DE102011107550A1 - Notlaufbetrieb von Komponenten in einem Kraftfahrzeug - Google Patents
Notlaufbetrieb von Komponenten in einem Kraftfahrzeug Download PDFInfo
- Publication number
- DE102011107550A1 DE102011107550A1 DE201110107550 DE102011107550A DE102011107550A1 DE 102011107550 A1 DE102011107550 A1 DE 102011107550A1 DE 201110107550 DE201110107550 DE 201110107550 DE 102011107550 A DE102011107550 A DE 102011107550A DE 102011107550 A1 DE102011107550 A1 DE 102011107550A1
- Authority
- DE
- Germany
- Prior art keywords
- programmable gate
- gate array
- field programmable
- components
- emergency
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
- G06F11/0739—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/029—Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/048—Monitoring; Safety
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0766—Error or fault reporting or storing
- G06F11/0781—Error filtering or prioritizing based on a policy defined by the user or on a policy defined by a hardware/software module, e.g. according to a severity level
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/029—Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
- B60W2050/0292—Fail-safe or redundant systems, e.g. limp-home or backup systems
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/08—Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
- G07C5/0841—Registering performance data
- G07C5/085—Registering performance data using electronic data carriers
Abstract
Die Erfindung betrifft ein Steuergerät zur sicheren Steuerung von Komponenten in einem Kraftfahrzeug bzw. ein Verfahren zum Notlaufbetrieb dieser Komponenten. Zur Steuerung von Komponenten eines Kraftfahrzeugs umfasst ein Steuergerät mit mindestens einem feldprogrammierbaren Gatterarray (FPGA) (5a, 5b, 5c) mindestens eine Fehlerlokalisationseinheit (1), die mit mindestens einem externen Datenspeicher (4a, 4b, 4c) außerhalb des FPGA (5a, 5b, 5c) kommunizierbar ist und Fehler in einen internen Fehler im FPGA (5a, 5b, 5c) und einen externen Fehler in den Komponenten unterscheidet, je nach dem Unterscheidungsergebnis das Steuergerät derart rekonfigurierbar ist, dass bei externen Fehlern die Konfiguration des FPGA (5a, 5b, 5c) durch Kommunikation mit Daten, die für Notlaufbetrieb der Komponenten notwendig und auf dem externen Datenspeicher (4a, 4b, 4c, 4d) gespeichert sind, aktualisiert wird, und bei internen Fehlern das FPGA (5a, 5b, 5c) sich auf ein Notlaufmodell umstellt, in dem das FPGA (5a, 5b, 5c) zum Notlaufbetrieben der Komponenten weiter betrieben werden kann.
Description
- Die Erfindung betrifft ein Steuergerät zur sicheren Steuerung von Komponenten in einem Kraftfahrzeug bzw. ein Verfahren zum Notlaufbetrieb dieser Komponenten.
- In einem Kraftfahrzeug wird heutzutage eine große Zahl von Steuergeräten zur Steuerung mechanischer und elektrischer Komponenten des Fahrzeugs, wie z. B. Motoren, Sensoren, Klimaanlage und Fahrzeuglenkung, eingebaut. Um die Fahrsicherheit eines Fahrzeuges zu gewährleisten bzw. zu erhöhen, müssen die Steuergeräte bei auftretenden Fehlern oder Störungen auch in der Lage sein, solche Komponenten weiterhin in einem Notlaufbetrieb ansteuern zu können. Da die Notlauffunktionen eines Steuergeräts in der Regel eine andere Funktionsweise erfordern, ist das Steuergerät zuerst zu rekonfigurieren. Dies benötigt eine große Menge von Datenressourcen, um das Steuergerät zu konfigurieren und um die Notlauffunktionen in das Steuergerät zu implementieren.
- Ein modernes Steuergerät besteht häufig aus Bausteinen mit zwei- oder mehrdimensionaler Zellanordnung, wie z. B. feldprogrammierbare Gatterarrays (FPGA). Auf dem FPGA sollen verschiedene Aufgaben gelöst werden, jede Aufgabe ist einem Modul zugeordnet, jedes Modul benötigt eine bestimmte Menge an Ressourcen des FPGAs. Auf einem FPGA ist es jedoch normalerweise unwirtschaftlich, mehrere Konzepte parallel bzw. eine große Datenmenge vorzuhalten. Ein neuartiges FPGA kann eine so genannte partielle dynamische Rekonfiguration (pdR) bieten. Darunter versteht man die Fähigkeit zur Aktualisierung eines Teils der Konfigurationsspeicher in einem FPGA mit einer neuen Konfiguration, ohne die Funktionalität des unveränderten Abschnitts des FPGA zu beeinflussen, weil ein FPGA nicht alle Komponenten aufnimmt und diese Komponenten nicht immer gleichzeitig gebraucht werden. Man kann somit z. B. unterschiedliche Konfigurationskonzepte im FPGA speichern.
- In der
EP 1 303 913 B1 wird dieses Konzept zur Erhöhung der Systemverfügbarkeit vorgestellt. Mittels der pdR wird eine sicherheitsrelevante Funktion auf einem FPGA bei Fehlern in einer externen Peripherie durch eine Notlauffunktion ausgetauscht, und eine Notlauffunktion mit internen Datenressourcen bei Hardwarefehlern auf dem FPGA selber benutzt. -
EP 1 854 022 B1 offenbart ein Steuergerät, mit dem Steuerungsprozesse in einem Fahrzeug bei hoher Datenverarbeitungsdichte auf Hardwaremodulen ausgeführt werden können. Nach dem Zuordnen eines Steuerungsprozesses zu einem Hardwaremodul wird zunächst eine Hardwarekonfiguration in das Hardwaremodul geladen, um dessen Hardware neu zu konfigurieren, und dann übernimmt das neu konfigurierte Hardwaremodul die Steuerung der zugeordneten Komponente. - Der Erfindung liegt die Aufgabe zu Grunde, ein Steuergerät mit einem FPGA zur besseren Steuerung der Komponenten in einem Kraftfahrzeug bereitzustellen, um sich mit einer möglichst geringen Belastung auf die Speicherkapazität des FPGA die Komponenten in einem Notlaufbetrieb ansteuern lassen zu können, und ein Verfahren zur Steuerung der Komponenten in einem Kraftfahrzeug mittels eines derartigen Steuergeräts zu ermöglichen.
- Diese Aufgabe wird erfindungsgemäß durch ein Steuergerät mit den Merkmalen des Patentanspruchs 1 bzw. ein Verfahren mit den Merkmalen des Patentanspruchs 7 gelöst. Weitere vorteilhafte Ausgestaltungen der Erfindung ergeben sich aus den jeweiligen Unteransprüchen.
- Der Erfindung liegt die Idee zugrunde, die Konfiguration eines Steuergeräts für unterschiedliche Anforderungen durch Kommunikation mit verschiedenen vorgespeicherten Daten gezielt durchzuführen, damit die Belastung auf dem Datenspeicher des Steuergeräts, insbesondere auf das FPGA reduziert wird. Erfindungsgemäß wird ein Steuergerät mit mindestens einem feldprogrammierbaren Gatterarray (FPGA) zur Steuerung von Komponenten eines Kraftfahrzeugs vorgesehen, wobei das Steuergerät mindestes eine Fehlerlokalisationseinheit umfasst, die mit mindestens einem externen Datenspeicher außerhalb des FPGA kommunizierbar verbunden ist und Fehler in einen internen Fehler im FPGA und einen externen Fehler in den Komponenten unterscheidet. Je nach dem Unterscheidungsergebnis wird das Steuergerät derart rekonfiguriert, dass bei externen Fehlern die Konfiguration des FPGA durch Kommunikation mit Daten, die für einen Notlaufbetrieb der Komponenten notwendig und auf dem externen Datenspeicher gespeichert sind, aktualisiert wird, und bei internen Fehlern das FPGA sich auf ein Notlaufmodell, in dem das FPGA zum Notlaufbetrieb der Komponenten weiter betrieben werden kann, umstellt. Wie allgemein bekannt, kann in das FPGA zusätzlich ein eigener Speicher (z. B. RAM, SRAM) integriert sein. In dem Speicher können wichtige Daten, die zum Starten oder Konfigurieren des FPGA selbst notwendig sind, gespeichert werden. Dadurch können nur die für die Rekonfiguration des Steuergeräts erforderlichen Daten auch außerhalb von dem Steuergerät bzw. FPGA gespeichert werden. Wenn ein externer Fehler auftritt, werden die alten Daten des Steuergeräts, mit denen das Steuergerät die vom Fehler betroffene Komponente weder im Normalbetrieb noch im Notlauf ansteuern kann, einfach durch die vorgespeicherten, für Notlaufbetrieb der Komponente notwendigen Daten ausgetauscht. Die anderen Konfigurationsdaten des Steuergeräts brauchen in dem Fall nicht komplett geändert zu werden.
