DE102011107550A1 - Notlaufbetrieb von Komponenten in einem Kraftfahrzeug - Google Patents

Notlaufbetrieb von Komponenten in einem Kraftfahrzeug Download PDF

Info

Publication number
DE102011107550A1
DE102011107550A1 DE201110107550 DE102011107550A DE102011107550A1 DE 102011107550 A1 DE102011107550 A1 DE 102011107550A1 DE 201110107550 DE201110107550 DE 201110107550 DE 102011107550 A DE102011107550 A DE 102011107550A DE 102011107550 A1 DE102011107550 A1 DE 102011107550A1
Authority
DE
Germany
Prior art keywords
programmable gate
gate array
field programmable
components
emergency
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE201110107550
Other languages
English (en)
Inventor
Marius Baller
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Volkswagen AG
Original Assignee
Volkswagen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Volkswagen AG filed Critical Volkswagen AG
Priority to DE201110107550 priority Critical patent/DE102011107550A1/de
Publication of DE102011107550A1 publication Critical patent/DE102011107550A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/048Monitoring; Safety
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0781Error filtering or prioritizing based on a policy defined by the user or on a policy defined by a hardware/software module, e.g. according to a severity level
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0841Registering performance data
    • G07C5/085Registering performance data using electronic data carriers

Abstract

Die Erfindung betrifft ein Steuergerät zur sicheren Steuerung von Komponenten in einem Kraftfahrzeug bzw. ein Verfahren zum Notlaufbetrieb dieser Komponenten. Zur Steuerung von Komponenten eines Kraftfahrzeugs umfasst ein Steuergerät mit mindestens einem feldprogrammierbaren Gatterarray (FPGA) (5a, 5b, 5c) mindestens eine Fehlerlokalisationseinheit (1), die mit mindestens einem externen Datenspeicher (4a, 4b, 4c) außerhalb des FPGA (5a, 5b, 5c) kommunizierbar ist und Fehler in einen internen Fehler im FPGA (5a, 5b, 5c) und einen externen Fehler in den Komponenten unterscheidet, je nach dem Unterscheidungsergebnis das Steuergerät derart rekonfigurierbar ist, dass bei externen Fehlern die Konfiguration des FPGA (5a, 5b, 5c) durch Kommunikation mit Daten, die für Notlaufbetrieb der Komponenten notwendig und auf dem externen Datenspeicher (4a, 4b, 4c, 4d) gespeichert sind, aktualisiert wird, und bei internen Fehlern das FPGA (5a, 5b, 5c) sich auf ein Notlaufmodell umstellt, in dem das FPGA (5a, 5b, 5c) zum Notlaufbetrieben der Komponenten weiter betrieben werden kann.

Description

  • Die Erfindung betrifft ein Steuergerät zur sicheren Steuerung von Komponenten in einem Kraftfahrzeug bzw. ein Verfahren zum Notlaufbetrieb dieser Komponenten.
  • In einem Kraftfahrzeug wird heutzutage eine große Zahl von Steuergeräten zur Steuerung mechanischer und elektrischer Komponenten des Fahrzeugs, wie z. B. Motoren, Sensoren, Klimaanlage und Fahrzeuglenkung, eingebaut. Um die Fahrsicherheit eines Fahrzeuges zu gewährleisten bzw. zu erhöhen, müssen die Steuergeräte bei auftretenden Fehlern oder Störungen auch in der Lage sein, solche Komponenten weiterhin in einem Notlaufbetrieb ansteuern zu können. Da die Notlauffunktionen eines Steuergeräts in der Regel eine andere Funktionsweise erfordern, ist das Steuergerät zuerst zu rekonfigurieren. Dies benötigt eine große Menge von Datenressourcen, um das Steuergerät zu konfigurieren und um die Notlauffunktionen in das Steuergerät zu implementieren.
  • Ein modernes Steuergerät besteht häufig aus Bausteinen mit zwei- oder mehrdimensionaler Zellanordnung, wie z. B. feldprogrammierbare Gatterarrays (FPGA). Auf dem FPGA sollen verschiedene Aufgaben gelöst werden, jede Aufgabe ist einem Modul zugeordnet, jedes Modul benötigt eine bestimmte Menge an Ressourcen des FPGAs. Auf einem FPGA ist es jedoch normalerweise unwirtschaftlich, mehrere Konzepte parallel bzw. eine große Datenmenge vorzuhalten. Ein neuartiges FPGA kann eine so genannte partielle dynamische Rekonfiguration (pdR) bieten. Darunter versteht man die Fähigkeit zur Aktualisierung eines Teils der Konfigurationsspeicher in einem FPGA mit einer neuen Konfiguration, ohne die Funktionalität des unveränderten Abschnitts des FPGA zu beeinflussen, weil ein FPGA nicht alle Komponenten aufnimmt und diese Komponenten nicht immer gleichzeitig gebraucht werden. Man kann somit z. B. unterschiedliche Konfigurationskonzepte im FPGA speichern.
  • In der EP 1 303 913 B1 wird dieses Konzept zur Erhöhung der Systemverfügbarkeit vorgestellt. Mittels der pdR wird eine sicherheitsrelevante Funktion auf einem FPGA bei Fehlern in einer externen Peripherie durch eine Notlauffunktion ausgetauscht, und eine Notlauffunktion mit internen Datenressourcen bei Hardwarefehlern auf dem FPGA selber benutzt.
  • EP 1 854 022 B1 offenbart ein Steuergerät, mit dem Steuerungsprozesse in einem Fahrzeug bei hoher Datenverarbeitungsdichte auf Hardwaremodulen ausgeführt werden können. Nach dem Zuordnen eines Steuerungsprozesses zu einem Hardwaremodul wird zunächst eine Hardwarekonfiguration in das Hardwaremodul geladen, um dessen Hardware neu zu konfigurieren, und dann übernimmt das neu konfigurierte Hardwaremodul die Steuerung der zugeordneten Komponente.
  • Der Erfindung liegt die Aufgabe zu Grunde, ein Steuergerät mit einem FPGA zur besseren Steuerung der Komponenten in einem Kraftfahrzeug bereitzustellen, um sich mit einer möglichst geringen Belastung auf die Speicherkapazität des FPGA die Komponenten in einem Notlaufbetrieb ansteuern lassen zu können, und ein Verfahren zur Steuerung der Komponenten in einem Kraftfahrzeug mittels eines derartigen Steuergeräts zu ermöglichen.
  • Diese Aufgabe wird erfindungsgemäß durch ein Steuergerät mit den Merkmalen des Patentanspruchs 1 bzw. ein Verfahren mit den Merkmalen des Patentanspruchs 7 gelöst. Weitere vorteilhafte Ausgestaltungen der Erfindung ergeben sich aus den jeweiligen Unteransprüchen.
  • Der Erfindung liegt die Idee zugrunde, die Konfiguration eines Steuergeräts für unterschiedliche Anforderungen durch Kommunikation mit verschiedenen vorgespeicherten Daten gezielt durchzuführen, damit die Belastung auf dem Datenspeicher des Steuergeräts, insbesondere auf das FPGA reduziert wird. Erfindungsgemäß wird ein Steuergerät mit mindestens einem feldprogrammierbaren Gatterarray (FPGA) zur Steuerung von Komponenten eines Kraftfahrzeugs vorgesehen, wobei das Steuergerät mindestes eine Fehlerlokalisationseinheit umfasst, die mit mindestens einem externen Datenspeicher außerhalb des FPGA kommunizierbar verbunden ist und Fehler in einen internen Fehler im FPGA und einen externen Fehler in den Komponenten unterscheidet. Je nach dem Unterscheidungsergebnis wird das Steuergerät derart rekonfiguriert, dass bei externen Fehlern die Konfiguration des FPGA durch Kommunikation mit Daten, die für einen Notlaufbetrieb der Komponenten notwendig und auf dem externen Datenspeicher gespeichert sind, aktualisiert wird, und bei internen Fehlern das FPGA sich auf ein Notlaufmodell, in dem das FPGA zum Notlaufbetrieb der Komponenten weiter betrieben werden kann, umstellt. Wie allgemein bekannt, kann in das FPGA zusätzlich ein eigener Speicher (z. B. RAM, SRAM) integriert sein. In dem Speicher können wichtige Daten, die zum Starten oder Konfigurieren des FPGA selbst notwendig sind, gespeichert werden. Dadurch können nur die für die Rekonfiguration des Steuergeräts erforderlichen Daten auch außerhalb von dem Steuergerät bzw. FPGA gespeichert werden. Wenn ein externer Fehler auftritt, werden die alten Daten des Steuergeräts, mit denen das Steuergerät die vom Fehler betroffene Komponente weder im Normalbetrieb noch im Notlauf ansteuern kann, einfach durch die vorgespeicherten, für Notlaufbetrieb der Komponente notwendigen Daten ausgetauscht. Die anderen Konfigurationsdaten des Steuergeräts brauchen in dem Fall nicht komplett geändert zu werden.
  • Gemäß einer vorteilhaften Ausgestaltung der Erfindung werden mindestens zwei Notlaufmodelle für das FPGA vorgesehen, damit das Steuergerät sich darauf einstellen kann, dass es bei unterschiedlichen Fehlern verschiedene von Fehlern betroffene Komponenten in einem Notlaufbetrieb ansteuern kann.
  • Vorteilhafterweise weist das Steuergerät zumindest eine Fehlerpräventionseinheit auf, die das Steuergerät je nach unterschiedlichen internen Fehlern auf ein entsprechendes Notlaufmodell umstellen kann. Für einen Notlaufbetrieb oder die dementsprechende Rekonfiguration werden dann nur die notwendigen Daten oder das entsprechende Notlaufmodell ausgewählt. Dadurch ist ein Wechsel auf eine richtige Konfiguration mit minimierter Verlustleistung möglich, und es wird Speicherkapazität eingespart.
  • Gemäß einer weiteren vorteilhaften Ausgestaltung der Erfindung weist das Steuergerät ein Identifizierungsmittel auf, das einen von dem internen Fehler betroffenen Teil des FPGA identifiziert. Das Notlaufmodell wird derart bereitgestellt, dass das FPGA mit dessen restlichen Teil in diesem Notlaufmodell die Komponenten steuern kann. Das Identifizierungsmittel wirkt mit dem FPGA so zusammen, dass das Identifizierungsmittel einen fehlerhaften Teil des FPGA festlegt, und die Rekonfigurationsdaten werden dann in dem restlichen, fehlerfreien Teil des FPGA gespeichert. D. h., nur ein Teil der Konfigurationsspeicher in dem FPGA wird mit einer neuen Konfiguration aktualisiert, ohne die Funktionalität des unveränderten Teils des FPGA zu beeinflussen, weil ein FPGA nicht alle Komponenten aufnimmt und diese Komponenten nicht immer gleichzeitig gebraucht werden. Darüber hinaus, wird das Risiko, dass die Rekonfigurationsdaten nicht mehr aufrufbar sind, verringert, weil sie nun in verschiedenen Speichern verteilt gespeichert werden können. Damit steigt die Verfügbarkeit durch die Teilabschaltung des FPGA. Dies ist vorteilhaft gegenüber einem Steuergerät mit einem Mikrokontroller (μC). Bei einem Hardwaredefekt, der den μC betrifft, ist ein Weiterbetrieb nicht mehr möglich. Nach dem hier vorgestellten Notlaufkonzept kann auch eine Minimalimplementierung auf dem FPGA geladen werden, die den anderen Teil des FPGA unterbringt.
  • Weiterhin kann ein System mit mindestens zwei Steuergeräten für ein Fahrzeugbordnetz, ausgebildet werden, wobei die Steuergeräte untereinander zur Kommunikation mittels eines elektrischen Datenbusses vernetzt werden können.
  • Erfindungsgemäß wird ein Verfahren zum Notlaufbetrieb von Komponenten in einem Kraftfahrzeug mittels eines FPGA angegeben, bei dem Fehler als ein interner Fehler im FPGA und ein externer Fehler in den Komponenten unterscheidend ermittelt werden, je nach dem Ermittlungsergebnis das FPGA derart rekonfiguriert wird, dass die Konfiguration des FPGA bei externen Fehlern durch Kommunikation mit Daten, die für einen Notlaufbetrieb der Komponenten notwendig sind und außerhalb des FPGA gespeichert werden, aktualisiert wird, und das FPGA bei internen Fehlern auf ein Notlaufmodell, im dem das FPGA zum Notlaufbetrieben der Komponenten weiter betrieben werden kann, umstellt wird.
  • Die Erfindung wird im Folgenden im Rahmen der Ausführungsbeispiele anhand der Figur näher dargestellt. Es zeigt:
  • 1: den schematischen Aufbau eines erfindungsgemäßen Steuergeräts.
  • Diese 1 zeigt ein Steuergerät zur Steuerung von Komponenten in einem Kraftfahrzeug, wobei das Steuergerät bei auftretenden Fehlern oder Störungen im Kraftfahrzeug die Komponenten in einem Notlaufbetrieb weiterhin ansteuern kann. Das Steuergerät umfasst ein feldprogrammierbares Gatterarray (FPGA) 5a, 5b, 5c und eine Fehlerlokalisationseinheit 1, die über eine Schnittstelle 2a, 2b mit mindestens einem externen Datenspeicher 4a, 4b, 4c, welcher sich außerhalb von dem FPGA befindet, kommunizieren kann. Zusätzlich zu dem externen Datenspeicher 4a, 4b, 4c kann das FPGA einen inneren Datenspeicher (nicht dargestellt) aufweisen, dort werden normalerweise wichtige Daten, die zum Starten und Konfigurieren des FPGA selbst notwendig sind, gespeichert. Der innere Datenspeicher ist in der Regel deutlich kleiner in der Speicherkapazität als der externe Datenspeicher 4a, 4b, 4c. Die FPGA-Technologie bietet eine Flexibilität und die notwendigen Funktionen für eine Prototypenerstellung. Ein FPGA kann auch eine Hardwareparallelität nutzen, wobei eine partielle dynamische Rekonfiguration (PDR) möglich ist. Die Steuerung der PDR kann z. B. mittels in einer kleinen Bibliothek abgelegter und vorprogrammierter Hardwarekonfigurationen erfolgen. Je nach Anforderung eines Prozesses wird dann die entsprechende Hardwarekonfiguration in das Steuergerät geladen.
  • Die Fehlerlokalisationseinheit 1 kann Fehler in einen internen Fehler im FPGA und einen externen Fehler in den Komponenten, die außerhalb des Steuergeräts bzw. des FPGA sind, unterscheiden. Zur Reduzierung des Aufwands des Geräte-Aufbaus ist es in verschiedenen Betriebszuständen, insbesondere in einem Notlaufbetrieb der Komponenten, notwendig, beim Wechsel des Betriebszustands das Steuergerät zu rekonfigurieren. Beim FPGA kann Hardwareparallelität, nämlich die so genannte PDR, angewendet werden, so dass die für Notlaufbetrieb der Komponenten notwendigen Daten auf dem externen Datenspeicher 4a, 4b, 4c gespeichert werden, und die Konfigurationsdaten für ein Notlaufmodell, in dem das FPGA zum Notlaufbetrieb der Komponenten weiter betrieben werden kann, z. B. im Steuergerät bzw. dem FPGA selber gespeichert werden können. Je nach dem Unterscheidungsergebnis wird das Steuergerät somit partiell dynamisch derart rekonfiguriert, dass bei externen Fehlern die Konfiguration des FPGA durch Kommunikation mit den für Notlaufbetrieb der Komponenten notwendigen Konfigurationsdaten aktualisiert wird, und bei internen Fehlern kann das FPGA sich auf eines der Notlaufmodelle, in denen das FPGA zum Notlaufbetrieb der Komponenten weiter betrieben werden kann, umstellen.
  • Wenn z. B. ein externer Fehler in einem Motor oder einem Motorschaltkreis auftritt, muss der Motor in einem Notlaufbetrieb weiter angesteuert werden können. Da ein Motorreglermodul oder eine Motorreglersoftware für die Ansteuerung eines Motors sehr komplex ist und einen großen Teil des FPGA belegt, wird im Fehlerfall nur ein Motornotlaufmodul oder eine Motornotlaufsoftware auf dem FPGA neu aufgeladen, anstatt das komplette Motorreglermodul oder die vollständige Motorreglersoftware auszutauschen, wobei die anderen gleichen Hardwareressourcen im FPGA auch ohne Änderungen weitergenutzt werden können.
  • Das Steuergerät weist ein Identifizierungsmittel 6 auf, das einen vom internen Fehler betroffenen Teil des FPGA identifizieren kann. Dabei wird der restliche, fehlerfreie Teil des FPGA ebenfalls identifiziert. Die neuen Rekonfigurationsdaten ersetzen dann nur die alten Daten, die im vom internen Fehler betroffenen Teil des FPGA gespeichert sind, die anderen Daten auf dem FPGA bleiben nicht beeinflusst. Durch eine Lokalisation des Fehlers im FPGA kann dann eine geeignete Kompensationsmaßnahme eingeleitet werden, z. B. die Nutzung einer Notlauffunktion, die den defekten Teil des FPGA nicht benutzt.
  • Das Steuergerät weist in diesem Beispiel zwei Fehlerpräventionseinheiten 3 auf, die jeweils über eine Schnittstelle 7a, 7b mit dem FPGA kommunizierbar sind. Die Fehlerpräventionseinheiten 3 können das FPGA je nach unterschiedlichen internen Fehlern auf ein entsprechendes Notlaufmodell umstellen, z. B. bei Übertemperatur auf ein Notlaufmodell für kritische Verlustleistung 5b oder bei Unterspannung auf ein Notlaufmodell für großen Stromverbrauch 5c. Für einen Notlaufbetrieb oder die dementsprechende Rekonfiguration werden dann nur notwendige Konfigurationsdaten oder ein entsprechendes Notlaufmodell ausgewählt. Dadurch ist ein Wechsel auf eine richtige Konfiguration mit minimierter Verlustleistung optimiert.
  • Die Erfindung ist nicht auf das dargestellte Ausführungsbeispiel beschränkt. Wie bereits erwähnt, können zwei oder mehrere Steuergeräte für ein Fahrzeugbordnetz ausgebildet werden, wobei die Steuergeräte untereinander zur Kommunikation mittels elektrischen Datenbusses vernetzt werden können.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • EP 1303913 B1 [0004]
    • EP 1854022 B1 [0005]

Claims (11)

  1. Steuergerät mit mindestens einem feldprogrammierbaren Gatterarray (5a, 5b, 5c) zur Steuerung von Komponenten eines Kraftfahrzeugs, dadurch gekennzeichnet, dass das Steuergerät mindestens eine Fehlerlokalisationseinheit (1) umfasst, die mit mindestens einem externen Datenspeicher (4a, 4b, 4c) außerhalb des feldprogrammierbaren Gatterarrays (5a, 5b, 5c) kommunizierbar verbunden ist und Fehler in einen internen Fehler im feldprogrammierbaren Gatterarray (5a, 5b, 5c) und einen externen Fehler in den Komponenten unterscheidet, je nach dem Unterscheidungsergebnis das Steuergerät derart rekonfigurierbar ist, dass bei externen Fehlern die Konfiguration des feldprogrammierbaren Gatterarrays (5a, 5b, 5c) durch Kommunikation mit Daten aktualisiert wird, die für einen Notlaufbetrieb der Komponenten notwendig und auf dem externen Datenspeicher (4a, 4b, 4c, 4d) gespeichert sind, und bei internen Fehlern das feldprogrammierbare Gatterarray (5a, 5b, 5c) sich auf ein Notlaufmodell umstellt, in dem das feldprogrammierbare Gatterarray (5a, 5b, 5c) zum Notlaufbetrieben der Komponenten weiter betrieben werden kann.
  2. Steuergerät nach Anspruch 1, dadurch gekennzeichnet, dass mindestens zwei Notlaufmodelle für das feldprogrammierbare Gatterarray (5a, 5b, 5c) vorgesehen sind.
  3. Steuergerät nach Anspruch 2, dadurch gekennzeichnet, dass das Steuergerät zumindest eine Fehlerpräventionseinheit (3) aufweist, die das feldprogrammierbare Gatterarray (5a, 5b, 5c) je nach unterschiedlichen internen Fehlern auf ein entsprechendes der Notlaufmodelle umstellt.
  4. Steuergerät nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass das Steuergerät mindestens ein Identifizierungsmittel (6) aufweist, wobei das Identifizierungsmittel (6) einen von dem internen Fehler betroffenen Teil des feldprogrammierbaren Gatterarrays (5a, 5b, 5c) identifiziert.
  5. Steuergerät nach Anspruch 4, dadurch gekennzeichnet, dass das Notlaufmodell derart bereitstellbar ist, dass das feldprogrammierbare Gatterarrays (5a, 5b, 5c) mit dessen restlichem Teil in diesem Notlaufmodell die Komponenten steuern kann.
  6. System mit mindestens zwei Steuergeräten nach einem der Ansprüche 1 bis 5 für ein Fahrzeugbordnetz, wobei die Steuergeräte untereinander zur Kommunikation mittels elektrischen Datenbusses vernetzt sind.
  7. Verfahren zum Notlaufbetrieb von Komponenten in einem Kraftfahrzeug mittels eines feldprogrammierbaren Gatterarrays (5a, 5b, 5c), dadurch gekennzeichnet, dass Fehler als ein interner Fehler im feldprogrammierbaren Gatterarray (5a, 5b, 5c) und ein externer Fehler in den Komponenten unterscheidend ermittelt werden, je nach dem Ermittlungsergebnis das feldprogrammierbare Gatterarray (5a, 5b, 5c) derart rekonfiguriert wird, dass die Konfiguration des feldprogrammierbaren Gatterarrays (5a, 5b, 5c) bei externen Fehlern durch Kommunikation mit Daten aktualisiert wird, die für Notlaufbetrieb der Komponenten notwendig sind und außerhalb des feldprogrammierbaren Gatterarrays (5a, 5b, 5c) gespeichert werden, und das feldprogrammierbare Gatterarray (5a, 5b, 5c) bei internen Fehlern auf ein Notlaufmodell umstellt wird, in dem das feldprogrammierbare Gatterarray (5a, 5b, 5c) zum Notlaufbetrieben der Komponenten weiter betrieben werden kann.
  8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass mindestens zwei Notlaufmodelle für das feldprogrammierbare Gatterarray (5a, 5b, 5c) vorgesehen werden.
  9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass mindestens eine Fehlerpräventionseinheit (3) vorgesehen wird, wodurch das feldprogrammierbare Gatterarray (5a, 5b, 5c) je nach unterschiedlichen internen Fehlern auf ein entsprechendes der Notlaufmodelle umgestellt wird.
  10. Verfahren nach einem der Ansprüche 7 bis 9, dadurch gekennzeichnet, dass mindestens ein Identifizierungsmittel (6) zur Identifizierung eines von dem internen Fehler betroffenen Teils des feldprogrammierbaren Gatterarrays (5a, 5b, 5c) vorgesehen wird.
  11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass das Notlaufmodell derart bereitgestellt wird, dass in diesem Notlaufmodell das feldprogrammierbare Gatterarray (5a, 5b, 5c) mit seinem restlichen Teil die Komponenten steuern kann.
DE201110107550 2011-07-16 2011-07-16 Notlaufbetrieb von Komponenten in einem Kraftfahrzeug Withdrawn DE102011107550A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE201110107550 DE102011107550A1 (de) 2011-07-16 2011-07-16 Notlaufbetrieb von Komponenten in einem Kraftfahrzeug

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE201110107550 DE102011107550A1 (de) 2011-07-16 2011-07-16 Notlaufbetrieb von Komponenten in einem Kraftfahrzeug

Publications (1)

Publication Number Publication Date
DE102011107550A1 true DE102011107550A1 (de) 2013-01-17

Family

ID=47425624

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201110107550 Withdrawn DE102011107550A1 (de) 2011-07-16 2011-07-16 Notlaufbetrieb von Komponenten in einem Kraftfahrzeug

Country Status (1)

Country Link
DE (1) DE102011107550A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017016699A1 (de) * 2015-07-24 2017-02-02 Siemens Aktiengesellschaft Verfahren zum betreiben einer automatisierungskomponente
DE102020215565A1 (de) 2020-12-09 2022-06-09 Zf Friedrichshafen Ag Verfahren zum Überführen eines Fahrzeugs in einen sicheren Zustand

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1854022B1 (de) 2005-03-04 2008-12-10 Daimler AG Steuergerät mit konfigurierbaren hardwaremodulen
EP1303913B1 (de) 2000-07-25 2009-03-25 Xilinx, Inc. Architektur und verfahren zur teilrekonfiguration eines nutzerprogrammierbaren gatterfelds

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1303913B1 (de) 2000-07-25 2009-03-25 Xilinx, Inc. Architektur und verfahren zur teilrekonfiguration eines nutzerprogrammierbaren gatterfelds
EP1854022B1 (de) 2005-03-04 2008-12-10 Daimler AG Steuergerät mit konfigurierbaren hardwaremodulen

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017016699A1 (de) * 2015-07-24 2017-02-02 Siemens Aktiengesellschaft Verfahren zum betreiben einer automatisierungskomponente
US20180373214A1 (en) * 2015-07-24 2018-12-27 Siemens Aktiengesellschaft Method for operating an automation component
EP3286613B1 (de) 2015-07-24 2019-11-27 Siemens Aktiengesellschaft Verfahren und vorrichtung zum betreiben einer automatisierungskomponente
US10761502B2 (en) 2015-07-24 2020-09-01 Siemens Aktiengesellschaft Method for operating an automation component
DE102020215565A1 (de) 2020-12-09 2022-06-09 Zf Friedrichshafen Ag Verfahren zum Überführen eines Fahrzeugs in einen sicheren Zustand

Similar Documents

Publication Publication Date Title
EP1597643B1 (de) Vorrichtung und verfahren zur modellbasierten on-board-diagnose
DE19716197A1 (de) Mikroprozessorsystem für sicherheitskritische Regelungen
DE19647394A1 (de) Verteiltes Steuersystem für eine schwere Baumaschine
DE102015003194A1 (de) Verfahren und Vorrichtung zum Handhaben von sicherheitskritischen Fehlern
EP0685086B1 (de) Einrichtung zur automatischen erzeugung einer wissensbasis für ein diagnose-expertensystem
DE102005015664A1 (de) Diagnosesystem zur Bestimmung einer gewichteten Liste möglicherweise fehlerhafter Komponenten aus Fahrzeugdaten und Kundenangaben
DE202012013193U1 (de) Vorrichtung für eine sicherheitskritische Anwendung
EP2422244A1 (de) Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage
DE102013113296A1 (de) Redundante Rechenarchitektur
DE102011102888B4 (de) Konfigurierbare Testreihe
DE102015108359A1 (de) Verfahren und Vorrichtung zur automatischen Validierung von Sicherheitsfunktionen an einem modular aufgebauten Sicherheitssystem
DE102008009652A1 (de) Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor
EP3400452B1 (de) Transporteinheit mit zumindest einer anlage
DE102010039021B4 (de) Verfahren zur Rekonfiguration von Softwareparametern in einem Mikrocontroller sowie Mikrocontroller und Steuergerät
DE102011107550A1 (de) Notlaufbetrieb von Komponenten in einem Kraftfahrzeug
DE60312041T2 (de) Tcet-expander
EP2842398B1 (de) Verfahren zur umkonfiguration von komponenten und komponente
EP2786162B1 (de) Verfahren zum feststellen eines fehlers in verbindungleitungen zwischen einer zentraleinheit und einer mehrzahl von voreinander unabhängigen elektronischen baueinheiten
DE10321229B4 (de) Gegenkontrollierende Prozessoren für Antriebsstrangsteuerungssysteme, die eine dedizierte serielle Datenleitung verwenden
DE102011007467A1 (de) Mehrkernige integrierte Mikroprozessorschaltung mit Prüfeinrichtung, Prüfverfahren und Verwendung
DE102014002593A1 (de) Dynamisches speicherprogrammierbares Steuergerät
DE102015203250A1 (de) Sicherheitsvorrichtung und Verfahren zum Überführen eines Aktorsystems in einen sicheren Zustand, Aktorsystem und Verfahren zum Betreiben eines Aktorsystems
DE102011105617A1 (de) Kraftfahrzeug mit einer Vielzahl von Betriebskomponenten
DE102019104246A1 (de) System und Verfahren zur Überwachung von Halbleiter-Bauteilen eines Fahrzeugs
DE102018212353A1 (de) Vorrichtung zur Energieversorgung, insbesondere eines Kraftfahrzeugs mit automatisierter Fahrfunktion

Legal Events

Date Code Title Description
R163 Identified publications notified
R163 Identified publications notified

Effective date: 20140922

R012 Request for examination validly filed
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee