DE102015201278A1 - Steuersystem - Google Patents

Steuersystem Download PDF

Info

Publication number
DE102015201278A1
DE102015201278A1 DE102015201278.6A DE102015201278A DE102015201278A1 DE 102015201278 A1 DE102015201278 A1 DE 102015201278A1 DE 102015201278 A DE102015201278 A DE 102015201278A DE 102015201278 A1 DE102015201278 A1 DE 102015201278A1
Authority
DE
Germany
Prior art keywords
data
controller
output
data output
driver
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102015201278.6A
Other languages
English (en)
Other versions
DE102015201278B4 (de
Inventor
Robert Komanek
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Automotive Technologies GmbH
Original Assignee
Continental Automotive GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive GmbH filed Critical Continental Automotive GmbH
Priority to DE102015201278.6A priority Critical patent/DE102015201278B4/de
Priority to KR1020177020902A priority patent/KR102021681B1/ko
Priority to CN201580074598.1A priority patent/CN107210937B/zh
Priority to PCT/EP2015/077780 priority patent/WO2016119946A1/de
Publication of DE102015201278A1 publication Critical patent/DE102015201278A1/de
Application granted granted Critical
Publication of DE102015201278B4 publication Critical patent/DE102015201278B4/de
Priority to US15/659,238 priority patent/US10523544B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0745Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in an input/output transactions management context
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40032Details regarding a bus interface enhancer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Control Of Multiple Motors (AREA)

Abstract

Ein Steuersystem (100) umfasst ein erstes Steuergerät (110), ein zweites Steuergerät (115) und einen Treiberbaustein (120) für einen Datenbus (105). Dabei umfasst das erste Steuergerät (110) einen Datenausgang (125), der mit einem Dateneingang des Treiberbausteins (120) verbunden ist, und eine Überwachungseinrichtung (150) zum Deaktivieren des Datenausgangs (125) im Fehlerfall. Ein Deaktivierungssignal des zweiten Steuergeräts (115) für den Treiberbaustein (120) ist an einen Dateneingang (165) des ersten Steuergeräts (110) geführt und das erste Steuergerät (110) ist dazu eingerichtet, den Datenausgang (125) auf ein Fehlersignal am Dateneingang (165) hin zu deaktivieren.

Description

  • Die Erfindung betrifft ein Steuersystem. Insbesondere betrifft die Erfindung die Sicherung eines an einen Datenbus anschließbaren Steuersystems gegen einen Fehlerzustand.
  • Ein Steuersystem, beispielsweise an Bord eines Kraftfahrzeugs, ist an einen Datenbus angeschlossen, über den es mit anderen Steuersystemen oder Steuergeräten kommunizieren kann. Manche dieser Steuergeräte oder -systeme können die Steuerfunktionen erfüllen, die für eine Sicherheit einer Bedienperson oder unbeteiligten Personen im Umfeld relevant sind. Beispielsweise können an Bord eines Kraftfahrzeugs ein Verbrennungsmotor oder eine Bremseinrichtung gesteuert werden. Besteht eine Fehlfunktion in einem der Steuersysteme oder -geräte, so ist sicherzustellen, dass über den Datenbus keine Daten übertragen werden, die die Funktion eines anderen Steuersystems oder -geräts beeinträchtigen und so die Sicherheit eines gesteuerten Prozesses kompromittieren kann.
  • Der Datenbus kann beispielsweise einen CAN-Bus umfassen. Ein Steuergerät des Steuersystems ist mittels eines Treiberbausteins mit dem CAN-Bus verbunden. Das Steuergerät ist dazu eingerichtet, einen Fehlerzustand selbsttätig zu erkennen und den Treiberbaustein im Fehlerfall abzuschalten. Dazu ist ein dedizierter Ausgang des Steuergeräts mit einem korrespondierenden Freigabeeingang des Treiberbausteins verbunden. Zur Erhöhung der Sicherheit kann ein weiteres Steuergerät vorgesehen sein, das bestimmte Operationen des ersten Steuergeräts überwacht und einen Fehlerzustand feststellt. Wird ein Fehlerzustand festgestellt, so schaltet das zweite Steuergerät den Treiberbaustein über dessen Freigabeeingang ab. Dazu ist eine logische Verknüpfung der Abschaltsignale beider Steuergeräte erforderlich. Außerdem muss dann ein Treiberbaustein verwendet werden, der über einen herausgeführten Freigabeeingang verfügt.
  • Wird der Treiberbaustein abgeschaltet, so liefert er üblicherweise ein Fehlersignal an das erste Steuergerät. Dieses oder das andere Steuergerät muss dann üblicherweise den Grund der Abschaltung bestimmen. Dazu kommen ein Fehler im ersten Steuergerät, ein Fehler im zweiten Steuergerät und ein Fehler im Treiberbaustein infrage. Zusätzlich können Verbindungen oder Verknüpfungen von Signalen fehlerhaft sein. Schließlich kann auch das Fehlersignal selbst fehlerhaft sein. Um den Fehler korrekt zuzuordnen, müssen daher unterschiedliche Signalpfade zwischen den Steuergeräten und dem Treiberbaustein überprüft werden. Diese Überprüfung kann aufwendig sein und bedingen, dass Signale auf dem Datenbus ausgegeben werden, die nur der Fehlerbestimmung dienen und nicht an ein anderes Steuergerät oder -system gerichtet sind.
  • Es ist Aufgabe der vorliegenden Erfindung, ein Steuersystem zum Anschluss an einen Datenbus bereitzustellen, der eine verbesserte Fehleranalyse unterstützt. Diese Aufgabe wird durch ein Steuersystem mit den Merkmalen des unabhängigen Anspruchs gelöst. Unteransprüche geben bevorzugte Ausführungsformen wieder.
  • Ein Steuersystem umfasst ein erstes Steuergerät, ein zweites Steuergerät und einen Treiberbaustein für einen Datenbus. Dabei umfasst das erste Steuergerät einen Datenausgang, der mit einem Dateneingang des Treiberbausteins verbunden ist, und eine Überwachungseinrichtung zum Deaktivieren des Datenausgangs im Fehlerfall. Ein Deaktivierungssignal des zweiten Steuergeräts für den Treiberbaustein ist an einen Dateneingang des ersten Steuergeräts geführt und das erste Steuergerät ist dazu eingerichtet, den Datenausgang auf ein Fehlersignal am zweiten Eingang hin zu deaktivieren.
  • Dadurch kann ein Treiberbaustein verwendet werden, der über keinen Freigabeeingang verfügt. Der Treiberbaustein kann eine verringerte Anzahl Anschlüsse aufweisen, sodass der Treiberbaustein kompakter ausgeführt sein kann. Das Steuersystem kann dadurch kompakter aufgebaut werden. Außerdem können durch die verringerte Anzahl Anschlüsse Herstellungskosten reduziert oder eine Betriebssicherheit des Steuersystems gesteigert sein. Insbesondere kann die Zuverlässigkeit der Abschaltung des Treiberbausteins verbessert sein. Ferner kann eine logische Verknüpfung von Abschaltsignalen des ersten und des zweiten Steuergeräts erfolgen, ohne hierfür ein Bauelement oder einen integrierten Schaltkreis außerhalb der Steuergeräte und des Treiberbausteins vorzusehen. Das Steuersystem kann dadurch weiter vereinfacht aufgebaut sein. Der Raumbedarf des Steuersystems oder eine benötigte Fläche auf einer Leiterplatte können weiter gesenkt sein.
  • Außerdem kann es vereinfacht möglich sein, die Quelle einer Abschaltung zu bestimmen. Das erste Steuergerät kann insbesondere vereinfacht feststellen, ob die Abschaltung aufgrund einer eigenen Entscheidung oder aufgrund eines abgetasteten Signals des zweiten Steuergeräts erfolgt ist. Ein Abschalten des Treiberbausteins beispielsweise aufgrund einer Selbstüberwachung des Treiberbaustein kann auf bekannte Weise mittels eines Fehlersignals bestimmt werden, das der Treiberbaustein bereitstellt und das an einen Eingang beispielsweise des ersten Steuergeräts geführt ist.
  • Insbesondere kann vermieden werden, dass im Fall eines Fehlerzustands im Steuersystem auf dem Datenbus Signale ausgegeben werden, die von einem weiteren angeschlossenen Steuergerät oder Steuersystem irrtümlich als Daten, insbesondere als gültige Daten, interpretiert werden können. Eine Sicherheit eines Systems, das das Steuersystem umfasst, kann dadurch gesteigert sein. Insbesondere kann bei Einsatz des Steuersystems an Bord eines Kraftfahrzeugs verbessert sichergestellt sein, dass das Steuersystem auch im Fehlerfall die Steuerung eines Prozesses, dessen Steuereinrichtung mit dem Datenbus verbunden ist, nicht beeinträchtigt. Eine Sicherheit einer Person an Bord des Kraftfahrzeugs oder im Bereich des Kraftfahrzeugs kann dadurch verbessert sein.
  • Es ist insbesondere bevorzugt, dass das Signal der Überwachungseinrichtung und das Signal am Dateneingang des ersten Steuergeräts mittels einer Logikschaltung innerhalb des ersten Steuergeräts miteinander verknüpft werden. Das erste Steuergerät kann dazu eingerichtet sein, eine derartige Verknüpfung mittels einer entsprechenden Konfiguration bereitzustellen. Diese Konfiguration kann beispielsweise während des Hochfahrens des ersten Steuergeräts durchgeführt werden. Ein hierfür erforderlicher Programmaufwand kann gering sein, sodass das Programm einfacher variiert oder verifiziert werden kann. Die Konfiguration kann außerdem dagegen geschützt sein, durch einen Prozess, der nach dem Hochfahren im ersten Steuergerät ausgeführt wird, verändert wird.
  • Dabei ist besonders bevorzugt, dass der Datenausgang durch jedes der Signale unabhängig voneinander deaktiviert werden kann. Anders ausgedrückt ist bevorzugt, dass der Datenausgang nur dann aktiviert ist, wenn weder die Überwachungseinrichtung innerhalb des ersten Steuergeräts noch das Signal des zweiten Steuergeräts am Dateneingang des Steuergeräts dagegen sprechen. Die Deaktivierung des Datenausgangs hat somit Vorrang gegenüber einem Aktivierungssignal eines der Steuergeräte.
  • Der Datenausgang kann insbesondere dazu eingerichtet sein, auf ein Deaktivierungssignal hin hochohmig zu werden. Anders ausgedrückt, können Ausgangstreiber des ersten Steuergeräts auf das Deaktivierungssignal hin abgeschaltet werden. Solche Ausgangstreiber sind auch unter der Bezeichnung Tri-State-Treiber bekannt. Solche Datentreiber können an einem extern herausgeführten Anschluss des ersten Steuergeräts drei Zustände einnehmen, nämlich logisch 1, logisch 0 und hochohmig. Die ersten beiden Zustände sind für das Übermitteln von Daten zum Treiberbaustein vorgesehen. Wird der Anschluss hochohmig geschaltet, so wird das am Eingang des Treiberbausteins anliegende Signal nicht mehr durch das erste Steuergerät beeinflusst. Der Treiberbaustein kann diesen Zustand erkennen und einen geeignete Maßnahme ergreifen. Der Treiberbaustein kann in diesem Fall auch einen vorbestimmten logischen Pegel an seinem Eingang detektieren, der üblicherweise so definiert ist, dass ein Senden von Daten des Treiberbausteins auf den Datenbus möglichst umgehend unterbunden wird.
  • In einer weiteren Ausführungsform kann der Treiberbaustein zusätzlich durch das erste Steuergerät in einen Energie sparenden Modus versetzt werden. Dazu ist bevorzugt, dass der Treiberbaustein einen Freigabeeingang umfasst, der mit einem weiteren Datenausgang des ersten Steuergeräts verbunden ist, sodass der Treiberbaustein durch das erste Steuergerät gesteuert werden kann. Der Freigabeeingang ist bevorzugterweise ein Steuereingang, der in einer Ausführungsform auch als „Enable“-Eingang bekannt ist. Dieses Sperren entspricht dem Gegenteil einer Freigabe. Das Steuersystem kann dadurch noch effizienter vom Datenbus getrennt werden. Der deaktivierte Zustand des Treiberbausteins wird gelegentlich auch Schlafzustand genannt. Unter Umständen kann der Schlafzustand beendet werden, indem der Treiberbaustein über den Datenbus adressiert bzw. mit vorbestimmten Daten angesteuert wird.
  • Bevorzugterweise ist der weitere Datenausgang unabhängig von einer Deaktivierung des anderen Datenausgangs steuerbar. Das Deaktivieren des Datenausgangs kann dadurch unabhängig vom Deaktivieren des Treiberbausteins gehalten sein. Zu Analysezwecken, insbesondere im Rahmen eines Selbsttestes oder zur Bestimmung, aus welchem Grund oder aus welcher Quelle der mit dem Ausgangstreiber verbundene Datenausgang deaktiviert wurde, kann dies vorteilhaft sein.
  • Es ist weiter bevorzugt, dass der Treiberbaustein einen Freigabeausgang umfasst, um seinen Freigabezustand anzuzeigen, wobei der Freigabeausgang mit einem weiteren Dateneingang des ersten Steuergeräts verbunden ist.
  • Das erste Steuergerät kann dadurch den Zustand des Treiberbausteins abtasten, ohne eine Datenaustausch über den Datenbus zu bewirken. Insbesondere kann das erste Steuergerät detektieren, wenn der Treiberbaustein seinen Freigabezustand ändert, ohne dass dies durch eines der Steuergeräte veranlasst wurde. Dazu können beispielsweise ein Eintreten in einen Freigabezustand durch Signalisierung über den Datenbus oder ein Austreten aus dem Freigabezustand aufgrund eines selbstdiagnostizierten Fehlers zählen.
  • Die Erfindung wird nun mit Bezug auf die beigefügte Figur genauer beschrieben, die eine schematische Darstellung eines Steuersystems darstellt.
  • Die Figur zeigt ein Steuersystem 100 zur Verbindung mit einem Datenbus 105. Das Steuersystem 100 ist bevorzugterweise dazu eingerichtet, an Bord eines Kraftfahrzeugs verwendet zu werden. Dabei kann das Steuersystem 100 eine beliebige Steueraufgabe, etwa eine Motorsteuerung oder eine Bremsensteuerung, durchführen. Der Datenbus 105 kann beispielsweise einen CAN-Bus umfassen. Am Datenbus 105 können eines oder mehrere weitere Steuergeräte oder Steuersysteme angeschlossen sein, von denen eines eine Steueraufgabe durchführen kann, deren Fehlausführung die physische oder funktionale Sicherheit eines umgebenden Systems, insbesondere des Kraftfahrzeugs, beeinträchtigen kann.
  • Das Steuersystem 100 umfasst ein erstes Steuergerät 110, ein zweites Steuergerät 115 und einen Treiberbaustein 120. Das erste Steuergerät 110 kann insbesondere als programmierbarer Mikrocomputer ausgeführt sein. Bevorzugterweise wird ein konfigurierbarer Mikrocomputer verwendet, der Funktionseinheiten umfasst, die zunächst voneinander unabhängig sind und deren Interaktionen durch vorbestimmte Steuerbefehle konfiguriert werden können. Eine solche Ausführungsform wird auch Mikrocontroller genannt. Die in der Figur gezeigten Elemente des ersten Steuergeräts 110 können miteinander integriert ausgeführt sein, beispielsweise als separat handhabbare Baugruppe. Die Integration kann umfassen, dass die Elemente auf einem gemeinsamen Halbleitersubstrat gebildet sind. In diesem Fall kann auch von einem Einchip-Mikrocontroller gesprochen werden. Das zweite Steuergerät 115 kann ein beliebiges Steuergerät sein, das beispielsweise ebenfalls als programmierbarer Mikrocomputer ausgeführt sein kann, alternativ auch beispielsweise als anwenderspezifischer integrierter Schaltkreis (ASIC) oder als Field Programmable Gate Array (FPGA). Das zweite Steuergerät 115 ist separat vom ersten Steuergerät 110 ausgeführt und bevorzugterweise dazu eingerichtet, eine Funktion des ersten Steuergeräts 110 zu überwachen. Allerdings ist bevorzugt, dass sich die Steuergeräte 110 und 115 in räumlicher Nähe zueinander befinden, indem sie beispielsweise auf der gleichen Leiterplatte, in der gleichen Baugruppe oder im gleichen Gehäuse angeordnet sind. Das Steuersystem 100 ist bevorzugterweise eine separat handhabbare Einheit, die beispielsweise an Bord eines Kraftfahrzeugs angebracht wird. Ein Selbsttest des Steuersystems 100 kann dadurch vereinfacht sein.
  • Eine derartige redundante Überwachung ist beispielsweise bei einer sicherheitsrelevanten Steuerung wie einer Bremsensteuerung an Bord eines Kraftfahrzeugs anzutreffen. Der Treiberbaustein 120 ist bevorzugterweise ebenfalls separat vom ersten Steuergerät 110 ausgeführt und dazu eingerichtet, Daten mit dem Datenbus 105 auszutauschen. Dazu können insbesondere Spannungen, Ströme oder andere physische Signale, die auf den Datenbus 105 definiert sind, durch den Treiberbaustein 120 generiert bzw. ausgewertet werden.
  • Das erste Steuergerät 110 umfasst einen ersten Datenausgang 125 und bevorzugterweise einen zweiten Datenausgang 130. Die Datenausgänge 125, 130 sind bevorzugterweise als Anschlüsse des ersten Steuergeräts 110 physisch zugänglich. Der zweite Datenausgang 130 ist mit einem Freigabeeingang 135 des Treiberbausteins 120 verbunden. Daten, die vom ersten Steuergerät 110 auf den Datenbus 105 ausgegeben werden sollen, werden über diese Verbindung zum Treiberbaustein 120 übertragen. Der erste Datenausgang 125 kann innerhalb des ersten Steuergeräts 110 deaktiviert werden. Der zweite Datenausgang 130 ist bevorzugterweise davon unabhängig. Zur Deaktivierung kann beispielsweise innerhalb des ersten Steuergeräts 110 ein Ausgangstreiber 140 vorgesehen sein, der über ein zugeordnetes Signal in einen hochohmigen Zustand versetzt werden kann. Dieses Signal wird innerhalb des ersten Steuergeräts 110 bevorzugterweise mittels einer Logikschaltung 145 bereitgestellt, die dazu eingerichtet ist, wenigstens zwei Signale logisch miteinander zu verknüpfen. Eins der Signale wird dabei durch eine interne Überwachungseinrichtung 150 bereitgestellt.
  • Die Logikschaltung 145 kann mit einem anderen Funktionsblock innerhalb des ersten Steuergeräts 110 integriert ausgeführt sein. Bevorzugterweise ist die Logikschaltung 145 konfigurierbar, sodass die Art der logischen Verknüpfung oder die miteinander verknüpften Signale ausgewählt werden können. Die Überwachungseinrichtung 150 ist dazu eingerichtet, eine Funktion des ersten Steuergeräts 110 intern zu überwachen. Dazu können beispielsweise ein Speicherschutz oder eine zeitgesteuerte Überwachungseinrichtung („Watchdog Timer“) durch die Überwachungseinrichtung 150 implementiert sein. Im Betrieb des ersten Steuergeräts 110 kann die Überwachungseinrichtung 150 durch einen Mikroprozessor 155 kontaktiert werden, auf dem ein Überwachungsprogramm 160 abläuft.
  • Das erste Steuergerät 110 umfasst weiter einen ersten Dateneingang 165 und optional noch einen zweiten Dateneingang 170 oder einen dritten Dateneingang 175. Der erste Dateneingang 165 ist außerhalb des ersten Steuergeräts 110 mit einem Ausgang 180 des zweiten Steuergeräts 115 verbunden und intern an die Logikschaltung 145 geführt. Die Logikschaltung 145 ist dazu eingerichtet, den ersten Datenausgang 125 beziehungsweise den Ausgangstreiber 140 abzuschalten, wenn wenigstens eines der Signale des ersten Datenausgangs 165 oder der Überwachungseinrichtung 150 ein entsprechendes Fehlersignal führt.
  • Der Prozessor 155 ist bevorzugterweise mit dem zweiten Datenausgang 125 beziehungsweise dem Ausgangstreiber 140 verbunden, um Daten in Richtung des Datenbusses 105 ausgeben zu können. Ein sogenanntes CAN-Peripheral (CAN-Bus Controller) zur Steuerung von Versenden und Empfangen von Daten über den Datenbus 105 ist in 1 nicht dargestellt, kann aber ebenfalls vorgesehen und auf übliche Weise verbunden werden, insbesondere mit dem dritten Dateneingang 170 und über den Ausgangstreiber 140 mit dem ersten Datenausgang 125. Empfängt der Treiberbaustein 120 Daten vom Datenbus 105, so leitet er diese bevorzugterweise über einen Ausgang 185 an den zweiten Eingang 170 des ersten Steuergeräts 110 weiter, von wo aus sie der Mikroprozessor 155 entgegennehmen und verarbeiten kann.
  • In einer optionalen Ausführungsform ist der Treiberbaustein 120 dazu eingerichtet, freigegeben oder gesperrt zu werden. Der gesperrte Zustand wird gelegentlich auch Schlafzustand genannt. Das Einnehmen des Schlafzustands nennt man dann Einschlafen und das Verlassen des Schlafzustands Aufwachen. Über ein entsprechendes Signal am zweiten Datenausgang 130 des ersten Steuergeräts 110 kann der Treiberbaustein 120 in seinem Freigabezustand beeinflusst, das heißt, Schlafen geschickt oder aufgeweckt werden. Bevorzugterweise umfasst der Treiberbaustein 120 darüber hinaus einen Freigabeausgang 190, der mit dem dritten Dateneingang 175 des ersten Steuergeräts 110 verbunden ist. Über den Freigabeausgang 190 zeigt der Treiberbaustein 120 seinen Freigabezustand an. Das erste Steuergerät 110 kann dadurch abtasten, ob ein über den zweiten Datenausgang 130 beziehungsweise den Freigabeeingang 135 gegebenes Signal durch den Treiberbaustein korrekt umgesetzt wurde. Außerdem kann das erste Steuergerät 110 über den dritten Dateneingang 175 abtasten, ob der Treiberbaustein 120 seinen Freigabezustand aus einem anderen Grund verändert als das Signal am zweiten Datenausgang 130. Beispielsweise kann der Treiberbaustein 120 sich selbst deaktivieren beziehungsweise einschlafen, wenn er einen Fehler, beispielsweise bei der Abwicklung eines Datentransfers zum oder vom Datenbus 105 entdeckt. Außerdem kann der Treiberbaustein 120 dazu eingerichtet sein, aus einem Schlafzustand geweckt zu werden, wenn über den Datenbus 105 entsprechende Signale an ihn gerichtet werden.
  • Bezugszeichenliste
  • 100
    Steuersystem
    105
    Datenbus
    110
    erstes Steuergerät
    115
    zweites Steuergerät
    120
    Treiberbaustein
    125
    erster Datenausgang
    130
    zweiter Datenausgang
    135
    Freigabeeingang
    140
    Ausgangstreiber
    145
    Logikschaltung
    150
    Überwachungseinrichtung
    155
    Mikroprozessor
    160
    Überwachungsprogramm
    165
    erster Dateneingang
    170
    zweiter Dateneingang
    175
    dritter Dateneingang
    180
    Ausgang
    185
    Ausgang
    190
    Freigabeausgang

Claims (7)

  1. Steuersystem (100), umfassend: – ein erstes Steuergerät (110); – ein zweites Steuergerät (115); und – einen Treiberbaustein (120) für einen Datenbus (105); – wobei das erste Steuergerät (110) folgendes umfasst: – einen Datenausgang (125), der mit einem Dateneingang des Treiberbausteins (120) verbunden ist; und – eine Überwachungseinrichtung (150) zum Deaktivieren des Datenausgangs (125) im Fehlerfall; – wobei ein Deaktivierungssignal des zweiten Steuergeräts (115) für den Treiberbaustein (120) an einen Dateneingang (165) des ersten Steuergeräts (110) geführt ist – und das erste Steuergerät (110) dazu eingerichtet ist, den Datenausgang (125) auf ein Fehlersignal am Dateneingang (165) hin zu deaktivieren.
  2. Steuersystem (100) nach einem der vorangehenden Ansprüche, wobei das Signal der Überwachungseinrichtung (150) und das Signal am Dateneingang (165) des ersten Steuergeräts (110) mittels einer Logikschaltung (145) innerhalb des ersten Steuergeräts (110) miteinander verknüpft werden.
  3. Steuersystem (100) nach Anspruch 2, wobei der Datenausgang (125) durch jedes der Signale unabhängig voneinander deaktiviert werden kann.
  4. Steuersystem (100) nach einem der vorangehenden Ansprüche, wobei der Datenausgang (125) dazu eingerichtet ist, auf ein Deaktivierungssignal hin hochohmig zu werden.
  5. Steuersystem (100) nach einem der vorangehenden Ansprüche, wobei der Treiberbaustein (120) einen Freigabeeingang (135) umfasst, der mit einem weiteren Datenausgang (130) des ersten Steuergeräts (110) verbunden ist, sodass der Treiberbaustein (120) durch das erste Steuergerät (110) gesperrt werden kann.
  6. Steuersystem (100) nach Anspruch 5, wobei der weitere Datenausgang (130) unabhängig von einer Deaktivierung des anderen Datenausgangs (125) steuerbar ist.
  7. Steuersystem (100) nach Anspruch 5 oder 6, wobei der Treiberbaustein (120) einen Freigabeausgang (190) umfasst, um seinen Freigabezustand anzuzeigen, und der Freigabeausgang (190) mit einem weiteren Dateneingang (175) des ersten Steuergeräts (110) verbunden ist.
DE102015201278.6A 2015-01-26 2015-01-26 Steuersystem Active DE102015201278B4 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE102015201278.6A DE102015201278B4 (de) 2015-01-26 2015-01-26 Steuersystem
KR1020177020902A KR102021681B1 (ko) 2015-01-26 2015-11-26 데이터 버스에서 버스의 보호
CN201580074598.1A CN107210937B (zh) 2015-01-26 2015-11-26 在数据总线中的总线监控器
PCT/EP2015/077780 WO2016119946A1 (de) 2015-01-26 2015-11-26 Bus guardian in a data bus
US15/659,238 US10523544B2 (en) 2015-01-26 2017-07-25 Bus guardian in a data bus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102015201278.6A DE102015201278B4 (de) 2015-01-26 2015-01-26 Steuersystem

Publications (2)

Publication Number Publication Date
DE102015201278A1 true DE102015201278A1 (de) 2016-07-28
DE102015201278B4 DE102015201278B4 (de) 2016-09-29

Family

ID=54937004

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015201278.6A Active DE102015201278B4 (de) 2015-01-26 2015-01-26 Steuersystem

Country Status (5)

Country Link
US (1) US10523544B2 (de)
KR (1) KR102021681B1 (de)
CN (1) CN107210937B (de)
DE (1) DE102015201278B4 (de)
WO (1) WO2016119946A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016106531A1 (de) * 2016-04-08 2017-10-12 Eaton Electrical Ip Gmbh & Co. Kg Busteilnehmer und Verfahren zum Betreiben eines Busteilnehmers
WO2020193642A1 (de) * 2019-03-26 2020-10-01 Vitesco Technologies GmbH Schaltungsanordnung zum verhindern der fehlerhaften datenübertragung über eine busschnittstelle

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017217422A1 (de) * 2017-09-29 2019-04-04 Siemens Aktiengesellschaft Konzept zum Überwachen eines an ein Stellwerk eingehenden Netzwerkverkehrs

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10243713A1 (de) * 2002-09-20 2004-04-01 Daimlerchrysler Ag Redundante Steuergeräteanordnung
DE102009024095A1 (de) * 2008-06-13 2009-12-17 Continental Teves Ag & Co. Ohg Integrierte digitale Recheneinheit mit einem Datenbusausgang
US7676286B2 (en) * 2004-12-20 2010-03-09 Disser Robert J Fail-silent node architecture
DE102009005266A1 (de) * 2009-01-20 2010-07-22 Continental Teves Ag & Co. Ohg Anbindung eines Kommunikationscontrollers in Sicherheitsarchitekturen

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000010171U (ko) * 1998-11-17 2000-06-15 김종수 직렬통신용 드라이버의 제어회로
US6560663B1 (en) * 1999-09-02 2003-05-06 Koninklijke Philips Electronics N.V. Method and system for controlling internal busses to prevent bus contention during internal scan testing
EP1623535B1 (de) * 2003-05-05 2007-06-20 Philips Intellectual Property & Standards GmbH Fehlererkennung und unterdrückung in einem tdma-basierten netzknoten
US8228953B2 (en) * 2004-12-20 2012-07-24 Nxp B.V. Bus guardian as well as method for monitoring communication between and among a number of nodes, node comprising such bus guardian, and distributed communication system comprising such nodes
DE102005061392A1 (de) * 2005-12-22 2007-06-28 Robert Bosch Gmbh Bus-Guardian eines Teilnehmers eines Kommunikationssystems, sowie Teilnehmer für ein Kommunikationssystem
DE102005061403A1 (de) * 2005-12-22 2007-06-28 Robert Bosch Gmbh Überwachungseinheit zur Überwachung und Steuerung des Zugriffs eines Teilnehmers auf einen Datenbus und Teilnehmer mit einer solchen Überwachungseinheit
CN101491018A (zh) * 2006-07-19 2009-07-22 Nxp股份有限公司 分布式通信系统和对应通信方法
US9566920B2 (en) * 2011-01-21 2017-02-14 Continental Automotive Gmbh Circuit arrangement comprising a monitoring device
CN103786664B (zh) * 2014-02-14 2017-05-03 浙江吉利汽车研究院有限公司 汽车控制器局域网络总线唤醒装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10243713A1 (de) * 2002-09-20 2004-04-01 Daimlerchrysler Ag Redundante Steuergeräteanordnung
US7676286B2 (en) * 2004-12-20 2010-03-09 Disser Robert J Fail-silent node architecture
DE102009024095A1 (de) * 2008-06-13 2009-12-17 Continental Teves Ag & Co. Ohg Integrierte digitale Recheneinheit mit einem Datenbusausgang
DE102009005266A1 (de) * 2009-01-20 2010-07-22 Continental Teves Ag & Co. Ohg Anbindung eines Kommunikationscontrollers in Sicherheitsarchitekturen

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016106531A1 (de) * 2016-04-08 2017-10-12 Eaton Electrical Ip Gmbh & Co. Kg Busteilnehmer und Verfahren zum Betreiben eines Busteilnehmers
US11372796B2 (en) 2016-04-08 2022-06-28 Eaton Intelligent Power Limited Bus subscriber and method for operating a bus subscriber
WO2020193642A1 (de) * 2019-03-26 2020-10-01 Vitesco Technologies GmbH Schaltungsanordnung zum verhindern der fehlerhaften datenübertragung über eine busschnittstelle

Also Published As

Publication number Publication date
DE102015201278B4 (de) 2016-09-29
US10523544B2 (en) 2019-12-31
KR20170100011A (ko) 2017-09-01
CN107210937B (zh) 2020-09-15
US20170324631A1 (en) 2017-11-09
KR102021681B1 (ko) 2019-09-16
CN107210937A (zh) 2017-09-26
WO2016119946A1 (de) 2016-08-04

Similar Documents

Publication Publication Date Title
EP2550599B1 (de) Kontrollrechnersystem, verfahren zur steuerung eines kontrollrechnersystems, sowie verwendung eines kontrollrechnersystems
DE10353950C5 (de) Steuerungssystem
EP2649496B1 (de) Sicherheitsschaltgerät zum fehlersicheren abschalten eines elektrischen verbrauchers
DE102014102582A1 (de) Fehlertolerantes Steuerungssystem
EP2202592B1 (de) Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung
EP2956366B1 (de) Sicherheitskreisüberwachung mit wechselspannung
DE102015201278B4 (de) Steuersystem
EP2977905A1 (de) Anordnung zur selektiven freigabe einer debuggingschnittstelle
DE112021000448T5 (de) Elektrische und logische isolierung für systeme auf einem chip
EP2099164B1 (de) Sicherheitsvorrichtung zur sicheren Ansteuerung angeschlossener Aktoren
EP2989548A1 (de) Überwachung von redundanten komponenten
EP2648100B1 (de) Automatisierungsgerät mit Vorrichtungen zur Prozessorüberwachung
EP1615087A2 (de) Steuer- und Regeleinheit
DE102017011685A1 (de) Verfahren und Vorrichtung zur Verarbeitung von Alarmsignalen
EP3336624A1 (de) Anordnung mit zwei redundanten baugruppen die sich gegenseitig überwachen
EP1679729B1 (de) Vorrichtung zur sicheren Signalerzeugung
DE102015119611B4 (de) Verbesserung der Diagnostizierbarkeit von Fail-operational Systemen
DE10030996A1 (de) Vorrichtung und Verfahren zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug
DE102015203253A1 (de) Sicherheitsschaltungseinheit
DE102015220964B4 (de) Elektronische Steuerungsvorrichtung
EP1962246A1 (de) Sicherheitsvorrichtung und Sicherheitsverfahren mit mehreren Verarbeitungsstufen
DE102021104269B4 (de) Controller, elektronische Komponente und elektronisches System
DE102021104265B4 (de) Controller, elektronische Komponente und elektronisches System
DE102009055797A1 (de) Schaltungsanordnung und ein Steuergerät für sicherheitsrelevante Funktionen
EP3322620A1 (de) Vorrichtung und verfahren zum ansteuern einer endstufe für einen aktuator in einem fahrzeug

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R081 Change of applicant/patentee

Owner name: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, DE

Free format text: FORMER OWNER: CONTINENTAL AUTOMOTIVE GMBH, 30165 HANNOVER, DE

R081 Change of applicant/patentee

Owner name: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, DE

Free format text: FORMER OWNER: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, 30165 HANNOVER, DE