- Gemäß einer vorteilhaften Ausgestaltung der Erfindung werden mindestens zwei Notlaufmodelle für das FPGA vorgesehen, damit das Steuergerät sich darauf einstellen kann, dass es bei unterschiedlichen Fehlern verschiedene von Fehlern betroffene Komponenten in einem Notlaufbetrieb ansteuern kann.
- Vorteilhafterweise weist das Steuergerät zumindest eine Fehlerpräventionseinheit auf, die das Steuergerät je nach unterschiedlichen internen Fehlern auf ein entsprechendes Notlaufmodell umstellen kann. Für einen Notlaufbetrieb oder die dementsprechende Rekonfiguration werden dann nur die notwendigen Daten oder das entsprechende Notlaufmodell ausgewählt. Dadurch ist ein Wechsel auf eine richtige Konfiguration mit minimierter Verlustleistung möglich, und es wird Speicherkapazität eingespart.
- Gemäß einer weiteren vorteilhaften Ausgestaltung der Erfindung weist das Steuergerät ein Identifizierungsmittel auf, das einen von dem internen Fehler betroffenen Teil des FPGA identifiziert. Das Notlaufmodell wird derart bereitgestellt, dass das FPGA mit dessen restlichen Teil in diesem Notlaufmodell die Komponenten steuern kann. Das Identifizierungsmittel wirkt mit dem FPGA so zusammen, dass das Identifizierungsmittel einen fehlerhaften Teil des FPGA festlegt, und die Rekonfigurationsdaten werden dann in dem restlichen, fehlerfreien Teil des FPGA gespeichert. D. h., nur ein Teil der Konfigurationsspeicher in dem FPGA wird mit einer neuen Konfiguration aktualisiert, ohne die Funktionalität des unveränderten Teils des FPGA zu beeinflussen, weil ein FPGA nicht alle Komponenten aufnimmt und diese Komponenten nicht immer gleichzeitig gebraucht werden. Darüber hinaus, wird das Risiko, dass die Rekonfigurationsdaten nicht mehr aufrufbar sind, verringert, weil sie nun in verschiedenen Speichern verteilt gespeichert werden können. Damit steigt die Verfügbarkeit durch die Teilabschaltung des FPGA. Dies ist vorteilhaft gegenüber einem Steuergerät mit einem Mikrokontroller (μC). Bei einem Hardwaredefekt, der den μC betrifft, ist ein Weiterbetrieb nicht mehr möglich. Nach dem hier vorgestellten Notlaufkonzept kann auch eine Minimalimplementierung auf dem FPGA geladen werden, die den anderen Teil des FPGA unterbringt.
- Weiterhin kann ein System mit mindestens zwei Steuergeräten für ein Fahrzeugbordnetz, ausgebildet werden, wobei die Steuergeräte untereinander zur Kommunikation mittels eines elektrischen Datenbusses vernetzt werden können.
- Erfindungsgemäß wird ein Verfahren zum Notlaufbetrieb von Komponenten in einem Kraftfahrzeug mittels eines FPGA angegeben, bei dem Fehler als ein interner Fehler im FPGA und ein externer Fehler in den Komponenten unterscheidend ermittelt werden, je nach dem Ermittlungsergebnis das FPGA derart rekonfiguriert wird, dass die Konfiguration des FPGA bei externen Fehlern durch Kommunikation mit Daten, die für einen Notlaufbetrieb der Komponenten notwendig sind und außerhalb des FPGA gespeichert werden, aktualisiert wird, und das FPGA bei internen Fehlern auf ein Notlaufmodell, im dem das FPGA zum Notlaufbetrieben der Komponenten weiter betrieben werden kann, umstellt wird.
- Die Erfindung wird im Folgenden im Rahmen der Ausführungsbeispiele anhand der Figur näher dargestellt. Es zeigt:
-
1 : den schematischen Aufbau eines erfindungsgemäßen Steuergeräts. - Diese
1 zeigt ein Steuergerät zur Steuerung von Komponenten in einem Kraftfahrzeug, wobei das Steuergerät bei auftretenden Fehlern oder Störungen im Kraftfahrzeug die Komponenten in einem Notlaufbetrieb weiterhin ansteuern kann. Das Steuergerät umfasst ein feldprogrammierbares Gatterarray (FPGA)5a ,5b ,5c und eine Fehlerlokalisationseinheit1 , die über eine Schnittstelle2a ,2b mit mindestens einem externen Datenspeicher4a ,4b ,4c , welcher sich außerhalb von dem FPGA befindet, kommunizieren kann. Zusätzlich zu dem externen Datenspeicher4a ,4b ,4c kann das FPGA einen inneren Datenspeicher (nicht dargestellt) aufweisen, dort werden normalerweise wichtige Daten, die zum Starten und Konfigurieren des FPGA selbst notwendig sind, gespeichert. Der innere Datenspeicher ist in der Regel deutlich kleiner in der Speicherkapazität als der externe Datenspeicher4a ,4b ,4c . Die FPGA-Technologie bietet eine Flexibilität und die notwendigen Funktionen für eine Prototypenerstellung. Ein FPGA kann auch eine Hardwareparallelität nutzen, wobei eine partielle dynamische Rekonfiguration (PDR) möglich ist. Die Steuerung der PDR kann z. B. mittels in einer kleinen Bibliothek abgelegter und vorprogrammierter Hardwarekonfigurationen erfolgen. Je nach Anforderung eines Prozesses wird dann die entsprechende Hardwarekonfiguration in das Steuergerät geladen. - Die Fehlerlokalisationseinheit
1 kann Fehler in einen internen Fehler im FPGA und einen externen Fehler in den Komponenten, die außerhalb des Steuergeräts bzw. des FPGA sind, unterscheiden. Zur Reduzierung des Aufwands des Geräte-Aufbaus ist es in verschiedenen Betriebszuständen, insbesondere in einem Notlaufbetrieb der Komponenten, notwendig, beim Wechsel des Betriebszustands das Steuergerät zu rekonfigurieren. Beim FPGA kann Hardwareparallelität, nämlich die so genannte PDR, angewendet werden, so dass die für Notlaufbetrieb der Komponenten notwendigen Daten auf dem externen Datenspeicher4a ,4b ,4c gespeichert werden, und die Konfigurationsdaten für ein Notlaufmodell, in dem das FPGA zum Notlaufbetrieb der Komponenten weiter betrieben werden kann, z. B. im Steuergerät bzw. dem FPGA selber gespeichert werden können. Je nach dem Unterscheidungsergebnis wird das Steuergerät somit partiell dynamisch derart rekonfiguriert, dass bei externen Fehlern die Konfiguration des FPGA durch Kommunikation mit den für Notlaufbetrieb der Komponenten notwendigen Konfigurationsdaten aktualisiert wird, und bei internen Fehlern kann das FPGA sich auf eines der Notlaufmodelle, in denen das FPGA zum Notlaufbetrieb der Komponenten weiter betrieben werden kann, umstellen. - Wenn z. B. ein externer Fehler in einem Motor oder einem Motorschaltkreis auftritt, muss der Motor in einem Notlaufbetrieb weiter angesteuert werden können. Da ein Motorreglermodul oder eine Motorreglersoftware für die Ansteuerung eines Motors sehr komplex ist und einen großen Teil des FPGA belegt, wird im Fehlerfall nur ein Motornotlaufmodul oder eine Motornotlaufsoftware auf dem FPGA neu aufgeladen, anstatt das komplette Motorreglermodul oder die vollständige Motorreglersoftware auszutauschen, wobei die anderen gleichen Hardwareressourcen im FPGA auch ohne Änderungen weitergenutzt werden können.
