DE102012200184A1 - Sicherer Betrieb eines Kraftfahrzeugs - Google Patents

Sicherer Betrieb eines Kraftfahrzeugs Download PDF

Info

Publication number
DE102012200184A1
DE102012200184A1 DE102012200184A DE102012200184A DE102012200184A1 DE 102012200184 A1 DE102012200184 A1 DE 102012200184A1 DE 102012200184 A DE102012200184 A DE 102012200184A DE 102012200184 A DE102012200184 A DE 102012200184A DE 102012200184 A1 DE102012200184 A1 DE 102012200184A1
Authority
DE
Germany
Prior art keywords
motor vehicle
electronic control
control device
procedure
malfunction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102012200184A
Other languages
English (en)
Inventor
Armin Koehler
Stefan Nordbruch
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102012200184A priority Critical patent/DE102012200184A1/de
Priority to CN201310130109.2A priority patent/CN103253273B/zh
Priority to US13/737,056 priority patent/US9031713B2/en
Priority to FR1350176A priority patent/FR2985580B1/fr
Publication of DE102012200184A1 publication Critical patent/DE102012200184A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0062Adapting control system settings
    • B60W2050/0075Automatic parameter input, automatic initialising or calibrating means
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0295Inhibiting action of specific actuators or systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2556/00Input parameters relating to data
    • B60W2556/45External transmission of data to or from the vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Transportation (AREA)
  • Human Computer Interaction (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)
  • Safety Devices In Control Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Small-Scale Networks (AREA)

Abstract

Ein Verfahren zum Betreiben eines Kraftfahrzeugs aus einer Vielzahl von Kraftfahrzeugen umfasst Schritte des Bestimmens, durch eine zentrale Stelle, dass in der Vielzahl von Kraftfahrzeugen eine systematische Fehlfunktion vorliegt, des Bereitstellens einer Kommunikationsverbindung zwischen der zentralen Stelle und dem Kraftfahrzeug und des Verbringens wenigstens einer elektronischen Steuereinrichtung des Kraftfahrzeugs in einen sicheren Betriebsmodus, um die Betriebssicherheit des Kraftfahrzeugs zu gewährleisten.

Description

  • Die Erfindung betrifft ein Verfahren und eine Vorrichtung zum sicheren Betrieb eines Kraftfahrzeugs. Insbesondere betrifft die Erfindung ein Verfahren zur Steuerung einer elektronischen Steuereinrichtung an Bord des Kraftfahrzeugs und die elektronische Steuereinrichtung.
  • Stand der Technik
  • In einem Kraftfahrzeug sind mehrere elektronische Steuereinrichtungen (Electronic Control Unit, ECU) verbaut und untereinander verbunden. Für die Verbindungen können Punkt zu Punkt Verbindungen oder ein BUS verwendet werden. Die elektronischen Steuereinrichtungen tauschen Nachrichten miteinander aus, um im Verbund eine verbesserte Funktion bereitzustellen. Beispielsweise können zwei elektronische Steuereinrichtungen in Form eines Antiblockiersystems und eines Navigationssystems vorgesehen sein, wobei die Geschwindigkeit des Kraftfahrzeugs durch das Antiblockiersystem bestimmt und anschließend dem Navigationssystem bereitgestellt wird, um diesem eine verbesserte Zielführung auf einer vorbestimmten Route zu ermöglichen.
  • Besteht ein Fehler im Bereich einer der elektronischen Steuereinrichtungen, so können die anderen elektronischen Steuereinrichtungen in ihrem Betrieb ebenfalls eingeschränkt sein. Dabei ist es oft problematischer, wenn die erste elektronische Steuereinrichtung falsche Informationen bereitstellt, als wenn die Informationen vollständig ausbleiben. Bestimmt die erste elektronische Steuereinrichtung einen nicht behebbaren Fehler an sich selbst, so kann sie sich in einen sicheren Betriebszustand versetzen, in dem sie die ihr zugedachte Funktion zumindest teilweise erfüllt. Im Fall eines Motorsteuergeräts kann so beispielsweise ein Notbetrieb bei einer geringen Fahrzeuggeschwindigkeit ermöglicht sein.
  • Die anderen elektronischen Steuereinrichtungen können darauf reagieren, indem sie sich ebenfalls in sichere Betriebsmodi verbringen, in denen sie ihre Aufgaben jeweils mit einem geringeren Ausfallrisiko, jedoch gegebenenfalls nur zum Teil erfüllen. Ein Datenbus, der die elektronischen Steuereinrichtungen miteinander verbindet, kann hierzu in Teilnetze unterteilt werden, so dass nicht vollständig funktionierende elektronische Steuereinrichtungen von den anderen getrennt werden können.
  • Diese Vorgehensweise ist jedoch beschränkt auf Fehler, die im laufenden Betrieb des Kraftfahrzeugs auftreten und durch die elektronischen Steuereinrichtungen selbst bzw. gegenseitig erkannt werden können. Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und eine Vorrichtung zur proaktiven Behandlung einer Fehlfunktion einer elektronischen Steuereinrichtung an Bord eines Kraftfahrzeugs bereitzustellen. Die Erfindung löst diese Aufgabe mittels eines Verfahrens mit den Merkmalen des Anspruchs 1 und einer Steuereinrichtung mit den Merkmalen von Anspruch 9. Unteransprüche geben bevorzugte Ausführungsformen wieder.
  • Offenbarung der Erfindung
  • Ein erfindungsgemäßes Verfahren zum Betreiben eines Kraftfahrzeugs aus einer Vielzahl von Kraftfahrzeugen umfasst Schritte des Bestimmens, durch eine zentrale Stelle, dass in der Vielzahl von Kraftfahrzeugen eine systematische Fehlfunktion vorliegt, des Bereitstellens einer Kommunikationsverbindung zwischen der zentralen Stelle und dem Kraftfahrzeug und des Verbringens wenigstens einer elektronischen Steuereinrichtung des Kraftfahrzeugs in einen sicheren Betriebsmodus, um die Betriebssicherheit des Kraftfahrzeugs zu gewährleisten.
  • So kann eine Fehlfunktion, die beispielsweise aufgrund einer fehlerhaften Programmierung der elektronischen Steuereinrichtung an Bord des Kraftfahrzeugs angelegt ist, behoben bzw. vermieden werden. Erfindungsgemäß kann das Kraftfahrzeug so betrieben werden, dass die Fehlfunktion erst gar nicht auftritt. Eine Betriebssicherheit des Kraftfahrzeugs kann dadurch erhöht sein. Durch entsprechend häufiges Anwenden des Verfahrens kann eine ganze Serie von Kraftfahrzeugen, die vergleichbare elektronische Steuereinrichtungen umfassen, in der selben Weise betrieben werden. Eine allgemeine Verkehrssicherheit kann dadurch gesteigert sein. Eine Notwendigkeit, die einzelnen Kraftfahrzeuge einer Wartung zu unterziehen, kann zeitlich entzerrt sein.
  • In einer bevorzugten Ausführungsform werden mehrere miteinander verbundene elektronische Steuereinrichtungen eines Kraftfahrzeugs in einen sicheren Betriebszustand verbracht, um ein Zusammenspiel der elektronischen Steuereinrichtungen zu gewährleisten. Hierzu kann insbesondere ein Teilnetzbetrieb eines die elektronischen Steuereinrichtungen miteinander verbindenden Kommunikationsnetzes verwendet werden. Elektronische Steuereinrichtungen, die durch die Fehlfunktion nicht beeinträchtigt sind, können auf diese Weise von einer defekten Komponente isoliert werden. Gleichzeitig können die elektronischen Steuereinrichtungen, die durch die Fehlfunktion beeinträchtigt sind, so betrieben werden, dass ein Folgefehler bzw. ein Folgeschaden vermieden werden.
  • In einer anderen Variante umfasst der sichere Betriebsmodus eine teilweise Einschränkung der Funktionalität der elektronischen Steuereinrichtung. Dies kann insbesondere dann sinnvoll sein, wenn die elektronische Steuereinrichtung eine Sicherheitsfunktion des Kraftfahrzeugs steuert, beispielsweise eine Antiblockierfunktion der Bremsen, die auch bei eingeschränkter Funktionalität noch positiv für die Betriebssicherheit des Kraftfahrzeugs wirken kann. Trotz der Aufrechterhaltung einer eingeschränkten Funktionalität kann das Auftreten der Fehlfunktion vermieden werden.
  • In einer Variante umfasst der sichere Betriebsmodus eine Deaktivierung der elektronischen Steuereinrichtung. Dies ist insbesondere dann vorteilhaft, wenn die durch die elektronische Steuereinrichtung implementierte Funktion eine Komfortfunktion ist, die ein Fahrer des Kraftfahrzeugs auch selbst übernehmen kann, etwa eine Temperatursteuerung des Innenraums. Ein undefinierter oder für den Fahrer unverständlicher Betriebszustand des Kraftfahrzeugs bzw. der elektronischen Steuereinrichtung können so vermieden werden.
  • In einer Ausführungsform wird die elektronische Steuereinrichtung nur dann in den sicheren Betriebsmodus verbracht, nachdem bestimmt wurde, dass die Fehlfunktion in dem verbundenen Kraftfahrzeug auftritt. Dazu kann insbesondere bestimmt werden, ob die Randbedingungen, unter denen die Fehlfunktion nicht nur potentiell sondern tatsächlich auftritt, in dem vorliegenden Kraftfahrzeug erfüllt sein können. Besteht die Fehlfunktion an der elektronischen Steuereinrichtung, ohne dass diese jedoch in dem vorliegenden Kraftfahrzeug zu einer fehlerhaften Beeinflussung von Komponenten des Kraftfahrzeugs führen kann, so kann der sichere Betriebszustand für die elektronische Steuereinrichtung vermieden werden. Ein irrtümliches bzw. vorschnelles Verbringen der elektronischen Steuereinrichtung in den sicheren Betriebszustand kann so vermieden sein.
  • In einer Ausführungsform wird überprüft, dass sich das Kraftfahrzeug im Stillstand befindet, bevor die elektronische Steuereinrichtung in den sicheren Betriebsmodus versetzt wird. In einer Variante muss sich das Kraftfahrzeug auch während des oben beschriebenen Überprüfens, ob die Fehlfunktion in dem vorliegenden Kraftfahrzeug auftritt, im Stillstand befinden. Ein undefinierter Betriebszustand oder eine für den Fahrer des Kraftfahrzeugs unklare Situation in der Bedienung bzw. beim Führen des Kraftfahrzeugs können so vermieden werden.
  • In einer Ausführungsform werden Änderungen, die an der elektronischen Steuereinrichtung durchgeführt wurden, an die zentrale Stelle übermittelt. So können Erkenntnisse der Änderungen an einer Vielzahl von Kraftfahrzeugen gemeinsam ausgewertet werden. Daraus können Erkenntnisse über spätere Änderungen an elektronischen Steuereinrichtungen in Kraftfahrzeugen gewonnen werden, wodurch unnötige oder fehlerhafte Änderungen vermieden werden können.
  • Ein Computerprogrammprodukt umfasst Programmcodemittel zur Durchführung des beschriebenen Verfahrens, wenn das Computerprogrammprodukt auf einer Verarbeitungseinrichtung abläuft oder auf einem computerlesbaren Datenträger gespeichert ist.
  • Eine erfindungsgemäße elektronische Steuereinrichtung an Bord eines Kraftfahrzeugs aus einer Vielzahl von Kraftfahrzeugen umfasst eine Schnittstelle für eine Kommunikationsverbindung zu einer zentralen Stelle und ist dazu eingerichtet, in einen sicheren Betriebsmodus verbracht zu werden, um die Betriebssicherheit des Kraftfahrzeugs zu gewährleisten, nachdem durch die zentrale Stelle bestimmt wurde, dass in der Vielzahl von Kraftfahrzeugen eine systematische Fehlfunktion vorliegt.
  • Insbesondere kann die Steuereinrichtung dazu eingerichtet sein, auch andere elektronische Steuereinrichtungen in einen sicheren Betriebsmodus zu verbringen und gegebenenfalls ein Kommunikationsnetz zwischen den elektronischen Steuereinrichtungen in mehrere Teilnetze zu unterteilen, um vollständig betriebsfähige elektronische Steuereinrichtungen von nur teilweise betriebsfähigen elektronischen Steuereinrichtungen zu trennen.
  • Bevorzugterweise ist die zentrale Stelle ortsfest und die Kommunikationsverbindung umfasst ein drahtloses Segment. Die Kommunikationsverbindung kann bei Bedarf oder zeitgesteuert zur zentralen Stelle aufgebaut werden, um festzustellen, ob die systematische Fehlfunktion in der Vielzahl von Kraftfahrzeugen bestimmt wurde. Die proaktive Behandlung der Fehlfunktion an Bord des Kraftfahrzeugs kann somit leichter und mit verringerter Zeitverzögerung durchgeführt werden.
  • Kurzbeschreibung der Figuren
  • Die Erfindung wird nun mit Bezug auf die beigefügten Figuren genauer beschrieben, in denen:
  • 1 ein System zum sicheren Betrieb von Kraftfahrzeugen; und
  • 2 ein Ablaufdiagramm eines Verfahrens zum sicheren Betreiben eines Kraftfahrzeugs darstellt.
  • Genaue Beschreibung von Ausführungsbeispielen
  • 1 zeigt ein System 100 zum sicheren Betrieb von Kraftfahrzeugen. Das System 100 umfasst eine zentrale Stelle 105 und ein Kraftfahrzeug 110, das eines von einer Vielzahl gleichartiger Kraftfahrzeuge 115 ist. Eine Kommunikation zwischen der zentralen Stelle 105 und dem Kraftfahrzeug 110 erfolgt mittels einer ortsfesten Kommunikationsverbindung 120 zu einer Funkstation 122, und von dort mittels einer drahtlosen Kommunikationsverbindung 125 zum Kraftfahrzeug 110. Optional sind mit der zentralen Stelle 105 eine Anzahl Zulieferer 130 verbunden, die jeweils für eines oder mehrere Teilsysteme an Bord des Kraftfahrzeugs 110 verantwortlich sind.
