DE102022214185A1 - Method and computing unit for checking the plausibility of input signals - Google Patents

Method and computing unit for checking the plausibility of input signals Download PDF

Info

Publication number
DE102022214185A1
DE102022214185A1 DE102022214185.7A DE102022214185A DE102022214185A1 DE 102022214185 A1 DE102022214185 A1 DE 102022214185A1 DE 102022214185 A DE102022214185 A DE 102022214185A DE 102022214185 A1 DE102022214185 A1 DE 102022214185A1
Authority
DE
Germany
Prior art keywords
signal
input signal
computing unit
signals
duplicated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022214185.7A
Other languages
German (de)
Inventor
Christian Ruland
Sven Faehnle
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102022214185.7A priority Critical patent/DE102022214185A1/en
Publication of DE102022214185A1 publication Critical patent/DE102022214185A1/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Plausibilisierung eines Eingangssignals (A), das insbesondere von einer Recheneinheit (1) durchgeführt wird, und die Recheneinheit (1). Dazu wird zunächst das Eingangssignal (A) empfangen (S100) und anschließend dupliziert wird (S110), um ein dupliziertes Signal (A`) zu erhalten. Darauffolgend werden das Eingangssignal (A) durch eine erste Erfassungseinheit (3a) und das duplizierte Signal (A') durch eine zweite Erfassungseinheit (3b) erfasst (S120). Das erfassten Eingangssignals (A) und das erfassten duplizierten Signals (A`) werden gegeneinander plausibilisiert (S130), indem die beiden Signale miteinander verglichen werden (S131). Wenn das erfasste Eingangssignal (A) und das erfasste duplizierte Signal (A') miteinander übereinstimmen, wird eine erste Maßnahme durchgeführt. Stimmen die beiden Signale nicht überein, wird eine zweite Maßnahme durchgeführt.

Figure DE102022214185A1_0000
The invention relates to a method for checking the plausibility of an input signal (A), which is carried out in particular by a computing unit (1), and to the computing unit (1). For this purpose, the input signal (A) is first received (S100) and then duplicated (S110) in order to obtain a duplicated signal (A`). The input signal (A) is then detected by a first detection unit (3a) and the duplicated signal (A') by a second detection unit (3b) (S120). The detected input signal (A) and the detected duplicated signal (A`) are checked against each other for plausibility (S130) by comparing the two signals with each other (S131). If the detected input signal (A) and the detected duplicated signal (A') match, a first measure is carried out. If the two signals do not match, a second measure is carried out.
Figure DE102022214185A1_0000

Description

Die vorliegende Erfindung betrifft ein Verfahren zur Plausibilisierung eines Eingangssignals sowie eine Recheneinheit zu dessen Durchführung.The present invention relates to a method for checking the plausibility of an input signal and a computing unit for carrying out the method.

Hintergrund der ErfindungBackground of the invention

Um in Steuergeräten eine ausreichende Sicherheitsintegrität zu erreichen, können Eingangssignale, wie zum Beispiel Signale eines Bremsschalters, gegen eine zweite Quelle plausibilisiert werden. Dazu werden sicherheitskritische Schalter, wie ein Bremsschalter, zweikanalig bereitgestellt. Dies erfordert eine weitere Leitung und einen weiteren Schalter im Gesamtsystem, um genügend Sicherheitsintegrität zu erlangen.In order to achieve sufficient safety integrity in control units, input signals, such as signals from a brake switch, can be checked against a second source. To do this, safety-critical switches, such as a brake switch, are provided on two channels. This requires an additional line and an additional switch in the overall system in order to achieve sufficient safety integrity.

Eine singuläre Erfassung reicht aus verschiedenen Gründen nicht aus. Einer dieser Gründe ist, dass die Basissoftware in der Erfassungseinheit einer Recheneinheit in einem nicht geschützten Bereich läuft und so die entsprechenden Recheneinheit-Ressourcen jederzeit fehlerbehaftet sein können, wodurch das eigentliche Signal verfälscht werden kann. Eine Drift oder ein Einfrieren (engl.: Stuck) des Signals, ausgelöst zum Beispiel durch einen zufälligen Hardwarefehler in der Recheneinheit, kann dadurch bei einer singulären Erfassung der Signale nicht erkannt werden. Daher ist es derzeit nicht möglich, ein einkanaliges Signal ohne weitere Plausibilisierung für Safety-Anforderungen heranzuziehen.A singular acquisition is not sufficient for various reasons. One of these reasons is that the basic software in the acquisition unit of a computing unit runs in an unprotected area and the corresponding computing unit resources can therefore be faulty at any time, which can distort the actual signal. A drift or a freezing (stuck) of the signal, triggered for example by a random hardware error in the computing unit, cannot be detected with a singular acquisition of the signals. It is therefore currently not possible to use a single-channel signal for safety requirements without further plausibility checks.

Offenbarung der ErfindungDisclosure of the invention

Erfindungsgemäß werden ein Verfahren zur Plausibilisierung eines Eingangssignals und eine Recheneinheit zur Durchführung des Verfahrens mit den Merkmalen der unabhängigen Patentansprüche vorgeschlagen. Vorteilhafte Ausgestaltungen sind Gegenstand der Unteransprüche sowie der nachfolgenden Beschreibung.According to the invention, a method for checking the plausibility of an input signal and a computing unit for carrying out the method with the features of the independent patent claims are proposed. Advantageous embodiments are the subject of the subclaims and the following description.

Die Erfindung ermöglicht es, ein Signal, z.B. eines Sensors oder Schalters mit singulärer Leitung, in einer Recheneinheit, beispielsweise einem Steuergerät, mit genügend Sicherheitsintegrität zu verarbeiten. Ermöglicht wird dies durch ein Plausibilisierungskonzept innerhalb der Recheneinheit, welches erlaubt, z.B. eine Drift oder ein Einfrieren eines Signals, ausgelöst z.B. durch einen geräteinternen zufälligen Hardwarefehler, zu entdecken.The invention makes it possible to process a signal, e.g. from a sensor or switch with a single line, in a computing unit, e.g. a control unit, with sufficient safety integrity. This is made possible by a plausibility check concept within the computing unit, which allows, for example, a drift or freezing of a signal, triggered e.g. by a random hardware error within the device, to be detected.

Mit dieser Erfindung wird insbesondere der Einsatz von einkanaligen sicherheitsintegren Sensoren für Safety-Anwendungen ermöglicht.This invention enables in particular the use of single-channel safety-integrated sensors for safety applications.

Weiterhin kann vorteilhafterweise eine Hardwareredundanz, also beispielsweise eine sichere, d.h. redundante, Sensor-/Signal- und Leitungseinheit, bei Gewährleistung der geforderten Sicherheitsintegrität eingespart werden. Fehler in der Übertragung zur Recheneinheit können durch eine entsprechende Signalcharakteristik erkannt werden.Furthermore, hardware redundancy, for example a secure, i.e. redundant, sensor/signal and line unit, can be advantageously saved while ensuring the required safety integrity. Errors in the transmission to the computing unit can be detected by a corresponding signal characteristic.

Im Einzelnen wird zur Plausibilisierung eines Eingangssignals durch eine Recheneinheit zunächst das Eingangssignal empfangen. Anschließend wird das empfangene Eingangssignal dupliziert, um ein dupliziertes Signal zu erhalten. Das empfangene Eingangssignal wird dabei vor einer Erfassung, insbesondere unmittelbar am bzw. nach dem Eingang (Pin) der Recheneinheit dupliziert. Insbesondere findet das Duplizieren dabei nicht durch ein aktives elektronisches Bauelement, wie z.B. Transistor oder ASIC statt, sondern passiv, beispielsweise durch einen passiven Signalteiler bzw. ein passives Bauelement wie eine Signalbrücke. Das Eingangssignal und das duplizierte Signal werden anschließend von einer ersten Erfassungseinheit bzw. einer zweiten Erfassungseinheit erfasst. Die erste Erfassungseinheit und zweite Erfassungseinheit sind dabei Teil der Recheneinheit und beispielsweise in einer Ausführungsform als Analog-Digital-Wandler oder als generisches Zeitgebermodul (GTM, generic timer module) ausgebildet. Anschließend werden die beiden erfassten Signale, das erfasste Eingangssignal und das erfasste duplizierte Signal, gegeneinander plausibilisiert.In detail, to check the plausibility of an input signal by a computing unit, the input signal is first received. The received input signal is then duplicated to obtain a duplicated signal. The received input signal is duplicated before detection, in particular immediately at or after the input (pin) of the computing unit. In particular, the duplication does not take place using an active electronic component, such as a transistor or ASIC, but passively, for example using a passive signal splitter or a passive component such as a signal bridge. The input signal and the duplicated signal are then detected by a first detection unit or a second detection unit, respectively. The first detection unit and second detection unit are part of the computing unit and, for example, in one embodiment are designed as an analog-digital converter or as a generic timer module (GTM). The two detected signals, the detected input signal and the detected duplicated signal, are then checked against each other for plausibility.

Ein solches generisches Zeitgebermodul ist beispielsweise in EP 2 553 540 A1 beschrieben. Neben einem Taktgebermodul weist ein solches generisches Zeitgebermodul z.B. mehrere Eingangskanäle, um Signale, insbesondere PWM-Signale, zu empfangen und Eigenschaften empfangener Signale zumindest teilweise auszuwerten, und mehrere Ausgangskanäle, um Signale, insbesondere PWM-Signale mit bestimmbarer Periodenlänge und Haltedauer, auszugeben, auf. Weiter kann ein solches generisches Zeitgebermodul Rechenkerne sowie einen Speicher aufweisen, um etwa mittels Ausführung von Programmen eine weitergehende Auswertung empfangener Signale zu ermöglichen. Ein generisches Zeitgebermodul ermöglicht es beispielsweise, eine (Haupt-) Verarbeitungseinheit des Steuergeräts bei der Signalverarbeitung zu entlasten.Such a generic timer module is, for example, in EP 2 553 540 A1 described. In addition to a clock module, such a generic timer module has, for example, several input channels to receive signals, in particular PWM signals, and to at least partially evaluate properties of received signals, and several output channels to output signals, in particular PWM signals with a definable period length and holding time. Furthermore, such a generic timer module can have computing cores and a memory to enable further evaluation of received signals, for example by executing programs. A generic timer module makes it possible, for example, to relieve a (main) processing unit of the control unit of signal processing.

In Abhängigkeit von dem Ergebnis des Plausibilisierens wird eine Maßnahme ergriffen. Dabei kann beispielsweise, wenn das erfasste Eingangssignal und das erfasste duplizierte Signal nicht miteinander übereinstimmen, das Ergebnis des Plausibilisierens also negativ ist, eine Maßnahme durchgeführt werden, die verhindert, dass eine Weiterverarbeitung des erfassten Eingangssignals stattfindet oder dass Funktionen, die das Eingangssignal verwenden, ausgeführt werden.Depending on the result of the plausibility check, a measure is taken. For example, if the recorded input signal and the recorded duplicate signal do not match, i.e. the result of the plausibility check is negative, a measure can be taken that prevents further processing of the recorded input signal or that functions that use the input signal are not executed.

Wenn das erfasste empfangene Signal und das erfasste duplizierte Signal hingegen miteinander übereinstimmen, das Ergebnis des Plausibilisierens also positiv ist, kann beispielsweise eine Maßnahme durchgeführt werden, die bestätigt, dass eine Weiterverarbeitung oder Weiterverwendung des erfassten Eingangssignals stattfinden kann.However, if the recorded received signal and the recorded duplicated signal match each other, i.e. the result of the plausibility check is positive, a measure can be carried out, for example, to confirm that further processing or reuse of the recorded input signal can take place.

Die Maßnahme kann durch ein Fehler-Informationsbit umgesetzt werden, welches nachfolgenden Recheneinheiten zur Verfügung gestellt wird. Das Fehler-Informationsbit enthält das Ergebnis der Plausibilisierung.The measure can be implemented using an error information bit, which is made available to subsequent computing units. The error information bit contains the result of the plausibility check.

In einer Ausgestaltung wird bei der Plausibilisierung beispielsweise bestimmt, ob das erfasste Eingangssignal und das erfasste duplizierte Signal miteinander übereinstimmen, um insbesondere auszuschließen, dass eine Drift oder ein Einfrieren eines der beiden Signale vorliegen. Alternativ können das erfasste Eingangssignal und das duplizierte Signal zunächst vollständig verarbeitet werden und anschließend die Ergebnisse der Verarbeitung miteinander verglichen werden. Es ist möglich, dass die Verarbeitung beider Signale von zwei verschiedenen Ebenen (Funktionsebene und Überwachungsebene) durchgeführt und die Ergebnisse der beiden Ebenen miteinander verglichen werden. Ein solches Vorgehen hat den Vorteil, dass sowohl die Erfassungseinheiten als auch die für die Verarbeitung der Signale zuständige Einheit in einem Zug überprüft werden können.In one embodiment, the plausibility check determines, for example, whether the recorded input signal and the recorded duplicated signal match each other, in particular to rule out the possibility of drift or freezing of one of the two signals. Alternatively, the recorded input signal and the duplicated signal can first be fully processed and then the results of the processing can be compared with each other. It is possible for both signals to be processed by two different levels (functional level and monitoring level) and for the results of the two levels to be compared with each other. Such an approach has the advantage that both the recording units and the unit responsible for processing the signals can be checked in one go.

Durch das Duplizieren des Eingangssignals und das Plausibilisieren des Eingangssignals und des duplizierten Signals gegeneinander kann ein zufälliger Hardwarefehler erkannt werden, insbesondere bestimmt werden, ob eine Drift oder ein Einfrieren eines der beiden Signale vorliegt, ohne eine weitere Leitung oder einen weiteren Sensor bzw. Schalter im Gesamtsystem verwenden zu müssen, wodurch das Gesamtsystem aus Sensor und Recheneinheit kostengünstiger umgesetzt werden kann. Insbesondere erlaubt die Erfindung den Einsatz von Sensoren bzw. Schaltern, die singuläre Signale übertragen.By duplicating the input signal and checking the plausibility of the input signal and the duplicated signal against each other, a random hardware error can be detected, in particular it can be determined whether there is a drift or a freeze of one of the two signals, without having to use an additional line or an additional sensor or switch in the overall system, whereby the overall system consisting of sensor and computing unit can be implemented more cost-effectively. In particular, the invention allows the use of sensors or switches that transmit singular signals.

In einer Ausführungsform wird das Eingangssignal oder das duplizierte Signal invertiert. Das Invertieren findet dabei nach dem Duplizieren, aber vor dem Erfassen der Signale durch die Erfassungseinheiten statt. Durch das Invertieren eines der beiden Signale kann das Plausibilisieren beispielsweise durch einen einfachen Additionsbaustein oder Komparator umgesetzt werden, der bestimmt, dass beide Signale miteinander übereinstimmen. Hierdurch können spezifische Fehler gemeinsamer Ursache vorgebeugt werden. Dadurch lässt sich das Plausibilisieren in einfacher und kostengünstiger Weise umsetzten und die zuvor genannten Vorteile in einfacher Weise erreichen.In one embodiment, the input signal or the duplicated signal is inverted. The inversion takes place after duplication, but before the signals are recorded by the recording units. By inverting one of the two signals, the plausibility check can be implemented, for example, by a simple addition module or comparator that determines that both signals match each other. This can prevent specific errors with a common cause. This allows the plausibility check to be implemented in a simple and cost-effective manner and the previously mentioned advantages can be achieved in a simple manner.

Das Duplizieren des Eingangssignals umfasst in einer Ausführungsform insbesondere ein passives Splitten des Eingangssignals.In one embodiment, duplicating the input signal comprises in particular a passive splitting of the input signal.

Dadurch, dass das Duplizieren durch passives Splitten durchgeführt wird, kann verhindert werden, dass dem Signal ein elektronisches Rauschen oder eine Interferenz überlagert bzw. durch die Verwendung eines aktiven elektronischen Bauelements, beispielsweise eines Signalsplitters, eine zusätzliche Fehlerquelle hinzugefügt wird, die das Plausibilisieren der Signale behindern würde. Dadurch lassen sich die zuvor dargelegten Vorteil in optimierter Weise erreichen.By performing duplication through passive splitting, it is possible to prevent electronic noise or interference from being superimposed on the signal, or to prevent an additional source of error being added by using an active electronic component, such as a signal splitter, which would hinder the plausibility of the signals. This allows the previously described advantages to be achieved in an optimized manner.

Gemäß einer weiteren Ausführungsform umfasst das Plausibilisieren ein Vergleichen des erfassten Eingangssignals und des erfassten duplizierten Signals. Das Vergleichen kann dabei beispielsweise durch Bilden einer Differenz der beiden Signale und Bestimmen, ob das ermittelte Signal ein Nullsignal ist, erfolgen. Ist eines der beiden Signale invertiert worden, kann beispielsweise statt einer Differenz eine Summe gebildet werden. Das Vergleichen kann zum Beispiel auch von einem Komparator, insbesondere einem Zweifach-Komparator, einer Vergleichsschaltung bestehend aus XOR (Exklusiv-Oder Logik-Elemente) oder einem ähnlichen elektronischen Bauelement durchgeführt werden.According to a further embodiment, the plausibility check includes comparing the detected input signal and the detected duplicated signal. The comparison can be carried out, for example, by forming a difference between the two signals and determining whether the determined signal is a zero signal. If one of the two signals has been inverted, a sum can be formed instead of a difference, for example. The comparison can also be carried out, for example, by a comparator, in particular a dual comparator, a comparison circuit consisting of XOR (exclusive-or logic elements) or a similar electronic component.

Durch das Umsetzten des Plausibilisierens als Vergleich der beiden Signale können die zuvor genannten Vorteile in einfacher und kostengünstiger Weise erreicht werden.By implementing plausibility checks as a comparison of the two signals, the previously mentioned advantages can be achieved in a simple and cost-effective manner.

In einer Ausführungsform wird die Erfindung von einer Recheneinheit, beispielsweise einem Steuergerät, durchgeführt, die eine Funktionsebene, eine Überwachungsebenen, die zur Überwachung der Funktionsebene ausgelegt ist, und eine Hardwareüberwachungsebene aufweist. Die Funktionsebenen umfasst dabei ein Funktionsmodul, das beispielsweise zur Funktionssteuerung der Antriebseinheit eines Fahrzeugs ausgelegt ist. Dazu kann die Funktionsebene beispielsweise Motorsteuerfunktionen umfassen, die unter anderem zur Umsetzung angeforderter Motor- oder Bremsmomente dient. Die Überwachungsebene verfügt über ein Sicherheitsmodul, das dazu ausgelegt ist, die bei der Recheneinheit eingegangenen Signale zu Plausibilisieren. Dazu können in der Überwachungsebene beispielsweise die Berechnung der Funktionsebene, insbesondere in vereinfachter Weise, durchgeführt werden, um zu überprüfen, ob diese mit den in der Funktionsebene ermittelten Werten übereinstimmen. Andererseits können die durch die Funktionsebene ermittelten Werten in der Überwachungsebene mit einem Schwellenwert verglichen werden, um zu bestimmen, um die Funktionssteuerung in einem zugelassenen Bereich stattfinden würde. Andererseits kann durch die Überwachungsebene auch ein Vergleich des erfassten Eingangssignals mit dem erfassten duplizierten Signal stattfinden, um sicherzustellen, dass in den Erfassungseinheiten, deren Basissoftware in einem nicht-überwachten Bereich der Recheneinheit ausgeführt wird, keine Drift und/oder kein Einfrieren stattgefunden hat. Die Funktionsebene und die Überwachungsebene können dabei insbesondere auf demselben Funktionsrechner durchgeführt werden. Die Hardwareüberwachungsebene kann beispielsweise ein Überwachungsmodul mit Befehlssatztest, Programmablaufkontrolle, A/D-Wandler-Test sowie zyklischen und vollständigen Speichertests der Überwachungsebene aufweisen. Die Hardwareüberwachungsebene wird zweckmäßigerweise dabei auf einem unabhängigen Funktionsrechner durchgeführt, um sicherzustellen, dass Fehler, die in einem überwachten Funktionsrechner vorliegen, dessen Überwachung nicht beeinflussen. Insbesondere wird die Überwachungsebenen auf einem durch die Hardwareüberwachungsebene abgesicherten Hardwarebereich des Funktionsrechners ausgeführt.In one embodiment, the invention is carried out by a computing unit, for example a control unit, which has a functional level, a monitoring level designed to monitor the functional level, and a hardware monitoring level. The functional level comprises a functional module which is designed, for example, to control the function of the drive unit of a vehicle. For this purpose, the functional level can, for example, comprise engine control functions which, among other things, serve to implement requested engine or braking torques. The monitoring level has a security module which is designed to check the plausibility of the signals received by the computing unit. For this purpose, the calculation of the functional level can, for example, be carried out in the monitoring level, in particular in a simplified manner, in order to check whether these correspond to the values determined in the functional level. On the other hand, the values determined by the functional level can be used in the monitoring level can be compared with a threshold value in order to determine whether the function control would take place in an approved range. On the other hand, the monitoring level can also compare the detected input signal with the detected duplicated signal in order to ensure that no drift and/or freezing has occurred in the detection units whose basic software is executed in a non-monitored area of the computing unit. The function level and the monitoring level can in particular be carried out on the same function computer. The hardware monitoring level can, for example, have a monitoring module with instruction set test, program flow control, A/D converter test as well as cyclic and complete memory tests of the monitoring level. The hardware monitoring level is expediently carried out on an independent function computer in order to ensure that errors which are present in a monitored function computer do not affect its monitoring. In particular, the monitoring level is carried out on a hardware area of the function computer which is secured by the hardware monitoring level.

Das Plausibilisieren findet dabei in der Überwachungsebene der Recheneinheit, insbesondere in einem durch die Hardwareüberwachungsebene geschützten Bereich der Überwachungsebene, statt. Durch die Verwendung einer Recheneinheit mit diesen drei Ebenen entspricht das Sicherheitskonzept nach ISO26262 dem aktuellen Stand der Fahrzeugtechnik. Dadurch kann das Verfahren auch in bisher verbauten Recheneinheiten bzw. Steuergeräten durchgeführt werden bzw. bereits bekannte Recheneinheiten in Fahrzeuge verbaut werden und daher die zuvor genannten Vorteile kostengünstig erzielt werden.The plausibility check takes place in the monitoring level of the computing unit, in particular in an area of the monitoring level protected by the hardware monitoring level. By using a computing unit with these three levels, the security concept according to ISO26262 corresponds to the current state of vehicle technology. This means that the process can also be carried out in previously installed computing units or control units, or already known computing units can be installed in vehicles, thus achieving the aforementioned advantages cost-effectively.

Gemäß einer Ausführungsform stammt das Eingangssignal, das von der Recheneinheit empfangen wird, von einem Sensor oder einem Schalter mit singulärer Leitung.According to one embodiment, the input signal received by the computing unit comes from a sensor or a single line switch.

Da das Verfahren derart ausgelegt ist, dass Sensoren bzw. Schalter mit singulären Leitungen unter Gewährleistung der geforderten Sicherheitsintegrität verwendet werden können, kann vorteilhafterweise eine Hardwareredundanz, also beispielsweise eine sichere, d.h. redundante, Sensor-/Signal- und Leitungseinheit, eingespart werden, wodurch ein Gesamtsystem aus Sensor/Schalter und Recheneinheit kostengünstig implementiert werden kann.Since the method is designed in such a way that sensors or switches with singular lines can be used while ensuring the required safety integrity, hardware redundancy, for example a safe, i.e. redundant, sensor/signal and line unit, can advantageously be saved, whereby an overall system consisting of sensor/switch and computing unit can be implemented cost-effectively.

Eine erfindungsgemäße Recheneinheit, z.B. ein Steuergerät eines Fahrzeugs, weist einen Eingang, zwei Erfassungseinheiten, einen passiven Signalteiler, der mit dem Eingang verbunden ist und zwei Ausgänge aufweist, auf und ist dazu eingerichtet, ein erfindungsgemäßes Verfahren durchzuführen.A computing unit according to the invention, e.g. a control unit of a vehicle, has an input, two detection units, a passive signal splitter which is connected to the input and has two outputs, and is designed to carry out a method according to the invention.

In einer vorteilhaften Ausführungsform weist die Recheneinheit weiterhin einen Komparator, insbesondere einen Zweifach-Komparator, oder eine Vergleichsschaltung bestehend aus XOR (Exklusiv-Oder Logik-Elemente) auf, durch den das Plausibilisieren durchgeführt wird. Der Komparator ist dabei Teil der Überwachungsebene, insbesondere des durch die Hardwareüberwachungsebene geschützten Bereichs der Überwachungsebene.In an advantageous embodiment, the computing unit further comprises a comparator, in particular a dual comparator, or a comparison circuit consisting of XOR (exclusive-or logic elements), by means of which the plausibility check is carried out. The comparator is part of the monitoring level, in particular the area of the monitoring level protected by the hardware monitoring level.

Durch die Ausführung der Recheneinheit anhand einer der vorgenannten Ausführungsformen können die zuvor im Zusammenhang mit den Ausführungsformen des Verfahrens genannten Vorteile erzielt werden.By designing the computing unit using one of the aforementioned embodiments, the advantages previously mentioned in connection with the embodiments of the method can be achieved.

Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus den beiliegenden Zeichnungen und deren Beschreibung.Further advantages and embodiments of the invention will become apparent from the accompanying drawings and their description.

Die Erfindung ist anhand von Ausführungsbeispielen in der Zeichnung schematisch dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnung beschrieben.The invention is illustrated schematically in the drawing using embodiments and is described below with reference to the drawing.

Kurze Beschreibung der ZeichnungenShort description of the drawings

  • 1 zeigt ein Blockdiagram einer nicht-erfindungsgemäßen Recheneinheit; 1 shows a block diagram of a computing unit not according to the invention;
  • 2 zeigt ein Blockdiagram einer Ausführungsform einer Recheneinheit, wie sie der Erfindung zugrunde liegen kann; 2 shows a block diagram of an embodiment of a computing unit on which the invention can be based;
  • 3 zeigt ein Flussdiagramm einer Ausführungsform der Erfindung. 3 shows a flow chart of an embodiment of the invention.

Ausführungsformen der ErfindungEmbodiments of the invention

1 zeigt ein Blockdiagram einer nicht-erfindungsgemäßen Recheneinheit 1a, mit einer Funktionsebene L1, einer Überwachungsebene L2, die zur Überwachung der Funktionsebene L1 ausgelegt ist, und einer Hardwareüberwachungsebene L3. Die Recheneinheit 1a kann beispielsweise eine Recheneinheit bzw. ein Steuergerät eines Fahrzeugs sein, dass eine Antriebseinheit oder eine Bremse des Fahrzeugs anhand der von Sensoren 2a, 2b oder Schaltern empfangenen Signalen A, B ansteuert. 1 shows a block diagram of a non-inventive computing unit 1a, with a functional level L1, a monitoring level L2, which is designed to monitor the functional level L1, and a hardware monitoring level L3. The computing unit 1a can be, for example, a computing unit or a control unit of a vehicle that controls a drive unit or a brake of the vehicle based on the signals A, B received from sensors 2a, 2b or switches.

Die Recheneinheit weist weiterhin zwei Erfassungseinheiten 3a, 3b auf, die Signale A, B von Sensoren 2a, 2b oder Schaltern erfassen. Die Erfassungseinheiten 3a, 3b können beispielsweise ein Analog-Digital-Wandler sein.The computing unit also has two detection units 3a, 3b, which detect signals A, B from sensors 2a, 2b or switches. The detection units 3a, 3b can be, for example, an analog-digital converter.

Die Sensoren 2a, 2b bzw. Schalter übertragen dabei das gleiche Signal, beispielsweise das Signal eines Gas- oder Bremspedals des Fahrzeugs, und sind doppelt ausgeführt, um eine Redundanz des übertragenen Signals A, B zu gewährleisten, wodurch Hardwarefehler bei der Übertragung der Signale A, B vermieden werden können.The sensors 2a, 2b or switches transmit the same signal, for example the signal of an accelerator or brake pedal of the vehicle, and are designed in duplicate to ensure redundancy of the transmitted signal A, B, whereby hardware errors in the transmission of the signals A, B can be avoided.

Nach Erfassen der Signale A, B durch die Erfassungseinheiten 3a, 3b, werden die Signale A, B jeweils an die Funktionsebene L1 und die Überwachungsebene L2 übertragen. Die Funktionsebene L1 der Recheneinheit 1a wertet anschließend eines der beiden Signale A, B aus, um beispielsweise eine Antriebseinheit oder eine Bremse eines Kraftfahrzeugs anzusteuern.After the signals A, B have been detected by the detection units 3a, 3b, the signals A, B are transmitted to the functional level L1 and the monitoring level L2. The functional level L1 of the computing unit 1a then evaluates one of the two signals A, B in order to control, for example, a drive unit or a brake of a motor vehicle.

Die Überwachungsebene L2 umfasst ein Sicherheitsmodul, durch das eine Plausibilitätsprüfung durchgeführt wird. Dazu kann das Sicherheitsmodul zum Beispiel die beiden Signale A, B miteinander vergleichen, um beispielsweise festzustellen, ob die beiden Signale gleich oder unterschiedlich sind. Dadurch kann durch die Überwachungsebene L2 festgestellt werden, ob ein Hardwarefehler bei der Übertragung der Signale A, B an die Recheneinheit 1a oder der Erfassung der Signale A, B in der Recheneinheit 1a vorliegt. Weiterhin kann die Überwachungsebene L2 bestimmen, ob ein durch die Funktionsebene L1 verarbeitets Signal korrekt ist oder nicht, indem die Überwachungsebene L2 das verarbeitete Signal der Funktionsebene L1 mit einem Schwellenwert oder einem Ergebnis einer Verarbeitung eines oder beider der Signale durch die Überwachungsebene L2 vergleicht. Dadurch lässt sich zusätzlich zur Überwachung der Übertragung der Signale A, B auch die Funktion der Funktionsebene L1 überprüfen.The monitoring level L2 comprises a safety module which carries out a plausibility check. To do this, the safety module can, for example, compare the two signals A, B with each other to determine whether the two signals are the same or different. The monitoring level L2 can therefore determine whether there is a hardware error in the transmission of the signals A, B to the computing unit 1a or in the detection of the signals A, B in the computing unit 1a. The monitoring level L2 can also determine whether a signal processed by the functional level L1 is correct or not by the monitoring level L2 comparing the processed signal of the functional level L1 with a threshold value or a result of processing one or both of the signals by the monitoring level L2. This makes it possible to check the function of the functional level L1 in addition to monitoring the transmission of the signals A, B.

Die Hardwareüberwachungsebene L3 überwacht dabei insbesondere die Hardwarebausteine der Überwachungsebene L2. Dazu kann die Hardwareüberwachungsebene L3 beispielsweise bei jedem Start der Recheneinheit 1a vorgegebene Tests durchführen, anhand derer die Funktionsfähigkeit der Hardwarebausteine der Überwachungsebene L2 verifiziert werden kann.The hardware monitoring level L3 monitors in particular the hardware components of the monitoring level L2. For this purpose, the hardware monitoring level L3 can, for example, carry out specified tests every time the computing unit 1a is started, which can be used to verify the functionality of the hardware components of the monitoring level L2.

2 zeigt ein Blockdiagram einer Ausführungsform der Recheneinheit 1, wie sie der Erfindung zugrunde liegen kann, und 3 ein zugehöriges Flussdiagramm der Erfindung. 2 shows a block diagram of an embodiment of the computing unit 1, as it may form the basis of the invention, and 3 a corresponding flow chart of the invention.

Im Gegensatz zur nicht-erfindungsgemäßen Recheneinheit 1a geht hier nur ein Signal A aus einem Sensor 2 bzw. Schalter auf einer singulären Leitung bei der Recheneinheit 1 ein bzw. wird von der Recheneinheit 1 empfangen. Die einzelnen Ebenen L1, L2, L3 der Recheneinheit 1 sind dieselben wie diejenigen der Recheneinheit 1a aus 1 und für Details zu deren Aufbau und Funktionen wird auf die Ausführungen zu 1 verwiesen.In contrast to the non-inventive computing unit 1a, here only one signal A from a sensor 2 or switch is received by the computing unit 1 on a single line. The individual levels L1, L2, L3 of the computing unit 1 are the same as those of the computing unit 1a from 1 and for details on their structure and functions, please refer to the explanations on 1 referred to.

Das von dem einzelnen Sensor 2 empfangene Eingangssignal A wird zunächst von einem passiven Signalteiler 4 der Recheneinheit 1 dupliziert, um ein dupliziertes Signal A' zu erzeugen. Der passive Signalteiler 4 kann beispielsweise als passives Bauelement wie eine Signalbrücke ausgeführt sein. Das Duplizieren findet dabei direkt nach dem Eingang (Pin) der Recheneinheit 1 statt, insbesondere bevor das Eingangssignal A von einer Erfassungseinheit 3a, 3b erfasst wird. Nach dem Duplizieren des Eingangssignals A kann insbesondere eines der beiden Signale A, A', das Eingangssignal A oder das duplizierte Signal A', invertiert werden. Durch das Invertieren kann beispielsweise das später durchgeführte Plausibilisieren der Signale gegeneinander vereinfacht werden. So kann zum Beispiel ein konstanter Offset-Fehler, der sich gleich auf beide Signale auswirkt, erkannt werden, da dieser durch Addition des Signals mit dem invertierten Signal zu einem Signal ungleich null, sondern vielmehr zu einem Signal das gleich zweimal dem Offset ist, führt. Weiterhin können dadurch spezifische Fehler gemeinsamer Ursache vorgebeugt werden.The input signal A received by the individual sensor 2 is first duplicated by a passive signal splitter 4 of the computing unit 1 in order to generate a duplicated signal A'. The passive signal splitter 4 can be designed, for example, as a passive component such as a signal bridge. The duplication takes place directly after the input (pin) of the computing unit 1, in particular before the input signal A is detected by a detection unit 3a, 3b. After duplicating the input signal A, one of the two signals A, A', the input signal A or the duplicated signal A', can be inverted. By inverting, for example, the subsequent plausibility check of the signals against each other can be simplified. For example, a constant offset error that has the same effect on both signals can be detected, since adding the signal to the inverted signal leads to a signal that is not equal to zero, but rather to a signal that is twice the offset. Furthermore, specific errors with a common cause can be prevented in this way.

Das Eingangssignal A und das duplizierte Signal A' werden anschließend von der ersten Erfassungseinheit 3a bzw. der zweiten Erfassungseinheit 3b erfasst. Die Erfassung und alle weiteren Speicherungen bzw. Verarbeitungsschritte der erfassten Signale finden dabei zweckmäßigerweise auf unterschiedlichen Hardware- und Basissoftwarepfaden statt, um eine Unabhängigkeit der beiden Signale A, A' in der Recheneinheit 1 zu gewährleisten. Ansonsten könnten Fehler, die durch dasselbe Bauelement verursacht werden, nicht erkannt werden. Dazu werden insbesondere für jedes der Signale A, A' verschiedene Register bzw. Speicherelemente verwendet.The input signal A and the duplicated signal A' are then recorded by the first recording unit 3a and the second recording unit 3b, respectively. The recording and all further storage or processing steps of the recorded signals expediently take place on different hardware and basic software paths in order to ensure that the two signals A, A' are independent in the computing unit 1. Otherwise, errors caused by the same component could not be detected. For this purpose, different registers or memory elements are used in particular for each of the signals A, A'.

Die erste Erfassungseinheit 3a gibt anschließend das gemessene Signal A an die Funktionsebene L1 und die Überwachungsebene L2 aus. Die zweite Erfassungseinheit 3b gibt das duplizierte Signal A' an die Überwachungsebene L2 aus.The first acquisition unit 3a then outputs the measured signal A to the functional level L1 and the monitoring level L2. The second acquisition unit 3b outputs the duplicated signal A' to the monitoring level L2.

In der Funktionsebene L1 wird das erfasste Eingangssignal A mittels des Funktionsmoduls verarbeitet und anhand des Ergebnisses der Verarbeitung beispielsweise eine Antriebseinheit oder eine Bremse eines Fahrzeugs, in dem die Recheneinheit 1 verbaut ist, gesteuert.In the functional level L1, the detected input signal A is processed by means of the functional module and, based on the result of the processing, for example, a drive unit or a brake of a vehicle in which the computing unit 1 is installed is controlled.

In dem Überwachungsmodul der Überwachungsebene L2 werden das erfasste Eingangssignal A und das erfasste duplizierte Signal A' gegeneinander plausibilisiert. Dabei wird beispielsweise geprüft, ob beide Signale A, A' übereinstimmen, insbesondere identisch sind, oder ob beispielsweise durch die Erfassungseinheiten 3a, 3b oder ein anderes Bauelement der Recheneinheit 1 eine Drift oder ein Einfrieren eines oder beider Signal A, A' stattgefunden hat. Abhängig vom Ergebnis des Plausibilisierens wird eine Maßnahme durchgeführt. Stimmen zum Beispiel beide Signale A, A' nicht überein, ist das Plausibilisieren also negativ bzw. nicht erfolgreich, wird eine Maßnahme durchgeführt, die verhindert, dass die Antriebseinheit oder Bremse anhand des Ergebnisses der Verarbeitung des Eingangssignals A durch die Funktionsebene L1 angesteuert wird. Stimmen hingegen beide Signale A, A' überein, ist das Plausibilisieren also positiv bzw. erfolgreich, führt die Überwachungsebene L2 eine Maßnahme durch, mit der beispielsweise bestätigt wird, dass eine Steuerung anhand des verarbeiteten Eingangssignals A durchgeführt werden kann. Die Maßnahme kann dabei durch ein Fehler-Informationsbit umgesetzt werden, welches nachfolgenden Recheneinheiten zur Verfügung gestellt wird. Das Fehler-Informationsbit enthält dabei das Ergebnis der Plausibilisierung.In the monitoring module of the monitoring level L2, the detected input signal A and the detected duplicated signal A' are checked against each other. For example, it is checked whether both signals A, A' match, in the are particularly identical, or whether, for example, a drift or a freezing of one or both signals A, A' has occurred due to the detection units 3a, 3b or another component of the computing unit 1. Depending on the result of the plausibility check, a measure is carried out. If, for example, both signals A, A' do not match, i.e. the plausibility check is negative or unsuccessful, a measure is carried out which prevents the drive unit or brake from being controlled based on the result of the processing of the input signal A by the functional level L1. If, on the other hand, both signals A, A' match, i.e. the plausibility check is positive or successful, the monitoring level L2 carries out a measure which confirms, for example, that a control can be carried out based on the processed input signal A. The measure can be implemented using an error information bit, which is made available to subsequent computing units. The error information bit contains the result of the plausibility check.

Alternativ oder zusätzlich kann die Überwachungsebene L2 die beiden Signale A, A' wie die Funktionsebene L1, oder insbesondere in vereinfachter Form, verarbeiten und anschließend mit dem Ergebnis der Verarbeitung durch die Funktionsebene L1 vergleichen, um festzustellen, ob die Funktionseben L1 einen Hardwarefehler aufweist, der zu einer falschen Verarbeitung führt. Gegebenenfalls kann auch das Ergebnis der Verarbeitung der Funktionsebene L1 in der Überwachungsebene L2 mit einem vorgegebenen Schwellenwert verglichen werden, der beispielsweise einen maximalen Sollwert darstellt. Liegt das Ergebnis des durch die Funktionsebenen L1 verarbeiteten Eingangssignals A über diesem Schwellenwert, so kann die Überwachungsebene L2 feststellen, dass in der Funktionsebene L1 ein Hardwarefehler vorliegt und die Ansteuerung anhand des verarbeiteten Eingangssignals A unterbinden.Alternatively or additionally, the monitoring level L2 can process the two signals A, A' like the functional level L1, or in particular in a simplified form, and then compare them with the result of the processing by the functional level L1 to determine whether the functional level L1 has a hardware error that leads to incorrect processing. If necessary, the result of the processing of the functional level L1 in the monitoring level L2 can also be compared with a predetermined threshold value, which represents, for example, a maximum target value. If the result of the input signal A processed by the functional levels L1 is above this threshold value, the monitoring level L2 can determine that there is a hardware error in the functional level L1 and prevent control based on the processed input signal A.

Durch das Duplizieren des empfangenen Eingangssignals A und Plausibilisieren der Signale A, A' gegeneinander kann ein redundanter Sensor bzw. Schalter und/oder eine redundante Übertragungsleitung eingespart werden, während weiterhin durch das Plausibilisieren des von der Recheneinheit 1 erfassten Eingangssignals A eine geforderten Sicherheitsintegrität gewährleistet werden kann.By duplicating the received input signal A and checking the plausibility of the signals A, A' against each other, a redundant sensor or switch and/or a redundant transmission line can be saved, while the required safety integrity can still be ensured by checking the plausibility of the input signal A detected by the computing unit 1.

3 zeigt ein Flussdiagram einer Ausführungsform der Erfindung. 3 shows a flowchart of an embodiment of the invention.

In einem ersten Schritt S100 wird das Eingangssignal A von der Recheneinheit 1 empfangen. Das Eingangssignal A stammt dabei insbesondere von einem Sensor 2 oder einem Schalter mit einer singulären Leitung, der kein redundantes Signal überträgt. Bei dem Eingangssignal A kann es sich beispielsweise um ein Bremssignal oder eine Drehmomentvorgabe handeln.In a first step S100, the input signal A is received by the computing unit 1. The input signal A comes in particular from a sensor 2 or a switch with a single line that does not transmit a redundant signal. The input signal A can be, for example, a braking signal or a torque specification.

In einem nächsten Schritt S110 wird das empfangene Eingangssignal A dupliziert, um ein dupliziertes Signal A' zu erhalten. Das Duplizieren wird dabei insbesondere durch einen passiven Signalteiler 4 durchgeführt. Der passive Signalteiler 4 kann beispielsweise als ein passives Bauelement wie eine Signalbrücke ausgeführt sein Dadurch wird gewährleistet, dass den Signalen A, A' keine Interferenz oder elektrisches Rauschen aufgeprägt bzw. durch ein aktives elektronisches Bauelement eine weitere Fehlerquelle eingefügt wird. Weiterhin findet das Duplizieren direkt nach dem Eingang des Eingangssignal A an dem Pin der Recheneinheit 1 und vor Erfassung des Eingangssignal A durch die Erfassungseinheiten 3a, 3b der Recheneinheit 1 statt, um zu verhindern, dass Hardware- oder Softwarefehler der Erfassungseinheiten 3a, 3b zu einem Duplizieren eines fehlerbehafteten Signals führen.In a next step S110, the received input signal A is duplicated in order to obtain a duplicated signal A'. The duplication is carried out in particular by a passive signal splitter 4. The passive signal splitter 4 can, for example, be designed as a passive component such as a signal bridge. This ensures that no interference or electrical noise is imposed on the signals A, A' or that an additional source of error is introduced by an active electronic component. Furthermore, the duplication takes place directly after the input signal A is received at the pin of the computing unit 1 and before the input signal A is detected by the detection units 3a, 3b of the computing unit 1 in order to prevent hardware or software errors in the detection units 3a, 3b from leading to a duplication of an erroneous signal.

Insbesondere kann eines der Signale A, A' nach dem Schritt S110 des Duplizierens in einem Schritt S111 invertiert werden. Durch das Invertieren des Signals wird beispielsweise ermöglicht, Offset-Fehler von Hard- oder Softwarekomponenten zu ermitteln. Durch das Invertieren eines der beiden Signale kann das Plausibilisieren beispielsweise durch einen einfachen Additionsbaustein oder Komparator, insbesondere einen Zweifach-Komparator, umgesetzt werden, der bestimmt, dass beide Signale miteinander übereinstimmen. Hierdurch können spezifische Fehler gemeinsamer Ursache vorgebeugt werden]In particular, one of the signals A, A' can be inverted after the duplication step S110 in a step S111. By inverting the signal, it is possible, for example, to determine offset errors of hardware or software components. By inverting one of the two signals, the plausibility check can be implemented, for example, by a simple addition module or comparator, in particular a dual comparator, which determines that both signals match each other. This can prevent specific errors with a common cause.]

Anschließend wird in einem Schritt S120 das Eingangssignal A von einer ersten Erfassungseinheit 3a und das duplizierte Signal A' von einer zweiten Erfassungseinheit 3b erfasst. Das Erfassen und weitere Verarbeiten der beiden Signale A, A' wird dabei auf unterschiedlichen Hardware- und Softwarepfaden durchgeführt, um eine Unabhängigkeit der Signale A, A' voneinander zu gewährleisten. Dazu werden insbesondere verschiedene Register und Speichermodule verwendet. Das erfasste Eingangssignal A wird von der Erfassungseinheit 3a an die Funktionsebene L1 und die Überwachungsebene L2 ausgegeben, während das duplizierte lediglich an die Überwachungsebenen L2 ausgegeben wird.Subsequently, in a step S120, the input signal A is detected by a first detection unit 3a and the duplicated signal A' is detected by a second detection unit 3b. The detection and further processing of the two signals A, A' is carried out on different hardware and software paths in order to ensure that the signals A, A' are independent of one another. In particular, different registers and memory modules are used for this purpose. The detected input signal A is output by the detection unit 3a to the functional level L1 and the monitoring level L2, while the duplicated signal is only output to the monitoring levels L2.

In einem Schritt S130 werden das empfangene Eingangssignal A und das duplizierte Signal A' im Überwachungsmodul der Überwachungsebene L2 gegeneinander plausibilisiert. Dabei können die beiden Signale A, A' insbesondere in einem Schritt S131 miteinander verglichen werden. Dies kann beispielsweise durch Subtrahieren der beiden Signale A, A' voneinander und Auswerten des Ergebnisses stattfinden. Ist eines der Signale A, A' invertiert worden, können die Signale beispielsweise addiert werden und die Summe ausgewertet werden. Insbesondere kann das Plausibilisieren durch einen Komparator, insbesondere einen Zweifach-Komparator, durchgeführt werden.In a step S130, the received input signal A and the duplicated signal A' are checked against each other in the monitoring module of the monitoring level L2. The two signals A, A' can be compared with each other in particular in a step S131. This can be done, for example, by subtracting the two signals A, A' from each other and evaluating the result. If one of the signals A, A' has been inverted, the signals can be added together and the sum evaluated. In particular, the plausibility check can be carried out by a comparator, in particular a dual comparator.

Anschließend wird durch die Überwachungsebene L2, in Abhängigkeit von dem Ergebnis des Plausibilisierens eine Maßnahme durchgeführt (Schritt S140). Wird bei der Plausibilisierung in Schritt S130 bestimmt, dass das erfasste Eingangssignal A und das duplizierte Signal A' nicht miteinander übereinstimmen bzw. fällt das Plausibilisieren negativ aus, wird eine Maßnahme durchgeführt, die insbesondere verhindert, dass das von der Funktionsebene L1 verarbeitete Eingangssignal A zur weiterverarbeitet bzw. weiterverwendet wird. Stimmen dahingegen die beiden Signale A, A' miteinander überein bzw. fällt das Plausibilisieren positiv aus, wird durch das Überwachungsmodul L2 eine Maßnahme durchgeführt, die insbesondere bestätigt, dass ein Ansteuern anhand des von der Funktionsebene L1 verarbeiteten Eingangssignals A stattfinden kann.Subsequently, the monitoring level L2 carries out a measure depending on the result of the plausibility check (step S140). If the plausibility check in step S130 determines that the detected input signal A and the duplicated signal A' do not match or if the plausibility check is negative, a measure is carried out which in particular prevents the input signal A processed by the functional level L1 from being further processed or used. If, on the other hand, the two signals A, A' match or if the plausibility check is positive, the monitoring module L2 carries out a measure which in particular confirms that control can take place based on the input signal A processed by the functional level L1.

Die Maßnahme kann dabei durch ein Fehler-Informationsbit umgesetzt werden, welches nachfolgenden Recheneinheiten zur Verfügung gestellt wird. Das Fehler-Informationsbit enthält dabei das Ergebnis der Plausibilisierung.The measure can be implemented using an error information bit, which is made available to subsequent computing units. The error information bit contains the result of the plausibility check.

Zusätzlich dazu können die beiden Signale A, A' auch von der Überwachungsebene L2 verarbeitet werden, insbesondere um diese mit einem Ergebnis einer Verarbeitung durch die Funktionsebene L1 zu vergleichen, um festzustellen, ob die Berechnung durch die Funktionsebene L1 korrekt durchgeführt wurde oder ob ein Hardware- und/oder Softwarefehler in der Funktionsebenen L1 vorliegt.In addition, the two signals A, A' can also be processed by the monitoring level L2, in particular to compare them with a result of processing by the functional level L1 in order to determine whether the calculation by the functional level L1 was carried out correctly or whether there is a hardware and/or software error in the functional level L1.

ZITATE ENTHALTEN IN DER BESCHREIBUNGQUOTES INCLUDED IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of documents listed by the applicant was generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA accepts no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • EP 2553540 A1 [0009]EP 2553540 A1 [0009]

Claims (11)

Verfahren zur Plausibilisierung eines Eingangssignal (A), umfassend folgende durch eine Recheneinheit (1) durchgeführte Schritte: Empfangen (S100) des Eingangssignals (A); Duplizieren (S110) des empfangenen Eingangssignal (A), um ein dupliziertes Signal (A') zu erhalten; Erfassen (S120) des empfangenen Eingangssignals (A) durch eine erste Erfassungseinheit (3a) und des duplizierten Signals (A`) durch eine zweite Erfassungseinheit (3b); Plausibilisieren (S130) des erfassten Eingangssignal (A) und des erfassten duplizierten Signals (A`) gegeneinander; und Durchführen (S140) einer Maßnahme in Abhängigkeit vom Ergebnis des Plausibilisierens (S130).Method for checking the plausibility of an input signal (A), comprising the following steps carried out by a computing unit (1): Receiving (S100) the input signal (A); Duplicating (S110) the received input signal (A) to obtain a duplicated signal (A'); Detecting (S120) the received input signal (A) by a first detection unit (3a) and the duplicated signal (A`) by a second detection unit (3b); Checking (S130) the plausibility of the detected input signal (A) and the detected duplicated signal (A`) against each other; and Carrying out (S140) a measure depending on the result of the plausibility check (S130). Verfahren nach Anspruch 1, wobei umfassend, nach dem Duplizieren (S110) des empfangenen Eingangssignals (A) und vor dem Erfassen (S120), weiterhin folgenden Schritt: Invertieren (S111) des empfangenen Eingangssignals (A) oder des duplizierten Signals (A').Procedure according to Claim 1 , comprising, after duplicating (S110) the received input signal (A) and before detecting (S120), the further step of: inverting (S111) the received input signal (A) or the duplicated signal (A'). Verfahren nach einem der vorhergehenden Ansprüche, wobei das Duplizieren (S110) ein passives Splitten des Eingangssignal (A) umfasst.Method according to one of the preceding claims, wherein the duplication (S110) comprises a passive splitting of the input signal (A). Verfahren nach einem der vorhergehenden Ansprüche, wobei das Plausibilisieren (S130) weiter umfasst: Vergleichen (S131) des erfassten Eingangssignal (A) und des erfassten duplizierten Signals (A`).Method according to one of the preceding claims, wherein the plausibility check (S130) further comprises: Comparing (S131) the detected input signal (A) and the detected duplicated signal (A`). Verfahren nach einem der vorhergehenden Ansprüche, wobei die Recheneinheit (1) eine Funktionsebene (L1), eine Überwachungsebenen (L2), die zur Überwachung der Funktionsebene (L1) ausgelegt ist, und eine Hardwareüberwachungsebene (L3) aufweist.Method according to one of the preceding claims, wherein the computing unit (1) has a functional level (L1), a monitoring level (L2) which is designed to monitor the functional level (L1), and a hardware monitoring level (L3). Verfahren nach Anspruch 5, wobei das Plausibilisieren (S130) von der Überwachungsebene (L2) der Recheneinheit (1) durchgeführt wird, insbesondere in einem durch die Hardwareüberwachungsebene (L3) geschützten Bereich der Überwachungsebene (L2).Procedure according to Claim 5 , wherein the plausibility check (S130) is carried out by the monitoring level (L2) of the computing unit (1), in particular in an area of the monitoring level (L2) protected by the hardware monitoring level (L3). Verfahren nach einem der vorhergehenden Ansprüche, wobei das Eingangssignal (A) von einem Sensor (2) oder Schalter, insbesondere über eine singuläre Leitung, empfangen wird.Method according to one of the preceding claims, wherein the input signal (A) is received by a sensor (2) or switch, in particular via a single line. Recheneinheit (1) aufweisend einen Eingang, eine erste und eine zweite Erfassungseinheit (3a, 3b), einen passiven Signalteiler (4), der mit dem Eingang verbunden ist und zwei Ausgänge aufweist, die mit der ersten und der zweiten Erfassungseinheit (3a, 3b) verbunden sind, wobei die Recheneinheit dazu eingerichtet ist, das Verfahren nach einem der vorhergehenden Ansprüche durchzuführen.Computing unit (1) having an input, a first and a second detection unit (3a, 3b), a passive signal splitter (4) connected to the input and having two outputs connected to the first and the second detection unit (3a, 3b), wherein the computing unit is configured to carry out the method according to one of the preceding claims. Recheneinheit (1) nach Anspruch 8, wobei das Duplizieren (S110) des Eingangssignals (A) in dem passiven Signalteiler (4) durchgeführt wird und der passive Signalteiler (4) als Signalbrücke ausgebildet ist.Computing unit (1) according to Claim 8 , wherein the duplication (S110) of the input signal (A) is carried out in the passive signal splitter (4) and the passive signal splitter (4) is designed as a signal bridge. Recheneinheit (1) nach Anspruch 8 oder 9, wobei die erste Erfassungseinheit (3a) und die zweite Erfassungseinheit (3b) als ein Analog-Digital-Wandler oder generisches Zeitgebermodul ausgebildet sind.Computing unit (1) according to Claim 8 or 9 , wherein the first detection unit (3a) and the second detection unit (3b) are designed as an analog-digital converter or generic timer module. Recheneinheit (1) nach einem der Ansprüche 8 bis 10, wobei die Recheneinheit (1) weiterhin einen Komparator, insbesondere einen Zweifach-Komparator, oder eine Vergleichsschaltung bestehend aus Exklusiv-Oder-Logik-Elementen aufweist, durch den bzw. die das Plausibilisieren (S130) durchgeführt wird.Computing unit (1) according to one of the Claims 8 until 10 , wherein the computing unit (1) further comprises a comparator, in particular a dual comparator, or a comparison circuit consisting of exclusive-or logic elements, by means of which the plausibility check (S130) is carried out.
DE102022214185.7A 2022-12-21 2022-12-21 Method and computing unit for checking the plausibility of input signals Pending DE102022214185A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102022214185.7A DE102022214185A1 (en) 2022-12-21 2022-12-21 Method and computing unit for checking the plausibility of input signals

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022214185.7A DE102022214185A1 (en) 2022-12-21 2022-12-21 Method and computing unit for checking the plausibility of input signals

Publications (1)

Publication Number Publication Date
DE102022214185A1 true DE102022214185A1 (en) 2024-06-27

Family

ID=91434824

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022214185.7A Pending DE102022214185A1 (en) 2022-12-21 2022-12-21 Method and computing unit for checking the plausibility of input signals

Country Status (1)

Country Link
DE (1) DE102022214185A1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006007098A1 (en) 2006-01-16 2007-07-19 Conti Temic Microelectronic Gmbh Signal processing unit e.g. acceleration sensor unit, functional inspection method, involves comparing output signal of non-inverted input signal with output signal of inverted input signal with specific condition
DE102007002995A1 (en) 2007-01-20 2008-07-24 Conti Temic Microelectronic Gmbh Method for processing signal of acceleration sensor, involves processing signal in processing path in digital signal processing processor, and providing parallel to other processing path
DE102009028938A1 (en) 2009-08-27 2011-03-03 Endress + Hauser Gmbh + Co. Kg Field device for determining or monitoring a physical or chemical variable
DE102016114805A1 (en) 2016-08-10 2018-02-15 Kriwan Industrie-Elektronik Gmbh Method and embedded system for monitoring, controlling or regulating a machine
DE102020211541A1 (en) 2020-09-15 2022-03-17 Robert Bosch Gesellschaft mit beschränkter Haftung Method for detecting a standstill of a vehicle

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006007098A1 (en) 2006-01-16 2007-07-19 Conti Temic Microelectronic Gmbh Signal processing unit e.g. acceleration sensor unit, functional inspection method, involves comparing output signal of non-inverted input signal with output signal of inverted input signal with specific condition
DE102007002995A1 (en) 2007-01-20 2008-07-24 Conti Temic Microelectronic Gmbh Method for processing signal of acceleration sensor, involves processing signal in processing path in digital signal processing processor, and providing parallel to other processing path
DE102009028938A1 (en) 2009-08-27 2011-03-03 Endress + Hauser Gmbh + Co. Kg Field device for determining or monitoring a physical or chemical variable
DE102016114805A1 (en) 2016-08-10 2018-02-15 Kriwan Industrie-Elektronik Gmbh Method and embedded system for monitoring, controlling or regulating a machine
DE102020211541A1 (en) 2020-09-15 2022-03-17 Robert Bosch Gesellschaft mit beschränkter Haftung Method for detecting a standstill of a vehicle

Similar Documents

Publication Publication Date Title
DE10056408C1 (en) Processor monitoring device uses watchdog for monitoring system clock and providing software checking function and component check monitoring function
DE102008033675B4 (en) Dual core engine control module architecture
DE112018006702T5 (en) DETERMINING THE RELIABILITY OF VEHICLE CONTROL COMMANDS USING A MATCHING MECHANISM
DE10307342B4 (en) Device and method for model-based on-board diagnostics
DE112018002176T5 (en) Abnormality determination device, abnormality determination method and abnormality determination program
DE102014222860A1 (en) Electronic vehicle control unit
DE112017008013T5 (en) Unauthorized connection detection device, unauthorized connection detection method and information processing program
DE102019124301A1 (en) Device and method for ensuring the fail-safe function of an autonomous driving system
DE102017201032A1 (en) Redundant processor architecture
DE102015115287A1 (en) METHOD AND DEVICE FOR CHECKING AN IDENTIFIER
DE102020205416A1 (en) Device and method for diagnosing a sleep mode of a CAN for a vehicle
DE102019202472A1 (en) Verification of a sensor measurement in quasi real time
DE102008034150A1 (en) Circuit arrangement for controlling e.g. piezo-actuator in motor vehicle, has control device including microprocessor to switch another control device to secure condition during malfunction of microprocessor of latter control device
DE102022214185A1 (en) Method and computing unit for checking the plausibility of input signals
DE102010002680A1 (en) Method and device for detecting a deviation of a rotation rate signal of a rotation rate sensor
DE102013021231A1 (en) Method for operating an assistance system of a vehicle and vehicle control unit
DE102018132306A1 (en) Fault diagnosis for fault-tolerant chassis architecture systems
DE102022109866A1 (en) SYSTEM FOR AN IMPROVED SECURITY AND PROTECTION TEST
EP2182331A1 (en) Shifting of a component having effect on the safety function from the safety relevant zone
DE10007008B4 (en) Method for monitoring a data processing device
DE102015221980A1 (en) Electronic control device
DE102017200280B4 (en) Method and apparatus for qualifying a fault of a sensor by means of status information
DE112019007286T5 (en) IN-VEHICLE CONTROL DEVICE AND IN-VEHICLE CONTROL SYSTEM
DE102009012887A1 (en) Procedures, program products and systems for testing improper installation of vehicle sensors
DE102019216660A1 (en) ELECTRONIC CONTROL UNIT

Legal Events

Date Code Title Description
R163 Identified publications notified