichtung

Similar Documents

Publication Publication Date Title
WO2005101440A1 (de) Sicherheitsschalteinrichtung für eine sicherheitsschaltung
DE4441070C2 (de) Sicherheitsschalteranordnung
DE102013112488A1 (de) Sicherheitssteuerung mit konfigurierbaren Eingängen
DE4307794C2 (de) Einrichtung zur Überwachung symmetrischer Zweidraht-Busleitungen und -Busschnittstellen
EP3043220B1 (de) Vorrichtung und verfahren zur funktionsüberwachung eines sicherheitsschaltmittels
EP3111284B1 (de) Redundierbare eingangsschaltung, eingangsschaltungseinheit mit mindestens einer eingangsschaltung und verfahren zum betrieb einer solchen eingangsschaltungseinheit
EP2083433B1 (de) Sicherheitsgerät und System
DE102008032823A1 (de) Sichere Anschlussvorrichtung
DE112013002661T5 (de) Segment mit einer Fehlerschutzeinrichtung für ein zweidrahtiges, kombiniert verbundenes Energie- und Datennetzsystem
DE102009050692B4 (de) Sicherheits-Kommunikationssystem zur Signalisierung von Systemzuständen
DE102007038889A1 (de) Elektronisches Steuergerät mit Notabschaltung und Verfahren zur Prüfung eines Steuergeräts und zur Prüfung eines Systems von Steuergeräten
EP1594021A1 (de) Schaltungsanordnung sowie Verfahren zum Testen von Relaisschaltkontakten einer digitalen Ausgangsschaltung
DE102012205289A1 (de) Sicherheitssensor
EP3200033B1 (de) Anordnung mit zumindest zwei peripherie-einheiten und mit einem sensor
DE4403156B4 (de) Verfahren und Vorrichtung zur Durchführung des Verfahrens zur Ansteuerung eines Verbrauchers
EP0332055B1 (de) Schaltungsanordnung zum Erkennen fehlerhafter Pegelzustände digitaler Signale, die auf eine Busleitung eingespeist werden
DE102020112985A1 (de) IO-Link-Adapter
WO2020193282A1 (de) Schaltungsanordnung und verfahren zur überwachung eines wechselspannungsförmigen signals
EP3322620B1 (de) Vorrichtung und verfahren zum ansteuern einer endstufe für einen aktuator in einem fahrzeug
EP2733718A2 (de) Verfahren und Vorrichtung zur Auswertung von Signalen, die von einem OSSD-Ausgangselement kommen
WO2019121383A1 (de) Verfahren zum selbsttest, datenbusanordnung und verwendung
DE102018118057A1 (de) System zur automatisch überwachten Fahrzeugzustandssignalisierung und Verfahren zur Überwachung einer Fahrzeugzustandssignalisierungsvorrichtung
DE102010063528A1 (de) Verfahren zum Verbinden von Busleitungen zu Bussen und Vorrichtung zur Ausführung des Verfahrens
DE102021104265A1 (de) Controller, elektronische Komponente und elektronisches System
DE102011018630B4 (de) Sicherheits-Kommunikationssystem zur Signalisierung von Systemzuständen

Legal Events

Date Code Title Description
R012 Request for examination validly filed

Effective date: 20131030

R016 Response to examination communication
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final