- Das Steuergerät weist ein Identifizierungsmittel
6 auf, das einen vom internen Fehler betroffenen Teil des FPGA identifizieren kann. Dabei wird der restliche, fehlerfreie Teil des FPGA ebenfalls identifiziert. Die neuen Rekonfigurationsdaten ersetzen dann nur die alten Daten, die im vom internen Fehler betroffenen Teil des FPGA gespeichert sind, die anderen Daten auf dem FPGA bleiben nicht beeinflusst. Durch eine Lokalisation des Fehlers im FPGA kann dann eine geeignete Kompensationsmaßnahme eingeleitet werden, z. B. die Nutzung einer Notlauffunktion, die den defekten Teil des FPGA nicht benutzt. - Das Steuergerät weist in diesem Beispiel zwei Fehlerpräventionseinheiten
3 auf, die jeweils über eine Schnittstelle7a ,7b mit dem FPGA kommunizierbar sind. Die Fehlerpräventionseinheiten3 können das FPGA je nach unterschiedlichen internen Fehlern auf ein entsprechendes Notlaufmodell umstellen, z. B. bei Übertemperatur auf ein Notlaufmodell für kritische Verlustleistung5b oder bei Unterspannung auf ein Notlaufmodell für großen Stromverbrauch5c . Für einen Notlaufbetrieb oder die dementsprechende Rekonfiguration werden dann nur notwendige Konfigurationsdaten oder ein entsprechendes Notlaufmodell ausgewählt. Dadurch ist ein Wechsel auf eine richtige Konfiguration mit minimierter Verlustleistung optimiert. - Die Erfindung ist nicht auf das dargestellte Ausführungsbeispiel beschränkt. Wie bereits erwähnt, können zwei oder mehrere Steuergeräte für ein Fahrzeugbordnetz ausgebildet werden, wobei die Steuergeräte untereinander zur Kommunikation mittels elektrischen Datenbusses vernetzt werden können.
- ZITATE ENTHALTEN IN DER BESCHREIBUNG
- Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
- Zitierte Patentliteratur
-
- EP 1303913 B1 [0004]
- EP 1854022 B1 [0005]
Claims (11)
- Steuergerät mit mindestens einem feldprogrammierbaren Gatterarray (
5a ,5b ,5c ) zur Steuerung von Komponenten eines Kraftfahrzeugs, dadurch gekennzeichnet, dass das Steuergerät mindestens eine Fehlerlokalisationseinheit (1 ) umfasst, die mit mindestens einem externen Datenspeicher (4a ,4b ,4c ) außerhalb des feldprogrammierbaren Gatterarrays (5a ,5b ,5c ) kommunizierbar verbunden ist und Fehler in einen internen Fehler im feldprogrammierbaren Gatterarray (5a ,5b ,5c ) und einen externen Fehler in den Komponenten unterscheidet, je nach dem Unterscheidungsergebnis das Steuergerät derart rekonfigurierbar ist, dass bei externen Fehlern die Konfiguration des feldprogrammierbaren Gatterarrays (5a ,5b ,5c ) durch Kommunikation mit Daten aktualisiert wird, die für einen Notlaufbetrieb der Komponenten notwendig und auf dem externen Datenspeicher (4a ,4b ,4c ,4d ) gespeichert sind, und bei internen Fehlern das feldprogrammierbare Gatterarray (5a ,5b ,5c ) sich auf ein Notlaufmodell umstellt, in dem das feldprogrammierbare Gatterarray (5a ,5b ,5c ) zum Notlaufbetrieben der Komponenten weiter betrieben werden kann. - Steuergerät nach Anspruch 1, dadurch gekennzeichnet, dass mindestens zwei Notlaufmodelle für das feldprogrammierbare Gatterarray (
5a ,5b ,5c ) vorgesehen sind. - Steuergerät nach Anspruch 2, dadurch gekennzeichnet, dass das Steuergerät zumindest eine Fehlerpräventionseinheit (
3 ) aufweist, die das feldprogrammierbare Gatterarray (5a ,5b ,5c ) je nach unterschiedlichen internen Fehlern auf ein entsprechendes der Notlaufmodelle umstellt. - Steuergerät nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass das Steuergerät mindestens ein Identifizierungsmittel (
6 ) aufweist, wobei das Identifizierungsmittel (6 ) einen von dem internen Fehler betroffenen Teil des feldprogrammierbaren Gatterarrays (5a ,5b ,5c ) identifiziert. - Steuergerät nach Anspruch 4, dadurch gekennzeichnet, dass das Notlaufmodell derart bereitstellbar ist, dass das feldprogrammierbare Gatterarrays (
5a ,5b ,5c ) mit dessen restlichem Teil in diesem Notlaufmodell die Komponenten steuern kann. - System mit mindestens zwei Steuergeräten nach einem der Ansprüche 1 bis 5 für ein Fahrzeugbordnetz, wobei die Steuergeräte untereinander zur Kommunikation mittels elektrischen Datenbusses vernetzt sind.
- Verfahren zum Notlaufbetrieb von Komponenten in einem Kraftfahrzeug mittels eines feldprogrammierbaren Gatterarrays (
5a ,5b ,5c ), dadurch gekennzeichnet, dass Fehler als ein interner Fehler im feldprogrammierbaren Gatterarray (5a ,5b ,5c ) und ein externer Fehler in den Komponenten unterscheidend ermittelt werden, je nach dem Ermittlungsergebnis das feldprogrammierbare Gatterarray (5a ,5b ,5c ) derart rekonfiguriert wird, dass die Konfiguration des feldprogrammierbaren Gatterarrays (5a ,5b ,5c ) bei externen Fehlern durch Kommunikation mit Daten aktualisiert wird, die für Notlaufbetrieb der Komponenten notwendig sind und außerhalb des feldprogrammierbaren Gatterarrays (5a ,5b ,5c ) gespeichert werden, und das feldprogrammierbare Gatterarray (5a ,5b ,5c ) bei internen Fehlern auf ein Notlaufmodell umstellt wird, in dem das feldprogrammierbare Gatterarray (5a ,5b ,5c ) zum Notlaufbetrieben der Komponenten weiter betrieben werden kann. - Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass mindestens zwei Notlaufmodelle für das feldprogrammierbare Gatterarray (
5a ,5b ,5c ) vorgesehen werden. - Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass mindestens eine Fehlerpräventionseinheit (
3 ) vorgesehen wird, wodurch das feldprogrammierbare Gatterarray (5a ,5b ,5c ) je nach unterschiedlichen internen Fehlern auf ein entsprechendes der Notlaufmodelle umgestellt wird. - Verfahren nach einem der Ansprüche 7 bis 9, dadurch gekennzeichnet, dass mindestens ein Identifizierungsmittel (
6 ) zur Identifizierung eines von dem internen Fehler betroffenen Teils des feldprogrammierbaren Gatterarrays (5a ,5b ,5c ) vorgesehen wird. - Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass das Notlaufmodell derart bereitgestellt wird, dass in diesem Notlaufmodell das feldprogrammierbare Gatterarray (
5a ,5b ,5c ) mit seinem restlichen Teil die Komponenten steuern kann.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE201110107550 DE102011107550A1 (de) | 2011-07-16 | 2011-07-16 | Notlaufbetrieb von Komponenten in einem Kraftfahrzeug |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE201110107550 DE102011107550A1 (de) | 2011-07-16 | 2011-07-16 | Notlaufbetrieb von Komponenten in einem Kraftfahrzeug |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102011107550A1 true DE102011107550A1 (de) | 2013-01-17 |
Family
ID=47425624
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE201110107550 Withdrawn DE102011107550A1 (de) | 2011-07-16 | 2011-07-16 | Notlaufbetrieb von Komponenten in einem Kraftfahrzeug |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102011107550A1 (de) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017016699A1 (de) * | 2015-07-24 | 2017-02-02 | Siemens Aktiengesellschaft | Verfahren zum betreiben einer automatisierungskomponente |
DE102020215565A1 (de) | 2020-12-09 | 2022-06-09 | Zf Friedrichshafen Ag | Verfahren zum Überführen eines Fahrzeugs in einen sicheren Zustand |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1854022B1 (de) | 2005-03-04 | 2008-12-10 | Daimler AG | Steuergerät mit konfigurierbaren hardwaremodulen |
EP1303913B1 (de) | 2000-07-25 | 2009-03-25 | Xilinx, Inc. | Architektur und verfahren zur teilrekonfiguration eines nutzerprogrammierbaren gatterfelds |
-
2011
- 2011-07-16 DE DE201110107550 patent/DE102011107550A1/de not_active Withdrawn
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1303913B1 (de) | 2000-07-25 | 2009-03-25 | Xilinx, Inc. | Architektur und verfahren zur teilrekonfiguration eines nutzerprogrammierbaren gatterfelds |
EP1854022B1 (de) | 2005-03-04 | 2008-12-10 | Daimler AG | Steuergerät mit konfigurierbaren hardwaremodulen |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017016699A1 (de) * | 2015-07-24 | 2017-02-02 | Siemens Aktiengesellschaft | Verfahren zum betreiben einer automatisierungskomponente |
US20180373214A1 (en) * | 2015-07-24 | 2018-12-27 | Siemens Aktiengesellschaft | Method for operating an automation component |
EP3286613B1 (de) | 2015-07-24 | 2019-11-27 | Siemens Aktiengesellschaft | Verfahren und vorrichtung zum betreiben einer automatisierungskomponente |
US10761502B2 (en) | 2015-07-24 | 2020-09-01 | Siemens Aktiengesellschaft | Method for operating an automation component |
DE102020215565A1 (de) | 2020-12-09 | 2022-06-09 | Zf Friedrichshafen Ag | Verfahren zum Überführen eines Fahrzeugs in einen sicheren Zustand |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1597643B1 (de) | Vorrichtung und verfahren zur modellbasierten on-board-diagnose | |
DE19716197A1 (de) | Mikroprozessorsystem für sicherheitskritische Regelungen | |
DE19647394A1 (de) | Verteiltes Steuersystem für eine schwere Baumaschine | |
DE102015003194A1 (de) | Verfahren und Vorrichtung zum Handhaben von sicherheitskritischen Fehlern | |
EP0685086B1 (de) | Einrichtung zur automatischen erzeugung einer wissensbasis für ein diagnose-expertensystem | |
DE102005015664A1 (de) | Diagnosesystem zur Bestimmung einer gewichteten Liste möglicherweise fehlerhafter Komponenten aus Fahrzeugdaten und Kundenangaben | |
DE202012013193U1 (de) | Vorrichtung für eine sicherheitskritische Anwendung | |
EP2422244A1 (de) | Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage | |
DE102013113296A1 (de) | Redundante Rechenarchitektur | |
DE102011102888B4 (de) | Konfigurierbare Testreihe | |
DE102015108359A1 (de) | Verfahren und Vorrichtung zur automatischen Validierung von Sicherheitsfunktionen an einem modular aufgebauten Sicherheitssystem | |
DE102008009652A1 (de) | Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor | |
EP3400452B1 (de) | Transporteinheit mit zumindest einer anlage | |
DE102010039021B4 (de) | Verfahren zur Rekonfiguration von Softwareparametern in einem Mikrocontroller sowie Mikrocontroller und Steuergerät | |
DE102011107550A1 (de) | Notlaufbetrieb von Komponenten in einem Kraftfahrzeug | |
DE60312041T2 (de) | Tcet-expander | |
EP2842398B1 (de) | Verfahren zur umkonfiguration von komponenten und komponente | |
EP2786162B1 (de) | Verfahren zum feststellen eines fehlers in verbindungleitungen zwischen einer zentraleinheit und einer mehrzahl von voreinander unabhängigen elektronischen baueinheiten | |
DE10321229B4 (de) | Gegenkontrollierende Prozessoren für Antriebsstrangsteuerungssysteme, die eine dedizierte serielle Datenleitung verwenden | |
DE102011007467A1 (de) | Mehrkernige integrierte Mikroprozessorschaltung mit Prüfeinrichtung, Prüfverfahren und Verwendung | |
DE102014002593A1 (de) | Dynamisches speicherprogrammierbares Steuergerät | |
DE102015203250A1 (de) | Sicherheitsvorrichtung und Verfahren zum Überführen eines Aktorsystems in einen sicheren Zustand, Aktorsystem und Verfahren zum Betreiben eines Aktorsystems | |
DE102011105617A1 (de) | Kraftfahrzeug mit einer Vielzahl von Betriebskomponenten | |
DE102019104246A1 (de) | System und Verfahren zur Überwachung von Halbleiter-Bauteilen eines Fahrzeugs | |
DE102018212353A1 (de) | Vorrichtung zur Energieversorgung, insbesondere eines Kraftfahrzeugs mit automatisierter Fahrfunktion |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R163 | Identified publications notified | ||
R163 | Identified publications notified |
Effective date: 20140922 |
|
R012 | Request for examination validly filed | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |