DE102013012497A1 - Verfahren und elektronische Schaltungsanordnung zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, Kraftfahrzeugbremssystem und Kraftfahrzeug damit sowie Verwendung einer derartigen elektronischen Schaltungsanordnung - Google Patents

Verfahren und elektronische Schaltungsanordnung zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, Kraftfahrzeugbremssystem und Kraftfahrzeug damit sowie Verwendung einer derartigen elektronischen Schaltungsanordnung Download PDF

Info

Publication number
DE102013012497A1
DE102013012497A1 DE102013012497.2A DE102013012497A DE102013012497A1 DE 102013012497 A1 DE102013012497 A1 DE 102013012497A1 DE 102013012497 A DE102013012497 A DE 102013012497A DE 102013012497 A1 DE102013012497 A1 DE 102013012497A1
Authority
DE
Germany
Prior art keywords
signal
circuit arrangement
electronic circuit
motor vehicle
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102013012497.2A
Other languages
English (en)
Inventor
Christoph Brockmann
Andreas Goers
Jann Löll
Marco Michel
Otmar Struwe
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZF CV Systems Hannover GmbH
Original Assignee
Wabco GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wabco GmbH filed Critical Wabco GmbH
Priority to DE102013012497.2A priority Critical patent/DE102013012497A1/de
Priority to US14/904,968 priority patent/US10053079B2/en
Priority to PCT/EP2014/001666 priority patent/WO2015010756A1/de
Priority to CN201480041968.7A priority patent/CN105555624B/zh
Priority to JP2016528367A priority patent/JP2016529610A/ja
Priority to EP14733999.8A priority patent/EP3024707A1/de
Priority to KR1020167003945A priority patent/KR20160037939A/ko
Publication of DE102013012497A1 publication Critical patent/DE102013012497A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T17/00Component parts, details, or accessories of power brake systems not covered by groups B60T8/00, B60T13/00 or B60T15/00, or presenting other characteristic features
    • B60T17/18Safety devices; Monitoring
    • B60T17/22Devices for monitoring or checking brake systems; Signal devices
    • B60T17/221Procedure or apparatus for checking or keeping in a correct functioning condition of brake systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T8/00Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
    • B60T8/32Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
    • B60T8/88Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
    • B60T8/885Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/413Plausibility monitoring, cross check, redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware

Landscapes

  • Engineering & Computer Science (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Regulating Braking Force (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, insbesondere einer Sicherheitssteuereinheit eines Kraftfahrzeugs, wobei von mindestens einem Sensor 4 mindestens zwei redundante Signale zur Verarbeitung der Sensorinformationen als Eingangssignale 6 einer elektronischen Schaltungsanordnung 2 zugeführt werden. Dabei wird mindestens ein Eingangssignal 6 in ein anderes Prüfsignal 16 konvertiert. Das bzw. die Eingangssignale 6 werden in der elektronischen Schaltungsanordnung 2 einem ersten Peripheriebaustein 12 eines Mikrocontrollers 10 zugeführt und das Prüfsignal 16 einem weiteren Peripheriebaustein 18 des Mikrocontrollers 10. Die Sensorinformationen der Eingangssignale 6 und des Prüfsignals 16 werden somit voneinander unabhängig in jeweils einem Peripheriebaustein 12, 18 des Mikrocontrollers 10 redundant verarbeitet. Ferner betrifft die Erfindung eine elektronische Schaltungsanordnung 2 zum Ausführen eines derartigen Verfahrens, ein Kraftfahrzeugbremssystem sowie ein Kraftfahrzeug damit und eine Verwendung einer derartigen elektronischen Schaltungsanordnung.

