DE10220811B4 - Method and device for monitoring the functioning of a system - Google Patents

Method and device for monitoring the functioning of a system Download PDF

Info

Publication number
DE10220811B4
DE10220811B4 DE10220811.5A DE10220811A DE10220811B4 DE 10220811 B4 DE10220811 B4 DE 10220811B4 DE 10220811 A DE10220811 A DE 10220811A DE 10220811 B4 DE10220811 B4 DE 10220811B4
Authority
DE
Germany
Prior art keywords
monitoring
functional unit
function
functional
output signals
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE10220811.5A
Other languages
German (de)
Other versions
DE10220811A1 (en
Inventor
Diethard Loehr
Axel Strommer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE10220811.5A priority Critical patent/DE10220811B4/en
Priority to JP2002181990A priority patent/JP4727896B2/en
Priority to IT2002MI001414A priority patent/ITMI20021414A1/en
Priority to FR0207921A priority patent/FR2826744B1/en
Priority to US10/183,890 priority patent/US6901350B2/en
Publication of DE10220811A1 publication Critical patent/DE10220811A1/en
Application granted granted Critical
Publication of DE10220811B4 publication Critical patent/DE10220811B4/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/12Recording operating variables ; Monitoring of operating variables
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/0023Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/0092Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption with use of redundant elements for safety purposes
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L58/00Methods or circuit arrangements for monitoring or controlling batteries or fuel cells, specially adapted for electric vehicles
    • B60L58/10Methods or circuit arrangements for monitoring or controlling batteries or fuel cells, specially adapted for electric vehicles for monitoring or controlling batteries
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/36Arrangements for testing, measuring or monitoring the electrical condition of accumulators or electric batteries, e.g. capacity or state of charge [SoC]
    • G01R31/367Software therefor, e.g. for battery testing using modelling or look-up tables
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0208Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the configuration of the monitoring system
    • G05B23/0213Modular or universal configuration of the monitoring system, e.g. monitoring system having modules that may be combined to build monitoring program; monitoring system that can be applied to legacy systems; adaptable monitoring system; using different communication protocols
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0005Processor details or data handling, e.g. memory registers or chip architecture
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0006Digital architecture hierarchy
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/2406Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using essentially read only memories
    • F02D41/2409Addressing techniques specially adapted therefor
    • F02D41/2422Selective use of one or more tables
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/60Other road transportation technologies with climate change mitigation effect
    • Y02T10/70Energy storage systems for electromobility, e.g. batteries

Landscapes

  • Engineering & Computer Science (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Sustainable Development (AREA)
  • Sustainable Energy (AREA)
  • Power Engineering (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

Verfahren zur Überwachung der Funktionsweise eines Systems (1), indem Eingangssignale, Ausgangssignale und mindestens eine Funktionseinheit des Systems (1) überprüft werden, wobei das System (1) mindestens ein untergeordnetes Subsystem aufweist und/oder Bestandteil eines übergeordneten Systems (6) ist, und das System (1) hardwaremäßig realisierte Komponenten umfassend Sensoren (4), Aktoren (5) und/oder Funktionsrechner (2) aufweist, wobei eine bestimmungsgemäße Funktion des Systems (1) in Abhängigkeit von der Komplexität der Funktion hierarchisch unterteilt ist in mindestens eine Subsystemfunktion und diese wiederum in mindestens eine Funktionseinheit und das Verfahren strukturiert ist in: – eine erste Überwachungsschicht (Ü0), in der eine der Funktionseinheiten des Systems (1) unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen der Funktionseinheit überprüft wird; – eine der ersten Überwachungsschicht (Ü0) übergeordnete zweite Überwachungsschicht (Ü1), in der die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des der Funktionseinheit zugeordneten Subsystems überprüft wird; und – mindestens eine der zweiten Überwachungsschicht (Ü1) übergeordnete weitere Überwachungsschicht (Ü2... Ün), in der die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des Systems (1) überprüft wird.Method for monitoring the functioning of a system (1) by checking input signals, output signals and at least one functional unit of the system (1), the system (1) having at least one subordinate subsystem and / or being part of a higher-level system (6), and the system (1) comprises hardware-implemented components comprising sensors (4), actuators (5) and / or function computers (2), wherein a function of the system (1) as intended is hierarchically subdivided into at least one function of the complexity of the function Subsystem function and this in turn into at least one functional unit and the method is structured in: - a first monitoring layer (Ü0), in which one of the functional units of the system (1) is checked taking into account input signals and / or output signals of the functional unit; - One of the first monitoring layer (Ü0) superior second monitoring layer (Ü1), in which the functional unit is additionally checked in consideration of input signals and / or output signals of the functional unit associated subsystem; and - at least one of the second monitoring layer (Ü1) has a further, additional monitoring layer (Ü2 ... Ün), in which the functional unit is additionally checked in consideration of input signals and / or output signals of the system (1).

Description

Stand der TechnikState of the art

Die vorliegende Erfindung betrifft ein Verfahren zur Überwachung der Funktionsweise eines Systems, indem Eingangssignale, Ausgangssignale und mindestens eine Funktionseinheit des Systems überprüft werden. Das System weist mindestens ein untergeordnetes Subsystem auf und/oder ist Bestandteil eines übergeordneten Systems. Das System weist hardwaremäßig realisierte Komponenten umfassend Sensoren, Aktoren und/oder Funktionsrechner auf.The present invention relates to a method for monitoring the operation of a system by checking input signals, output signals and at least one functional unit of the system. The system has at least one subordinate subsystem and / or is part of a higher-level system. The system has hardware-implemented components comprising sensors, actuators and / or function computers.

Die Erfindung betrifft außerdem ein Speicherelement für eine Vorrichtung zur Überwachung der Funktionsweise eines Systems. Auf dem Speicherelement ist ein Computerprogramm abgespeichert, das auf einem Rechengerät, insbesondere auf einem Mikroprozessor, ablauffähig ist. Das Speicherelement ist beispielsweise als ein Read-Only-Memory als ein Random-Access-Memory oder als ein Flash-Memory ausgebildet.The invention also relates to a memory element for a device for monitoring the operation of a system. On the storage element, a computer program is stored, which is executable on a computing device, in particular on a microprocessor. The memory element is designed, for example, as a read-only memory as a random access memory or as a flash memory.

Des Weiteren betrifft die vorliegende Erfindung ein Computerprogramm, das auf einem Rechengerät, insbesondere auf einem Mikroprozessor, ablauffähig ist.Furthermore, the present invention relates to a computer program executable on a computing device, in particular on a microprocessor.

Schließlich betrifft die Erfindung eine Vorrichtung zur Überwachung der Funktionsweise eines Systems, das mindestens ein untergeordnetes Subsystem aufweist und/oder Bestandteil eines übergeordneten Systems ist. Das System weist hardwaremäßig realisierte Komponenten umfassend Sensoren, Aktoren und/oder Funktionsrechner auf. Die Vorrichtung weist Mittel zum überprüfen von Eingangssignalen, Ausgangssignalen und mindestens einer Funktionseinheit des Systems auf.Finally, the invention relates to a device for monitoring the operation of a system having at least one subordinate subsystem and / or is part of a higher-level system. The system has hardware-implemented components comprising sensors, actuators and / or function computers. The apparatus has means for checking input signals, output signals and at least one functional unit of the system.

Unter dem Begriff System im Sinne der vorliegenden Erfindung wird beispielsweise ein beliebiges Steuergerät, insbesondere ein Kraftfahrzeug-Steuergerät, verstanden. Das System ist beispielsweise als ein Steuergerät für ein elektrisches Batteriemanagement (EBM) ausgebildet. Es umfasst Subsysteme, die beispielsweise als eine Rechnereinheit, als ein ASIC (Application Specific Integrated Circuit) oder als ein Stromsensor ausgebildet sind. Außerdem umfasst das System Einheiten, die beispielsweise als ein EBM-Algorithmus oder als eine Batterienachbildung ausgebildet sind, und Teile, die bspw. das Berechnen einer Generatorsollspannung oder beliebige mathematische oder trigonometrische Funktionen umfassen. Das EBM-Steuergerät ist Bestandteil eines übergeordneten Systems in Form des Kraftfahrzeugs. Außer dem EBM-Steuergerät sind in dem Kraftfahrzeug noch eine Vielzahl weiterer Systeme, z. B. Motorsteuergerät und Getriebesteuergerät, vorgesehen.The term system in the sense of the present invention, for example, any control device, in particular a motor vehicle control unit understood. The system is designed, for example, as a control unit for an electric battery management (EBM). It comprises subsystems that are designed, for example, as a computer unit, as an ASIC (Application Specific Integrated Circuit) or as a current sensor. In addition, the system includes units configured, for example, as an EBM algorithm or as a battery replica, and parts including, for example, calculating a generator setpoint voltage or any mathematical or trigonometric functions. The EBM control unit is part of a higher-level system in the form of the motor vehicle. In addition to the EBM control unit are in the motor vehicle a variety of other systems, eg. B. engine control unit and transmission control unit provided.

Zur Gewährleistung einer korrekten Funktionsweise eines Systems ist es aus dem Stand der Technik bekannt, auf die Überwachung von Eingangssignalen, Ausgangssignalen und Funkionseinheiten des Systems zurückzugreifen. Aus der DE 41 14 999 A1 ist ein Verfahren zur Überwachung der Funktionsweise eines Kraftsteuergeräts bekannt. In einem Mikrorechner des Steuergeräts wird die bestimmungsgemäße Funktion des Steuergeräts ausgeführt. Parallel dazu wird in einer Überwachungseinrichtung die gleiche bestimmungsgemäße Funktion zumindest teilweise ausgeführt. Die Ausgangssignale des Mikrorechners und der Überwachungseinrichtung werden miteinander verglichen und in Abhängigkeit von dem Ergebnis des Vergleichs festgestellt, ob das Steuergerät korrekt funktioniert oder nicht. Bei einer detektierten fehlerhaften Funktionsweise des Steuergeräts werden entsprechende Ersatzmaßnahmen ausgeführt. Das in dieser Druckschrift vorgeschlagene Überwachungsverfahren ist stark an der Hardware des zu überwachenden Systems orientiert und sehr unflexibel. Das in der Druckschrift vorgeschlagene Überwachungsverfahren kann nicht einfach in einem anderen Steuergerät mit einer anderen bestimmungsgemäßen Funktion ausgeführt werden. Vielmehr muss das in der Überwachungseinrichtung ablaufende Überwachungsverfahren komplett überarbeitet werden und an die geänderte Funktion des anderen Steuergeräts angepasst werden. Dies kann auch eine strukturelle Überarbeitung des Überwachungsverfahrens beinhaltenTo ensure proper operation of a system, it is known in the art to resort to the monitoring of input signals, output signals, and functional units of the system. From the DE 41 14 999 A1 a method for monitoring the operation of a force control device is known. In a microcomputer of the controller, the intended function of the controller is performed. In parallel, the same intended function is carried out at least partially in a monitoring device. The output signals of the microcomputer and the monitoring device are compared with each other and determined depending on the result of the comparison, whether the controller is working properly or not. If a faulty functioning of the control unit is detected, corresponding replacement measures are carried out. The monitoring method proposed in this document is strongly oriented to the hardware of the system to be monitored and very inflexible. The monitoring method proposed in the document can not simply be carried out in another control unit with another intended function. On the contrary, the monitoring procedure running in the monitoring device must be completely revised and adapted to the changed function of the other control device. This may include a structural revision of the monitoring process

Aus der DE 44 38 714 A1 ist ein Verfahren zur Überwachung der Funktionsweise eines Steuergeräts bekannt. Ein Mikrorechner des Steuergeräts ist unterteilt in eine Funktionsebene, eine Überwachungsebene und eine Kontrollebene. In der Funktionsebene wird die bestimmungsgemäße Funktion des Steuergeräts ausgeführt. In der Überwachungsebene wird die ausgeführte Funktion bspw. mittels eines Schwellenvergleichs oder einer Plausibilitätsprüfung überprüft. In der Überwachungsebene wird nicht die (gesamte) bestimmungsgemäße Funktion des Steuergeräts ausgeführt, sondern es werden lediglich gezielte Überwachungsfunktionen ausgeführt. Um dennoch mit ausreichender Zuverlässigkeit eine fehlerhafte Funktionsweise des Systems detektieren zu können, ist die zusätzliche Kontrollebene vorgesehen, in der eine Überprüfung der hardwaremäßig realisierten Komponenten (z. B. der Speicherelemente oder des Mikroprozessors) des Systems getestet und mittels einer Frage-Antwort-Kommunikation eine korrekte Funktionsweise des Mikrorechners überprüft werden kann. Auch bei dem in dieser Druckschrift vorgeschlagenen Überwachungsverfahren ist es von Nachteil, dass sich die Struktur des Verfahrens an der Hardware des zu überwachenden Systems orientiert und sehr unflexibel ist. Um das Überwachungsverfahren auf ein anderes Steuergerät mit einer anderen bestimmungsgemäßen Funktion übertragen zu können, muss auch das in dieser Druckschrift vorgeschlagene Überwachungsverfahren erst komplett überarbeitet und an die neuen Hardware- und Softwarebedingungen angepasst werden. Das ist jedoch aufwendig und teuer.From the DE 44 38 714 A1 a method for monitoring the operation of a control device is known. A microcomputer of the controller is divided into a functional level, a monitoring level and a control level. In the functional level, the intended function of the control unit is executed. In the monitoring level, the executed function is checked, for example, by means of a threshold comparison or a plausibility check. In the monitoring level, the (entire) intended function of the control unit is not executed, but only targeted monitoring functions are performed. Nevertheless, in order to be able to detect a faulty functioning of the system with sufficient reliability, the additional control level is provided, in which a check of the hardware-implemented components (eg the memory elements or the microprocessor) of the system is tested and by means of a question-answer communication correct functioning of the microcomputer can be checked. Even with the monitoring method proposed in this document, it is disadvantageous that the structure of the method is based on the hardware of the system to be monitored and is very inflexible. In order to be able to transfer the monitoring procedure to another control unit with another intended function, Also, the monitoring procedure proposed in this document must first be completely revised and adapted to the new hardware and software conditions. This is however complicated and expensive.

Die Struktur der aus diesen beiden Druckschriften bekannten Verfahren zur Überwachung der Funktionsweise eines Systems ist allein an der Hardware des Systems orientiert und unabhängig von der Komplexität der Funktion, die von dem zu überwachenden System ausgeführt wird. Wenn das in diesen Druckschriften beschriebene Überwachungsverfahren zur Überwachung von Funktionen mit einer hohen Komplexität eingesetzt wird, wäre das Verfahren theoretisch genauso strukturiert wie in den Druckschriften angegeben. Durch die zunehmende Komplexität des von dem zu überwachenden System bestimmungsgemäß ausgeführten Funktion wird jedoch auch die Struktur des Überwachungsverfahrens komplexer und in zunehmendem Maße unübersichtlich. Die in den Druckschriften beschriebenen Überwachungskonzepte sind somit für komplexe Funktionen nicht geeignet. Insbesondere kann bei den bekannten Überwachungskonzepten im Fehlerfalle der auftretende Fehler nicht einer bestimmten Funktion des Systems zugeordnet werden. Dadurch wird sowohl die Fehlerdiagnose als auch die Auswahl einer geeigneten Ersatzfunktion deutlich erschwert.The structure of the method of monitoring the operation of a system, which is known from these two publications, is based solely on the hardware of the system and is independent of the complexity of the function that is performed by the system to be monitored. If the monitoring method described in these documents is used to monitor functions with a high degree of complexity, the method would theoretically be structured in the same way as stated in the publications. However, due to the increasing complexity of the function intended by the system to be monitored, the structure of the monitoring method also becomes more complex and increasingly unclear. The monitoring concepts described in the publications are thus not suitable for complex functions. In particular, in the case of an error case, the error occurring in the known monitoring concepts can not be assigned to a specific function of the system. This significantly complicates both the fault diagnosis and the selection of a suitable replacement function.

Aus der WO 99/26820 A1 und der WO 97/33083 A1 sind jeweils Verfahren zur Überwachung von Steuersystemen eines Kraftfahrzeugs aufgrund von Eingangs- und Ausgangssignalen bekannt.From the WO 99/26820 A1 and the WO 97/33083 A1 For example, methods for monitoring control systems of a motor vehicle based on input and output signals are known.

Der vorliegenden Erfindung liegt deshalb die Aufgabe zugrunde, ein allgemein gültiges Konzept zur Überwachung und Diagnose von Systemen zu schaffen, das ohne großen Aufwand auch auf andere Systeme übertragbar ist.The present invention is therefore based on the object to provide a generally valid concept for monitoring and diagnosis of systems that can be transferred to other systems without much effort.

Zur Lösung dieser Aufgabe schlägt die vorliegende Erfindung ausgehend von dem Verfahren der eingangs genannten Art vor, dass eine bestimmungsgemäße Funktion des Systems in Abhängigkeit von der Komplexität der Funktion hierarchisch unterteilt ist in mindestens eine Subsystemfunktion und diese wiederum in mindestens eine Funktionseinheit und dass das Verfahren strukturiert ist in:
eine erste Überwachungsschicht, in der eine der Funktionseinheiten des Systems unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen der Funktionseinheit überprüft wird;
eine der ersten Überwachungsschicht übergeordnete zweite Überwachungsschicht, in der die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des der Funktionseinheit zugeordneten Subsystems überprüft wird; und
mindestens eine der zweiten Überwachungsschicht übergeordnete weitere Überwachungsschicht, in der die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des Systems überprüft werden.To achieve this object, the present invention proposes, starting from the method of the type mentioned above, that a function of the system is subdivided hierarchically as a function of the complexity of the function into at least one subsystem function and this in turn into at least one functional unit and that structure the method is in:
a first monitoring layer in which one of the functional units of the system is checked in consideration of input signals and / or output signals of the functional unit;
a second monitoring layer which is superordinate to the first monitoring layer and in which the functional unit is additionally checked in consideration of input signals and / or output signals of the subsystem assigned to the functional unit; and
at least one further monitoring layer which is superordinate to the second monitoring layer and in which the functional unit is additionally checked in consideration of input signals and / or output signals of the system.

Vorteile der ErfindungAdvantages of the invention

Das erfindungsgemäß vorgeschlagene Überwachungsverfahren ist modular aufgebaut und somit leicht erweiterbar und zur Überwachung verschiedenster unterschiedlich komplexer Systeme verwendbar. Die Struktur des erfindungsgemäßen Überwachungsverfahrens unterscheidet grundsätzlich nicht zwischen Hardware- und Softwarerealisierung der Funktionen des zu überwachenden Systems und ist somit universell einsetzbar. Die Struktur des erfindungsgemäßen Überwachungsverfahrens orientiert sich rein an den Funktionseinheiten des Systems und ist deshalb auch abhängig von der Komplexität der Funktion, die von dem zu überwachenden System bestimmungsgemäß ausgeführt wird (z. B. Steuerungs- oder Regelungsfunktionen).The monitoring method proposed according to the invention has a modular structure and can thus be easily expanded and used to monitor a wide variety of different complex systems. The structure of the monitoring method according to the invention basically does not distinguish between hardware and software implementation of the functions of the system to be monitored and is therefore universally applicable. The structure of the monitoring method according to the invention is based purely on the functional units of the system and therefore also depends on the complexity of the function that is intended to be performed by the system to be monitored (eg control or regulation functions).

Durch die Modularität und die Strukturierung des erfindungsgemäßen Überwachungsverfahrens ergibt sich insgesamt ein klarer, verständlicher Aufbau des Überwachungsverfahrens und letztlich eine größere Kundenakzeptanz. Außerdem können auftretende Fehler leichter und eindeutig bestimmten Überwachungsschichten und innerhalb der Überwachungsschichten sogar verschiedenen Funktionseinheiten zugeordnet werden. Das wird dadurch erreicht, dass Fehler von verschiedenen Funktionseinheiten der gleichen Überwachungsschicht voneinander entkoppelt sind. Dadurch kann die Suche nach der Ursache eines Fehlers erheblich vereinfacht und deutlich beschleunigt werden. Außerdem wird die Genauigkeit und Zuverlässigkeit einer Fehlersuche verbessert. Die vorliegende Erfindung betrifft also eine besonders vorteilhafte vertikale Strukturierung eines Überwachungsverfahrens für ein System.The modularity and the structuring of the monitoring method according to the invention overall result in a clear, understandable structure of the monitoring method and ultimately a greater customer acceptance. In addition, errors that occur can be assigned to specific monitoring layers more easily and unambiguously, and even to different functional units within the monitoring layers. This is achieved by decoupling errors from different functional units of the same monitoring layer. This can significantly simplify and speed up the search for the cause of a fault. It also improves the accuracy and reliability of debugging. The present invention thus relates to a particularly advantageous vertical structuring of a monitoring method for a system.

Wie die Überwachung der Funktionen in den einzelnen Überwachungsschichten konkret zu erfolgen hat, wird durch das erfindungsgemäße Überwachungsverfahren in keiner Weise eingeschränkt. Die hardwaremäßig realisierten Komponenten können bspw. über einen Watch-Dog, einen Core-Test oder ein anderes Überwachungsmodul überwacht werden.As the monitoring of the functions in the individual monitoring layers has to be made concrete, is limited in any way by the monitoring method according to the invention. The hardware-implemented components can be monitored, for example, via a watchdog, a core test or another monitoring module.

Die bestimmungsgemäße Funktion des zu überwachenden Systems ist in Abhängigkeit der Komplexität der Funktion in mehrere Funktionsschichten unterteilt. Ganz oben ist die eigentliche Systemfunktion vorgesehen. Die Systemfunktion ist bspw. eine elektronische Batteriemanagement(EBM)-Funktion. Die Systemfunktion ist unterteilt in mindestens eine Subsystemfunktion, die bspw. als die Funktion eines Mikrorechners oder eines Stromsensors ausgebildet ist. In den gewählten Beispielen sind die Systemfunktion und die Subsystemfunktion hardwaremäßig realisiert. Es ist jedoch durchaus denkbar, für diese Funktionen auch softwaremäßig realisierte Beispiele zu wählen.The intended function of the system to be monitored is subdivided into a plurality of functional layers as a function of the complexity of the function. At the top, the actual system function is provided. The system function is, for example, an electronic battery management (EBM) function. The system function is subdivided into at least one subsystem function, for example as the Function of a microcomputer or a current sensor is formed. In the selected examples, the system function and the subsystem function are implemented in hardware. However, it is quite conceivable to also choose software-implemented examples for these functions.

Die Subsystemfunktion ist wiederum unterteilt in mindestens eine Funktionseinheit, die als eine Software-Funktionalität (z. B. Batterienachbildung, Ruhestrommanagement (RSM) oder dynamisches Energiemanagement (DYN)) oder als eine Hardware-Funktionalität (z. B. Strommessung, Spannungsmessung) ausgebildet ist. Je nach Komplexität der bestimmungsgemäßen Funktion des Systems lässt sich diese Unterteilung durch das Einfügen weiterer Funktionsschichten noch beliebig fortführen. So kann eine Funktionseinheit noch in mindestens eine Teilfunktion unterteilt werden, die bei dem Beispiel des dynamischen Energiemanagements als eine einfache mathematische oder trigonometrische Funktion oder als eine Generatorsollspannungsberechnung ausgebildet sein kann.The subsystem function is in turn subdivided into at least one functional unit, which is designed as a software functionality (eg battery simulation, quiescent current management (RSM) or dynamic energy management (DYN)) or as hardware functionality (eg current measurement, voltage measurement) is. Depending on the complexity of the intended function of the system, this subdivision can be continued as desired by the insertion of further functional layers. Thus, a functional unit can still be subdivided into at least one partial function, which in the example of the dynamic energy management can be designed as a simple mathematical or trigonometric function or as a generator setpoint voltage calculation.

Ausgehend von der ersten Überwachungsschicht wächst die Komplexität der Überwachung von Schicht zu Schicht. In der ersten Überwachungsschicht wird eine Funktionseinheit des Systems anhand von Eingangssignale und/oder Ausgangssignalen der Betrachtungseinheit, also anhand der betrachteten Funktionseinheit, überwacht. In der zweiten Überwachungsschicht wird die Funktionseinheit zusätzlich anhand von Eingangssignale und/oder Ausgangssignalen von weiteren Funktionseinheiten innerhalb des Subsystems überwacht, dem die betrachtete Funktionseinheit zugeordnet ist. In der dritten Überwachungsschicht wird die Funktionseinheit des Systems zusätzlich anhand von Eingangssignalen und/oder Ausgangssignalen weiterer Subsysteme innerhalb des Systems überwacht.Starting from the first monitoring layer, the complexity of monitoring increases from layer to layer. In the first monitoring layer, a functional unit of the system is monitored on the basis of input signals and / or output signals of the viewing unit, ie on the basis of the functional unit under consideration. In the second monitoring layer, the functional unit is additionally monitored on the basis of input signals and / or output signals from further functional units within the subsystem to which the considered functional unit is assigned. In the third monitoring layer, the functional unit of the system is additionally monitored by means of input signals and / or output signals of further subsystems within the system.

Falls die Systemfunktion unterhalb der ersten Funktionsschicht noch weitere Funktionsschichten aufweist (z. B. Teilfunktionen unterhalb der Funktionseinheiten), wird in der ersten Überwachungsschicht eine Teilfunktion des Systems anhand von Eingangssignalen und/oder Ausgangssignalen der Betrachtungseinheit, also anhand der betrachteten Teilfunktion, überwacht. In der zweiten Überwachungsschicht wird die Teilfunktion des Systems zusätzlich anhand von Eingangssignale und/oder Ausgangssignalen von weiteren Teilfunktionen innerhalb der Funktionseinheit, der die betrachtete Teilfunktion zugeordnet ist, überwacht. In der dritten Überwachungsschicht wird die Teilfunktion zusätzlich anhand von Eingangssignale und/oder Ausgangssignalen von weiteren Funktionseinheiten innerhalb des Subsystems überwacht, dem die betrachtete Teilfunktion zugeordnet ist. In einer weiteren vierten Überwachungsschicht wird die Teilfunktion zusätzlich anhand von Eingangssignalen und/oder Ausgangssignalen weiterer Subsysteme innerhalb des Systems überwacht. Je komplexer also die Struktur der Funktion des Systems ist, desto komplexer ist auch die Struktur des erfindungsgemäßen Überwachungsverfahrens.If the system function has further functional layers below the first functional layer (eg sub-functions below the functional units), a partial function of the system is monitored in the first monitoring layer on the basis of input signals and / or output signals of the viewing unit, ie on the basis of the partial function under consideration. In the second monitoring layer, the subfunction of the system is additionally monitored on the basis of input signals and / or output signals of further subfunctions within the functional unit to which the subfunction under consideration is assigned. In the third monitoring layer, the subfunction is additionally monitored on the basis of input signals and / or output signals from further functional units within the subsystem to which the subfunction under consideration is assigned. In a further fourth monitoring layer, the subfunction is additionally monitored on the basis of input signals and / or output signals of further subsystems within the system. Thus, the more complex the structure of the function of the system, the more complex the structure of the monitoring method according to the invention.

Gemäß einer vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass die Funktionseinheit überprüft wird, indem die Eingangssignale und/oder Ausgangssignale der Funktionseinheit, des Subsystems und/oder des Systems auf Überschreitung eines Maximalwertes oder Unterschreitung eines Minimalwertes überprüft werden und/oder indem der Gradient der Eingangssignale und/oder Ausgangssignale auf Überschreitung eines Maximalwertes oder Unterschreitung eines Minimalwertes überprüft wird.According to an advantageous development of the present invention, it is proposed that the functional unit be checked by checking the input signals and / or output signals of the functional unit, the subsystem and / or the system for exceeding of a maximum value or below a minimum value and / or by the gradient of Input signals and / or output signals to exceeding a maximum value or below a minimum value is checked.

Gemäß einer bevorzugten Ausführungsform der Erfindung wird vorgeschlagen, dass die Funktionseinheiten des zu überwachenden Systems in sicherheitsrelevante Funktionsnetze, deren fehlerhafte Funktionsweise ein Sicherheitsrisiko darstellt, das oberhalb eines vorgebbaren Grenzrisikos liegt, und in weitere Funktionsnetze unterteilt wird, deren fehlerhafte Funktionsweise ein Sicherheitsrisiko darstellt, das kleiner oder gleich dem Grenzrisiko ist.According to a preferred embodiment of the invention, it is proposed that the functional units of the system to be monitored be subdivided into safety-relevant functional networks whose faulty functioning constitutes a safety risk which is above a predefinable limit risk and is subdivided into further functional networks whose faulty functioning represents a safety risk which is smaller or equal to the limit risk.

Bei sicherheitsrelevanten Funktionsnetzen ist eine genügend schnelle und genügend sichere Reaktion, z. B. die Einleitung einer Ersatzfunktion oder eine geeignete Abschaltstrategie, erforderlich, um die Sicherheit des Systems zu gewährleisten. Bei den weiteren Funktionsnetzen ist genügend Zeit vorhanden, um entsprechend zu reagieren, bzw. ergibt sich beim Scheitern der Ersatzfunktionen kein die Sicherheit des Systems gefährdender Zustand.For safety-related functional networks is a sufficiently fast and sufficiently safe response, eg. As the introduction of a replacement function or a suitable shutdown strategy, required to ensure the safety of the system. In the case of the other functional networks, there is sufficient time to react accordingly, or, if the replacement functions fail, there is no state threatening the safety of the system.

Gemäß einer weiteren bevorzugten Ausführungsform der Erfindung wird vorgeschlagen, dass bei einer fehlerhaften Funktionsweise eines Funktionsnetzes Ersatzmaßnahmen in Abhängigkeit davon gewählt werden, ob eine Funktionseinheit eines sicherheitsrelevanten Funktionsnetzes oder eines weiteren Funktionsnetzes eine fehlerhafte Funktionsweise aufweist.According to a further preferred embodiment of the invention, it is proposed that replacement measures be selected depending on whether a functional unit of a safety-relevant functional network or of a further functional network has an erroneous mode of operation in the event of a faulty functioning of a functional network.

Die Ersatzmaßnahmen umfassen vorzugsweise einen Notbetrieb und/oder eine Notabschaltung einer betroffenen hardwaremäßig realisierten Komponente, einer betroffenen Funktion und/oder des betroffenen Systems.The replacement measures preferably include an emergency operation and / or an emergency shutdown of an affected hardware-implemented component, an affected function and / or the affected system.

Das erfindungsgemäße Verfahren wird vorteilhafterweise auf alle Funktionseinheiten des Systems angewandt. Das bedeutet, dass jede Funktionseinheit des Systems durch ein Überwachungsverfahren überprüft wird, das in der beschriebenen Weise strukturiert ist. Auf diese Weise kann eine zuverlässige Aussage über die Funktionsweise des gesamten Systems getroffen werden.The method according to the invention is advantageously applied to all functional units of the system. That is, each functional unit of the system is checked by a monitoring method structured in the manner described. This way a can reliable statement about how the entire system works.

Vorzugsweise wird eine ordnungsgemäße Funktionsweise des Systems festgestellt, wenn alle Funktionseinheiten des Systems ordnungsgemäß funktionieren. Sobald also eine der überprüften Funktionseinheiten nicht ordnungsgemäß funktioniert, wird das gesamte System als fehlerhaft erkannt. Im Fehlerfall wird eine geeignete Ersatzmaßnahme ausgewählt und ausgeführt. Die Ersatzmaßnahme kann zusätzlich zu oder anstelle der Funktion der fehlerhaften Betrachtungseinheit (Funktionseinheit) ausgeführt werden.Preferably, proper functioning of the system is determined when all functional units of the system are functioning properly. Thus, as soon as one of the functional units checked does not function properly, the entire system is detected as being faulty. In the event of an error, a suitable replacement measure is selected and executed. The replacement action may be performed in addition to or instead of the function of the erroneous consideration unit (functional unit).

Von besonderer Bedeutung ist die Realisierung des erfindungsgemäßen Verfahrens in der Form eines Speicherelements, das für eine Vorrichtung zur Überwachung der Funktionsweise eines Systems vorgesehen ist. Dabei ist auf dem Speicherelement ein Computerprogramm abgespeichert, das auf einem Rechengerät, insbesondere auf eine Mikroprozessor, ablauffähig und zur Ausführung des erfindungsgemäßen Verfahrens geeignet ist. In diesem Fall wird also die Erfindung durch ein auf dem Speicherelement abgespeichertes Computerprogramm realisiert, so dass dieses mit dem Computerprogramm versehene Speicherelement in gleicher Weise die Erfindung darstellt, wie das Verfahren, zu dessen Ausführung das Computerprogramm geeignet ist. Als Speicherelement kann insbesondere ein elektrisches Speichermedium zur Anwendung kommen, beispielsweise ein Read-Only-Memory, ein Random-Access-Memory oder ein Flash-Memory.Of particular importance is the realization of the method according to the invention in the form of a memory element which is provided for a device for monitoring the functioning of a system. In this case, a computer program is stored on the memory element, which is executable on a computing device, in particular a microprocessor, and suitable for carrying out the method according to the invention. In this case, the invention is thus realized by a computer program stored on the memory element, so that this memory element provided with the computer program represents the invention in the same way as the method which the computer program is suitable for executing. In particular, an electrical storage medium can be used as the storage element, for example a read-only memory, a random access memory or a flash memory.

Als noch eine weitere Lösung der Aufgabe der vorliegenden Erfindung wird ausgehend von dem Computerprogramm der eingangs genannten Art vorgeschlagen, dass das Computerprogramm zur Ausführung des erfindungsgemäßen Verfahrens geeignet ist, wenn es auf dem Rechengerät abläuft. Besonders bevorzugt ist dabei, wenn das Computerprogramm auf einem Speicherelement, insbesondere auf einem Read-Only-Memory, einem Random-Access-Memory oder einem Flash-Memory, abgespeichert ist.As yet another solution of the object of the present invention is proposed starting from the computer program of the type mentioned that the computer program is suitable for carrying out the method according to the invention, when it runs on the computing device. It is particularly preferred if the computer program is stored on a memory element, in particular on a read-only memory, a random access memory or a flash memory.

Schließlich wird als noch eine weitere Lösung der Aufgabe der vorliegenden Erfindung ausgehend von der Vorrichtung der eingangs genannten Art vorgeschlagen, dass eine bestimmungsgemäße Funktion des Systems in Abhängigkeit von der Komplexität der Funktion hierarchisch unterteilt ist in mindestens eine Subsystemfunktion und diese wiederum in mindestens eine Funktionseinheit und dass die Vorrichtung umfasst:

  • – Mittel einer ersten Überwachungsschicht, welche eine der Funktionseinheiten des Systems unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen der Funktionseinheit überprüfen;
  • – Mittel einer der ersten Überwachungsschicht übergeordneten zweiten Überwachungsschicht, welche die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des der Funktionseinheit zugeordneten Subsystems überprüfen; und
  • – Mittel mindestens einer der zweiten Überwachungsschicht übergeordneten weiteren Überwachungsschicht, welche die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des Systems überprüfen.
Finally, it is proposed as a still further solution of the object of the present invention proceeding from the device of the type mentioned above that a function of the system according to its intended function is subdivided hierarchically into at least one subsystem function and this in turn into at least one functional unit in that the device comprises:
  • - means of a first monitoring layer, which check one of the functional units of the system taking into account input signals and / or output signals of the functional unit;
  • - means of the first monitoring layer superordinate second monitoring layer, which additionally check the functional unit, taking into account input signals and / or output signals of the subsystem associated with the functional unit; and
  • - means of at least one of the second monitoring layer superordinate further monitoring layer, which additionally check the functional unit, taking into account input signals and / or output signals of the system.

Die Mittel der verschiedenen Schichten können hardwaremäßig oder softwaremäßig realisiert sein. Sie umfassen beispielsweise einen Watch-Dog, einen Core-Test oder ein anderes Überwachungsmodul. Denkbar wäre auch, dass die Mittel Vergleicher umfassen, um die verschiedenen Eingangssignale und/oder die Ausgangssignale auf Überschreitung eines Maximalwertes oder Unterschreitung eines Minimalwertes hin zu überprüfen. Zusätzlich können die Mittel Gradientenbildungsmittel umfassen, wobei die Vergleicher dann den Gradienten der Eingangssignale und/oder Ausgangssignale auf Überschreitung eines Maximalwertes oder Unterschreitung eines Minimalwertes hin überprüfen.The means of the various layers can be realized in terms of hardware or software. They include, for example, a watchdog, a core test or another monitoring module. It would also be conceivable that the means comprise comparators in order to check the various input signals and / or the output signals for exceeding of a maximum value or below a minimum value. In addition, the means may comprise gradient-forming means, the comparators then checking the gradients of the input signals and / or output signals for exceeding of a maximum value or below a minimum value.

Zeichnungendrawings

Weitere Merkmale, Anwendungsmöglichkeiten und Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen der Erfindung, die in der Zeichnung dargestellt sind. Dabei bilden alle beschriebenen oder dargestellten Merkmale für sich oder in beliebiger Kombination den Gegenstand der Erfindung, unabhängig von ihrer Zusammenfassung in den Patentansprüchen oder deren Rückbeziehung sowie unabhängig von ihrer Formulierung bzw. Darstellung in der Beschreibung bzw. in der Zeichnung. Es zeigen:Other features, applications and advantages of the invention will become apparent from the following description of exemplary embodiments of the invention, which are illustrated in the drawing. All described or illustrated features, alone or in any combination form the subject matter of the invention, regardless of their summary in the claims or their dependency and regardless of their formulation or representation in the description or in the drawing. Show it:

1 eine Struktur eines Systems, das mittels des erfindungsgemäßen Überwachungsverfahrens überwacht wird; 1 a structure of a system that is monitored by means of the monitoring method according to the invention;

2 eine Struktur eines erfindungsgemäßen Überwachungsverfahrens gemäß einer ersten bevorzugten Ausführungsform; 2 a structure of a monitoring method according to the invention according to a first preferred embodiment;

3 eine Struktur eines erfindungsgemäßen Überwachungsverfahrens gemäß einer zweiten bevorzugten Ausführungsform; 3 a structure of a monitoring method according to the invention according to a second preferred embodiment;

4 ein Funktionsdiagramm für eine erste Überwachungsebene des erfindungsgemäßen Verfahrens; 4 a functional diagram for a first monitoring level of the method according to the invention;

5 ein Funktionsdiagramm für eine zweite Überwachungsebene des erfindungsgemäßen Verfahrens; 5 a functional diagram for a second monitoring level of the method according to the invention;

6 ein Funktionsdiagramm für eine dritte Überwachungsebene des erfindungsgemäßen Verfahrens; 6 a functional diagram for a third monitoring level of the method according to the invention;

7 ein Funktionsdiagramm für eine vierte Überwachungsebene des erfindungsgemäßen Verfahrens; und 7 a functional diagram for a fourth monitoring level of the method according to the invention; and

8 ein Steuergerät zur Ausführung des erfindungsgemäßen Überwachungsverfahrens. 8th a control device for carrying out the monitoring method according to the invention.

Beschreibung der AusführungsbeispieleDescription of the embodiments

Die vorliegende Erfindung betrifft ein Überwachungsverfahren zur Überwachung der Funktionsweise eines beliebigen Systems, wobei das Überwachungsverfahren in Abhängigkeit von der Komplexität der bestimmungsgemäßen Funktion des zu überwachenden Systems vertikal strukturiert ist. Die bestimmungsgemäße Funktion des Systems ist bspw. eine Steuerungs- oder Regelungsfunktion. Die erfindungsgemäß vorgeschlagene Strukturierung ist unabhängig von der Hardware des Systems und äußerst flexibel.The present invention relates to a monitoring method for monitoring the operation of any system, wherein the monitoring method is vertically structured depending on the complexity of the intended function of the system to be monitored. The intended function of the system is, for example, a control or regulating function. The structuring proposed according to the invention is independent of the hardware of the system and extremely flexible.

Die bestimmungsgemäße Funktion des zu überwachenden Systems 1 wird in ihre Elemente zerlegt betrachtet. Als ein Funktionselement wird die kleinste Einheit der Funktion des Systems 1 bezeichnet, die – falls erforderlich – durch eine Überwachungsfunktion ÜF überwacht wird. Die Überwachung muss jedoch nicht in den kleinsten Einheiten erfolgen, sondern kann auch an Modulen, die aus mehreren Funktionselementen bestehen, erfolgen.The intended function of the system to be monitored 1 is considered decomposed into its elements. As a functional element, the smallest unit becomes the function of the system 1 referred to, which - if necessary - is monitored by a monitoring function ÜF. However, the monitoring does not have to be done in the smallest units, but can also be done on modules that consist of several functional elements.

In 1 ist ein übergeordnetes System in Form eines Kraftfahrzeugs mit A bezeichnet. Das übergeordnete System A umfasst verschiedene Systeme, u. a. ein elektrisches Batteriemanagement(EBM)-Steuergerät, das mit AA bezeichnet ist. Außer dem EBM-Steuergerät AA ist noch ein weiteres System AB Bestandteil des Kraftfahrzeugs A. Das weitere System AB ist bpsw. als ein Motor- oder als ein Getriebesteuergerät ausgebildet. Das EBM-Steuergerät AA ist in zwei Subsysteme AAA und AAB unterteilt, die bspw. als ein Rechengerät 2 (vgl. 8) oder als ein Speicherelement 3 ausgebildet sind. Das weitere System AB ist unterteilt in Subsysteme ABA und ABB.In 1 is a superordinate system in the form of a motor vehicle denoted by A. The superordinate system A comprises various systems, including an electric battery management (EBM) controller, which is designated AA. In addition to the EBM control unit AA is still another system AB component of the motor vehicle A. The other system AB is bpsw. designed as an engine or as a transmission control unit. The EBM control unit AA is subdivided into two subsystems AAA and AAB, for example as a computing device 2 (see. 8th ) or as a storage element 3 are formed. The further system AB is divided into subsystems ABA and ABB.

Die Subsysteme AAA, AAB sind wiederum unterteilt in mehrere Einheiten AAAA, AAAB, AABA, AABB. Gleiches gilt für die Subsysteme ABA und ABB des weiteren Systems AB. Die Einheiten AAAA, AAAB, AABA, AABB sind bspw. als Ruhestrommanagement (RSM) oder als dynamisches Energiemanagement (DYN) ausgebildet.The subsystems AAA, AAB are in turn divided into several units AAAA, AAAB, AABA, AABB. The same applies to the subsystems ABA and ABB of the other system AB. The units AAAA, AAAB, AABA, AABB are designed, for example, as quiescent current management (RSM) or as dynamic energy management (DYN).

Die Einheiten AAAA, AAAB, AABA, AABB sind ihrerseits unterteilt in verschiedene Teile. Die Einheit AAAA ist in die Teile AAAAA, AAAAB und AAAAC und die Einheit AAAB in die Teile AAABA, AAABB und AAABC unterteilt. Ebenso ist die Einheit AABA in die Teile AABAA, AABAB und AABAC und die Einheit AABB in die Teile AABBA, AABBB und AABBC unterteilt. Gleiches gilt für die Einheiten ABAA, ABAB, ABBA und ABBB der Subsysteme ABA und ABB des weiteren Systems AB. Die Einheiten umfassen bspw. eine Generatorspannungsberechnung.The units AAAA, AAAB, AABA, AABB are in turn divided into different parts. The unit AAAA is divided into the parts AAAAA, AAAAB and AAAAC and the unit AAAB into the parts AAABA, AAABB and AAABC. Likewise, the AABA unit is subdivided into parts AABAA, AABAB and AABAC and the unit AABB into Parts AABBA, AABBB and AABBC. The same applies to the units ABAA, ABAB, ABBA and ABBB of the subsystems ABA and ABB of the other system AB. The units include, for example, a generator voltage calculation.

Die bestimmungsgemäße Funktion des zu überwachenden Systems AA ist also in Abhängigkeit der Komplexität der Funktion in mehrere Funktionsschichten unterteilt. Ganz oben ist die eigentliche Systemfunktion (in dem System AA) vorgesehen. Die Systemfunktion ist bspw. eine elektronische Batteriemanagement(EBM)-Funktion. Die Systemfunktion ist unterteilt in mindestens eine Subsystemfunktion (in den Subsystemen AAA und AAB), die bspw. als die Funktion eines Mikrorechners oder eines Stromsensors ausgebildet ist. Die Subsystemfunktionen sind wiederum unterteilt in jeweils mindestens eine Funktionseinheit (in den Einheiten AAAA, AAAB, AABA und AABB), die bspw. als eine Software-Funktionalität (Batterienachbildung, Ruhestrommanagement oder dynamisches Strommanagement) ausgebildet ist. Je nach Komplexität der Funktion des Systems lässt sich diese Unterteilung noch beliebig fortsetzen. So kann eine Funktionseinheit noch in mindestens eine Teilfunktion unterteilt werden (in den Teilen AAAAA, AAAAB, AAAAC, AAABA, AAABB, AAABC, AABAA, AABAB, AABAC, AABBA, AABBB und AABBC), die bei dem Beispiel des dynamischen Strommanagements als eine einfache trigonometrische Funktion oder als eine Generatorsollspannungsberechnung ausgebildet ist.The intended function of the system AA to be monitored is thus subdivided into a plurality of functional layers as a function of the complexity of the function. At the very top is the actual system function (in the system AA). The system function is, for example, an electronic battery management (EBM) function. The system function is subdivided into at least one subsystem function (in the subsystems AAA and AAB), which is embodied, for example, as the function of a microcomputer or of a current sensor. The subsystem functions are in turn subdivided into at least one functional unit (in the units AAAA, AAAB, AABA and AABB), which is embodied, for example, as a software functionality (battery simulation, closed-circuit power management or dynamic power management). Depending on the complexity of the function of the system, this subdivision can continue indefinitely. Thus, a functional unit may still be divided into at least one subfunction (in the parts AAAAA, AAAAB, AAAAC, AAABA, AAABB, AAABC, AABAA, AABAB, AABAC, AABBA, AABBB and AABBC) which in the example of dynamic power management is considered to be a simple one trigonometric function or is designed as a generator setpoint voltage calculation.

In dieser funktionellen Strukturierung der bestimmungsgemäßen Funktion des Systems AA, AB setzt das erfindungsgemäße Verfahren an. In 2 ist ein Schichtenmodell mit verschiedenen Überwachungsschichten eines erfindungsgemäßen Überwachungsverfahrens gemäß einer ersten bevorzugten Ausführungsform dargestellt. Ausgehend von einer (unteren) ersten Überwachungsschicht Ü0 wächst die Komplexität der Überwachung von Schicht zu Schicht. Die Betrachtung des erfindungsgemäßen Verfahrens geht von einer bestimmten Einheit des Systems AA aus; im vorliegenden Fall ist dies die Teilfunktion AAABA (vgl. 4). In der ersten Überwachungsschicht Ü0 wird die Teilfunktion AAABA anhand von Eingangssignalen 6 und/oder Ausgangssignalen 8 dieser Teilfunktion AAABA durch eine dieser Teilfunktion AAABA zugeordnete Überwachungsfunktion ÜF AAABA überprüft.In this functional structuring of the intended function of the system AA, AB begins the inventive method. In 2 a layer model is shown with different monitoring layers of a monitoring method according to the invention according to a first preferred embodiment. Starting from a (lower) first monitoring layer U0, the complexity of the monitoring increases from layer to layer. The consideration of the method according to the invention is based on a specific unit of the system AA; in the present case this is the subfunction AAABA (cf. 4 ). In the first monitoring layer U0, the subfunction AAABA is determined based on input signals 6 and or output signals 8th This subfunction AAABA is checked by a monitoring function ÜF AAABA assigned to this subfunction AAABA.

In einer der ersten Überwachungsschicht Ü0 übergeordneten zweiten Überwachungsschicht Ü1 (vgl. 5) wird die Teilfunktion AAABA zusätzlich anhand von Eingangssignalen 8 und/oder Ausgangssignalen 9 von einer weiteren Teilfunktion AAABB derjenigen Funktionseinheit AAAB überprüft, der die betrachtete Teilfunktion AAABA zugeordnet ist. Die weitere Teilfunktion AAABB ist Teil der gleichen Funktionseinheit AAAB wie die betrachtete Teilfunktion AAABA.In one of the first monitoring layer Ü0 superior second monitoring layer Ü1 (see. 5 ), the subfunction AAABA is additionally based on input signals 8th and / or output signals 9 is checked by a further subfunction AAABB that functional unit AAAB, which is associated with the considered subfunction AAABA. The further subfunction AAABB is part of the same functional unit AAAB as the considered subfunction AAABA.

In einer der zweiten Überwachungsschicht Ü1 übergeordneten dritten Überwachungsschicht Ü2 (vgl. 6) wird die Teilfunktion AAABA zusätzlich anhand von Eingangssignalen 10 und/oder Ausgangssignalen 11 von einer anderen Funktionseinheit AAAA als derjenigen Funktionseinheit AAAB überprüft, der die betrachtete Teilfunktion AAABA zugeordnet ist. Die Funktionseinheit AAAA ist Teil des Subsystems AAA, dem auch die betrachtete Teilfunktion AAABA zugeordnet ist.In one of the second monitoring layer Ü1 parent third monitoring layer Ü2 (see. 6 ), the subfunction AAABA is additionally based on input signals 10 and / or output signals 11 is checked by another functional unit AAAA than that functional unit AAAB, which is assigned the considered subfunction AAABA. The functional unit AAAA is part of the subsystem AAA, to which the considered subfunction AAABA is also assigned.

In einer der dritten Überwachungsschicht Ü2 übergeordneten vierten Überwachungsschicht Ü3 (vgl. 7) wird die Teilfunktion AAABA zusätzlich anhand von Eingangssignalen 12 und/oder Ausgangssignalen 13 von einem anderen Subsystem AAB als demjenigen Subsystem AAA überprüft, dem die betrachtete Teilfunktion AAABA zugeordnet ist. Das Subsystem AAB ist Teil des Systems AA, dem auch die betrachtete Teilfunktion AAABA zugeordnet ist.In one of the third monitoring layer Ü2 superior fourth monitoring layer Ü3 (see. 7 ), the subfunction AAABA is additionally based on input signals 12 and / or output signals 13 is checked by a subsystem AAB other than subsystem AAA, to which the considered subfunction AAABA is assigned. The subsystem AAB is part of the system AA, to which the considered subfunction AAABA is also assigned.

Überwachungsabläufe, die von mehreren Überwachungsfunktion ÜF durchlaufen werden, können an zentraler Stelle für diese Überwachungsfunktionen ÜF bereitgestellt werden. Dadurch stehen diese Überwachungsabläufe für z. B. einen Fehlerspeichereintrag allen Überwachungsfunktionen ÜF zur Verfügung. Die einzelnen Überwachungsfunktionen ÜF prüfen bestimmte Grundfunktionalitäten (z. B. Betriebsüberspannungserkennung) der Funktionseinheiten und können ohne großen Aufwand für andere Überwachungsfunktionen ÜF wiederverwendet werden. Denkbar wäre beispielsweise, dass ein Kommunikationsprotokoll einer Überwachungsfunktion ÜF, über das die verschiedenen Überwachungsfunktionen ÜF miteinander Daten austauschen, für andere Überwachungsfunktionen ÜF wiederverwendet wird.Monitoring processes that are run through by a plurality of monitoring function ÜF can be provided centrally for these monitoring functions ÜF. As a result, these monitoring processes are for z. B. a fault memory entry all monitoring functions ÜF available. The individual monitoring functions ÜF check certain basic functionalities (eg operating overvoltage detection) of the functional units and can be reused without much effort for other monitoring functions ÜF. It would be conceivable, for example, that a communication protocol of a monitoring function ÜF, via which the various monitoring functions ÜF exchange data with each other, is reused for other monitoring functions ÜF.

Das erfindungsgemäße Überwachungsverfahren kann auf beliebigen Systemen 1 eingesetzt werden. Eventuell auftretende Fehler sind von den verschiedenen Funktionseinheiten der gleichen Überwachungsschicht entkoppelt. Bei der Suche nach den Ursachen von Fehlern können die Fehlerquellen dadurch einfacher ermittelt werden. Das erfindungsgemäße Überwachungsverfahren ermöglicht eine leichtere, eindeutige Zuordnung von Fehlern zu den einzelnen Überwachungsschichten und damit zu den Funktionenseinheiten des Systems 1. Da in jeder Überwachungsschicht lediglich Eingangssignale und/oder Ausgangssignale überwacht werden, stehen insgesamt weniger Fehlerquellen aufgrund der Überwachungen im Vergleich zum Stand der Technik zur Verfügung, die letztlich auch einfacher und genauer ermittelt werden können.The monitoring method according to the invention can be implemented on any system 1 be used. Any errors that occur are decoupled from the various functional units of the same monitoring layer. When looking for the causes of errors, the sources of error can be determined more easily. The monitoring method according to the invention enables an easier, unambiguous assignment of errors to the individual monitoring layers and thus to the functional units of the system 1 , Since only input signals and / or output signals are monitored in each monitoring layer, a total of fewer error sources are available due to the monitoring in comparison to the prior art, which ultimately can also be determined more simply and accurately.

Die Mindestanforderung an die Überwachung eines Systems 1 ist, dass erkannt werden kann, wann sich das System 1 nicht mehr spezifiziert verhält. Im Idealfall soll darüber hinaus sichergestellt werden können, dass sich das System 1 auch beim Auftreten von Fehlern spezifiziert verhält. Dies setzt voraus, dass Redundanzen vorhanden sind, die aus Kostengründen in der Regel nur bei als sicherheitsrelevant eingestuften Systemen realisiert werden. Bei allen übrigen Systemen 1 beschränkt sich die Überwachung daher zumeist darauf, zu erkennen, wann sich das System 1 nicht mehr wie spezifiziert verhält.The minimum requirement for monitoring a system 1 is that can be detected when the system 1 no longer specified. Ideally, it should also be able to ensure that the system 1 also specified when errors occur. This presupposes that there are redundancies which, for reasons of cost, are generally only realized in the case of systems classified as safety-relevant. For all other systems 1 Therefore, the monitoring is usually limited to recognizing when the system is 1 no longer behaves as specified.

Unter Spezifikation versteht man in diesem Zusammenhang die Summe aller Anforderungen, die an ein System gestellt werden. Anforderungen können z. B. „Sicherheit bei Ausfall” (fail-safe) „Fehlertoleranz” (fault-tolerance), „funktionelle Sicherheit” (functional safety) oder auch „Steuergerät uneingeschränkt funktionsfähig für Betriebsspannungen zwischen 6 Volt und 20 Volt” sein. Da sich diese Anforderungen für jedes System unterscheiden, zeichnet sich ein allgemein gültiges Überwachungskonzept dadurch aus, dass es flexibel auf unterschiedliche Systeme mit verschiedenen Anforderungen anwendbar ist. Dies erfordert eine entsprechende Funktionsstruktur, die es erlaubt, die Überwachungskomponenten für verschiedene Systeme verwenden zu können, auch wenn diese (hinsichtlich der Sicherheit) unterschiedlichen Anforderungen genügen.Specification in this context means the sum of all requirements that are placed on a system. Requirements can z. "Fail-safe" (fault-tolerance), "functional safety" (functional safety) or "control unit fully functional for operating voltages between 6 volts and 20 volts" be. Since these requirements differ for each system, a generally valid monitoring concept is characterized by the fact that it is flexibly applicable to different systems with different requirements. This requires a corresponding functional structure that allows the monitoring components to be used for different systems, even if they meet different requirements (in terms of security).

Die Überwachung des Systems 1 läuft parallel zu der bestimmungsgemäßen Funktion des Systems 1 und darf diese, z. B. durch Verbrauch von Rechenkapazität, nicht in seiner Ausführung einschränken. Auf die Ergebnisse der Überwachung (u. U. Fehler) kann das System 1 unmittelbar reagieren. Zusätzlich können Fehler dauerhaft abgespeichert und sofort oder später für eine Fehleranalyse herangezogen werden.The monitoring of the system 1 runs parallel to the intended function of the system 1 and may this, z. B. by consumption of computing capacity, not restrict in its execution. On the results of the monitoring (possibly error) the system can 1 react immediately. In addition, errors can be stored permanently and used immediately or later for error analysis.

Die Diagnose ist derjenige Bestandteil der Überwachung, der üblicherweise in einer Werkstatt über einen entsprechenden Diagnosetester abrufbar ist. Darunter fällt z. B. die Möglichkeit, abgespeicherte Fehler einer Analyse zuführen zu können. Dazu ist eine geeignete Schnittstelle erforderlich. Diese Schnittstelle basiert auf einem standardisierten Protokoll und erlaubt es, einen geeigneten Diagnosetester anzusteuern. So ist ein bidirektionaler Datenfluss zwischen dem Steuergerät und dem Diagnosetester möglich.The diagnosis is the part of the monitoring that is usually retrievable in a workshop via a corresponding diagnostic tester. Including z. B. the ability to perform stored errors analysis. This requires a suitable interface. This interface is based on a standardized protocol and allows to control a suitable diagnostic tester. Thus, a bidirectional data flow between the controller and the diagnostic tester is possible.

Die Diagnose bieten die Möglichkeit:

  • a) einen Fehlerspeicher auszulesen und zu löschen,
  • b) Ausgangssignale ausgewählter Funktionen auszulesen (z. B. Sensorgrößen),
  • c) Eingangssignale ausgewählter Funktionen in ihrem Wert zu ändern (z. B. zur Ansteuerung eines Aktors) und
  • d) steuergerätespezifische Daten zu speichern (z. B. eine Seriennummer).
The diagnosis offers the possibility:
  • a) read out and clear a fault memory,
  • b) read out output signals of selected functions (eg sensor sizes),
  • c) to change the value of the input signals of selected functions (eg to control an actuator) and
  • d) to store ECU-specific data (eg a serial number).

Zusätzlich fällt unter die Diagnose die Berechnung von sogenannten Historiendaten, also von Datenreihen, die über längere Zeiträume hinweg gesammelt und zur Analyse des Systemverhaltens benötigt werden (entwicklungsunterstützende Daten). Die Historiendaten sind nicht für die Funktion des Systems erforderlich.In addition, the diagnosis includes the computation of so-called history data, that is to say data series which are collected over longer periods of time and required for the analysis of the system behavior (development-supporting data). The history data is not required for the function of the system.

Erfindungsgemäß sind die Komponenten des Systems 1 in einer besonderen Weise klassifiziert (vgl. 1). Dabei wird nicht zwischen der Art, in der die Komponente realisiert ist (Hardware oder Software), unterschieden. Vielmehr sind die Komponenten des Systems 1 allein in Abhängigkeit von ihrer Funktionalität klassifiziert.According to the invention, the components of the system 1 classified in a special way (cf. 1 ). There is no distinction between the way in which the component is realized (hardware or software). Rather, the components of the system 1 classified solely depending on their functionality.

In 3 ist ein Schichtenmodell mit verschiedenen Überwachungsschichten eines erfindungsgemäßen Überwachungsverfahrens gemäß einer zweiten bevorzugten Ausführungsform dargestellt. Ausgehend von einer (unteren) ersten Überwachungsschicht Ü0 wächst die Komplexität der Überwachung von Schicht zu Schicht. Die Betrachtung des erfindungsgemäßen Verfahrens geht von einer bestimmten Einheit des Systems AA aus; im vorliegenden Fall ist dies eine der Funktionseinheiten AAAA, AAAB, AABA, AABB.In 3 a layer model with different monitoring layers of a monitoring method according to the invention according to a second preferred embodiment is shown. Starting from a (lower) first monitoring layer U0, the complexity of the monitoring increases from layer to layer. The consideration of the method according to the invention is based on a specific unit of the system AA; in the present case, this is one of the functional units AAAA, AAAB, AABA, AABB.

Bei diesem Schichtenmodell wird in der ersten Überwachungsschicht Ü0 die betrachtete Funktionseinheit AAAA, AAAB, AABA oder AABB unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen dieser Funktionseinheit durch eine dieser Funktionseinheit zugeordnete Überwachungsfunktion ÜF überprüft. In einer der ersten Überwachungsschicht Ü0 übergeordneten zweiten Überwachungsschicht Ü1 wird die betrachtete Funktionseinheit AAAA, AAAB, AABA oder AABB zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen desjenigen Subsystems AAA oder AAB überprüft, dem die betrachtete Funktionseinheit zugeordnet ist. In einer der zweiten Überwachungsschicht Ü1 übergeordneten dritten Überwachungsschicht Ü2 wird die betrachtete Funktionseinheit AAAA, AAAB, AABA oder AABB zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen desjenigen Systems AA überwacht, dem die betrachtete Funktionseinheit zugeordnet ist und dessen Funktionsfähigkeit überprüft werden soll. Wenn alle überwachten Funktionseinheiten AAAA, AAAB, AABA und AABB des Systems AA als ordnungsgemäß funktionierend erkannt wurden, wird daraus abgeleitet, dass das System AA insgesamt in Ordnung ist.In the case of this layer model, the considered functional unit AAAA, AAAB, AABA or AABB is checked in the first monitoring layer U0 taking into account input signals and / or output signals of this functional unit by a monitoring function UF assigned to this functional unit. In one of the first monitoring layer Ü0 superior second monitoring layer Ü1 the considered functional unit AAAA, AAAB, AABA or AABB is additionally checked taking into account input signals and / or output signals of that subsystem AAA or AAB, which is associated with the considered functional unit. In a third monitoring layer Ü2, which is superordinate to the second monitoring layer Ü1, the considered functional unit AAAA, AAAB, AABA or AABB is additionally monitored taking into account input signals and / or output signals of the system AA to which the considered functional unit is assigned and whose functionality is to be checked. If all the monitored AAAA, AAAB, AABA and AABB functional units of the AA system have been found to function properly, it is inferred that the AA system as a whole is OK.

In 8 ist ein als Steuergerät ausgebildetes System 1 dargestellt, dessen Funktionsweise anhand des erfindungsgemäßen Verfahrens überwacht werden kann. Das Steuergerät 1 umfasst ein Speicherelement 3, das vorzugsweise als eine elektrisches Speichermedium, insbesondere als ein Erasable and Programmable Read-Only-Memory (EPROM), ausgebildet ist. Auf dem Speicherelement 3 ist ein Computerprogramm abgespeichert, das zur Ausführung des erfindungsgemäßen Überwachungsverfahrens geeignet ist, wenn es auf einem Rechengerät 2 des Steuergeräts 1 abläuft. Das Rechengerät 2 ist insbesondere als ein Mikroprozessor ausgebildet. Zur Ausführung des Computerprogramms auf dem Rechengerät 2 wird das Programm entweder als ganzes oder befehlsweise aus dem Speicherelement 3 an das Rechengerät 2 übertragen.In 8th is a system designed as a control unit 1 illustrated, the operation of which can be monitored by the method according to the invention. The control unit 1 includes a memory element 3 , which is preferably designed as an electrical storage medium, in particular as an erasable and programmable read-only memory (EPROM). On the storage element 3 a computer program is stored, which is suitable for carrying out the monitoring method according to the invention, when it is on a computing device 2 of the control unit 1 expires. The computing device 2 is designed in particular as a microprocessor. To run the computer program on the computing device 2 the program is executed either as a whole or as a command from the memory element 3 to the computing device 2 transfer.

In dem Computerprogramm ist insbesondere die erfindungsgemäße vertikale Strukturierung des Überwachungsverfahrens derart implementiert, dass das Verfahren in Abhängigkeit von der Komplexität des Systems 1 in mehrere Überwachungsschichten Ü0, Ü1, Ü2... Ün unterteilt ist.In the computer program, in particular, the vertical structuring of the monitoring method according to the invention is implemented in such a way that the method is dependent on the complexity of the system 1 is divided into several monitoring layers Ü0, Ü1, Ü2 ... Ün.

Das Steuergerät 1 erhält Eingangssignale von Sensoren 4 und gibt Ausgangssignale an Aktoren 5 aus. Die Ausgangssignale werden im Rahmen der Abarbeitung eines Steuer- und/oder Regelprogramms in dem Mikroprozessor 2 in Erfüllung der bestimmungsgemäßen Funktion des Steuergeräts 1 erzeugt. Das Steuer- und/oder Regelprogramm kann ebenfalls in dem Speicherelement 3 des Steuergeräts 1 abgespeichert sein und zur Abarbeitung als ganzes oder befehlsweise in den Mikroprozessor 1 geladen werden. Das Steuer- und/oder Regelprogramm und das Computerprogramm zur Ausführung des erfindungsgemäßen Überwachungsverfahrens können zu einem gemeinsamen Programm zusammengefasst sein.The control unit 1 receives input signals from sensors 4 and gives output signals to actuators 5 out. The output signals are in the context of the execution of a control and / or regulation program in the microprocessor 2 in fulfillment of the intended function of the control unit 1 generated. The control program may also be in the memory element 3 of the control unit 1 be stored and for processing as a whole or befehlsweise in the microprocessor 1 getting charged. The control and / or regulating program and the computer program for carrying out the monitoring method according to the invention can be combined to form a common program.

Claims (11)

Verfahren zur Überwachung der Funktionsweise eines Systems (1), indem Eingangssignale, Ausgangssignale und mindestens eine Funktionseinheit des Systems (1) überprüft werden, wobei das System (1) mindestens ein untergeordnetes Subsystem aufweist und/oder Bestandteil eines übergeordneten Systems (6) ist, und das System (1) hardwaremäßig realisierte Komponenten umfassend Sensoren (4), Aktoren (5) und/oder Funktionsrechner (2) aufweist, wobei eine bestimmungsgemäße Funktion des Systems (1) in Abhängigkeit von der Komplexität der Funktion hierarchisch unterteilt ist in mindestens eine Subsystemfunktion und diese wiederum in mindestens eine Funktionseinheit und das Verfahren strukturiert ist in: – eine erste Überwachungsschicht (Ü0), in der eine der Funktionseinheiten des Systems (1) unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen der Funktionseinheit überprüft wird; – eine der ersten Überwachungsschicht (Ü0) übergeordnete zweite Überwachungsschicht (Ü1), in der die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des der Funktionseinheit zugeordneten Subsystems überprüft wird; und – mindestens eine der zweiten Überwachungsschicht (Ü1) übergeordnete weitere Überwachungsschicht (Ü2... Ün), in der die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des Systems (1) überprüft wird.Method for monitoring the functioning of a system ( 1 ), by input signals, output signals and at least one functional unit of the system ( 1 ), the System ( 1 ) has at least one subordinate subsystem and / or is part of a higher-level system ( 6 ), and the system ( 1 ) hardware implemented components comprising sensors ( 4 ), Actuators ( 5 ) and / or function computer ( 2 ), whereby an intended function of the system ( 1 ) is subdivided hierarchically into at least one subsystem function depending on the complexity of the function, and this in turn is structured into at least one functional unit and the method is structured in: a first monitoring layer (U0) in which one of the functional units of the system ( 1 ) is checked in consideration of input signals and / or output signals of the functional unit; - One of the first monitoring layer (Ü0) superior second monitoring layer (Ü1), in which the functional unit is additionally checked in consideration of input signals and / or output signals of the functional unit associated subsystem; and - at least one further monitoring layer (Ü2 ... Ün), at least one of the second monitoring layer (Ü1), in which the functional unit additionally takes into account the input signals and / or output signals of the system ( 1 ) is checked. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Funktionseinheit überprüft wird, indem die Eingangssignale und/oder Ausgangssignale der Funktionseinheit, des Subsystems und/oder des Systems auf Überschreitung eines Maximalwertes oder Unterschreitung eines Minimalwertes überprüft werden und/oder indem der Gradient der Eingangssignale und/oder Ausgangssignale auf Überschreitung eines Maximalwertes oder Unterschreitung eines Minimalwertes überprüft wird.A method according to claim 1, characterized in that the functional unit is checked by the input signals and / or output signals of the functional unit, the subsystem and / or the system are checked for exceeding of a maximum value or below a minimum value and / or by the gradient of the input signals and / or output signals to exceeding a maximum value or below a minimum value is checked. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Funktionseinheiten des zu überwachenden Systems (1) in sicherheitsrelevante Funktionsnetze, deren fehlerhafte Funktionsweise ein Sicherheitsrisiko darstellt, das oberhalb eines vorgebbaren Grenzrisikos liegt, und in weitere Funktionsnetze unterteilt wird, deren fehlerhafte Funktionsweise ein Sicherheitsrisiko darstellt, das kleiner oder gleich dem Grenzrisiko ist.Method according to claim 1 or 2, characterized in that the functional units of the system to be monitored ( 1 ) in safety-relevant functional networks whose faulty functioning represents a security risk that is above a specifiable border risk and is subdivided into further functional networks whose incorrect functioning represents a security risk that is less than or equal to the border risk. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass bei einer fehlerhaften Funktionsweise eines Funktionsnetzes Ersatzmaßnahmen in Abhängigkeit davon gewählt werden, ob eine Funktionseinheit eines sicherheitsrelevanten Funktionsnetzes oder eines weiteren Funktionsnetzes eine fehlerhafte Funktionsweise aufweist.A method according to claim 3, characterized in that are selected in a faulty functioning of a function network replacement measures depending on whether a functional unit of a safety-related function network or another functional network has a faulty operation. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass die Ersatzmaßnahmen einen Notbetrieb und/oder eine Notabschaltung umfassen.A method according to claim 4, characterized in that the replacement measures comprise an emergency operation and / or an emergency shutdown. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass das Verfahren auf alle Funktionseinheiten des Systems (1) angewandt wird.Method according to one of claims 1 to 5, characterized in that the method is applied to all functional units of the system ( 1 ) is applied. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass eine ordnungsgemäße Funktionsweise des Systems (1) festgestellt wird, wenn alle Funktionseinheiten des Systems ordnungsgemäß funktionieren.Method according to claim 6, characterized in that a proper functioning of the system ( 1 ) is detected when all functional units of the system are functioning properly. Speicherelement (3) für eine Vorrichtung zur Überwachung der Funktionsweise eines Systems (1), auf dem ein Computerprogramm abgespeichert ist, das auf einem Rechengerät (2) ablauffähig und zur Ausführung eines Verfahrens nach einem der Ansprüche 1 bis 7 geeignet ist.Memory element ( 3 ) for a device for monitoring the functioning of a system ( 1 ), on which a computer program stored on a computing device ( 2 ) executable and suitable for carrying out a method according to one of claims 1 to 7. Computerprogramm, das auf einem Rechengerät (2) ablauffähig ist, wobei das Computerprogramm zur Ausführung eines Verfahrens nach einem der Ansprüche 1 bis 7 geeignet ist, wenn es auf dem Rechengerät (2) abläuft.Computer program running on a computing device ( 2 ) is executable, wherein the computer program is suitable for carrying out a method according to one of claims 1 to 7 when it is stored on the computing device ( 2 ) expires. Computerprogramm nach Anspruch 9, dadurch gekennzeichnet, dass das Computerprogramm auf einem Speicherelement (3), insbesondere auf einem Read-Only-Memory, einem Random-Access-Memory oder einem Flash-Memory, abgespeichert ist.Computer program according to claim 9, characterized in that the computer program is stored on a memory element ( 3 ), in particular on a read-only memory, a random access memory or a flash memory is stored. Vorrichtung zur Überwachung der Funktionsweise eines Systems (1), das mindestens ein untergeordnetes Subsystem aufweist und/oder Bestandteil eines übergeordneten Systems (6) ist und das hardwaremäßig realisierte Komponenten umfassend Sensoren (4), Aktoren (5) und/oder Funktionsrechner (2) aufweist, und wobei die Vorrichtung Mittel zum Überprüfen von Eingangssignalen, Ausgangssignalen und mindestens einer Funktionseinheit des Systems (1) aufweist, wobei eine bestimmungsgemäße Funktion des Systems (1) in Abhängigkeit von der Komplexität der Funktion hierarchisch unterteilt ist in mindestens eine Subsystemfunktion und diese wiederum in mindestens eine Funktionseinheit und die Vorrichtung umfasst: – Mittel einer ersten Überwachungsschicht (Ü0), welche eine der Funktionseinheiten des Systems (1) unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen der Funktionseinheit überprüfen; – Mittel einer der ersten Überwachungsschicht (Ü0) übergeordneten zweiten Überwachungsschicht (Ü1), welche die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des der Funktionseinheit zugeordneten Subsystems überprüfen; und – Mittel mindestens einer der zweiten Überwachungsschicht (Ü1) übergeordneten weiteren Überwachungsschicht (Ü2... Ün), welche die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des Systems (1) überprüfen.Device for monitoring the functioning of a system ( 1 ), which has at least one subordinate subsystem and / or component of a higher-level system ( 6 ) and the hardware implemented components comprising sensors ( 4 ), Actuators ( 5 ) and / or function computer ( 2 ), and wherein the device comprises means for checking input signals, output signals and at least one functional unit of the system ( 1 ), whereby an intended function of the system ( 1 ) is subdivided hierarchically into at least one subsystem function depending on the complexity of the function and this in turn into at least one functional unit and the device comprises: - means of a first monitoring layer (Ü0), which is one of the functional units of the system ( 1 ), taking into account the input signals and / or output signals of the functional unit; - means of a first monitoring layer (Ü0) superordinate second monitoring layer (Ü1), which additionally check the functional unit taking into account input signals and / or output signals of the subsystem associated with the functional unit; and - means of at least one of the second monitoring layer (Ü1) superordinate further monitoring layer (Ü2 ... Ün), which the functional unit additionally taking into account Input signals and / or output signals of the system ( 1 ) to verify.
DE10220811.5A 2001-06-27 2002-05-10 Method and device for monitoring the functioning of a system Expired - Fee Related DE10220811B4 (en)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE10220811.5A DE10220811B4 (en) 2001-06-27 2002-05-10 Method and device for monitoring the functioning of a system
JP2002181990A JP4727896B2 (en) 2001-06-27 2002-06-21 System functionality monitoring method, monitoring device thereof, memory device, computer program
IT2002MI001414A ITMI20021414A1 (en) 2001-06-27 2002-06-26 PROCEDURE AND DEVICE TO SUPERVISE THE OPERATION OF A SYSTEM
FR0207921A FR2826744B1 (en) 2001-06-27 2002-06-26 METHOD AND DEVICE FOR MONITORING THE OPERATION OF A SYSTEM
US10/183,890 US6901350B2 (en) 2001-06-27 2002-06-27 Method and device for monitoring the functioning of a system

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE10131298 2001-06-27
DE10131298.9 2001-06-27
DE10220811.5A DE10220811B4 (en) 2001-06-27 2002-05-10 Method and device for monitoring the functioning of a system

Publications (2)

Publication Number Publication Date
DE10220811A1 DE10220811A1 (en) 2003-01-16
DE10220811B4 true DE10220811B4 (en) 2016-09-15

Family

ID=7689844

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10220811.5A Expired - Fee Related DE10220811B4 (en) 2001-06-27 2002-05-10 Method and device for monitoring the functioning of a system

Country Status (1)

Country Link
DE (1) DE10220811B4 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019201491A1 (en) 2019-02-06 2020-08-06 Robert Bosch Gmbh Measurement data evaluation for dynamic vehicle systems with protection of the intended function
US12017644B2 (en) 2019-02-06 2024-06-25 Robert Bosch Gmbh Measurement data evaluation for vehicle-dynamics systems having protection of the intended function

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005040917A1 (en) 2005-08-30 2007-03-08 Robert Bosch Gmbh Data processing system and operating method therefor

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4114999A1 (en) * 1991-05-08 1992-11-12 Bosch Gmbh Robert SYSTEM FOR CONTROLLING A MOTOR VEHICLE
DE4438714A1 (en) * 1994-10-29 1996-05-02 Bosch Gmbh Robert Method and device for controlling the drive unit of a vehicle
WO1997033083A1 (en) * 1996-03-09 1997-09-12 Robert Bosch Gmbh Method and device for controlling a vehicle drive unit
WO1999026820A1 (en) * 1997-11-22 1999-06-03 Continental Teves Ag & Co. Ohg Electromechanical brake system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4114999A1 (en) * 1991-05-08 1992-11-12 Bosch Gmbh Robert SYSTEM FOR CONTROLLING A MOTOR VEHICLE
DE4438714A1 (en) * 1994-10-29 1996-05-02 Bosch Gmbh Robert Method and device for controlling the drive unit of a vehicle
WO1997033083A1 (en) * 1996-03-09 1997-09-12 Robert Bosch Gmbh Method and device for controlling a vehicle drive unit
WO1999026820A1 (en) * 1997-11-22 1999-06-03 Continental Teves Ag & Co. Ohg Electromechanical brake system

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019201491A1 (en) 2019-02-06 2020-08-06 Robert Bosch Gmbh Measurement data evaluation for dynamic vehicle systems with protection of the intended function
WO2020160901A1 (en) 2019-02-06 2020-08-13 Robert Bosch Gmbh Measurement data evaluation for vehicle-dynamic systems having protection of the intended function
US12017644B2 (en) 2019-02-06 2024-06-25 Robert Bosch Gmbh Measurement data evaluation for vehicle-dynamics systems having protection of the intended function

Also Published As

Publication number Publication date
DE10220811A1 (en) 2003-01-16

Similar Documents

Publication Publication Date Title
EP1597643B1 (en) Device and method for on-board diagnosis based on a model
EP1092177B1 (en) Controller or engine controller, engine and method for adjusting a control or drive system or an engine
EP3709166B1 (en) Method and system for secure signal manipulation for testing integrated security functionalities
DE10331873A1 (en) Distributed software monitoring method, e.g. for automotive applications, whereby computer units, controlled by one or more control units, are considered as master or slave units for implementing master-slave communication
EP3571593A1 (en) Redundant processor architecture
DE102008009652A1 (en) Monitoring device and monitoring method for a sensor, and sensor
WO2008014940A1 (en) Control device and method for the control of functions
DE102018217118B4 (en) Method for creating a fault diagnosis for a drive train of an electrically operated motor vehicle and motor vehicle
DE102012104322B4 (en) Method for testing two processing units in battery management system of motor car, involves communicating a comparison result to battery control unit for carrying out decision-making process on continued operation of motor car device
EP2203795B1 (en) Vehicle control unit having a microcontroller the supply voltage of which is monitored and associated method
DE102008034150A1 (en) Circuit arrangement for controlling e.g. piezo-actuator in motor vehicle, has control device including microprocessor to switch another control device to secure condition during malfunction of microprocessor of latter control device
DE102005016801B4 (en) Method and computer unit for error detection and error logging in a memory
DE10220811B4 (en) Method and device for monitoring the functioning of a system
DE10007008B4 (en) Method for monitoring a data processing device
WO2005001692A2 (en) Method and device for monitoring a distributed system
DE10307344B4 (en) Device and method for decentralized on-board diagnostics for motor vehicles
EP2013731B1 (en) Circuit arrangement, and method for the operation of a circuit arrangement
WO2006136189A1 (en) Method and apparatus for monitoring unauthorized access to the memory of an arithmetic unit, especially in a motor vehicle
DE102019212479A1 (en) Battery system for an electric vehicle, method for operating a battery system and electric vehicle
DE10220812A1 (en) Method and device for monitoring the functioning of a system
DE102019218074B4 (en) Control of a driver assistance system of a motor vehicle
DE102011011224A1 (en) Control unit system
WO2022002913A1 (en) Electronic control unit
DE102004037687B4 (en) Assertions in physical model descriptions for functions and their use in generating code for microprocessor based controllers
DE102019000715A1 (en) Method for operating a system comprising at least one electrical device and / or at least one sensor, and device

Legal Events

Date Code Title Description
8120 Willingness to grant licences paragraph 23
8110 Request for examination paragraph 44
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G05D0024020000

Ipc: G05B0023020000

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee