DE102008045265A1 - Verfahren und Vorrichtung zur zweikanaligen Überwachung von sicherheitsrelevanten Sensorsignalen - Google Patents

Verfahren und Vorrichtung zur zweikanaligen Überwachung von sicherheitsrelevanten Sensorsignalen Download PDF

Info

Publication number
DE102008045265A1
DE102008045265A1 DE102008045265A DE102008045265A DE102008045265A1 DE 102008045265 A1 DE102008045265 A1 DE 102008045265A1 DE 102008045265 A DE102008045265 A DE 102008045265A DE 102008045265 A DE102008045265 A DE 102008045265A DE 102008045265 A1 DE102008045265 A1 DE 102008045265A1
Authority
DE
Germany
Prior art keywords
evaluation unit
sensor signals
output
side transmission
calculation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102008045265A
Other languages
English (en)
Other versions
DE102008045265B4 (de
Inventor
Thomas Dr. Eggert
Heinz Langbauer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Magna Powertrain GmbH and Co KG
Original Assignee
Magna Powertrain GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Magna Powertrain GmbH and Co KG filed Critical Magna Powertrain GmbH and Co KG
Priority to DE102008045265.3A priority Critical patent/DE102008045265B4/de
Priority to US13/058,884 priority patent/US8798849B2/en
Priority to PCT/EP2009/005151 priority patent/WO2010022821A1/de
Publication of DE102008045265A1 publication Critical patent/DE102008045265A1/de
Application granted granted Critical
Publication of DE102008045265B4 publication Critical patent/DE102008045265B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24184Redundant I-O, software comparison of both channels

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Measuring Fluid Pressure (AREA)
  • Alarm Systems (AREA)
  • Arrangements For Transmission Of Measured Signals (AREA)

Abstract

Es wird ein Verfahren zur zweikanaligen Übertragung von sicherheitsrelevanten Sensorsignalen beschrieben. Bei dem Verfahren werden mittels zweier Sensoren parallel zwei zu überwachende Sensorsignale erzeugt und die erzeugten Sensorsignale über zwei getrennte, eingangsseitige Übertragungskanäle zu einer gemeinsamen Auswerteeinheit übertragen. Innerhalb der Auswerteeinheit werden die übertragenen Sensorsignale anhand von vorgegebenen, einander entsprechenden Rechenvorschriften auf ihre Zulässigkeit überprüft und es wird für jedes Sensorsignal ein die Zulässigkeit oder Unzulässigkeit repräsentierendes Ausgangssignal der Auswerteeinheit erzeugt. Die einzelnen Abarbeitungsschritte der beiden Rechenvorschriften werden dabei von der Auswerteeinheit für die beiden Sensorsignale voneinander entkoppelt und innerhalb der Auswerteeinheit diversifiziert ausgeführt. Die erzeugten Ausgangssignale werden über zwei getrennte, ausgangsseitige Übertragungskanäle ausgegeben. Weiterhin wird eine Vorrichtung zur Durchführung des Verfahrens beschrieben.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren und eine Vorrichtung zur zweikanaligen Überwachung von sicherheitsrelevanten Sensorsignalen.
  • Solche Verfahren und Vorrichtungen können beispielsweise bei einer Drucküberwachung eines so genannten Torque-Vectoring-Systems, d. h. zur Überwachung des auf eine Reibungskupplung des Torque-Vectoring-Systems wirkenden hydraulischen Drucks eingesetzt werden. Beispielsweise darf der hydraulische Druck für die Betätigung der beiden Reibungskupplungen, mit denen das Antriebsmoment jeweils auf eine der beiden Halbwellen der Antriebsachse übertragen wird, einen bestimmten Schwellwert nicht überschreiten. Bei Erkennung eines zu hohen Drucks muss aus Sicherheitsgründen das Torque-Vectoring-System deaktiviert werden.
  • Grundsätzlich können eingangs genannte Verfahren und Vorrichtungen insbesondere in allen Bereichen angewendet werden, in denen sicherheitskritische Anwendungen gemäß dem SIL 3-Standard (Safety Integrity Level 3-Standard) realisiert werden. Dies sind üblicherweise Anwendungen, durch die sich eine Gefahr für Leib und Leben von Personen ergeben kann. Neben dem genannten Torque-Vectoring-System sind weiterhin mögliche Anwendungen im Kfz-Bereich beispielsweise im Bereich der Lenkung oder der Bremssysteme denkbar, wo entsprechende sicherheitskritische Parameter überwacht werden müssen.
  • Gemäß dem SIL 3-Standard muss beispielsweise die Drucküberwachung bei Torque-Vectoring-Systemen redundant, d. h. zweikanalig ausgeführt sein. In bisherigen Überwachungssystemen werden daher die zu überwachenden Druckwerte hardwaremäßig vollkommen zweikanalig verarbeitet, d. h. voneinander getrennt erfasst, in entsprechende elektrische Signale umgewandelt, auf zulässige/unzulässige Werte hin überprüft und ein Warn-/Steuersignal erzeugt, wenn eines der überwachten Signale als unzulässig erkannt wird. Das heißt, dass bei bekannten Systemen sowohl die Sensoren zum Erfassen der zu überwachenden Parameter, die eingangsseitigen Übertragungskanäle, die üblicherweise als Mikroprozessoren ausgebildeten Auswerteeinheiten und die sich daran anschließenden ausgangsseitigen Übertragungskanäle jeweils hardwaremäßig doppelt vorhanden sein müssen.
  • Insbesondere die redundante Bereitstellung der Auswerteeinheiten stellt einen wesentlichen Kostenfaktor für entsprechende Sicherheitssysteme dar. In der Fachwelt wird bis heute jedoch eindeutig die Auffassung vertreten, dass zwei separate Auswerteeinheiten für die Auswertung der zu überwachenden Sensorsignale unabdingbar sind, so dass hier keine Möglichkeit gesehen wird, eine Kostenersparnis vorzusehen und gleichzeitig die geforderten Sicherheitsbedingungen zu erfüllen.
  • Erfindungsgemäß wurde jedoch nun in überraschender Weise eine Lösung gefunden, die trotz Verwendung nur einer einzigen Auswerteeinheit einen Fehlererkennungsgrad von über 99,4% gewährleistet, so dass trotz Verwendung nur einer einzigen Auswerteeinheit die gemäß SIL 3-Standard geforderte Fehlererkennung von mindestens 99% erfüllt wird.
  • Bei einem erfindungsgemäß ausgebildeten Verfahren zur zweikanaligen Überwachung von sicherheitsrelevanten Sensorsignalen werden mittels zweier Sensoren parallel zwei zu überwachende Sensorsignale erzeugt, die erzeugten Sensorsignale über zwei getrennte eingangsseitige Übertragungskanäle zu einer gemeinsamen Auswerteeinheit übertragen, innerhalb der Auswerteeinheit die übertragenen Sensorsignale anhand von vorgegebenen, einander entsprechenden Rechenvorschriften auf ihre Zulässigkeit überprüft und für jedes Sensorsignal ein die Zulässigkeit oder Unzulässigkeit repräsentierendes Auswertesignal der Auswerteeinheit erzeugt, wobei die einzelnen Abarbeitungsschritte der beiden Rechenvorschriften von der Auswerteeinheit für die beiden Sensorsignale voneinander entkoppelt und innerhalb der Auswerteeinheit diversifiziert ausgeführt werden, und die erzeugten Ausgangssignale über zwei getrennte, ausgangsseitige Übertragungskanäle ausgegeben.
  • Eine erfindungsgemäß ausgebildete Überwachungsvorrichtung ist zum Durchführen des erfindungsgemäßen Verfahrens ausgebildet und umfasst zwei Sensoren, die zum parallelen Erzeugen der beiden zu überwachenden Sensorsignale ausgebildet sind, zwei eingangsseitige Übertragungskanäle, die zum getrennten Übertragen der Sensorsignale zu der gemeinsamen Auswerteeinheit ausgebildet sind, wobei die Auswerteeinheit zur voneinander entkoppelten, diversifizierten Abarbeitung der einzelnen Abarbeitungsschritte der Rechenvorschrift für die beiden zu überprüfenden Sensorsignale ausgebildet ist, und zwei jeweils an der Auswerteeinheit angeschlossene, ausgangsseitige Übertragungskanäle, die zum Übertragen der Ausgangssignale der Auswerteeinheit ausgebildet sind.
  • Erfindungsgemäß werden somit lediglich die außerhalb der Auswerteeinheit vorgesehenen Teile eines Überwachungssystems, wie bei den bekannten Verfahren und Vorrichtungen, zweikanalig, d. h. jeweils redundant ausgebildet. Die die Auswertung durchführende Auswerteeinheit ist hin gegen nur einmal vorhanden, wodurch die Kosten für ein entsprechendes Überwachungssystem deutlich reduziert werden können.
  • Die erforderliche Fehlerabdeckung wird trotz dieser Single-Prozessorlösung jedoch erreicht, da die zu überwachenden Sensorsignale der Auswerteeinheit über die separaten Übertragungskanäle getrennt zugeführt werden und innerhalb der Auswerteeinheit durch einander entsprechende Rechenvorschriften auf ihre Zulässigkeit überprüft werden, wobei die die beiden Rechenvorschriften realisierenden Prozesse innerhalb der Auswerteeinheit diversifiziert ausgeführt werden. Das heißt, dass die jeweils gerade auszuführenden Abarbeitungsschritte zur Überprüfung der beiden Sensorsignale durch unterschiedliche Rechenoperationen und dadurch letztlich durch unterschiedliche Rechenabschnitte der Auswerteeinheit durchgeführt werden.
  • Tritt somit innerhalb eines solchen Rechenabschnitts der Auswerteeinheit ein transienter Fehler auf, so kann dieser Fehler lediglich zu einer falschen Berechnung bei der Überprüfung eines der beiden Sensorsignale durch die für dieses Sensorsignal vorgesehene Rechenvorschrift auftreten. Da aufgrund der erfindungsgemäßen Diversifizierung die andere Rechenvorschrift für das zweite zu überprüfende Sensorsignal erfindungsgemäß gerade nicht die gleiche Operation und damit den gleichen Bereich der Auswerteeinheit verwendet, hat der aktuell auftretende transiente Fehler auf diese zweite Rechenvorschrift keine Auswirkung. Statische interne Fehler innerhalb der Auswerteeinheit sowie externe Fehler können hingegen durch übliche Fehlererkennungsverfahren abgedeckt werden.
  • Nach einer vorteilhaften Ausführungsform der Erfindung ist eine der beiden Rechenvorschriften invers zu der anderen Rechenvorschrift ausgebildet. Dabei können insbesondere die beiden Rechenvorschriften jeweils einander entsprechende, einzelne Abarbeitungsschritte umfassen, wobei jeder Abarbeitungsschritt der einen Rechenvorschrift invers zu dem entsprechenden Abarbeitungsschritt der anderen Rechenvorschrift ausgebildet ist.
  • Durch dieses inverse Rechnen ist die erfindungsgemäße Diversifizierung der innerhalb der Auswertungseinheit laufenden Auswertungsprozesse gewährleistet. Beispielsweise können folgende Regeln für die Ersetzung von Operatoren zwischen den beiden Rechenvorschriften gelten:
    Operator der Originalrechenvorschrift Ersetzung für die inverse Rechenvorschrift
    & | Bitweise UND-Verknüpfung → bitweise ODER-Verknüpfung
    | & Bitweise ODER-Verknüpfung → bitweise UND-Verknüpfung
    ++ -- Inkrement → Dekrement
    -- ++ Dekrement → Inkrement
    + - Addition → Subtraktion
    - + Subtraktion → Addition
    && || Logische UND-Verknüpfung → logische ODER-Verknüpfung
    || && Logische ODER-Verknüpfung → Logische UND-Verknüpfung
    < > Kleiner → größer
    > < Größer → kleiner
    <= >= kleiner oder gleich → größer oder gleich
    >= <= größer oder gleich → kleiner oder gleich
  • Ausgehend von der ursprünglichen originalen Rechenvorschrift in der eines der beiden Sensorsignale auf seine Zulässigkeit/Unzulässigkeit überprüft wird, kann die für das zweite Sensorsignal verwendete inverse Rechenvorschrift durch die in der oben angegebenen Tabelle enthaltenen Ersetzungsregeln erzeugt werden. Da vorteilhaft die beiden Rechenvorschriften und insbesondere die einzelnen, einander entsprechenden Abarbeitungsschritte der beiden Rechenvorschriften jeweils im Wesentlichen parallel ausgeführt werden, wird aufgrund der inversen Berechnung erreicht, dass der jeweils verwendete Opcode (operation code) des verwendeten Prozessors für die normale und die inverse Rechenvorschrift so diversifiziert wie möglich gestaltet sind. Das Ergebnis der parallel rechnenden Rechenvorschriften muss komplementär gleich sein, wobei sich der Algorithmus für die Berechnungen grundsätzlich unterscheiden darf. Die jeweils inversen Werte stellen dabei das Einerkomplement bzw. die Negativwerte des jeweils verwendeten Originalwerts dar.
  • Nach einer weiteren vorteilhaften Ausführungsform der Erfindung wird zur Überprüfung der Zulässigkeit oder Unzulässigkeit der Sensorsignale mittels der Rechenvorschriften ermittelt, ob die Sensorsignale einen vorgegebenen Referenzwert über- oder unterschreiten. Dies kann beispielsweise auch den Fall umfassen, dass zulässige Sensorsignale nur innerhalb eines oder mehrerer zulässiger Bereiche angeordnet sein dürfen.
  • Nach einer weiteren bevorzugten Ausführungsform der Erfindung wird ein Steuersignal, insbesondere ein Abschaltsignal erzeugt, wenn zumindest ein Ausgangssignal der Auswerteeinheit ein unzulässiges Sensorsignal repräsentiert. Dies kann bei einer eingangs genannten Drucküberwachung beispielsweise der Fall sein, wenn durch den ermittelten Druck auf die Reibungskupplung ein maximal zulässiges Drehmoment, von beispielsweise 1400 Nm überschritten wird.
  • Da sowohl die eingangsseitigen Übertragungskanäle als auch die ausgangsseitigen Übertragungskanäle vorteilhaft an separaten Eingängen/Ausgängen der Auswerteeinheit angeschlossen sind, ist außerhalb der Auswerteeinheit eine Zweikanaligkeit durch eine bekannte redundante Hardwareausbildung gegeben.
  • Die ausgangsseitigen Übertragungskanäle können über eine eine logische ODER-Verknüpfung repräsentierende Baueinheit miteinander verbunden sein. Dadurch wird erreicht, dass das erforderliche Steuersignal/Abschaltsignal zuverlässig erzeugt wird, sobald eine der beiden innerhalb der Auswerteeinheit ausgeführten Rechenvorschriften einen unzulässigen Wert für das Sensorsignal ergibt.
  • Weitere vorteilhafte Ausführungsformen der Erfindung sind in den Unteransprüchen angegeben.
  • Die Erfindung wird nachfolgend anhand eines Ausführungsbeispiels unter Bezugnahme auf die einzige Figur näher beschrieben.
  • Die Figur zeigt ein stark vereinfachtes Blockschaltbild einer erfindungsgemäß ausgebildeten Überwachungsvorrichtung mit zwei Sensoren 1, 2, die jeweils zum Erfassen derselben zu überwachenden Größe, beispielsweise eines innerhalb eines Torque-Vectoring-Systems auftretenden Drucks an einer Reibungskupplung ausgebildet sind. Jeder der Sensoren 1, 2 wandelt den erfassten Wert in ein entsprechendes Sensorsignal um, die jeweils getrennt über eingangsseitige Übertragungskanäle 3, 4 einer gemeinsamen Auswerteeinheit 5 zugeführt werden. Die eingangsseitigen Übertragungskanäle 3, 4 sind dazu an separaten Eingängen 6, 7 der Auswerteeinheit 5 angeschlossen.
  • Die Auswerteeinheit 5, die insbesondere als Mikroprozessor ausgebildet sein kann, ist zum Ausführen von zwei einander entsprechenden Rechenvorschriften 8, 9 ausgebildet, wobei die Rechenvorschrift 9 invers zu der Rechenvorschrift 8 ausgebildet ist, d. h. alle einzelnen Abarbeitungsschritte der Rechenvorschrift 8 sind in der inversen Rechenvorschrift 9 durch entsprechende inverse Abarbeitungsschritte ersetzt.
  • Mit der Rechenvorschrift 8 wird das über den eingangsseitigen Übertragungskanal 3 und den Eingang 6 der Auswerteeinheit 5 zugeführte Sensorsignal auf seine Zulässigkeit oder Unzulässigkeit überprüft. Beispielsweise wird überprüft, ob das Sensorsignal einen vorgegebenen zulässigen Maximalwert überschreitet. Beim Überschreiten dieses Maximalwertes wird von der Rechenvorschrift 8 ein entsprechendes Ausgangssignal erzeugt, das über einen Ausgang 10 der Auswerteeinheit 5 und einen ausgangsseitigen Übertragungskanal 11 ausgegeben wird.
  • In entsprechender Weise wird von der inversen Rechenvorschrift 9 ein über den eingangsseitigen Übertragungskanal 4 und den Eingang 7 der Auswerteeinheit 5 zugeführtes Sensorsignal auf seine Zulässigkeit oder Unzulässigkeit überprüft, wobei die entsprechende Überprüfung aufgrund der inversen Rechenvorschrift 9 im Vergleich zu der beschriebenen Überprüfung mittels der Rechenvorschrift 8 durch so genanntes inverses Rechnen erfolgt.
  • Die Rechenvorschriften 8, 9 sind dabei so ausgebildet, dass das jeweilige Ergebnis der parallel rechnenden Rechenvorschriften 8, 9 bei identischen zugeführten Sensorsignalen identische oder komplementär gleiche Ausgangssignale ergeben.
  • Das von der inversen Rechenvorschrift 9 erzeugte Ausgangssignal wird über einen separaten Ausgang 12 und einen daran angeschlossenen ausgangsseitigen Übertragungskanal 13 ausgegeben. Sind die Rechenvorschriften 8, 9 so ausgestaltet, dass bei identisch zugeführten Sensorsignalen die Ergebnisse der parallel rechnenden Rechenvorschriften 8, 9 komplementär gleich sind, so kann eines der ausgegebenen Ausgangssignale negiert werden, wie es in der Figur durch ein entsprechendes NICHT-Gatter 14 angedeutet ist.
  • Die ausgangsseitigen Übertragungskanäle 11, 13 sind an den Eingängen 15, 16 eines ODER-Gatters 17 angeschlossen, an dessen Ausgang 18 ein Steuersignal in Abhängigkeit von den von den Rechnervorschriften 8, 9 erzeugten Ausgangssignalen erzeugt wird. Wird beispielsweise von der Rechenvorschrift 8 im Falle eines unzulässigen Sensorsignals ein Ausgangssignal ”logisch 1” und von der inversen Rechenvorschrift 9 ein komplementäres Ausgangssignal ”logisch 0” erzeugt, so wird das Eingangssignal 18 auf ”logisch 1” gesetzt, sobald eine der Rechenvorschriften 8, 9 einen unzulässigen Wert des Sensorsignals ermittelt.
  • Die Rechenvorschriften 8, 9 werden erfindungsgemäß von der Auswerteeinheit voneinander entkoppelt und innerhalb der Auswerteeinheit 5 diversifiziert ausgeführt. Das bedeutet, dass beispielsweise bei Auftreten eines transienten Fehlers in einem Abschnitt 19 der Auswerteeinheit 5, der gerade von dem aktuellen Abarbeitungsschritt der Rechenvorschriften 8 verwendet wird, der parallel ausgeführte Abarbeitungsschritt der inversen Rechenvorschrift 9 aufgrund der Diversifizierung von diesem Fehler nicht betroffen ist, da er nicht diesen fehlerbehafteten Abschnitt 19, sondern beispielsweise einen fehlerfreien Abschnitt 20 verwendet.
  • Obwohl somit nur eine einzelne Auswerteeinheit 5 verwendet wird, können mit der Erfindung im Endresultat eine zweikanalige Überwachung der gemessenen, zu überwachenden Werte realisiert und damit die vorgegebenen sicherheitsrelevanten Anforderungen erfüllt werden.
    • 1
    Sensor
    2
    Sensor
    3
    eingangsseitiger Übertragungskanal
    4
    eingangsseitiger Übertragungskanal
    5
    Auswerteeinheit
    6
    Eingang
    7
    Eingang
    8
    Rechenvorschrift
    9
    inverse Rechenvorschrift
    10
    Ausgang
    11
    ausgangsseitiger Übertragungskanal
    12
    Ausgang
    13
    ausgangsseitiger Übertragungskanal
    14
    NICHT-Gatter
    15
    Eingang
    16
    Eingang
    17
    ODER-Gatter
    18
    Ausgang
    19
    Abschnitt der Auswerteeinheit
    20
    Abschnitt der Auswerteeinheit
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • - SIL 3-Standard [0003]
    • - SIL 3-Standard [0004]
    • - SIL 3-Standard [0006]

Claims (14)

  1. Verfahren zur zweikanaligen Überwachung von sicherheitsrelevanten Sensorsignalen, bei dem mittels zweier Sensoren (1, 2) parallel zwei zu überwachende Sensorsignale erzeugt werden, die erzeugten Sensorsignale über zwei getrennte, eingangsseitige Übertragungskanäle (3, 4) zu einer gemeinsamen Auswerteeinheit (5) übertragen werden, innerhalb der Auswerteeinheit (5) die übertragenen Sensorsignale anhand von vorgegebenen, einander entsprechenden Rechenvorschriften (8, 9) auf ihre Zulässigkeit überprüft werden und für jedes Sensorsignal ein die Zulässigkeit oder Unzulässigkeit repräsentierendes Ausgangssignal der Auswerteeinheit (5) erzeugt wird, wobei die einzelnen Abarbeitungsschritte der beiden Rechenvorschriften (8, 9) von der Auswerteeinheit (5) für die beiden Sensorsignale voneinander entkoppelt und innerhalb der Auswerteeinheit (5) diversifiziert ausgeführt werden, und die erzeugten Ausgangssignale über zwei getrennte, ausgangsseitige Übertragungskanäle (11, 13) ausgegeben werden.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass eine der beiden Rechenvorschriften (9) invers zu der anderen Rechenvorschrift (8) ausgebildet ist.
  3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass die beiden Rechenvorschriften (8, 9) jeweils einander entsprechende, einzelne Abarbeitungsschritte umfassen und dass jeder Abarbeitungsschritt der einen Rechenvorschrift (9) invers zu dem entsprechenden Abarbeitungsschritt der anderen Rechenvorschrift (8) ausgebildet ist.
  4. Verfahren nach zumindest einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die beiden Rechenvorschriften (8, 9) im Wesentlichen parallel ausgeführt werden.
  5. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass die beiden Rechenvorschriften (8, 9) jeweils einander entsprechende, einzelne Abarbeitungsschritte umfassen und dass die einzelnen, einander entsprechenden Abarbeitungsschritte der beiden Rechenvorschriften (8, 9) jeweils im Wesentlichen parallel ausgeführt werden.
  6. Verfahren nach zumindest einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zur Überprüfung der Zulässigkeit oder Unzulässigkeit der Sensorsignale mittels der Rechenvorschriften (8, 9) ermittelt wird, ob die Sensorsignale einen vorgegebenen Referenzwert über- oder unterschreiten.
  7. Verfahren nach zumindest einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ein Steuersignal, insbesondere ein Abschaltsignal erzeugt wird, wenn zumindest ein Ausgangssignal der Auswerteinheit (5) ein unzulässiges Sensorsignal repräsentiert.
  8. Überwachungsvorrichtung ausgebildet zur Durchführung des Verfahrens nach einem der vorhergehenden Ansprüche, mit zwei Sensoren (1, 2), die zum parallelen Erzeugen der beiden zu überwachenden Sensorsignale ausgebildet sind, mit zwei eingangsseitigen Übertragungskanälen (3, 4), die zum getrennten Übertragen der Sensorsignale zu der gemeinsamen Auswerteeinheit (5) ausgebildet sind, wobei die Auswerteeinheit (5) zur voneinander entkoppelten, diversifizierten Abarbeitung der einzelnen Abarbeitungsschritte der Rechenvorschriften (8, 9) für die beiden zu überprüfenden Sensorsignale ausgebildet ist, und mit zwei jeweils an der Auswerteeinheit (5) angeschlossenen, ausgangsseitigen Übertragungskanälen (11, 13), die zum Übertragen der Ausgangssignale der Auswerteeinheit (5) ausgebildet sind.
  9. Vorrichtung nach Anspruch 8, dadurch gekennzeichnet, dass die eingangsseitigen Übertragungskanäle (3, 4) an separaten Eingängen (6, 7) der Auswerteeinheit (5) angeschlossen sind.
  10. Vorrichtung nach Anspruch 8 oder 9, dadurch gekennzeichnet, dass die ausgangsseitigen Übertragungskanäle (11, 13) an separaten Ausgängen (10, 12) der Auswerteeinheit (5) angeschlossen sind.
  11. Vorrichtung nach Anspruch 8, 9 oder 10, dadurch gekennzeichnet, dass die Auswerteeinheit (5) als Mikroprozessor ausgebildet ist.
  12. Vorrichtung nach zumindest einem der Ansprüche 8 bis 11, dadurch gekennzeichnet, dass die ausgangsseitigen Übertragungskanäle (11, 13) über eine eine logische ODER-Verknüpfung repräsentierende Baueinheit (17) miteinander verbunden sind.
  13. Verwendung des Verfahrens nach zumindest einem der Ansprüche 1 bis 7 zur Überwachung des auf eine Reibungskupplung eines Torque-Vectoring-Systems wirkenden hydraulischen Drucks, wobei durch die Sensoren (1, 2) der Druck erfasst und in die Sensorsignale umgewandelt wird.
  14. Torque-Vectoring-System mit einer zum Übertragen eines Antriebsmoments auf eine Halbwelle eines Kraftfahrzeugs ausgebildeten Reibungskupplung gekennzeichnet durch eine Überwachungsvorrichtung nach zumindest einem der Ansprüche 8 bis 12, wobei die Sensoren (1, 2) zum Erfassen des auf die Reibungskupplung wirkenden hydraulischen Drucks und zum Umwandeln des erfassten Drucks in die Sensorsignale ausgebildet sind.
DE102008045265.3A 2008-09-01 2008-09-01 Verfahren und Vorrichtung zur zweikanaligen Überwachung von sicherheitsrelevanten Sensorsignalen Active DE102008045265B4 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102008045265.3A DE102008045265B4 (de) 2008-09-01 2008-09-01 Verfahren und Vorrichtung zur zweikanaligen Überwachung von sicherheitsrelevanten Sensorsignalen
US13/058,884 US8798849B2 (en) 2008-09-01 2009-07-15 Method and device for dual-channel monitoring of safety-relevant sensor signals
PCT/EP2009/005151 WO2010022821A1 (de) 2008-09-01 2009-07-15 Verfahren und vorrichtung zur zweikanaligen überwachung von sicherheitsrelevanten sensorsignalen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102008045265.3A DE102008045265B4 (de) 2008-09-01 2008-09-01 Verfahren und Vorrichtung zur zweikanaligen Überwachung von sicherheitsrelevanten Sensorsignalen

Publications (2)

Publication Number Publication Date
DE102008045265A1 true DE102008045265A1 (de) 2010-03-04
DE102008045265B4 DE102008045265B4 (de) 2022-05-05

Family

ID=41207284

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102008045265.3A Active DE102008045265B4 (de) 2008-09-01 2008-09-01 Verfahren und Vorrichtung zur zweikanaligen Überwachung von sicherheitsrelevanten Sensorsignalen

Country Status (3)

Country Link
US (1) US8798849B2 (de)
DE (1) DE102008045265B4 (de)
WO (1) WO2010022821A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015200583A1 (de) * 2015-01-15 2016-07-21 Continental Automotive Gmbh Verfahren zur kamerabasierten Umgebungslichterkennung eines Fahrzeugs und Sensoreinheit zur Durchführung des Verfahrens
DE102016002840A1 (de) 2015-12-22 2017-06-22 SEW-EURODRlVE GmbH & Co. KG Konfigurierbare Diagnoseeinheit, System mit Wechselrichter und konfigurierbarer Diagnoseeinheit und Verfahren zum Betreiben der konfigurierbaren Diagnoseeinheit

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2801679C (en) 2010-08-04 2019-05-07 Bae Systems Plc High-integrity data transmission system

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4107668A1 (de) * 1991-03-09 1992-09-17 Pilz Gmbh & Co Sicherheitsschaltgeraet
WO2005080116A2 (de) * 2004-02-23 2005-09-01 Magna Drivetrain Ag & Co Kg Antriebsstrang eines allradgetriebenen fahrzeuges
DE102004008251A1 (de) * 2004-02-19 2005-09-29 Siemens Ag Intelligente Sensorik/Aktorik mit interner Redundanz
DE102004044335A1 (de) * 2004-09-09 2006-04-06 Robert Bosch Gmbh Verfahren zum Überwachen von redundanten Sensorsignalen
DE102006007098A1 (de) * 2006-01-16 2007-07-19 Conti Temic Microelectronic Gmbh Verfahren zur Funktionsprüfung einer Signalverarbeitungseinheit sowie geeignete Signalverarbeitungseinheit
DE102006031667A1 (de) * 2006-07-08 2008-01-10 Dr.Ing.H.C. F. Porsche Ag Verfahren und Vorrichtung zum Erfassen eines Winkels bzw. einer Winkelgeschwindigkeit zwischen Bauteilen

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05238348A (ja) * 1991-03-13 1993-09-17 Zexel Corp 車両安全装置の制御システム
ES2088159T3 (es) * 1991-10-31 1996-08-01 M M B Pineroli I Dispositivo para la determinacion de magnitudes de estado de marcha de un vehiculo.
JP3204542B2 (ja) * 1992-07-24 2001-09-04 株式会社東芝 磁場源測定装置
DE10125650B4 (de) 2001-05-25 2007-10-04 Siemens Ag Steuer-oder Regelverfahren
DE102005005995A1 (de) 2004-02-23 2006-06-22 Continental Teves Ag & Co. Ohg Verfahren und Vorrichtung zum Überwachen von Signalverarbeitungseinheiten für Sensoren
EP1596262B1 (de) * 2004-05-10 2007-04-11 Siemens Aktiengesellschaft Sicherheitsgerichtete Übertragung von Daten

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4107668A1 (de) * 1991-03-09 1992-09-17 Pilz Gmbh & Co Sicherheitsschaltgeraet
DE102004008251A1 (de) * 2004-02-19 2005-09-29 Siemens Ag Intelligente Sensorik/Aktorik mit interner Redundanz
WO2005080116A2 (de) * 2004-02-23 2005-09-01 Magna Drivetrain Ag & Co Kg Antriebsstrang eines allradgetriebenen fahrzeuges
DE102004044335A1 (de) * 2004-09-09 2006-04-06 Robert Bosch Gmbh Verfahren zum Überwachen von redundanten Sensorsignalen
DE102006007098A1 (de) * 2006-01-16 2007-07-19 Conti Temic Microelectronic Gmbh Verfahren zur Funktionsprüfung einer Signalverarbeitungseinheit sowie geeignete Signalverarbeitungseinheit
DE102006031667A1 (de) * 2006-07-08 2008-01-10 Dr.Ing.H.C. F. Porsche Ag Verfahren und Vorrichtung zum Erfassen eines Winkels bzw. einer Winkelgeschwindigkeit zwischen Bauteilen

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
SIL 3-Standard

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015200583A1 (de) * 2015-01-15 2016-07-21 Continental Automotive Gmbh Verfahren zur kamerabasierten Umgebungslichterkennung eines Fahrzeugs und Sensoreinheit zur Durchführung des Verfahrens
DE102015200583B4 (de) * 2015-01-15 2016-09-15 Continental Automotive Gmbh Verfahren zur kamerabasierten Umgebungslichterkennung eines Fahrzeugs und Sensoreinheit zur Durchführung des Verfahrens
DE102016002840A1 (de) 2015-12-22 2017-06-22 SEW-EURODRlVE GmbH & Co. KG Konfigurierbare Diagnoseeinheit, System mit Wechselrichter und konfigurierbarer Diagnoseeinheit und Verfahren zum Betreiben der konfigurierbaren Diagnoseeinheit

Also Published As

Publication number Publication date
DE102008045265B4 (de) 2022-05-05
US8798849B2 (en) 2014-08-05
WO2010022821A1 (de) 2010-03-04
US20110213535A1 (en) 2011-09-01

Similar Documents

Publication Publication Date Title
EP2715462B1 (de) Verfahren zum betreiben eines sicherheitssteuergeräts
DE102006017302B4 (de) Verfahren und System zur Kontrolle einer Signalübertragung eines elektrischen Pedals
EP3271856B1 (de) Verfahren und vorrichtung zum verarbeiten und übertragen von daten innerhalb eines funktional sicheren elektrischen, elektronischen und/oder programmierbar elektronischen systems
DE102018004479A1 (de) Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeuges
DE102012207215A1 (de) Verfahren und Vorrichtung zur Überwachung von Funktionen eines Rechnersystems, vorzugsweise eines Motorsteuersystems eines Kraftfahrzeuges
DE102008045265A1 (de) Verfahren und Vorrichtung zur zweikanaligen Überwachung von sicherheitsrelevanten Sensorsignalen
EP2726352B1 (de) Verfahren, system und computerprogrammprodukt zur funktionsüberwachung einer sicherheitsüberwachung einer kfz - steuereinheit
EP3947100B1 (de) Verfahren und einrichtung zum erzeugen eines statussignals
EP1229627B1 (de) Verfahren zum Erzeugen eines Auslösesignals nach dem Stromdifferentialschutzprinzip und Stromdifferentialschutzanordnung
DE102017113478A1 (de) Verfahren zum Betreiben einer Steuerungseinrichtung für den Betrieb mit einer redundanten Sensorvorrichtung in einem Kraftfahrzeug
EP1639464A2 (de) Verfahren zur überprüfung der sicherheit und zuverlässigkeit softwarebasierter elektronischer systeme
AT515341B1 (de) Verfahren zur Überprüfung der Abarbeitung von Software
DE102015114717A1 (de) Verfahren zur Einstellung einer Betriebsart eines Sicherheitssystems
EP1760558B2 (de) Vorrichtung und Verfahren zur Untersuchung der Sicherheit einer technischen Einrichtung
EP2013731B1 (de) Schaltungsanordnung und verfahren zum betrieb einer schaltungsanordnung
DE102011114661A1 (de) Verfahren zum Betrieb eines Fahrerassistenzsystems und Vorrichtung zur Durchführung des Verfahrens
EP3173928B1 (de) Verfahren und vorrichtung zum überprüfen eines komponentenfehlerbaums
EP4168999A1 (de) Verfahren zur unterstützung eines betriebs eines fahrzeuges mit einer sensoreinheit, computerprogrammprodukt sowie system
DE102012102924B4 (de) Verfahren zum Betreiben einer Hilfskraftlenkung
AT507122B1 (de) Verfahren zum betrieb einer transaktionsbasierten ablaufsteuerung
DE102015014755A1 (de) Verfahren zur Zustandsschätzung einer Asynchronmaschine
WO2008148715A2 (de) Auswertung eines signals eines bedienelementes zur entscheidung über das lösen einer elektronischen parkbremse
DE102022207776A1 (de) Überwachen eines Modells und Anomalieerkennung
EP2960632B1 (de) Verfahren und system zum aufbereiten von durch kraftfahrzeugseitig angeordnete sensoren erzeugten sensormesswerten
DE102022203259A1 (de) Verfahren und Vorrichtung zum Absichern von automatischen Fahrfunktionen eines Kraftfahrzeugs

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
R082 Change of representative

Representative=s name: RAUSCH, GABRIELE, DIPL.-PHYS. DR.RER.NAT., DE

R012 Request for examination validly filed
R012 Request for examination validly filed

Effective date: 20140520

R081 Change of applicant/patentee

Owner name: MAGNA POWERTRAIN GMBH & CO KG, AT

Free format text: FORMER OWNER: MAGNA POWERTRAIN AG & CO. KG, LANNACH, AT

R082 Change of representative

Representative=s name: RAUSCH, GABRIELE, DIPL.-PHYS. DR.RER.NAT., DE

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final