DE102008004206A1 - Error e.g. transient error, detecting and handling arrangement for control device in motor vehicle, has arithmetic units informing result of inherent error diagnosis to monitoring unit that controls arithmetic units in dependence of result - Google Patents

Error e.g. transient error, detecting and handling arrangement for control device in motor vehicle, has arithmetic units informing result of inherent error diagnosis to monitoring unit that controls arithmetic units in dependence of result Download PDF

Info

Publication number
DE102008004206A1
DE102008004206A1 DE200810004206 DE102008004206A DE102008004206A1 DE 102008004206 A1 DE102008004206 A1 DE 102008004206A1 DE 200810004206 DE200810004206 DE 200810004206 DE 102008004206 A DE102008004206 A DE 102008004206A DE 102008004206 A1 DE102008004206 A1 DE 102008004206A1
Authority
DE
Germany
Prior art keywords
unit
self
fault diagnosis
arithmetic
monitoring unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE200810004206
Other languages
German (de)
Inventor
Christine Rossa
Carsten Gebauer
Rainer Gmehlich
Jens Gramm
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE200810004206 priority Critical patent/DE102008004206A1/en
Publication of DE102008004206A1 publication Critical patent/DE102008004206A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/165Error detection by comparing the output of redundant processing systems with continued operation after detection of the error
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24197Dual analog output ports, second takes over if first fails

Abstract

The arrangement has a comparison unit (3) guided at an inherent error diagnostic monitoring unit (11) that is connected with arithmetic units (1, 2) that are designed for safety-relevant application of the motor vehicle. The arithmetic units communicate with the monitoring unit, and are arranged for inherent error diagnosis. The arithmetic units inform a result of the inherent error diagnosis to the monitoring unit that controls the arithmetic units in dependence of the result. The comparison unit is connected with the monitoring unit by an error signal line (14). An independent claim is also included for a method for handling error in a control device in a motor vehicle.

Description

Die Erfindung betrifft eine Anordnung zur Fehlererkennung und -behandlung in einem Steuergerät in einem Kraftfahrzeug, bestehend aus einem Prozessorsystem mit mindestens zwei redundant arbeitenden, eigenfehlerdiagnosefähigen Recheneinheiten, deren Ausgangssignale von einer Vergleichseinheit überwachbar sind, wobei die Recheneinheiten mit einer Datenleitung verbunden sind sowie ein Verfahren zur Fehlerbehandlung des eine sicherheitsrelevante Anwendung ausführenden Steuergerätes.The The invention relates to an arrangement for fault detection and treatment in a control unit in a motor vehicle, consisting from a processor system with at least two redundantly operating, self-diagnosis-capable arithmetic units whose output signals can be monitored by a comparison unit, wherein the Arithmetic units are connected to a data line and a method for error handling of a security-relevant application exporting Control unit.

Komplexe Halbleiterbausteine wie Mikrocontroller werden bei nahezu gleichem Platzbedarf immer leistungsfähiger. Allerdings werden Sie dadurch immer anfälliger für sogenannte transiente Fehler. Transiente Fehler treten unverhofft durch die Einwirkung von elektromagnetischer Strahlung aber auch durch kosmische oder radioaktive Strahlungseinflüsse auf und sind daher nicht vorhersehbar.complex Semiconductor devices such as microcontrollers are almost identical Space requirements more and more efficient. However you will thus more susceptible to so-called transient Error. Transient errors occur unexpectedly through the action from electromagnetic radiation but also through cosmic or radioactive effects and are therefore not predictable.

Insbesondere beim Einsatz in Echtzeitsystemen, wie ihn beispielsweise Steuergeräte für Kraftfahrzeuge darstellen, werden hohe Anforderungen hinsichtlich Sicherheit und Zuverlässigkeit gestellt. Um die Systemsicherheit beim Auftreten von transienten Fehlern in Komponenten wie in Speichern (RAM, ROM bzw. Flash) oder im Rechnerkern auf das entsprechende Maß einzustellen, werden an verschiedenen Stellen im Steuergerät Überwachungen implementiert.Especially when used in real-time systems, such as ECUs represent for motor vehicles, are high requirements in terms Safety and reliability provided. To the system security when transient errors occur in components such as memories (RAM, ROM or Flash) or in the computer core to the appropriate level, Monitoring is implemented at various points in the controller.

Um Fehler in Speicherbausteinen wie RAM oder Flash im Betrieb tolerieren zu können, werden beispielsweise Error Correcting Codes (ECC) eingesetzt.Around Tolerate errors in memory devices such as RAM or Flash during operation For example, Error Correcting Codes (ECC) used.

Ein bekanntes und häufig eingesetztes Prinzip, um Fehler im Prozessor im Betrieb tolerieren zu können, ist die redundante Auslegung von Prozessorsystemen.One well-known and often used principle to error in the To be able to tolerate the processor during operation is the redundant one Design of processor systems.

Ein solches System ist aus der US-5 748 873 A1 bekannt, bei welchem im Normalbetrieb ein Programm auf beiden Rechnern gleichzeitig gerechnet wird, was auch als „Duplex-Modus" bezeichnet wird. Es findet ein Vergleich der Ausgangssignale der Prozessoren statt. Wird eine Ungleichheit festgestellt, speichert einer der Prozessoren seinen Zustand und stellt den Grund für die Ungleichheit fest. Im Falle von erkannten Fehlern wird die Programmabarbeitung im „Duplex-Modus" fortgesetzt, indem die Prozessoren den gespeicherten Zustand restaurieren und wieder synchronisiert werden.Such a system is out of the U.S. 5,748,873 A1 In the case of normal operation, a program is calculated simultaneously on both computers, which is also referred to as "duplex mode." A comparison of the output signals of the processors takes place Reason for the inequality fixed In the case of detected errors, the program execution is continued in "duplex mode" by the processors restore the stored state and synchronized again.

Im Falle eines permanenten Fehlers in einem der Prozessoren wird dieser Prozessor abgeschaltet und das System setzt den Prozess auf dem fehlerfrei arbeitenden Prozessor fort.in the Case of a permanent failure in one of the processors becomes this Processor shut down and the system continues the process on the error-free processor continues.

Der Erfindung liegt die Aufgabe zu Grunde, eine Anordnung und ein Verfahren zur Fehlererkennung und Behandlung von Fehlern in einem Steuergerät in einem Kraftfahrzeug anzugeben, mit welchem eine Vielzahl von möglichen, innerhalb des Steuergerätes während des Programmablaufes auftretenden Fehlern behandelt werden können, ohne dass die Verfügbarkeit des Systems eingeschränkt wird.Of the The invention is based on the object, an arrangement and a method for error detection and handling of errors in a control unit specify in a motor vehicle, with which a variety of possible, within the control unit during can be handled in the program sequence occurring errors without limiting the availability of the system.

Der Vorteil der Erfindung besteht darin, dass die einfach konstruierte Hardwareschaltung extern an ein Mehrprozessorsystem oder ein Mehr-Core-System des Steuergerätes angeschlossen werden kann. Da die Fehler zuverlässig erkannt werden, ist ein Weiterbetrieb des Systems in jeder Situation ermöglicht. Ein Weiterbetrieb ist somit auch in Situationen mit transienten und permanenten Fehlern möglich, da im Zusammenhang mit der Eigenfehlerdiagnose der defekte Prozessor zuverlässig identifiziert werden kann.Of the Advantage of the invention is that the simply constructed External hardware connection to a multiprocessor system or a multi-core system of the control unit can be connected. Because the mistakes Reliable detection is a continued operation of the system in every situation possible. Continued operation is thus also possible in situations with transient and permanent errors, because in connection with the self-fault diagnosis of the defective processor can be reliably identified.

Erfindungsgemäß führt die Vergleichseinheit an eine Eigenfehlerdiagnoseüberwachungseinheit, wobei die Eigenfehlerdiagnoseüberwachungseinheit mit jeder eine sicherheitsrelevante Anwendung de Kraftfahrzeuges ausführenden Recheneinheit verbunden ist, und die beiden Recheneinheiten mit der Eigenfehlerdiagnoseüberwachungseinheit kommunizieren, wobei jede die Eigenfehlerdiagnose durchführende Recheneinheit ein Ergebnis der Eigenfehlerdiagnose an die Eigenfehlerdiagnoseüberwachungseinheit meldet und die Eigenfehlerdiagnoseüberwachungseinheit in Abhängigkeit von diesen Ergebnissen die Recheneinheiten ansteuert.According to the invention leads the comparison unit to a self-fault diagnosis monitoring unit, wherein the self fault diagnostic monitor with each one safety relevant application de motor vehicle exporting Computing unit is connected, and the two arithmetic units with communicate with the self fault diagnosis monitoring unit, wherein each of the self-fault diagnosis performing computing unit a result of the self-fault diagnosis to the self-fault diagnosis monitoring unit reports and the self-fault diagnosis monitoring unit in Dependence on these results the computing units controls.

Bei dieser Ausführung ist die Anzahl der Signalleitungen auf ein Minimum beschränkt.at This embodiment has the number of signal lines a minimum.

Vorteilhafterweise ist die Vergleichseinheit über eine Fehlersignalleitung mit der Eigenfehlerdiagnoseüberwachungseinheit verbunden, welche bei Erhalt eines Fehlersignales einen Timer startet, wobei die Recheneinheiten während einer vom Timer vorgegebenen Zeitdauer die Eigenfehlerdiagnose ausführen und die Ergebnisse der Eigenfehlerdiagnose über die Datenleitung an die Eigenfehlerdiagnoseüberwachungseinheit leiten.advantageously, is the comparison unit via an error signal line connected to the self-fault diagnosis monitoring unit, which starts a timer upon receipt of an error signal, wherein the arithmetic units during a predetermined by the timer Duration of the self-fault diagnosis and the results the self-fault diagnosis via the data line to the self-fault diagnosis monitoring unit conduct.

Die Verwendung eines Timers begrenzt die Zeit, in welcher die Eigenfehlerdiagnose durchgeführt werden kann. Wenn in der von Timer vorgegebenen Zeit kein Ergebnis vorliegt, wird auf einen Fehler in der Eigenfehlerdiagnose geschlossen.The Using a timer limits the time in which the self-fault diagnosis can be carried out. If specified in the timer If there is no result, an error is made in the self-diagnosis closed.

Durch Anbindung der Eigenfehlerdiagnoseüberwachungseinheit an die Datenleitung, welche in jedem Echtzeitsystem vorhanden ist, kann zur Kommunikation zwischen Recheneinheit und Eigenfehlerdiagnoseüberwachungseinheit auf zusätzliche Datenleitungen zwischen den Recheneinheiten und der Eigenfehlerdiagnoseüberwachungseinheit verzichtet werden. Als Datenleitung wird üblicherweise ein Systembus verwendet.By connecting the Eigenfehlerdiagnoseüberwachungseinheit to the data line, which in each real-time system is present, can be dispensed with for communication between the computing unit and Eigenfehlerdiagnoseüberwachungseinheit on additional data lines between the computing units and the Eigenfehlerdiagnoseüberwachungseinheit. As a data line usually a system bus is used.

Um im Fall eines permanenten Fehlers einer Recheneinheit kontrolliert reagieren zu können, weist die Eigenfehlerdiagnoseüberwachungseinheit einen durch einen Maximalwert begrenzten Fehlerzähler auf. Der Fehlerzähler zählt jede Fehlermeldung. Ist der Maximalwert durch die ständige Wiederholung des Fehlersignals erreicht, wird davon ausgegangen, dass der Fehler irreparabel ist.Around controlled in the case of a permanent error of a computing unit to be able to respond, has the Eigenfehlerdiagnoseüberwachungseinheit an error counter limited by a maximum value. The error counter counts each error message. Is the Maximum value due to the constant repetition of the error signal reached, it is assumed that the error is irreparable.

Ist eine Recheneinheit defekt, so soll die andere noch verbleibende Recheneinheit darüber in Kenntnis gesetzt werden, dass sie allein weiterarbeitet. Zu diesem Zweck ist die Eigenfehlerdiagnoseüberwachungseinheit über eine Informationsleitung mit der Vergleichseinheit und den beiden Recheneinheiten verbunden.is one arithmetic unit is defective, then the other one should remain Calculating unit to be informed that she continues to work alone. For this purpose, the Eigenfehlerdiagnoseüberwachungseinheit is about an information line with the comparison unit and the two Connected computing units.

Alternativ dazu ist es aber auch möglich, dass die Eigenfehlerdiagnoseüberwachungseinheit über die Informationsleitung nur mit der Vergleichseinheit verbunden ist, von welcher je eine Informationsverteilungsleitung an jede Recheneinheit führt. Hier übernimmt die Vergleichseinheit die Information an die Recheneinheit, welche allein weiterarbeitet.alternative but it is also possible that the Eigenfehlerdiagnoseüberwachungseinheit over the information line only connected to the comparison unit is, from which ever an information distribution line to each Arithmetic unit leads. Here the comparison unit takes over the information to the arithmetic unit, which continues to work alone.

Die Eigenfehlerdiagnoseüberwachungseinheit ist über je eine Signalleitung mit jeder Recheneinheit verbunden, wobei diese in Abhängigkeit von den Ergebnissen der Eigenfehlerdiagnosen der Recheneinheiten die Signalleitungen akiviert.The Self-diagnosis diagnostic monitoring unit is over one signal line connected to each arithmetic unit, this being depending on the results of the self-fault diagnoses the arithmetic units activates the signal lines.

Ist die Signalleitung eine Schaltleitung, ist auf ein Signal der Eigenfehlerdiagnoseüberwachungseinheit über die Schaltleitung die Recheneinheit abschaltbar. Hier wird mit einfachen konstruktiven Mitteln die Eigenfehlerdiagnoseüberwachungseinheit an die Recheneinheit angeschlossen, um das gewünschte Ergebnis zu erzielen.is the signal line is a switching line, is in response to a signal of the self-fault diagnosis monitoring unit the switching line the computing unit can be switched off. Here is simple constructive means the Eigenfehlerdiagnoseüberwachungseinheit connected to the arithmetic unit to get the desired result to achieve.

Läuft ein sicherheitskritisches System wie das elektronische Stabilitätsprogramm, welches für ein Zweiprozessorsystem konzipiert ist, nur noch mit einem Prozessor, da der zweite als fehlerhaft identifizierte Prozessor abgeschaltet worden ist, ist die Eigenfehlerdiagnoseüberwachungseinheit mit einer Restbetriebslaufzeitüberwachungseinheit verbunden, welche bei Aktivierung der Informationsleitung durch die Eigenfehlerdiagnoseeinheit in Betrieb setzbar ist. In diesem Fall ist die weitere Betriebslaufzeit des Systems beschränkt und kann beispielsweise 100 bis 400 Stunden betragen. In dieser Zeitdauer sollte der defekte Prozessor ausgetauscht werden, damit das System wieder in den Normalbetrieb zurückkehren kann.Running a safety-critical system such as the electronic stability program, which is designed for a two-processor system, only still with a processor, since the second identified as faulty Processor has been shut down, is the self-fault diagnosis monitoring unit connected to a residual operating time monitoring unit, which upon activation of the information line by the Eigenfehlerdiagnoseeinheit can be put into operation. In this case, the further operating period of the Systems limited and can, for example, 100 to 400 Hours. In this period of time should be the defective processor be replaced to allow the system to return to normal operation can return.

Dass das System nur noch mit einer begrenzten Betrieblaufzeit arbeitet, wird dem Nutzer des Systems angezeigt. Aus diesem Grund ist die Eigenfehlerdiagnoseüberwachungseinheit mit einer Anzeige verbunden.That the system only works with a limited operating time, is displayed to the user of the system. For this reason, the self-fault diagnosis monitoring unit is connected to an ad.

In einer anderen Weiterbildung der Erfindung, bei welcher innerhalb von Steuergeräten eines Kraftfahrzeuges auftretende Hardware- und Softwarefehler behandelt werden können, ohne dass die Verfügbarkeit des Systems eingeschränkt wird, wird bei Recheneinheiten, die eine sicherheitsrelevante Anwendung des Kraffahrzeuges ausführen, bei Feststellung eines Fehlers in den Ausgangssignalen der Recheneinheiten ein Fehlersignal ausgelöst, durch welches eine Laufzeit eines Timers und die Eigenfehlerdiagnosen der Recheneinheiten gestartet werden, wobei infolge der Ergebnisse der Eigenfehlerdiagnosen der Recheneinheiten Signale zur Fehlerbehandlung ausgelöst werden.In another embodiment of the invention, in which within of hardware of control units of a motor vehicle. and software errors can be handled without the availability of the system is limited in computing units, perform a safety-relevant application of the Kraffahrzeuges, upon detection of an error in the output signals of the arithmetic units an error signal triggered by which a runtime a timer and the self-diagnosis of the arithmetic units started which, as a result of the results of the self-diagnosis of the error Arithmetic units triggered signals for error handling become.

Bei dieser Vorgehensweise ist es unwichtig, ob es sich um Hardware- oder Softwarefehler handelt. Eine detaillierte Spezifizierung der einzelnen Fehler ist bei der vorgeschlagenen Fehlerbehandlung nicht notwendig.at It is unimportant whether this procedure is or software error. A detailed specification of the single error is not in the proposed error handling necessary.

Bleiben die Ergebnisse der Eigenfehlerdiagnose beider Recheneinheiten innerhalb der Laufzeit des Timers aus, werden beide Recheneinheiten abgeschaltet.Stay the results of the self-fault diagnosis of both arithmetic units within the runtime of the timer off, both arithmetic units are turned off.

Treffen die Ergebnisse der Eigenfehlerdiagnosen der beiden Recheneinheiten innerhalb der Laufzeit des Timers ein, werden diese plausibilisiert.To meet the results of the self-fault diagnostics of the two arithmetic units within the runtime of the timer, these are checked for plausibility.

Bei der Plausibilisierung werden verschiedene Fälle unterschieden. Bei Sendung eines korrekten Ergebnisses der Eigenfehlerdiagnosen sowohl durch die erste als auch durch die zweite Recheneinheit setzen beide Recheneinheiten ihren Betriebsablauf fort. Bei diesem Fall wird davon ausgegangen, dass beide Recheneinheiten fehlerfrei arbeiten. Der Fehlerzähler wird inkrementiert. Wird ein vorher definierter Wert überschritten, wird das System abgeschaltet.at The plausibility check differentiates between different cases. When sending a correct result of the self-fault diagnoses set by both the first and the second arithmetic unit both arithmetic units continue their operation. In this case it is assumed that both arithmetic units operate faultlessly. The error counter is incremented. Will be a previously defined Value is exceeded, the system is switched off.

Der Fehlerzähler ist notwendig, da die Eigenfehlerdiagnosen in der Regel keine hundertprozentige Erkennungsquote bei permanenten Fehlern hat. Zwar liefert die Vergleichseinheit ein Fehlersignal, die sich anschließenden Eigenfehlerdiagnosen erkennen den Fehler aber nicht. Dies hat zur Folge, dass beide Recheneinheiten ein korrektes Ergebnis an die Überwachungseinheit melden. Die Überwachungseinheit würde fälschlicherweise davon ausgehen, dass ein transienter Fehler vorliegt und beide Recheneinheiten wieder in den Normalbetrieb versetzen („Lockstep"-Modus). Da aber ein permanenter Fehler vorliegt, würde die Vergleichseinheit sofort wieder einen Fehler melden, was zu einem Kreislauf führen würde.The error counter is necessary because self-diagnostic errors usually do not have a 100% detection rate for permanent errors. Although the comparison unit provides an error signal, the subsequent self-fault diagnostics do not recognize the error. This has the consequence that both arithmetic units report a correct result to the monitoring unit. The monitoring unit would erroneously assume that there is a transient error and both Re In the event of a permanent error, the comparison unit would immediately report an error again, which would lead to a circulation.

In einer Weiterbildung der Erfindung setzt bei Übersendung eines korrekten Ergebnisses der Eigenfehlerdiagnose durch die erste Recheneinheit und eines unkorrekten Ergebnisses oder keines Ergebnisses durch die zweite Recheneinheit die erste Recheneinheit den Betriebsablauf fort, während die zweite Recheneinheit abgeschaltet wird. Somit wird sichergestellt, dass das System weiterarbeitet.In a development of the invention sets in transmission a correct result of the self-fault diagnosis by the first Calculation unit and an incorrect result or no result by the second arithmetic unit, the first arithmetic unit the operation while the second processor is turned off. This ensures that the system continues to work.

Dabei wird eine vorgegebene Restbetriebszeitlaufdauer der ersten Recheneinheit überwacht, wobei nach Ablauf der Restbetriebszeitlaufdauer die erste Recheneinheit abgeschaltet wird. Somit ist auch nach Ausfall eines Prozessors sichergestellt, dass die gewünschte Gesamtfunktionalität des elektronischen Stabilitätsprogrammes weiterhin zur Verfügung steht. Vorgegebene Ausfallgrenzen des Systems werden somit nicht überschritten.there a predetermined residual operating time duration of the first processing unit is monitored, wherein after expiry of the remaining operating time running time, the first arithmetic unit is switched off. Thus, even after failure of a processor Ensures that the desired overall functionality of the Electronic Stability Program continues to Available. Predefined failure limits of the system are thus not exceeded.

Zur Information für den Nutzer wird angezeigt, dass die Gesamtfunktionalität nur noch eine bestimmte Zeitdauer zur Verfügung steht. Der Nutzer erhält somit den Hinweis, den defekten Prozessor austauschen zu lassen.to Information for the user is displayed that the overall functionality only a certain amount of time is available. The user thus receives the hint to replace the defective processor allow.

Alternativ dazu wird nach Abschaltung des defekten Prozessors das elektronische Stabilitätsprogramm ESP abgeschaltet und ein funktionell eingeschränktes Ersatzprogramm gestartet. Das nun vorliegende Ein-Prozessorsystem setzt seine Arbeitsweise ohne zeitliche Begrenzung fort. Allerdings ist die Funktionalität des Ersatzprogramms gegenüber dem elektronischen Stabilitätsprogramm eingeschränkt.alternative this is after switching off the defective processor, the electronic Stability program ESP turned off and a functional Limited replacement program started. The now present A processor system continues its operation without time limit continued. However, the functionality of the replacement program is towards the electronic stability program limited.

Das Ersatzprogramm enthält dabei die Funktionalität einer elektronischen Bremskraftverteilung EBV, wobei die Geschwindigkeit des Kraftfahrzeuges begrenzt wird. Im Gegensatz zum elektronischen Stabilitätsprogramm, welches dem Schleudern des Fahrzeuges in Kurven durch gezieltes Abbremsen einzelner Räder entgegensteuert, ist die elektronische Bremskraftverteilung ein System zur Verteilung des Bremsdrucks zwischen Vorder- und Hinterachse. Es soll verhindern, dass die Hinterachse vor der Vorderachse blockiert und das Fahrzeug instabil wird.The Replacement program contains the functionality an electronic brake force distribution EBV, the speed of the motor vehicle is limited. Unlike the electronic stability program, which aimed at the skid of the vehicle in curves Counteracting deceleration of individual wheels is the electronic one Brake force distribution a system for distributing the brake pressure between Front and rear axle. It's designed to prevent the rear axle blocked in front of the front axle and the vehicle becomes unstable.

Auch hier wird dem Nutzer die funktionelle Änderung und die Abschaltung des elektronischen Stabilitätsprogrammes über eine Anzeige signalisiert.Also here is the user the functional change and the Shutdown of the electronic stability program via an indication is signaled.

Die Erfindung lässt zahlreiche Ausführungsformen zu. Eine davon soll anhand der in der Zeichnung dargestellten Figuren näher erläutert werden.The Invention allows for numerous embodiments. One of them should be based on the figures shown in the drawing be explained in more detail.

Es zeigt:It shows:

1: Zwei-Prozessor-Einheit 1 : Two-processor unit

2: erstes Ausführungsbeispiel der erfindungsgemäßen Anordnung 2 : first embodiment of the inventive arrangement

3: zweites Ausführungsbeispiel der erfindungsgemäßen Anordnung 3 : Second embodiment of the arrangement according to the invention

4: erstes Ausführungsbeispiel des erfindungsgemäßen Verfahrens 4 : first embodiment of the method according to the invention

5: zweites Ausführungsbeispiel des erfindungsgemäßen Verfahrens 5 : second embodiment of the method according to the invention

6: erster Programmablauf des Verfahrens in einem Steuergerät eines Kraftfahrzeuges 6 : first program sequence of the method in a control unit of a motor vehicle

7: drittes Ausführungsbeispiel der erfindungsgemäßen Anordnung 7 : Third embodiment of the arrangement according to the invention

8: drittes Ausführungsbeispiels des erfindungsgemäßen Verfahens 8th : third embodiment of the method according to the invention

9: zweiter Programmablauf des Verfahrens in einem Steuergerät eines Kraftfahrzeuges 9 : second program sequence of the method in a control unit of a motor vehicle

1 zeigt zwei Recheneinheiten 1 und 2, die beide mit einer Vergleichseinheit 3 und einem Datenbus 4 verbunden sind. Im vorliegenden Beispiel verbindet der Datenbus 4 die Recheneinheiten 1 und 2, einen Hauptspeicher 5, einen Flashspeicher 6 und die Peripherie 7 miteinander. Die Recheneinheiten 1 und 2 und die Vergleichseinheit 3 sind in einer 2-Prozessor-Einheit 8 zusammengefasst. In dieser 2-Prozessor-Einheit 8 wird das elektronische Stabilitätsprogramm eines Kraftfahrzeuges abgearbeitet. 1 shows two arithmetic units 1 and 2 both with a comparison unit 3 and a data bus 4 are connected. In the present example, the data bus connects 4 the computing units 1 and 2 , a main memory 5 , a flash memory 6 and the periphery 7 together. The computing units 1 and 2 and the comparison unit 3 are in a 2-processor unit 8th summarized. In this 2-processor unit 8th The electronic stability program of a motor vehicle is processed.

In dem im vorliegenden Kontext interessanten Modus, dem sogenannten „Lockstep"-Modus, rechnen die beiden Recheneinheiten 1 und 2 redundant, d. h. in beiden Recheneinheiten 1 und 2 wird das elektronische Stabilitätsprogramm parallel und zeitgleich bearbeitet. Die Ausgangssignale der Recheneinheiten 1 und 2 werden an die Vergleichseinheit 3 weitergeleitet, die diese Ausgangssignale einem Vergleich unterzieht.In the mode of interest in the present context, the so-called "lockstep" mode, the two arithmetic units calculate 1 and 2 redundant, ie in both arithmetic units 1 and 2 the electronic stability program will be processed in parallel and at the same time. The output signals of the arithmetic units 1 and 2 are sent to the comparison unit 3 forwarded, which compares these output signals.

Jede Recheneinheit 1 und 2 besitzt eine Eigenfehlerdiagnosemöglichkeit. Die Recheneinheit 1 weist die Eigenfehlerdiagnosemöglichkeit 9 und die Recheneinheit 2 die Eigenfehlerdiagnosemöglichkeit 10 auf. Die Eigenfehlerdiagnosemöglichkeiten 9 und 10 liefern nach Abschluss der Eigenfehlerdiagnose eine Signatur, die aussagt, ob die Recheneinheit 1 bzw. die Recheneinheit 2 korrekt arbeitet oder einen Fehler aufweist.Every arithmetic unit 1 and 2 has a self-diagnostic option. The arithmetic unit 1 has the inherent fault diagnostic capability 9 and the arithmetic unit 2 the self-fault diagnostic option 10 on. The self-fault diagnostic options 9 and 10 provide after completion of the self-fault diagnosis, a signature that states whether the arithmetic unit 1 or the arithmetic unit 2 works correctly or has an error.

Die beschriebene 2-Prozessor-Einheit 8 ist, wie aus 2 ersichtlich, an eine Eigenfehlerdiagnoseüberwachungseinheit 11 angeschlossen. Diese Eigenfehlerdiagnoseüberwachungseinheit 11 enthält einen Timer 12 und einen Fehlerzähler 13. Der Timer 12 und der Fehlerzähler 13 können auch als externe Einheiten außerhalb der Eigenfehlerdiagnoseüberwachungseinheit 11 angeordnet sein. Bei den weiteren Betrachtungen wird angenommen, dass der Timer 12 und der Fehlerzähler 13 Bestandteile der Eigenfehlerdiagnoseüberwachungseinheit 11 sind.The described 2-processor unit 8th is how out 2 to a self-diagnostic diagnostic monitoring unit 11 connected. This self-diagnosis diagnostic monitoring unit 11 contains a timer 12 and an error counter 13 , The timer 12 and the error counter 13 can also act as external units outside of the self fault diagnosis monitoring unit 11 be arranged. In the further considerations, it is assumed that the timer 12 and the error counter 13 Components of the self-fault diagnosis monitoring unit 11 are.

Die Eigenfehlerdiagnoseüberwachungseinheit 11 ist ebenfalls mit dem Datenbus 4 verbunden.The self-fault diagnosis monitoring unit 11 is also with the data bus 4 connected.

Eine Fehleranzeigeleitung 14 verbindet die Vergleichseinheit 3 der 2-Prozessor-Einheit 8 mit der Eigenfehlerdiagnoseüberwachungseinheit 11. Eine direkte Verbindung besteht zwischen der Eigenfehlerdiagnoseüberwachungseinheit 11 und den Recheneinheiten 1 und 2 der 2-Prozessor-Einheit 8. Dabei ist die Recheneinheit 1 über die Leitung 15 und die Recheneinheit 2 über die Leitung 16 mit der Eigenfehlerdiagnoseüberwachungseinheit 11 verbunden. Über diese Leitungen 15 und 16 wird im Bedarfsfall von der Eigenfehlerdiagnoseüberwachungseinheit 11 an die Recheneinheiten 1 bzw. 2 das Signal zum Abschalten gesendet.An error indication line 14 connects the comparison unit 3 the 2-processor unit 8th with the self-fault diagnosis monitoring unit 11 , A direct connection exists between the self-fault diagnosis monitoring unit 11 and the computing units 1 and 2 the 2-processor unit 8th , Here is the arithmetic unit 1 over the line 15 and the arithmetic unit 2 over the line 16 with the self-fault diagnosis monitoring unit 11 connected. About these lines 15 and 16 if necessary, is provided by the self-fault diagnosis monitoring unit 11 to the computing units 1 respectively. 2 sent the signal to switch off.

In 2 besteht eine weitere Verbindung über eine Leitung 17, die direkt von der Eigenfehlerdiagnoseüberwachungseinheit 11 an die Recheneinheiten 1 und 2 und die Vergleichseinheit 3 führt. Mittels dieser Leitung 17 werden die Recheneinheiten 1 und 2 sowie die Vergleichseinheit 3 von der Eigenfehlerdiagnoseüberwachungseinheit 11 darüber informiert, dass nur eine Recheneinheit 1 oder 2 arbeitet. Es wird ein sogenanntes „Single-Mode"-Signal von der Eigenfehlerdiagnoseüberwachungseinheit 11 ausgesandt.In 2 There is another connection via a line 17 directly from the fault diagnosis diagnostic unit 11 to the computing units 1 and 2 and the comparison unit 3 leads. By means of this line 17 become the arithmetic units 1 and 2 as well as the comparison unit 3 from the self-fault diagnosis monitoring unit 11 informed that only one arithmetic unit 1 or 2 is working. It becomes a so-called "single-mode" signal from the self-fault diagnosis monitoring unit 11 sent.

Eine andere Möglichkeit zur Information der Prozessoren 1 und 2 und der Vergleichseinheit 3, dass nur eine Recheneinheit arbeitet, ist in 3 dargestellt. Dabei wird eine Leitung 18 von der Eigenfehlerdiagnoseüberwachungseinheit 11 an die Vergleichseinheit 3 geleitet. Die Vergleicheinheit 3 wiederum ist über die Leitung 18a mit der Recheneinheit 1 und über die Leitung 18b mit der Recheneinheit 2 verbunden, über welche sie die „Single-Mode"-Signale von der Eigenfehlerdiagnoseüberwachungseinheit 11 an die Recheneinheiten 1 und 2 weiterleitet.Another way to inform the processors 1 and 2 and the comparison unit 3 that only one arithmetic unit works, is in 3 shown. This is a line 18 from the self-fault diagnosis monitoring unit 11 to the comparison unit 3 directed. The comparison unit 3 in turn is over the line 18a with the arithmetic unit 1 and over the line 18b with the arithmetic unit 2 via which they receive the "single-mode" signals from the self-fault diagnostic monitoring unit 11 to the computing units 1 and 2 forwards.

Die Eigenfehlerdiagnoseüberwachungseinheit 11 wird durch ein Fehlersignal aktiviert, welches die Vergleichseinheit 3 über die Leitung 14 ausgibt, wenn sie bei dem Vergleich der Ausgangssignale der beiden Recheneinheiten 1 und 2 festgestellt hat, dass diese Ausgangssignale nicht übereinstimmen. Ist die Eigenfehlerdiagnoseüberwachungseinheit 11 aktiviert, startet sie den Timer 12 sowie die Eigenfehlerdiagnosen. Dabei wartet die Eigenfehlerdiagnoseüberwachungseinheit 11 auf die Ergebnisse der Eigenfehlerdiagnose von den Recheneinheiten 1 und 2, welche diese über den Datenbus 4 senden.The self-fault diagnosis monitoring unit 11 is activated by an error signal which is the comparison unit 3 over the line 14 outputs when comparing the output signals of the two arithmetic units 1 and 2 has determined that these output signals do not match. Is the self-fault diagnostic monitoring unit 11 activated, it starts the timer 12 as well as the self-fault diagnoses. The self-diagnosis diagnostic monitoring unit waits 11 on the results of the self-fault diagnosis of the computing units 1 and 2 which these over the data bus 4 send.

Ausgehend von den Ergebnissen der Eigenfehlerdiagnose der Recheneinheiten 1 und 2 kann die Eigenfehlerdiagnoseüberwachungseinheit 11 folgende Aktivitäten koordinieren.Based on the results of the self-diagnosis of the processing units 1 and 2 can be the self fault diagnosis monitoring unit 11 coordinate the following activities.

Beim Auslösen eines Signales über die Leitung 15 bzw. die Leitung 16 wird die jeweilig zugehörige Recheneinheit 1 oder 2 abgeschaltet. Bei Abschaltung nur einer Recheneinheit 1 wird das „Single-Mode"-Signal über Leitung 17 oder 18 ausgelöst, um die noch arbeitende Recheneinheit 2 davon in Kenntnis zu setzen, dass sie allein weiterarbeitet. Ist dieser Zustand erreicht, ist es auch möglich, dass die Vergleichseinheit 3 deaktiviert wird.When a signal is triggered via the line 15 or the line 16 becomes the respective associated arithmetic unit 1 or 2 off. When switching off only one arithmetic unit 1 becomes the "single-mode" signal via line 17 or 18 triggered the still working arithmetic unit 2 to inform her that she will continue to work alone. If this condition is reached, it is also possible that the comparison unit 3 is deactivated.

Eine Systemabschaltung wird durch Abschalten beider Recheneinheiten 1 und 2 über die Leitungen 15 und 16 erreicht.A system shutdown is done by switching off both arithmetic units 1 and 2 over the wires 15 and 16 reached.

4 und 5 illustrieren beispielhaft den Ablauf der Fehlerbehandlung mit Hilfe der Eigenfehlerdiagnoseüberwachungseinheit 11. In jeweils einer eigenen, aus mehreren Blöcken bestehenden Spalte sind, von oben nach unten zeitlich geordnet, die Phasen im Betrieb der beiden Recheneinheiten 1 und 2 und der Eigenfehlerdiagnoseüberwachungseinheit 11 dargestellt. Die horizontalen Pfeile stellen Signale dar, die zu einem entsprechenden Zeitpunkt gesendet werden. 4 and 5 illustrate, by way of example, the sequence of error handling with the help of the self-fault diagnosis monitoring unit 11 , In each case a separate, consisting of several blocks column, arranged chronologically from top to bottom, the phases in the operation of the two arithmetic units 1 and 2 and the self-fault diagnosis monitoring unit 11 shown. The horizontal arrows represent signals that are sent at a given time.

In 4 arbeitet zunächst die Recheneinheit 1 im Block 20 und die Recheneinheit 2 im Block 30 im Normalbetrieb. Bei Erhalt eines Fehlersignals 40 von der Vergleichseinheit 3 startet die Eigenfehlerdiagnoseüberwachungseinheit 11 im Block 50 den internen Timer 12. Mit der Laufzeit des Timers 12 starten die Recheneinheiten 1 und 2 ihre Eigenfehlerdiagnose. Recheneinheit 1 führt, ihre Eigenfehlerdiagnose im Block 21 durch, während Recheneinheit 2 die Eigenfehlerdiagnose im Block 31 abarbeitet. Im Block 51 erwartet die Eigenfehlerdiagnoseüberwachungseinheit 11 die Ergebnisse der Eigenfehlerdiagnosen, welche ihr über den Datenbus 4 übersandt werden.In 4 first the computing unit works 1 in the block 20 and the arithmetic unit 2 in the block 30 in normal operation. Upon receipt of an error signal 40 from the comparison unit 3 starts the self-fault diagnosis monitoring unit 11 in the block 50 the internal timer 12 , With the duration of the timer 12 start the arithmetic units 1 and 2 her own fault diagnosis. computer unit 1 performs her own fault diagnosis in the block 21 through while computing unit 2 the self-fault diagnosis in the block 31 executing. In the block 51 awaits the inherent fault diagnosis monitoring unit 11 the results of the self-fault diagnostics, which you over the data bus 4 be sent.

Recheneinheit 1 meldet mit dem Signal 41 innerhalb der vorgegebenen Laufzeit des Timers 12 nach Durchführung ihrer Eigenfehlerdiagnose ein korrektes Ergebnis an die Eigenfehlerdiagnoseüberwachungseinheit 11 und versucht im Block 22 eine Synchronisation mit der Recheneinheit 2 einzuleiten. Recheneinheit 2 sendet nach Durchführung seiner Eigenfehlerdiagnose mit dem Signal 42 ein falsches Ergebnis.computer unit 1 reports with the signal 41 within the specified time of the timer 12 after performing its own fault diagnosis, a correct result to the self fault diagnosis monitoring unit 11 and try in the block 22 a synchronization with the arithmetic unit 2 initiate. computer unit 2 sends after carrying out its own fault diagnosis with the signal 42 a wrong result.

Die Eigenfehlerdiagnoseüberwachungseinheit 11 reagiert im Block 52, wenn sie zwar zu verschiedenen Zeitpunkten aber innerhalb der Laufzeit des Timers ein Signal von beiden Recheneinheiten 1 und 2 erhalten hat.The self-fault diagnosis monitoring unit 11 reacts in the block 52 if, at different times but within the runtime of the timer, they receive a signal from both arithmetic units 1 and 2 had received.

Im Block 53 wertet die Eigenfehlerdiagnoseüberwachungseinheit 11 die Ergebnisse der beiden Recheneinheiten 1 und 2 aus und stellt fest, dass die Recheneinheit 1 ein korrektes Ergebnis und die Recheneinheit 2 ein fehlerhaftes Ergebnis gemeldet hat. Infolgedessen schaltet die Eigenfehlerdiagnoseüberwachungseinheit 11 mit dem Signal 43 die Recheneinheit 2 ab. Der Synchronisationsversuch, welchen die Recheneinheit 2 im Block 32 mit der Recheneinheit 1 starten wollte, wird ebenfalls durch das Signal 43 abgebrochen.In the block 53 evaluates the self-fault diagnosis monitoring unit 11 the results of the two arithmetic units 1 and 2 out and notes that the arithmetic unit 1 a correct result and the arithmetic unit 2 reported a faulty result. As a result, the self-malfunction diagnosis monitoring unit shifts 11 with the signal 43 the arithmetic unit 2 from. The synchronization attempt, which the arithmetic unit 2 in the block 32 with the arithmetic unit 1 also wanted to start, is also by the signal 43 canceled.

Die Recheneinheit 1 erhält von der Eigenfehlerdiagnoseüberwachungseinheit 11 mit dem Signal 44 die Information, dass die Recheneinheit 2 nicht mehr im Betrieb ist. Der Versuch der Synchronisation mit der Recheneinheit 2, welchen die Recheneinheit 1 im Block 22 gestartet hat, wird abgebrochen und die Recheneinheit 1 arbeitet im Block 23 allein weiter. Allerdings wird an dieser Stelle das elektronische Stabilitätsprogramm abgebrochen und durch das Programm der elektronischen Bremskraftverteilung ersetzt. Als zusätzliche Bedingung wird auch die Geschwindigkeit des Kraftfahrzeuges begrenzt. Es erfolgt also ein eingeschränkter Betrieb mit einer Recheneinheit, was dem Fahrer angezeigt wird.The arithmetic unit 1 obtained from the self-fault diagnosis monitoring unit 11 with the signal 44 the information that the arithmetic unit 2 is no longer in operation. The attempt of synchronization with the arithmetic unit 2 which the arithmetic unit 1 in the block 22 has started, is aborted and the arithmetic unit 1 works in the block 23 continue alone. However, at this point the electronic stability program is aborted and replaced by the electronic brake force distribution program. As an additional condition, the speed of the motor vehicle is limited. So there is a limited operation with a computing unit, which is displayed to the driver.

Eine vergleichbare Vorgehensweise würde erfolgen, wenn die Recheneinheit 2 anstelle des fehlerhaften Ergebnisses, gar kein Signal 42 gesendet hätte. Die Eigenfehlerdiagnoseüberwachungseinheit 11 wartet im Block 51 immer die Laufzeit des Timers 12 ab. Erhält sie in dieser Zeit kein Signal 42 der Recheneinheit 2, so geht sie davon aus, dass die Recheneinheit 2 defekt ist.A comparable procedure would take place if the arithmetic unit 2 instead of the erroneous result, no signal at all 42 would have sent. The self-fault diagnosis monitoring unit 11 waiting in the block 51 always the duration of the timer 12 from. Does not receive a signal during this time 42 the arithmetic unit 2 , so she assumes that the arithmetic unit 2 is defective.

Auch in diesen Fall würde die Eigenfehlerdiagnoseüberwachungseinheit 11 an die Recheneinheit 2 das Abschaltsignal 43 senden. Über das Signal 44 wird auch in diesem Fall die Recheneinheit 1 darüber informiert, dass das System im eingeschränkten Betrieb ohne Recheneinheit 2 fortfährt.In this case too, the self-fault diagnosis monitoring unit would become 11 to the arithmetic unit 2 the shutdown signal 43 send. About the signal 44 is also in this case the arithmetic unit 1 informed that the system in restricted operation without a computing unit 2 continues.

In einem anderen Beispiel, welches in 5 dargestellt ist, arbeiten die Recheneinheiten 1 und 2 zunächst wieder beide im Normalbetrieb, d. h. beide führen das elektronische Stabilitätsprogramm aus. Recheneinheit 1 tut dies im Block 24 und Recheneinheit 2 im Block 33. Nach Erhalt des Fehlersignals 40 von der Vergleichseinheit 3 startet die Eigenfehlerdiagnoseüberwachungseinheit 11 wieder den Timer 12 (Block 50) und wartet auf die Ergebnisse der Eigenfehlerdiagnose von Recheneinheit 1 und Recheneinheit 2 im Block 51 während der Laufzeit des Timers 12. Beide Recheneinheiten 1 und 2 starten gleichzeitig ihre Eigenfehlerdiagnose, Recheneinheit 1 im Block 25 und die Recheneinheit 2 im Block 34. Nach Abschluss ihrer Eigenfehlerdiagnose sendet Recheneinheit 1 mit dem Signal 41 ihr korrektes Ergebnis an die Eigenfehlerdiagnoseüberwachungseinheit 11. Auch die Recheneinheit 2 meldet nach Durchführung ihrer Eigenfehlerdiagnose im Block 34 mit dem Signal 45 ein korrektes Ergebnis an die Eigenfehlerdiagnoseüberwachungseinheit 11. Beide Signale treffen zwar zu unterschiedlichen Zeitpunkten, aber innerhalb der Laufzeit des Timers 12 bei der Eigenfehlerdiagnoseüberwachungseinheit 11 ein.In another example, which is in 5 is shown, the computing units work 1 and 2 first both again in normal operation, ie both execute the electronic stability program. computer unit 1 does this in the block 24 and arithmetic unit 2 in the block 33 , After receiving the error signal 40 from the comparison unit 3 starts the self-fault diagnosis monitoring unit 11 again the timer 12 (Block 50 ) and waits for the results of the arithmetic unit's inherent fault diagnosis 1 and arithmetic unit 2 in the block 51 during the runtime of the timer 12 , Both arithmetic units 1 and 2 at the same time start their own fault diagnosis, arithmetic unit 1 in the block 25 and the arithmetic unit 2 in the block 34 , After completing its self-fault diagnosis, arithmetic unit sends 1 with the signal 41 their correct result to the self-fault diagnosis monitoring unit 11 , Also the arithmetic unit 2 reports after performing its own fault diagnosis in the block 34 with the signal 45 a correct result to the self-fault diagnosis monitoring unit 11 , Both signals occur at different times, but within the runtime of the timer 12 in the self-fault diagnosis monitoring unit 11 one.

Im Block 52 stellt die Eigenfehlerdiagnoseüberwachungseinheit 11 fest, dass sie von beiden Recheneinheiten 1 und 2 ein Ergebnis erhalten hat. Die Auswertung im Block 53 ergibt, dass beide Ergebnisse korrekt sind. Infolge dessen sendet die Eigenfehlerdiagnoseüberwachungseinheit 11 kein weiteres Signal. Recheneinheit 1 startet im Block 26 die Synchronisation mit Recheneinheit 2, während Recheneinheit 2 im Block 35 ebenfalls den Synchronisationsversuch mit Recheneinheit 1 startet. Da von der Eigenfehlerdiagnoseüberwachungseinheit 11 kein weiteres Signal gesendet wird, ist die Synchronisation erfolgreich.In the block 52 Provides the inherent fault diagnostic monitoring unit 11 stated that they are from both arithmetic units 1 and 2 has received a result. The evaluation in the block 53 shows that both results are correct. As a result, the self-diagnosis diagnostic unit sends 11 no further signal. computer unit 1 starts in the block 26 the synchronization with arithmetic unit 2 while computing unit 2 in the block 35 also the synchronization attempt with arithmetic unit 1 starts. Because of the Eigenfehlerdiagnoseüberwachungseinheit 11 no further signal is sent, the synchronization is successful.

Anschließend arbeitet Recheneinheit 1 im Block 27 wieder im Normalbetrieb, genauso wie Recheneinheit 2 im Block 36 wieder im Normalbetrieb arbeitet.Subsequently, computing unit works 1 in the block 27 again in normal operation, as well as arithmetic unit 2 in the block 36 works again in normal mode.

Beide Recheneinheiten 1 und 2 führen somit das elektronische Stabilitätsprogramm redundant aus.Both arithmetic units 1 and 2 thus carry out the electronic stability program redundant.

Der Programmablauf im Steuergerät soll anhand 6 näher erläutert werden. In Block 601 arbeitet das Zwei-Prozessor-System im Normalbetrieb. Nach Feststellung von unterschiedlichen Ergebnissen der beiden Recheneinheiten 1 und 2 meldet die Vergleichseinheit 3 im Block 602 einen Fehler und gibt ein Fehlersignal aus. Das führt dazu, dass im Block 603 beide Recheneinheiten 1, 2 ihren aktuellen Zustand im Hauptspeicher 5 ablegen und jeweils ihre Eigenfehlerdiagnose starten. Im Block 604 wird zeitgleich durch das Fehlersignal die Eigenfehlerdiagnoseüberwachungseinheit 11 aktiviert. Diese startet ihren Timer 12, welcher den Zeitraum für die Eigenfehlerdiagnosen der Recheneinheiten 1, 2 begrenzt. Die Eigenfehlerdiagnoseüberwachungseinheit 11 wartet auf die Meldung der Ergebnisse der Eigenfehlerdiagnosen von beiden Recheneinheiten 1, 2. Senden die Recheneinheiten 1, 2 die Ergebnisse ihrer Eigenfehlerdiagnosen im Block 605 an die Eigenfehlerdiagnoseüberwachungseinheit 11, wird im Block 606 untersucht, ob die Recheneinheit 1 in dem vorgegebenen Zeitraum ein korrektes Ergebnis übermittelt hat. Ist dies der Fall, wird im Block 607 festgestellt, ob die Recheneinheit 2 im vorgegebenen Zeitraum ein korrektes Ergebnis gesendet hat. Bei einem positiven Ergebnis dieses Vergleiches werden beide Recheneinheiten 1, 2 miteinander synchronisiert (Block 608). Das System kehrt zum Normalbetrieb in Block 601 zurück.The program sequence in the control unit is based on 6 be explained in more detail. In block 601 the two-processor system operates in normal operation. After finding different results of the two arithmetic units 1 and 2 reports the comparison unit 3 in the block 602 an error and outputs an error signal. This leads to that in the block 603 both arithmetic units 1 . 2 their current state in main memory 5 and start their own fault diagnosis. In the block 604 At the same time, the error signal causes the self-fault diagnosis monitoring unit 11 activated. This starts its timer 12 , which specifies the period for the self-diagnosis of the arithmetic units 1 . 2 limited. The self-fault diagnosis monitoring unit 11 waits for the message of the results of the self-diagnosis of both arithmetic units 1 . 2 , Send the arithmetic units 1 . 2 the results of their own fault diagnoses in the block 605 to the self-fault diagnosis monitoring unit 11 , is in the block 606 examines whether the arithmetic unit 1 has sent a correct result in the given period. If this is the case, in the block 607 determined whether the computer unit 2 has sent a correct result within the given time frame. For a positive result of this comparison, both arithmetic units 1 . 2 synchronized with each other (block 608 ). The system returns to normal operation in block 601 back.

Wird im Block 606 festgestellt, dass die Recheneinheit 1 in der vorgegebenen Zeit kein korrektes Ergebnis gesendet hat, wird im Block 609 überprüft, ob die zweite Recheneinheit 2 ein korrektes Ergebnis in der gewünschten Zeit gemeldet hat. Ist das nicht der Fall, kommt es im Block 610 zur Systemabschaltung durch Aussendung von Abschaltsignalen, wodurch beide Recheneinheiten 1, 2 deaktiviert werden. Ergibt die Prüfung im Block 609 ein positives Ergebnis, erfolgt nur die Abschaltung der Recheneinheit 1 über das Abschaltsignal. (Block 611). Im Block 612 arbeitet die Recheneinheit 2 allein weiter und führt die elektronische Bremskraftverteilung bei gleichzeitiger Geschwindigkeitsbegrenzung aus.Will be in the block 606 found that the arithmetic unit 1 in the given time has not sent a correct result is in the block 609 Check if the second arithmetic unit 2 has reported a correct result in the desired time. If this is not the case, it comes in the block 610 for system shutdown by sending shutdown signals, whereby both arithmetic units 1 . 2 be deactivated. Gives the test in the block 609 a positive result, only the shutdown of the arithmetic unit takes place 1 about the shutdown signal. (Block 611 ). In the block 612 the arithmetic unit works 2 alone continues and executes the electronic brake force distribution with simultaneous speed limit.

Wird im Block 607 festgestellt, dass die Recheneinheit 2 in dem vorgegebenen Zeitraum nicht das korrekte Ergebnis geliefert hat, wird im Block 612 die Recheneinheit 2 über das Abschaltsignal abgeschaltet. Die Recheneinheit 1 arbeitet im Block 613 allein weiter, indem sie die elektronische Bremskraftverteilung abarbeitet.Will be in the block 607 found that the arithmetic unit 2 in the given period did not deliver the correct result is in the block 612 the arithmetic unit 2 switched off via the shutdown signal. The arithmetic unit 1 works in the block 613 alone, by processing the electronic brake force distribution.

In 7 ist die im Zusammenhang mit der 2 erläuterte Anordnung um eine Restbetriebszeitüberwachungseinheit 19 erweitert. Diese ist mit der Eigenfehlerdiagnoseüberwachungseinheit 11, dem Datenbus 4 und dem Zwei-Prozessor-System 8 verbunden. In dem Fall, dass die Eigenfehlerdiagnoseüberwachungseinheit 11 eine Recheneinheit 1 oder 2 abschaltet, gibt die Eigenfehlerdiagnoseüberwachungseinheit 11 mit dem Informationssignal 17 über die Abschaltung einer Recheneinheit an die Vergleichseinheit 3 und die Recheneinheiten 1, 2 auch ein Signal an die Restbetriebszeitüberwachungseinheit 19 aus. Infolge dieses Signals 17 startet die Restbetriebszeitüberwachungseinheit 19 ihren Timer 20, durch welchen der Zeitraum festgelegt ist, in dem das elektronische Stabilitätsprogramm mit nur einer Recheneinheit laufen soll. Der Nutzer des Fahrzeuges wird über eine Anzeige über diese Tatsache informiert. Dieser Zeitraum lässt sich nach den Maßgaben des Teiles 6 des Standards DIN EN 61508 berechnen. Unter Berücksichtigung aller sicherheitsrelevanten Bedingungen könnte man auf dieser Grundlage das elektronische Stabilitätsprogramm 400 Stunden mit nur einer Recheneinheit laufen lassen. Aus Sicherheitsgründen würde man diesen Zeitraum aber auf 100 Stunden begrenzen. Das bedeutet, dass der Timer 20 der Restbetriebszeitüberwachungseinheit 19 auf 100 Stunden eingestellt ist. Nach Ablauf der 100 Stunden wird auch die noch aktive Recheneinheit abgeschaltet. Hiermit ist nun das ganze System abgeschaltet und das elektronische Stabilitätsprogramm im Kraftfahrzeug deaktiviert. Die Betriebserlaubnis erlischt, sofern keine weiteren Maßnahmen getroffen werden.In 7 is the one related to the 2 explained arrangement to a residual operating time monitoring unit 19 extended. This is with the Eigenfehlerdiagnoseüberwachungseinheit 11 , the data bus 4 and the two-processor system 8th connected. In the case that the self-fault diagnosis monitoring unit 11 an arithmetic unit 1 or 2 turns off, gives the self-fault diagnosis monitoring unit 11 with the information signal 17 about the shutdown of a computing unit to the comparison unit 3 and the computing units 1 . 2 also a signal to the remaining operating time monitoring unit 19 out. As a result of this signal 17 starts the remaining operation time monitoring unit 19 their timer 20 , which defines the period in which the electronic stability program is to run with only one arithmetic unit. The user of the vehicle is informed of this fact by an advertisement. This period can be set according to the specifications of the part 6 of the standard DIN EN 61508 to calculate. Taking into account all safety-relevant conditions, it would be possible on this basis to run the electronic stability program for 400 hours with just one computing unit. For security reasons, this period would be limited to 100 hours. That means the timer 20 the remaining operating time monitoring unit 19 set to 100 hours. After the 100 hours have elapsed, the still active processor will be switched off. Hereby the whole system is switched off and the electronic stability program in the motor vehicle deactivated. The operating license expires, unless further measures are taken.

In 8 ist noch einmal der zeitliche Ablauf der Funktion der einzelnen Einheiten dargestellt. Recheneinheit 1 arbeitet im Block 801 und Recheneinheit 2 im Block 802 im Normalbetrieb. Die Vergleichseinheit 3 vergleicht im Block 803 die Ergebnisse der beiden Recheneinheiten 1, 2 und stellt einen Fehler fest, welches sie durch das Signal 60 an die Eigenfehlerdiagnoseüberwachungseinheit 11 ausgibt. Diese startet im Block 804 ihren Timer 12, während die Recheneinheit 1 im Block 805 ihre Eigenfehlerdiagnose startet. Die Recheneinheit 2 tut dies im Block 806. Die Eigenfehlerdiagnoseüberwachungseinheit 11 wartet im Block 807 auf die Ergebnisse 61, 62 der Eigenfehlerdiagnose. Hat sie diese erhalten, werden die Ergebnisse im Block 808 ausgewertet. In der Auswertung wird festgestellt, dass die Recheneinheit 1 fehlerhaft arbeitet. Die Versuche der Synchronisation, die die Recheneinheit 1 im Block 809 und die Recheneinheit 2 im Block 810 gestartet haben, werden abgebrochen. Die Eigenfehlerdiagnoseüberwachungseinheit 11 liefert an die Recheneinheit 1 das Abschaltsignal 63. Darüber hinaus wird an die Restbetriebszeitüberwachungseinheit 19 und die Recheneinheit 2 das Informationssignal 64 geschickt. Die Restbetriebszeitüberwachungseinheit 19 startet im Block 811 ihren Timer 20 für beispielsweise 100 Stunden. Die Recheneinheit 2 arbeitet im Block 812 im vollen Funktionsumfang das elektronische Stabilitätsprogramm weiter ab. Sind die 100 Stunden abgelaufen, sendet die Restbetriebszeitüberwachungseinheit 19 im Block 813 das Abschaltsignal 65 an die Recheneinheit 2.In 8th Once again the timing of the function of the individual units is shown. computer unit 1 works in the block 801 and arithmetic unit 2 in the block 802 in normal operation. The comparison unit 3 compares in the block 803 the results of the two arithmetic units 1 . 2 and detects an error by the signal 60 to the self-fault diagnosis monitoring unit 11 outputs. This starts in the block 804 their timer 12 while the arithmetic unit 1 in the block 805 her own fault diagnosis starts. The arithmetic unit 2 does this in the block 806 , The self-fault diagnosis monitoring unit 11 waiting in the block 807 on the results 61 . 62 the self-fault diagnosis. Once she has received them, the results will be displayed in the block 808 evaluated. In the evaluation, it is determined that the arithmetic unit 1 works incorrectly. The attempts of synchronization, which is the arithmetic unit 1 in the block 809 and the arithmetic unit 2 in the block 810 have started, will be canceled. The self-fault diagnosis monitoring unit 11 delivers to the arithmetic unit 1 the shutdown signal 63 , In addition, it will be sent to the remaining time monitoring unit 19 and the arithmetic unit 2 the information signal 64 cleverly. The remaining operating time monitoring unit 19 starts in the block 811 their timer 20 for example 100 hours. The arithmetic unit 2 works in the block 812 in full functionality the electronic stability program continues. When the 100 hours have expired, the remaining operating time monitoring unit sends 19 in the block 813 the shutdown signal 65 to the arithmetic unit 2 ,

Ein Gesamtüberblick des Ablaufes wird nun mit Hilfe von 9 gegeben. Im Block 901 arbeitet das Zwei-Prozessor-System 8 im Normalbetrieb, d. h. beide Recheneinheiten 1, 2 sind aktiv und bearbeiten redundant das elektronische Stabilitätsprogramm. Im Block 902. meldet die Vergleichseinheit 3 einen Fehler, indem sie ein Fehlersignal ausgibt. Das führt dazu, dass im Block 903 beide Recheneinheiten 1, 2 ihren aktuellen Zustand im Hauptspeicher 5 ablegen und jeweils ihre Eigenfehlerdiagnose starten. Im Block 904 wird zeitgleich durch das Fehlersignal die Eigenfehlerdiagnoseüberwachungseinheit 11 aktiviert. Diese startet ihren Timer 12, welcher den Zeitraum für die Eigenfehlerdiagnosen der Recheneinheiten 1, 2 begrenzt. Die Eigenfehlerdiagnoseüberwachungseinheit 11 wartet auf die Meldung der Ergebnisse der Eigenfehlerdiagnosen von beiden Recheneinheiten 1, 2. Senden die Recheneinheiten 1, 2 die Ergebnisse ihrer Eigenfehlerdiagnosen im Block 905 an die Eigenfehlerdiagnoseüberwachungseinheit 11, wird im Block 906 untersucht, ob die Recheneinheit 1 in dem vorgegebenen Zeitraum ein korrektes Ergebnis übermittelt hat. Ist dies der Fall, wird im Block 907 festgestellt, ob die Recheneinheit 2 im vorgegebenen Zeitraum ein korrektes Ergebnis gesendet hat. Bei einem positiven Ergebnis dieses Vergleiches werden beide Recheneinheiten 1, 2 miteinander synchronisiert (Block 908). Das System kehrt zum Normalbetrieb in Block 901 zurück.An overall overview of the process will now be with the help of 9 given. In the block 901 works the two-processor system 8th in normal operation, ie both arithmetic units 1 . 2 are active and redundantly edit the electronic stability program. In the block 902 , reports the comparison unit 3 an error by outputting an error signal. This leads to that in the block 903 both arithmetic units 1 . 2 their current state in main memory 5 and start their own fault diagnosis. In the block 904 At the same time, the error signal causes the self-fault diagnosis monitoring unit 11 activated. This starts its timer 12 , which specifies the period for the self-diagnosis of the arithmetic units 1 . 2 limited. The self-fault diagnosis monitoring unit 11 waits for the message of the results of the self-diagnosis of both arithmetic units 1 . 2 , Send the arithmetic units 1 . 2 the results of their own fault diagnoses in the block 905 to the self-fault diagnosis monitoring unit 11 , is in the block 906 examines whether the arithmetic unit 1 in the given period a correct transmitted the result. If this is the case, in the block 907 determined if the arithmetic unit 2 has sent a correct result within the given time frame. For a positive result of this comparison, both arithmetic units 1 . 2 synchronized with each other (block 908 ). The system returns to normal operation in block 901 back.

Wird im Block 906 festgestellt, dass die Recheneinheit 1 in der vorgegebenen Zeit kein korrektes Ergebnis gesendet hat, wird im Block 909 überprüft, ob die Recheneinheit 2 ein korrektes Ergebnis in der gewünschten Zeit gemeldet hat. Ist das nicht der Fall, kommt es im Block 910 zur Systemabschaltung durch Aussendung der Abschaltsignale, wodurch beide Recheneinheiten 1, 2 deaktiviert werden. Ergibt die Prüfung im Block 909 ein positives Ergebnis, erfolgt nur die Abschaltung der Recheneinheit 1 über das Abschaltsignal. (Block 911).Will be in the block 906 found that the arithmetic unit 1 in the given time has not sent a correct result is in the block 909 Checks if the arithmetic unit 2 has reported a correct result in the desired time. If this is not the case, it comes in the block 910 for system shutdown by sending the shutdown signals, whereby both arithmetic units 1 . 2 be deactivated. Gives the test in the block 909 a positive result, only the shutdown of the arithmetic unit takes place 1 about the shutdown signal. (Block 911 ).

Gleichzeitig wird im Block 912 der Timer 20 der Restbetriebszeitüberwachungseinheit 19 gestartet. Im Block 913 führt die Recheneinheit 2 allein das elektronische Stabilitätsprogramm aus. Ist im Block 914 der Timer 20 der Restbetriebszeitüberwachungseinheit 19 abgelaufen, wird die Zwei-Prozessor-Einheit 8 im Block 915 vollständig abgeschaltet.At the same time in the block 912 the timer 20 the remaining operating time monitoring unit 19 started. In the block 913 leads the arithmetic unit 2 the electronic stability program alone. Is in the block 914 the timer 20 the remaining operating time monitoring unit 19 expired, the two-processor unit 8th in the block 915 completely shut off.

Hat die Überprüfung im Block 907 ergeben, dass die Recheneinheit 2 in der vorgegebenen Zeit kein korrektes Ergebnis gemeldet hat, wird im Block 916 die Recheneinheit 2 mit dem Abschaltsignal deaktiviert. Im Block 917 startet der Timer 20 der Restbetriebszeitüberwachungseinheit 19, während die Recheneinheit 1 im Block 918 das elektronische Stabilitätsprogramm ausführt. Ist der Timer 20 der Restbetriebszeitüberwachungseinheit 19 im Block 919 abgelaufen, erfolgt die Abschaltung des Gesamtsystems (Block 920). Beide Recheneinheiten 1 und 2 sind nun deaktiviert.Has the review in the block 907 revealed that the arithmetic unit 2 in the given time has not reported a correct result is in the block 916 the arithmetic unit 2 deactivated with the switch-off signal. In the block 917 the timer starts 20 the remaining operating time monitoring unit 19 while the arithmetic unit 1 in the block 918 executes the electronic stability program. Is the timer 20 the remaining operating time monitoring unit 19 in the block 919 expired, the shutdown of the entire system (block 920 ). Both arithmetic units 1 and 2 are now deactivated.

ZITATE ENTHALTEN IN DER BESCHREIBUNGQUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list The documents listed by the applicant have been automated generated and is solely for better information recorded by the reader. The list is not part of the German Patent or utility model application. The DPMA takes over no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • - US 5748873 A1 [0006] US 5748873 A1 [0006]

Zitierte Nicht-PatentliteraturCited non-patent literature

  • - DIN EN 61508 [0072] - DIN EN 61508 [0072]

Claims (26)

Anordnung zur Fehlererkennung und -behandlung in einem Steuergerät in einem Kraftfahrzeug, bestehend aus einem Prozessorsystem mit mindestens zwei redundant arbeitenden, eigenfehlerdiagnosefähigen Recheneinheiten, deren Ausgangssignale von einer Vergleichseinheit überwachbar sind, wobei die Recheneinheiten mit einer Datenleitung verbunden sind, dadurch gekennzeichnet, dass die Vergleichseinheit (3) an eine Eigenfehlerdiagnoseüberwachungseinheit (11) führt, wobei die Eigenfehlerdiagnoseüberwachungseinheit (11) mit jeder eine sicherheitsrelevante Anwendung des Kraftfahrzeuges ausführenden Recheneinheit (1, 2) verbunden ist, und die beiden Recheneinheiten (1, 2) mit der Eigenfehlerdiagnoseüberwachungseinheit (11) kommunizieren, wobei jede die Eigenfehlerdiagnose durchführende Recheneinheit (1, 2) ein Ergebnis der Eigenfehlerdiagnose an die Eigenfehlerdiagnoseüberwachungseinheit (11) meldet und die Eigenfehlerdiagnoseüberwachungseinheit (11) in Abhängigkeit von diesen Ergebnissen die Recheneinheiten (1, 2) ansteuert.Arrangement for error detection and treatment in a control unit in a motor vehicle, comprising a processor system having at least two redundantly operating, eigenfehlerdiagnosefähigen computing units whose output signals are monitored by a comparison unit, wherein the computing units are connected to a data line, characterized in that the comparison unit ( 3 ) to a self-diagnostic diagnostic monitoring unit ( 11 ), whereby the self-fault diagnosis monitoring unit ( 11 ) with each of a safety-relevant application of the motor vehicle exporting computing unit ( 1 . 2 ), and the two arithmetic units ( 1 . 2 ) with the self-fault diagnosis monitoring unit ( 11 ), each arithmetic unit performing the self-fault diagnosis ( 1 . 2 ) a result of the self-fault diagnosis to the self-fault diagnosis monitoring unit ( 11 ) and the self fault diagnosis monitoring unit ( 11 ) depending on these results the arithmetic units ( 1 . 2 ). Anordnung nach Anspruch 1 dadurch gekennzeichnet, dass die Vergleichseinheit (3) über eine Fehlersignalleitung (14) mit der Eigenfehlerdiagnoseüberwachungseinheit (11) verbunden ist, welche bei Erhalt eines Fehlersignals einen Timer (12) startet und die Recheneinheiten (1, 2) während einer vom Timer (12) vorgegebenen Zeitdauer die Eigenfehlerdiagnose ausführen und die Ergebnisse der Eigenfehlerdiagnose über die Datenleitung (4) an die Eigenfehlerdiagnoseüberwachungseinheit (11) leiten.Arrangement according to claim 1, characterized in that the comparison unit ( 3 ) via an error signal line ( 14 ) with the self-fault diagnosis monitoring unit ( 11 ), which upon receipt of an error signal a timer ( 12 ) and the arithmetic units ( 1 . 2 ) during one of the timer ( 12 ) run the self-fault diagnosis and the results of the self-fault diagnosis via the data line ( 4 ) to the self-fault diagnosis monitoring unit ( 11 ) conduct. Anordnung nach Anspruch 1 oder 2 dadurch gekennzeichnet, dass die Eigenfehlerdiagnoseüberwachungseinheit (11) einen durch einen Maximalwert begrenzten Fehlerzähler (13) aufweist.Arrangement according to claim 1 or 2, characterized in that the self-fault diagnosis monitoring unit ( 11 ) an error counter limited by a maximum value ( 13 ) having. Anordnung nach einem der vorhergehenden Ansprüche dadurch gekennzeichnet, dass die Eigenfehlerdiagnoseüberwachungseinheit (11) über eine Informationsleitung (17) mit der Vergleichseinheit (3) und den beiden Recheneinheiten (1, 2) verbunden ist.Arrangement according to one of the preceding claims, characterized in that the self-fault diagnosis monitoring unit ( 11 ) via an information line ( 17 ) with the comparison unit ( 3 ) and the two arithmetic units ( 1 . 2 ) connected is. Anordnung nach einem der vorhergehenden Ansprüche 1 bis 3 dadurch gekennzeichnet, dass die Eigenfehlerdiagnoseüberwachungseinheit (11) über die Informationsleitung (18) mit der Vergleichseinheit (3) verbunden ist, von welcher je eine Informationsverteilungsleitung (18a, 18b) an jede Recheneinheit (1, 2) führt.Arrangement according to one of the preceding claims 1 to 3, characterized in that the self-fault diagnosis monitoring unit ( 11 ) via the information line ( 18 ) with the comparison unit ( 3 ), from each of which an information distribution line ( 18a . 18b ) to each arithmetic unit ( 1 . 2 ) leads. Anordnung nach Anspruch 1 dadurch gekennzeichnet, dass die Eigenfehlerdiagnoseüberwachungseinheit (19) über je eine Signalleitung (15, 16) mit jeder Recheneinheit (1, 2) verbunden ist und in Abhängigkeit von den Ergebnissen der Eigenfehlerdiagnosen der Recheneinheiten (1, 2) die Signalleitungen (15, 16) aktiviert.Arrangement according to claim 1, characterized in that the self-fault diagnosis monitoring unit ( 19 ) via one signal line ( 15 . 16 ) with each arithmetic unit ( 1 . 2 ) and depending on the results of the eigen-fault diagnostics of the computing units ( 1 . 2 ) the signal lines ( 15 . 16 ) is activated. Anordnung nach Anspruch 6 dadurch gekennzeichnet, dass die Signalleitung (15, 16) eine Schaltleitung ist, wobei auf ein Signal der Eigenfehlerdiagnoseüberwachungseinheit (11) über die Schaltleitung die Recheneinheit (1, 2) abschaltbar ist.Arrangement according to claim 6, characterized in that the signal line ( 15 . 16 ) is a switching line, wherein a signal of the Eigenfehlerdiagnoseüberwachungseinheit ( 11 ) via the switching line the arithmetic unit ( 1 . 2 ) can be switched off. Anordnung nach Anspruch 1 und 4 dadurch gekennzeichnet, dass die Eigenfehlerdiagnoseüberwachungseinheit (11) mit einer Restbetriebzeitüberwachungseinheit (19) verbunden ist, welche bei Aktivierung der Informationsleitung durch die Eigenfehlerdiagnoseüberwachungseinheit (11) in Betrieb setzbar ist.Arrangement according to claim 1 and 4, characterized in that the self-fault diagnosis monitoring unit ( 11 ) with a remaining operation time monitoring unit ( 19 ), which upon activation of the information line by the self-fault diagnosis monitoring unit ( 11 ) is put into operation. Anordnung nach Anspruch 8 dadurch gekennzeichnet, dass die Eigenfehlerdiagnoseüberwachungseinheit (11) mit einer Anzeige verbunden ist.Arrangement according to claim 8, characterized in that the self-fault diagnosis monitoring unit ( 11 ) is connected to an advertisement. Anordnung zur Fehlererkennung und -behandlung in einem Steuergerät in einem Kraftfahrzeug, bestehend aus einem Prozessorsystem mit mindestens zwei redundant arbeitenden, eigenfehlerdiagnosefähigen Recheneinheiten, deren Ausgangssignale von einer Vergleichseinheit überwachbar sind, wobei die Recheneinheiten mit einer Datenleitung verbunden sind, dadurch gekennzeichnet, dass die Vergleichseinheit (3) an eine Eigenfehlerdiagnoseüberwachungseinheit (11) führt, wobei die Eigenfehlerdiagnoseüberwachungseinheit (11) mit jeder eine sicherheitsrelevante Anwendung des Kraftfahrzeuges ausführenden Recheneinheit (1, 2) verbunden ist, und die beiden Recheneinheiten (1, 2) mit der Eigenfehlerdiagnoseüberwachungseinheit (11) kommunizieren, wobei jede die Eigenfehlerdiagnose durchführende Recheneinheit (1, 2) ein Ergebnis der Eigenfehlerdiagnose an die Eigenfehlerdiagnoseüberwachungseinheit (11) meldet und die Eigenfehlerdiagnoseüberwachungseinheit (11) bei Identifizierung einer defekten Recheneinheit (1, 2) diese abschaltet und eine die Laufzeit der aktiven Recheneinheit (1, 2) begrenzenden Restbetriebzeitüberwachungseinheit (19) aktiviert.Arrangement for error detection and treatment in a control unit in a motor vehicle, comprising a processor system having at least two redundantly operating, eigenfehlerdiagnosefähigen computing units whose output signals are monitored by a comparison unit, wherein the computing units are connected to a data line, characterized in that the comparison unit ( 3 ) to a self-diagnostic diagnostic monitoring unit ( 11 ), whereby the self-fault diagnosis monitoring unit ( 11 ) with each of a safety-relevant application of the motor vehicle exporting computing unit ( 1 . 2 ), and the two arithmetic units ( 1 . 2 ) with the self-fault diagnosis monitoring unit ( 11 ), each arithmetic unit performing the self-fault diagnosis ( 1 . 2 ) a result of the self-fault diagnosis to the self-fault diagnosis monitoring unit ( 11 ) and the self fault diagnosis monitoring unit ( 11 ) when identifying a defective computing unit ( 1 . 2 ) turns them off and the run time of the active processing unit ( 1 . 2 ) limiting remaining operation time monitoring unit ( 19 ) is activated. Verfahren zur Behandlung von Fehlern in einem Steuergerät eines Kraftfahrzeuges mit mindestens zwei Recheneinheiten, wobei die beiden Recheneinheiten redundant arbeiten und ihre Ausgangssignale einem Vergleich unterliegen, wobei jede Recheneinheit eine Eigenfehlerdiagnose durchführen kann dadurch gekennzeichnet, dass die Recheneinheiten eine sicherheitsrelevante Anwendung des Kraftfahrzeuges ausführen und dass bei Feststellung eines Fehlers in den Ausgangssignalen der Recheneinheiten ein Fehlersignal ausgelöst wird, durch welches eine Laufzeit eines Timers und die Eigenfehlerdiagnosen der Recheneinheiten gestartet werden, wobei infolge der Ergebnisse der Eigenfehlerdiagnosen der Recheneinheiten Signale zur Fehlerbehandlung ausgelöst werden.A method for the treatment of errors in a control unit of a motor vehicle having at least two arithmetic units, the two arithmetic units operate redundantly and their output signals are subject to comparison, each arithmetic unit can perform a Eigenfehlerdiagnose, characterized in that the arithmetic units perform a safety-relevant application of the motor vehicle and that at Detecting an error in the output signals of the arithmetic units an error signal is triggered by which a runtime of a timer and the egg gene error diagnoses of the arithmetic units are started, which are triggered due to the results of the self-fault diagnosis of the arithmetic units signals for error handling. Verfahren nach Anspruch 11 dadurch gekennzeichnet, dass bei Ausbleiben der Ergebnisse der Eigenfehlerdiagnosen beider Recheneinheiten innerhalb der Laufzeit des Timers beide Recheneinheiten abgeschaltet werden.Method according to claim 11, characterized that in the absence of the results of the self-fault diagnosis of both Arithmetic units within the runtime of the timer both arithmetic units be switched off. Verfahren nach Anspruch 11 dadurch gekennzeichnet, dass bei Eintreffen der Ergebnisse der Eigenfehlerdiagnosen innerhalb der Laufzeit des Timers diese plausibilisiert werden.Method according to claim 11, characterized that upon receipt of the results of the Eigenfehlerdiagnoses within the duration of the timer they are plausibility. Verfahren nach Anspruch 13 dadurch gekennzeichnet, dass bei Sendung eines korrekten Ergebnisses der Eigenfehlerdiagnose sowohl durch die erste als auch die zweite Recheneinheit beide Recheneinheiten ihren Betriebsablauf fortsetzen.Method according to claim 13, characterized that upon transmission of a correct result of the self-fault diagnosis both by the first and the second arithmetic unit both arithmetic units continue their operations. Verfahren nach Anspruch 13 dadurch gekennzeichnet, dass bei Übersendung eines korrekten Ergebnisses der Eigenfehlerdiagnose durch eine erste Recheneinheit und eines unkorrekten Ergebnisses oder keines Ergebnisses durch eine zweite Recheneinheit, die erste Recheneinheit ihren Betriebsablauf fortsetzt, während die zweite Recheneinheit abgeschaltet wird.Method according to claim 13, characterized that upon transmission of a correct result of the self-fault diagnosis by a first arithmetic unit and an incorrect result or no result by a second arithmetic unit, the first arithmetic unit continues its operation while the second processing unit is switched off. Verfahren nach Anspruch 15 dadurch gekennzeichnet, dass eine Restbetriebszeitlaufdauer überwacht wird, wobei nach Ablauf der Restbetriebszeitlaufdauer die erste Recheneinheit abgeschaltet wird.Method according to claim 15, characterized a remaining operating time duration is monitored, wherein after expiry of the remaining operating time running time, the first arithmetic unit is switched off. Verfahren nach Anspruch 15 dadurch gekennzeichnet, dass die Abschaltung der zweiten Recheneinheit angezeigt wird.Method according to claim 15, characterized that the shutdown of the second processing unit is displayed. Verfahren nach Anspruch 11 und 15 dadurch gekennzeichnet, dass die sicherheitsrelevante Anwendung des Kraftfahrzeuges ein elektronisches Stabilitätsprogramm ist, wobei die erste Recheneinheit die Ausführung des elektronischen Stabilitätsprogramms fortführt, während die zweite Recheneinheit abgeschaltet wird.Method according to claims 11 and 15, characterized that the safety-relevant application of the motor vehicle electronic stability program is, the first Computing unit the execution of the electronic stability program continues while the second processing unit is turned off becomes. Verfahren nach Anspruch 15 und 18 dadurch gekennzeichnet, dass die Ausführung des elektronischen Stabilitätsprogramms beendet und ein funktionell eingeschränktes Ersatzprogramm gestartet wird.Method according to claims 15 and 18, characterized that the execution of the electronic stability program terminated and a functionally limited replacement program is started. Verfahren nach Anspruch 19 dadurch gekennzeichnet, dass das Ersatzprogramm eine elektronische Bremskraftverteilung enthält, wobei die Geschwindigkeit des Kraftfahrzeuges begrenzt wird.Method according to claim 19, characterized that the replacement program has an electronic brake force distribution contains, the speed of the motor vehicle is limited. Verfahren nach Anspruch 19 oder 20 dadurch gekennzeichnet, dass die Aktivierung des Ersatzprogramms angezeigt wird.A method according to claim 19 or 20, characterized that the activation of the replacement program is displayed. Verfahren nach Anspruch 13 dadurch gekennzeichnet, dass bei Übermittlung von unkorrekten Ergebnissen der Eigenfehlerdiagnose sowohl durch die erste als auch durch die zweite Recheneinheit, beide Recheneinheiten abgeschaltet werden.Method according to claim 13, characterized that when transmitting incorrect results of the self-fault diagnosis both by the first and the second arithmetic unit, both Be turned off computing units. Verfahren nach Anspruch 13 dadurch gekennzeichnet, dass bei Übermittlung von korrekten Ergebnissen durch beide Recheneinheiten ein durch einen Maximalwert begrenzter Zählerstand eines Fehlerzählers erhöht wird.Method according to claim 13, characterized that upon transmission of correct results by both Calculating units a limited by a maximum value count an error counter is increased. Verfahren nach Anspruch 23 dadurch gekennzeichnet, dass bei Erreichen des Maximalwertes des Zählerstandes des Fehlerzählers beide Recheneinheiten abgeschaltet werden.Method according to claim 23, characterized that upon reaching the maximum value of the count the error counter both computing units are turned off. Verfahren nach Anspruch 23 dadurch gekennzeichnet, dass bei Unterschreitung des Maximalwertes des Zählerstandes des Fehlerzählers beide Recheneinheiten ihren Betriebsablauf fortsetzen.Method according to claim 23, characterized that falls below the maximum value of the count the error counter both arithmetic units their operation continue. Verfahren zur Behandlung von Fehlern in einem Steuergerät eines Kraftfahrzeuges mit mindestens zwei Recheneinheiten, wobei die beiden Recheneinheiten redundant arbeiten und ihre Ausgangssignale einem Vergleich unterliegen, wobei jede Recheneinheit eine Eigenfehlerdiagnose durchführen kann dadurch gekennzeichnet, dass die Recheneinheiten ein sicherheitsrelevante Anwendung des Kraftfahrzeuges ausführen und dass bei Feststellung eines Fehlers in den Ausgangssignalen der Recheneinheiten ein Signal ausgelöst wird, durch welches eine Restbetriebslaufzeit gestartet wird, während welcher die sicherheitsrelevante Anwendung von nur einer Recheneinheit ausgeführt wird.Method for handling errors in a control device a motor vehicle with at least two arithmetic units, wherein the two arithmetic units work redundantly and their output signals subject to a comparison, each arithmetic unit an eigen-fault diagnosis can perform characterized in that the arithmetic units perform a safety-relevant application of the motor vehicle and that upon detection of an error in the output signals the computing units a signal is triggered by which a remaining operating time is started during which the safety-relevant application of only one arithmetic unit executed becomes.
DE200810004206 2008-01-14 2008-01-14 Error e.g. transient error, detecting and handling arrangement for control device in motor vehicle, has arithmetic units informing result of inherent error diagnosis to monitoring unit that controls arithmetic units in dependence of result Withdrawn DE102008004206A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200810004206 DE102008004206A1 (en) 2008-01-14 2008-01-14 Error e.g. transient error, detecting and handling arrangement for control device in motor vehicle, has arithmetic units informing result of inherent error diagnosis to monitoring unit that controls arithmetic units in dependence of result

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200810004206 DE102008004206A1 (en) 2008-01-14 2008-01-14 Error e.g. transient error, detecting and handling arrangement for control device in motor vehicle, has arithmetic units informing result of inherent error diagnosis to monitoring unit that controls arithmetic units in dependence of result

Publications (1)

Publication Number Publication Date
DE102008004206A1 true DE102008004206A1 (en) 2009-07-16

Family

ID=40758478

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200810004206 Withdrawn DE102008004206A1 (en) 2008-01-14 2008-01-14 Error e.g. transient error, detecting and handling arrangement for control device in motor vehicle, has arithmetic units informing result of inherent error diagnosis to monitoring unit that controls arithmetic units in dependence of result

Country Status (1)

Country Link
DE (1) DE102008004206A1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017109175A1 (en) 2017-04-28 2018-10-31 Valeo Schalter Und Sensoren Gmbh Control device, driver assistance system, motor vehicle and method for controlling a driver assistance function
WO2019068570A1 (en) * 2017-10-06 2019-04-11 Volkswagen Aktiengesellschaft Brake system for a motor vehicle and method for operating a brake system
CN112740123A (en) * 2018-08-21 2021-04-30 皮尔茨公司 Automation system for monitoring safety-critical processes
WO2021197723A1 (en) * 2020-03-30 2021-10-07 Siemens Mobility GmbH Method and system for data management in a transport means
WO2022268270A1 (en) * 2021-06-22 2022-12-29 Continental Autonomous Mobility Germany GmbH Control device and assistance system for a vehicle

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5748873A (en) 1992-09-17 1998-05-05 Hitachi,Ltd. Fault recovering system provided in highly reliable computer system having duplicated processors

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5748873A (en) 1992-09-17 1998-05-05 Hitachi,Ltd. Fault recovering system provided in highly reliable computer system having duplicated processors

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
DIN EN 61508

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017109175A1 (en) 2017-04-28 2018-10-31 Valeo Schalter Und Sensoren Gmbh Control device, driver assistance system, motor vehicle and method for controlling a driver assistance function
WO2019068570A1 (en) * 2017-10-06 2019-04-11 Volkswagen Aktiengesellschaft Brake system for a motor vehicle and method for operating a brake system
CN111148673A (en) * 2017-10-06 2020-05-12 大众汽车有限公司 Brake system for a motor vehicle and method for operating a brake system
EP3691945B1 (en) 2017-10-06 2021-08-25 Volkswagen Aktiengesellschaft Vehicle brake system and method of operating
CN112740123A (en) * 2018-08-21 2021-04-30 皮尔茨公司 Automation system for monitoring safety-critical processes
CN112740123B (en) * 2018-08-21 2024-03-19 皮尔茨公司 Automation system for monitoring safety-critical processes
WO2021197723A1 (en) * 2020-03-30 2021-10-07 Siemens Mobility GmbH Method and system for data management in a transport means
CN115335270A (en) * 2020-03-30 2022-11-11 西门子交通有限公司 Method and system for data management in a vehicle
CN115335270B (en) * 2020-03-30 2024-01-26 西门子交通有限公司 Method and system for data management in a vehicle
WO2022268270A1 (en) * 2021-06-22 2022-12-29 Continental Autonomous Mobility Germany GmbH Control device and assistance system for a vehicle

Similar Documents

Publication Publication Date Title
EP1917592B1 (en) Computer system with at least two execution units and a comparison unit and method for controlling the same
EP2641176B1 (en) Microprocessorsystem with fault tolerant architecture
DE10049441B4 (en) Method of operating a system controlled by a processor
EP2718689B1 (en) Method for monitoring a subsystem installed in a motor vehicle
DE102011014142A1 (en) Vehicle control device for a CAN communication and diagnostic method therefor
DE102008004205A1 (en) Circuit arrangement for error treatment in real-time system e.g. controller, for motor vehicle, has processing units reporting result of inherent error diagnosis by monitoring unit that activates arithmetic units in dependence of result
EP2207097A1 (en) Method and device for operating a control device
WO2008040641A2 (en) Method and device for error management
DE19509150C2 (en) Method for controlling and regulating vehicle brake systems and vehicle brake system
DE102008004206A1 (en) Error e.g. transient error, detecting and handling arrangement for control device in motor vehicle, has arithmetic units informing result of inherent error diagnosis to monitoring unit that controls arithmetic units in dependence of result
WO2008065059A1 (en) Method for ensuring or maintaining the function of a complex complete safety-critical system
EP2726352B1 (en) Method, system and computer programme product for monitoring the function of a safety monitoring system of a control unit
DE102013021231A1 (en) Method for operating an assistance system of a vehicle and vehicle control unit
EP2228723B1 (en) Method for error treatment of a computer system
DE10312553B3 (en) Automobile with several control devices switched between active and inactive conditions and central monitoring control device providing watch-dog function
DE102011087063A1 (en) Control computer system for controlling e.g. brake system of motor vehicle, has switching-off signal masking module arranged in path between emergency module and module to mask switching-of signal and integrated into circuit on substrate
DE102006003147B4 (en) Method of restoring control of a continuously resetting control unit
DE102004051991A1 (en) Method, operating system and computing device for executing a computer program
DE10252990B3 (en) Control unit for a motor vehicle occupant safety system, especially an airbag system, has additional AND gates in addition to dual controlling computers to ensure reliable detection and resetting of a faulty computer unit
DE102006020793A1 (en) Circuit arrangement and method for operating a circuit arrangement
DE102013202482A1 (en) Error signal handling apparatus for use in electronic controller of heavy vehicle, has processing device outputting condition signal if error signal is received within given delay time, and otherwise omitting outputting of condition signal
EP1774417B1 (en) Method and device for monitoring the running of a control program on an arithmetic processing unit
EP1751634B1 (en) Method for monitoring a set of controllers
EP1461701B1 (en) Program-controlled unit with monitoring device
WO2023232401A1 (en) Method for operating a control device of a vehicle

Legal Events

Date Code Title Description
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20130801