DE102015119611A1 - Verbesserung der Diagnostizierbarkeit von Fail-operational Systemen - Google Patents

Verbesserung der Diagnostizierbarkeit von Fail-operational Systemen Download PDF

Info

Publication number
DE102015119611A1
DE102015119611A1 DE102015119611.5A DE102015119611A DE102015119611A1 DE 102015119611 A1 DE102015119611 A1 DE 102015119611A1 DE 102015119611 A DE102015119611 A DE 102015119611A DE 102015119611 A1 DE102015119611 A1 DE 102015119611A1
Authority
DE
Germany
Prior art keywords
actuator
signal
computer
main computer
activation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102015119611.5A
Other languages
English (en)
Other versions
DE102015119611B4 (de
Inventor
Michael Steindl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
AVL Software and Functions GmbH
Original Assignee
AVL Software and Functions GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by AVL Software and Functions GmbH filed Critical AVL Software and Functions GmbH
Priority to DE102015119611.5A priority Critical patent/DE102015119611B4/de
Publication of DE102015119611A1 publication Critical patent/DE102015119611A1/de
Application granted granted Critical
Publication of DE102015119611B4 publication Critical patent/DE102015119611B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24182Redundancy
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24188Redundant processors run different programs
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/40Robotics, robotics mapping to robotics vision
    • G05B2219/40208Dual redundant actuators
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Vorrichtung zur Ansteuerung von redundanten Aktuatoren, umfassend einen Hauptrechner, mittels welchem mindestens ein erster Aktuator ansteuerbar ist, mindestens einen Überwachungsrechner, welcher mit dem Hauptrechner und/oder dem ersten Aktuator zumindest signaltechnisch verbindbar ist und mittels welchem in Verbindung mit einem übergeordneten aktivierbaren Steuergerät mindestens ein redundanter zweiter Aktuator ansteuerbar ist, wobei wenn das Steuergerät aktiviert und durch den Überwachungsrechner eine Fehlfunktion des Hauptrechners und/oder des ersten Aktuators feststellbar ist, der zweite Aktuator aktivierbar ist.

Description

  • Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Ansteuerung von redundanten Aktuatoren gemäß Oberbegriff des Anspruches 1, wobei die Vorrichtung einen Hauptrechner, mittels welchem mindestens ein Aktuator ansteuerbar ist, mindestens einen Überwachungsrechner, welcher mit dem Hauptrechner und/oder dem ersten Aktuator zumindest signaltechnisch verbindbar ist und mittels welchem in Verbindung mit einem übergeordneten aktivierbaren Steuergerät mindestens ein redundanter zweiter Aktuator ansteuerbar ist.
  • Es sind aus dem Stand der Technik Sicherheitssysteme bekannt, die den aktuellen Standard der ISO 26262, einer ISO-Norm für sicherheitsrelevante elektrische und/oder elektronische Systeme in Kraftfahrzeugen, erfüllen können. Ziel hierbei ist es, das Risiko von Gefahr bringenden Fehlfunktionen von sicherheitsrelevanten Systemen zu minimieren.
  • Ein derartiges aus dem Stand der Technik bekanntes System ist das EGAS-Konzept oder 3-Ebenen-Überwachungskonzept. Hierbei wird durch eine unabhängige Überwachungshardware, insbesondere umfassend einen Überwachungsrechner, eine Fehleraktion ausgelöst, wenn ein Fehler erkannt worden ist. Bei einem Fail-operational System führt eine derartige Fehleraktion zu einer Aktivierung redundanter Elemente bzw. Aktuatoren, bei einem Fail-Safe System hingegen zu einer Deaktivierung von Elementen, beispielsweise einer Leistungsendstufe oder dergleichen.
  • Die im Stand der Technik dargestellte und beschriebene Fehlerindikation ist allerdings nicht zur Aktivierung von Redundanzen geeignet, da die Fehlererkennung in allen Betriebszuständen aktiv ist, in denen nicht alle Fehler erkannt werden können, wie beispielsweise Hochlauf, Standby, etc. In diesen Zuständen ist eine Aktivierung der Redundanzen nicht erwünscht.
  • Wurde im Fehlerfall ein redundanter Aktuator aktiviert, so muss dieser Zustand oftmals auch beim Abschalten einer Steuerung erhalten bleiben, was Einschränkungen mit sich bringt. Da der hier notwendige Zustandsspeicher unabhängig vom Hauptrechner ausgeführt werden muss, können die redundanten Elemente nicht zu Testzwecken aktiviert werden. Auch eine Heilung des Fehlers und damit eine Rückkehr in einen Normalbetrieb ist nicht möglich, da die Aktivierung dauerhaft ist und nicht mehr zurückgenommen werden kann.
  • Es ist also nicht möglich, ein Testen der redundanten Elemente durchzuführen oder, falls ein Fehler erkannt wurde, eine Fehlerheilung desselben durchzuführen.
  • Es ist demnach die Aufgabe der vorliegenden Erfindung, eine Vorrichtung und ein Verfahren für ein Fail-operational System bereitzustellen, das nur im tatsächlichen Fehlerfall aktivierbar ist bzw. aktivierbar ist. Gleichzeitig sind auch eine Erhöhung der Systemverfügbarkeit sowie eine verbesserte Diagnostizierbarkeit der redundanten Elemente gegeben.
  • Diese Aufgabe wird gelöst durch Vorrichtung zur Ansteuerung von redundanten Aktuatoren, umfassend einen Hauptrechner, mittels welchem mindestens ein erster Aktuator ansteuerbar ist, mindestens einen Überwachungsrechner, welcher mit dem Hauptrechner und/oder dem ersten Aktuator zumindest signaltechnisch verbindbar ist und mittels welchem in Verbindung mit einem übergeordneten aktivierbaren Steuergerät mindestens ein redundanter zweiter Aktuator ansteuerbar ist, wenn das Steuergerät aktiviert und durch den Überwachungsrechner eine Fehlfunktion des Hauptrechners und/oder des ersten Aktuators feststellbar ist, der zweite Aktuator aktivierbar ist.
  • Der zweite Aktuator wird also nur im Fehlerfall („ERROR“) aktiviert und nicht bei inaktiven Zuständen („OFF“, „Stand-by“, etc.).
  • Bevorzugt ist also bei einem inaktiven System, also wenn das Steuergerät inaktiv ist, die Fehlerindikation ausgeblendet.
  • Unter einem „Hauptrechner“ ist hierbei beispielsweise die zentrale Steuereinheit in einem Fahrzeug, insbesondere einem Automobil, zu verstehen. Durch diesen Hauptrechner ist es möglich, Befehle des Fahrzeugführers, die beispielsweise mittels von Schaltern oder dergleichen angezeigt werden, zu verarbeiten und den entsprechenden Aktuator zu steuern. Ein Beispiel ist etwa die Betätigung des Gaspedals durch den Fahrzeugführer, wodurch ein elektrisches Signal an den Hauptrechner übermittelt werden kann, der dann die entsprechenden Signale an die Motorsteuerung oder direkt an den Motor übermittelt.
  • Unter einem „Überwachungsrechner“ ist ähnlich zum Hauptrechner eine Steuereinheit zu verstehen, die jedoch derart mit dem Hauptrechner und/oder dem ersten Aktuator signaltechnisch in Verbindung steht, dass durch ein aus dem Stand der Technik bekannten Frage-Antwort-Verfahren durch den Überwachungsrechner eine Fehlfunktion des Hauptrechners und/oder des ersten Aktuators feststellbar ist.
  • Ein „redundanter Aktuator“ oder „zweiter Aktuator“ ist hierbei ein Element, das redundant zu dem ersten Aktuator angeordnet ist und erfindungsgemäß nur dann aktiviert wird, wenn das System aktiv ist und der Überwachungsrechner eine Fehlfunktion feststellt. Der zweite Aktuator übernimmt also in diesem Fall die Funktion des ersten Aktuators, da dieser aufgrund einer Fehlfunktion des Hauptrechners und/oder des ersten Aktuators selbst nicht funktionsfähig ist.
  • Unter einem „übergeordneten Steuergerät“ oder „Steuergerät“ ist hierbei ein Gerät zu verstehen, dass in der technischen Hierarchie über der Vorrichtung zur Ansteuerung von redundanten Aktuatoren steht. Beispielsweise handelt es sich bei dem Steuergerät um das Zündschloss eines Fahrzeugs. Ist dieses Steuergerät deaktiviert, so ist auch erfindungsgemäß der redundante Pfad deaktiviert, da in diesem es nicht notwendig ist, eine Ansteuerung eines redundanten Aktuators durchzuführen, da in diesem Betriebszustand keine Gefahr ausgeht.
  • Ist jedoch das Steuergerät, also beispielsweise das Zündschloss aktiviert, so ist das Fahrzeug in Betrieb und es könnten für den Fahrzeugführer Gefahren durch Fehlfunktionen des normalen Systems bestehend aus Hauptrechner und ersten Aktuator auftreten. Es ist also notwendig, bei einem aktivierten Fahrzeug auch die Möglichkeit der Aktivierung des redundanten Pfades umfassend den zweiten Aktuator aktivieren zu können. Es ist auch denkbar, dass durch das Steuergerät die gesamte Vorrichtung aktiviert oder deaktiviert werden kann.
  • Erfindungsgemäß ist also nur dann der redundante Pfad aktivierbar, wenn das Steuergerät aktiv ist und wenn durch den Überwachungsrechner eine Fehlfunktion des Hauptrechners und/oder des ersten Aktuators feststellbar ist, oder einfach gesagt, wenn das System aktiv ist und eine Fehlfunktion aufweist.
  • Gemäß einer besonders bevorzugten Ausführungsform ist das Steuergerät und der Überwachungsrechner zumindest signaltechnisch mit einer Verarbeitungseinheit verbindbar und jeweils mindestens ein vorbestimmbarer Signalwert des Steuergeräts und des Überwachungsrechners an die Verarbeitungseinheit übermittelbar. Durch Übermittelung dieser Signalwerte ist der zweite Aktuator aktivierbar, wenn durch das Steuergerät ein vorbestimmbarer erster Signalwert und durch den Überwachungsrechner ein vorbestimmbarer zweiter Signalwert übermittelbar ist.
  • „Signaltechnisch verbunden“ oder „signaltechnisch verbindbar“ bedeutet in diesem Zusammenhang, dass mittels einer Übertragungsleitung, vorzugsweise eine elektrische Leitung, Signale einer Vorrichtung bzw. Einheit an eine andere übermittelt werden können. Dies bedeutet natürlich, dass an den Vorrichtungen bzw. Einheiten auch entsprechende Ein- und Ausgänge vorgesehen sind, um entsprechend Signale bzw. Signalwerte auszusenden oder zu empfangen.
  • Eine „Verarbeitungseinheit“ ist eine Einheit zum Verarbeiten von empfangenen Signalwerten oder Signalen von verschiedenen Vorrichtungen bzw. Einrichtungen, beispielsweise dem Steuergerät und dem Überwachungsrechner. Besonders vorteilhaft umfasst auch die Verarbeitungseinheit entsprechende Ein- und Ausgänge zum Empfangen und Senden von Signalen. Bevorzugt umfasst die Verarbeitungseinheit mindestens eine Rechnereinheit, der als CPU oder auch GPU ausbildet sein kann.
  • Ein „Signalwert“, „vorbestimmbarer Signalwert“ oder auch „Signal“ ist eine Übermittelung von bestimmten Informationen, die von Vorrichtungen versendet und empfangen werden können.
  • Derartige vorbestimmbare Signalwerte des Steuergeräts, also ein erster Signalwert, sind dabei beispielsweise „Steuergerät aktiv“ oder „Steuergerät inaktiv“. Es ist dabei natürlich klar, dass der Signalwert „Steuergerät inaktiv“ nur einmal versendet wird, und zwar dann, wenn das Steuergerät deaktiviert wird. Ähnliches gilt für den Signalwert „Steuergerät aktiv“, der beim Aktivieren des Steuergerätes ausgeschickt wird.
  • Vorbestimmbare Signalwerte des Überwachungsrechners, also ein zweiter Signalwert, können dabei die Werte „Fehlfunktion festgestellt“ oder „keine Fehlfunktion“ sein. Hierbei kann auch noch weiter differenziert werden, beispielsweise durch Unterscheidung der festgestellten Fehlfunktion, also „Fehlfunktion des Hauptrechners festgestellt“ oder „Fehlfunktion des ersten Aktuators festgestellt“.
  • Natürlich sind auch andere Signalwerte noch denkbar, die aber im Folgenden nicht weiter betrachtet werden.
  • Gemäß einer besonders bevorzugten Ausführungsform ist durch die Aktivierung des zweiten Aktuators durch die Verarbeitungseinheit ein entsprechendes Aktivierungssignal erzeugbar. Dieses Aktivierungssignal ist hierbei mittels einer Speichereinrichtung abspeicherbar.
  • Hat also die Verarbeitungseinheit die Signale „Fehlfunktion festgestellt“ und „Steuergerät aktiv“ erhalten, so wird mittels der Verarbeitungseinheit der zweite Aktuator aktiviert. Bei Aktivierung des zweiten Aktuators wird dabei bevorzugt ein Aktivierungssignal erzeugt, dass die Aktivierung des zweiten Aktuators anzeigt. Dieses Aktivierungssignal ist in einer Speichereinrichtung abspeicherbar und besonders bevorzugt auch zur Analyse aus dem Speicher ausgelesen werden. Weiter bevorzugt umfasst das Aktivierungssignal mindestens eines ausgewählt aus: den Zeitpunkt der Aktivierung, den zugrunde liegenden Fehler.
  • Beispiele für eine Speichereinrichtung sind RAM-Speicher, USB-Speicher, Flash-Speicher oder EEPROM-Speicher. Natürlich sind auch noch andere Speichereinrichtungen denkbar. Vorteilhaft ist die Speichereinrichtung Teil der Verarbeitungseinrichtung.
  • Gemäß einer bevorzugten Ausführungsform ist es vorgesehen, dass das Aktivierungssignal über mindestens einen Aktivierungszyklus des Steuergerätes hinaus in der Speichereinrichtung abspeicherbar ist.
  • Unter einem Aktivierungszyklus ist dabei folgendes zu verstehen. Nur wenn eine Fehlfunktion festgestellt wird und sich das Steuergerät in einem aktivierten Zustand befindet, kann ein Aktivierungssignal durch die Verarbeitungseinheit erzeugt werden. Das Steuergerät befindet sich also in einem aktivierten Zustand. Im Normalfall wird dann zur Fehlerbehebung oder zur Vermeidung von gravierenderen Schäden das Fahrzeug abgestellt, das heißt abgeschaltet. Insbesondere wird hierbei das Steuergerät deaktiviert. Ein Aktivierungszyklus des Steuergerätes ist also zumindest eine einmalige Aktivierung und Deaktivierung des Steuergerätes. Natürlich kann auch eine beliebig lange Kette von Aktivierung und Deaktivierung des Steuergeräts als ein Aktivierungszyklus verstanden werden.
  • Besonders bevorzugt bleibt das Aktivierungssignal so lange in der Speichereinrichtung abgespeichert, bis das Aktivierungssignal von extern weiter behandelt wird, beispielsweise durch ein externes Auslesen oder dergleichen.
  • Gemäß einer besonders bevorzugten Ausführungsform ist das abgespeicherte Aktivierungssignal in der Speichereinrichtung durch ein durch den Hauptrechner an die Verarbeitungseinheit übermittelbares Rücksetzsignal rücksetzbar.
  • Hierdurch ist es möglich, die Diagnosemöglichkeit und Verfügbarkeit des Systems zur erhöhen.
  • Gemäß dieser Ausführungsform wird durch den Hauptrechner ein Rücksetzsignal versendet, vorzugsweise an die Verarbeitungseinheit. Empfängt die Verarbeitungseinheit ein Rücksetzsignal von dem Hauptrechner, so wird dadurch die Verarbeitungseinheit angewiesen, den Speicher zumindest teilweise zu leeren. Vorteilhaft umfasst das Rücksetzsignal die Information, welcher Speicherbereich der Speichereinrichtung geleert, also gelöscht, werden soll. Weiter bevorzugt kann das Rücksetzsignal die Information enthalten, wann der Speicher der Speichereinrichtung geleert werden soll. So ist es beispielsweise denkbar, dass bei einem Neustart des Hauptrechners das Rücksetzsignal versendet werden soll.
  • Dabei ist es jedoch zu vermeiden, dass durch einen Fehler des Hauptrechners ein ungewolltes Rücksetzen des Speichers der Speichereinrichtung durchgeführt wird und somit zu einer unerlaubten Deaktivierung des zweiten Aktuators führt.
  • Gemäß einer besonders bevorzugten Ausführungsform ist die Zurücksetzung der Speichereinrichtung durchführbar, wenn keine Fehlfunktion des Hauptrechners und/oder des ersten Aktuators durch den Überwachungsrechner feststellbar ist.
  • Hierbei werden die Signale des Hauptrechners und/oder der ersten Aktuators mit den Signalen des Überwachungsrechners signaltechnisch miteinander gekoppelt. Diese Signale werden vorzugsweise von der Verarbeitungseinheit empfangen und verarbeitet.
  • Empfängt also beispielsweise die Verarbeitungseinheit das Rücksetzsignal von dem Hauptrechner, so überprüft die Verarbeitungseinheit das Signal des Überwachungsrechners an die Verarbeitungseinheit. Wird das Signal „Fehlfunktion festgestellt“ übermittelt, so ist keine Rücksetzung des Speichers durchführbar. Ist jedoch das Signal „keine Fehlfunktion“ übermittelt worden, so wird eine Rücksetzung des Speichers erlaubt, da der Hauptrechner und/oder der erste Aktuator keinen Fehler aufweisen, also fehlerfrei funktionieren.
  • Diese Ausführungsform erlaubt es insbesondere, dass das vorliegende System auch getestet werden kann. Durch eine beabsichtige Fehleraktion kann der redundante Pfad, also der redundante Aktuator, aktiviert werden und nach erfolgter Funktionalitätsprüfung durch den Hauptrechner wieder deaktiviert werden. Somit kann besonders einfach und schnell auch die Funktionalität des redundanten Aktuators getestet und festgestellt werden. Die insgesamte Diagnostizierbarkeit des Systems ist hierbei also verbessert worden.
  • Darüber hinaus kann bei einer Fehlerheilung, also einer Rücksetzung der Speichereinrichtung, der redundante Aktuator wieder deaktiviert werden und das System wieder in den Normalbetrieb zurückgesetzt werden. Dies führt zu einer Erhöhung der Systemverfügbarkeit.
  • Gemäß einer weiteren Ausführungsform ist durch Zurücksetzung der Speichereinrichtung der zweite Aktuator deaktivierbar.
  • Dies bedeutet also, dass der zweite Aktuator solange aktiv ist, solange ein entsprechendes Aktivierungssignal in der Speichereinrichtung abgespeichert ist. Dies ist sinnvoll, da solange bis das Aktivierungssignal nicht gelöscht worden ist, das System einen Fehler anzeigt.
  • Die Aufgabe der vorliegenden Erfindung wird ebenso gelöst von einem Verfahren zur Ansteuerung von redundanten Aktuatoren durch eine Vorrichtung umfassend einen Hauptrechner und mindestens einen Überwachungsrechner, welche signaltechnisch verbunden sind, wobei durch ein übergeordnetes Steuergerät die Vorrichtung aktiviert wird, umfassend die Ansteuerung mindestens eines ersten Aktuators mittels des Hauptrechners; Überwachung des Hauptrechners und Ansteuerung mindestens eines redundanten zweiten Aktuators mittels des Überwachungsrechners; Aktivierung mindestens eines redundanten zweiten Aktuators durch den Überwachungsrechner, wenn das übergeordnete Steuergerät aktiviert ist und durch den Überwachungsrechner eine Fehlfunktion des Hauptrechners und/oder des ersten Aktuators festgestellt wird.
  • Weitere vorteilhafte Ausführungsformen ergeben sich aus den Unteransprüchen.
  • Weitere Ziele, Vorteile und Zweckmäßigkeiten der vorliegenden Erfindung sind der nachfolgenden von der Beschreibung in Verbindung mit der Zeichnung zu entnehmen. Hierbei zeigen:
  • 1 Vorrichtung gemäß einer besonders bevorzugten Ausführungsform
  • 2 Flussdiagramm zur Aktivierung des redundanten Aktuators
  • 3 Flussdiagramm zur Rücksetzung der Speichereinrichtung
  • In der 1 ist eine Vorrichtung gemäß einer besonders bevorzugten Ausführungsform gezeigt. Die Vorrichtung umfasst dabei einen Hauptrechner 1, einen durch den Hauptrechner 1 mittels einer signaltechnischen Verbindung 11 ansteuerbaren ersten Aktuator 2, einen Überwachungsrechner 3, der über signaltechnische Verbindungen 11 sowohl mit dem ersten Aktuator 2 als auch dem Hauptrechner 1 verbunden ist. Weiter ist ein übergeordnetes Steuergerät 4 erkennbar, wobei der Überwachungsrechner 3 und das Steuergerät 4 mit einer Verarbeitungseinrichtung 6 signaltechnisch verbunden sind. Sowohl der Überwachungsrechner 3 als auch das Steuergerät 4 können Signalwerte 7 an die Verarbeitungseinrichtung 6 übermitteln.
  • Die Signalwerte 7 des Steuergeräts 4 umfassen dabei zumindest einen ersten Signalwert 12, beispielsweise den ersten Signalwert „Steuergerät aktiv“. Die Signalwerte 7 des Überwachungsrechners 3 umfassen zumindest einen zweiten Signalwert 13, beispielsweise den zweiten Signalwert „Fehlfunktion festgestellt“.
  • Vorzugsweise umfassen alle Vorrichtungen, Einrichtungen und Geräte, die eine signaltechnische Verbindung mit anderen Vorrichtungen, Einrichtungen und Geräten umfasse, mindestens einen Signaleingang 14 und/oder mindestens einen Signalausgang 15.
  • Die übermittelten Signalwerte 7, 12, 13 werden von der Verarbeitungseinheit 6 empfangen und weiterverarbeitet. Werden dabei erfindungsgemäß die Signalwerte „Fehlfunktion festgestellt“, also eine Fehlfunktion des Hauptrechners 1 und/oder des ersten Aktuators 2, durch den Überwachungsrechner 3 und „Steuergerät aktiv“ durch das Steuergerät 4 an die Verarbeitungseinheit 6 übermittelt und festgestellt, so wird ein zweiter Aktuator 5, der redundant zum ersten Aktuator 2 angeordnet ist, aktiviert. Vorteilhaft wird dabei durch die Verarbeitungseinheit 6 zur Ansteuerung des zweiten Aktuators 5 mindestens ein Ansteuerungssignal 16 an den zweiten Aktuator 5 übermittelt.
  • Gemäß 1 wird insbesondere bei Aktivierung des zweiten Aktuators 5 ein Aktivierungssignal 8 erzeugt, welches in einer Speichereinrichtung 9 abspeicherbar ist. Vorzugsweise bleibt der zweite Aktuator 5 aktiv, solange ein Aktivierungssignal 8 in der Speichereinrichtung 9 abgespeichert ist, da durch den Überwachungsrechner 3 eine Fehlfunktion festgestellt wurde.
  • Vorzugsweise bleibt das Aktivierungssignal 8 über einen Aktivierungszyklus des Steuergeräts 4 hinaus gespeichert. Sollte das Steuergerät 4 deaktiviert werden, so wird vorzugsweise ebenfalls der zweite Aktuator 5 deaktiviert, da in diesem Fall die Bedingung „Steuergerät aktiv“ nicht gegeben ist. Sollte nun das Steuergerät 4 wieder aktiviert werden, so wird durch die Verarbeitungseinrichtung 6 der zweite Aktuator wieder aktiviert. Es ist hierbei aber auch denkbar, dass der zweite Aktuator aktiviert bleibt, solange ein Aktivierungssignal 8 abgespeichert ist.
  • Gemäß der 1 ist es auch vorgesehen, dass durch ein von dem Hauptrechner 1 ausgesendetes Rücksetzsignal 10 an die Verarbeitungseinrichtung 6 übermittelt wird, wodurch der Speicher 9 zumindest teilweise rückgesetzt, also geleert werden kann.
  • Um zu verhindern, dass ungewollt der Speicher 9 gelöscht wird, etwa durch eine Fehlfunktion des Hauptrechners 1, überprüft zusätzlich die Verarbeitungseinrichtung 6, ob eine Fehlfunktion vorliegt, also ob durch den Überwachungsrechner 3 das Signal „Fehlfunktion festgestellt“ übermittelt wurde. Wenn dies der Fall sein sollte, so ist es trotz übermittelten Rücksetzsignals 10 nicht möglich, dass die Speichereinrichtung 9 geleert wird, der Speicher 9 bleibt unberührt. Eine Rücksetzung der Speichereinrichtung 9 durch den Hauptrechner 1 ist also nur in einem fehlerfreien aktiven System möglich.
  • Es ist dabei vorgesehen, dass der zweite Aktuator 5 deaktiviert wird, wenn der Speicher 9 zurückgesetzt wurde.
  • Es ist auch denkbar, dass durch eine absichtliche und beabsichtigte Fehleraktion der zweite Aktuator 5 aktiviert werden kann und nach einer erfolgten Funktionsprüfung wieder deaktivierbar ist. Es kann also eine Diagnose des redundanten Aktuators 5 durchgeführt werden.
  • Darüber hinaus kann durch eine Fehlerheilung der redundante Pfad wieder deaktiviert werden und das System zurück in den Normalbetrieb überführt werden.
  • Gemäß der 2 ist ein Flussdiagramm gezeigt, die ein Verfahren zur Ansteuerung von redundanten Aktuatoren beschreibt.
  • Zunächst steuert der Hauptrechner 1 den ersten Aktuator 2 an, wobei sowohl der Hauptrechner 1 als auch der erste Aktuator 2 durch den Überwachungsrechner 3 überwacht werden. Wird keine Fehlfunktion durch den Überwachungsrechner 3 erkannt, so wird keine Aktivierung des zweiten Aktuators 5 veranlasst. Wird hingegen eine Fehlfunktion des Hauptrechners 1 und/oder des ersten Aktuators 2 festgestellt, so wird nach der Feststellung überprüft, ob das übergeordnete Steuergerät 4 aktiv ist oder nicht. Ist das Steuergerät 4 nicht aktiv, so wird wiederum keine Aktivierung des zweiten Aktuators 5 veranlasst. Ist das Steuergerät jedoch aktiv, so wird der zweite Aktuator 5 aktiviert.
  • Gemäß 3 ist ein mögliches Flussdiagramm zur Fehlerheilung gezeigt, also wenn der zweite Aktuator 5 aktiv ist.
  • Durch Aktivierung des zweiten Aktuators 5 wird ein Aktivierungssignal 8 erzeugt, das in einer Speichereinrichtung 9 abspeicherbar ist.
  • Erhält die Verarbeitungseinrichtung 6 mittels des Hauptrechners 1 kein Rücksetzsignal 10, so wird auch keine Rücksetzung der Speichereinrichtung 9 veranlasst, der zweite Aktuator 5 bleibt weiterhin aktiv.
  • Empfängt die Verarbeitungseinrichtung 6 ein Rücksetzsignal 10, so wird vorzugsweise durch die Verarbeitungseinrichtung 6 überprüft, ob eine Fehlfunktion, die durch den Überwachungsrechner 3 übermittelt wurde, vorliegt. Ist dies der Fall, so kann die Speichereinrichtung 9 nicht zurückgesetzt werden, der zweite Aktuator bleibt aktiv. Gemäß dem Fall, dass keine Fehlfunktion vorliegt, wird eine Rücksetzung der Speichereinrichtung 9 durchgeführt und der zweite Aktuator 5 deaktiviert.
  • Sämtliche in den Anmeldungsunterlagen offenbarten Merkmale werden als erfindungswesentlich beansprucht, sofern sie einzeln oder in Kombination gegenüber dem Stand der Technik neu sind.
  • Bezugszeichenliste
    • 1
    Hauptrechner
    2
    erster Aktuator
    3
    Überwachungsrechner
    4
    Steuergerät
    5
    zweiter Aktuator
    6
    Verarbeitungseinheit
    7
    Signalwert
    8
    Aktivierungssignal
    9
    Speichereinrichtung
    10
    Rücksetzsignal
    11
    signaltechnische Verbindung
    12
    erster Signalwert
    13
    zweiter Signalwert
    14
    Signaleingang
    15
    Signalausgang
    16
    Ansteuerungssignal
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • ISO 26262 [0002]

Claims (8)

  1. Vorrichtung zur Ansteuerung von redundanten Aktuatoren, umfassend einen Hauptrechner (1), mittels welchem mindestens ein erster Aktuator (2) ansteuerbar ist, mindestens einen Überwachungsrechner (3), welcher mit dem Hauptrechner (1) und/oder dem ersten Aktuator (2) zumindest signaltechnisch verbindbar ist und mittels welchem in Verbindung mit einem übergeordneten aktivierbaren Steuergerät (4) mindestens ein redundanter zweiter Aktuator (5) ansteuerbar ist, dadurch gekennzeichnet, dass wenn das Steuergerät (4) aktiviert und durch den Überwachungsrechner (3) eine Fehlfunktion des Hauptrechners (1) und/oder des ersten Aktuators (2) feststellbar ist, der zweite Aktuator (5) aktivierbar ist.
  2. Vorrichtung nach Anspruch 1, dadurch gekennzeichnet, dass das Steuergerät (4) und der Überwachungsrechner (3) zumindest signaltechnisch mit einer Verarbeitungseinheit (6) verbindbar sind und jeweils mindestens ein vorbestimmbarer Signalwert (7) an die Verarbeitungseinheit (6) übermittelbar ist, wobei durch die Verarbeitungseinheit der zweiten Aktuator (5) aktivierbar ist, wenn durch das Steuergerät (4) ein vorbestimmbarer erster Signalwert (12) und durch den Überwachungsrechner (3) ein vorbestimmbarer zweiter Signalwert (13) übermittelbar ist.
  3. Vorrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass durch die Aktivierung des zweiten Aktuators (5) ein entsprechendes Aktivierungssignal (8) durch die Verarbeitungseinheit (6) erzeugbar ist, wobei das Aktivierungssignal (8) mittels einer Speichereinrichtung (9) abspeicherbar ist.
  4. Vorrichtung nach Anspruch 3, dadurch gekennzeichnet, dass das Aktivierungssignal (8) über mindestens einen Aktivierungszyklus des Steuergeräts hinaus in der Speichereinrichtung (9) abspeicherbar ist.
  5. Vorrichtung nach einem der Ansprüche 3 oder 4, dadurch gekennzeichnet, dass das abgespeicherte Aktivierungssignal (8) in der Speichereinrichtung (9) durch ein durch den Hauptrechner (1) an die Verarbeitungseinheit (6) übermittelbares Rücksetzsignal (10) zurücksetzbar ist.
  6. Vorrichtung nach Anspruch 5, dadurch gekennzeichnet, dass die Zurücksetzung der Speichereinrichtung (9) durchführbar ist, wenn keine Fehlfunktion des Hauptrechners (1) und/oder des ersten Aktuators (2) durch den Überwachungsrechner (3) feststellbar ist.
  7. Vorrichtung nach Anspruch 5 oder 6, dadurch gekennzeichnet, dass durch Zurücksetzung der Speichereinrichtung (9) der zweite Aktuator (5) deaktivierbar ist.
  8. Verfahren zur Ansteuerung von redundanten Aktuatoren durch eine Vorrichtung umfassend einen Hauptrechner (1) und mindestens einen Überwachungsrechner (3), welche signaltechnisch verbunden sind, wobei durch ein übergeordnetes Steuergerät (4) die Vorrichtung aktiviert wird, umfassend die a. Ansteuerung mindestens eines ersten Aktuators (2) mittels des Hauptrechners (1); b. Überwachung des Hauptrechners (1) und Ansteuerung mindestens eines redundanten zweiten Aktuators (5) mittels des Überwachungsrechners (3); c. Aktivierung mindestens eines redundanten zweiten Aktuators (5) durch den Überwachungsrechner (3), wenn das übergeordnete Steuergerät (4) aktiviert ist und durch den Überwachungsrechner (3) eine Fehlfunktion des Hauptrechners (1) und/oder des ersten Aktuators (2) festgestellt wird.
DE102015119611.5A 2015-11-13 2015-11-13 Verbesserung der Diagnostizierbarkeit von Fail-operational Systemen Active DE102015119611B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102015119611.5A DE102015119611B4 (de) 2015-11-13 2015-11-13 Verbesserung der Diagnostizierbarkeit von Fail-operational Systemen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102015119611.5A DE102015119611B4 (de) 2015-11-13 2015-11-13 Verbesserung der Diagnostizierbarkeit von Fail-operational Systemen