Description

  • Die Erfindung betrifft ein Verfahren zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, insbesondere einer Sicherheitssteuereinheit eines Kraftfahrzeugs, gemäß dem Oberbegriff von Anspruch 1 sowie eine elektronische Schaltungsanordnung zum Ausführen eines derartigen Verfahrens gemäß dem Oberbegriff von Anspruch 2. Ferner betrifft die Erfindung ein Kraftfahrzeugbremssystem und ein Kraftfahrzeug mit einer derartigen elektronischen Schaltungsanordnung sowie eine Verwendung dieser Schaltungsanordnung.
  • Elektronische Kraftfahrzeugsteuergeräte, wie beispielsweise ABS- und/oder EBS-Bremssteuergeräte, weisen vielfach redundante Signalverarbeitungssysteme auf, um für moderne sicherheitsrelevante Anwendungen geeignet zu sein. Dabei nehmen die Anforderungen an die Komponenten stetig zu. Mit der steigenden Komplexität der einzelnen Komponenten steigt jedoch auch die Möglichkeit von Fehlfunktionen. Aufgrund steigender Anforderungen an die Komponenten, z. B. Steuergeräte, werden diese nach vorgegebenen Sicherheitsvorschriften gefertigt.
  • Ein Beispiel einer blockiergeschützten Fahrzeugbremsanlage ist aus DE 32 34 637 C2 bekannt. Hier werden die Eingangsdaten zwei identisch programmierten Mikrocontrollern parallel zugeführt und dort synchron verarbeitet. Zwischendurch und am Ausgang werden die Signale verglichen. Tritt eine Abweichung der Signale voneinander auf, wird ein Abschaltsignal ausgegeben. Aufgrund eines zweiten Mikrocontrollers, der in seinem Aufbau und in seiner Programmierung mit dem ersten Mikrocontroller identisch ist, lassen sich Datenverarbeitungsfehler zumindest teilweise erkennen. Ein solches System benötigt jedoch zwei hochwertige Mikrocontroller, obwohl zur Erzeugung der eigentlichen Steuersignale ein einziger Mikrocontroller genügen würde, wodurch sich der Aufwand an Mikrocontrollern aus Sicherheitsgründen verdoppelt.
  • Um eine mögliche Fehlerquelle aufgrund eines systematischen Designfehlers oder systematischen Fertigungsfehlers des Mikrocontrollers auszuschließen, müssten außerdem beide Systeme von unabhängigen Programmierern entwickelt werden, wodurch sich der Aufwand noch weiter erhöht.
  • Der Erfindung liegt daher die Aufgabe zugrunde, ein einfaches und kostengünstiges Verfahren sowie eine elektronische Schaltungsanordnung zu schaffen, mit der sich mit der Zuverlässigkeit, die für sicherheitsrelevante Anwendungen gefordert wird, Fehlfunktionen des Systems erkennen lassen.
  • Die Erfindung löst diese Aufgabe mit den Merkmalen eines Verfahrens zur redundanten Signalverarbeitung gemäß Anspruch 1, mit einer elektronischen Schaltungsanordnung gemäß Anspruch 2, mit einem Kraftfahrzeugbremssystem gemäß Anspruch 6, mit einem Fahrzeug gemäß Anspruch 7 sowie mit einer Verwendung einer elektronischen Schaltungsanordnung gemäß Anspruch 8.
  • Zur Durchführung des erfindungsgemäßen Verfahrens zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, wie beispielsweise ein ABS- oder EBS-Steuergerät eines Kraftfahrzeugs, werden von mindestens einem Sensor mindestens zwei redundante Signale zur Verarbeitung von Sensorinformationen der Sensoren als Eingangssignale einer elektronischen Schaltungsanordnung zugeführt.
  • Bevorzugt werden die Eingangssignale von zwei unabhängigen Sensoren bereitgestellt, um Fehler bei der Erzeugung des Sensorsignals aufgrund eines fehlerhaften Sensors zu erkennen bzw. beim Ausfall eines Sensors die Funktionssicherheit des Systems zu gewähren.
  • Die Übertragungseinrichtung zur Übertragung der Sensorsignale ist ebenfalls redundant ausgebildet, um ggf. Übertragungsfehler zu erkennen. Daher stehen der elektronischen Schaltungsanordnung erfindungsgemäß mindestens zwei Sensorsignale als Eingangssignale zur Verarbeitung der Sensorinformationen zur Verfügung. Die Eingangssignale werden entweder direkt oder über eine Schutzbeschaltung gegen Überspannung einem Peripheriebaustein eines Mikrocontrollers übergeben. Bevorzugt weist der Peripheriebaustein ein Softwaremodul auf, welches derart ausgestaltet ist, um die Empfangssignale miteinander zu vergleichen. Aufgrund vorhandener Abweichungen lassen sich mögliche Fehlerquellen ermitteln und die sicherheitsrelevante Anwendung in einen sicheren Zustand überführen.
  • Die vorstehend genannten, funktional unabhängigen Pfade über die zwei redundanten Eingangssignale können jedoch gleichzeitig beeinflusst werden, falls ein systematischer Designfehler oder ein systematischer Fertigungsfehler in dem Peripheriebaustein des Mikrocontrollers vorliegt. Dieser Fehler könnte beide Eingangssignale simultan beeinflussen und zu einem zeitgleichen Ausfall bzw. zu einer Fehlfunktion des Systems führen.
  • Um das Risiko von Fehlfunktionen von sicherheitsrelevanten elektronischen Schaltungsanordnungen zu minimieren, wird erfindungsgemäß mindestens ein Eingangssignal in ein Prüfsignal konvertiert. Dazu weist die elektronische Schaltungsanordnung mindestens einen Eingangsschaltkreis auf, welcher derart ausgestaltet ist, um aus dem Eingangssignal ein Prüfsignal zu erzeugen, welches sich von dem Eingangssignal unterscheidet, jedoch die Sensorinformationen beibehält.
  • Das Prüfsignal wird ebenfalls wie auch das bzw. die Eingangssignale dem Mikrocontroller zur Verarbeitung übergeben. Da sich das Prüfsignal von dem Eingangssignal unterscheidet, sind auch die jeweiligen Peripheriebausteine unterschiedlich aufgebaut und das Prüfsignal wird in einem weiteren Peripheriebaustein unabhängig von dem Eingangssignal verarbeitet, wodurch vorteilhaft die Verarbeitungen der Sensorinformationen redundant ermöglicht wird. Da die Peripheriebausteine das gleiche Verarbeitungsziel erfüllen, lassen sich die Signale oder Daten nach der Verarbeitung vergleichen und mögliche systematische Fehler innerhalb der Peripheriebausteine erkennen.
  • Gemäß einer bevorzugten Ausführungsform der Erfindung weisen die Peripheriebausteine des Mikrocontrollers zur redundanten Signalverarbeitung voneinander verschiedene Softwaremodule mit unterschiedlichen Softwaretreibern auf. Somit können vorteilhaft Fehlfunktonen oder Ausfälle des Systems, die auf einer fehlerhaften Programmierung beruhen, vermieden werden.
  • In einer weiteren bevorzugten Ausführungsform der Erfindung ist der Eingangsschaltkreis, der das Eingangssignal in ein analoges Prüfsignal konvertiert, als ein Tiefpassfilter ausgebildet, falls das Eingangssignal ein pulsweitenmoduliertes Signal ist. Alternativ weist der Eingangsschaltkreis, welcher das Eingangssignal in ein pulsweitenmoduliertes Prüfsignal konvertiert, einen spannungsgesteuerten Oszillator (VCO) auf, falls das Eingangssignal ein analoges Spannungs- oder Stromsignal ist. Mit derartigen Eingangsschaltkreisen lassen sich vorhandene Eingangssignale besonders einfach in andere Signale konvertieren, um sie dann von zwei unabhängigen verschiedenen Peripheriebausteinen redundant verarbeiten zu können.
  • Eine weitere bevorzugte Ausführungsform der Erfindung sieht Mittel zum Erkennen von signifikanten Abweichungen zwischen den Ergebnissen der redundant verarbeiteten Sensorinformationen des Eingangssignals und des Prüfsignals vor. Bei Vorhandensein derartiger Abweichungen lassen sich vorteilhaft die von den abweichenden Daten betroffenen Regelsysteme in einen sicheren Zustand überführen. Somit können vorteilhaft Fehlentscheidungen von Systemen vermieden werden, die möglicherweise eine Gefahr für den Menschen darstellen können.
  • Die Erfindung löst o. g. Aufgabe ferner mit einem Kraftfahrzeugbremssystem, beispielsweise einem ABS- oder EBS-System, mit Mitteln zum Durchführen des erfindungsgemäßen Verfahrens und/oder mit mindestens einer erfindungsgemäßen elektronischen Schaltungsanordnung, insbesondere einer Sicherheitssteuereinheit.
  • Des Weiteren löst die Erfindung die o. g. Aufgabe mit einem Kraftfahrzeug, welches mindestens eine elektrische Schaltungsanordnung, insbesondere eine Sicherheitssteuereinheit, zur redundanten Signalverarbeitung aufweist und/oder ein Kraftfahrzeugbremssystem mit derartiger elektronischer Schaltungsanordnung und/oder Mittel zur Durchführung eines erfindungsgemäßen Verfahrens zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung.
  • Schließlich löst die Erfindung o. g. Aufgabe durch eine Verwendung einer erfindungsgemäßen elektronischen Schaltungsanordnung zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, wobei die erfindungsgemäße elektronische Schaltung zur redundanten Signalverarbeitung in einem Kraftfahrzeugbremssystem und/oder in einem Kraftfahrzeug angewendet werden kann.
  • Eine derartige Verwendung einer erfindungsgemäßen Schaltungsanordnung gewährleistet vorteilhaft die funktionale Sicherheit eines Systems, insbesondere eines Kraftfahrzeugbremssystems oder eines Kraftfahrzeugs, mit elektronischen Komponenten.
  • Weitere Ausführungsformen der Erfindung ergeben sich aus den Ansprüchen sowie aus dem anhand der Zeichnung näher erläuterten Ausführungsbeispielen. In der Zeichnung zeigt:
  • 1 ein Blockschaltbild einer elektronischen Schaltungsanordnung mit Sensorsystem und Übertragungseinrichtung.
  • 1 zeigt schematisch ein redundant arbeitendes System mit einer elektronischen Schaltungsanordnung 2, die mindestens eine Steuerfunktionalität umfasst.
  • Es ist bekannt, in elektronischen Schaltungsanordnungen, wie z. B. Steuergeräten für Kraftfahrzeugbremssysteme, Sicherheitseinrichtungen vorzusehen, mit denen auftretende Fehler im System erkannt werden können. Es können bei Erkennen eines solchen Fehlers geeignete Gegenmaßnahmen ergriffen werden und das Steuergerät abgeschaltet oder in einen Notfallmodus geschaltet werden. Zur Erkennung von Fehlern werden oftmals sicherheitsrelevante Schaltungsteile redundant, d. h. mehrfach, ausgeführt. Ein entsprechender Vergleich der Funktionen der mehrfach vorhandenen Schaltungsteile zeigt mögliche Fehler auf.
  • Daher ist in 1 ein Sensorsystem 4 mit zwei Sensoren vorgesehen, die die gleiche Messgröße unabhängig voneinander erfassen. Die Sensorinformationen der zwei Sensoren sind in zwei Empfangssignalen 6 enthalten, die über eine Übertragungseinrichtung, z. B. über zwei separate Bus-Systeme, der elektronischen Schaltungsanordnung 2 übergeben werden.
  • Die Eingangssignale 6 werden zunächst zwei Eingangsschaltkreisen 8 der elektronischen Schaltungsanordnung 2 zugeführt. Die Eingangsschaltkreise 8 dienen jedoch lediglich zum Schutz vor möglichen Überspannungen und sind daher optional anzusehen, so dass die Eingangssignale 6 einem Mikrocontroller 10 übergeben werden, insbesondere einem ersten Peripheriebaustein 12 des Mikrocontrollers 10 übergeben werden.
  • In dem in 1 dargestellten Ausführungsbeispiel handelt es sich bei den Empfangssignalen 6 um pulsweitenmodulierte Signale des Sensorsystems 4. Die Sensoren sensieren z. B. den Weg des Bremspedals und geben diesen als elektrisches Signal pulsweitenmoduliert aus.
  • Der erste Peripheriebaustein 12 ist bevorzugt eine Aufnehmen-/Vergleichen-Einheit, die Signale aufnehmen und vergleichen kann. Mit dem Vergleich der Eingangssignale 6 wird die Übertragungseinrichtung auf mögliche Fehler hin überprüft.
  • Der erste Peripheriebaustein 12 weist ferner ein erstes Softwaremodul mit zugehörigem Softwaretreiber auf, womit aus den Sensorinformationen eine Bremsanforderung ermittelt wird und eine entsprechende Freigabe der Drucksteuerung erfolgt.
  • Weist der erste Peripheriebaustein 12 jedoch einen systematischen Fehler auf, z. B. eine fehlerhafte Programmierung des ersten Softwaremoduls, kann es trotz der redundanten Übertragung der Sensorinformationen zu einer Fehlfunktion des Systems, insbesondere des Mikrocontrollers 10, führen.
  • Um derartige singuläre Fehlerursachen (Common Cause Failure – CCF), die funktional unabhängige Pfade in einem System gleichzeitig beeinflussen können, auszuschließen, wird ein Eingangssignal 6 in einem weiteren Eingangsschaltkreis 14 in ein Prüfsignal 16 konvertiert.
  • Gemäß dem Ausführungsbeispiel aus 1 handelt es sich bei dem weiteren Eingangsschaltkreis 14 um einen Tiefpass mit dem das pulsweitenmodulierte Eingangssignal 6 in ein analoges Prüfsignal 16 konvertiert wird. Das Prüfsignal 16 unterscheidet sich somit von dem Eingangssignal 6, besitzt aber weiterhin alle Sensorinformationen.
  • Zur weiteren Verarbeitung des Prüfsignals 16 wird dieses einem zweiten Peripheriebaustein 18 des Mikrocontrollers 10 übergeben. Der zweite Peripheriebaustein 18 dient der redundanten Signalverarbeitung des Mikrocontrollers 10, d. h. der erste Peripheriebaustein 12 und der zweite Peripheriebaustein 18 verfolgen das gleiche Verarbeitungsziel.
  • Da sich das Prüfsignal 16 jedoch von dem Eingangssignal 6 unterscheidet, verwendet der zweite Peripheriebaustein 18 ein vom ersten Peripheriebaustein 12 verschiedenes zweites Softwaremodul sowie einen anderen Softwaretreiber zur weiteren Verarbeitung der Sensorinformationen. Bevorzugt handelt es sich bei dem zweiten Peripheriebaustein 18 im Wesentlichen um einen Analog-Digital-Wandler mit anschließender Verarbeitung des digitalen Signals.
  • Ein anschließender Vergleich der ermittelten Bremsanforderung des ersten Peripheriebausteins 12 mit der ermittelten Bremsanforderung des zweiten Peripheriebausteins 18 ermöglicht vorteilhaft das Erkennen einer singulären Fehlerursache in einem der Peripheriebausteine 12, 18, falls das Ergebnis der redundanten Signalverarbeitung der beiden Peripheriebausteine 12, 18 signifikant voneinander abweicht.
  • Die Erfindung ist jedoch nicht auf das vorstehend beschriebene Ausführungsbeispiel beschränkt. Alternativ können statt der pulsweitenmodulierten Eingangssignale 6 auch zwei redundant übertragene analoge Strom- oder Spannungssignale als Eingangssignale 6 der elektronischen Schaltungsanordnung 2 übergeben werden. Diese analogen Strom- oder Spannungssignale repräsentieren z. B. den zu erzeugenden Bremsdruck, welcher durch die Betätigung des Bremspedals vorgegeben wird.
  • Liegen analoge Eingangssignale 6 der elektronischen Schaltungsanordnung 2 vor, werden diese in einem ersten Peripheriebaustein 12 verarbeitet mit dem Ziel der Freigabe der Drucksteuerung, falls die Empfangssignale 6 fehlerfrei übertragen wurden.
  • In dem weiteren Eingangsschaltkreis 14 wird nun aus dem analogen Eingangssignal 6 ein physikalisch anderes Prüfsignal 16 erzeugt. Beispielsweise handelt es sich bei dem Prüfsignal 16 um ein mittels eines spannungsgesteuerten Oszillators erzeugtes pulsweitenmoduliertes Signal, welches dem zweiten Peripheriebaustein 18 zur weiteren Verarbeitung übergeben wird.
  • Statt eines pulsweitenmodulierten Signals können ebenso weitere Modulationsarten, wie z. B. Pulsfrequenzmodulation, Pulsamplitudenmodulation, Pulscodemodulation oder Pulsphasenmodulation, vorgesehen sein oder auch jedwede andere Art von Modulation, wie z. B. Amplitudenmodulation, Winkelmodulation oder Frequenz/Phasenmodulation, um die Sensorsignale zu übertragen und/oder zu konvertieren.
  • Grundsätzlich ist es möglich, jedwede Art von Eingangssignalen 6 einer elektronischen Schaltungsanordnung 2 zu übergeben, wobei mindestens ein Eingangssignal in ein anderes Prüfsignal 16 konvertiert wird.
  • Um die funktionale Sicherheit des Systems, insbesondere des Kraftfahrzeugbremssystems, zu gewährleisten, wird erfindungsgemäß neben der redundanten Übertragungseinrichtung zur Absicherung einer fehlerfreien Übertragung von Sensorsignalen auch die im Mikrocontroller 10 zur Verarbeitung der Sensorsignale genutzten Soft- und Hardware auf fehlerfreie Funktion hin überprüft, indem das Eingangssignal 6 in ein anderes Prüfsignal 16 konvertiert wird und die anschließende Auswertung des Empfangssignals 6 in einem Peripheriebaustein 12 sowie die Auswertung des Prüfsignals 16 in einem unabhängigen Peripheriebaustein 18 separat erfolgen.
  • Mit Hilfe der erfindungsgemäßen Schaltungsanordnung 2 lässt sich folglich ein hohes Sicherheitsniveau des Systems erreichen. Dabei lässt sich die erfindungsgemäße Schaltungsanordnung 2 vorteilhaft mit geringem Herstellungsaufwand realisieren, da lediglich ein Mikrocontroller 10 verwendet wird.
  • Die Erfindung genügt somit der neuen ISO (International Organization for Standardization) 26262 („Road Vehicle – Functional Safety") – Norm, welche die funktionale Sicherheit eines elektrischen oder elektronischen Systems in Kraftfahrzeugen gewährleisten soll.
  • Sämtliche in der vorstehenden Beschreibung sowie in den Ansprüchen genannten Merkmale sind sowohl einzeln als auch in beliebiger Kombination mit den Merkmalen der unabhängigen Ansprüche kombinierbar. Die Offenbarung der Erfindung ist daher nicht auf die beschriebenen bzw. beanspruchten Merkmalskombinationen beschränkt. Vielmehr sind alle im Rahmen der Erfindung sinnvollen Merkmalskombinationen als offenbart zu betrachten.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 3234637 C2 [0003]
  • Zitierte Nicht-Patentliteratur
    • ISO (International Organization for Standardization) 26262 („Road Vehicle – Functional Safety”) – Norm [0042]

Claims (8)

  1. Verfahren zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, insbesondere einer Sicherheitssteuereinheit innerhalb eines Kraftfahrzeugs, wobei von mindestens einem Sensor (4) mindestens zwei redundante Signale zur Verarbeitung von Sensorinformationen als Eingangssignale (6) einer elektronischen Schaltungsanordnung (2) zugeführt werden, von denen mindestens ein Eingangssignal (6) in einem Peripheriebaustein (12) eines Mikrocontrollers (10) der elektronischen Schaltungsanordnung (2) verarbeitet wird, dadurch gekennzeichnet, dass mindestens ein Eingangssignal (6) in ein Prüfsignal (16) konvertiert wird, wobei sich das Prüfsignal (16) von dem Eingangssignal (6) unterscheidet, jedoch die Sensorinformationen beibehält, das Prüfsignal (16) einem weiteren Peripheriebaustein (18) des Mikrocontrollers (10) zur Verarbeitung der Sensorinformationen des Prüfsignals (16) zugeführt wird und die Verarbeitung der Sensorinformationen des Eingangssignals (6) in einem Peripheriebaustein (12) des Mikrocontrollers (10) und die Verarbeitung des Prüfsignals (16) in einem weiteren Peripheriebaustein (18) des Mikrocontrollers (10) voneinander unabhängig redundant durchgeführt werden.
  2. Elektronische Schaltungsanordnung, insbesondere eine Sicherheitssteuereinheit eines Kraftfahrzeugs, zur redundanten Signalverarbeitung für sicherheitsrelevante Anwendungen mit mindestens einem Mikrocontroller (10) mit mindestens einem Peripheriebaustein (12) zur Verarbeitung von mindestens einem Empfangssignal (6) mindestens eines Sensors (4), gekennzeichnet durch mindestens ein Eingangsschaltkreis (14), welcher derart ausgestaltet ist, um ein Eingangssignal (6) der Schaltungsanordnung (2) in ein Prüfsignal (16) zu konvertieren, wobei sich das Prüfsignal (16) von dem Eingangssignal (6) unterscheidet und mindestens ein weiterer Peripheriebaustein (18) des Mikrocontrollers (10), welcher derart ausgestaltet ist, um in dem Prüfsignal (16) enthaltene Sensorinformationen zu verarbeiten, wobei die Verarbeitung der Sensorinformationen des Eingangssignals (6) in einem Peripheriebaustein (12) des Mikrocontrollers (10) und die Verarbeitung des Prüfsignals (16) in einem weiteren Peripheriebaustein (18) des Mikrocontrollers (10) voneinander unabhängig redundant durchgeführt werden.
  3. Elektronische Schaltungsanordnung nach Anspruch 2, dadurch gekennzeichnet, dass die Peripheriebausteine (12, 18) des Mikrocontrollers (10) zur redundanten Signalverarbeitung voneinander verschiedene Softwaremodule mit unterschiedlichen Softwaretreibern aufweisen.
  4. Elektronische Schaltungsanordnung nach Anspruch 2 oder 3, dadurch gekennzeichnet, dass der Eingangsschaltkreis (14), welcher das Eingangssignal (6) in ein analoges Prüfsignal (16) konvertiert, ein Tiefpassfilter ist, falls das Eingangssignal (6) ein pulsweitenmoduliertes Signal ist oder der Eingangsschaltkreis (14), welcher das Eingangssignal (6) in ein pulsweitenmoduliertes Prüfsignal (16) konvertiert, einen spannungsgesteuerten Oszillator (VCO) aufweist, falls das Eingangssignal (6) ein analoges Spannungs- oder Stromsignal ist.
  5. Elektronische Schaltungsanordnung nach einem der Ansprüche 2 bis 4, dadurch gekennzeichnet, dass bei signifikanten Abweichungen zwischen dem redundant verarbeiteten Sensorinformationen des Eingangssignals (6) und des Prüfsignals (16), die von den abweichenden Daten betroffene Regelsysteme in einen sicheren Betriebsmodus überführt werden.
  6. Kraftfahrzeugbremssystem gekennzeichnet durch Mittel zum Durchführen der Schritte eines Verfahrens nach Anspruch 1 und/oder mindestens eine elektronische Schaltungsanordnung (2) nach einem der Ansprüche 2 bis 5.
  7. Kraftfahrzeug mit einer elektronischen Schaltungsanordnung (2), insbesondere einer Sicherheitssteuereinheit, nach einem der Ansprüche 2 bis 5 und/oder ein Kraftfahrzeugbremssystem nach Anspruch 6 und/oder Mittel zum Durchführen der Schritte eines Verfahrens nach Anspruch 1.
  8. Verwendung einer elektronischen Schaltungsanordnung (2) zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, dadurch gekennzeichnet, dass die elektronische Schaltungsanordnung (2) nach einem der Ansprüche 2 bis 5 ausgebildet ist oder die elektronische Schaltungsanordnung (2) zur redundanten Signalverarbeitung in einem Kraftfahrzeugbremssystem gemäß Anspruch 6 und/oder in einem Kraftfahrzeug gemäß Anspruch 7 eingesetzt wird.
DE102013012497.2A 2013-07-26 2013-07-26 Verfahren und elektronische Schaltungsanordnung zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, Kraftfahrzeugbremssystem und Kraftfahrzeug damit sowie Verwendung einer derartigen elektronischen Schaltungsanordnung Pending DE102013012497A1 (de)

Priority Applications (7)

Application Number Priority Date Filing Date Title
DE102013012497.2A DE102013012497A1 (de) 2013-07-26 2013-07-26 Verfahren und elektronische Schaltungsanordnung zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, Kraftfahrzeugbremssystem und Kraftfahrzeug damit sowie Verwendung einer derartigen elektronischen Schaltungsanordnung
US14/904,968 US10053079B2 (en) 2013-07-26 2014-06-18 Redundant signal processing of a safety-relevant application
PCT/EP2014/001666 WO2015010756A1 (de) 2013-07-26 2014-06-18 Verfahren und elektronische schaltungsanordnung zur redundanten signalverarbeitung einer sicherheitsrelevanten anwendung, kraftfahrzeugbremssystem und kraftfahrzeug damit sowie verwendung einer derartigen elektronischen schaltungsanordnung
CN201480041968.7A CN105555624B (zh) 2013-07-26 2014-06-18 冗余信号处理的方法和电子电路装置及其用途、机动车及其制动系统
JP2016528367A JP2016529610A (ja) 2013-07-26 2014-06-18 安全に関連するアプリケーションの冗長な信号処理のための方法及び電子回路装置、自動車ブレーキシステム及び自動車ブレーキシステムを有する自動車並びにこのような電子回路装置の使用
EP14733999.8A EP3024707A1 (de) 2013-07-26 2014-06-18 Verfahren und elektronische schaltungsanordnung zur redundanten signalverarbeitung einer sicherheitsrelevanten anwendung, kraftfahrzeugbremssystem und kraftfahrzeug damit sowie verwendung einer derartigen elektronischen schaltungsanordnung
KR1020167003945A KR20160037939A (ko) 2013-07-26 2014-06-18 안전-관련 적용의 리던던트 신호 처리를 위한 방법 및 전자 회로 장치, 차량 브레이크 시스템 및 이러한 차량 브레이크 시스템을 갖는 차량, 그리고 이러한 전자 회로 장치의 사용

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102013012497.2A DE102013012497A1 (de) 2013-07-26 2013-07-26 Verfahren und elektronische Schaltungsanordnung zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, Kraftfahrzeugbremssystem und Kraftfahrzeug damit sowie Verwendung einer derartigen elektronischen Schaltungsanordnung

Publications (1)

Publication Number Publication Date
DE102013012497A1 true DE102013012497A1 (de) 2015-01-29

Family

ID=51033118

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102013012497.2A Pending DE102013012497A1 (de) 2013-07-26 2013-07-26 Verfahren und elektronische Schaltungsanordnung zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, Kraftfahrzeugbremssystem und Kraftfahrzeug damit sowie Verwendung einer derartigen elektronischen Schaltungsanordnung

Country Status (7)

Country Link
US (1) US10053079B2 (de)
EP (1) EP3024707A1 (de)
JP (1) JP2016529610A (de)
KR (1) KR20160037939A (de)
CN (1) CN105555624B (de)
DE (1) DE102013012497A1 (de)
WO (1) WO2015010756A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015114211A1 (de) * 2015-08-27 2017-03-02 Endress + Hauser Gmbh + Co. Kg Sensorschaltung zum Auswerten eines Sensorsignals
DE102015217386A1 (de) * 2015-09-11 2017-03-16 Robert Bosch Gmbh Verfahren und System zum Betreiben eines Kraftfahrzeugs

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109901547B (zh) * 2017-12-11 2021-07-16 中车永济电机有限公司 一种车辆管理控制vcu柜
DE102018220065A1 (de) * 2018-11-22 2020-05-28 Robert Bosch Gmbh Betriebsverfahren für eine redundante Sensoranordnung eines Fahrzeugsystems und korrespondierende redundante Sensoranordnung
US11385632B2 (en) * 2018-12-21 2022-07-12 The Boeing Company Sensor fault detection and identification using residual failure pattern recognition
DE102019129305A1 (de) * 2019-10-30 2021-05-06 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Schaltvorrichtung für ein Bremssystem für ein Fahrzeug, Bremssystem mit einer Schaltvorrichtung und Verfahren zum Betreiben einer Schaltvorrichtung
CN114115055A (zh) * 2021-11-30 2022-03-01 重庆川仪自动化股份有限公司 用于符合电动执行机构功能安全的冗余控制系统及方法

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3234637C2 (de) 1982-09-18 1990-10-18 Alfred Teves Gmbh, 6000 Frankfurt, De
DE19716197A1 (de) * 1997-04-18 1998-10-22 Itt Mfg Enterprises Inc Mikroprozessorsystem für sicherheitskritische Regelungen
DE10056129A1 (de) * 2000-11-13 2002-05-23 Zf Lenksysteme Gmbh Steuerungssystem für ein Stellglied in einem Kraftfahrzeug
DE10162689A1 (de) * 2001-01-12 2002-07-18 Daimler Chrysler Ag Vorrichtung zur Überwachung von in einem Fahrzeug angeordneten Sensormitteln
DE10325650A1 (de) * 2003-06-06 2004-12-23 Daimlerchrysler Ag Bremsvorrichtung und -verfahren für ein Fahrzeug
DE102005005995A1 (de) * 2004-02-23 2006-06-22 Continental Teves Ag & Co. Ohg Verfahren und Vorrichtung zum Überwachen von Signalverarbeitungseinheiten für Sensoren
DE102006017302A1 (de) * 2006-04-12 2007-10-18 Siemens Ag Verfahren und System zur Kontrolle einer Signalübertragung eines elektrischen Pedals
DE102006053617A1 (de) * 2006-11-14 2008-05-15 Siemens Ag System zur Aktorsteuerung, insbesondere Bremssystem
DE102010006061A1 (de) * 2010-01-28 2011-08-18 Daimler AG, 70327 Verfahren und Vorrichtung zur Erzeugung eines Bremslichtausgangssignals einer Bremsanlage für ein Fahrzeug

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2841602B2 (ja) * 1989-12-28 1998-12-24 住友電気工業株式会社 多重系制御回路
DE4341082A1 (de) * 1993-12-02 1995-06-08 Teves Gmbh Alfred Schaltungsanordnung für sicherheitskritische Regelungssysteme
JP2008116339A (ja) * 2006-11-06 2008-05-22 Denso Corp センサ装置およびセンサ装置を備えた車両制御システム
DE102007035326A1 (de) * 2007-07-27 2009-01-29 Robert Bosch Gmbh Sensorkonzept für eine elektrisch betätigte Bremse
US8412389B2 (en) * 2008-04-21 2013-04-02 Bombardier Inc. Integrity monitoring of inertial reference unit
CN102713857B (zh) * 2010-08-03 2014-11-26 西门子公司 用于进行故障安全型硬件无关浮点运算的方法和装置
DE102011122776A1 (de) * 2011-07-21 2013-01-24 Daimler Ag Bremsanlage für ein Kraftfahrzeug
US9375250B2 (en) * 2012-04-09 2016-06-28 Covidien Lp Method for employing single fault safe redundant signals
US8868989B2 (en) * 2012-07-12 2014-10-21 Freescale Semiconductor, Inc. System for testing error detection circuits

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3234637C2 (de) 1982-09-18 1990-10-18 Alfred Teves Gmbh, 6000 Frankfurt, De
DE19716197A1 (de) * 1997-04-18 1998-10-22 Itt Mfg Enterprises Inc Mikroprozessorsystem für sicherheitskritische Regelungen
DE10056129A1 (de) * 2000-11-13 2002-05-23 Zf Lenksysteme Gmbh Steuerungssystem für ein Stellglied in einem Kraftfahrzeug
DE10162689A1 (de) * 2001-01-12 2002-07-18 Daimler Chrysler Ag Vorrichtung zur Überwachung von in einem Fahrzeug angeordneten Sensormitteln
DE10325650A1 (de) * 2003-06-06 2004-12-23 Daimlerchrysler Ag Bremsvorrichtung und -verfahren für ein Fahrzeug
DE102005005995A1 (de) * 2004-02-23 2006-06-22 Continental Teves Ag & Co. Ohg Verfahren und Vorrichtung zum Überwachen von Signalverarbeitungseinheiten für Sensoren
DE102006017302A1 (de) * 2006-04-12 2007-10-18 Siemens Ag Verfahren und System zur Kontrolle einer Signalübertragung eines elektrischen Pedals
DE102006053617A1 (de) * 2006-11-14 2008-05-15 Siemens Ag System zur Aktorsteuerung, insbesondere Bremssystem
DE102010006061A1 (de) * 2010-01-28 2011-08-18 Daimler AG, 70327 Verfahren und Vorrichtung zur Erzeugung eines Bremslichtausgangssignals einer Bremsanlage für ein Fahrzeug

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ISO (International Organization for Standardization) 26262 ("Road Vehicle - Functional Safety") - Norm

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015114211A1 (de) * 2015-08-27 2017-03-02 Endress + Hauser Gmbh + Co. Kg Sensorschaltung zum Auswerten eines Sensorsignals
DE102015217386A1 (de) * 2015-09-11 2017-03-16 Robert Bosch Gmbh Verfahren und System zum Betreiben eines Kraftfahrzeugs
FR3040959A1 (fr) * 2015-09-11 2017-03-17 Bosch Gmbh Robert Procede et systeme de gestion d'un vehicule automobile

Also Published As

Publication number Publication date
CN105555624B (zh) 2020-04-03
WO2015010756A1 (de) 2015-01-29
US20160144844A1 (en) 2016-05-26
CN105555624A (zh) 2016-05-04
JP2016529610A (ja) 2016-09-23
US10053079B2 (en) 2018-08-21
EP3024707A1 (de) 2016-06-01
KR20160037939A (ko) 2016-04-06

Similar Documents

Publication Publication Date Title
DE102013012497A1 (de) Verfahren und elektronische Schaltungsanordnung zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, Kraftfahrzeugbremssystem und Kraftfahrzeug damit sowie Verwendung einer derartigen elektronischen Schaltungsanordnung
DE102006017302B4 (de) Verfahren und System zur Kontrolle einer Signalübertragung eines elektrischen Pedals
WO2008135470A1 (de) Elektromechanisches bremssystem mit einer ausfallsicheren energieversorgung und verfahren zur ausfallsicheren energieversorgung in einem elektromechanischen bremssystem für fahrzeuge
DE102009019792A1 (de) Steuersystem zum sicheren Betreiben von mindestens einer Funktionskomponente
DE102018107452B4 (de) ISO 26262 konformes Verfahren zur Prüfung einer Bewertungsvorrichtung für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems
EP3630525B1 (de) Verfahren zum betreiben eines drehzahlsensors in einem fahrzeug, sowie sensoranordung
DE102018107449B4 (de) ISO 26262 konformes Verfahren zur Prüfung einer Bewertungsvorrichtung für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems
DE102018107448A1 (de) ISO 26262 konforme Vorrichtung zur Prüfung einer Bewertungsvorrichtung mit mehreren Bewertungsteilvorrichtungen für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems
DE102018107446A1 (de) ISO 26262 konforme Vorrichtung zur Prüfung einer Bewertungsvorrichtung mit einer Einspeisevorrichtung und mehreren Bewertungsteilvorrichtungen für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems
DE102016220197A1 (de) Verfahren zum Verarbeiten von Daten für ein automatisiertes Fahrzeug
DE10392545B4 (de) Elektronische Schaltungsanordnung zur fehlerabgesicherten Analog-/Digital-Umwandlung von Signalen
WO2008014940A1 (de) Steuergerät und verfahren zur steuerung von funktionen
DE102012206969A1 (de) Verfahren und Bedienschalter zur Steuerung einer Funktion einer Funktionseinheit eines Fahrzeuges
DE102018220605A1 (de) Kraftfahrzeugnetzwerk und Verfahren zum Betreiben eines Kraftfahrzeugnetzwerks
EP1904343B1 (de) Elektronische vorrichtung
DE102010006061A1 (de) Verfahren und Vorrichtung zur Erzeugung eines Bremslichtausgangssignals einer Bremsanlage für ein Fahrzeug
DE102007062974B4 (de) Signalverarbeitungsvorrichtung
EP1928091B1 (de) Sensoreinheit mit Sicherheitssystem
DE102016222628A1 (de) Sensoranordnung mit einem Sensor zum redundanten Erfassen einer Messgröße und ein elektrohydraulisches Bremssystem mit einer solchen Sensoranordnung
DE102016224580B3 (de) Prüfverfahren für einen Betätigungsschalter einer Funktionseinheit eines Kraftfahrzeugs
DE102010028080A1 (de) Verfahren und Vorrichtung zur Erzeugung eines Beschleunigungssignals für einen niedrigen G-Bereich
EP1911010B1 (de) Verfahren und schaltungsanordnung zur gesicherten ansteuerung von aktoren, sensoren bzw. verbrauchern in einem diese enthaltenden elektrischen gerät, insbesondere elektrischen hausgerät
DE102017218898A1 (de) Kontrollsystem für ein Batteriesystem
EP2787407A1 (de) Verfahren für einen fehlersicheren Betrieb eines netzwerksfähigen Steuerungssystems
DE102011086814A1 (de) Verfahren und Bedienschalter zur Steuerung einer Funktion einer Funktionseinheit eines Fahrzeuges

Legal Events

Date Code Title Description
R163 Identified publications notified
R012 Request for examination validly filed
R081 Change of applicant/patentee

Owner name: ZF CV SYSTEMS HANNOVER GMBH, DE

Free format text: FORMER OWNER: WABCO GMBH, 30453 HANNOVER, DE