DE102011087063A1 - Kontrollrechnersystem und Verfahren zur beschleunigten Initialisierung einzelner Module - Google Patents

Kontrollrechnersystem und Verfahren zur beschleunigten Initialisierung einzelner Module Download PDF

Info

Publication number
DE102011087063A1
DE102011087063A1 DE201110087063 DE102011087063A DE102011087063A1 DE 102011087063 A1 DE102011087063 A1 DE 102011087063A1 DE 201110087063 DE201110087063 DE 201110087063 DE 102011087063 A DE102011087063 A DE 102011087063A DE 102011087063 A1 DE102011087063 A1 DE 102011087063A1
Authority
DE
Germany
Prior art keywords
module
signal
computer system
control computer
shutdown
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE201110087063
Other languages
English (en)
Inventor
Tobias Beckmann
Peter Handke
René Trapp
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Teves AG and Co OHG
Original Assignee
Continental Teves AG and Co OHG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Teves AG and Co OHG filed Critical Continental Teves AG and Co OHG
Priority to DE201110087063 priority Critical patent/DE102011087063A1/de
Publication of DE102011087063A1 publication Critical patent/DE102011087063A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24117If error detected, shut down
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2637Vehicle, car, auto, wheelchair

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Regulating Braking Force (AREA)

Abstract

Kontrollrechnersystem, welches mindestens eine Recheneinheit, mindestens ein erstes von der Recheneinheit angesteuertes Modul und ein Notabschaltmodul aufweist, das bei Auftreten eines Fehlers dem ersten Modul ein Abschaltsignal sendet sowie insbesondere ein oder mehrere weitere Module abschaltet oder diesen ein Abschaltsignal sendet, wobei im Signalweg zwischen Notabschaltmodul und erstem angesteuertem Modul ein zeitgesteuertes Abschaltsignalmaskierungsmodul zum Ausblenden des Abschaltsignals liegt, welches vorzugsweise zumindest mit dem Notabschaltmodul in einer Schaltung auf einem Halbleitersubstrat integriert ist. Weiterhin wird ein Verfahren zur Initialisierung eines Kontrollrechnersystems beschrieben.

Description

  • Die Erfindung betrifft ein Kontrollrechnersystem gemäß Oberbegriff von Anspruch 1 und ein Verfahren gemäß Oberbegriff von Anspruch 13.
  • Kontrollrechner werden vielfach auch zur Steuerung sicherheitsrelevanter Vorrichtungen eingesetzt, wie insbesondere Bremssysteme in Kraftfahrzeugen. Häufig ist eine Notabschaltfunktion erforderlich, welche bei Auftreten eines Fehlers ein oder mehrere Module abschaltet, z.B. um eine fehlerhafte Ansteuerung von Aktuatoren mit den daraus resultierenden Gefahren zu verhindern.
  • Beispielsweise offenbart die DE 19944939 C1 ein Steuergerät für ein Kraftfahrzeug, welches über einen Datenbus mit mindestens einer weiteren elektronischen Einrichtung verbunden ist, bestehend aus zwei Recheneinheiten, wobei die erste Recheneinheit vorgegebene Betriebsabläufe des Fahrzeugs steuert und/oder regelt, während die zweite Recheneinheit zur Überwachung der Arbeitsweise der ersten Recheneinheit ausgebildet ist und mit der ersten Recheneinheit und einer ersten Abschalteinrichtung über eine Signalleitung verbunden ist. Im Fehlerfall gibt die zweite Recheneinheit ein Fehlersignal aus, woraufhin die mit dem Datenausgang der ersten Recheneinheit verbundene Abschalteinrichtung den Zugriff der ersten Recheneinheit auf den Datenbus unterbricht.
  • Aus der DE 10 2009 005 266 A1 ist ein Kommunikationscontroller zum Anschluss eines Prozessrechners an ein Kommunikationssystem eines Verkehrsmittels bekannt, wobei der Prozessrechner zur Ansteuerung einer Komponente eines Verkehrsmittels dient. Der Kommunikationscontroller weist wenigstens eine prozessorseitige Schnittstelle, wenigstens eine busseitige Schnittstelle und wenigstens eine Schnittstelle zu einer Überwachungseinrichtung auf, welche zur Überwachung des Prozessrechners dient. Auf dem Kommunikationscontroller ist ein Kommunikationsprotokoll zur Datenübertragung zwischen dem Prozessrechner und dem Kommunikationssystem implementiert, welches einen Abschaltzustand, der über ein von der Schnittstelle zur Überwachungseinrichtung empfangenes Signal initiierbar ist und in dem die Kommunikation zum Prozessrechner zumindest zeitweise unterbrochen ist, und einen Wiederherstellungszustand zur Wiederherstellung der Kommunikation mit dem Prozessrechner nach einem vorgegebenen Prüfschema umfasst.
  • Wird ein solcher Kontrollrechner eingeschaltet, so findet zunächst eine Initialisierung statt, bei der unter anderem ein Selbsttest des Kontrollrechners stattfindet, um eine Fehlfunktion vor Eintreten einer möglichen Gefahrensituation zu erkennen. Je nach Komplexität des Kontrollrechners bzw. Komplexität und Anzahl der angesteuerten Module kann diese Initialisierungsphase länger als eine Sekunde dauern. Dies kann ein Problem darstellen, wenn eine maximale Reaktionszeit eines oder mehrerer Module durch äußere Gegebenheiten festgelegt ist.
  • Aufgabe der vorliegenden Erfindung ist es, eine maximale Reaktionszeit ausgewählter Module unabhängig von einer stattfindenden Initialisierung zu gewährleisten, wobei weiterhin eine Notabschaltung möglich sein soll.
  • Diese Aufgabe wird erfindungsgemäß durch das Kontrollrechnersystem gemäß Anspruch 1 bzw. das Verfahren gemäß Anspruch 13 gelöst.
  • Es wird also ein Kontrollrechnersystem insbesondere zur Verwendung in Kraftfahrzeugen bereitgestellt, welches mindestens eine Recheneinheit, mindestens ein erstes von der Recheneinheit angesteuertes Modul und ein Notabschaltmodul aufweist, das bei Auftreten eines Fehlers dem ersten Modul ein Abschaltsignal sendet sowie insbesondere ein oder mehrere weitere Module abschaltet oder diesen ein Abschaltsignal sendet, wobei im Signalweg zwischen Notabschaltmodul und erstem angesteuerten Modul ein zeitgesteuertes Abschaltsignalmaskierungsmodul zum Ausblenden des Abschaltsignals liegt, welches vorzugsweise zumindest mit dem Notabschaltmodul in einer Schaltung auf einem Halbleitersubstrat integriert ist.
  • Somit stehen besonders schnell benötigte Module bereits während einer möglicherweise lange andauernden Initialisierungsphase des Gesamtsystems bereit. Indem das Abschaltsignalmaskierungsmodul zeitgesteuert, also die Maskierung des Abschaltsignals zeitlich begrenzt ist, werden unerkannte Fehler auch dann vermieden, wenn die Initialisierung des Kontrollrechnersystems nicht abgeschlossen werden kann.
  • Zweckmäßigerweise umfasst das Kontrollrechnersystem einen zusätzlichen Signalweg und/oder ein Modul zur Rücklesung des Abschaltsignals umfasst. Somit kann die Funktion von Notabschaltmodul und Abschaltsignalmaskierungsmodul bzw. des gesamten Signalwegs überprüft werden.
  • Es ist vorteilhaft, wenn im Signalweg zwischen Notabschaltmodul und einem oder mehreren weiteren Modulen ein Abschaltsignalmaskierungsmodul liegt, wobei insbesondere ein Abschaltsignalmaskierungsmodul im Signalweg all der angesteuerten Module liegt, deren Abschaltsignal maskiert werden soll. Um eine deutlich beschleunigte Initialisierung zu erhalten, sind zweckmäßigerweise nur wenige aus einer Vielzahl von Modulen mit einem Abschaltsignalmaskierungsmodul ausgestattet. Wenn ein globales Abschaltsignal an alle oder mehrere Module gesendet wird, kann zweckmäßigerweise ein einziges Abschaltsignalmaskierungsmodul für die betreffenden Module verwendet werden.
  • Gemäß einer bevorzugten Ausführungsform der Erfindung ist das erste angesteuerte Modul ein mit einem Automobildatenbus verbindbarer Transceiver, insbesondere für einen CAN-Bus oder einen FlexRay-Bus. Somit ist die Kommunikation mit weiteren Teilen des Gesamtsystems bereits nach kurzer Zeit möglich.
  • Zweckmäßigerweise wird zumindest das erste angesteuerte Modul bei einer steigenden und/oder fallenden Flanke oder einem vorgegebenen Pegel des Abschaltsignals deaktiviert, wenn das Abschaltsignalmaskierungsmodul nicht aktiv ist. Flanken von impuls- oder rechteckförmigen Signalen lassen sich mit geringem Aufwand detektieren.
  • Bevorzugt besitzt das Abschaltsignal einen festgelegten logischen Pegel und/oder eine festgelegte Spannungsdifferenz und/oder eine festgelegte Lichtintensität. Neben einer Kodierung über Flanken von Signalen kann auch eine Kodierung über den Pegel bzw. die elektrische Spannung eines Signals oder (bei optischen Signalen) eine festgelegte Lichtintensität erfolgen.
  • Besonders bevorzugt enthält das Abschaltsignalmaskierungsmodul im Signalweg zwischen Notabschaltmodul und erstem angesteuertem Modul ein logisches Gatter und/oder ein zeitgesteuertes Teilmodul zur Erzeugung eines Signals mit einem vorgegebenen logischen Pegel und/oder einer vorgegebenen Spannungsdifferenz und/oder einer vorgegebenen Lichtintensität. Die entsprechenden Bauelemente lassen sich mit geringem Aufwand darstellen.
  • Ganz besonders bevorzugt enthält das zeitgesteuerte Teilmodul zur Erzeugung eines Signals mit einem vorgegebenen logischen Pegel ein Zeitglied, welches vorzugsweise als digitaler Zähler oder Monoflop ausgeführt ist.
  • Vorzugsweise enthält das Kontrollrechnersystem ein oder mehrere Module zur Ansteuerung von Magnetventilen eines hydraulischen Bremssystem, welche/s bei Eingehen eines Fehlersignals und/oder Abschaltsignals abgeschaltet wird/werden. Ein entsprechendes Kontrollrechnersystem kann eine elektronische Regelung des Bremssystems und weitere Sicherheits- und/oder Komfortfunktionen wie eine Schlupfregelung und/oder eine Fahrdynamikregelung bereitstellen.
  • Es ist vorteilhaft, wenn das Kontrollrechnersystem ein oder mehrere Module zur Ansteuerung von Elektromotoren enthält, welche/s bei Eingehen eines Fehlersignals und/oder Abschaltsignals abgeschaltet wird/werden. Neben Elektromotoren können auch weitere elektromechanische Aktuatoren von dem Kontrollrechnersystem angesteuert werden.
  • Zweckmäßigerweise umfasst das Kontrollrechnersystem eine Recheneinheit mit zwei oder mehreren Prozessorkernen und eine Fehlerbehandlungseinheit, welche bei Auftreten eines Fehlers ein Fehlersignal ausgibt und ein oder mehrere Prozessorkerne und/oder Module zumindest teilweise abschaltet und/oder erneut initialisiert. Somit kann eine hohe Zuverlässigkeit des Kontrollrechnersystems gewährleistet werden.
  • Es ist besonders zweckmäßig, wenn zwei oder mehrere Prozessorkerne zumindest teilweise gleiche Programmroutinen ausführen, insbesondere zwei redundante Prozessorkerne dieselben Anweisungen ausführen und die Fehlerbehandlungseinheit einen Fehler anhand eines Vergleichs mindestens eines Registers jedes Prozessors erkennt. Durch die Verwendung redundanter Prozessorkerne und einer Fehlerbehandlungseinheit kann auch bei Auftreten einzelner Rechenfehler die Zuverlässigkeit des Kontrollrechnersystems gewährleistet werden.
  • Die Erfindung betrifft weiterhin ein Verfahren zur Initialisierung eines Kontrollrechnersystems, welches mindestens eine Recheneinheit, mindestens ein erstes von der Recheneinheit angesteuertes Modul und ein Notabschaltmodul aufweist, das bei Auftreten eines Fehlers dem ersten angesteuerten Modul ein Abschaltsignal sendet sowie insbesondere ein oder mehrere weitere Module abschaltet, umfassend die Schritte:
    • a) Initialisieren des ersten angesteuerten Moduls,
    • b) Deaktivieren der Notabschaltung für das erste Modul,
    • c) Initialisieren der weiteren Teile des Kontrollrechnersystems und
    • d) Aktivieren der Notabschaltung für das erste Modul.
  • Durch die erfindungsgemäße Abfolge kann eine vorgegebene maximale Reaktionszeit einzelner Module sichergestellt werden.
  • Es ist vorteilhaft, wenn die Initialisierung des ersten Moduls zumindest eine Rücklesung des Abschaltsignals umfasst, vorzugsweise mindestens zwei Rücklesungen. Somit kann der gesamte Signalweg überprüft werden.
  • Besonders vorteilhaft ist es, wenn in der Initialisierung des ersten Moduls eine minimale und eine maximale Aktivitätszeit des Notabschaltmoduls und/oder des Abschaltsignalmaskierungsmoduls überprüft werden. Somit erfolgt eine regelmäßige Überprüfung der vorgegebenen maximalen Reaktionszeit einzelner Module.
  • Gemäß einer bevorzugten Ausführungsform der Erfindung werden ein oder mehrere zweite angesteuerte Module nach dem ersten Modul initialisiert und vor der Initialisierung der weiteren Teile des Kontrollrechnersystems findet eine Deaktivierung der Notabschaltung für die zweiten Module statt, wobei zeitgleich mit oder anschließend zu dem Aktivieren der Notabschaltung für das erste Modul auch die Notabschaltung für die zweiten Module aktiviert wird. Hiermit kann für eine – im Verhältnis zur Gesamtzahl von Modulen geringe – Anzahl von Modulen eine beschleunigte Initialisierung erfolgen.
  • Außerdem betrifft die Erfindung die Verwendung eines erfindungsgemäßen Kontrollrechnersystems zur Steuerung und/oder Regelung einer elektronischen Lenkung eines Kraftfahrzeugs.
  • Die Erfindung betrifft weiterhin die Verwendung eines erfindungsgemäßen Kontrollrechnersystems zur Steuerung und/oder Regelung eines Bremssystems eines Kraftfahrzeugs.
  • In einer bevorzugten Ausführungsform der Erfindung wird das erfindungsgemäße Kontrollrechnersystem als Radbremssteuergerät einer zumindest teilweise mit elektromechanischen Bremsen ausgestatteten Fahrzeugbremsanlage eingesetzt.
  • In einer alternativen bevorzugten Ausführungsform der Erfindung wird das erfindungsgemäße Kontrollrechnersystem zur Ansteuerung einer fremdkraftbetriebenen Fahrzeugbremsanlage eingesetzt. Vorteilhafterweise können somit die Grundfunktionen der Bremsanlage bereits zu einem Zeitpunkt bereitgestellt werden, während Komfortfunktionen bzw. aufwändigere Fahrstabilitätsregelungen sich noch in der Initialisierungsphase befinden.
  • Weitere bevorzugte Ausführungsformen ergeben sich aus den Unteransprüchen und der nachfolgenden Beschreibung eines Ausführungsbeispiels an Hand von Figuren.
  • Es zeigen
  • 1 ein Ausführungsbeispiel des erfindungsgemäßen Kontrollrechnersystems,
  • 2 ein weiteres Ausführungsbeispiel des erfindungsgemäßen Kontrollrechnersystems, und
  • 3 ein Ausführungsbeispiel eines Abschaltsignalmaskierungsmoduls.
  • 1 zeigt ein erstes Ausführungsbeispiel des erfindungsgemäßen Kontrollrechnersystems. Prozessormodul 1 ist über einen Transceiver 4 mit einem nicht gezeigten Datenbus verbunden ist und steuert weiterhin einen Aktuator 5 an. Tritt ein Fehler auf, so gibt Prozessormodul 1 ein Fehlersignal an Notabschaltmodul 2 aus. Notabschaltmodul 2 sendet daraufhin Abschaltsignale an Aktuator 5 und Transceiver 4 aus. Das Abschaltsignal wird hierbei nicht direkt an Transceiver 4 gesendet, sondern passiert ein Abschaltsignalmaskierungsmodul 3, welches das Abschaltsignal für eine vorgegebene Zeitdauer ausblenden bzw. maskieren kann. Bei Eingehen eines Abschaltsignals kann das Modul einen vorgegebenen Wert ausgeben und/oder einen Aktuator in eine neutrale Stellung schalten und/oder die Stromversorgung des Moduls vollständig oder für Teilmodule unterbrochen werden. Wird das in 1 gezeigte Kontrollrechnersystem eingeschaltet, so erfolgt zunächst eine Initialisierung, in der Prozessormodul 1 die korrekte Funktion aller Module prüft. Während der Initialisierung kommt es vor, dass ein Fehlersignal ausgegeben wird – z.B. um Fehlerbehandlungsroutinen des Steuerprogramms zu testen. Eine Kommunikation über einen Datenbus kann daher nach dem Stand der Technik erst nach Beendigung der Initialisierung erfolgen.
  • Durch den Einbau von Abschaltsignalmaskierungsmodul 3 verkürzt sich die Initialisierung von Transceiver 4, indem zunächst Transceiver 4 und Abschaltsignalmaskierungsmodul 3 getestet werden und anschließend Abschaltsignalmaskierungsmodul 3 aktiviert wird. Somit kann Transceiver 4 schon vor Ablauf der Initialisierung der weiteren Module z.B. Statusmeldungen an den Datenbus senden, ohne durch im Verlauf des Tests des restlichen Gesamtsystems, wie z.B. von Aktuator 5, auftretende Fehlersignale abgeschaltet zu werden. Die Initialisierung von Transceiver 4 erfolgt daher schneller als die Initialisierung des Gesamtsystems. Prinzipiell kann auch das an Aktuator 5 gesendete Abschaltsignal an Stelle des an Transceiver 4 gesendeten Abschaltsignals maskiert werden.
  • Das in 2 gezeigte Ausführungsbeispiel des erfindungsgemäßen Kontrollrechnersystems 201 umfasst ein Prozessormodul 202 und ein Peripheriemodul 203. Prozessormodul 202 weist zwei Recheneinheiten 204, 204‘, ein Kommunikationsmodul 205, und mehrere Schnittstellenmodule 206, 207, sowie ein nicht gezeigtes Überwachungsmodul auf. Peripheriemodul 203 beinhaltet ein Notabschaltmodul 208, ein Schnittstellenmodul 209, eine Abschaltsignalmaskierungsmodul 210 und einen Transceiver 211 sowie nicht gezeigte Module für die Ansteuerung einer beliebigen Anzahl von Aktuatoren. Über Transceiver 211 kann das Kontrollrechnersystem 201 mit Kommunikationsbus 214 verbunden werden. Alternativ oder zusätzlich weist das Kontrollrechnersystem einen zweiten Transceiver 213 auf, über den die Verbindung zu einem zweiten Kommunikationsbus 215 aufgebaut werden kann. Die zwei Prozessoren 204, 204‘ arbeiten bevorzugt dasselbe Programm ab, wobei ein nicht gezeigtes Überwachungsmodul prüft, ob die Berechnungsergebnisse der Prozessoren übereinstimmen (man spricht auch von Lockstep-Betrieb). Tritt ein Fehler auf, so wird ein Signal 216 an das Notabschaltmodul 208 gesendet, woraufhin Notabschaltmodul 208 eine Betätigung von Aktuatoren unterbindet und/oder ein Abschaltsignal 217 an Transceiver 211 und/oder Transceiversteuerungsmodul 212 sendet, woraufhin der oder die Transceiver 211, 213 deaktiviert werden. Das im Signalweg befindliche Abschaltsignalmaskierungsmodul 210 weist eine Schaltung auf, die das Abschaltsignal für eine vorgegebene Zeitdauer maskieren bzw. ausblenden kann.
  • Bei der Initialisierung von Kontrollrechnersystem 201 erfolgt vorzugsweise direkt die Ausgabe eines Fehlersignals 216, woraufhin Notabschaltmodul 208 ein Abschaltsignal 217 an Abschaltsignalmaskierungsmodul 210 und, da dieses nicht aktiviert ist, auch Abschaltsignal 217‘ an die angeschlossenen Module sendet. Über Schnittstellenmodul 206 erfolgt vorzugsweise eine Rücklesung des Abschaltsignals 217‘, um die Funktion von Notabschaltmodul 208 bzw. des gesamten Abschaltsignalwegs zu prüfen. Durch Aktivierung von Abschaltsignalmaskierungsmodul 210 und erneutes Aussenden eines Fehlersignals wird zweckmäßigerweise überprüft, ob das Maskieren bzw. Ausblenden des Abschaltsignals erfolgt. In einer alternativen Ausführungsform der Erfindung kann die Funktion der Module durch das Auslesen interner Register überprüft werden. Nach einem Test des oder der Transceiver 211, 213 können diese somit bereits aktiviert werden, während die weiteren Bestandteile von Peripheriemodul 203 bzw. des Kontrollrechnersystems 201 noch initialisiert werden.
  • 3 zeigt ein Ausführungsbeispiel des Abschaltsignalmaskierungsmoduls 210. Ein wesentlicher Bestandteil dieses Moduls ist Zeitglied 301, vorzugsweise ausgeführt als digitaler Zähler, das ein Abschalten der angeschlossenen Module verhindert, indem es das Abschaltsignals 217 (ErrFlag) während seiner Aktivzeit unterdrückt. Die Aktivität des Zeitglied kann über eine Schnittstelle 302, vorzugsweise eine SPI-Schnittstelle, gesteuert werden. Steuermodul 303 kann die vorgegebene Laufzeit von Zeitglied 301 verlängern, wenn zu einem beliebigen Zeitpunkt während der Aktivzeit von Zeitglied 301 ein Erneuerungs-Impuls (Retrigger-Impuls) an Schnittstelle 302 gesendet wird. Vorzugsweise werden zur Erhöhung der Sicherheit zwei 4-Bit Retrigger-Muster eingesetzt, die abwechselnd geschickt werden. Weiterhin kann eine Anweisung oder ein Signal an Schnittstelle 302 bzw. an Abschaltsignalmaskierungsmodul 210 gesendet werden, mit dem das Zeitglied 301 bis zum Ende der Fahrt (bzw. bis zur Deaktivierung der Zündung) ausgeschalten kann, um während des Betriebes ein unbeabsichtigtes Einschalten und damit eine unerwünschte Maskierung des zur Fehlerbehandlung benötigten Abschaltsignals 217 zu verhindern. Steuermodul 303 kann ein Signal 307 (CntrClr) zum Rücksetzen des Zählers bzw. Retriggern des Zeitglieds 301 senden oder mit Hilfe von Logikbaustein 306 und zusätzlichem Signal 308 (blockMF) ein Retriggern des Zeitglieds 301 bzw. die unerwünschte Maskierung verhindern.
  • Während der Aktivzeit des Zeitglieds 301 kann der Kontrollrechner beliebige Testprogramme ausführen, die auch die Aussendung eines Fehlersignals bzw. Abschaltsignals hervorrufen können. Während im Normalfall z.B. die steigende Flanke des Fehler- oder Abschaltsignals 217 zum Abschalten eines angeschlossenen Moduls führt, insbesondere eines Transceivers oder Aktuators, wird erfindungsgemäß das neue Abschaltsignal 217‘ (ErrFlagInt) verwendet. Da dieses aus einer (mittels des Logikbausteins 305 erzeugten) logischen Kombination eines von Fehler- oder Abschaltsignal 217 abgeleiteten Signals (EDout bzw. dem invertierten Signal) mit dem Ausgangssignal des Zeitglieds 301 besteht, wird während der Aktivzeit von Zeitglied 301 das angeschlossene Modul nicht abgeschaltet. Nach Ablauf der Aktivzeit wird das angeschlossene Modul sofort abgeschaltet, sofern die Flankenerkennung in Flankendetektor 304 (Edge Detector) nicht vorher gelöscht wurde. Somit wird einerseits die Durchführung eines Testprogramms mit gezielter Erzeugung eines Fehlersignals ermöglicht, da bei gewollter Signalerzeugung auch der Flankendetektor zurückgesetzt werden kann. Andererseits kann auch auf während eines Testprogramms eingetretene „echte“ Fehler reagiert werden, wenn dieses Testprogramm nicht die gezielte Erzeugung von Fehlersignalen beinhaltet.
  • Es ist auch denkbar, dass das Zeitglied ein eingehendes Fehlersignal mit einer vorgegebenen zeitlichen Verzögerung weitergibt oder nur dann, wenn das Fehlersignal mindestens für eine vorgegebene Zeitdauer unverändert anliegt. Somit kann das Zeitglied direkt im Signalweg des Fehlersignals positioniert sein, ohne dass ein zusätzlicher Logikbaustein im Signalweg erforderlich ist. Weiterhin kann die Steuerung auch über den Pegel des Signals erfolgen, d.h. es muss kein Flankendetektor eingesetzt werden.
  • Prinzipiell kann das erfindungsgemäße Verfahren auch mit einer auf einem analogen Speicher basierenden Schaltung durchgeführt werden. Durch das gezielte Ausblenden eines Abschaltsignals stehen somit ausgewählte Module auch während eines Selbsttests des Gesamtsystems innerhalb einer vorgegebenen Reaktionszeit zur Verfügung.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 19944939 C1 [0003]
    • DE 102009005266 A1 [0004]

Claims (18)

  1. Kontrollrechnersystem insbesondere zur Verwendung in Kraftfahrzeugen, welches mindestens eine Recheneinheit, mindestens ein erstes von der Recheneinheit angesteuertes Modul und ein Notabschaltmodul aufweist, das bei Auftreten eines Fehlers dem ersten Modul ein Abschaltsignal sendet sowie insbesondere ein oder mehrere weitere Module abschaltet oder diesen ein Abschaltsignal sendet, dadurch gekennzeichnet, dass im Signalweg zwischen Notabschaltmodul und erstem angesteuerten Modul ein zeitgesteuertes Abschaltsignalmaskierungsmodul zum Ausblenden des Abschaltsignals liegt, welches vorzugsweise zumindest mit dem Notabschaltmodul in einer Schaltung auf einem Halbleitersubstrat integriert ist.
  2. Kontrollrechnersystem nach Anspruch 1, dadurch gekennzeichnet, dass dieses einen zusätzlichen Signalweg und/oder ein Modul zur Rücklesung des Abschaltsignals umfasst.
  3. Kontrollrechnersystem nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass im Signalweg zwischen Notabschaltmodul und einem oder mehreren weiteren Modulen ein Abschaltsignalmaskierungsmodul liegt, wobei insbesondere ein Abschaltsignalmaskierungsmodul im Signalweg all der angesteuerten Module liegt, deren Abschaltsignal maskiert werden soll.
  4. Kontrollrechnersystem nach mindestens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das erste angesteuerte Modul ein mit einem Automobildatenbus verbindbarer Transceiver ist, insbesondere für einen CAN-Bus oder einen FlexRay-Bus.
  5. Kontrollrechnersystem nach mindestens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zumindest das erste angesteuerte Modul bei einer steigenden und/oder fallenden Flanke oder einem vorgegebenen Pegel des Abschaltsignals deaktiviert wird, wenn das Abschaltsignalmaskierungsmodul nicht aktiv ist.
  6. Kontrollrechnersystem nach mindestens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Abschaltsignal einen festgelegten logischen Pegel und/oder eine festgelegte Spannungsdifferenz und/oder eine festgelegte Lichtintensität aufweist.
  7. Kontrollrechnersystem nach Anspruch 6, dadurch gekennzeichnet, dass das Abschaltsignalmaskierungsmodul im Signalweg zwischen Notabschaltmodul und erstem angesteuertem Modul ein logisches Gatter und/oder ein zeitgesteuertes Teilmodul zur Erzeugung eines Signals mit einem vorgegebenen logischen Pegel und/oder einer vorgegebenen Spannungsdifferenz und/oder einer vorgegebenen Lichtintensität enthält.
  8. Kontrollrechnersystem nach Anspruch 7, dadurch gekennzeichnet, dass das zeitgesteuerte Teilmodul zur Erzeugung eines Signals mit einem vorgegebenen logischen Pegel ein Zeitglied enthält, welches vorzugsweise als digitaler Zähler oder Monoflop ausgeführt ist.
  9. Kontrollrechnersystem nach mindestens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Kontrollrechnersystem ein oder mehrere Module zur Ansteuerung von Magnetventilen eines hydraulischen Bremssystems enthält, welche/s bei Eingehen eines Fehlersignals und/oder Abschaltsignals abgeschaltet wird/werden.
  10. Kontrollrechnersystem nach mindestens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Kontrollrechnersystem ein oder mehrere Module zur Ansteuerung von Elektromotoren enthält, welche/s bei Eingehen eines Fehlersignals und/oder Abschaltsignals abgeschaltet wird/werden.
  11. Kontrollrechnersystem nach mindestens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Kontrollrechnersystem eine Recheneinheit mit zwei oder mehreren Prozessorkernen und eine Fehlerbehandlungseinheit umfasst, welche bei Auftreten eines Fehlers ein Fehlersignal ausgibt und ein oder mehrere Prozessorkerne und/oder Module zumindest teilweise abschaltet und/oder erneut initialisiert.
  12. Kontrollrechnersystem nach Anspruch 11, dadurch gekennzeichnet, dass zwei oder mehrere Prozessorkerne zumindest teilweise gleiche Programmroutinen ausführen, insbesondere zwei redundante Prozessorkerne dieselben Anweisungen ausführen und die Fehlerbehandlungseinheit einen Fehler anhand eines Vergleichs mindestens eines Registers jedes Prozessors erkennt.
  13. Verfahren zur Initialisierung eines Kontrollrechnersystems, welches mindestens eine Recheneinheit, mindestens ein erstes von der Recheneinheit angesteuertes Modul und ein Notabschaltmodul aufweist, das bei Auftreten eines Fehlers dem ersten angesteuerten Modul ein Abschaltsignal sendet sowie insbesondere ein oder mehrere weitere Module abschaltet, gekennzeichnet durch die Schritte: a) Initialisieren des ersten angesteuerten Moduls, b) Deaktivieren der Notabschaltung für das erste Modul, c) Initialisieren der weiteren Teile des Kontrollrechnersystems und d) Aktivieren der Notabschaltung für das erste Modul.
  14. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dass die Initialisierung des ersten Moduls zumindest eine Rücklesung des Abschaltsignals umfasst, vorzugsweise mindestens zwei Rücklesungen.
  15. Verfahren nach Anspruch 14, dadurch gekennzeichnet, dass in der Initialisierung des ersten Moduls eine minimale und eine maximale Aktivitätszeit des Notabschaltmoduls und/oder des Abschaltsignalmaskierungsmoduls überprüft werden.
  16. Verfahren nach mindestens einem der Ansprüche 13 bis 15, dadurch gekennzeichnet, dass ein oder mehrere zweite angesteuerte Module nach dem ersten Modul initialisiert werden und vor der Initialisierung der weiteren Teile des Kontrollrechnersystems eine Deaktivierung der Notabschaltung für die zweiten Module stattfindet, wobei zeitgleich mit oder anschließend zu dem Aktivieren der Notabschaltung für das erste Modul auch die Notabschaltung für die zweiten Module aktiviert wird.
  17. Verwendung eines Kontrollrechnersystems nach mindestens einem der Ansprüche 1 bis 12 zur Steuerung und/oder Regelung eines Bremssystems eines Kraftfahrzeugs.
  18. Verwendung eines Kontrollrechnersystems nach mindestens einem der Ansprüche 1 bis 12 zur Steuerung und/oder Regelung einer elektronischen Lenkung eines Kraftfahrzeugs.
DE201110087063 2011-03-09 2011-11-24 Kontrollrechnersystem und Verfahren zur beschleunigten Initialisierung einzelner Module Withdrawn DE102011087063A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE201110087063 DE102011087063A1 (de) 2011-03-09 2011-11-24 Kontrollrechnersystem und Verfahren zur beschleunigten Initialisierung einzelner Module

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102011005310 2011-03-09
DE102011005310.7 2011-03-09
DE201110087063 DE102011087063A1 (de) 2011-03-09 2011-11-24 Kontrollrechnersystem und Verfahren zur beschleunigten Initialisierung einzelner Module

Publications (1)

Publication Number Publication Date
DE102011087063A1 true DE102011087063A1 (de) 2012-09-13

Family

ID=46705498

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201110087063 Withdrawn DE102011087063A1 (de) 2011-03-09 2011-11-24 Kontrollrechnersystem und Verfahren zur beschleunigten Initialisierung einzelner Module

Country Status (1)

Country Link
DE (1) DE102011087063A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015106193A1 (de) 2015-04-22 2016-10-27 Audi Ag Schalten eines Kraftfahrzeug-Bordnetzes bei Spannungseinbruch
EP3144753A1 (de) * 2015-09-18 2017-03-22 Yokogawa Electric Corporation Steuerungsvorrichtung und steuerungsverfahren
US10023187B2 (en) 2014-03-21 2018-07-17 Wabco Gmbh Method for operating an autonomous driving safety or driver assistance system of a motor vehicle
DE102015220964B4 (de) 2014-10-31 2023-08-10 Denso Corporation Elektronische Steuerungsvorrichtung

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19944939C1 (de) 1999-09-20 2001-08-30 Mannesmann Vdo Ag Steuergerät für ein Kraftfahrzeug
DE102009005266A1 (de) 2009-01-20 2010-07-22 Continental Teves Ag & Co. Ohg Anbindung eines Kommunikationscontrollers in Sicherheitsarchitekturen

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19944939C1 (de) 1999-09-20 2001-08-30 Mannesmann Vdo Ag Steuergerät für ein Kraftfahrzeug
DE102009005266A1 (de) 2009-01-20 2010-07-22 Continental Teves Ag & Co. Ohg Anbindung eines Kommunikationscontrollers in Sicherheitsarchitekturen

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10023187B2 (en) 2014-03-21 2018-07-17 Wabco Gmbh Method for operating an autonomous driving safety or driver assistance system of a motor vehicle
DE102015220964B4 (de) 2014-10-31 2023-08-10 Denso Corporation Elektronische Steuerungsvorrichtung
DE102015106193A1 (de) 2015-04-22 2016-10-27 Audi Ag Schalten eines Kraftfahrzeug-Bordnetzes bei Spannungseinbruch
DE102015106193B4 (de) * 2015-04-22 2019-11-28 Audi Ag Schalten eines Kraftfahrzeug-Bordnetzes bei Spannungseinbruch
EP3144753A1 (de) * 2015-09-18 2017-03-22 Yokogawa Electric Corporation Steuerungsvorrichtung und steuerungsverfahren
US10401817B2 (en) 2015-09-18 2019-09-03 Yokogawa Electric Corporation Control device and control method

Similar Documents

Publication Publication Date Title
EP2823430B1 (de) Elektronisches regelungssystem
EP2630012B1 (de) Fehlersichere parkbremse für kraftfahrzeuge
EP2765045B1 (de) Schaltung zur Steuerung eines Beschleunigungs-, Brems- und Lenksystems eines Fahrzeugs
EP2676200B1 (de) Halbleiterschaltkreis und verfahren in einem sicherheitskonzept zum einsatz in einem kraftfahrzeug
EP3473512B1 (de) Funktionsmodul, steuereinheit für ein betriebsassistenzsystem und arbeitsvorrichtung
DE102009000045A1 (de) Verfahren und Vorrichtung zum Betreiben eines Steuergerätes
EP1401690A1 (de) Verfahren zur ansteuerung einer komponente eines verteilten sicherheitsrelevanten systems
DE102011087063A1 (de) Kontrollrechnersystem und Verfahren zur beschleunigten Initialisierung einzelner Module
DE102018220605B4 (de) Kraftfahrzeugnetzwerk und Verfahren zum Betreiben eines Kraftfahrzeugnetzwerks
EP1962193A1 (de) Schaltungsvorrichtung und entsprechendes Verfahren zum Ansteuern einer Last
DE102008004206A1 (de) Anordnung und Verfahren zur Fehlererkennung und -behandlung in einem Steuergerät in einem Kraftfahrzeug
DE102013021231A1 (de) Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät
DE102018220788A1 (de) Vorrichtung und Verfahren zum Steuern einer Signalverbindung eines Fahrzeugs
EP3466019B1 (de) Kraftfahrzeug-schnittstelle mit unterbrecher
EP2612059B1 (de) Vorrichtung und verfahren zur regelung eines doppelkupplungsgetriebes
DE10252990B3 (de) Steuereinheit zur Auslösung eines Insassenschutzmittels in einem Kraftfahrzeug und Verfahren zur Überwachung der ordnungsgemäßen Funktion einer vorzugsweise solchen Steuereinheit
DE102019202627B3 (de) Verfahren zum Betrieb einer Lenkungssteuervorrichtung zur Ansteuerung einer elektrischen Lenkung und Lenkungssteuervorrichtung
DE102015203250A1 (de) Sicherheitsvorrichtung und Verfahren zum Überführen eines Aktorsystems in einen sicheren Zustand, Aktorsystem und Verfahren zum Betreiben eines Aktorsystems
DE102015203253A1 (de) Sicherheitsschaltungseinheit
DE102015119611B4 (de) Verbesserung der Diagnostizierbarkeit von Fail-operational Systemen
WO2011113405A1 (de) Steuergeräteanordnung
DE102011005766A1 (de) Steuergerät für ein Kraftfahrzeug
DE102017210538A1 (de) Elektronische Steuereinheit
DE102021206133A1 (de) Steuerungssystem für mindestens ein empfangendes Gerät in sicherheitskritischen Anwendungen
DE102015203252A1 (de) Sicherheitsvorrichtung und Verfahren zum Überführen eines Aktorsystems in einen sicheren Zustand, Aktorsystem und Verfahren zum Betreiben eines Aktorsystems

Legal Events

Date Code Title Description
R163 Identified publications notified

Effective date: 20131219

R005 Application deemed withdrawn due to failure to request examination