  • Die zentrale Stelle 105 kann eine Datenverarbeitungsanlage sein, die insbesondere eine Datenbank zur Ablage von Daten von einzelnen Kraftfahrzeugen 110 bzw. Serien 115 von Kraftfahrzeugen umfasst. Die zentrale Stelle kann, im Sinne eines Cloud Based Service auch durch eine Vielzahl verteilter Datenverarbeitungseinrichtungen erbracht werden, die miteinander in Datenverbindung stehen.
  • An Bord des Kraftfahrzeugs 110 sind eine elektronische Steuereinrichtung 135 sowie eine oder mehrere weitere elektronische Steuereinrichtungen 140 angeordnet. Die Steuereinrichtungen 135, 140 sind mittels eines Bordnetzes 142 miteinander verbunden. Die Verbindung kann vollständig oder teilweise sein und Punkt-zu-Punkt Verbindungen oder einen Datenbus umfassen. Die elektronische Steuereinrichtung 135 ist mit einer Schnittstelle 145 ausgestattet, die mit einer Antenne 150 verbunden ist. Die Antenne 150 und die Funkstation 122 stellen Endpunkte der drahtlosen Kommunikationsverbindung 125 dar.
  • Die Kraftfahrzeuge 115 sind in dem Sinne gleichartig, als dass sie gleiche oder zumindest ähnliche elektronische Steuereinrichtungen 135, 140 umfassen, die gleiche bzw. ähnliche Funktionen an Bord des jeweiligen Kraftfahrzeuges 110 erfüllen. Liegt eine systematische Fehlfunktion beispielsweise in der elektronischen Steuereinrichtung 135 eines ersten Kraftfahrzeugs 110 vor, so liegt die selbe Fehlfunktion in der korrespondierenden elektronischen Steuereinrichtung 135 eines zweiten Kraftfahrzeugs ebenfalls vor, da beide elektronischen Steuereinrichtungen 135 einander entsprechende Funktionen erfüllen, die durch den systematischen Fehler betroffen sind.
  • Andererseits können sich die beiden Kraftfahrzeuge 110 beispielsweise bezüglich einer Ausstattung, einer Motorisierung, einer Freischaltung von Funktionen oder bezüglich der weiteren elektronischen Steuereinrichtungen 140 so voneinander unterscheiden, dass die systematische Fehlfunktion nicht in jedem der Kraftfahrzeuge 110 auftritt. Die Fehlfunktion kann beispielsweise an eine bestimmte Fahrzeuggeschwindigkeit gebunden sein, die mit einem der Kraftfahrzeuge aufgrund seiner Motorisierung nicht erreicht werden kann.
  • Die systematische Fehlfunktion der elektronischen Steuereinrichtung 135 ist dadurch gekennzeichnet, dass die elektronische Steuereinrichtung 135 zwar so funktioniert, wie sie hergestellt und gegebenenfalls programmiert wurde, jedoch unter vorbestimmten Randbedingungen oder bei bestimmten Parametern zu einer Funktion führen, die der Erfüllung der ursprünglichen Aufgabe der elektronischen Steuereinrichtung 135 nicht dienlich ist oder einen nicht beabsichtigten Seiteneffekt bewirkt. Eine solche Fehlfunktion kann beispielsweise ein fehlender Schutz gegen inkohärente Messdaten, eine undefinierte Funktionalität bei einer bestimmten Bedienung, etwa durch einen Fahrer eines der Kraftfahrzeuge 110, oder eine versäumte Anpassung an ein geändertes Verhalten einer der weiteren elektronischen Steuereinrichtungen 140 umfassen.
  • In einer Ausführungsform sind die Zulieferer 130 Hersteller, Projektverantwortliche oder sonstige Einflussnehmer auf die Funktionalität einzelner elektronischer Steuereinrichtungen 135, 140. Beispielsweise kann die gleiche elektronische Steuereinrichtung 135, 140 von einem Zulieferer 130 hergestellt und in Kraftfahrzeugen 110 unterschiedlicher Hersteller verbaut sein, wobei unter Umständen herstellerspezifische Anpassungen der jeweiligen Steuereinrichtung 135, 140 erfolgen. Häufig kann eine systematische Fehlfunktion einer der elektronischen Steuereinrichtungen 135 durch den Zulieferer 130 bestimmt und an die zentrale Stelle 105 weitergeleitet werden. Seitens des Zulieferers 130 oder durch die zentrale Stelle 105 kann genauer bestimmt werden, unter welchen Umständen die Fehlfunktion auftritt und welche Kraftfahrzeuge 110 zu der Vielzahl gleichartiger Kraftfahrzeuge 115 gehören, bei denen die Fehlfunktion zumindest potentiell auftritt.
  • 2 zeigt ein Ablaufdiagramm eines Verfahrens 200 zum sicheren Betreiben des Kraftfahrzeugs 110 aus 1. Das Verfahren 200 wird vorteilhafterweise auf unterschiedlichen Komponenten des Systems 100 aus 1 ausgeführt. Dabei sind nicht alle im folgenden erläuterten Schritte des Verfahrens 200 erforderlich.
  • In einem ersten, optionalen Schritt 205 wird die Fehlfunktion vom Zulieferer 130 an die zentrale Stelle 105 gemeldet. Anschließend wird in einem Schritt 210 entweder seitens des Zulieferers 130 oder seitens der zentralen Stelle 105 bestimmt, welche Kraftfahrzeuge 110 zu der Vielzahl gleichartiger Kraftfahrzeuge 115 gehören, in denen die Fehlfunktion zumindest potentiell auftreten kann. Außerdem kann bestimmt werden, auf welche Weise zu überprüfen ist, ob die Fehlfunktion an Bord eines bestimmten, individuellen Kraftfahrzeugs 110 tatsächlich auftreten kann oder nicht. In einer Variante des Verfahrens 200 kann auch bestimmt werden, wie die Steuereinrichtung 135 dazu gebracht werden kann, fehlerfrei in vollem Funktionsumfang zu funktionieren, beispielsweise durch Aufspielen eines Software-Updates auf eine oder mehrere der elektronischen Steuereinrichtungen 135, 140. Idealerweise wird dabei auch gleich das Software-Update bereitgestellt.
  • Anschließend wird in einem Schritt 215 eine Kommunikation zwischen dem Kraftfahrzeug 110 und der zentralen Stelle 105 hergestellt. Die Kommunikation erfolgt vorzugsweise mittels der drahtlosen Kommunikationsverbindung 125 und optional zusätzlich mittels der ortsfesten Kommunikationsverbindung 120, falls diese vorgesehen ist. Die drahtlose Kommunikationsverbindung 125 kann beispielsweise ein drahtloses Datennetzwerk wie WLAN, LTE oder eine andere Mobilfunktechnologie umfassen. Es ist auch eine Übertragung mittels Car-to-Infrastructure (C2I) möglich. In einer anderen Ausführungsform kann die Kommunikationsverbindung 125 auch die, vorzugsweise drahtlose, Übertragung über eines oder mehrere weitere Kraftfahrzeuge 110 umfassen, was als Car-to-Car (C2C) Kommunikation bekannt ist.
  • Die Kommunikationsverbindung 120, 125 kann zeitgesteuert oder ereignisgesteuert, beispielsweise beim Starten oder Abstellen des Kraftfahrzeugs 110, initiiert durch eine der Steuereinrichtungen 135, 140 oder durch einen Fahrer des Kraftfahrzeugs 110 hergestellt werden.
  • In einem optionalen Schritt 220 wird sichergestellt, dass sich das Kraftfahrzeug 110 im Stillstand befindet. Dazu kann ein Hinweis an den Fahrer des Kraftfahrzeugs 110 ausgegeben werden, das Kraftfahrzeug 110 anzuhalten. Das Verfahren 200 kann unterbrochen werden, bis der Stillstand des Kraftfahrzeugs 110 erreicht ist.
  • In einem anschließenden Schritt 225 wird vorzugsweise eine Diagnose durchgeführt, um zu bestimmen, ob die Fehlfunktion an Bord des betroffenen Kraftfahrzeugs 110 auftreten kann. Auf diese Weise wird bestimmt, ob die Fehlfunktion, die potentiell an Bord des Kraftfahrzeugs 105 vorliegt, auch tatsächlich auftreten kann. Diese Diagnose basiert vorzugsweise auf den Erkenntnissen des Zulieferers 130 oder der zentralen Stelle 105, die oben mit Bezug auf Schritt 210 beschrieben sind. Die Diagnose kann mittels der Kommunikationsverbindung 120, 125 seitens der zentralen Stelle 105 durchgeführt werden (Ferndiagnose) oder beispielsweise als Anweisung oder Sequenz von Anweisungen zum Kraftfahrzeug 110 übermittelt werden, um dort auf einer der Steuereinrichtungen 135, 140 ausgeführt zu werden (lokale Diagnose).
  • Führt die Diagnose zu dem Ergebnis, dass der Fehler an Bord des Kraftfahrzeugs 110 nicht auftreten kann, so endet das Verfahren 200 in einem Schritt 230, in dem optional eine Meldung an den Fahrer des Kraftfahrzeugs 110 ausgegeben wird, in der der Fahrer von den durchgeführten Aktionen und deren Ergebnissen informiert wird. Gegebenenfalls kann der Fahrer dazu aufgefordert werden, eine eingehendere Problembehandlung, zu veranlassen, beispielsweise im Rahmen eines Werkstattbesuchs.
  • Wurde hingegen bestimmt, dass die Fehlfunktion auftreten kann, so wird in einem optionalen Schritt 235 bestimmt, ob eine Neukonfiguration der Steuereinrichtung 135 möglich ist. Die Neukonfiguration kann beispielsweise eine Änderung von Steuerinformationen oder das Austauschen von Programmteilen der elektronisch programmierbaren Steuereinrichtung 135 umfassen. Dazu können wieder die seitens des Zulieferers 130 bzw. der zentralen Stelle 105 gewonnenen Erkenntnisse verwendet werden. Ist die Neukonfiguration möglich, so wird sie in einem nachfolgenden Schritt 240 durchgeführt, bevor das Verfahren 200 im oben bereits beschriebenen Schritt 230 endet.
  • Ist keine Neukonfiguration möglich oder vorgesehen, so wird in einem Schritt 245 bestimmt, ob ein eingeschränkter Betrieb der Steuereinrichtung 135 möglich ist. Dies ist davon abhängig, welche Art von Funktion die elektronische Steuereinrichtung 135 ausführt und welche Art von systematischem Fehler vorliegt. Ist ein eingeschränkter Betrieb nicht möglich bzw. nicht wünschenswert, so wird die Steuereinrichtung 135 in einem Schritt 250 abgeschaltet, bevor das Verfahren 200 im Schritt 230 endet.
  • Andernfalls wird in einem Schritt 255 bestimmt, ob bzw. welche weiteren Steuergeräte 140 an Bord des Kraftfahrzeugs 140 von einem eingeschränkten Betrieb der Steuereinrichtung 135 betroffen sind. Das sind üblicherweise diejenigen weiteren Steuergeräte 140, die mit der fehlfunktionierenden Steuereinrichtung 135 Informationen austauschen.
  • In einer Ausführungsform kann an dieser Stelle, zusätzlich oder alternativ zu einer vorangehenden Durchführung, der Schritt 220 durchgeführt werden, in welchem sicher gestellt wird, dass sich das Kraftfahrzeug 110 im Stillstand befindet.
  • In einem Schritt 260 werden alle betroffenen Steuergeräte 135, 140 in einen sicheren Betriebsmodus versetzt. In Abhängigkeit der vorliegenden Fehlfunktion kann für jedes der Steuergeräte 135, 140 ein jeweils geeigneter sicherer Betriebsmodus ausgewählt sein. Dabei kann das Bordnetz 142 in Teilnetze unterteilt werden, um die nur noch eingeschränkt funktionierenden Steuereinrichtungen 135, 140 in geeigneter Weise von den restlichen Steuereinrichtungen 140 zu trennen.
  • In einem optionalen Schritt 265 werden Informationen über die an Bord des Kraftfahrzeugs 110 durchgeführten Schritte mittels der Kommunikationsverbindung 120, 125 an die zentrale Stelle 105 bzw. den Zulieferer 130 zurückgemeldet. Die Informationen können das Diagnoseergebnis des Schritts 225, die konkret an Bord des Kraftfahrzeugs 110 vorliegende Konfiguration von Steuereinrichtungen 135, 140, eine Ausstattung des Kraftfahrzeugs 110, eine Laufleistung, einen Aufenthaltsort und/oder die in Schritt 260 durchgeführte Versetzung der Steuereinrichtungen 135, 140 in sichere Betriebsmodi betreffen. Anschließend endet das Verfahren 200 im Schritt 230.

Claims (11)

  1. Verfahren (200) zum Betreiben eines Kraftfahrzeugs (110) aus einer Vielzahl (115) von Kraftfahrzeugen (110), folgende Schritte umfassend: – Bestimmen (205), durch eine zentrale Stelle (105), dass in der Vielzahl (115) von Kraftfahrzeugen (110) eine systematische Fehlfunktion vorliegt; – Bereitstellen (215) einer Kommunikationsverbindung (120, 125) zwischen der zentralen Stelle (105) und dem Kraftfahrzeug (110); – Verbringen (260) wenigstens einer elektronischen Steuereinrichtung (135, 140) des Kraftfahrzeugs (110) in einen sicheren Betriebsmodus, um die Betriebssicherheit des Kraftfahrzeugs (110) zu gewährleisten.
  2. Verfahren (200) nach einem der vorangehenden Ansprüche, wobei mehrere miteinander verbundene elektronische Steuereinrichtungen (135, 140) des Kraftfahrzeugs (110) in einen sicheren Betriebszustand verbracht werden, um ein Zusammenspiel der elektronischen Steuereinrichtungen (135, 140) zu gewährleisten.
  3. Verfahren (200) nach Anspruch 1 oder 2, wobei der sichere Betriebsmodus eine teilweise Einschränkung der Funktionalität der elektronischen Steuereinrichtung (135, 140) umfasst.
  4. Verfahren (200) nach Anspruch 1 oder 2, wobei der sichere Betriebsmodus eine Deaktivierung der elektronischen Steuereinrichtung (135, 140) umfasst.
  5. Verfahren (200) nach einem der vorangehenden Ansprüche, wobei die elektronische Steuereinrichtung (135, 140) nur dann in den sicheren Betriebsmodus verbracht wird, nachdem bestimmt wurde, dass die Fehlfunktion nicht über die Kommunikationsverbindung (120, 125) behoben werden kann.
  6. Verfahren (200) nach einem der vorangehenden Ansprüche, wobei die elektronische Steuereinrichtung (135, 140) nur dann in den sicheren Betriebsmodus verbracht wird, nachdem bestimmt wurde, dass die Fehlfunktion in dem verbundenen Kraftfahrzeug (110) auftritt.
  7. Verfahren (200) nach einem der vorangehenden Ansprüche, ferner umfassend ein Überprüfen (220), dass sich das Kraftfahrzeug (110) im Stillstand befindet, bevor die elektronische Steuereinrichtung (135, 140) in den sicheren Betriebsmodus versetzt wird.
  8. Verfahren (200) nach einem der vorangehenden Ansprüche, ferner umfassend ein Übermitteln (265) von Änderungen, die an der elektronischen Steuereinrichtung (135, 140) durchgeführt wurden, an die zentrale Stelle (105).
  9. Computerprogrammprodukt mit Programmcodemitteln zur Durchführung des Verfahrens (200) nach einem der vorangehenden Ansprüche, wenn das Computerprogrammprodukt auf einer Verarbeitungseinrichtung (135, 140) abläuft oder auf einem computerlesbaren Datenträger gespeichert ist.
  10. Elektronische Steuereinrichtung (135) an Bord eines Kraftfahrzeugs (110) aus einer Vielzahl (115) von Kraftfahrzeugen (110), umfassend: – eine Schnittstelle (145) für eine Kommunikationsverbindung (120, 125) zu einer zentralen Stelle (105); – wobei die Steuereinrichtung (135) dazu eingerichtet ist, in einen sicheren Betriebsmodus verbracht zu werden, um die Betriebssicherheit des Kraftfahrzeugs (110) zu gewährleisten, nachdem durch die zentrale Stelle (105) bestimmt wurde, dass in der Vielzahl (115) von Kraftfahrzeugen (110) eine systematische Fehlfunktion vorliegt.
  11. Steuereinrichtung (200) nach Anspruch 10, wobei die die zentrale Stelle (105) ortsfest ist und die Kommunikationsverbindung ein drahtloses Segment (125) umfasst.
DE102012200184A 2012-01-09 2012-01-09 Sicherer Betrieb eines Kraftfahrzeugs Pending DE102012200184A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102012200184A DE102012200184A1 (de) 2012-01-09 2012-01-09 Sicherer Betrieb eines Kraftfahrzeugs
CN201310130109.2A CN103253273B (zh) 2012-01-09 2013-01-08 车辆的安全运行
US13/737,056 US9031713B2 (en) 2012-01-09 2013-01-09 Safe operation of a motor vehicle
FR1350176A FR2985580B1 (fr) 2012-01-09 2013-01-09 Gestion en securite d'un vehicule

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102012200184A DE102012200184A1 (de) 2012-01-09 2012-01-09 Sicherer Betrieb eines Kraftfahrzeugs

Publications (1)

Publication Number Publication Date
DE102012200184A1 true DE102012200184A1 (de) 2013-07-11

Family

ID=48652618

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102012200184A Pending DE102012200184A1 (de) 2012-01-09 2012-01-09 Sicherer Betrieb eines Kraftfahrzeugs

Country Status (4)

Country Link
US (1) US9031713B2 (de)
CN (1) CN103253273B (de)
DE (1) DE102012200184A1 (de)
FR (1) FR2985580B1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013206746B4 (de) * 2013-04-16 2016-08-11 Ford Global Technologies, Llc Verfahren und Vorrichtung zum Modifizieren der Konfiguration eines Fahrassistenzsystems eines Kraftfahrzeuges
WO2017108407A1 (de) * 2015-12-21 2017-06-29 Bayerische Motoren Werke Aktiengesellschaft Verfahren zur modifikation safety- und/oder security-relevanter steuergeräte in einem kraftfahrzeug, und eine diesbezügliche vorrichtung
WO2018130461A1 (de) * 2017-01-10 2018-07-19 Robert Bosch Gmbh Verfahren zur fehlererkennung in einem kraftfahrzeug
DE102017215710A1 (de) * 2017-09-06 2019-03-07 Audi Ag Verfahren zum Übertragen von Software

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014130717A1 (en) * 2013-02-22 2014-08-28 Ellis Frampton Failsafe devices, including transportation vehicles
US10901415B1 (en) 2015-05-26 2021-01-26 Waymo Llc Non-passenger requests for autonomous vehicles
US9368026B1 (en) 2015-05-26 2016-06-14 Google Inc. Fallback requests for autonomous vehicles
FR3086054B1 (fr) * 2018-09-18 2020-08-28 Continental Automotive France Procede de demande d’arret en zone securisee par simulation de dysfonctionnement d’un vehicule automobile

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7877179B2 (en) * 2006-09-12 2011-01-25 GM Global Technology Operations LLC Mechanical and electrical locking coordination security strategy for an active front steer system
CN101017601A (zh) * 2006-12-08 2007-08-15 天津大学 一种用于电控车辆无线远程监控标定及故障诊断的系统
CN201359734Y (zh) * 2008-12-25 2009-12-09 万向电动汽车有限公司 车辆工况远程监控系统
US9605409B2 (en) * 2009-03-31 2017-03-28 Caterpillar Inc. System and method for operating a machine
CN201689311U (zh) * 2010-01-04 2010-12-29 北汽福田汽车股份有限公司 一种用于远程监控的车载控制器

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013206746B4 (de) * 2013-04-16 2016-08-11 Ford Global Technologies, Llc Verfahren und Vorrichtung zum Modifizieren der Konfiguration eines Fahrassistenzsystems eines Kraftfahrzeuges
WO2017108407A1 (de) * 2015-12-21 2017-06-29 Bayerische Motoren Werke Aktiengesellschaft Verfahren zur modifikation safety- und/oder security-relevanter steuergeräte in einem kraftfahrzeug, und eine diesbezügliche vorrichtung
CN108367731A (zh) * 2015-12-21 2018-08-03 宝马股份公司 监控和修改机动车中的机动车功能
CN108367731B (zh) * 2015-12-21 2020-12-29 宝马股份公司 监控和修改机动车中的机动车功能
US10875502B2 (en) 2015-12-21 2020-12-29 Bayerische Motoren Werke Aktiengesellschaft Monitoring and modifying motor vehicle functions in a motor vehicle
US11084462B2 (en) 2015-12-21 2021-08-10 Bayerische Motoren Werke Aktiengesellschaft Method for modifying safety and/or security-relevant control devices in a motor vehicle
WO2018130461A1 (de) * 2017-01-10 2018-07-19 Robert Bosch Gmbh Verfahren zur fehlererkennung in einem kraftfahrzeug
DE102017215710A1 (de) * 2017-09-06 2019-03-07 Audi Ag Verfahren zum Übertragen von Software
DE102017215710B4 (de) 2017-09-06 2023-05-25 Audi Ag Verfahren zum Übertragen von Software

Also Published As

Publication number Publication date
US20130179006A1 (en) 2013-07-11
CN103253273A (zh) 2013-08-21
FR2985580B1 (fr) 2020-02-28
CN103253273B (zh) 2017-05-17
FR2985580A1 (fr) 2013-07-12
US9031713B2 (en) 2015-05-12

Similar Documents

Publication Publication Date Title
DE102012200184A1 (de) Sicherer Betrieb eines Kraftfahrzeugs
DE102017209721B4 (de) Vorrichtung für die Steuerung eines sicherheitsrelevanten Vorganges, Verfahren zum Testen der Funktionsfähigkeit der Vorrichtung, sowie Kraftfahrzeug mit der Vorrichtung
DE102017210859A1 (de) Verfahren zur Selbstüberprüfung von Fahrfunktionen eines autonomen oder teilautonomen Fahrzeuges
EP2766235B1 (de) Fahrzeug und verfahren zum steuern eines fahrzeugs
EP3584140B1 (de) Verfahren und vorrichtung für die steuerung eines sicherheitsrelevanten vorganges, sowie fahrzeug
EP2972607B1 (de) Verfahren zur behandlung von fehlern in einem zentralen steuergerät sowie steuergerät
DE102012215343A1 (de) Verfahren zum Durchführen einer Sicherheitsfunktion eines Fahrzeugs und System zum Durchführen des Verfahrens
EP1600831B1 (de) Verfahren und Vorrichtung zur Überwachung mehrerer Steuergeräte mittels einer Frage-Antwort-Kommunikation
EP2631878A1 (de) Diagnoseverfahren und Diagnosevorrichtung für eine Fahrzeugkomponente eines Fahrzeugs
DE102014102582A1 (de) Fehlertolerantes Steuerungssystem
EP3661819B1 (de) Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium
DE102012202540A1 (de) Diagnoseverfahren und Diagnosevorrichtung für eine Fahrzeugkomponente eines Fahrzeugs
EP3385934B1 (de) Vorrichtung für die steuerung eines sicherheitsrelevanten vorganges, verfahren zum testen der funktionsfähigkeit der vorrichtung, sowie kraftfahrzeug mit der vorrichtung
DE102015222624B4 (de) Verfahren und Überwachungsvorrichtung zum Betreiben eines Kraftfahrzeugs
EP2874857A2 (de) Betrieb eines schienenfahrzeugs mittels etcs-einrichtung
DE102018220605B4 (de) Kraftfahrzeugnetzwerk und Verfahren zum Betreiben eines Kraftfahrzeugnetzwerks
DE102013225717B4 (de) Verfahren zur Modifikation einer On-Board-Diagnose eines Fahrzeugs
DE102015211587A1 (de) Steueranordnung für ein Fahrzeug
DE112018005815T5 (de) Steuereinrichtung und elektronisches Steuersystem für Fahrzeuge
DE102018222086A1 (de) Steueranordnung für ein Fahrzeug, Fahrzeug und Verfahren zum Konfigurieren eines fahrzeuginternen Systems
DE10321229B4 (de) Gegenkontrollierende Prozessoren für Antriebsstrangsteuerungssysteme, die eine dedizierte serielle Datenleitung verwenden
DE102012212680A1 (de) Verfahren und System zur fehlertoleranten Steuerung von Stellgliedern für eine begrenzte Zeit auf der Grundlage von vorberechneten Werten
DE102016117169B4 (de) System zur Energie- und/oder Datenübertragung
DE102015011310A1 (de) Verfahren und System für einen Fahrzeugstart einer Fahrzeugkolonne
DE102008016328A1 (de) Energieversorgungseinrichtung für ein Fahrzeug

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication