DE102008034150A1 - Sicherheitsüberwachung mit Hilfe von Verbindungsleitungen zwischen Steuergeräten eines Kraftfahrzeugs - Google Patents

Sicherheitsüberwachung mit Hilfe von Verbindungsleitungen zwischen Steuergeräten eines Kraftfahrzeugs Download PDF

Info

Publication number
DE102008034150A1
DE102008034150A1 DE102008034150A DE102008034150A DE102008034150A1 DE 102008034150 A1 DE102008034150 A1 DE 102008034150A1 DE 102008034150 A DE102008034150 A DE 102008034150A DE 102008034150 A DE102008034150 A DE 102008034150A DE 102008034150 A1 DE102008034150 A1 DE 102008034150A1
Authority
DE
Germany
Prior art keywords
microprocessor
controller
control device
circuit arrangement
control unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102008034150A
Other languages
English (en)
Inventor
Thomas Knorr
Robert Komanek
Frank Queisser
Johann Schmid
Martin Steinbrück
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Automotive GmbH
Original Assignee
Continental Automotive GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive GmbH filed Critical Continental Automotive GmbH
Priority to DE102008034150A priority Critical patent/DE102008034150A1/de
Publication of DE102008034150A1 publication Critical patent/DE102008034150A1/de
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0421Multiprocessor system
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24038Several test signals stored in memory and used as input signals
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24196Plausibility check in channels for correct sequence or result
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25158Watchdog
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0256Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults injecting test signals and analyzing monitored process response, e.g. injecting the test signal while interrupting the normal operation of the monitored system; superimposing the test signal onto a control signal during normal operation of the monitored system

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Es wird eine Schaltungsanordnung (1) in einem Fahrm Steuern eines ersten Aktors und ein zweites Steuergerät zum Steuern eines zweiten Aktors aufweist. Das erste Steuergerät und das zweite Steuergerät weisen jeweils einen Mikroprozessor auf. Das erste Steuergerät (2) und das zweite Steuergerät (3) sind an einen Bus (5) angeschlossen. Der Mikroprozessor (30) des zweiten Steuergeräts (3) ist zum regelmäßigen Überprüfen der Funktion des Mikroprozessors des ersten Steuergeräts (2) und zum Schalten des ersten Steuergeräts in einen sicheren Zustand bei einer Fehlfunktion des Mikroprozessors (20) des ersten Steuergeräts (2) ausgebildet.

Description

  • Die Erfindung betrifft Sicherheitsüberprüfungen mit Hilfe von Verbindungsleitungen zwischen Steuergeräten eines Kraftfahrzeugs. Steuergeräte in einem Fahrzeug sind Geräte, die weitgehend selbstständig weitere Geräte steuern. Dabei treiben sie Aktoren, wie einen Piezoaktor einer Verbrennungsmaschine an und erhalten von Sensoren Information über die vom Aktor gesteuerten Vorgänge. Bspw. enthält das Steuergerät für den Piezoaktor von einem Sensor einen Wert für den Sauerstoffgehalt im Abgas des Motors. Dieser Wert wird verwendet, um die Ansteuerung des Piezoaktors zu regeln.
  • Die US 5,980,081 zeigt ein Steuergerät zum Ansteuern eines Verbrennungsmotors. Das Steuergerät weist einen Mikroprozessor auf, der eine Haupt-CPU (Central Prozessor Unit), ein ROM (Read-Only-Memory) und ein RAM (Random Access Memory) aufweist. Auf der Haupt-CPU wird ein in dem ROM abgespeichertes Programm abgearbeitet, das eine Drosselklappe ansteuert. Um zu überprüfen, ob die Haupt-CPU regelmäßig Watchdog-Signale generiert, ist in dem Mikroprozessor eine nebengeordnete CPU vorgesehen, die die Watchdog-Signale der Haupt-CPU empfängt. Allerdings stellt sich das Problem, dass die nebengeordnete CPU die Kosten und die Komplexität des Steuergeräts erhöht.
  • Es ist daher Aufgabe der Erfindung, ein Steuergerät anzugeben, mit dem mit geringem Aufwand die Funktionsfähigkeit eines Mikroprozessors einer Steuereinheit überprüft wird. Es ist ferner Aufgabe der Erfindung, ein entsprechendes Verfahren zum Überprüfen eines Mikroprozessors bereitzustellen.
  • Diese Aufgabe wird durch den Gegenstand der unabhängigen Patentansprüche gelöst. Vorteilhafte Ausgestaltungen ergeben sich aus den jeweiligen Unteransprüchen.
  • Erfindungsgemäß wird eine Schaltungsanordnung in einem Fahrzeug bereitgestellt, die ein erstes Steuergerät zum Steuern eines ersten Aktors und ein zweites Steuergerät zum Steuern eines zweiten Aktors aufweist. Das erste Steuergerät und das zweite Steuergerät können jeweils weitere Aktoren ansteuern. Das erste Steuergerät und das zweite Steuergerät weisen jeweils einen Mikroprozessor auf. Das erste Steuergerät und das zweite Steuergerät sind jeweils an einem Bus angeschlossen. Der Mikroprozessor des zweiten Steuergeräts ist zum regelmäßigen Überprüfen der Funktion des Mikroprozessors des ersten Steuergeräts ausgebildet. Er ist zudem ausgebildet zum Schalten des ersten Steuergeräts in einen sicheren Zustand bei einer Fehlfunktion des Mikroprozessors des ersten Steuergeräts. Im folgenden wird auch das Wort Prozessor verwendet, wobei Prozessor als synonym zu Mikroprozessor verstanden wird.
  • Bei der vorgeschlagenen Schaltungsanordnung ist es nicht mehr nötig, eine nebengeordnete CPU vorzusehen, um die Sicherheitsüberprüfungen vorzunehmen. Die Sicherheitsüberprüfungen im gleichen Mikroprozessor vorzunehmen empfiehlt sich ebenfalls nicht, da für die Sicherheitsüberprüfung sinnvollerweise eine zweite Instanz vorgesehen wird.
  • In einer bevorzugten Ausführungsform ist eine Leitung zwischen dem ersten Steuergerät und dem zweiten Steuergerät vorgesehen, die ausschließlich zum Übertragen eines Signals vom zweiten Steuergerät zum ersten Steuergerät vorgesehen ist. Das Signal gibt an, ob der Mikroprozessor des ersten Steuergeräts funktional ist oder nicht ist.
  • Dadurch, dass die Leitung exklusiv für die Meldung, ob der Mikroprozessor funktional oder nicht ist, vorgesehen ist, ist diese Teilleitung nicht Teil des Busses. Bei einem Bus besteht die Gefahr, dass weitere, an dem Bus angeschlossene, Geräte die Fehlermeldung überschreiben könnten.
  • In einer weiteren Ausführungsform ist ein drittes Steuergerät zum Steuern eines dritten Aktors vorgesehen, wobei das dritte Steuergerät ebenfalls einen Mikroprozessor aufweist und an den Bus angeschlossen ist. Der Mikroprozessor des dritten Steuergeräts ist zum regelmäßigen Überprüfen der Funktion des Mikroprozessors des zweiten Steuergeräts und zum Schalten des zweiten Steuergeräts in einen sicheren Zustand bei einer Fehlfunktion des Mikrocontrollers des zweiten Steuergeräts ausgebildet.
  • In einer weiteren Ausführungsform ist der Mikroprozessor des ersten Steuergeräts zum regelmäßigen Überprüfen der Funktion des Mikroprozessors des zweiten Steuergeräts und zum Schalten des zweiten Steuergeräts in einen sicheren Zustand bei einer Fehlfunktion des Mikroprozessors des zweiten Steuergeräts ausgebildet ist. Damit überprüfen sich die Mikroprozessoren der Steuergeräte gegenseitig, wodurch die Komplexität des Gesamtsystems verringert werden kann, wenn nur Paare von Steuergeräten sich gegenseitig überwachen.
  • Mit dieser Vorrichtung kann auch der Mikroprozessor des zweiten Steuergeräts überprüft werden, wobei diese Überprüfung unabhängig von dem zweiten Steuergerät erfolgt, sodass ein Fehler des zweiten Steuergeräts mit einer hohen Wahrscheinlichkeit auch erkannt wird.
  • Falls der Mikroprozessor des zweiten Steuergeräts Kommandos an den Mikroprozessor des ersten Steuergeräts über den Bus sendet, bedarf es für diese Kommandos, bspw. Statusabfragen eines Watchdog-Signals keiner zusätzlichen Leitungen zwischen dem dritten und zweiten Steuergerät, was die Kosten für die gesamte Schaltungsanordnung verringert.
  • Gleichfalls antwortet der Mikroprozessor des zweiten Steuergeräts auf Kommandos des ersten Steuergeräts, indem er Signale an das zweite Steuergerät über den Bus sendet, sodass das Vorhandensein des Busses für diese Kommunikation zwischen zweitem und drittem Steuergerät möglichst gut ausgenutzt wird.
  • In einer Ausführungsform ist das zweite Steuergerät zum Schalten in einen sicheren Zustand ausgebildet, falls das zweite Steuergerät signalisiert, dass der Mikroprozessor des ersten Steuergeräts defekt ist. Der sichere Zustand ist durch vorbestimmte Ausgangssignale des Steuergeräts gekennzeichnet. Damit wird sichergestellt, dass bei einem Defekt des Mikroprozessors der von dem Steuergerät angesteuerte Aktor ein vorbestimmtes Verhalten annimmt und in der Regel ausschaltet.
  • In einer weiteren Ausführungsform ist das erste Steuergerät zum Rücksetzen des Mikroprozessors ausgebildet, falls das zweite Steuergerät signalisiert, dass der Mikroprozessor des ersten Steuergeräts defekt ist. Mit dem Rücksetzsignal kann in den meisten Fällen das Steuergerät wieder in einen funktionsfähigen Zustand überführt werden.
  • Falls der Mikroprozessor des zweiten Steuergeräts zum Überprüfen, ob der Mikroprozessor des ersten Steuergeräts regelmäßig Watchdog-Signale ausgibt, ausgebildet ist, so erfolgt die Überprüfung des Mikroprozessors des ersten Steuergeräts in regelmäßigen Abständen, sodass ein Fehler schnell erkannt wird.
  • Die Erfindung betrifft auch die Verwendung einer erfindungsgemäßen Schaltungsanordnung in einem Kraftfahrzeug. In einem Kraftfahrzeug ist eine Vielzahl von Steuergeräten vorgesehen. Es ist wünschenswert die Kosten und die Komplexität der einzelnen Steuergeräte zu verringern. Dadurch ist die Überwachung eines Mikroprozessors des einen Steuergeräts durch einen Mikroprozessor eines anderen Steuergeräts hier besonders sinnvoll.
  • Die Erfindung betrifft auch ein Verfahren zum Überprüfen eines Mikroprozessors eines ersten Steuergeräts, wobei das Verfahren zunächst einen Schritt aufweist, in dem eine oben beschriebene Schaltungsanordnung bereit gestellt wird. Die Funktion des Mikroprozessors des ersten Steuergeräts wird regelmäßig durch den Mikroprozessor des zweiten Steuergeräts überprüft. Falls beim Schritt des Überprüfens eine Fehlfunktion des Mikroprozessors des ersten Steuergeräts festgestellt wurde, wird das erste Steuergerät in einen sicheren Zustand geschaltet. Damit erfolgt der Schritt des Überprüfens durch ein anderes Steuergerät als das überprüfte Steuergerät. Somit wird die Wahrscheinlichkeit, dass ein Fehler entdeckt wird, erhöht, was die Sicherheit des Gesamtsystems ebenfalls erhöht. zusätzlich wird gegenüber dem im Stand der Technik bekannten Verfahren der Aufwand im Steuergerät verringert, da kein zusätzlicher Prozessor zum Überprüfen vorgesehen werden muss.
  • In einer Ausführungsform überprüft der Mikroprozessor des zweiten Steuergeräts regelmäßig, ob der Mikroprozessor des ersten Steuergeräts Watchdog-Signale ausgibt.
  • In einer weiteren Ausführungsform setzt das erste Steuergerät den Mikroprozessor des ersten Steuergeräts zurück, falls beim Überprüfen eine Fehlfunktion des Mikroprozessors des ersten Steuergeräts festgestellt wurde. Beim Rücksetzen wird der Mikroprozessor in einen vorbestimmten Zustand versetzt, indem eine Vielzahl von Zustandsspeichern des Mikroprozessors im wesentlichen gleichzeitig auf vorbestimmte Werte gesetzt werden.
  • Vorzugsweise werden Nachrichten zwischen dem ersten Steuergerät und dem zweiten Steuergerät, die das regelmäßige Überprüfen betreffen, über den Bus gesendet werden, um die Anzahl der Leitungen zwischen den Steuergeräten gering zu halten.
  • Die Überprüfung des Ausschaltpfades ist ebenfalls möglich über den Standardbus.
  • Falls beim regelmäßigen Überprüfen der Mikroprozessor des zweiten Steuergeräts dem Mikroprozessor des ersten Steuergeräts Aufgaben zum Berechnen gibt und die Berechnungsergebnisse vom Mikroprozessor des ersten Steuergeräts empfängt und diese mit vorbestimmten Werten vergleicht, können mittels umfangreicher Berechnungen viele verschiedene Funktionen des Mikroprozessors des ersten Steuergeräts überprüft werden.
  • Alternativ oder zusätzlich kann beim regelmäßigen Überprüfen der Mikroprozessor des zweiten Steuergeräts das Ansteuersignal für den ersten Aktor von dem ersten Steuergerät empfangen und dieses Ansteuersignal mit von dem Mikroprozessor des zweiten Steuergeräts berechneten Werten vergleichen. Damit wird das Ansteuersignal überprüft, wodurch Fehler des Mikroprozessors schnell erkannt werden können.
  • Die Erfindung ist in den Zeichnungen anhand eines Ausführungsbeispiels näher veranschaulicht. Dabei zeigt
  • 1 in einem Prinzipschaubild eine Schaltungsanordnung zum Ansteuern mehrerer Geräte in einem Fahrzeug.
  • 2 in einer Übersicht die Verfahrensschritte des erfindungsgemäßen Verfahrens.
  • 1 zeigt in einem Prinzipschaubild eine Schaltungsanordnung zum Ansteuern mehrerer Geräte G1, G2 und G3. Das Gerät G1 weist als Aktor A1 einen Piezoaktor einer Verbrennungsmaschine auf. Der Sensor S1 des Geräts G1 ist die Lambdasonde. Das Gerät wird auch als ECU (electronic control unit) bezeichnet
  • Das Gerät G2 ist ein automatisches Getriebe, das ebenfalls einen Aktor A2 und einen Sensor S2 aufweist. Das zweite Steuergerät 3 kann somit als TCU (transmission control unit) bezeichnet werden. Das Gerät G3 enthält die Scheibenwischersteuerung mit einem Servomotor A3 und einem Regentropfensensor S3.
  • Die Schaltungsanordnung 1 weist ein erstes Steuergerät 2, ein zweites Steuergerät 3, ein drittes Steuergerät 4 und einen Bus 5 auf. Das erste Steuergerät 2 weist eine erste Schnittstelle 201, eine zweite Schnittstelle 202, eine dritte Schnittstelle 203 und eine vierte Schnittstelle 204 auf. Die erste Schnittstelle 201 weist die Ein- und Ausgänge zur Kommunikation über den Bus 5 auf. Der Bus 5 kann bspw. ein CAN- oder ein SPI-Bus sein. Eine Leitung 32 ist zwischen dem Ausgang 305 des zweiten Steuergeräts 3 und dem Eingang 204 des ersten Steuergeräts 2 vorgesehen.
  • Das Steuergerät 2 weist einen Mikroprozessor 20 auf, in der das Steuerprogramm für das Gerät G1 abgearbeitet wird. Dazu steuert der Prozessor 20 den Ausgang 202 an, an dem Signal O1 zur Steuerung des Aktors A1 ausgegeben wird. Ausgangssignale des Sensors S1 werden von dem Gerät G1 über das Signal I1 an den Eingang 203 ausgegeben. Das Signal am Eingang 203 wird über einen Analog-Digital-Wandler (AD-Wandler) zu einem Eingang des Prozessors 20 geleitet.
  • Das zweite Steuergerät 3 weist prinzipiell den gleichen Aufbau wie das Steuergerät 2 auf. Es weist die Schnittstelle 301, 302, 303, 304 und 305 auf. Der Prozessor 30 des zweiten Steuergeräts 3 steuert das Gerät G2 analog, wie der Prozessor 20 das Gerät G1 ansteuert.
  • Zusätzlich sind in dem Programm des Prozessors 30 Routinen abgespeichert, die die Funktion des Prozessors 20 überprüfen.
  • 2 zeigt in einer Übersicht die Verfahrensschritte des erfindungsgemäßen Verfahrens. Dabei sind links die vom zweiten Steuergerät 3 und recht die vom ersten Steuergerät 2 durchgeführten Verfahrensschritte gezeigt. Dazu kommuniziert der Prozessor 30 über den Bus 5 mit dem Steuergerät 2, um die vom Watchdog des Prozessors 20 ausgegebenen Signale zu überprüfen. Laut Spezifikation des Prozessors 20 muss dieser alle 20 ms ein Signal ausgeben. Bleibt dieses Signal aus, ist dies ein Anzeichen, dass der Mikroprozessor 20 defekt ist. In Schritt 100 fragt das zweite Steuergerät 3 die Watchdog-Signale des Mikroprozessors ab und gibt ein Fehlersignal aus, falls diese ausbleiben. Ansonsten wird das Verfahren in Schritt 101 weitergeführt.
  • In Schritt 101 stellt der Prozessor 30 dem Prozessor 20 Aufgaben zur Berechnung, der sie in Schritt 107 berechnet und das Ergebnis über den Bus 5 wieder zurücksendet. Das rückgesendete Ergebnis wird von dem Prozessor 30 im Schritt 102 überprüft. Ist es nicht richtig, so wird daraus wieder ge schlossen, dass der Prozessor 20 defekt ist und ein Fehler wird ausgeben. Die Signale auf dem Bus 5 zwischen erstem Prozessor 20 und zweitem Prozessor 30, die diese Überwachungsfunktionen betreffen, haben eine hohe Priorität innerhalb des Bussystems des Busses 5. Damit wird sichergestellt, dass Nachrichten zwischen den Prozessoren 20 und 30 schnell übermittelt werden und beispielsweise eine verspätete Antwort vom Prozessor 20 nicht zu einem falschen Fehlererkennung führt.
  • Wenn der Prozessor 30 feststellt, dass der Prozessor 20 nicht funktioniert, gibt er über die fest verdrahtete Leitung 32 ein Signal aus, das anzeigt, dass der Prozessor 20 defekt ist. Bspw. mit wird über die Leitung 32 ein digitales Signal von dem Steuergerät 3 getrieben. Ein niedriger Pegel besagt, dass der Prozessor 20 funktioniert und ein hoher Pegel zeigt an, dass der Prozessor 30 einen Fehler in der Funktionalität des Prozessors 20 gefunden hat. Diese Leitung 32 wird lediglich zum Übertragen dieses Signals verwendet und ist unabhängig von der Software-Kommunikation über den Bus 5.
  • Empfängt das erste Steuergerät 2 an seinem Eingang 204 einen hohen Pegel, so schaltet das erste Steuergerät 2 gemäß Schritt 109 in einen sicheren Zustand. Dieses steuert den Ausgang 202 so an, dass der Piezoaktor A1 kein Benzin mehr in die Verbrennungskammer der Verbrennungsmaschine einspritzt. Gleichzeitig wird Zurücksetzen, d. h. ein Reset, des Mikroprozessors 20 durchgeführt. Der Reset des Prozessors 20 kann auch durch den im Prozessor 20 vorgesehenen Watchdog erfolgen.
  • In der gezeigten Ausführungsform der Erfindung überprüft der Prozessor 30 neben der oben beschriebenen Überprüfung auch direkt die Ansteuerung des Geräts G1 durch den Mikroprozessors 20. In dem Prozessor 20 ist ein Berechnungsprogramm ab gelegt, das das Ausgangssignal für den Piezoaktor A1 in Abhängigkeit der Pedalstellung, des eingelegten Gangs und der Temperatur des Kühlers berechnet. Das gleiche Programm ist in dem Prozessor 30 vorgesehen. Die Information über die Pedalstellung, den eingelegten Gang und die Temperatur des Kühlers enthält der Prozessor 30 genauso wie der Prozessor 20 über den Bus 5. Falls für die Berechnung des Signals Daten vom Sensor benötigt würde, könnte dies von dem ersten Steuergerät 2 über den Bus 5 an das zweite Steuergerät 3 übermittelt werden.
  • Der Prozessor 30 berechnet im Schritt 103 wie der Prozessor 20, wie hoch das am Ausgang 203 ausgegebene Signal O1 zur Steuerung des Piezoaktors A1 sein sollte. Der Prozessor 30 sendet in Schritt 104 über den Bus 5 eine Anfrage an das Steuergerät 2, wie hoch der am Ausgang 202 ausgegebene Wert ist. Sobald der Prozessor 30 diesen Wert von dem Steuergerät 2 empfangen hat, vergleicht der Prozessor 30 in Schritt 105 den empfangenen Wert mit dem selbst berechneten Wert und gibt bei großen Abweichungen zwischen diesen beiden Werten einen hohen Pegel am Ausgang 305 des Steuergeräts 3 aus.
  • Wenn das Steuergerät 2 an seinem Eingang 204 einen hohen Pegel empfängt, so erfolgt das Schalten in den sicheren Zustand und das Ausschalten des Aktors A1 mithilfe von Schaltungen des Steuergeräts 2, die außerhalb des Prozessors 20 liegen, da dieser offensichtlich defekt ist.
  • Die Schritte 100, 101, 102, 103, 104 und 105 werden in einer Schleife nacheinander aufgeführt, bis ein Fehler ausgegeben wurde oder das Fahrzeug ausgeschaltet wurde. Falls das Steuergerät wegen eines Fehlers in dem sicheren Zustand 108 war und dieser Fehler beispielsweise durch ein Zurücksetzen des Mikroprozessors 20 wieder behoben wurde, wird das Verfahren mit der Schleife der Schritte 100, 101, 102, 103, 104 und 105 wieder fortgeführt.
  • Das dritte Steuergerät 4 ist analog zu den Steuergeräten 2 und 3 aufgebaut. Es weist einen Ausgang 405 auf, der über die Leitung 43 mit dem Eingang 304 des zweiten Steuergeräts 3 verbunden ist. Das Steuergerät 4 überwacht den Prozessor 30 des Steuergeräts 3. Die Überwachung erfolgt analog zu der Überwachung des Prozessors 20 durch den Prozessor 30.
  • Falls die Überwachung des Steuergeräts 3 durch das Steuergerät 2 durchgeführt würde, würde bei Ausfall des Prozessors 20 diese Überwachung für einige Zeit ausfallen, sodass der Status des Steuergeräts 30 unklar wäre. Durch das weitere Steuergerät 4 wird der überwachende Prozessor 30 durch den weiteren Prozessor 40 überwacht. Dadurch steigt die Wahrscheinlichkeit, dass ein Fehler entdeckt werden kann. Falls der Prozessor 40 feststellt, dass der Prozessor 30 nicht funktioniert, gibt er an dem Ausgang 405 einen High-Pegel aus, woraufhin das Steuergerät 3 in einen sicheren Zustand schaltet, das Ausgangssignal am Ausgang 302 auf einen vorbestimmten Wert bringt und den Prozessor 30 mittels eines Reset-Signals zurücksetzt.
  • Alternativ kann vorgesehen werden, dass die Mikroprozessor 20 und der Mikroprozessor 30 sich gegenseitig überwachen.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • - US 5980081 [0002]

Claims (16)

  1. Schaltungsanordnung in einem Fahrzeug, Folgendes enthaltend: – ein erstes Steuergerät (2) zum Steuern mindestens eines ersten Aktors (A1), – ein zweites Steuergerät (3) zum Steuern mindestens eines zweiten Aktors (A2), wobei das erste Steuergerät (2) und das zweite Steuergerät (3) jeweils einen Mikroprozessor (20, 30) aufweisen, – einen Bus (5), an den das erste Steuergerät (2) und das zweite Steuergerät (3) angeschlossen sind, wobei der Mikroprozessor (30) des zweiten Steuergeräts (3) zum regelmäßigen Überprüfen der Funktion des Mikroprozessors (20) des ersten Steuergeräts (2) und zum Schalten des ersten Steuergeräts (2) in einen sicheren Zustand bei einer Fehlfunktion des Mikroprozessors (20) des ersten Steuergeräts (2) ausgebildet ist.
  2. Schaltungsanordnung nach Anspruch 1, dadurch gekennzeichnet, dass eine Leitung (32) zwischen dem ersten Steuergerät (2) und dem zweiten Steuergerät (3) vorgesehen ist ausschließlich zum Übertragen eines Signals vom zweiten Steuergerät (3) zum ersten Steuergerät (2), wobei das Signal angibt, ob der Mikroprozessor (20) des ersten Steuergeräts (2) funktional ist oder nicht.
  3. Schaltungsanordnung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass dass ein drittes Steuergerät (4) zum Steuern eines dritten Aktors (A3), vorgesehen ist, wobei das dritte Steuergerät (4) einen Mikroprozessor (40) aufweist, und an den Bus (5) angeschlossen ist, wobei der Mikroprozessor (30) des dritten Steuergeräts (4) zum regelmäßigen Überprüfen der Funktion des Mikroprozessors (30) des zweiten Steuergeräts (3) und zum Schalten des zweiten Steuergeräts (3) in einen sicheren Zustand bei einer Fehlfunktion des Mikrocontrollers (30) des zweiten Steuergeräts (3) ausgebildet ist.
  4. Schaltungsanordnung nach einem der Ansprüche 1 bis 2, dadurch gekennzeichnet, dass wobei der Mikroprozessor (20) des ersten Steuergeräts (2) zum regelmäßigen Überprüfen der Funktion des Mikroprozessors (30) des zweiten Steuergeräts (3) und zum Schalten des zweiten Steuergeräts (2) in einen sicheren Zustand bei einer Fehlfunktion des Mikroprozessors (30) des zweiten Steuergeräts (3) ausgebildet ist.
  5. Schaltungsanordnung nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass der Mikroprozessor (30) des zweiten Steuergeräts (3) zum Senden Kommandos an den Mikroprozessor (20) des ersten Steuergeräts (2) über den Bus (5) ausgebildet ist.
  6. Schaltungsanordnung nach Anspruch 5, dadurch gekennzeichnet, dass der Mikroprozessor (30) des zweiten Steuergeräts (3) zum Antworten auf die Kommandos des ersten Steuergeräts (2) durch Senden von Signale an das zweite Steuergerät (3) über den Bus (5) ausgebildet ist.
  7. Schaltungsanordnung nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass, falls das zweite Steuergerät (3) signalisiert, dass der Mikroprozessor (20) des ersten Steuergeräts (2) defekt ist, das erste Steuergerät (2) zum Zurücksetzen des Mikroprozessors (20) des ersten Steuergeräts ausgebildet ist.
  8. Schaltungsanordnung nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass, falls das zweite Steuergerät (3) signalisiert, dass das der Mikroprozessor (20) des ersten Steuergeräts (2) defekt ist, das erste Steuergerät (2) zum Schalten in einen sicheren Zustand ausgebildet ist, wobei der sichere Zustand durch vorbestimmte Ausgangssignale des Steuergeräts gekennzeichnet ist.
  9. Schaltungsanordnung nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass der Mikroprozessor (30) des zweiten Steuergeräts (3) überprüft, ob der Mikroprozessor (20) des ersten Steuergeräts (2) regelmäßig Watchdog-Signale ausgibt.
  10. Verwendung einer Schaltungsanordnung nach einem der Ansprüche 1 bis 9 in einem Kraftfahrzeug.
  11. Verfahren zum Überprüfen eines Mikroprozessors (20) eines ersten Steuergeräts (2) mit folgenden Schritten: – Bereitstellen einer Schaltungsanordnung nach einem der Ansprüche 1 bis 10, – regelmäßigen Überprüfen der Funktion des Mikroprozessors (20) des ersten Steuergeräts (2) durch den Mikroprozessor (30) des zweiten Steuergeräts (3), – Schalten des ersten Steuergeräts (2) in einen sicheren Zustand, falls beim Überprüfen eine Fehlfunktion des Mikroprozessors (20) des ersten Steuergeräts (2) festgestellt wurde.
  12. Verfahren nach Anspruch 11, dadurch gekennzeichnet, dass der Schritt des Rücksetzens des Mikroprozessors (20) des ersten Steuergeräts (2), falls beim Überprüfen eine Fehlfunktion des Mikroprozessors (20) des ersten Steuergeräts (2) festgestellt wurde, vorgesehen ist.
  13. Verfahren nach Anspruch 10, 11 oder 12, wobei beim regelmäßigen Überprüfen der Funktion des Mikroprozessors (20) des ersten Steuergeräts (2) durch den Mikroprozessor (30) des zweiten Steuergeräts (3), Nachrichten zwischen dem ersten Steuergerät (2) und dem zweiten Steuergerät (3), die das regelmäßige Überprüfen betreffen, über den Bus (5) gesendet werden.
  14. Verfahren nach einem der Ansprüche 10 bis 13, wobei beim regelmäßigen Überprüfen der Mikroprozessor (30) des zweiten Steuergeräts (3) regelmäßig überprüft, ob der Mikroprozessor (20) des ersten Steuergeräts (2) Watchdog-Signale ausgibt.
  15. Verfahren nach einem der Ansprüche 10 bis 14, wobei beim regelmäßigen Überprüfen der Mikroprozessor (30) des zweiten Steuergeräts (3) dem Mikroprozessor (20) des ersten Steuergeräts (2) Aufgaben zum Berechnen gibt und die Berechnungsergebnisse vom Mikroprozessor (20) des ersten Steuergeräts (2) empfängt und diese mit vorbestimmten Werten vergleicht.
  16. Verfahren nach einem der Ansprüche 10 bis 15, wobei beim regelmäßigen Überprüfen der Mikroprozessor (30) des zweiten Steuergeräts (3) das Ansteuersignal (O1) für den ersten Aktor (A1) von dem ersten Steuergerät (2) empfängt und dieses Ansteuersignal (O1) mit von dem Mikroprozessor (30) des zweiten Steuergeräts (3) berechneten Werten vergleicht. Zusammenfassung
DE102008034150A 2008-07-22 2008-07-22 Sicherheitsüberwachung mit Hilfe von Verbindungsleitungen zwischen Steuergeräten eines Kraftfahrzeugs Ceased DE102008034150A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102008034150A DE102008034150A1 (de) 2008-07-22 2008-07-22 Sicherheitsüberwachung mit Hilfe von Verbindungsleitungen zwischen Steuergeräten eines Kraftfahrzeugs

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102008034150A DE102008034150A1 (de) 2008-07-22 2008-07-22 Sicherheitsüberwachung mit Hilfe von Verbindungsleitungen zwischen Steuergeräten eines Kraftfahrzeugs

Publications (1)

Publication Number Publication Date
DE102008034150A1 true DE102008034150A1 (de) 2010-01-28

Family

ID=41428557

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102008034150A Ceased DE102008034150A1 (de) 2008-07-22 2008-07-22 Sicherheitsüberwachung mit Hilfe von Verbindungsleitungen zwischen Steuergeräten eines Kraftfahrzeugs

Country Status (1)

Country Link
DE (1) DE102008034150A1 (de)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011005766A1 (de) * 2011-03-18 2012-09-20 Zf Friedrichshafen Ag Steuergerät für ein Kraftfahrzeug
CN103552521A (zh) * 2013-11-13 2014-02-05 上汽通用五菱汽车股份有限公司 一种基于spi总线的新能源汽车整车控制器
EP3136193A1 (de) * 2015-08-25 2017-03-01 Robert Bosch GmbH Sicherheitsmonitor für ein fahrzeug
US10279775B2 (en) 2015-09-10 2019-05-07 Robert Bosch Gmbh Unauthorized access event notification for vehicle electronic control units
DE102018209251A1 (de) * 2018-06-11 2019-12-12 Bayerische Motoren Werke Aktiengesellschaft Fahrzeug, System, Verfahren zum Austausch eines Steuergeräts eines Pkw und computerlesbares Speichermedium
WO2022123197A1 (en) * 2020-12-07 2022-06-16 Antobot Ltd Safety mechanisms for artificial intelligence units used in safety critical applications

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5047944A (en) * 1988-07-07 1991-09-10 Hitachi, Ltd. Vehicle control apparatus including abnormality detection
US5980081A (en) 1996-07-15 1999-11-09 Denso Corporation Control system having effective error detection capabilities
DE102005008556A1 (de) * 2005-02-23 2006-08-24 Universität Stuttgart Institut für Luftfahrtsysteme Steuervorrichtung für Flugzeuge

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5047944A (en) * 1988-07-07 1991-09-10 Hitachi, Ltd. Vehicle control apparatus including abnormality detection
US5980081A (en) 1996-07-15 1999-11-09 Denso Corporation Control system having effective error detection capabilities
DE102005008556A1 (de) * 2005-02-23 2006-08-24 Universität Stuttgart Institut für Luftfahrtsysteme Steuervorrichtung für Flugzeuge

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011005766A1 (de) * 2011-03-18 2012-09-20 Zf Friedrichshafen Ag Steuergerät für ein Kraftfahrzeug
CN103552521A (zh) * 2013-11-13 2014-02-05 上汽通用五菱汽车股份有限公司 一种基于spi总线的新能源汽车整车控制器
CN103552521B (zh) * 2013-11-13 2015-10-21 上汽通用五菱汽车股份有限公司 一种基于spi总线的新能源汽车整车控制器
EP3136193A1 (de) * 2015-08-25 2017-03-01 Robert Bosch GmbH Sicherheitsmonitor für ein fahrzeug
US10250689B2 (en) 2015-08-25 2019-04-02 Robert Bosch Gmbh Security monitor for a vehicle
US10279775B2 (en) 2015-09-10 2019-05-07 Robert Bosch Gmbh Unauthorized access event notification for vehicle electronic control units
DE102018209251A1 (de) * 2018-06-11 2019-12-12 Bayerische Motoren Werke Aktiengesellschaft Fahrzeug, System, Verfahren zum Austausch eines Steuergeräts eines Pkw und computerlesbares Speichermedium
WO2022123197A1 (en) * 2020-12-07 2022-06-16 Antobot Ltd Safety mechanisms for artificial intelligence units used in safety critical applications

Similar Documents

Publication Publication Date Title
EP1600831B1 (de) Verfahren und Vorrichtung zur Überwachung mehrerer Steuergeräte mittels einer Frage-Antwort-Kommunikation
DE10113917B4 (de) Verfahren und Vorrichtung zur Überwachung von Steuereinheiten
DE102006028695B4 (de) Elektronisches Steuersystem mit Fehlfunktionsüberwachung
DE19933086B4 (de) Verfahren und Vorrichtung zur gegenseitigen Überwachung von Steuereinheiten
DE102007040554B4 (de) Verteilte Sicherheitsprüfung für Arithmetik-Logik-Einheit
EP1479003B1 (de) Verfahren und vorrichtung zur steuerung einer funktionseinheit eines kraftfahrzeugs
DE102008034150A1 (de) Sicherheitsüberwachung mit Hilfe von Verbindungsleitungen zwischen Steuergeräten eines Kraftfahrzeugs
DE102006046399A1 (de) Verfahren und Vorrichtung zur Fehlerverwaltung
DE102006057743B4 (de) Verfahren zur Überwachung der Funktionssoftware von Steuergeräten in einem Steuergeräteverbund
DE102015009395A1 (de) Verfahren zum Kontrollieren eines Verschraubungsprozesses
DE10309891B4 (de) Elektronische Fahrzeugsteuervorrichtung mit einer Vielzahl von Mikrocomputern zum Implementieren einer Mikrocomputerüberwachungsfunktion
DE102012104322B4 (de) Verfahren und Vorrichtung zum Überprüfen von wenigstens zwei Recheneinheiten
WO2000063546A1 (de) Verfahren und vorrichtung zur überwachung eines rechenelements in einem kraftfahrzeug
EP2359254B1 (de) Verfahren und system zur steuerung einer kommunikation zwischen einem funktionsrechner und einem überwachungsmodul
DE102013221098B4 (de) Fahrzeugsteuereinheit
DE102006009731A1 (de) Elektronische Vorrichtung mit einer Anormalität-Berechnung-Diagnosefunktion
EP1733284B1 (de) Ablaufsteuerung von funktionen auf miteinander wechselwirkenden geräten
DE10331872A1 (de) Verfahren zur Überwachung eines technischen Systems
DE102012221277A1 (de) Fahrzeugsteuervorrichtung
DE10321229B4 (de) Gegenkontrollierende Prozessoren für Antriebsstrangsteuerungssysteme, die eine dedizierte serielle Datenleitung verwenden
EP1081362A2 (de) Verfahren zum gesteuerten Betrieb einer Brennkraftmaschine nach Fehlerdiagnose
EP3132322B1 (de) Verfahren zur diagnose eines kraftfahrzeugsystems, diagnosegerät für ein kraftfahrzeugsystem, steuergerät für ein kraftfahrzeugsystem und kraftfahrzeug
DE102019203783B4 (de) Verfahren, Programm und System zur Verwendung von Signalqualitätsanforderungen im Rahmen von Sicherheitskonzepten
DE102006003147B4 (de) Verfahren zur Wiederherstellung der Kontrolle über eine sich fortwährend zurücksetzende Steuereinheit
DE102012212680A1 (de) Verfahren und System zur fehlertoleranten Steuerung von Stellgliedern für eine begrenzte Zeit auf der Grundlage von vorberechneten Werten

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final