DE10220811A1 - Method and device for monitoring the functioning of a system - Google Patents

Method and device for monitoring the functioning of a system

Info

Publication number
DE10220811A1
DE10220811A1 DE10220811A DE10220811A DE10220811A1 DE 10220811 A1 DE10220811 A1 DE 10220811A1 DE 10220811 A DE10220811 A DE 10220811A DE 10220811 A DE10220811 A DE 10220811A DE 10220811 A1 DE10220811 A1 DE 10220811A1
Authority
DE
Germany
Prior art keywords
function
functional unit
monitoring
output signals
input signals
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE10220811A
Other languages
German (de)
Other versions
DE10220811B4 (en
Inventor
Diethard Loehr
Axel Strommer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE10220811.5A priority Critical patent/DE10220811B4/en
Priority to JP2002181990A priority patent/JP4727896B2/en
Priority to IT2002MI001414A priority patent/ITMI20021414A1/en
Priority to FR0207921A priority patent/FR2826744B1/en
Priority to US10/183,890 priority patent/US6901350B2/en
Publication of DE10220811A1 publication Critical patent/DE10220811A1/en
Application granted granted Critical
Publication of DE10220811B4 publication Critical patent/DE10220811B4/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/12Recording operating variables ; Monitoring of operating variables
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/0023Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/0092Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption with use of redundant elements for safety purposes
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L58/00Methods or circuit arrangements for monitoring or controlling batteries or fuel cells, specially adapted for electric vehicles
    • B60L58/10Methods or circuit arrangements for monitoring or controlling batteries or fuel cells, specially adapted for electric vehicles for monitoring or controlling batteries
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/36Arrangements for testing, measuring or monitoring the electrical condition of accumulators or electric batteries, e.g. capacity or state of charge [SoC]
    • G01R31/367Software therefor, e.g. for battery testing using modelling or look-up tables
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0208Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the configuration of the monitoring system
    • G05B23/0213Modular or universal configuration of the monitoring system, e.g. monitoring system having modules that may be combined to build monitoring program; monitoring system that can be applied to legacy systems; adaptable monitoring system; using different communication protocols
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0005Processor details or data handling, e.g. memory registers or chip architecture
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0006Digital architecture hierarchy
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/2406Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using essentially read only memories
    • F02D41/2409Addressing techniques specially adapted therefor
    • F02D41/2422Selective use of one or more tables
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/60Other road transportation technologies with climate change mitigation effect
    • Y02T10/70Energy storage systems for electromobility, e.g. batteries

Landscapes

  • Engineering & Computer Science (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Sustainable Development (AREA)
  • Sustainable Energy (AREA)
  • Power Engineering (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Überwachung der Funktionsweise eines Systems (1), indem Eingangssignale, Ausgangssignale und mindestens eine Funktionseinheit des Systems (1) überprüft werden. Das System (1) weist mindestens ein untergeordnetes Subsystem auf und/oder ist Bestandteil eines übergeordneten Systems (6). Das System (1) weist hardwaremäßig realisierte Komponenten, umfassend Sensoren (4), Aktoren (5) und/oder Funktionsrechner (2), auf. Um eine leichtere und eindeutige Zuordnung von in dem System (1) eventuell auftretender Fehler zu den verschiedenen Funktionseinheiten des Systems (1) zu ermöglichen, wird vorgeschlagen, dass eine bestimmungsgemäße Funktion des Systems (1) in Abhängigkeit von der Komplexität der Funktion hierarchisch unterteilt ist in mindestens eine Subsystemfunktion und diese wiederum in mindestens eine Funktionseinheit und dass das Verfahren funktionsabhängig in mehrere Überwachungsschichten (Ü0, Ü1, Ü2, ...Ün) hierarchisch strukturiert ist.The invention relates to a method and a device for monitoring the functioning of a system (1) by checking input signals, output signals and at least one functional unit of the system (1). The system (1) has at least one subordinate subsystem and / or is part of a superordinate system (6). The system (1) has hardware-implemented components, including sensors (4), actuators (5) and / or function computers (2). In order to enable an easier and clear assignment of errors that may occur in the system (1) to the various functional units of the system (1), it is proposed that a proper function of the system (1) is hierarchically divided depending on the complexity of the function in at least one subsystem function and this in turn in at least one functional unit and that the method is hierarchically structured depending on the function in several monitoring layers (Ü0, Ü1, Ü2, ... Ün).

Description

Stand der TechnikState of the art

Die vorliegende Erfindung betrifft ein Verfahren zur Überwachung der Funktionsweise eines Systems, indem Eingangssignale, Ausgangssignale und mindestens eine Funktionseinheit des Systems überprüft werden. Das System weist mindestens ein untergeordnetes Subsystem auf und/oder ist Bestandteil eines übergeordneten Systems. Das System weist hardwaremäßig realisierte Komponenten umfassend Sensoren, Aktoren und/oder Funktionsrechner auf. The present invention relates to a method for Monitoring the functioning of a system by Input signals, output signals and at least one Functional unit of the system can be checked. The system has at least one subsystem and / or is part of a higher-level system. The system has hardware-implemented components comprehensively Sensors, actuators and / or function computers.

Die Erfindung betrifft außerdem ein Speicherelement für eine Vorrichtung zur Überwachung der Funktionsweise eines Systems. Auf dem Speicherelement ist ein Computerprogramm abgespeichert, das auf einem Rechengerät, insbesondere auf einem Mikroprozessor, ablauffähig ist. Das Speicherelement ist beispielsweise als ein Read-Only-Memory als ein Random- Access-Memory oder als ein Flash-Memory ausgebildet. The invention also relates to a storage element for a device for monitoring the operation of a System. There is a computer program on the storage element stored on a computing device, in particular on a microprocessor that is executable. The storage element is, for example, as a read-only memory as a random Access memory or designed as a flash memory.

Des Weiteren betrifft die vorliegende Erfindung ein Computerprogramm, das auf einem Rechengerät, insbesondere auf einem Mikroprozessor, ablauffähig ist. The present invention further relates to a Computer program running on a computing device, in particular on a microprocessor, is executable.

Schließlich betrifft die Erfindung eine Vorrichtung zur Überwachung der Funktionsweise eines Systems, das mindestens ein untergeordnetes Subsystem aufweist und/oder Bestandteil eines übergeordneten Systems ist. Das System weist hardwaremäßig realisierte Komponenten umfassend Sensoren, Aktoren und/oder Funktionsrechner auf. Die Vorrichtung weist Mittel zum Überprüfen von Eingangssignalen, Ausgangssignalen und mindestens einer Funktionseinheit des Systems auf. Finally, the invention relates to a device for Monitoring the functioning of a system that has at least one subordinate subsystem and / or Is part of a higher-level system. The system has hardware-implemented components comprehensively Sensors, actuators and / or function computers. The Device has means for checking Input signals, output signals and at least one Functional unit of the system.

Unter dem Begriff System im Sinne der vorliegenden Erfindung wird beispielsweise ein beliebiges Steuergerät, insbesondere ein Kraftfahrzeug-Steuergerät, verstanden. Das System ist beispielsweise als ein Steuergerät für ein elektrisches Batteriemanagement (EBM) ausgebildet. Es umfasst Subsysteme, die beispielsweise als eine Rechnereinheit, als ein ASIC (Application Specific Integrated Circuit) oder als ein Stromsensor ausgebildet sind. Außerdem umfasst das System Einheiten, die beispielsweise als ein EBM-Algorithmus oder als eine Batterienachbildung ausgebildet sind, und Teile, die bspw. das Berechnen einer Generatorsollspannung oder beliebige mathematische oder trigonometrische Funktionen umfassen. Das EBM-Steuergerät ist Bestandteil eines übergeordneten Systems in Form des Kraftfahrzeugs. Außer dem EBM- Steuergerät sind in dem Kraftfahrzeug noch eine Vielzahl weiterer Systeme, z. B. Motorsteuergerät und Getriebesteuergerät, vorgesehen. Under the term system in the sense of the present The invention is, for example, any control device, in particular a motor vehicle control unit understood. The System is, for example, as a control device for a trained in electrical battery management (EBM). It includes subsystems that, for example, as a Computing unit, as an ASIC (Application Specific Integrated Circuit) or designed as a current sensor are. The system also includes units that for example as an EBM algorithm or as one Batteries are trained, and parts, for example. calculating a generator set voltage or any include mathematical or trigonometric functions. The EBM control unit is part of a higher-level Systems in the form of the motor vehicle. In addition to the EBM Control units are still a large number in the motor vehicle other systems, e.g. B. engine control unit and Transmission control unit, provided.

Zur Gewährleistung einer korrekten Funktionsweise eines Systems ist es aus dem Stand der Technik bekannt, auf die Überwachung von Eingangssignalen, Ausgangssignalen und Funktionseinheiten des Systems zurückzugreifen. Aus der DE 41 14 999 A1 ist ein Verfahren zur Überwachung der Funktionsweise eines Kraftsteuergeräts bekannt. In einem Mikrorechner des Steuergeräts wird die bestimmungsgemäße Funktion des Steuergeräts ausgeführt. Parallel dazu wird in einer Überwachungseinrichtung die gleiche bestimmungsgemäße Funktion zumindest teilweise ausgeführt. Die Ausgangssignale des Mikrorechners und der Überwachungseinrichtung werden miteinander verglichen und in Abhängigkeit von dem Ergebnis des Vergleichs festgestellt, ob das Steuergerät korrekt funktioniert oder nicht. Bei einer detektierten fehlerhaften Funktionsweise des Steuergeräts werden entsprechende Ersatzmaßnahmen ausgeführt. Das in dieser Druckschrift vorgeschlagene Überwachungsverfahren ist stark an der Hardware des zu überwachenden Systems orientiert und sehr unflexibel. Das in der Druckschrift vorgeschlagene Überwachungsverfahren kann nicht einfach in einem anderen Steuergerät mit einer anderen bestimmungsgemäßen Funktion ausgeführt werden. Vielmehr muss das in der Überwachungseinrichtung ablaufende Überwachungsverfahren komplett überarbeitet werden und an die geänderte Funktion des anderen Steuergeräts angepasst werden. Dies kann auch eine strukturelle Überarbeitung des Überwachungsverfahrens beinhalten. To ensure that a Systems is known from the prior art to which Monitoring of input signals, output signals and To use functional units of the system. From the DE 41 14 999 A1 is a method for monitoring the Functionality of a force control device is known. In one Microcomputer of the control unit is the intended Function of the control unit carried out. At the same time, in a monitoring device the same intended Function at least partially carried out. The Output signals of the microcomputer and the Monitoring device are compared and depending on the result of the comparison determined whether the control unit works correctly or Not. If a faulty functioning is detected the control unit will take appropriate replacement measures executed. What is proposed in this publication Monitoring process is strong on the hardware of the monitoring system and very inflexible. The monitoring methods proposed in the publication can not just in another control unit with a other intended function. Rather, what is going on in the monitoring device must be Monitoring procedures are completely revised and adapted the changed function of the other control unit become. This can also be a structural revision of the Include monitoring procedures.

Aus der DE 44 38 714 A1 ist ein Verfahren zur Überwachung der Funktionsweise eines Steuergeräts bekannt. Ein Mikrorechner des Steuergeräts ist unterteilt in eine Funktionsebene, eine Überwachungsebene und eine Kontrollebene. In der Funktionsebene wird die bestimmungsgemäße Funktion des Steuergeräts ausgeführt. In der Überwachungsebene wird die ausgeführte Funktion bspw. mittels eines Schwellenvergleichs oder einer Plausibilitätsprüfung überprüft. In der Überwachungsebene wird nicht die (gesamte) bestimmungsgemäße Funktion des Steuergeräts ausgeführt, sondern es werden lediglich gezielte Überwachungsfunktionen ausgeführt. Um dennoch mit ausreichender Zuverlässigkeit eine fehlerhafte Funktionsweise des Systems detektieren zu können, ist die zusätzliche Kontrollebene vorgesehen, in der eine Überprüfung der hardwaremäßig realisierten Komponenten (z. B. der Speicherelemente oder des Mikroprozessors) des Systems getestet und mittels einer Frage-Antwort- Kommunikation eine korrekte Funktionsweise des Mikrorechners überprüft werden kann. Auch bei dem in dieser Druckschrift vorgeschlagenen Überwachungsverfahren ist es von Nachteil, dass sich die Struktur des Verfahrens an der Hardware des zu überwachenden Systems orientiert und sehr unflexibel ist. Um das Überwachungsverfahren auf ein anderes Steuergerät mit einer anderen bestimmungsgemäßen Funktion übertragen zu können, muss auch das in dieser Druckschrift vorgeschlagene Überwachungsverfahren erst komplett überarbeitet und an die neuen Hardware- und Softwarebedingungen angepasst werden. Das ist jedoch aufwendig und teuer. DE 44 38 714 A1 describes a method for monitoring the operation of a control unit known. On The microcomputer of the control unit is divided into one Functional level, a monitoring level and a Control plane. In the functional level the intended function of the control unit. In the monitoring level, the executed function is e.g. by means of a threshold comparison or an Plausibility check checked. At the surveillance level the (entire) intended function of the Control unit executed, but it will only targeted monitoring functions performed. To still with sufficient reliability a faulty To be able to detect how the system works is additional control level is provided in which one Checking the hardware implemented components (e.g. the memory elements or the microprocessor) of the Systems tested and using a question-answer Communication a correct functioning of the Microcomputer can be checked. Even with this one It is the proposed surveillance procedure disadvantageous that the structure of the process on the Hardware of the system to be monitored is very oriented is inflexible. To the surveillance process on a another control unit with another intended one In order to be able to transfer a function, this must also be the case Documentation proposed monitoring procedures only completely revised and to the new hardware and Software conditions are adjusted. However, that is complex and expensive.

Die Struktur der aus diesen beiden Druckschriften bekannten Verfahren zur Überwachung der Funktionsweise eines Systems ist allein an der Hardware des Systems orientiert und unabhängig von der Komplexität der Funktion, die von dem zu überwachenden System ausgeführt wird. Wenn das in diesen Druckschriften beschriebene Überwachungsverfahren zur Überwachung von Funktionen mit einer hohen Komplexität eingesetzt wird, wäre das Verfahren theoretisch genauso strukturiert wie in den Druckschriften angegeben. Durch die zunehmende Komplexität des von dem zu überwachenden System bestimmungsgemäß ausgeführten Funktion wird jedoch auch die Struktur des Überwachungsverfahrens komplexer und in zunehmendem Maße unübersichtlich. Die in den Druckschriften beschriebenen Überwachungskonzepte sind somit für komplexe Funktionen nicht geeignet. Insbesondere kann bei den bekannten Überwachungskonzepten im Fehlerfalle der auftretende Fehler nicht einer bestimmten Funktion des Systems zugeordnet werden. Dadurch wird sowohl die Fehlerdiagnose als auch die Auswahl einer geeigneten Ersatzfunktion deutlich erschwert. The structure of the known from these two publications Procedure for monitoring the functioning of a system is based solely on the hardware of the system and regardless of the complexity of the function, from that to monitoring system is running. If that's in these Monitoring procedures described in publications Monitoring functions with a high level of complexity theoretically the procedure would be the same structured as specified in the publications. Through the increasing complexity of the system to be monitored However, the function performed as intended is also the Structure of the surveillance process more complex and in increasingly confusing. The ones in the pamphlets Monitoring concepts described are therefore for complex Functions not suitable. In particular, the known monitoring concepts in the event of an error errors occurring are not a specific function of the Systems can be assigned. This will both Error diagnosis as well as the selection of a suitable one Substitute function significantly more difficult.

Der vorliegenden Erfindung liegt deshalb die Aufgabe zugrunde, ein allgemein gültiges Konzept zur Überwachung und Diagnose von Systemen zu schaffen, das ohne großen Aufwand auch auf andere Systeme übertragbar ist. The present invention is therefore based on the object based on a generally applicable surveillance concept and diagnose systems that do not require much Effort can also be transferred to other systems.

Zur Lösung dieser Aufgabe schlägt die vorliegende Erfindung ausgehend von dem Verfahren der eingangs genannten Art vor, dass eine bestimmungsgemäße Funktion des Systems in Abhängigkeit von der Komplexität der Funktion hierarchisch unterteilt ist in mindestens eine Subsystemfunktion und diese wiederum in mindestens eine Funktionseinheit und dass das Verfahren strukturiert ist in:

  • - eine erste Überwachungsschicht, in der eine der Funktionseinheiten des Systems unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen der Funktionseinheit überprüft wird;
  • - eine der ersten Überwachungsschicht übergeordnete zweite Überwachungsschicht, in der die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des der Funktionseinheit zugeordneten Subsystems überprüft wird; und
  • - mindestens eine der zweiten Überwachungsschicht übergeordnete weitere Überwachungsschicht, in der die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des Systems überprüft werden.
To achieve this object, the present invention, based on the method of the type mentioned at the outset, proposes that an intended function of the system, depending on the complexity of the function, be hierarchically divided into at least one subsystem function and this in turn into at least one functional unit and that the method be structured is in:
  • a first monitoring layer in which one of the functional units of the system is checked taking into account input signals and / or output signals of the functional unit;
  • a second monitoring layer, which is superordinate to the first monitoring layer, in which the functional unit is additionally checked taking into account input signals and / or output signals of the subsystem assigned to the functional unit; and
  • - At least one further monitoring layer superordinate to the second monitoring layer, in which the functional unit is additionally checked taking into account input signals and / or output signals of the system.

Vorteile der ErfindungAdvantages of the invention

Das erfindungsgemäß vorgeschlagene Überwachungsverfahren ist modular aufgebaut und somit leicht erweiterbar und zur Überwachung verschiedenster unterschiedlich komplexer Systeme verwendbar. Die Struktur des erfindungsgemäßen Überwachungsverfahrens unterscheidet grundsätzlich nicht zwischen Hardware- und Softwarerealisierung der Funktionen des zu überwachenden Systems und ist somit universell einsetzbar. Die Struktur des erfindungsgemäßen Überwachungsverfahrens orientiert sich rein an den Funktionseinheiten des Systems und ist deshalb auch abhängig von der Komplexität der Funktion, die von dem zu überwachenden System bestimmungsgemäß ausgeführt wird (z. B. Steuerungs- oder Regelungsfunktionen). The monitoring method proposed according to the invention is modular and therefore easily expandable and Monitoring a wide variety of different complexes Systems can be used. The structure of the invention In principle, the monitoring procedure does not differentiate between hardware and software implementation of the functions of the system to be monitored and is therefore universal used. The structure of the invention Monitoring procedure is based purely on the Functional units of the system and is therefore also depending on the complexity of the function, from that to monitoring system is executed as intended (e.g. control or regulation functions).

Durch die Modularität und die Strukturierung des erfindungsgemäßen Überwachungsverfahrens ergibt sich insgesamt ein klarer, verständlicher Aufbau des Überwachungsverfahrens und letztlich eine größere Kundenakzeptanz. Außerdem können auftretende Fehler leichter und eindeutig bestimmten Überwachungsschichten und innerhalb der Überwachungsschichten sogar verschiedenen Funktionseinheiten zugeordnet werden. Das wird dadurch erreicht, dass Fehler von verschiedenen Funktionseinheiten der gleichen Überwachungsschicht voneinander entkoppelt sind. Dadurch kann die Suche nach der Ursache eines Fehlers erheblich vereinfacht und deutlich beschleunigt werden. Außerdem wird die Genauigkeit und Zuverlässigkeit einer Fehlersuche verbessert. Die vorliegende Erfindung betrifft also eine besonders vorteilhafte vertikale Strukturierung eines Überwachungsverfahrens für ein System. Due to the modularity and structure of the Monitoring method according to the invention results overall a clear, understandable structure of the Surveillance process and ultimately a larger one Customer acceptance. Errors can also occur easier and clearly defined surveillance layers and even different within the surveillance layers Functional units are assigned. It will achieved errors from different functional units decoupled from the same monitoring layer are. This can help find the cause of an error considerably simplified and accelerated significantly. Also, the accuracy and reliability of one Debugging improved. The present invention relates to a particularly advantageous vertical structuring a monitoring procedure for a system.

Wie die Überwachung der Funktionen in den einzelnen Überwachungsschichten konkret zu erfolgen hat, wird durch das erfindungsgemäße Überwachungsverfahren in keiner Weise eingeschränkt. Die hardwaremäßig realisierten Komponenten können bspw. über einen Watch-Dog, einen Core-Test oder ein anderes Überwachungsmodul überwacht werden. Like monitoring the functions in each Surveillance layers must be carried out specifically by the monitoring method according to the invention in no way limited. The hardware implemented components can, for example, via a watch dog, a core test or a other monitoring module can be monitored.

Die bestimmungsgemäße Funktion des zu überwachenden Systems ist in Abhängigkeit der Komplexität der Funktion in mehrere Funktionsschichten unterteilt. Ganz oben ist die eigentliche Systemfunktion vorgesehen. Die Systemfunktion ist bspw. eine elektronische Batteriemanagement (EBM)- Funktion. Die Systemfunktion ist unterteilt in mindestens eine Subsystemfunktion, die bspw. als die Funktion eines Mikrorechners oder eines Stromsensors ausgebildet ist. In den gewählten Beispielen sind die Systemfunktion und die Subsystemfunktion hardwaremäßig realisiert. Es ist jedoch durchaus denkbar, für diese Funktionen auch softwaremäßig realisierte Beispiele zu wählen. The intended function of the system to be monitored is divided into several depending on the complexity of the function Functional layers divided. At the top is that actual system function provided. The system function is for example an electronic battery management (EBM) - Function. The system function is divided into at least a subsystem function that, for example, as the function of a Microcomputer or a current sensor is formed. In The selected examples are the system function and the Hardware implemented subsystem function. However, it is quite conceivable, also software-wise for these functions to choose realized examples.

Die Subsystemfunktion ist wiederum unterteilt in mindestens eine Funktionseinheit, die als eine Software-Funktionalität (z. B. Batterienachbildung, Ruhestrommanagement (RSM) oder dynamisches Energiemanagement (DYN)) oder als eine Hardware-Funktionalität (z. B. Strommessung, Spannungsmessung) ausgebildet ist. Je nach Komplexität der bestimmungsgemäßen Funktion des Systems lässt sich diese Unterteilung durch das Einfügen weiterer Funktionsschichten noch beliebig fortführen. So kann eine Funktionseinheit noch in mindestens eine Teilfunktion unterteilt werden, die bei dem Beispiel des dynamischen Energiemanagements als eine einfache mathematische oder trigonometrische Funktion oder als eine Generatorsollspannungsberechnung ausgebildet sein kann. The subsystem function is again divided into at least a functional unit that functions as a software functionality (e.g. battery simulation, quiescent current management (RSM) or dynamic energy management (DYN)) or as one Hardware functionality (e.g. current measurement, Voltage measurement) is formed. Depending on the complexity of the Intended function of the system is this Subdivision by inserting additional functional layers continue as you like. So a functional unit can still be divided into at least one sub-function, the in the example of dynamic energy management as a simple math or trigonometric function or designed as a generator target voltage calculation can be.

Ausgehend von der ersten Überwachungsschicht wächst die Komplexität der Überwachung von Schicht zu Schicht. In der ersten Überwachungsschicht wird eine Funktionseinheit des Systems anhand von Eingangssignale und/oder Ausgangssignalen der Betrachtungseinheit, also anhand der betrachteten Funktionseinheit, überwacht. In der zweiten Überwachungsschicht wird die Funktionseinheit zusätzlich anhand von Eingangssignale und/oder Ausgangssignalen von weiteren Funktionseinheiten innerhalb des Subsystems überwacht, dem die betrachtete Funktionseinheit zugeordnet ist. In der dritten Überwachungsschicht wird die Funktionseinheit des Systems zusätzlich anhand von Eingangssignalen und/oder Ausgangssignalen weiterer Subsysteme innerhalb des Systems überwacht. Starting from the first monitoring layer, the Complexity of monitoring from layer to layer. In the first monitoring layer becomes a functional unit of the Systems based on input signals and / or Output signals of the observation unit, i.e. based on the considered functional unit, monitored. In the second The functional unit becomes an additional monitoring layer based on input signals and / or output signals from other functional units within the subsystem monitors the assigned functional unit is. In the third monitoring layer, the Functional unit of the system additionally based on Input signals and / or output signals of others Monitored subsystems within the system.

Falls die Systemfunktion unterhalb der ersten Funktionsschicht noch weitere Funktionsschichten aufweist (z. B. Teilfunktionen unterhalb der Funktionseinheiten), wird in der ersten Überwachungsschicht eine Teilfunktion des Systems anhand von Eingangssignalen und/oder Ausgangssignalen der Betrachtungseinheit, also anhand der betrachteten Teilfunktion, überwacht. In der zweiten Überwachungsschicht wird die Teilfunktion des Systems zusätzlich anhand von Eingangssignale und/oder Ausgangssignalen von weiteren Teilfunktionen innerhalb der Funktionseinheit, der die betrachtete Teilfunktion zugeordnet ist, überwacht. In der dritten Überwachungsschicht wird die Teilfunktion zusätzlich anhand von Eingangssignale und/oder Ausgangssignalen von weiteren Funktionseinheiten innerhalb des Subsystems überwacht, dem die betrachtete Teilfunktion zugeordnet ist. In einer weiteren vierten Überwachungsschicht wird die Teilfunktion zusätzlich anhand von Eingangssignalen und/oder Ausgangssignalen weiterer Subsysteme innerhalb des Systems überwacht. Je komplexer also die Struktur der Funktion des Systems ist, desto komplexer ist auch die Struktur des erfindungsgemäßen Überwachungsverfahrens. If the system function is below the first Functional layer still has other functional layers (e.g. sub-functions below the functional units), becomes a sub-function in the first monitoring layer of the system based on input signals and / or Output signals of the observation unit, i.e. based on the considered subfunction, monitored. In the second Monitoring layer becomes the sub-function of the system additionally based on input signals and / or Output signals from further sub-functions within the Functional unit that is the subfunction under consideration assigned is monitored. In the third The sub-function is also based on the monitoring layer of input signals and / or output signals from others Functional units monitored within the subsystem, the the sub-function under consideration is assigned. In a another fourth monitoring layer becomes the subfunction additionally based on input signals and / or Output signals from other subsystems within the system supervised. The more complex the structure of the function of the System, the more complex the structure of the monitoring method according to the invention.

Gemäß einer vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass die Funktionseinheit überprüft wird, indem die Eingangssignale und/oder Ausgangssignale der Funktionseinheit, des Subsystems und/oder des Systems auf Überschreitung eines Maximalwertes oder Unterschreitung eines Minimalwertes überprüft werden und/oder indem der Gradient der Eingangssignale und/oder Ausgangssignale auf Überschreitung eines Maximalwertes oder Unterschreitung eines Minimalwertes überprüft wird. According to an advantageous development of the present Invention it is proposed that the functional unit is checked by the input signals and / or Output signals of the functional unit, the subsystem and / or the system for exceeding a maximum value or falling below a minimum value and / or by the gradient of the input signals and / or Output signals when a maximum value is exceeded or Below a minimum value is checked.

Gemäß einer bevorzugten Ausführungsform der Erfindung wird vorgeschlagen, dass die Funktionseinheiten des zu überwachenden Systems in sicherheitsrelevante Funktionsnetze, deren fehlerhafte Funktionsweise ein Sicherheitsrisiko darstellt, das oberhalb eines vorgebbaren Grenzrisikos liegt, und in weitere Funktionsnetze unterteilt wird, deren fehlerhafte Funktionsweise ein Sicherheitsrisiko darstellt, das kleiner oder gleich dem Grenzrisiko ist. According to a preferred embodiment of the invention proposed that the functional units of the monitoring system in security-relevant Function networks, their incorrect functioning Security risk represents that above a predeterminable Border risk lies, and in other functional networks is subdivided, their incorrect functioning Security risk that is less than or equal to that Is marginal risk.

Bei sicherheitsrelevanten Funktionsnetzen ist eine genügend schnelle und genügend sichere Reaktion, z. B. die Einleitung einer Ersatzfunktion oder eine geeignete Abschaltstrategie, erforderlich, um die Sicherheit des Systems zu gewährleisten. Bei den weiteren Funktionsnetzen ist genügend Zeit vorhanden, um entsprechend zu reagieren, bzw. ergibt sich beim Scheitern der Ersatzfunktionen kein die Sicherheit des Systems gefährdender Zustand. One is sufficient for safety-relevant function networks quick and sufficiently reliable reaction, e.g. B. the Initiation of a replacement function or a suitable one Shutdown strategy, required to ensure the safety of the System. For the other functional networks there is enough time to react accordingly or there is no result when the replacement functions fail condition that threatens the security of the system.

Gemäß einer weiteren bevorzugten Ausführungsform der Erfindung wird vorgeschlagen, dass bei einer fehlerhaften Funktionsweise eines Funktionsnetzes Ersatzmaßnahmen in Abhängigkeit davon gewählt werden, ob eine Funktionseinheit eines sicherheitsrelevanten Funktionsnetzes oder eines weiteren Funktionsnetzes eine fehlerhafte Funktionsweise aufweist. According to a further preferred embodiment of the Invention is proposed that in the event of a fault How a functional network works Depending on whether a functional unit is selected a safety-relevant function network or one another functional network a faulty functioning having.

Die Ersatzmaßnahmen umfassen vorzugsweise einen Notbetrieb und/oder eine Notabschaltung einer betroffenen hardwaremäßig realisierten Komponente, einer betroffenen Funktion und/oder des betroffenen Systems. The replacement measures preferably include emergency operation and / or an emergency shutdown of an affected person hardware-implemented component, an affected Function and / or the affected system.

Das erfindungsgemäße Verfahren wird vorteilhafterweise auf alle Funktionseinheiten des Systems angewandt. Das bedeutet, dass jede Funktionseinheit des Systems durch ein Überwachungsverfahren überprüft wird, das in der beschriebenen Weise strukturiert ist. Auf diese Weise kann eine zuverlässige Aussage über die Funktionsweise des gesamten Systems getroffen werden. The method according to the invention is advantageously based on all functional units of the system applied. The means that each functional unit of the system by one Monitoring procedure is checked that in the described way is structured. That way a reliable statement about how the entire system.

Vorzugsweise wird eine ordnungsgemäße Funktionsweise des Systems festgestellt, wenn alle Funktionseinheiten des Systems ordnungsgemäß funktionieren. Sobald also eine der überprüften Funktionseinheiten nicht ordnungsgemäß funktioniert, wird das gesamte System als fehlerhaft erkannt. Im Fehlerfall wird eine geeignete Ersatzmaßnahme ausgewählt und ausgeführt. Die Ersatzmaßnahme kann zusätzlich zu oder anstelle der Funktion der fehlerhaften Betrachtungseinheit (Funktionseinheit) ausgeführt werden. A proper functioning of the System determined when all functional units of the System is working properly. So as soon as one of the checked functional units not properly works, the entire system is considered faulty recognized. In the event of a fault, a suitable alternative measure will be taken selected and executed. The alternative measure can in addition to or instead of the function of the faulty Viewing unit (functional unit) are executed.

Als eine weitere Lösung der Aufgabe der vorliegenden Erfindung wird ausgehend von dem Verfahren der eingangs genannten Art vorgeschlagen, dass eine bestimmungsgemäße Funktion des Systems in Abhängigkeit von der Komplexität der Funktion hierarchisch unterteilt wird in mindestens eine Subsystemfunktion und diese wiederum in mindestens eine Funktionseinheit und dass

  • - in einer ersten Überwachungsschicht eine der Funktionseinheiten des Systems unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen der Funktionseinheit überprüft wird;
  • - in einer der ersten Überwachungsschicht übergeordneten zweiten Überwachungsschicht die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des der Funktionseinheit zugeordneten Subsystems überprüft wird; und
  • - in mindestens einer der zweiten Überwachungsschicht übergeordneten weiteren Überwachungsschicht die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des Systems überprüft werden.
As a further solution to the problem of the present invention, starting from the method of the type mentioned at the outset, it is proposed that a function of the system as intended depending on the complexity of the function is hierarchically divided into at least one subsystem function and this in turn into at least one functional unit and that
  • - In a first monitoring layer, one of the functional units of the system is checked taking into account input signals and / or output signals of the functional unit;
  • in a second monitoring layer superordinate to the first monitoring layer, the functional unit is additionally checked taking into account input signals and / or output signals of the subsystem assigned to the functional unit; and
  • - In at least one further monitoring layer that is superior to the second monitoring layer, the functional unit is additionally checked taking into account input signals and / or output signals of the system.

Von besonderer Bedeutung ist die Realisierung des erfindungsgemäßen Verfahrens in der Form eines Speicherelements, das für eine Vorrichtung zur Überwachung der Funktionsweise eines Systems vorgesehen ist. Dabei ist auf dem Speicherelement ein Computerprogramm abgespeichert, das auf einem Rechengerät, insbesondere auf eine Mikroprozessor, ablauffähig und zur Ausführung des erfindungsgemäßen Verfahrens geeignet ist. In diesem Fall wird also die Erfindung durch ein auf dem Speicherelement abgespeichertes Computerprogramm realisiert, so dass dieses mit dem Computerprogramm versehene Speicherelement in gleicher Weise die Erfindung darstellt, wie das Verfahren, zu dessen Ausführung das Computerprogramm geeignet ist. Als Speicherelement kann insbesondere ein elektrisches Speichermedium zur Anwendung kommen, beispielsweise ein Read-Only-Memory, ein Random-Access-Memory oder ein Flash- Memory. The realization of the inventive method in the form of a Storage element for a monitoring device the functioning of a system is provided. It is a computer program is stored on the storage element, that on a computing device, especially on a Microprocessor, executable and for executing the method according to the invention is suitable. In this case So the invention is by a on the memory element stored computer program realized so that this storage element provided with the computer program in represents the invention in the same way as the method, the computer program is suitable for executing it. As Storage element can in particular be an electrical one Storage medium are used, for example Read-only memory, a random access memory or a flash Memory.

Als noch eine weitere Lösung der Aufgabe der vorliegenden Erfindung wird ausgehend von dem Computerprogramm der eingangs genannten Art vorgeschlagen, dass das Computerprogramm zur Ausführung des erfindungsgemäßen Verfahrens geeignet ist, wenn es auf dem Rechengerät abläuft. Besonders bevorzugt ist dabei, wenn das Computerprogramm auf einem Speicherelement, insbesondere auf einem Read-Only-Memory, einem Random-Access-Memory oder einem Flash-Memory, abgespeichert ist. As yet another solution to the problem of the present Invention is based on the computer program of the initially suggested that the Computer program for executing the invention Procedure is appropriate when it is on the computing device expires. It is particularly preferred if that Computer program on a storage element, in particular on a read-only memory, a random access memory or a flash memory.

Schließlich wird als noch eine weitere Lösung der Aufgabe der vorliegenden Erfindung ausgehend von der Vorrichtung der eingangs genannten Art vorgeschlagen, dass eine bestimmungsgemäße Funktion des Systems in Abhängigkeit von der Komplexität der Funktion hierarchisch unterteilt ist in mindestens eine Subsystemfunktion und diese wiederum in mindestens eine Funktionseinheit und dass die Vorrichtung umfasst:

  • - Mittel einer ersten Überwachungsschicht, welche eine der Funktionseinheiten des Systems unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen der Funktionseinheit überprüfen;
  • - Mittel einer der ersten Überwachungsschicht übergeordneten zweiten Überwachungsschicht, welche die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des der Funktionseinheit zugeordneten Subsystems überprüfen; und
  • - Mittel mindestens einer der zweiten Überwachungsschicht übergeordneten weiteren Überwachungsschicht, welche die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des Systems überprüfen.
Finally, as yet another solution to the problem of the present invention, starting from the device of the type mentioned at the outset, it is proposed that a designated function of the system, depending on the complexity of the function, is hierarchically divided into at least one subsystem function and this in turn into at least one functional unit and that the device comprises:
  • Means of a first monitoring layer which check one of the functional units of the system taking into account input signals and / or output signals of the functional unit;
  • Means of a second monitoring layer superordinate to the first monitoring layer, which additionally check the functional unit taking into account input signals and / or output signals of the subsystem assigned to the functional unit; and
  • Means of at least one further monitoring layer, which is superordinate to the second monitoring layer and which additionally check the functional unit taking into account input signals and / or output signals of the system.

Die Mittel der verschiedenen Schichten können hardwaremäßig oder softwaremäßig realisiert sein. Sie umfassen beispielsweise einen Watch-Dog, einen Core-Test oder ein anderes Überwachungsmodul. Denkbar wäre auch, dass die Mittel Vergleicher umfassen, um die verschiedenen Eingangssignale und/oder die Ausgangssignale auf Überschreitung eines Maximalwertes oder Unterschreitung eines Minimalwertes hin zu überprüfen. Zusätzlich können die Mittel Gradientenbildungsmittel umfassen, wobei die Vergleicher dann den Gradienten der Eingangssignale und/oder Ausgangssignale auf Überschreitung eines Maximalwertes oder Unterschreitung eines Minimalwertes hin überprüfen. The means of the different layers can be hardware or be implemented in software. They include for example a watch dog, a core test or a other monitoring module. It would also be conceivable that the Means comparators include the different Input signals and / or the output signals Exceeding a maximum value or falling below to check a minimum value. In addition, you can the means comprise gradient forming means, the Then compare the gradient of the input signals and / or output signals for exceeding one Maximum value or falling below a minimum value check.

Zeichnungendrawings

Weitere Merkmale, Anwendungsmöglichkeiten und Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen der Erfindung, die in der Zeichnung dargestellt sind. Dabei bilden alle beschriebenen oder dargestellten Merkmale für sich oder in beliebiger Kombination den Gegenstand der Erfindung, unabhängig von ihrer Zusammenfassung in den Patentansprüchen oder deren Rückbeziehung sowie unabhängig von ihrer Formulierung bzw. Darstellung in der Beschreibung bzw. in der Zeichnung. Es zeigen Other features, applications and advantages of Invention result from the following description of embodiments of the invention, which in the Drawing are shown. Thereby form all described or illustrated features for themselves or in any Combination the subject of the invention, regardless of their summary in the claims or their Relationship and regardless of their wording or Representation in the description or in the drawing. It demonstrate

Fig. 1 eine Struktur eines Systems, das mittels des erfindungsgemäßen Überwachungsverfahrens überwacht wird; Fig. 1 is a structure which is monitored by the inventive monitoring method of a system;

Fig. 2 eine Struktur eines erfindungsgemäßen Überwachungsverfahrens gemäß einer ersten bevorzugten Ausführungsform; FIG. 2 shows a structure of a monitoring method according to a first preferred embodiment;

Fig. 3 eine Struktur eines erfindungsgemäßen Überwachungsverfahrens gemäß einer zweiten bevorzugten Ausführungsform; FIG. 3 shows a structure of a monitoring method according to a second preferred embodiment;

Fig. 4 ein Funktionsdiagramm für eine erste Überwachungsebene des erfindungsgemäßen Verfahrens; Fig. 4 is a functional diagram for a first monitoring level the inventive method;

Fig. 5 ein Funktionsdiagramm für eine zweite Überwachungsebene des erfindungsgemäßen Verfahrens; Fig. 5 is a functional diagram for a second monitoring level the inventive method;

Fig. 6 ein Funktionsdiagramm für eine dritte Überwachungsebene des erfindungsgemäßen Verfahrens; Fig. 6 is a functional diagram for a third monitoring level the inventive method;

Fig. 7 ein Funktionsdiagramm für eine vierte Überwachungsebene des erfindungsgemäßen Verfahrens; und Fig. 7 is a functional diagram for a fourth control level of the inventive method; and

Fig. 8 ein Steuergerät zur Ausführung des erfindungsgemäßen Überwachungsverfahrens. Fig. 8 is a control unit for executing the monitoring method of the invention.

Beschreibung der AusführungsbeispieleDescription of the embodiments

Die vorliegende Erfindung betrifft ein Überwachungsverfahren zur Überwachung der Funktionsweise eines beliebigen Systems, wobei das Überwachungsverfahren in Abhängigkeit von der Komplexität der bestimmungsgemäßen Funktion des zu überwachenden Systems vertikal strukturiert ist. Die bestimmungsgemäße Funktion des Systems ist bspw. eine Steuerungs- oder Regelungsfunktion. Die erfindungsgemäß vorgeschlagene Strukturierung ist unabhängig von der Hardware des Systems und äußerst flexibel. The present invention relates to a Monitoring procedure for monitoring the functioning of any system, the monitoring process depending on the complexity of the intended Function of the system to be monitored structured vertically is. The intended function of the system is e.g. a control function. The Structuring proposed according to the invention regardless of the hardware of the system and extremely flexible.

Die bestimmungsgemäße Funktion des zu überwachenden Systems 1 wird in ihre Elemente zerlegt betrachtet. Als ein Funktionselement wird die kleinste Einheit der Funktion des Systems 1 bezeichnet, die - falls erforderlich - durch eine Überwachungsfunktion ÜF überwacht wird. Die Überwachung muss jedoch nicht in den kleinsten Einheiten erfolgen, sondern kann auch an Modulen, die aus mehreren Funktionselementen bestehen, erfolgen. The intended function of the system 1 to be monitored is considered broken down into its elements. The smallest unit of the function of the system 1 is referred to as a functional element, which - if necessary - is monitored by a monitoring function ÜF. However, the monitoring does not have to be carried out in the smallest units, but can also be carried out on modules that consist of several functional elements.

In Fig. 1 ist ein übergeordnetes System in Form eines Kraftfahrzeugs mit A bezeichnet. Das übergeordnete System A umfasst verschiedene Systeme, u. a. ein elektrisches Batteriemanagement (EBM)-Steuergerät, das mit AA bezeichnet ist. Außer dem EBM-Steuergerät AA ist noch ein weiteres System AB Bestandteil des Kraftfahrzeugs A. Das weitere System AB ist bpsw. als ein Motor- oder als ein Getriebesteuergerät ausgebildet. Das EBM-Steuergerät AA ist in zwei Subsysteme AAA und AAB unterteilt, die bspw. als ein Rechengerät 2 (vgl. Fig. 8) oder als ein Speicherelement 3 ausgebildet sind. Das weitere System AB ist unterteilt in Subsysteme ABA und ABB. A superordinate system in the form of a motor vehicle is designated by A in FIG. 1. The higher-level system A comprises various systems, including an electrical battery management (EBM) control unit, which is designated AA. In addition to the EBM control unit AA, another system AB is part of motor vehicle A. The other system AB is bpsw. designed as an engine or a transmission control unit. The EBM control unit AA is divided into two subsystems AAA and AAB, which are designed, for example, as a computing device 2 (cf. FIG. 8) or as a storage element 3 . The other system AB is divided into subsystems ABA and ABB.

Die Subsysteme AAA, AAB sind wiederum unterteilt in mehrere Einheiten AAAA, AAAB, AABA, AAB. Gleiches gilt für die Subsysteme ABA und ABB des weiteren Systems AB. Die Einheiten AAAA, AAAB, AABA, AABB sind bspw. als Ruhestrommanagement (RSM) oder als dynamisches Energiemanagement (DYN) ausgebildet. The subsystems AAA, AAB are in turn divided into several Units AAAA, AAAB, AABA, AAB. The same applies to the Subsystems ABA and ABB of the further system AB. The Units AAAA, AAAB, AABA, AABB are, for example, as Quiescent current management (RSM) or as dynamic Energy management (DYN) trained.

Die Einheiten AAAA, AAAB, AABA, AABB sind ihrerseits unterteilt in verschiedene Teile. Die Einheit AAAA ist in die Teile AAAAA, AAAAB und AAAAC und die Einheit AAAB in die Teile AAABA, AAABB und AAABC unterteilt. Ebenso ist die Einheit AABA in die Teile AABAA, AABAB und AABAC und die Einheit AABB in die Teile AABBA, AABBB und AABBC unterteilt. Gleiches gilt für die Einheiten ABAA, ABAB, ABBA und ABBB der Subsysteme ABA und ABB des weiteren Systems AB. Die Einheiten umfassen bspw. eine Generatorspannungsberechnung. The units AAAA, AAAB, AABA, AABB are themselves divided into different parts. The AAAA unit is in the parts AAAAA, AAAAB and AAAAC and the unit AAAB in the parts AAABA, AAABB and AAABC divided. The same is true Unit AABA in the parts AABAA, AABAB and AABAC and the Unit AABB into parts AABBA, AABBB and AABBC divided. The same applies to the units ABAA, ABAB, ABBA and ABBB of the subsystems ABA and ABB further Systems AB. The units include, for example Generator voltage calculation.

Die bestimmungsgemäße Funktion des zu überwachenden Systems AA ist also in Abhängigkeit der Komplexität der Funktion in mehrere Funktionsschichten unterteilt. Ganz oben ist die eigentliche Systemfunktion (in dem System AA) vorgesehen. Die Systemfunktion ist bspw. eine elektronische Batteriemanagement (EBM)-Funktion. Die Systemfunktion ist unterteilt in mindestens eine Subsystemfunktion (in den Subsystemen AAA und AAB), die bspw. als die Funktion eines Mikrorechners oder eines Stromsensors ausgebildet ist. Die Subsystemfunktionen sind wiederum unterteilt in jeweils mindestens eine Funktionseinheit (in den Einheiten AAAA, AAAB, AABA und AABB), die bspw. als eine Software- Funktionalität (Batterienachbildung, Ruhestrommanagement oder dynamisches Strommanagement) ausgebildet ist. Je nach Komplexität der Funktion des Systems lässt sich diese Unterteilung noch beliebig fortsetzen. So kann eine Funktionseinheit noch in mindestens eine Teilfunktion unterteilt werden (in den Teilen AAAAA, AAAAB, AAAAC, AAABA, AAABB, AAABC, AABAA, AABAB, AABAC, AABBA, AABBB und AABBC), die bei dem Beispiel des dynamischen Strommanagements als eine einfache trigonometrische Funktion oder als eine Generatorsollspannungsberechnung ausgebildet ist. The intended function of the system to be monitored AA is in depending on the complexity of the function divided into several functional layers. At the top is that actual system function (in the system AA) provided. The system function is, for example, an electronic one Battery management (EBM) function. The system function is divided into at least one subsystem function (in the Subsystems AAA and AAB), which, for example, function as a Microcomputer or a current sensor is formed. The Subsystem functions are subdivided into each at least one functional unit (in units AAAA, AAAB, AABA and AABB), which, for example, as a software Functionality (replica batteries, quiescent current management or dynamic power management). Depending on The complexity of the function of the system allows this Continue subdivision as required. So one can Functional unit in at least one partial function be divided (in parts AAAAA, AAAAB, AAAAC, AAABA, AAABB, AAABC, AABAA, AABAB, AABAC, AABBA, AABBB and AABBC), which in the example of the dynamic Power management as a simple trigonometric Function or as a generator target voltage calculation is trained.

In dieser funktionellen Strukturierung der bestimmungsgemäßen Funktion des Systems AA, AB setzt das erfindungsgemäße Verfahren an. In Fig. 2 ist ein Schichtenmodell mit verschiedenen Überwachungsschichten eines erfindungsgemäßen Überwachungsverfahrens gemäß einer ersten bevorzugten Ausführungsform dargestellt. Ausgehend von einer (unteren) ersten Überwachungsschicht Ü0 wächst die Komplexität der Überwachung von Schicht zu Schicht. Die Betrachtung des erfindungsgemäßen Verfahrens geht von einer bestimmten Einheit des Systems AA aus; im vorliegenden Fall ist dies die Teilfunktion AAABA (vgl. Fig. 4). In der ersten Überwachungsschicht Ü0 wird die Teilfunktion AAABA anhand von Eingangssignalen 6 und/oder Ausgangssignalen 8 dieser Teilfunktion AAABA durch eine dieser Teilfunktion AAABA zugeordnete Überwachungsfunktion ÜF AAABA überprüft. The inventive method starts with this functional structuring of the intended function of the system AA, AB. FIG. 2 shows a layer model with different monitoring layers of a monitoring method according to the invention in accordance with a first preferred embodiment. Starting from a (lower) first monitoring layer Ü0, the complexity of monitoring increases from layer to layer. The method according to the invention is based on a specific unit of the system AA; in the present case this is the sub-function AAABA (cf. FIG. 4). In the first monitoring layer Ü0, the sub-function AAABA is checked on the basis of input signals 6 and / or output signals 8 of this sub-function AAABA by a monitoring function ÜF AAABA assigned to this sub-function AAABA.

In einer der ersten Überwachungsschicht Ü0 übergeordneten zweiten Überwachungsschicht Ü1 (vgl. Fig. 5) wird die Teilfunktion AAABA zusätzlich anhand von Eingangssignalen 8 und/oder Ausgangssignalen 9 von einer weiteren Teilfunktion AAABB derjenigen Funktionseinheit AAAB überprüft, der die betrachtete Teilfunktion AAABA zugeordnet ist. Die weitere Teilfunktion AAABB ist Teil der gleichen Funktionseinheit AAAB wie die betrachtete Teilfunktion AAABA. In a second monitoring layer U1 superordinate to the first monitoring layer U0 (see FIG. 5), the subfunction AAABA is additionally checked by means of input signals 8 and / or output signals 9 from a further subfunction AAABB of the functional unit AAAB to which the subfunction AAABA under consideration is assigned. The further sub-function AAABB is part of the same functional unit AAAB as the sub-function AAABA under consideration.

In einer der zweiten Überwachungsschicht Ü1 übergeordneten dritten Überwachungsschicht Ü2 (vgl. Fig. 6) wird die Teilfunktion AAABA zusätzlich anhand von Eingangssignalen 10 und/oder Ausgangssignalen 11 von einer anderen Funktionseinheit AAAA als derjenigen Funktionseinheit AAAB überprüft, der die betrachtete Teilfunktion AAABA zugeordnet ist. Die Funktionseinheit AAAA ist Teil des Subsystems AAA, dem auch die betrachtete Teilfunktion AAABA zugeordnet ist. In a third monitoring layer U2 superordinate to the second monitoring layer U1 (cf. FIG. 6), the subfunction AAABA is additionally checked on the basis of input signals 10 and / or output signals 11 by a functional unit AAAA other than the functional unit AAAB to which the subfunction AAABA under consideration is assigned. The functional unit AAAA is part of the subsystem AAA, to which the subfunction AAABA under consideration is also assigned.

In einer der dritten Überwachungsschicht Ü2 übergeordneten vierten Überwachungsschicht Ü3 (vgl. Fig. 7) wird die Teilfunktion AAABA zusätzlich anhand von Eingangssignalen 12 und/oder Ausgangssignalen 13 von einem anderen Subsystem AAB als demjenigen Subsystem AAA überprüft, dem die betrachtete Teilfunktion AAABA zugeordnet ist. Das Subsystem AAB ist Teil des Systems AA, dem auch die betrachtete Teilfunktion AAABA zugeordnet ist. In a fourth monitoring layer U3, which is superordinate to the third monitoring layer U2 (cf. FIG. 7), the subfunction AAABA is additionally checked on the basis of input signals 12 and / or output signals 13 by a subsystem AAB other than the subsystem AAA to which the subfunction AAABA under consideration is assigned. The subsystem AAB is part of the system AA, to which the subfunction AAABA under consideration is also assigned.

Überwachungsabläufe, die von mehreren Überwachungsfunktion ÜF durchlaufen werden, können an zentraler Stelle für diese Überwachungsfunktionen ÜF bereitgestellt werden. Dadurch stehen diese Überwachungsabläufe für z. B. einen Fehlerspeichereintrag allen Überwachungsfunktionen ÜF zur Verfügung. Die einzelnen Überwachungsfunktionen ÜF prüfen bestimmte Grundfunktionalitäten (z. B. Betriebsüberspannungserkennung) der Funktionseinheiten und können ohne großen Aufwand für andere Überwachungsfunktionen ÜF wiederverwendet werden. Denkbar wäre beispielsweise, dass ein Kommunikationsprotokoll einer Überwachungsfunktion ÜF, über das die verschiedenen Überwachungsfunktionen ÜF miteinander Daten austauschen, für andere Überwachungsfunktionen ÜF wiederverwendet wird. Monitoring operations by multiple monitoring functions BBs can be passed through at a central point for this Monitoring functions ÜF are provided. Thereby are these monitoring processes for z. B. one Error memory entry for all monitoring functions ÜF Available. Check the individual monitoring functions ÜF certain basic functionalities (e.g. Operating overvoltage detection) of the functional units and can be easily done for others Monitoring functions ÜF can be reused. Conceivable would be, for example, that a communication protocol is a Monitoring function ÜF, through which the various Monitoring functions ÜF exchange data with each other, is reused for other monitoring functions ÜF.

Das erfindungsgemäße Überwachungsverfahren kann auf beliebigen Systemen 1 eingesetzt werden. Eventuell auftretende Fehler sind von den verschiedenen Funktionseinheiten der gleichen Überwachungsschicht entkoppelt. Bei der Suche nach den Ursachen von Fehlern können die Fehlerquellen dadurch einfacher ermittelt werden. Das erfindungsgemäße Überwachungsverfahren ermöglicht eine leichtere, eindeutige Zuordnung von Fehlern zu den einzelnen Überwachungsschichten und damit zu den Funktionenseinheiten des Systems 1. Da in jeder Überwachungsschicht lediglich Eingangssignale und/oder Ausgangssignale überwacht werden, stehen insgesamt weniger Fehlerquellen aufgrund der Überwachungen im Vergleich zum Stand der Technik zur Verfügung, die letztlich auch einfacher und genauer ermittelt werden können. The monitoring method according to the invention can be used on any system 1 . Any errors that occur are decoupled from the various functional units of the same monitoring layer. This makes it easier to determine the sources of errors when searching for the causes of errors. The monitoring method according to the invention enables an easier, clear assignment of errors to the individual monitoring layers and thus to the functional units of the system 1 . Since only input signals and / or output signals are monitored in each monitoring layer, there are altogether fewer sources of error due to the monitoring compared to the prior art, which ultimately can also be determined more easily and more precisely.

Die Mindestanforderung an die Überwachung eines Systems 1 ist, dass erkannt werden kann, wann sich das System 1 nicht mehr spezifiziert verhält. Im Idealfall soll darüber hinaus sichergestellt werden können, dass sich das System 1 auch beim Auftreten von Fehlern spezifiziert verhält. Dies setzt voraus, dass Redundanzen vorhanden sind, die aus Kostengründen in der Regel nur bei als sicherheitsrelevant eingestuften Systemen realisiert werden. Bei allen übrigen Systemen 1 beschränkt sich die Überwachung daher zumeist darauf, zu erkennen, wann sich das System 1 nicht mehr wie spezifiziert verhält. The minimum requirement for monitoring a system 1 is that it can be recognized when the system 1 no longer behaves in a specified manner. Ideally, it should also be possible to ensure that system 1 also behaves in a specified manner when errors occur. This presupposes that there are redundancies which, for cost reasons, are usually only implemented in systems classified as safety-relevant. For all other systems 1 , monitoring is therefore mostly limited to recognizing when system 1 no longer behaves as specified.

Unter Spezifikation versteht man in diesem Zusammenhang die Summe aller Anforderungen, die an ein System gestellt werden. Anforderungen können z. B. "Sicherheit bei Ausfall" (fail-safe) "Fehlertoleranz" (fault-tolerance), "funktionelle Sicherheit" (functional safety) oder auch "Steuergerät uneingeschränkt funktionsfähig für Betriebsspannungen zwischen 6 Volt und 20 Volt" sein. Da sich diese Anforderungen für jedes System unterscheiden, zeichnet sich ein allgemein gültiges Überwachungskonzept dadurch aus, dass es flexibel auf unterschiedliche Systeme mit verschiedenen Anforderungen anwendbar ist. Dies erfordert eine entsprechende Funktionsstruktur, die es erlaubt, die Überwachungskomponenten für verschiedene Systeme verwenden zu können, auch wenn diese (hinsichtlich der Sicherheit) unterschiedlichen Anforderungen genügen. In this context, specification means the Sum of all requirements placed on a system become. Requirements can e.g. B. "Security in the event of failure" (fail-safe) "fault tolerance", "functional safety" or functional safety "Control unit fully functional for Operating voltages between 6 volts and 20 volts ". There these requirements differ for each system, is a general surveillance concept in that it is flexible to different systems is applicable with different requirements. This requires an appropriate functional structure that it allowed the monitoring components for different To be able to use systems, even if these (with regard to security) meet different requirements.

Die Überwachung des Systems 1 läuft parallel zu der bestimmungsgemäßen Funktion des Systems 1 und darf diese, z. B. durch Verbrauch von Rechenkapazität, nicht in seiner Ausführung einschränken. Auf die Ergebnisse der Überwachung (u. U. Fehler) kann das System 1 unmittelbar reagieren. Zusätzlich können Fehler dauerhaft abgespeichert und sofort oder später für eine Fehleranalyse herangezogen werden. The monitoring of system 1 runs parallel to the intended function of system 1 and may, for. B. by consumption of computing capacity, not restrict its execution. System 1 can react immediately to the results of the monitoring (possibly errors). In addition, errors can be saved permanently and used immediately or later for an error analysis.

Die Diagnose ist derjenige Bestandteil der Überwachung, der üblicherweise in einer Werkstatt über einen entsprechenden Diagnosetester abrufbar ist. Darunter fällt z. B. die Möglichkeit, abgespeicherte Fehler einer Analyse zuführen zu können. Dazu ist eine geeignete Schnittstelle erforderlich. Diese Schnittstelle basiert auf einem standardisierten Protokoll und erlaubt es, einen geeigneten Diagnosetester anzusteuern. So ist ein bidirektionaler Datenfluss zwischen dem Steuergerät und dem Diagnosetester möglich. The diagnosis is the part of the monitoring that usually in a workshop via a corresponding one Diagnostic tester is available. This includes z. B. the Possibility to analyze stored errors to be able to. There is a suitable interface for this required. This interface is based on a standardized protocol and allows a suitable Control diagnostic tester. So is a bidirectional Data flow between the control unit and the diagnostic tester possible.

Die Diagnose bieten die Möglichkeit:

  • a) einen Fehlerspeicher auszulesen und zu löschen,
  • b) Ausgangssignale ausgewählter Funktionen auszulesen (z. B. Sensorgrößen),
  • c) Eingangssignale ausgewählter Funktionen in ihrem Wert zu ändern (z. B. zur Ansteuerung eines Aktors) und
  • d) steuergerätespezifische Daten zu speichern (z. B. eine Seriennummer).
The diagnosis offers the possibility:
  • a) read out and delete a fault memory,
  • b) read out output signals of selected functions (e.g. sensor sizes),
  • c) change the value of input signals of selected functions (e.g. to control an actuator) and
  • d) save control unit-specific data (e.g. a serial number).

Zusätzlich fällt unter die Diagnose die Berechnung von sogenannten Historiendaten, also von Datenreihen, die über längere Zeiträume hinweg gesammelt und zur Analyse des Systemverhaltens benötigt werden (entwicklungsunterstützende Daten). Die Historiendaten sind nicht für die Funktion des Systems erforderlich. The diagnosis also includes the calculation of So-called history data, that is, from data series that about collected over a long period of time and for analysis of the System behavior are required (development support data). The historical data is not for that System function required.

Erfindungsgemäß sind die Komponenten des Systems 1 in einer besonderen Weise klassifiziert (vgl. Fig. 1). Dabei wird nicht zwischen der Art, in der die Komponente realisiert ist (Hardware oder Software), unterschieden. Vielmehr sind die Komponenten des Systems 1 allein in Abhängigkeit von ihrer Funktionalität klassifiziert. According to the invention, the components of system 1 are classified in a special way (cf. FIG. 1). No distinction is made between the way in which the component is implemented (hardware or software). Rather, the components of the system 1 are classified solely on the basis of their functionality.

In Fig. 3 ist ein Schichtenmodell mit verschiedenen Überwachungsschichten eines erfindungsgemäßen Überwachungsverfahrens gemäß einer zweiten bevorzugten Ausführungsform dargestellt. Ausgehend von einer (unteren) ersten Überwachungsschicht Ü0 wächst die Komplexität der Überwachung von Schicht zu Schicht. Die Betrachtung des erfindungsgemäßen Verfahrens geht von einer bestimmten Einheit des Systems AA aus; im vorliegenden Fall ist dies eine der Funktionseinheiten AAAA, AAAB, AABA, AABB. FIG. 3 shows a layer model with different monitoring layers of a monitoring method according to the invention in accordance with a second preferred embodiment. Starting from a (lower) first monitoring layer Ü0, the complexity of monitoring increases from layer to layer. The method according to the invention is based on a specific unit of the system AA; in the present case this is one of the functional units AAAA, AAAB, AABA, AABB.

Bei diesem Schichtenmodell wird in der ersten Überwachungsschicht Ü0 die betrachtete Funktionseinheit AAAA, AAAB, AABA oder AABB unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen dieser Funktionseinheit durch eine dieser Funktionseinheit zugeordnete Überwachungsfunktion ÜF überprüft. In einer der ersten Überwachungsschicht Ü0 übergeordneten zweiten Überwachungsschicht Ü1 wird die betrachtete Funktionseinheit AAAA, AAAB, AABA oder AABB zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen desjenigen Subsystems AAA oder AAB überprüft, dem die betrachtete Funktionseinheit zugeordnet ist. In einer der zweiten Überwachungsschicht Ü1 übergeordneten dritten Überwachungsschicht Ü2 wird die betrachtete Funktionseinheit AAAA, AAAB, AABA oder AABB zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen desjenigen Systems AA überwacht, dem die betrachtete Funktionseinheit zugeordnet ist und dessen Funktionsfähigkeit überprüft werden soll. Wenn alle überwachten Funktionseinheiten AAAA, AAAB, AABA und AABB des Systems AA als ordnungsgemäß funktionierend erkannt wurden, wird daraus abgeleitet, dass das System AA insgesamt in Ordnung ist. In this layer model, the first Monitoring layer Ü0 the functional unit under consideration AAAA, AAAB, AABA or AABB considering Input signals and / or output signals of these Functional unit by one of these functional units assigned monitoring function ÜF checked. In one of the first monitoring layer Ü0 superordinate second Monitoring layer Ü1 becomes the one under consideration Functional unit AAAA, AAAB, AABA or AABB additionally considering input signals and / or Output signals of those subsystems AAA or AAB checked to which the functional unit under consideration is assigned is. In one of the second monitoring layer Ü1 parent third monitoring layer Ü2 is the considered functional unit AAAA, AAAB, AABA or AABB additionally taking into account input signals and / or monitors output signals of that system AA, to which the functional unit under consideration is assigned and whose functionality should be checked. If all monitored functional units AAAA, AAAB, AABA and AABB of system AA recognized as working properly were derived from the fact that the system AA overall is fine.

In Fig. 8 ist ein als Steuergerät ausgebildetes System 1 dargestellt, dessen Funktionsweise anhand des erfindungsgemäßen Verfahrens überwacht werden kann. Das Steuergerät 1 umfasst ein Speicherelement 3, das vorzugsweise als eine elektrisches Speichermedium, insbesondere als ein Erasable and Programmable Read-Only- Memory (EPROM), ausgebildet ist. Auf dem Speicherelement 3 ist ein Computerprogramm abgespeichert, das zur Ausführung des erfindungsgemäßen Überwachungsverfahrens geeignet ist, wenn es auf einem Rechengerät 2 des Steuergeräts 1 abläuft. Das Rechengerät 2 ist insbesondere als ein Mikroprozessor ausgebildet. Zur Ausführung des Computerprogramms auf dem Rechengerät 2 wird das Programm entweder als ganzes oder befehlsweise aus dem Speicherelement 3 an das Rechengerät 2 übertragen. FIG. 8 shows a system 1 designed as a control device, the functioning of which can be monitored using the method according to the invention. The control unit 1 comprises a memory element 3 , which is preferably designed as an electrical storage medium, in particular as an erasable and programmable read-only memory (EPROM). A computer program is stored on the memory element 3 , which is suitable for executing the monitoring method according to the invention when it runs on a computing device 2 of the control device 1 . The computing device 2 is designed in particular as a microprocessor. In order to execute the computer program on the computing device 2 , the program is either transferred as a whole or by command from the memory element 3 to the computing device 2 .

In dem Computerprogramm ist insbesondere die erfindungsgemäße vertikale Strukturierung des Überwachungsverfahrens derart implementiert, dass das Verfahren in Abhängigkeit von der Komplexität des Systems 1 in mehrere Überwachungsschichten Ü0, Ü1, Ü2 . . . Ün unterteilt ist. In the computer program, in particular, the vertical structuring of the monitoring method according to the invention is implemented in such a way that, depending on the complexity of the system 1 , the method is divided into several monitoring layers Ü0, Ü1, Ü2. , , Ün is divided.

Das Steuergerät 1 erhält Eingangssignale von Sensoren 4 und gibt Ausgangssignale an Aktoren 5 aus. Die Ausgangssignale werden im Rahmen der Abarbeitung eines Steuer- und/oder Regelprogramms in dem Mikroprozessor 2 in Erfüllung der bestimmungsgemäßen Funktion des Steuergeräts 1 erzeugt. Das Steuer- und/oder Regelprogramm kann ebenfalls in dem Speicherelement 3 des Steuergeräts 1 abgespeichert sein und zur Abarbeitung als ganzes oder befehlsweise in den Mikroprozessor 1 geladen werden. Das Steuer- und/oder Regelprogramm und das Computerprogramm zur Ausführung des erfindungsgemäßen Überwachungsverfahrens können zu einem gemeinsamen Programm zusammengefasst sein. Control unit 1 receives input signals from sensors 4 and outputs output signals to actuators 5 . The output signals are generated in the course of processing a control and / or regulating program in the microprocessor 2 in order to fulfill the intended function of the control device 1 . The control and / or regulating program can also be stored in the memory element 3 of the control device 1 and can be loaded as a whole or by command into the microprocessor 1 for processing. The control and / or regulating program and the computer program for executing the monitoring method according to the invention can be combined into a common program.

Claims (12)

1. Verfahren zur Überwachung der Funktionsweise eines Systems (1), indem Eingangssignale, Ausgangssignale und mindestens eine Funktionseinheit des Systems (1) überprüft werden, wobei das System (1) mindestens ein untergeordnetes Subsystem aufweist und/oder Bestandteil eines übergeordneten Systems (6) ist, und das System (1) hardwaremäßig realisierte Komponenten umfassend Sensoren (4), Aktoren (5) und/oder Funktionsrechner (2) aufweist, dadurch gekennzeichnet, dass eine bestimmungsgemäße Funktion des Systems (1) in Abhängigkeit von der Komplexität der Funktion hierarchisch unterteilt ist in mindestens eine Subsystemfunktion und diese wiederum in mindestens eine Funktionseinheit und dass das Verfahren strukturiert ist in:
eine erste Überwachungsschicht (Ü0), in der eine der Funktionseinheiten des Systems (1) unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen der Funktionseinheit überprüft wird;
eine der ersten Überwachungsschicht (Ü0) übergeordnete zweite Überwachungsschicht (Ü1), in der die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des der Funktionseinheit zugeordneten Subsystems überprüft wird; und
mindestens eine der zweiten Überwachungsschicht (Ü1) übergeordnete weitere Überwachungsschicht (Ü2 . . . Ün), in der die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des Systems (1) überprüft werden. 1. Method for monitoring the functioning of a system ( 1 ) by checking input signals, output signals and at least one functional unit of the system ( 1 ), the system ( 1 ) having at least one subordinate subsystem and / or part of a higher-level system ( 6 ) and the system ( 1 ) has hardware-implemented components comprising sensors ( 4 ), actuators ( 5 ) and / or function computers ( 2 ), characterized in that a proper function of the system ( 1 ) is hierarchical depending on the complexity of the function is divided into at least one subsystem function and this in turn into at least one functional unit and that the method is structured in:
a first monitoring layer (Ü0) in which one of the functional units of the system ( 1 ) is checked taking into account input signals and / or output signals of the functional unit;
a second monitoring layer (Ü1) superordinate to the first monitoring layer (Ü0), in which the functional unit is additionally checked taking into account input signals and / or output signals of the subsystem assigned to the functional unit; and
at least one further monitoring layer (Ü2... Ün) superordinate to the second monitoring layer (Ü1), in which the functional unit is additionally checked taking into account input signals and / or output signals of the system ( 1 ). 2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Funktionseinheit überprüft wird, indem die Eingangssignale und/oder Ausgangssignale der Funktionseinheit, des Subsystems und/oder des Systems auf Überschreitung eines Maximalwertes oder Unterschreitung eines Minimalwertes überprüft werden und/oder indem der Gradient der Eingangssignale und/oder Ausgangssignale auf Überschreitung eines Maximalwertes oder Unterschreitung eines Minimalwertes überprüft wird. 2. The method according to claim 1, characterized in that that the functional unit is checked by the Input signals and / or output signals of the Functional unit, the subsystem and / or the system Exceeding a maximum value or falling below a minimum value can be checked and / or by the Gradient of the input signals and / or output signals Exceeding a maximum value or falling below a minimum value is checked. 3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Funktionseinheiten des zu überwachenden Systems (1) in sicherheitsrelevante Funktionsnetze, deren fehlerhafte Funktionsweise ein Sicherheitsrisiko darstellt, das oberhalb eines vorgebbaren Grenzrisikos liegt, und in weitere Funktionsnetze unterteilt wird, deren fehlerhafte Funktionsweise ein Sicherheitsrisiko darstellt, das kleiner oder gleich dem Grenzrisiko ist. 3. The method according to claim 1 or 2, characterized in that the functional units of the system to be monitored ( 1 ) is subdivided into security-relevant functional networks, the incorrect functioning of which represents a security risk that lies above a predefinable limit risk, and further functional networks, the incorrect functioning represents a security risk that is less than or equal to the limit risk. 4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass bei einer fehlerhaften Funktionsweise eines Funktionsnetzes Ersatzmaßnahmen in Abhängigkeit davon gewählt werden, ob eine Funktionseinheit eines sicherheitsrelevanten Funktionsnetzes oder eines weiteren Funktionsnetzes eine fehlerhafte Funktionsweise aufweist. 4. The method according to claim 3, characterized in that in the event of incorrect functioning of a Function network replacement measures depending on it be selected whether a functional unit of a safety-relevant function network or another Function network has an incorrect functioning. 5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass die Ersatzmaßnahmen einen Notbetrieb und/oder eine Notabschaltung umfassen. 5. The method according to claim 4, characterized in that the replacement measures are an emergency operation and / or a Include emergency shutdown. 6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass das Verfahren auf alle Funktionseinheiten des Systems (1) angewandt wird. 6. The method according to any one of claims 1 to 5, characterized in that the method is applied to all functional units of the system ( 1 ). 7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass eine ordnungsgemäße Funktionsweise des Systems (1) festgestellt wird, wenn alle Funktionseinheiten des Systems ordnungsgemäß funktionieren. 7. The method according to claim 6, characterized in that a proper functioning of the system ( 1 ) is determined when all functional units of the system function properly. 8. Verfahren zur Überwachung der Funktionsweise eines Systems (1), indem Eingangssignale, Ausgangssignale und mindestens eine Funktionseinheit des Systems (1) überprüft werden, wobei das System (1) mindestens ein untergeordnetes Subsystem aufweist und/oder Bestandteil eines übergeordneten Systems (6) ist, und das System (1) hardwaremäßig realisierte Komponenten umfassend Sensoren (4), Aktoren (5) und/oder Funktionsrechner (2) aufweist, dadurch gekennzeichnet, dass eine bestimmungsgemäße Funktion des Systems (1) in Abhängigkeit von der Komplexität der Funktion hierarchisch unterteilt wird in mindestens eine Subsystemfunktion und diese wiederum in mindestens eine Funktionseinheit und dass
in einer ersten Überwachungsschicht (Ü0) eine der Funktionseinheiten des Systems (1) unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen der Funktionseinheit überprüft wird;
in einer der ersten Überwachungsschicht (Ü0) übergeordneten zweiten Überwachungsschicht (Ü1) die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des der Funktionseinheit zugeordneten Subsystems überprüft wird; und
in mindestens einer der zweiten Überwachungsschicht (Ü1) übergeordneten weiteren Überwachungsschicht (Ü2 . . . Ün) die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des Systems (1) überprüft werden. 8. Method for monitoring the functioning of a system ( 1 ) by checking input signals, output signals and at least one functional unit of the system ( 1 ), the system ( 1 ) having at least one subordinate subsystem and / or part of a higher-level system ( 6 ) and the system ( 1 ) has hardware-implemented components comprising sensors ( 4 ), actuators ( 5 ) and / or function computers ( 2 ), characterized in that a proper function of the system ( 1 ) is hierarchical depending on the complexity of the function is divided into at least one subsystem function and this in turn into at least one functional unit and that
in a first monitoring layer (Ü0) one of the functional units of the system ( 1 ) is checked taking into account input signals and / or output signals of the functional unit;
in a second monitoring layer (Ü1) superordinate to the first monitoring layer (Ü0) the functional unit is additionally checked taking into account input signals and / or output signals of the subsystem assigned to the functional unit; and
in at least one further monitoring layer (Ü2... Ün) superordinate to the second monitoring layer (Ü1), the functional unit is additionally checked taking into account input signals and / or output signals of the system ( 1 ). 9. Speicherelement (3), insbesondere Read-Only-Memory, Random-Access-Memory oder Flash-Memory, für eine Vorrichtung zur Überwachung der Funktionsweise eines Systems (1), auf dem ein Computerprogramm abgespeichert ist, das auf einem Rechengerät (2), insbesondere auf einem Mikroprozessor, ablauffähig und zur Ausführung eines Verfahrens nach einem der Ansprüche 1 bis 7 geeignet ist. 9. Storage element ( 3 ), in particular read-only memory, random access memory or flash memory, for a device for monitoring the functioning of a system ( 1 ) on which a computer program is stored which is stored on a computing device ( 2 ), in particular on a microprocessor, is executable and suitable for executing a method according to one of claims 1 to 7. 10. Computerprogramm, das auf einem Rechengerät (2), insbesondere auf einem Mikroprozessor, ablauffähig ist, dadurch gekennzeichnet, dass das Computerprogramm zur Ausführung eines Verfahrens nach einem der Ansprüche 1 bis 7 geeignet ist, wenn es auf dem Rechengerät (2) abläuft. 10. Computer program that is executable on a computing device ( 2 ), in particular on a microprocessor, characterized in that the computer program is suitable for carrying out a method according to one of claims 1 to 7 when it runs on the computing device ( 2 ). 11. Computerprogramm nach Anspruch 10, dadurch gekennzeichnet, dass das Computerprogramm auf einem Speicherelement (3), insbesondere auf einem Read-Only- Memory, einem Random-Access-Memory oder einem Flash-Memory, abgespeichert ist. 11. Computer program according to claim 10, characterized in that the computer program is stored on a memory element ( 3 ), in particular on a read-only memory, a random access memory or a flash memory. 12. Vorrichtung zur Überwachung der Funktionsweise eines Systems (1), das mindestens ein untergeordnetes Subsystem aufweist und/oder Bestandteil eines übergeordneten Systems (6) ist und das hardwaremäßig realisierte Komponenten umfassend Sensoren (4), Aktoren (5) und/oder Funktionsrechner (2) aufweist, und wobei die Vorrichtung Mittel zum Überprüfen von Eingangssignalen, Ausgangssignalen und mindestens einer Funktionseinheit des Systems (1) aufweist, dadurch gekennzeichnet, dass eine bestimmungsgemäße Funktion des Systems (1) in Abhängigkeit von der Komplexität der Funktion hierarchisch unterteilt ist in mindestens eine Subsystemfunktion und diese wiederum in mindestens eine Funktionseinheit und dass die Vorrichtung umfasst:
Mittel einer ersten Überwachungsschicht (Ü0), welche eine der Funktionseinheiten des Systems (1) unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen der Funktionseinheit überprüfen;
Mittel einer der ersten Überwachungsschicht (Ü0) übergeordneten zweiten Überwachungsschicht (Ü1), welche die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des der Funktionseinheit zugeordneten Subsystems überprüfen; und
Mittel mindestens einer der zweiten Überwachungsschicht (Ü1) übergeordneten weiteren Überwachungsschicht (Ü2 . . . Ün), welche die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des Systems (1) überprüfen. 12. Device for monitoring the functioning of a system ( 1 ) which has at least one subordinate subsystem and / or is part of a higher-level system ( 6 ) and which has hardware-implemented components including sensors ( 4 ), actuators ( 5 ) and / or function computers ( 2 ), and wherein the device has means for checking input signals, output signals and at least one functional unit of the system ( 1 ), characterized in that an intended function of the system ( 1 ) is hierarchically divided into at least depending on the complexity of the function a subsystem function and this in turn in at least one functional unit and that the device comprises:
Means of a first monitoring layer (Ü0) which check one of the functional units of the system ( 1 ) taking into account input signals and / or output signals of the functional unit;
Means of a second monitoring layer (Ü1) superordinate to the first monitoring layer (Ü0), which additionally check the functional unit taking into account input signals and / or output signals of the subsystem assigned to the functional unit; and
Means of at least one further monitoring layer (Ü2... Ün) superordinate to the second monitoring layer (Ü1), which additionally check the functional unit taking into account input signals and / or output signals of the system ( 1 ).
DE10220811.5A 2001-06-27 2002-05-10 Method and device for monitoring the functioning of a system Expired - Fee Related DE10220811B4 (en)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE10220811.5A DE10220811B4 (en) 2001-06-27 2002-05-10 Method and device for monitoring the functioning of a system
JP2002181990A JP4727896B2 (en) 2001-06-27 2002-06-21 System functionality monitoring method, monitoring device thereof, memory device, computer program
IT2002MI001414A ITMI20021414A1 (en) 2001-06-27 2002-06-26 PROCEDURE AND DEVICE TO SUPERVISE THE OPERATION OF A SYSTEM
FR0207921A FR2826744B1 (en) 2001-06-27 2002-06-26 METHOD AND DEVICE FOR MONITORING THE OPERATION OF A SYSTEM
US10/183,890 US6901350B2 (en) 2001-06-27 2002-06-27 Method and device for monitoring the functioning of a system

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE10131298 2001-06-27
DE10131298.9 2001-06-27
DE10220811.5A DE10220811B4 (en) 2001-06-27 2002-05-10 Method and device for monitoring the functioning of a system

Publications (2)

Publication Number Publication Date
DE10220811A1 true DE10220811A1 (en) 2003-01-16
DE10220811B4 DE10220811B4 (en) 2016-09-15

Family

ID=7689844

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10220811.5A Expired - Fee Related DE10220811B4 (en) 2001-06-27 2002-05-10 Method and device for monitoring the functioning of a system

Country Status (1)

Country Link
DE (1) DE10220811B4 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8190971B2 (en) 2005-08-30 2012-05-29 Robert Bosch Gmbh Data processing system and method for operating a data processing system

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019201491A1 (en) 2019-02-06 2020-08-06 Robert Bosch Gmbh Measurement data evaluation for dynamic vehicle systems with protection of the intended function

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4114999C2 (en) * 1991-05-08 2001-04-26 Bosch Gmbh Robert System for controlling a motor vehicle
DE4438714A1 (en) * 1994-10-29 1996-05-02 Bosch Gmbh Robert Method and device for controlling the drive unit of a vehicle
DE19609242A1 (en) * 1996-03-09 1997-09-11 Bosch Gmbh Robert Method and device for controlling a drive unit of a vehicle
WO1999026820A1 (en) * 1997-11-22 1999-06-03 Continental Teves Ag & Co. Ohg Electromechanical brake system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8190971B2 (en) 2005-08-30 2012-05-29 Robert Bosch Gmbh Data processing system and method for operating a data processing system

Also Published As

Publication number Publication date
DE10220811B4 (en) 2016-09-15

Similar Documents

Publication Publication Date Title
DE102017107284B4 (en) METHOD AND CONTROL UNIT FOR MONITORING AN ON-BOARD NETWORK OF A VEHICLE
EP1597643B1 (en) Device and method for on-board diagnosis based on a model
EP1703350B1 (en) Diagnostics of an automation system
DE3810239A1 (en) Multifunction tester for fault diagnosis
EP3709166B1 (en) Method and system for secure signal manipulation for testing integrated security functionalities
WO2000067080A1 (en) Controller or engine controller, engine and method for adjusting a control or drive system or an engine
WO2018134023A1 (en) Redundant processor architecture
EP3073333A1 (en) Security architecture for fail-safe systems
DE102007045509B4 (en) Vehicle control unit with a supply voltage monitored microcontroller and associated method
DE102008034150A1 (en) Circuit arrangement for controlling e.g. piezo-actuator in motor vehicle, has control device including microprocessor to switch another control device to secure condition during malfunction of microprocessor of latter control device
DE10220811B4 (en) Method and device for monitoring the functioning of a system
EP1649373A2 (en) Method and device for monitoring a distributed system
DE10307344B4 (en) Device and method for decentralized on-board diagnostics for motor vehicles
EP1894101A1 (en) Method and apparatus for monitoring unauthorized access to the memory of an arithmetic unit, especially in a motor vehicle
DE102018212845B3 (en) A diagnostic method and apparatus for verifying operability of an electromechanical load, and a computer program product and a vehicle
DE102006020793A1 (en) Circuit arrangement and method for operating a circuit arrangement
EP1958101B1 (en) System and method for the automatic verification of planning results
DE10220812A1 (en) Method and device for monitoring the functioning of a system
DE102019218074B4 (en) Control of a driver assistance system of a motor vehicle
DE10312557B4 (en) Method for checking the functional safety of electronic systems of a vehicle
DE102017110154B4 (en) Method for ISO 26262 compliant monitoring of the supply voltage VCC of an integrated sensor circuit of a pedestrian impact absorption device
DE102019000715A1 (en) Method for operating a system comprising at least one electrical device and / or at least one sensor, and device
WO2022002913A1 (en) Electronic control unit
DE102004037687B4 (en) Assertions in physical model descriptions for functions and their use in generating code for microprocessor based controllers
WO2021219276A1 (en) Method, device, computer program and computer-readable storage medium for generating a graph database for determining a part to be checked of a mechatronic system

Legal Events

Date Code Title Description
8120 Willingness to grant licences paragraph 23
8110 Request for examination paragraph 44
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G05D0024020000

Ipc: G05B0023020000

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee