-
Die
Erfindung betrifft Sicherheitsüberprüfungen mit
Hilfe von Verbindungsleitungen zwischen Steuergeräten eines
Kraftfahrzeugs. Steuergeräte in einem Fahrzeug sind Geräte,
die weitgehend selbstständig weitere Geräte steuern.
Dabei treiben sie Aktoren, wie einen Piezoaktor einer Verbrennungsmaschine
an und erhalten von Sensoren Information über die vom Aktor
gesteuerten Vorgänge. Bspw. enthält das Steuergerät
für den Piezoaktor von einem Sensor einen Wert für
den Sauerstoffgehalt im Abgas des Motors. Dieser Wert wird verwendet,
um die Ansteuerung des Piezoaktors zu regeln.
-
Die
US 5,980,081 zeigt ein Steuergerät
zum Ansteuern eines Verbrennungsmotors. Das Steuergerät
weist einen Mikroprozessor auf, der eine Haupt-CPU (Central Prozessor
Unit), ein ROM (Read-Only-Memory) und ein RAM (Random Access Memory)
aufweist. Auf der Haupt-CPU wird ein in dem ROM abgespeichertes
Programm abgearbeitet, das eine Drosselklappe ansteuert. Um zu überprüfen,
ob die Haupt-CPU regelmäßig Watchdog-Signale generiert,
ist in dem Mikroprozessor eine nebengeordnete CPU vorgesehen, die
die Watchdog-Signale der Haupt-CPU empfängt. Allerdings
stellt sich das Problem, dass die nebengeordnete CPU die Kosten und
die Komplexität des Steuergeräts erhöht.
-
Es
ist daher Aufgabe der Erfindung, ein Steuergerät anzugeben,
mit dem mit geringem Aufwand die Funktionsfähigkeit eines
Mikroprozessors einer Steuereinheit überprüft
wird. Es ist ferner Aufgabe der Erfindung, ein entsprechendes Verfahren
zum Überprüfen eines Mikroprozessors bereitzustellen.
-
Diese
Aufgabe wird durch den Gegenstand der unabhängigen Patentansprüche
gelöst. Vorteilhafte Ausgestaltungen ergeben sich aus den
jeweiligen Unteransprüchen.
-
Erfindungsgemäß wird
eine Schaltungsanordnung in einem Fahrzeug bereitgestellt, die ein
erstes Steuergerät zum Steuern eines ersten Aktors und ein
zweites Steuergerät zum Steuern eines zweiten Aktors aufweist.
Das erste Steuergerät und das zweite Steuergerät
können jeweils weitere Aktoren ansteuern. Das erste Steuergerät
und das zweite Steuergerät weisen jeweils einen Mikroprozessor
auf. Das erste Steuergerät und das zweite Steuergerät sind
jeweils an einem Bus angeschlossen. Der Mikroprozessor des zweiten
Steuergeräts ist zum regelmäßigen Überprüfen
der Funktion des Mikroprozessors des ersten Steuergeräts
ausgebildet. Er ist zudem ausgebildet zum Schalten des ersten Steuergeräts
in einen sicheren Zustand bei einer Fehlfunktion des Mikroprozessors
des ersten Steuergeräts. Im folgenden wird auch das Wort
Prozessor verwendet, wobei Prozessor als synonym zu Mikroprozessor
verstanden wird.
-
Bei
der vorgeschlagenen Schaltungsanordnung ist es nicht mehr nötig,
eine nebengeordnete CPU vorzusehen, um die Sicherheitsüberprüfungen vorzunehmen.
Die Sicherheitsüberprüfungen im gleichen Mikroprozessor
vorzunehmen empfiehlt sich ebenfalls nicht, da für die
Sicherheitsüberprüfung sinnvollerweise eine zweite
Instanz vorgesehen wird.
-
In
einer bevorzugten Ausführungsform ist eine Leitung zwischen
dem ersten Steuergerät und dem zweiten Steuergerät
vorgesehen, die ausschließlich zum Übertragen
eines Signals vom zweiten Steuergerät zum ersten Steuergerät
vorgesehen ist. Das Signal gibt an, ob der Mikroprozessor des ersten
Steuergeräts funktional ist oder nicht ist.
-
Dadurch,
dass die Leitung exklusiv für die Meldung, ob der Mikroprozessor
funktional oder nicht ist, vorgesehen ist, ist diese Teilleitung
nicht Teil des Busses. Bei einem Bus besteht die Gefahr, dass weitere,
an dem Bus angeschlossene, Geräte die Fehlermeldung überschreiben
könnten.
-
In
einer weiteren Ausführungsform ist ein drittes Steuergerät
zum Steuern eines dritten Aktors vorgesehen, wobei das dritte Steuergerät
ebenfalls einen Mikroprozessor aufweist und an den Bus angeschlossen
ist. Der Mikroprozessor des dritten Steuergeräts ist zum
regelmäßigen Überprüfen der
Funktion des Mikroprozessors des zweiten Steuergeräts und
zum Schalten des zweiten Steuergeräts in einen sicheren
Zustand bei einer Fehlfunktion des Mikrocontrollers des zweiten
Steuergeräts ausgebildet.
-
In
einer weiteren Ausführungsform ist der Mikroprozessor des
ersten Steuergeräts zum regelmäßigen Überprüfen
der Funktion des Mikroprozessors des zweiten Steuergeräts
und zum Schalten des zweiten Steuergeräts in einen sicheren
Zustand bei einer Fehlfunktion des Mikroprozessors des zweiten Steuergeräts
ausgebildet ist. Damit überprüfen sich die Mikroprozessoren
der Steuergeräte gegenseitig, wodurch die Komplexität
des Gesamtsystems verringert werden kann, wenn nur Paare von Steuergeräten
sich gegenseitig überwachen.
-
Mit
dieser Vorrichtung kann auch der Mikroprozessor des zweiten Steuergeräts überprüft
werden, wobei diese Überprüfung unabhängig
von dem zweiten Steuergerät erfolgt, sodass ein Fehler
des zweiten Steuergeräts mit einer hohen Wahrscheinlichkeit
auch erkannt wird.
-
Falls
der Mikroprozessor des zweiten Steuergeräts Kommandos an
den Mikroprozessor des ersten Steuergeräts über
den Bus sendet, bedarf es für diese Kommandos, bspw. Statusabfragen
eines Watchdog-Signals keiner zusätzlichen Leitungen zwischen
dem dritten und zweiten Steuergerät, was die Kosten für
die gesamte Schaltungsanordnung verringert.
-
Gleichfalls
antwortet der Mikroprozessor des zweiten Steuergeräts auf
Kommandos des ersten Steuergeräts, indem er Signale an
das zweite Steuergerät über den Bus sendet, sodass
das Vorhandensein des Busses für diese Kommunikation zwischen
zweitem und drittem Steuergerät möglichst gut ausgenutzt
wird.
-
In
einer Ausführungsform ist das zweite Steuergerät
zum Schalten in einen sicheren Zustand ausgebildet, falls das zweite
Steuergerät signalisiert, dass der Mikroprozessor des ersten
Steuergeräts defekt ist. Der sichere Zustand ist durch
vorbestimmte Ausgangssignale des Steuergeräts gekennzeichnet. Damit
wird sichergestellt, dass bei einem Defekt des Mikroprozessors der
von dem Steuergerät angesteuerte Aktor ein vorbestimmtes
Verhalten annimmt und in der Regel ausschaltet.
-
In
einer weiteren Ausführungsform ist das erste Steuergerät
zum Rücksetzen des Mikroprozessors ausgebildet, falls das
zweite Steuergerät signalisiert, dass der Mikroprozessor
des ersten Steuergeräts defekt ist. Mit dem Rücksetzsignal
kann in den meisten Fällen das Steuergerät wieder
in einen funktionsfähigen Zustand überführt
werden.
-
Falls
der Mikroprozessor des zweiten Steuergeräts zum Überprüfen,
ob der Mikroprozessor des ersten Steuergeräts regelmäßig
Watchdog-Signale ausgibt, ausgebildet ist, so erfolgt die Überprüfung des
Mikroprozessors des ersten Steuergeräts in regelmäßigen
Abständen, sodass ein Fehler schnell erkannt wird.
-
Die
Erfindung betrifft auch die Verwendung einer erfindungsgemäßen
Schaltungsanordnung in einem Kraftfahrzeug. In einem Kraftfahrzeug
ist eine Vielzahl von Steuergeräten vorgesehen. Es ist
wünschenswert die Kosten und die Komplexität der
einzelnen Steuergeräte zu verringern. Dadurch ist die Überwachung
eines Mikroprozessors des einen Steuergeräts durch einen
Mikroprozessor eines anderen Steuergeräts hier besonders
sinnvoll.
-
Die
Erfindung betrifft auch ein Verfahren zum Überprüfen
eines Mikroprozessors eines ersten Steuergeräts, wobei
das Verfahren zunächst einen Schritt aufweist, in dem eine
oben beschriebene Schaltungsanordnung bereit gestellt wird. Die
Funktion des Mikroprozessors des ersten Steuergeräts wird
regelmäßig durch den Mikroprozessor des zweiten
Steuergeräts überprüft. Falls beim Schritt
des Überprüfens eine Fehlfunktion des Mikroprozessors des
ersten Steuergeräts festgestellt wurde, wird das erste
Steuergerät in einen sicheren Zustand geschaltet. Damit
erfolgt der Schritt des Überprüfens durch ein
anderes Steuergerät als das überprüfte
Steuergerät. Somit wird die Wahrscheinlichkeit, dass ein Fehler
entdeckt wird, erhöht, was die Sicherheit des Gesamtsystems
ebenfalls erhöht. zusätzlich wird gegenüber
dem im Stand der Technik bekannten Verfahren der Aufwand im Steuergerät
verringert, da kein zusätzlicher Prozessor zum Überprüfen
vorgesehen werden muss.
-
In
einer Ausführungsform überprüft der Mikroprozessor
des zweiten Steuergeräts regelmäßig, ob
der Mikroprozessor des ersten Steuergeräts Watchdog-Signale
ausgibt.
-
In
einer weiteren Ausführungsform setzt das erste Steuergerät
den Mikroprozessor des ersten Steuergeräts zurück,
falls beim Überprüfen eine Fehlfunktion des Mikroprozessors
des ersten Steuergeräts festgestellt wurde. Beim Rücksetzen
wird der Mikroprozessor in einen vorbestimmten Zustand versetzt,
indem eine Vielzahl von Zustandsspeichern des Mikroprozessors im
wesentlichen gleichzeitig auf vorbestimmte Werte gesetzt werden.
-
Vorzugsweise
werden Nachrichten zwischen dem ersten Steuergerät und
dem zweiten Steuergerät, die das regelmäßige Überprüfen
betreffen, über den Bus gesendet werden, um die Anzahl
der Leitungen zwischen den Steuergeräten gering zu halten.
-
Die Überprüfung
des Ausschaltpfades ist ebenfalls möglich über
den Standardbus.
-
Falls
beim regelmäßigen Überprüfen
der Mikroprozessor des zweiten Steuergeräts dem Mikroprozessor
des ersten Steuergeräts Aufgaben zum Berechnen gibt und
die Berechnungsergebnisse vom Mikroprozessor des ersten Steuergeräts
empfängt und diese mit vorbestimmten Werten vergleicht,
können mittels umfangreicher Berechnungen viele verschiedene
Funktionen des Mikroprozessors des ersten Steuergeräts überprüft
werden.
-
Alternativ
oder zusätzlich kann beim regelmäßigen Überprüfen
der Mikroprozessor des zweiten Steuergeräts das Ansteuersignal
für den ersten Aktor von dem ersten Steuergerät
empfangen und dieses Ansteuersignal mit von dem Mikroprozessor des zweiten
Steuergeräts berechneten Werten vergleichen. Damit wird
das Ansteuersignal überprüft, wodurch Fehler des
Mikroprozessors schnell erkannt werden können.
-
Die
Erfindung ist in den Zeichnungen anhand eines Ausführungsbeispiels
näher veranschaulicht. Dabei zeigt
-
1 in
einem Prinzipschaubild eine Schaltungsanordnung zum Ansteuern mehrerer
Geräte in einem Fahrzeug.
-
2 in
einer Übersicht die Verfahrensschritte des erfindungsgemäßen
Verfahrens.
-
1 zeigt
in einem Prinzipschaubild eine Schaltungsanordnung zum Ansteuern
mehrerer Geräte G1, G2 und G3. Das Gerät G1 weist
als Aktor A1 einen Piezoaktor einer Verbrennungsmaschine auf. Der
Sensor S1 des Geräts G1 ist die Lambdasonde. Das Gerät
wird auch als ECU (electronic control unit) bezeichnet
-
Das
Gerät G2 ist ein automatisches Getriebe, das ebenfalls
einen Aktor A2 und einen Sensor S2 aufweist. Das zweite Steuergerät 3 kann
somit als TCU (transmission control unit) bezeichnet werden. Das
Gerät G3 enthält die Scheibenwischersteuerung mit
einem Servomotor A3 und einem Regentropfensensor S3.
-
Die
Schaltungsanordnung 1 weist ein erstes Steuergerät 2,
ein zweites Steuergerät 3, ein drittes Steuergerät 4 und
einen Bus 5 auf. Das erste Steuergerät 2 weist
eine erste Schnittstelle 201, eine zweite Schnittstelle 202,
eine dritte Schnittstelle 203 und eine vierte Schnittstelle 204 auf.
Die erste Schnittstelle 201 weist die Ein- und Ausgänge
zur Kommunikation über den Bus 5 auf. Der Bus 5 kann
bspw. ein CAN- oder ein SPI-Bus sein. Eine Leitung 32 ist
zwischen dem Ausgang 305 des zweiten Steuergeräts 3 und
dem Eingang 204 des ersten Steuergeräts 2 vorgesehen.
-
Das
Steuergerät 2 weist einen Mikroprozessor 20 auf,
in der das Steuerprogramm für das Gerät G1 abgearbeitet
wird. Dazu steuert der Prozessor 20 den Ausgang 202 an,
an dem Signal O1 zur Steuerung des Aktors A1 ausgegeben wird. Ausgangssignale
des Sensors S1 werden von dem Gerät G1 über das
Signal I1 an den Eingang 203 ausgegeben. Das Signal am
Eingang 203 wird über einen Analog-Digital-Wandler
(AD-Wandler) zu einem Eingang des Prozessors 20 geleitet.
-
Das
zweite Steuergerät 3 weist prinzipiell den gleichen
Aufbau wie das Steuergerät 2 auf. Es weist die
Schnittstelle 301, 302, 303, 304 und 305 auf.
Der Prozessor 30 des zweiten Steuergeräts 3 steuert
das Gerät G2 analog, wie der Prozessor 20 das
Gerät G1 ansteuert.
-
Zusätzlich
sind in dem Programm des Prozessors 30 Routinen abgespeichert,
die die Funktion des Prozessors 20 überprüfen.
-
2 zeigt
in einer Übersicht die Verfahrensschritte des erfindungsgemäßen
Verfahrens. Dabei sind links die vom zweiten Steuergerät 3 und recht
die vom ersten Steuergerät 2 durchgeführten Verfahrensschritte
gezeigt. Dazu kommuniziert der Prozessor 30 über
den Bus 5 mit dem Steuergerät 2, um die
vom Watchdog des Prozessors 20 ausgegebenen Signale zu überprüfen.
Laut Spezifikation des Prozessors 20 muss dieser alle 20
ms ein Signal ausgeben. Bleibt dieses Signal aus, ist dies ein Anzeichen,
dass der Mikroprozessor 20 defekt ist. In Schritt 100 fragt
das zweite Steuergerät 3 die Watchdog-Signale
des Mikroprozessors ab und gibt ein Fehlersignal aus, falls diese
ausbleiben. Ansonsten wird das Verfahren in Schritt 101 weitergeführt.
-
In
Schritt 101 stellt der Prozessor 30 dem Prozessor 20 Aufgaben
zur Berechnung, der sie in Schritt 107 berechnet und das
Ergebnis über den Bus 5 wieder zurücksendet.
Das rückgesendete Ergebnis wird von dem Prozessor 30 im
Schritt 102 überprüft. Ist es nicht richtig,
so wird daraus wieder ge schlossen, dass der Prozessor 20 defekt
ist und ein Fehler wird ausgeben. Die Signale auf dem Bus 5 zwischen erstem
Prozessor 20 und zweitem Prozessor 30, die diese Überwachungsfunktionen
betreffen, haben eine hohe Priorität innerhalb des Bussystems
des Busses 5. Damit wird sichergestellt, dass Nachrichten
zwischen den Prozessoren 20 und 30 schnell übermittelt
werden und beispielsweise eine verspätete Antwort vom Prozessor 20 nicht
zu einem falschen Fehlererkennung führt.
-
Wenn
der Prozessor 30 feststellt, dass der Prozessor 20 nicht
funktioniert, gibt er über die fest verdrahtete Leitung 32 ein
Signal aus, das anzeigt, dass der Prozessor 20 defekt ist.
Bspw. mit wird über die Leitung 32 ein digitales
Signal von dem Steuergerät 3 getrieben. Ein niedriger
Pegel besagt, dass der Prozessor 20 funktioniert und ein
hoher Pegel zeigt an, dass der Prozessor 30 einen Fehler
in der Funktionalität des Prozessors 20 gefunden
hat. Diese Leitung 32 wird lediglich zum Übertragen
dieses Signals verwendet und ist unabhängig von der Software-Kommunikation über
den Bus 5.
-
Empfängt
das erste Steuergerät 2 an seinem Eingang 204 einen
hohen Pegel, so schaltet das erste Steuergerät 2 gemäß Schritt 109 in
einen sicheren Zustand. Dieses steuert den Ausgang 202 so
an, dass der Piezoaktor A1 kein Benzin mehr in die Verbrennungskammer
der Verbrennungsmaschine einspritzt. Gleichzeitig wird Zurücksetzen,
d. h. ein Reset, des Mikroprozessors 20 durchgeführt.
Der Reset des Prozessors 20 kann auch durch den im Prozessor 20 vorgesehenen
Watchdog erfolgen.
-
In
der gezeigten Ausführungsform der Erfindung überprüft
der Prozessor 30 neben der oben beschriebenen Überprüfung
auch direkt die Ansteuerung des Geräts G1 durch den Mikroprozessors 20. In
dem Prozessor 20 ist ein Berechnungsprogramm ab gelegt,
das das Ausgangssignal für den Piezoaktor A1 in Abhängigkeit
der Pedalstellung, des eingelegten Gangs und der Temperatur des
Kühlers berechnet. Das gleiche Programm ist in dem Prozessor 30 vorgesehen.
Die Information über die Pedalstellung, den eingelegten
Gang und die Temperatur des Kühlers enthält der
Prozessor 30 genauso wie der Prozessor 20 über
den Bus 5. Falls für die Berechnung des Signals
Daten vom Sensor benötigt würde, könnte
dies von dem ersten Steuergerät 2 über
den Bus 5 an das zweite Steuergerät 3 übermittelt
werden.
-
Der
Prozessor 30 berechnet im Schritt 103 wie der
Prozessor 20, wie hoch das am Ausgang 203 ausgegebene
Signal O1 zur Steuerung des Piezoaktors A1 sein sollte. Der Prozessor 30 sendet
in Schritt 104 über den Bus 5 eine Anfrage
an das Steuergerät 2, wie hoch der am Ausgang 202 ausgegebene
Wert ist. Sobald der Prozessor 30 diesen Wert von dem Steuergerät 2 empfangen
hat, vergleicht der Prozessor 30 in Schritt 105 den
empfangenen Wert mit dem selbst berechneten Wert und gibt bei großen
Abweichungen zwischen diesen beiden Werten einen hohen Pegel am
Ausgang 305 des Steuergeräts 3 aus.
-
Wenn
das Steuergerät 2 an seinem Eingang 204 einen
hohen Pegel empfängt, so erfolgt das Schalten in den sicheren
Zustand und das Ausschalten des Aktors A1 mithilfe von Schaltungen
des Steuergeräts 2, die außerhalb des
Prozessors 20 liegen, da dieser offensichtlich defekt ist.
-
Die
Schritte 100, 101, 102, 103, 104 und 105 werden
in einer Schleife nacheinander aufgeführt, bis ein Fehler
ausgegeben wurde oder das Fahrzeug ausgeschaltet wurde. Falls das
Steuergerät wegen eines Fehlers in dem sicheren Zustand 108 war
und dieser Fehler beispielsweise durch ein Zurücksetzen des
Mikroprozessors 20 wieder behoben wurde, wird das Verfahren mit
der Schleife der Schritte 100, 101, 102, 103, 104 und 105 wieder
fortgeführt.
-
Das
dritte Steuergerät 4 ist analog zu den Steuergeräten 2 und 3 aufgebaut.
Es weist einen Ausgang 405 auf, der über die Leitung 43 mit
dem Eingang 304 des zweiten Steuergeräts 3 verbunden ist.
Das Steuergerät 4 überwacht den Prozessor 30 des
Steuergeräts 3. Die Überwachung erfolgt
analog zu der Überwachung des Prozessors 20 durch
den Prozessor 30.
-
Falls
die Überwachung des Steuergeräts 3 durch
das Steuergerät 2 durchgeführt würde,
würde bei Ausfall des Prozessors 20 diese Überwachung
für einige Zeit ausfallen, sodass der Status des Steuergeräts 30 unklar
wäre. Durch das weitere Steuergerät 4 wird
der überwachende Prozessor 30 durch den weiteren
Prozessor 40 überwacht. Dadurch steigt die Wahrscheinlichkeit,
dass ein Fehler entdeckt werden kann. Falls der Prozessor 40 feststellt,
dass der Prozessor 30 nicht funktioniert, gibt er an dem
Ausgang 405 einen High-Pegel aus, woraufhin das Steuergerät 3 in
einen sicheren Zustand schaltet, das Ausgangssignal am Ausgang 302 auf
einen vorbestimmten Wert bringt und den Prozessor 30 mittels
eines Reset-Signals zurücksetzt.
-
Alternativ
kann vorgesehen werden, dass die Mikroprozessor 20 und
der Mikroprozessor 30 sich gegenseitig überwachen.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste
der vom Anmelder aufgeführten Dokumente wurde automatisiert
erzeugt und ist ausschließlich zur besseren Information
des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen
Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt
keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-