DE102015119611B4 - Verbesserung der Diagnostizierbarkeit von Fail-operational Systemen - Google Patents

Verbesserung der Diagnostizierbarkeit von Fail-operational Systemen Download PDF

Info

Publication number
DE102015119611B4
DE102015119611B4 DE102015119611.5A DE102015119611A DE102015119611B4 DE 102015119611 B4 DE102015119611 B4 DE 102015119611B4 DE 102015119611 A DE102015119611 A DE 102015119611A DE 102015119611 B4 DE102015119611 B4 DE 102015119611B4
Authority
DE
Germany
Prior art keywords
actuator
signal
processing unit
computer
reset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102015119611.5A
Other languages
English (en)
Other versions
DE102015119611A1 (de
Inventor
Michael Steindl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
AVL Software and Functions GmbH
Original Assignee
AVL Software and Functions GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by AVL Software and Functions GmbH filed Critical AVL Software and Functions GmbH
Priority to DE102015119611.5A priority Critical patent/DE102015119611B4/de
Publication of DE102015119611A1 publication Critical patent/DE102015119611A1/de
Application granted granted Critical
Publication of DE102015119611B4 publication Critical patent/DE102015119611B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24182Redundancy
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24188Redundant processors run different programs
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/40Robotics, robotics mapping to robotics vision
    • G05B2219/40208Dual redundant actuators
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Vorrichtung zur Ansteuerung von redundanten Aktuatoren, umfassend einen Hauptrechner (1), mittels welchem mindestens ein erster Aktuator (2) ansteuerbar ist, mindestens einen Überwachungsrechner (3), welcher mit dem Hauptrechner (1) und/oder dem ersten Aktuator (2) zumindest signaltechnisch verbindbar ist und mittels welchem in Verbindung mit einem übergeordneten aktivierbaren Steuergerät (4) mindestens ein redundanter zweiter Aktuator (5) ansteuerbar ist, dadurch gekennzeichnet, dass wenn das Steuergerät (4) aktiviert und durch den Überwachungsrechner (3) eine Fehlfunktion des Hauptrechners (1) und/oder des ersten Aktuators (2) feststellbar ist, der zweite Aktuator (5) aktivierbar ist, wobei der zweite Aktuator (5) hierbei ein Element ist, das redundant zu dem ersten Aktuator angeordnet ist und nur dann aktiviert wird, wenn das System aktiv ist und der Überwachungsrechner eine Fehlfunktion feststellt und wobei der zweite Aktuator also in diesem Fall die Funktion des ersten Aktuators übernimmt, da dieser aufgrund einer Fehlfunktion des Hauptrechners und/oder des ersten Aktuators selbst nicht funktionsfähig ist, wobei das Steuergerät (4) und der Überwachungsrechner (3) zumindest signaltechnisch mit einer Verarbeitungseinheit (6) verbindbar sind und jeweils mindestens ein vorbestimmbarer Signalwert (7) an die Verarbeitungseinheit (6) übermittelbar ist, wobei durch die Verarbeitungseinheit der zweiten Aktuator (5) aktivierbar ist, wenn durch das Steuergerät (4) ein vorbestimmbarer erster Signalwert (12) und durch den Überwachungsrechner (3) ein vorbestimmbarer zweiter Signalwert (13) übermittelbar ist, wobei die Verarbeitungseinheit (6) eine Rechnereinheit umfasst, die als CPU oder GPU ausgebildet ist, wobei durch die Aktivierung des zweiten Aktuators (5) ein entsprechendes Aktivierungssignal (8) durch die Verarbeitungseinheit (6) erzeugbar ist, wobei das Aktivierungssignal (8) mittels einer Speichereinrichtung (9) abspeicherbar ist, und wobei das Aktivierungssignal (8) über mindestens einen Aktivierungszyklus des Steuergeräts hinaus in der Speichereinrichtung (9) abspeicherbar ist, wobei das abgespeicherte Aktivierungssignal (8) in der Speichereinrichtung (9) durch ein durch den Hauptrechner (1) an die Verarbeitungseinheit (6) übermittelbares Rücksetzsignal (10) zurücksetzbar ist, und wobei die Zurücksetzung der Speichereinrichtung (9) durchführbar ist, wenn keine Fehlfunktion des Hauptrechners (1) und/oder des ersten Aktuators (2) durch den Überwachungsrechner (3) feststellbar ist, und wobei die Signale des Hauptrechners und/oder des ersten Aktuators mit den Signalen des Überwachungsrechners miteinander gekoppelt sind, wobei für den Fall, dass die Verarbeitungseinheit das Rücksetzsignal von dem Hauptrechner empfängt, die Verarbeitungseinheit das Signal des Überwachungsrechners an die Verarbeitungseinheit überprüft, wobei wobei wenn das Signal „Fehlfunktion festgestellt“ übermittelt wird keine Rücksetzung des Speichers durchführbar ist, ist jedoch das Signal „keine Fehlfunktion“ übermittelt worden, so wird eine Rücksetzung des Speichers erlaubt, wobei bei einer Fehlerheilung, also einer Rücksetzung der Speichereinrichtung, der redundante Aktuator wieder deaktiviert ist und das System wieder in den Normalbetrieb zurückgesetzt ist.

Description

  • Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Ansteuerung von redundanten Aktuatoren gemäß Oberbegriff des Anspruches 1, wobei die Vorrichtung einen Hauptrechner, mittels welchem mindestens ein Aktuator ansteuerbar ist, mindestens einen Überwachungsrechner, welcher mit dem Hauptrechner und/oder dem ersten Aktuator zumindest signaltechnisch verbindbar ist und mittels welchem in Verbindung mit einem übergeordneten aktivierbaren Steuergerät mindestens ein redundanter zweiter Aktuator ansteuerbar ist.
  • Es sind aus dem Stand der Technik Sicherheitssysteme bekannt, die den aktuellen Standard der ISO 26262, einer ISO-Norm für sicherheitsrelevante elektrische und/oder elektronische Systeme in Kraftfahrzeugen, erfüllen können. Ziel hierbei ist es, das Risiko von Gefahr bringenden Fehlfunktionen von sicherheitsrelevanten Systemen zu minimieren.
  • Ein derartiges aus dem Stand der Technik bekanntes System ist das EGAS-Konzept oder 3-Ebenen-Überwachungskonzept. Hierbei wird durch eine unabhängige Überwachungshardware, insbesondere umfassend einen Überwachungsrechner, eine Fehleraktion ausgelöst, wenn ein Fehler erkannt worden ist. Bei einem Fail-operational System führt eine derartige Fehleraktion zu einer Aktivierung redundanter Elemente bzw. Aktuatoren, bei einem Fail-Safe System hingegen zu einer Deaktivierung von Elementen, beispielsweise einer Leistungsendstufe oder dergleichen.
  • Die im Stand der Technik dargestellte und beschriebene Fehlerindikation ist allerdings nicht zur Aktivierung von Redundanzen geeignet, da die Fehlererkennung in allen Betriebszuständen aktiv ist, in denen nicht alle Fehler erkannt werden können, wie beispielsweise Hochlauf, Standby, etc. In diesen Zuständen ist eine Aktivierung der Redundanzen nicht erwünscht.
  • Wurde im Fehlerfall ein redundanter Aktuator aktiviert, so muss dieser Zustand oftmals auch beim Abschalten einer Steuerung erhalten bleiben, was Einschränkungen mit sich bringt. Da der hier notwendige Zustandsspeicher unabhängig vom Hauptrechner ausgeführt werden muss, können die redundanten Elemente nicht zu Testzwecken aktiviert werden. Auch eine Heilung des Fehlers und damit eine Rückkehr in einen Normalbetrieb ist nicht möglich, da die Aktivierung dauerhaft ist und nicht mehr zurückgenommen werden kann.
  • Es ist also nicht möglich, ein Testen der redundanten Elemente durchzuführen oder, falls ein Fehler erkannt wurde, eine Fehlerheilung desselben durchzuführen.
  • DE 10 2010 033 836 A1 zeigt dabei einen Kupplungsaktor mit zwei Aktormodulen und eine übergeordnete Steuereinheit, mittels welcher die Aktormodule gesteuert werden. Dabei überwachen sich die Aktormodule gegenseitig, wobei die Aktormodule mit Inbetriebnahme des Fahrzeugs aktiviert werden und mit Stilllegung des Fahrzeugs ebenso deaktiviert werden.
  • DE 20 2012 101 654 U1 offenbart ein Kompaktsteuergerät zur Ansteuerung von zwei redundanten Bremsen in Abhängigkeit von Steuersignalen, die von der übergeordneten Steuerung bereitgestellt werden. Insbesondere obliegt die Betriebssteuerung der Anlage einschließlich der Entscheidung, wann die Sicherheitsbremsen geöffnet bzw. geschlossen werden, der übergeordneten Steuerung. Das Kompaktsteuergerät ist hierbei in der Lage, die Sicherheitsbremsen, also die Aktoren, parallel zueinander ein- und auszuschalten
  • DE 10 2012 020 322 A1 betrifft ein Bremssystem eines Fahrzeugs, wobei das Bremssystem einen ersten Bremskreis und mindestens einen weiteren Bremskreis umfasst, wobei der erste Bremskreis eine erste Druckerzeugungseinrichtung und der mindestens eine weitere Bremskreis eine weitere Druckerzeugungseinrichtung umfasst, wobei die erste Druckerzeugungseinrichtung aus einer ersten Energiequelle versorgbar ist, wobei die weitere Druckerzeugungseinrichtung aus einer weiteren Energiequelle versorgbar ist, wobei ein Einfachfehler in dem ersten oder dem weiteren Bremskreis detektierbar ist, wobei ein fehlerhafter Bremskreis deaktivierbar und ein funktionsfähiger Bremskreis aktivierbar ist.
  • Es ist demnach die Aufgabe der vorliegenden Erfindung, eine Vorrichtung und ein Verfahren für ein Fail-operational System bereitzustellen, das nur im tatsächlichen Fehlerfall aktivierbar ist bzw. aktivierbar ist. Gleichzeitig sind auch eine Erhöhung der Systemverfügbarkeit sowie eine verbesserte Diagnostizierbarkeit der redundanten Elemente gegeben.
  • Diese Aufgabe wird gelöst durch eine Vorrichtung zur Ansteuerung von redundanten Aktuatoren gemäß Anspruch 1, umfassend einen Hauptrechner, mittels welchem mindestens ein erster Aktuator ansteuerbar ist, mindestens einen Überwachungsrechner, welcher mit dem Hauptrechner und/oder dem ersten Aktuator zumindest signaltechnisch verbindbar ist und mittels welchem in Verbindung mit einem übergeordneten aktivierbaren Steuergerät mindestens ein redundanter zweiter Aktuator ansteuerbar ist, wenn das Steuergerät aktiviert und durch den Überwachungsrechner eine Fehlfunktion des Hauptrechners und/oder des ersten Aktuators feststellbar ist, der zweite Aktuator aktivierbar ist.
  • Der zweite Aktuator wird also nur im Fehlerfall („ERROR“) aktiviert und nicht bei inaktiven Zuständen („OFF“, „Stand-by“, etc.).
  • Bevorzugt ist also bei einem inaktiven System, also wenn das Steuergerät inaktiv ist, die Fehlerindikation ausgeblendet.
  • Unter einem „Hauptrechner“ ist hierbei beispielsweise die zentrale Steuereinheit in einem Fahrzeug, insbesondere einem Automobil, zu verstehen. Durch diesen Hauptrechner ist es möglich, Befehle des Fahrzeugführers, die beispielsweise mittels von Schaltern oder dergleichen angezeigt werden, zu verarbeiten und den entsprechenden Aktuator zu steuern. Ein Beispiel ist etwa die Betätigung des Gaspedals durch den Fahrzeugführer, wodurch ein elektrisches Signal an den Hauptrechner übermittelt werden kann, der dann die entsprechenden Signale an die Motorsteuerung oder direkt an den Motor übermittelt.
  • Unter einem „Überwachungsrechner“ ist ähnlich zum Hauptrechner eine Steuereinheit zu verstehen, die jedoch derart mit dem Hauptrechner und/oder dem ersten Aktuator signaltechnisch in Verbindung steht, dass durch ein aus dem Stand der Technik bekannten Frage-Antwort-Verfahren durch den Überwachungsrechner eine Fehlfunktion des Hauptrechners und/oder des ersten Aktuators feststellbar ist.
  • Ein „redundanter Aktuator“ oder „zweiter Aktuator“ ist hierbei ein Element, das redundant zu dem ersten Aktuator angeordnet ist und erfindungsgemäß nur dann aktiviert wird, wenn das System aktiv ist und der Überwachungsrechner eine Fehlfunktion feststellt. Der zweite Aktuator übernimmt also in diesem Fall die Funktion des ersten Aktuators, da dieser aufgrund einer Fehlfunktion des Hauptrechners und/oder des ersten Aktuators selbst nicht funktionsfähig ist.
  • Unter einem „übergeordneten Steuergerät“ oder „Steuergerät“ ist hierbei ein Gerät zu verstehen, dass in der technischen Hierarchie über der Vorrichtung zur Ansteuerung von redundanten Aktuatoren steht. Beispielsweise handelt es sich bei dem Steuergerät um das Zündschloss eines Fahrzeugs. Ist dieses Steuergerät deaktiviert, so ist auch erfindungsgemäß der redundante Pfad deaktiviert, da in diesem es nicht notwendig ist, eine Ansteuerung eines redundanten Aktuators durchzuführen, da in diesem Betriebszustand keine Gefahr ausgeht.
  • Ist jedoch das Steuergerät, also beispielsweise das Zündschloss aktiviert, so ist das Fahrzeug in Betrieb und es könnten für den Fahrzeugführer Gefahren durch Fehlfunktionen des normalen Systems bestehend aus Hauptrechner und ersten Aktuator auftreten. Es ist also notwendig, bei einem aktivierten Fahrzeug auch die Möglichkeit der Aktivierung des redundanten Pfades umfassend den zweiten Aktuator aktivieren zu können. Es ist auch denkbar, dass durch das Steuergerät die gesamte Vorrichtung aktiviert oder deaktiviert werden kann.
  • Erfindungsgemäß ist also nur dann der redundante Pfad aktivierbar, wenn das Steuergerät aktiv ist und wenn durch den Überwachungsrechner eine Fehlfunktion des Hauptrechners und/oder des ersten Aktuators feststellbar ist, oder einfach gesagt, wenn das System aktiv ist und eine Fehlfunktion aufweist.
  • Erfindungsgemäß ist das Steuergerät und der Überwachungsrechner zumindest signaltechnisch mit einer Verarbeitungseinheit verbindbar und jeweils mindestens ein vorbestimmbarer Signalwert des Steuergeräts und des Überwachungsrechners an die Verarbeitungseinheit übermittelbar. Durch Übermittelung dieser Signalwerte ist der zweite Aktuator aktivierbar, wenn durch das Steuergerät ein vorbestimmbarer erster Signalwert und durch den Überwachungsrechner ein vorbestimmbarer zweiter Signalwert übermittelbar ist.
  • „Signaltechnisch verbunden“ oder „signaltechnisch verbindbar“ bedeutet in diesem Zusammenhang, dass mittels einer Übertragungsleitung, vorzugsweise eine elektrische Leitung, Signale einer Vorrichtung bzw. Einheit an eine andere übermittelt werden können. Dies bedeutet natürlich, dass an den Vorrichtungen bzw. Einheiten auch entsprechende Ein- und Ausgänge vorgesehen sind, um entsprechend Signale bzw. Signalwerte auszusenden oder zu empfangen.
  • Eine „Verarbeitungseinheit“ ist eine Einheit zum Verarbeiten von empfangenen Signalwerten oder Signalen von verschiedenen Vorrichtungen bzw. Einrichtungen, beispielsweise dem Steuergerät und dem Überwachungsrechner. Besonders vorteilhaft umfasst auch die Verarbeitungseinheit entsprechende Ein-und Ausgänge zum Empfangen und Senden von Signalen. Erfindungsgemäß umfasst die Verarbeitungseinheit mindestens eine Rechnereinheit, der als CPU oder auch GPU ausbildet sein kann.
  • Ein „Signalwert“, „vorbestimmbarer Signalwert“ oder auch „Signal“ ist eine Übermittelung von bestimmten Informationen, die von Vorrichtungen versendet und empfangen werden können.
  • Derartige vorbestimmbare Signalwerte des Steuergeräts, also ein erster Signalwert, sind dabei beispielsweise „Steuergerät aktiv“ oder „Steuergerät inaktiv“. Es ist dabei natürlich klar, dass der Signalwert „Steuergerät inaktiv“ nur einmal versendet wird, und zwar dann, wenn das Steuergerät deaktiviert wird. Ähnliches gilt für den Signalwert „Steuergerät aktiv“, der beim Aktivieren des Steuergerätes ausgeschickt wird.
  • Vorbestimmbare Signalwerte des Überwachungsrechners, also ein zweiter Signalwert, können dabei die Werte „Fehlfunktion festgestellt“ oder „keine Fehlfunktion“ sein. Hierbei kann auch noch weiter differenziert werden, beispielsweise durch Unterscheidung der festgestellten Fehlfunktion, also „Fehlfunktion des Hauptrechners festgestellt“ oder „Fehlfunktion des ersten Aktuators festgestellt“.
  • Natürlich sind auch andere Signalwerte noch denkbar, die aber im Folgenden nicht weiter betrachtet werden.
  • Weiter erfindungsgemäß ist durch die Aktivierung des zweiten Aktuators durch die Verarbeitungseinheit ein entsprechendes Aktivierungssignal erzeugbar. Dieses Aktivierungssignal ist hierbei mittels einer Speichereinrichtung abspeicherbar.
  • Hat also die Verarbeitungseinheit die Signale „Fehlfunktion festgestellt“ und „Steuergerät aktiv“ erhalten, so wird mittels der Verarbeitungseinheit der zweite Aktuator aktiviert. Bei Aktivierung des zweiten Aktuators wird dabei bevorzugt ein Aktivierungssignal erzeugt, dass die Aktivierung des zweiten Aktuators anzeigt. Dieses Aktivierungssignal ist in einer Speichereinrichtung abspeicherbar und besonders bevorzugt auch zur Analyse aus dem Speicher ausgelesen werden. Weiter bevorzugt umfasst das Aktivierungssignal mindestens eines ausgewählt aus: den Zeitpunkt der Aktivierung, den zugrunde liegenden Fehler.
  • Beispiele für eine Speichereinrichtung sind RAM-Speicher, USB-Speicher, Flash-Speicher oder EEPROM-Speicher. Natürlich sind auch noch andere Speichereinrichtungen denkbar. Vorteilhaft ist die Speichereinrichtung Teil der Verarbeitungseinrichtung.
  • Erfindungsgemäß ist es vorgesehen, dass das Aktivierungssignal über mindestens einen Aktivierungszyklus des Steuergerätes hinaus in der Speichereinrichtung abspeicherbar ist.
  • Unter einem Aktivierungszyklus ist dabei folgendes zu verstehen. Nur wenn eine Fehlfunktion festgestellt wird und sich das Steuergerät in einem aktivierten Zustand befindet, kann ein Aktivierungssignal durch die Verarbeitungseinheit erzeugt werden. Das Steuergerät befindet sich also in einem aktivierten Zustand. Im Normalfall wird dann zur Fehlerbehebung oder zur Vermeidung von gravierenderen Schäden das Fahrzeug abgestellt, das heißt abgeschaltet. Insbesondere wird hierbei das Steuergerät deaktiviert. Ein Aktivierungszyklus des Steuergerätes ist also zumindest eine einmalige Aktivierung und Deaktivierung des Steuergerätes. Natürlich kann auch eine beliebig lange Kette von Aktivierung und Deaktivierung des Steuergeräts als ein Aktivierungszyklus verstanden werden.
  • Besonders bevorzugt bleibt das Aktivierungssignal so lange in der Speichereinrichtung abgespeichert, bis das Aktivierungssignal von extern weiter behandelt wird, beispielsweise durch ein externes Auslesen oder dergleichen.
  • Weiter erfindungsgemäß ist das abgespeicherte Aktivierungssignal in der Speichereinrichtung durch ein durch den Hauptrechner an die Verarbeitungseinheit übermittelbares Rücksetzsignal rücksetzbar.
  • Hierdurch ist es möglich, die Diagnosemöglichkeit und Verfügbarkeit des Systems zur erhöhen.
  • Gemäß dieser Ausführungsform wird durch den Hauptrechner ein Rücksetzsignal versendet, vorzugsweise an die Verarbeitungseinheit. Empfängt die Verarbeitungseinheit ein Rücksetzsignal von dem Hauptrechner, so wird dadurch die Verarbeitungseinheit angewiesen, den Speicher zumindest teilweise zu leeren. Vorteilhaft umfasst das Rücksetzsignal die Information, welcher Speicherbereich der Speichereinrichtung geleert, also gelöscht, werden soll. Weiter bevorzugt kann das Rücksetzsignal die Information enthalten, wann der Speicher der Speichereinrichtung geleert werden soll. So ist es beispielsweise denkbar, dass bei einem Neustart des Hauptrechners das Rücksetzsignal versendet werden soll.
  • Dabei ist es jedoch zu vermeiden, dass durch einen Fehler des Hauptrechners ein ungewolltes Rücksetzen des Speichers der Speichereinrichtung durchgeführt wird und somit zu einer unerlaubten Deaktivierung des zweiten Aktuators führt.
  • Erfindungsgemäß ist die Zurücksetzung der Speichereinrichtung durchführbar, wenn keine Fehlfunktion des Hauptrechners und/oder des ersten Aktuators durch den Überwachungsrechner feststellbar ist.
  • Hierbei werden die Signale des Hauptrechners und/oder des ersten Aktuators mit den Signalen des Überwachungsrechners signaltechnisch miteinander gekoppelt. Diese Signale werden vorzugsweise von der Verarbeitungseinheit empfangen und verarbeitet.
  • Empfängt also die Verarbeitungseinheit das Rücksetzsignal von dem Hauptrechner, so überprüft die Verarbeitungseinheit das Signal des Überwachungsrechners an die Verarbeitungseinheit. Wird das Signal „Fehlfunktion festgestellt“ übermittelt, so ist keine Rücksetzung des Speichers durchführbar. Ist jedoch das Signal „keine Fehlfunktion“ übermittelt worden, so wird eine Rücksetzung des Speichers erlaubt, da der Hauptrechner und/oder der erste Aktuator keinen Fehler aufweisen, also fehlerfrei funktionieren.
  • Diese Ausführungsform erlaubt es insbesondere, dass das vorliegende System auch getestet werden kann. Durch eine beabsichtige Fehleraktion kann der redundante Pfad, also der redundante Aktuator, aktiviert werden und nach erfolgter Funktionalitätsprüfung durch den Hauptrechner wieder deaktiviert werden. Somit kann besonders einfach und schnell auch die Funktionalität des redundanten Aktuators getestet und festgestellt werden. Die insgesamte Diagnostizierbarkeit des Systems ist hierbei also verbessert worden.
  • Erfindungsgemäß wird bei einer Fehlerheilung, also einer Rücksetzung der Speichereinrichtung, der redundante Aktuator wieder deaktiviert und das System wieder in den Normalbetrieb zurückgesetzt. Dies führt zu einer Erhöhung der Systemverfügbarkeit.
  • Gemäß einer weiteren Ausführungsform ist durch Zurücksetzung der Speichereinrichtung der zweite Aktuator deaktivierbar.
  • Dies bedeutet also, dass der zweite Aktuator solange aktiv ist, solange ein entsprechendes Aktivierungssignal in der Speichereinrichtung abgespeichert ist. Dies ist sinnvoll, da solange bis das Aktivierungssignal nicht gelöscht worden ist, das System einen Fehler anzeigt.
  • Die Aufgabe der vorliegenden Erfindung wird ebenso gelöst von einem Verfahren zur Ansteuerung von redundanten Aktuatoren durch eine Vorrichtung gemäß Anspruch 3.
  • Weitere vorteilhafte Ausführungsformen ergeben sich aus den Unteransprüchen.
  • Weitere Ziele, Vorteile und Zweckmäßigkeiten der vorliegenden Erfindung sind der nachfolgenden von der Beschreibung in Verbindung mit der Zeichnung zu entnehmen. Hierbei zeigen:
    • 1 Vorrichtung gemäß einer besonders bevorzugten Ausführungsform
    • 2 Flussdiagramm zur Aktivierung des redundanten Aktuators
    • 3 Flussdiagramm zur Rücksetzung der Speichereinrichtung
  • In der 1 ist eine Vorrichtung gemäß einer besonders bevorzugten Ausführungsform gezeigt. Die Vorrichtung umfasst dabei einen Hauptrechner 1, einen durch den Hauptrechner 1 mittels einer signaltechnischen Verbindung 11 ansteuerbaren ersten Aktuator 2, einen Überwachungsrechner 3, der über signaltechnische Verbindungen 11 sowohl mit dem ersten Aktuator 2 als auch dem Hauptrechner 1 verbunden ist. Weiter ist ein übergeordnetes Steuergerät 4 erkennbar, wobei der Überwachungsrechner 3 und das Steuergerät 4 mit einer Verarbeitungseinrichtung 6 signaltechnisch verbunden sind. Sowohl der Überwachungsrechner 3 als auch das Steuergerät 4 können Signalwerte 7 an die Verarbeitungseinrichtung 6 übermitteln.
  • Die Signalwerte 7 des Steuergeräts 4 umfassen dabei zumindest einen ersten Signalwert 12, beispielsweise den ersten Signalwert „Steuergerät aktiv“. Die Signalwerte 7 des Überwachungsrechners 3 umfassen zumindest einen zweiten Signalwert 13, beispielsweise den zweiten Signalwert „Fehlfunktion festgestellt“.
  • Vorzugsweise umfassen alle Vorrichtungen, Einrichtungen und Geräte, die eine signaltechnische Verbindung mit anderen Vorrichtungen, Einrichtungen und Geräten umfasse, mindestens einen Signaleingang 14 und/oder mindestens einen Signalausgang 15.
  • Die übermittelten Signalwerte 7, 12, 13 werden von der Verarbeitungseinheit 6 empfangen und weiterverarbeitet. Werden dabei erfindungsgemäß die Signalwerte „Fehlfunktion festgestellt“, also eine Fehlfunktion des Hauptrechners 1 und/oder des ersten Aktuators 2, durch den Überwachungsrechner 3 und „Steuergerät aktiv“ durch das Steuergerät 4 an die Verarbeitungseinheit 6 übermittelt und festgestellt, so wird ein zweiter Aktuator 5, der redundant zum ersten Aktuator 2 angeordnet ist, aktiviert. Vorteilhaft wird dabei durch die Verarbeitungseinheit 6 zur Ansteuerung des zweiten Aktuators 5 mindestens ein Ansteuerungssignal 16 an den zweiten Aktuator 5 übermittelt.
  • Gemäß 1 wird insbesondere bei Aktivierung des zweiten Aktuators 5 ein Aktivierungssignal 8 erzeugt, welches in einer Speichereinrichtung 9 abspeicherbar ist. Vorzugsweise bleibt der zweite Aktuator 5 aktiv, solange ein Aktivierungssignal 8 in der Speichereinrichtung 9 abgespeichert ist, da durch den Überwachungsrechner 3 eine Fehlfunktion festgestellt wurde.
  • Vorzugsweise bleibt das Aktivierungssignal 8 über einen Aktivierungszyklus des Steuergeräts 4 hinaus gespeichert. Sollte das Steuergerät 4 deaktiviert werden, so wird vorzugsweise ebenfalls der zweite Aktuator 5 deaktiviert, da in diesem Fall die Bedingung „Steuergerät aktiv“ nicht gegeben ist. Sollte nun das Steuergerät 4 wieder aktiviert werden, so wird durch die Verarbeitungseinrichtung 6 der zweite Aktuator wieder aktiviert. Es ist hierbei aber auch denkbar, dass der zweite Aktuator aktiviert bleibt, solange ein Aktivierungssignal 8 abgespeichert ist.
  • Gemäß der 1 ist es auch vorgesehen, dass durch ein von dem Hauptrechner 1 ausgesendetes Rücksetzsignal 10 an die Verarbeitungseinrichtung 6 übermittelt wird, wodurch der Speicher 9 zumindest teilweise rückgesetzt, also geleert werden kann.
  • Um zu verhindern, dass ungewollt der Speicher 9 gelöscht wird, etwa durch eine Fehlfunktion des Hauptrechners 1, überprüft zusätzlich die Verarbeitungseinrichtung 6, ob eine Fehlfunktion vorliegt, also ob durch den Überwachungsrechner 3 das Signal „Fehlfunktion festgestellt“ übermittelt wurde. Wenn dies der Fall sein sollte, so ist es trotz übermittelten Rücksetzsignals 10 nicht möglich, dass die Speichereinrichtung 9 geleert wird, der Speicher 9 bleibt unberührt. Eine Rücksetzung der Speichereinrichtung 9 durch den Hauptrechner 1 ist also nur in einem fehlerfreien aktiven System möglich.
  • Es ist dabei vorgesehen, dass der zweite Aktuator 5 deaktiviert wird, wenn der Speicher 9 zurückgesetzt wurde.
  • Es ist auch denkbar, dass durch eine absichtliche und beabsichtigte Fehleraktion der zweite Aktuator 5 aktiviert werden kann und nach einer erfolgten Funktionsprüfung wieder deaktivierbar ist. Es kann also eine Diagnose des redundanten Aktuators 5 durchgeführt werden.
  • Darüber hinaus kann durch eine Fehlerheilung der redundante Pfad wieder deaktiviert werden und das System zurück in den Normalbetrieb überführt werden.
  • Gemäß der 2 ist ein Flussdiagramm gezeigt, die ein Verfahren zur Ansteuerung von redundanten Aktuatoren beschreibt.
  • Zunächst steuert der Hauptrechner 1 den ersten Aktuator 2 an, wobei sowohl der Hauptrechner 1 als auch der erste Aktuator 2 durch den Überwachungsrechner 3 überwacht werden. Wird keine Fehlfunktion durch den Überwachungsrechner 3 erkannt, so wird keine Aktivierung des zweiten Aktuators 5 veranlasst. Wird hingegen eine Fehlfunktion des Hauptrechners 1 und/oder des ersten Aktuators 2 festgestellt, so wird nach der Feststellung überprüft, ob das übergeordnete Steuergerät 4 aktiv ist oder nicht. Ist das Steuergerät 4 nicht aktiv, so wird wiederum keine Aktivierung des zweiten Aktuators 5 veranlasst. Ist das Steuergerät jedoch aktiv, so wird der zweite Aktuator 5 aktiviert.
  • Gemäß 3 ist ein mögliches Flussdiagramm zur Fehlerheilung gezeigt, also wenn der zweite Aktuator 5 aktiv ist.
  • Durch Aktivierung des zweiten Aktuators 5 wird ein Aktivierungssignal 8 erzeugt, das in einer Speichereinrichtung 9 abspeicherbar ist.
  • Erhält die Verarbeitungseinrichtung 6 mittels des Hauptrechners 1 kein Rücksetzsignal 10, so wird auch keine Rücksetzung der Speichereinrichtung 9 veranlasst, der zweite Aktuator 5 bleibt weiterhin aktiv.
  • Empfängt die Verarbeitungseinrichtung 6 ein Rücksetzsignal 10, so wird vorzugsweise durch die Verarbeitungseinrichtung 6 überprüft, ob eine Fehlfunktion, die durch den Überwachungsrechner 3 übermittelt wurde, vorliegt. Ist dies der Fall, so kann die Speichereinrichtung 9 nicht zurückgesetzt werden, der zweite Aktuator bleibt aktiv. Gemäß dem Fall, dass keine Fehlfunktion vorliegt, wird eine Rücksetzung der Speichereinrichtung 9 durchgeführt und der zweite Aktuator 5 deaktiviert.
    Sämtliche in den Anmeldungsunterlagen offenbarten Merkmale werden als erfindungswesentlich beansprucht, sofern sie einzeln oder in Kombination gegenüber dem Stand der Technik neu sind.
  • Bezugszeichenliste
    • 1
    Hauptrechner
    2
    erster Aktuator
    3
    Überwachungsrechner
    4
    Steuergerät
    5
    zweiter Aktuator
    6
    Verarbeitungseinheit
    7
    Signalwert
    8
    Aktivierungssignal
    9
    Speichereinrichtung
    10
    Rücksetzsignal
    11
    signaltechnische Verbindung
    12
    erster Signalwert
    13
    zweiter Signalwert
    14
    Signaleingang
    15
    Signalausgang
    16
    Ansteuerungssignal

Claims (3)

  1. Vorrichtung zur Ansteuerung von redundanten Aktuatoren, umfassend einen Hauptrechner (1), mittels welchem mindestens ein erster Aktuator (2) ansteuerbar ist, mindestens einen Überwachungsrechner (3), welcher mit dem Hauptrechner (1) und/oder dem ersten Aktuator (2) zumindest signaltechnisch verbindbar ist und mittels welchem in Verbindung mit einem übergeordneten aktivierbaren Steuergerät (4) mindestens ein redundanter zweiter Aktuator (5) ansteuerbar ist, dadurch gekennzeichnet, dass wenn das Steuergerät (4) aktiviert und durch den Überwachungsrechner (3) eine Fehlfunktion des Hauptrechners (1) und/oder des ersten Aktuators (2) feststellbar ist, der zweite Aktuator (5) aktivierbar ist, wobei der zweite Aktuator (5) hierbei ein Element ist, das redundant zu dem ersten Aktuator angeordnet ist und nur dann aktiviert wird, wenn das System aktiv ist und der Überwachungsrechner eine Fehlfunktion feststellt und wobei der zweite Aktuator also in diesem Fall die Funktion des ersten Aktuators übernimmt, da dieser aufgrund einer Fehlfunktion des Hauptrechners und/oder des ersten Aktuators selbst nicht funktionsfähig ist, wobei das Steuergerät (4) und der Überwachungsrechner (3) zumindest signaltechnisch mit einer Verarbeitungseinheit (6) verbindbar sind und jeweils mindestens ein vorbestimmbarer Signalwert (7) an die Verarbeitungseinheit (6) übermittelbar ist, wobei durch die Verarbeitungseinheit der zweiten Aktuator (5) aktivierbar ist, wenn durch das Steuergerät (4) ein vorbestimmbarer erster Signalwert (12) und durch den Überwachungsrechner (3) ein vorbestimmbarer zweiter Signalwert (13) übermittelbar ist, wobei die Verarbeitungseinheit (6) eine Rechnereinheit umfasst, die als CPU oder GPU ausgebildet ist, wobei durch die Aktivierung des zweiten Aktuators (5) ein entsprechendes Aktivierungssignal (8) durch die Verarbeitungseinheit (6) erzeugbar ist, wobei das Aktivierungssignal (8) mittels einer Speichereinrichtung (9) abspeicherbar ist, und wobei das Aktivierungssignal (8) über mindestens einen Aktivierungszyklus des Steuergeräts hinaus in der Speichereinrichtung (9) abspeicherbar ist, wobei das abgespeicherte Aktivierungssignal (8) in der Speichereinrichtung (9) durch ein durch den Hauptrechner (1) an die Verarbeitungseinheit (6) übermittelbares Rücksetzsignal (10) zurücksetzbar ist, und wobei die Zurücksetzung der Speichereinrichtung (9) durchführbar ist, wenn keine Fehlfunktion des Hauptrechners (1) und/oder des ersten Aktuators (2) durch den Überwachungsrechner (3) feststellbar ist, und wobei die Signale des Hauptrechners und/oder des ersten Aktuators mit den Signalen des Überwachungsrechners miteinander gekoppelt sind, wobei für den Fall, dass die Verarbeitungseinheit das Rücksetzsignal von dem Hauptrechner empfängt, die Verarbeitungseinheit das Signal des Überwachungsrechners an die Verarbeitungseinheit überprüft, wobei wobei wenn das Signal „Fehlfunktion festgestellt“ übermittelt wird keine Rücksetzung des Speichers durchführbar ist, ist jedoch das Signal „keine Fehlfunktion“ übermittelt worden, so wird eine Rücksetzung des Speichers erlaubt, wobei bei einer Fehlerheilung, also einer Rücksetzung der Speichereinrichtung, der redundante Aktuator wieder deaktiviert ist und das System wieder in den Normalbetrieb zurückgesetzt ist.
  2. Vorrichtung nach Anspruch 1, dadurch gekennzeichnet, dass durch Zurücksetzung der Speichereinrichtung (9) der zweite Aktuator (5) deaktivierbar ist.
  3. Verfahren zur Ansteuerung von redundanten Aktuatoren durch eine Vorrichtung umfassend einen Hauptrechner (1) und mindestens einen Überwachungsrechner (3), welche signaltechnisch verbunden sind, wobei durch ein übergeordnetes Steuergerät (4) die Vorrichtung aktiviert wird, umfassend die a. Ansteuerung mindestens eines ersten Aktuators (2) mittels des Hauptrechners (1); b. Überwachung des Hauptrechners (1) und Ansteuerung mindestens. eines redundanten zweiten Aktuators (5) mittels des Überwachungsrechners (3); c. Aktivierung mindestens eines redundanten zweiten Aktuators (5) durch den Überwachungsrechner (3), wenn das übergeordnete Steuergerät (4) aktiviert ist und durch den Überwachungsrechner (3) eine Fehlfunktion des Hauptrechners (1) und/oder des ersten Aktuators (2) festgestellt wird, wobei der zweite Aktuator (5) hierbei ein Element ist, das redundant zu dem ersten Aktuator angeordnet ist und nur dann aktiviert wird, wenn das System aktiv ist und der Überwachungsrechner eine Fehlfunktion feststellt und wobei der zweite Aktuator also in diesem Fall die Funktion des ersten Aktuators übernimmt, da dieser aufgrund einer Fehlfunktion des Hauptrechners und/oder des ersten Aktuators selbst nicht funktionsfähig ist, wobei das Steuergerät (4) und der Überwachungsrechner (3) zumindest signaltechnisch mit einer Verarbeitungseinheit (6) verbindbar sind und jeweils mindestens ein vorbestimmbarer Signalwert (7) an die Verarbeitungseinheit (6) übermittelbar ist, wobei durch die Verarbeitungseinheit der zweiten Aktuator (5) aktivierbar ist, wenn durch das Steuergerät (4) ein vorbestimmbarer erster Signalwert (12) und durch den Überwachungsrechner (3) ein vorbestimmbarer zweiter Signalwert (13) übermittelbar ist wobei die Verarbeitungseinheit (6) eine Rechnereinheit umfasst, die als CPU oder GPU ausgebildet ist, wobei wobei durch die Aktivierung des zweiten Aktuators (5) ein entsprechendes Aktivierungssignal (8) durch die Verarbeitungseinheit (6) erzeugt wird, wobei das Aktivierungssignal (8) mittels einer Speichereinrichtung (9) abgespeichert wird, und wobei das Aktivierungssignal (8) über mindestens einen Aktivierungszyklus des Steuergeräts hinaus in der Speichereinrichtung (9) abgespeichert ist, wobei das abgespeicherte Aktivierungssignal (8) in der Speichereinrichtung (9) durch ein durch den Hauptrechner (1) an die Verarbeitungseinheit (6) übermittelbares Rücksetzsignal (10) zurückgesetzt wird, und wobei die Zurücksetzung der Speichereinrichtung (9) durchgeführt wird, wenn keine Fehlfunktion des Hauptrechners (1) und/oder des ersten Aktuators (2) durch den Überwachungsrechner (3) festgestellt wird, und wobei die Signale des Hauptrechners und/oder des ersten Aktuators mit den Signalen des Überwachungsrechners miteinander gekoppelt werden, wobei für den Fall, dass die Verarbeitungseinheit das Rücksetzsignal von dem Hauptrechner empfängt, die Verarbeitungseinheit das Signal des Überwachungsrechners an die Verarbeitungseinheit überprüft, wobei wenn das Signal „Fehlfunktion festgestellt“ übermittelt wird keine Rücksetzung des Speichers durchführbar ist, ist jedoch das Signal „keine Fehlfunktion“ übermittelt worden, so wird eine Rücksetzung des Speichers erlaubt, wobei bei einer Fehlerheilung, also einer Rücksetzung der Speichereinrichtung, der redundante Aktuator wieder deaktiviert wird und das System wieder in den Normalbetrieb zurückgesetzt wird.
DE102015119611.5A 2015-11-13 2015-11-13 Verbesserung der Diagnostizierbarkeit von Fail-operational Systemen Active DE102015119611B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102015119611.5A DE102015119611B4 (de) 2015-11-13 2015-11-13 Verbesserung der Diagnostizierbarkeit von Fail-operational Systemen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102015119611.5A DE102015119611B4 (de) 2015-11-13 2015-11-13 Verbesserung der Diagnostizierbarkeit von Fail-operational Systemen

Publications (2)

Publication Number Publication Date
DE102015119611A1 DE102015119611A1 (de) 2017-05-18
DE102015119611B4 true DE102015119611B4 (de) 2019-09-12

Family

ID=58640353

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015119611.5A Active DE102015119611B4 (de) 2015-11-13 2015-11-13 Verbesserung der Diagnostizierbarkeit von Fail-operational Systemen

Country Status (1)

Country Link
DE (1) DE102015119611B4 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017210151A1 (de) * 2017-06-19 2018-12-20 Zf Friedrichshafen Ag Vorrichtung und Verfahren zur Ansteuerung eines Fahrzeugmoduls in Abhängigkeit eines Zustandssignals

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010033836A1 (de) 2009-09-03 2011-03-10 Schaeffler Technologies Gmbh & Co. Kg Kupplungsaktor und Verfahren zu dessen Steuerung
DE202012101654U1 (de) 2012-05-04 2012-05-23 Chr. Mayr Gmbh & Co. Kg Kompaktsteuergerät zum fehlersicheren Ansteuern eines elektrischen Aktors
DE102012020322A1 (de) 2012-10-13 2014-04-17 Volkswagen Aktiengesellschaft Bremssystem und Verfahren zur Erzeugung einer Bremskraft

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010033836A1 (de) 2009-09-03 2011-03-10 Schaeffler Technologies Gmbh & Co. Kg Kupplungsaktor und Verfahren zu dessen Steuerung
DE202012101654U1 (de) 2012-05-04 2012-05-23 Chr. Mayr Gmbh & Co. Kg Kompaktsteuergerät zum fehlersicheren Ansteuern eines elektrischen Aktors
DE102012020322A1 (de) 2012-10-13 2014-04-17 Volkswagen Aktiengesellschaft Bremssystem und Verfahren zur Erzeugung einer Bremskraft

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ISO 26262
ISO-Norm

Also Published As

Publication number Publication date
DE102015119611A1 (de) 2017-05-18

Similar Documents

Publication Publication Date Title
EP2765045B1 (de) Schaltung zur Steuerung eines Beschleunigungs-, Brems- und Lenksystems eines Fahrzeugs
EP2146881B1 (de) Elektromechanisches bremssystem mit einer ausfallsicheren energieversorgung und verfahren zur ausfallsicheren energieversorgung in einem elektromechanischen bremssystem für fahrzeuge
DE102015110968A1 (de) Fahrzeugparksystem-Ausfallmanagement
EP2676200B1 (de) Halbleiterschaltkreis und verfahren in einem sicherheitskonzept zum einsatz in einem kraftfahrzeug
DE10143454B4 (de) Einrichtung zur Steuerung eines Fahrzeuges
EP1615087B1 (de) Steuer- und Regeleinheit
DE102018220605B4 (de) Kraftfahrzeugnetzwerk und Verfahren zum Betreiben eines Kraftfahrzeugnetzwerks
DE102004041672B4 (de) Notbremseinrichtung und Bremssystem für ein Schienenfahrzeug sowie Verfahren zum Sicherstellen einer Notbremsfunktion bei Schienenfahrzeugen
DE102015119611B4 (de) Verbesserung der Diagnostizierbarkeit von Fail-operational Systemen
EP2559602B1 (de) Verfahren und Vorrichtung zum Sperren der Traktion eines stillstehenden Schienenfahrzeugs
EP2013731B1 (de) Schaltungsanordnung und verfahren zum betrieb einer schaltungsanordnung
DE102019216342B3 (de) Auswertevorrichtung zur fehlertoleranten Auswertung von Sensorsignalen für ein Motorsteuergerät einer Kraftfahrzeuglenkung und Kraftfahrzeuglenkung
DE102007046706A1 (de) Steuervorrichtung für Fahrzeuge
DE10252990B3 (de) Steuereinheit zur Auslösung eines Insassenschutzmittels in einem Kraftfahrzeug und Verfahren zur Überwachung der ordnungsgemäßen Funktion einer vorzugsweise solchen Steuereinheit
DE10030996B4 (de) Vorrichtung und Verfahren zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug
EP3659032B1 (de) Verfahren zum betreiben eines steuergerätes und vorrichtung mit zugehörigem steuergerät
DE102015203250A1 (de) Sicherheitsvorrichtung und Verfahren zum Überführen eines Aktorsystems in einen sicheren Zustand, Aktorsystem und Verfahren zum Betreiben eines Aktorsystems
EP3459204B1 (de) Verfahren zur realisierung einer diagnosefähigkeit von nicht-automotive-steuergeräten in einem automotive-umfeld
DE102015215847B3 (de) Vorrichtung und Verfahren zur Erhöhung der funktionalen Sicherheit in einem Fahrzeug.
DE102015203253A1 (de) Sicherheitsschaltungseinheit
EP3091156B1 (de) Verfahren zur detektion einer betätigungshandlung
DE3731097A1 (de) Schaltungsanordnung zur ueberwachung einer einrichtung mit zwei mikroprozessoren, insbesondere einer kraftfahrzeug-elektronik
DE102015203252A1 (de) Sicherheitsvorrichtung und Verfahren zum Überführen eines Aktorsystems in einen sicheren Zustand, Aktorsystem und Verfahren zum Betreiben eines Aktorsystems
DE102017218898A1 (de) Kontrollsystem für ein Batteriesystem
DE102007015937B4 (de) Überwachungsverfahren zum Prüfen von Schaltungen sowie Monitorschaltkreis und dessen Verwendung

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final