Publications (2)

Publication Number Publication Date
DE102015119611A1 true DE102015119611A1 (de) 2017-05-18
DE102015119611B4 DE102015119611B4 (de) 2019-09-12

Family

ID=58640353

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015119611.5A Active DE102015119611B4 (de) 2015-11-13 2015-11-13 Verbesserung der Diagnostizierbarkeit von Fail-operational Systemen

Country Status (1)

Country Link
DE (1) DE102015119611B4 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017210151A1 (de) * 2017-06-19 2018-12-20 Zf Friedrichshafen Ag Vorrichtung und Verfahren zur Ansteuerung eines Fahrzeugmoduls in Abhängigkeit eines Zustandssignals

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010033836A1 (de) * 2009-09-03 2011-03-10 Schaeffler Technologies Gmbh & Co. Kg Kupplungsaktor und Verfahren zu dessen Steuerung
DE202012101654U1 (de) * 2012-05-04 2012-05-23 Chr. Mayr Gmbh & Co. Kg Kompaktsteuergerät zum fehlersicheren Ansteuern eines elektrischen Aktors

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012020322A1 (de) 2012-10-13 2014-04-17 Volkswagen Aktiengesellschaft Bremssystem und Verfahren zur Erzeugung einer Bremskraft

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010033836A1 (de) * 2009-09-03 2011-03-10 Schaeffler Technologies Gmbh & Co. Kg Kupplungsaktor und Verfahren zu dessen Steuerung
DE202012101654U1 (de) * 2012-05-04 2012-05-23 Chr. Mayr Gmbh & Co. Kg Kompaktsteuergerät zum fehlersicheren Ansteuern eines elektrischen Aktors

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ISO 26262

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017210151A1 (de) * 2017-06-19 2018-12-20 Zf Friedrichshafen Ag Vorrichtung und Verfahren zur Ansteuerung eines Fahrzeugmoduls in Abhängigkeit eines Zustandssignals

Also Published As

Publication number Publication date
DE102015119611B4 (de) 2019-09-12

Similar Documents

Publication Publication Date Title
EP2765045B1 (de) Schaltung zur Steuerung eines Beschleunigungs-, Brems- und Lenksystems eines Fahrzeugs
EP2146881B1 (de) Elektromechanisches bremssystem mit einer ausfallsicheren energieversorgung und verfahren zur ausfallsicheren energieversorgung in einem elektromechanischen bremssystem für fahrzeuge
DE102015110968A1 (de) Fahrzeugparksystem-Ausfallmanagement
WO2012113385A2 (de) Halbleiterschaltkreis und verfahren in einem sicherheitskonzept zum einsatz in einem kraftfahrzeug
DE102008009652A1 (de) Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor
DE102018220605B4 (de) Kraftfahrzeugnetzwerk und Verfahren zum Betreiben eines Kraftfahrzeugnetzwerks
EP2554406A1 (de) Steuerungssystem
DE102004041672B4 (de) Notbremseinrichtung und Bremssystem für ein Schienenfahrzeug sowie Verfahren zum Sicherstellen einer Notbremsfunktion bei Schienenfahrzeugen
DE102010007899B4 (de) Kraftfahrzeug mit einem Längsführungssystem mit STOP- & GO-Funktion und einer automatisch einlegbaren Parkbremse
EP2559602B1 (de) Verfahren und Vorrichtung zum Sperren der Traktion eines stillstehenden Schienenfahrzeugs
DE102015119611B4 (de) Verbesserung der Diagnostizierbarkeit von Fail-operational Systemen
EP2190697B1 (de) Steuergerät und verfahren zur ansteuerung von personenschutzmitteln
EP2013731B1 (de) Schaltungsanordnung und verfahren zum betrieb einer schaltungsanordnung
EP3659032B1 (de) Verfahren zum betreiben eines steuergerätes und vorrichtung mit zugehörigem steuergerät
DE10252990B3 (de) Steuereinheit zur Auslösung eines Insassenschutzmittels in einem Kraftfahrzeug und Verfahren zur Überwachung der ordnungsgemäßen Funktion einer vorzugsweise solchen Steuereinheit
DE10030996B4 (de) Vorrichtung und Verfahren zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug
DE102015203250A1 (de) Sicherheitsvorrichtung und Verfahren zum Überführen eines Aktorsystems in einen sicheren Zustand, Aktorsystem und Verfahren zum Betreiben eines Aktorsystems
DE102015203253A1 (de) Sicherheitsschaltungseinheit
DE102016224580B3 (de) Prüfverfahren für einen Betätigungsschalter einer Funktionseinheit eines Kraftfahrzeugs
DE102015215847B3 (de) Vorrichtung und Verfahren zur Erhöhung der funktionalen Sicherheit in einem Fahrzeug.
EP3091156B1 (de) Verfahren zur detektion einer betätigungshandlung
DE102017218898A1 (de) Kontrollsystem für ein Batteriesystem
DE102018112254A1 (de) Kontrollsystem für ein Kraftfahrzeug, Kraftfahrzeug, Verfahren zur Kontrolle eines Kraftfahrzeugs, Computerprogrammprodukt und computerlesbares Medium
DE102010002468A1 (de) Verfahren zum Stillsetzen einer von einem Steuergerät betriebenen Funktionseinheit in einem Kraftfahrzeug
DE102021206133A1 (de) Steuerungssystem für mindestens ein empfangendes Gerät in sicherheitskritischen Anwendungen

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final