DE10236080A1 - Verfahren und Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere in einem Fahrzeug - Google Patents

Verfahren und Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere in einem Fahrzeug Download PDF

Info

Publication number
DE10236080A1
DE10236080A1 DE10236080A DE10236080A DE10236080A1 DE 10236080 A1 DE10236080 A1 DE 10236080A1 DE 10236080 A DE10236080 A DE 10236080A DE 10236080 A DE10236080 A DE 10236080A DE 10236080 A1 DE10236080 A1 DE 10236080A1
Authority
DE
Germany
Prior art keywords
unit
functional unit
error
wda
error signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE10236080A
Other languages
English (en)
Inventor
Reinhard Pfeufer
Margit Mueller
Wolfgang Haag
Stefan Keller
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE10236080A priority Critical patent/DE10236080A1/de
Priority to AU2003254623A priority patent/AU2003254623A1/en
Priority to EP03790637A priority patent/EP1529253A1/de
Priority to PCT/DE2003/002310 priority patent/WO2004021095A1/de
Priority to US10/523,327 priority patent/US7418316B2/en
Priority to JP2004531409A priority patent/JP5021163B2/ja
Priority to CNB03813246XA priority patent/CN100422951C/zh
Priority to KR1020057002021A priority patent/KR100984232B1/ko
Publication of DE10236080A1 publication Critical patent/DE10236080A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40032Details regarding a bus interface enhancer
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/407Bus networks with decentralised control
    • H04L12/413Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD]
    • H04L12/4135Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD] using bit-wise arbitration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • General Engineering & Computer Science (AREA)
  • Manufacturing & Machinery (AREA)
  • Quality & Reliability (AREA)
  • Safety Devices In Control Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere einem Fahrzeug. Dabei steht eine Funktionseinheit (3) zum Versenden und Empfangen von Informationen über mindestens eine Verbindungseinheit (4) mit mindestens einem Bussystem (2) in Verbindung. Die Funktionseinheit (3) wird von einer Überwachungseinheit (8) überwacht. Das Versenden von Informationen von der Funktionseinheit (3) über das mindestens eine Bussystem (2) wird durch die Überwachungseinheit (8) unterbunden, falls ein Fehler der Funktionseinheit (3) erkannt wird. Um das Versenden von Informationen durch die Funktionseinheit (8) in einem Fehlerfall auf eine möglichst einfache Weise, aber dennoch sicher und zuverlässig, zu unterbinden, wird vorgeschlagen, dass durch die Überwachungseinheit (8) ein Fehlersignal (WDA) ausgegeben wird, das in Abhängigkeit davon unterschiedliche Werte annimmt, ob ein Fehler der Funktionseinheit (3) erkannt wurde oder nicht, und dass das Fehlersignal (WDA) an der mindestens einen Verbindungseinheit (4) angelegt und die mindestens eine Verbindungseinheit (4) durch das anliegende Fehlersignal (WDA) deaktiviert wird, falls ein Fehler der Funktionseinheit (3) erkannt wurde.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zur Steuerung und/oder Regelung von Betriebsabläufen, insbesondere in einem Fahrzeug. Dabei steht eine Funktionseinheit zum Versenden und Empfangen von Informationen über mindestens eine Verbindungseinheit mit mindestens einem Bussystem in Verbindung. Die Funktionseinheit wird von einer Überwachungseinheit überwacht, das Versenden von Informationen von der Funktionseinheit über das mindestens eine Bussystem wird durch die Überwachungseinheit unterbunden, falls ein Fehler der Funktionseinheit erkannt wird.
  • Die Erfindung betrifft außerdem eine Vorrichtung zur Steuerung und/oder Regelung von Betriebsabläufen, insbesondere in einem Fahrzeug. Die Vorrichtung umfasst mindestens eine Funktionseinheit, welche zum Versenden und Empfangen von Informationen über mindestens eine Verbindungseinheit mit mindestens einem Bussystem in Verbindung steht. Außerdem umfasst die Vorrichtung mindestens eine Überwachungseinheit, welche die Funktionseinheit überwacht. Die Überwachungseinheit unterbindet das Versenden von Informationen von der Funktionseinheit über das mindestens eine Bussystem, falls sie einen Fehler der Funktionseinheit erkennt.
  • Schließlich betrifft die vorliegende Erfindung auch ein Steuergerät zur Steuerung und/oder Regelung von Betriebsabläufen insbesondere in einem Fahrzeug. Das Steuergerät umfasst eine Funktionseinheit, welche zum Versenden und Empfangen von Informationen über mindestens eine Verbindungseinheit mit mindestens einem Bussystem in Verbindung steht, und eine Überwachungseinheit, welche die Funktionseinheit überwacht. Die Überwachungseinheit unterbindet das Versenden von Informationen von der Funktionseinheit über das mindestens eine Bussystem, falls sie einen Fehler der Funktionseinheit erkennt.
  • Aus der DE 198 33 462 A1 ist eine Schaltungsanordnung zur Abkopplung einer elektronischen Einrichtung von einer Datenleitung in einem Kraftfahrzeug bekannt. ilber die Datenleitung tauschen die elektronische Einrichtung und mindestens ein weiteres elektrisches System während des Betriebs der elektronischen Einrichtung Informationen aus. Bei der Schaltungsanordnung, bei welcher trotz Ausfall einer an die Datenleitung angeschlossenen elektronischen Einrichtung der Fahrzeugbetrieb aufrechterhalten werden kann, ist die elektronische Einrichtung mit einer Fehlererkennungseinrichtung verbunden. Bei Feststellung eines Fehlers der elektronischen Einrichtung durch die Fehlererkennungseinrichtung wird die elektronische Einrichtung durch die Schaltungsanordnung von der Datenleitung abgekoppelt, wobei die Betriebsfähigkeit des elektrischen Systems aufrechterhalten bleibt.
  • In der DE 198 33 462 A1 geht es insbesondere um die Überwachung der Datenleitung und um die Erkennung von Fehlern der Datenleitung, welche die Funktionsfähigkeit der an die Datenleitung angeschlossenen elektronischen Einrichtung beeinträchtigen können. Zum Abkoppeln der elektronischen Einrichtung von der Datenleitung im Fehlerfall ist die Fehlererkennungseinrichtung in die Datenleitung geschaltet und umfasst elektrische Schaltelemente, um die Datenleitung im Fehlerfall auftrennen zu können. Das setzt jedoch voraus, dass in jeder Datenleitung, mit der die elektronische Einrichtung in Verbindung steht und die im Fehlerfall aufgetrennt werden soll, Schaltelemente angeordnet sein müssen.
  • Aus der DE 100 30 996 A1 ist ein Verfahren und eine Vorrichtung der eingangs genannten Art bekannt. Dort wird vorgeschlagen, dass die Funktionsüberwachung der Funktionseinheit durch die Überwachungseinheit mittels eines Schaltelements durch die Funktionseinheit aktiviert bzw. deaktiviert werden kann. Das Schaltelement kann bspw. durch Setzen oder Löschen eines Bits realisiert werden. Bei aktivierter Überwachungsfunktion wird die Funktionseinheit von dem Bussystem durch Zugriff getrennt. Dazu steuert die Überwachungseinheit ein weiteres Schaltelement an, durch das die Verbindung von der Funktionseinheit zu dem Bussystem unterbrochen wird. Als problematisch erweist es sich auch hier, dass ebenfalls gesonderte Schaltelemente in der Verbindung zwischen der Funktionseinheit und dem Bussystem vorgesehen sein müssen, um die Funktionseinheit im Fehlerfall von dem Bussystem abkoppeln zu können.
  • Aus dem Stand der Technik sind zudem Überwachungskonzepte für Funktionseinheiten, insbesondere für Kraftfahrsteuergeräte, bekannt, bei denen die Überwachungseinheit in einem Fehlerfall einen Reset auslöst. Infolge des Reset fährt die Funktionseinheit erneut hoch und erreicht danach ihren Betriebszustand. Falls der Fehler der Funktionseinheit nach wie vor besteht, erkennt die Überwachungseinheit den Fehler erst in dem Betriebszustand erneut und löst erst dann wieder einen Reset der Funktionseinheit aus. Das Versenden von Informationen von der Funktionseinheit über das Bussystem ist nur kurzzeitig während des Reset-Zustandes unterbunden, da nur in diesem Zustand die Ein-/Ausgangs-Anschlusspositionen (sog. Ports) der Funktionseinheit inaktiv sind. Bei dem bekannten Verfahren kann eine fehlerbehaftete Funktionseinheit also möglicherweise fehlerhaftete Informationen über das Bussystem versenden, obwohl die Überwachungseinheit einen Fehler der Funktionseinheit detektiert hat. Dadurch kann es zu sicherheitsrelevanten Situationen bei der Steuerung der Betriebsabläufe kommen.
    •
  • Der vorliegenden Erfindung liegt die Aufgabe zugrunde, das Versenden von Informationen von der Funktionseinheit über das Bussystem sicher und zuverlässig und auf einfache Weise zu unterbinden.
  • Zur Lösung dieser Aufgabe schlägt die vorliegende Erfindung ausgehend von dem Verfahren der eingangs genannten Art vor, dass durch die Überwachungseinheit ein Fehlersignal ausgegeben wird, das in Abhängigkeit davon unterschiedliche Werte annimmt, ob ein Fehler der Funktionseinheit erkannt wurde oder nicht, und dass das Fehlersignal an der mindestens einen Verbindungseinheit angelegt und die mindestens eine Verbindungseinheit durch das anliegende Fehlersignal deaktiviert wird, falls ein Fehler der Funktionseinheit erkannt wurde.
  • Vorteile der Erfindung
  • Durch das erfindungsgemäße Verfahren wird bei einem erkannten Fehler der Funktionseinheit von der Überwachungseinheit kein Reset ausgelöst, sondern einfach eine Verbindungseinheit, die zwischen der Funktionseinheit und dem Bussystem angeordnet ist, abgeschaltet. Die Verbindungseinheit ist bspw. als eine Signalverstärkungseinrichtung, insbesondere als eine Bustreiberschaltung des Bussystems (sog. Bus-Driver), ausgebildet. Die Bustreiberschaltung dient insbesondere zur Verstärkung eines von einer Bussteuerung (sog. Bus-Controller) erzeugten Bussignal, bevor es über das Bussystem übertragen wird, sowie zur rückwirkungsfreien Signalanpassung. Erfindungsgemäß bleibt also die Funktionseinheit an sich in einem betriebsfähigen Zustand und kann nach wie vor Informationen erzeugen. Diese Informationen können jedoch nicht mehr über das Bussystem übertragen werden, da die für das Versenden von Informationen erforderliche Verbindungseinheit deaktiviert wurde.
  • Durch das erfindungsgemäße Verfahren wird eine Beeinträchtigung anderer Funktionseinheiten, die über das Bussystem mit der fehlerbehafteten Funktionseinheit in Verbindung stehen, auf einfache Weise verhindert. Eine fehlerbehaftete Funktionseinheit kann im Fehlerfall somit keine potentiell falschen oder nicht gewünschten Informationen über das Bussystem versenden. Dadurch ergeben sich eigensichere Einzelsysteme in einem Netzwerkverbund.
  • Besonders vorteilhaft ist, dass das Versenden von Informationen durch die Funktionseinheit ohne den Einsatz zusätzlicher Schaltelemente zwischen der Funktionseinheit und dem Bussystem oder in dem Bussystem selbst sicher und zuverlässig unterbunden werden kann. Außerdem ist mit der vorliegenden Erfindung das Versenden von Informationen durch die Funktionseinheit dauerhaft unterbunden, was gegenüber einem Reset der Funktionseinheit den Vorteil hat, dass die fehlerhafte Funktionseinheit zu keinem Zeitpunkt Informationen mehr über das Bussystem versenden kann. Sofern es die Fehler der Funktionseinheit zulassen, arbeitet diese noch ganz normal, d. h. sie erzeugt noch Informationen zur Steuerung und/oder Regelung der Betriebsabläufe, wobei diese Informationen allerdings fehlerhaft sein können. Diese Informationen können jedoch nicht über das Bussystem übertragen werden. Durch den weiteren Betrieb der Funktionseinheit ist es möglich, auch in einem Fehlerfall die Funktionseinheit weiterhin zu überwachen und das Versenden von Informationen durch die Funktionseinheit unmittelbar wieder zu erlauben, sobald der Fehler der Funktionseinheit nicht mehr auftritt.
  • Der Grund für das notwendige Unterbinden des Versendens von Informationen durch die Funktionseinheit im Fehlerfall liegt darin, dass eine fehlerbehaftete Funktionseinheit möglicherweise nicht mehr die Kontrolle über sich selbst und über die korrekte Erzeugung von zu versendenden Informationen hat und sich aufgrund des eigenen Fehlers auch nicht zuverlässig und sicher abschalten kann. Durch eine defekte Funktionseinheit in einem Netzwerkverbund, in dem mehrere Funktionseinheiten über ein Bussystem miteinander in Verbindung stehen, besteht die Gefahr, dass die übrigen empfangenden Funktionseinheiten an dem Bussystem von der fehlerbehafteten sendenden Funktionseinheit fehlerhafte Informationen erhalten und dadurch veranlasst ungewollte Aktionen ausführen. Diese durch fehlerhafte Informationen ausgelösten Aktionen können sich auch sicherheitsrelevant auf die zu steuernden Betriebsabläufe auswirken. Am Beispiel von Kraftfahrzeugsteuergeräten könnte bspw. ein Steuergerät für die Brennkraftmaschine im Fehlerfall ein Getriebesteuergerät dazu veranlassen, in niedrigere Gänge herunterzuschalten, wodurch das Fahrzeug in einen instabilen Fahrzustand gelangen könnte.
  • Gemäß einer vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass das Fehlersignal an einen Rücksetzeingang der mindestens einen Verbindungseinheit angelegt wird. Der Rücksetzeingang wird auch als Reset-Eingang bezeichnet. In einem Fehlerfall kann die Verbindungseinheit durch das an dem Rücksetzeingang anliegende Fehlersignal deaktiviert werden.
  • Gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung wird vorgeschlagen, dass die Funktionseinheit mit mehreren Bussystemen in Verbindung steht und das Fehlersignal an Verbindungseinheiten mehrerer der Bussysteme angelegt wird. Der Vorteil der vorliegenden Erfindung, dass das Versenden von Informationen durch eine fehlerbehaftete Funktionseinheit ohne den Einsatz zusätzlicher Hardware, wie bspw. zusätzlicher Schaltelemente zum Unterbrechen der Verbindung zwischen fehlerbehafteter Funktionseinheit und Bussystem, sicher und zuverlässig unterbunden werden kann, kommt insbesondere dann zum Tragen, wenn die fehlerbehaftete Funktionseinheit nicht nur mit einem, sondern mit mehreren Bussystemen in Verbindung steht, über die Informationen an andere Funktionseinheiten versandt werden können. Bei allen Bussystemen, die an die fehlerbehaftete Funktionseinheit angeschlossen sind und die in einem Fehlerfall deaktiviert werden sollen, ist das Fehlersignal der Überwachungseinheit an die Verbindungseinheiten geführt. Bussysteme, die nur zur Übertragung von Informationen von nicht sicherheitsrelevanten Betriebsabläufen (z. B. von Komfortfunktionen) dienen, müssen in einem Fehlerfall der Funktionseinheit nicht unbedingt abgeschaltet werden.
  • Des weiteren wird vorgeschlagen, dass das Fehlersignal an Endstufen von Komponenten angelegt wird, deren Betriebsabläufe von der fehlerbehafteten Funktionseinheit gesteuert bzw. geregelt werden. Diese Komponenten sind bspw. Endstufen von Zündung, Einspritzung und/oder Drosselklappe einer Brennkraftmaschine. Ziel dieser Maßnahme ist es, die Brennkraftmaschine im Falle eines Fehlers der steuernden bzw. regelnden Funktionseinheit sicher zum Stillstand zu bringen.
  • Als besonders vorteilhaft wird vorgeschlagen, dass nach dem Erkennen eines Fehlers der Funktionseinheit die Funktionseinheit von der Überwachungseinheit weiter überwacht wird und die mindestens eine Verbindungseinheit wieder aktiviert wird, falls eine ordnungsgemäße Funktion der Funktionseinheit erkannt wurde. Diese erneute Aktivierung der Verbindungseinheiten ist bei der vorliegenden Erfindung jederzeit möglich. Beim Stand der Technik, wo in einem Fehlerfall ein Reset der fehlerbehafteten Funktionseinheit ausgeführt wird, könnte eine ordnungsgemäße Funktion der Funktionseinheit lediglich im Anschluss an den Reset und das Hochfahren der Funktionseinheit erkannt werden. Mit der vorliegenden Erfindung kann somit nicht nur die Sicherheit eines Netzwerkverbundes, welcher mehrere Funktionseinheiten umfasst, die über ein Bussystem miteinander in Verbindung stehen, sondern auch die Verfügbarkeit des Netzwerkverbundes verbessert werden, da die ordnungsgemäße Funktion einer Funktionseinheit besonders schnell erkannt werden kann.
  • Als eine weitere Lösung der Aufgabe der vorliegenden Erfindung wird ausgehend von der Vorrichtung der eingangs genannten Art vorgeschlagen, dass die Überwachungseinheit Mittel zum Bilden und Ausgeben eines Fehlersignals aufweist, das in Abhängigkeit davon unterschiedliche Werte annimmt, ob die Überwachungseinheit einen Fehler der Funktionseinheit erkannt hat oder nicht, und dass das Fehlersignal an die mindestens eine Verbindungseinheit geführt ist und die mindestens eine Verbindungseinheit durch das anliegende Fehlersignal deaktivierbar ist, falls ein Fehler der Funktionseinheit erkannt wurde. Die Vorrichtung entspricht bspw. einem Netzwerkverbund, der mehrere Funktionseinheiten umfasst, die, über ein Bussystem miteinander in Verbindung stehen.
  • Gemäß einer vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass das Fehlersignal an einen Enable/Disable-Eingang der mindestens einen Verbindungseinheit geführt ist. Alternativ wird vorgeschlagen, dass das Fehlersignal an einen Reset-Eingang der mindestens einen Verbindungseinheit geführt ist.
  • Vorteilhafterweise umfasst die Vorrichtung mehrere Funktionseinheiten, die über ein Bussystem miteinander in Verbindung stehen, und mindestens eine Überwachungseinheit, wobei die Überwachungseinheit das Versenden von Informationen von einer Funktionseinheit über das mindestens eine Bussystem unterbindet, falls die Überwachungseinheit einen Fehler dieser Funktionseinheit erkannt hat. Eine solche Vorrichtung entspricht dem in Kraftfahrzeugen in letzter Zeit zunehmend eingesetzten sog. Mehr-Steuergeräte-Konzept, bei dem zur Steigerung der Rechenleistung mehrere Steuergeräte parallel zueinander eingesetzt werden, wobei die einzelnen Steuergerät jeweils einen bestimmten Teil der Betriebsabläufe steuert. So wird bspw. bei einem Zwei-Steuergeräte-Konzept zur Steuerung einer 8-zylindrigen Brennkraftmaschine ein erstes Steuergerät zur Steuerung von vier der Zylinder und ein zweites Steuergerät zur Steuerung der übrigen vier Zylinder eingesetzt. Die beiden Steuergeräte stehen über ein Bussystem miteinander in Verbindung. Informationen über den Betriebszustand der Brennkraftmaschine oder des Kraftfahrzeugs werden lediglich dem ersten Steuergerät zugeführt, welchen die Informationen dann über das Bussystem an das zweite Steuergerät weiterleitet. Falls die Überwachungseinheit des ersten Steuergerätes einen Fehler des Steuergerätes erkennt, deaktiviert diese die Verbindungseinheit des Bussystems .zu dem zweiten Steuergerät, um zu verhindern, dass das erste Steuergerät fehlerhafte Informationen an das zweite Steuergerät versendet und das zweite Steuergerät die übrigen vier Zylinder der Brennkraftmaschine falsch ansteuert und sich möglicherweise sogar eine sicherheitsrelevante Situation ergeben könnte.
  • Schließlich wird als noch eine weitere Lösung der Aufgabe der vorliegenden Erfindung ausgehend von dem Steuergerät der eingangs genannten Art vorgeschlagen, dass die Überwachungseinheit Mittel zum Bilden und Ausgeben eines Fehlersignals aufweist, das in Abhängigkeit davon unterschiedliche Werte annimmt, ob die Überwachungseinheit einen Fehler der Funktionseinheit erkannt hat oder nicht, und dass das Fehlersignal an die mindestens eine Verbindungseinheit geführt ist und die mindestens eine Verbindungseinheit durch das anliegende Fehlersignal deaktivierbar ist, falls ein Fehler der Funktionseinheit erkannt wurde.
    •
  • Weitere Merkmale, Anwendungsmöglichkeiten und Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen der Erfindung, die in den Zeichnungen dargestellt sind. Dabei bilden alle beschriebenen oder dargestellten Merkmale für sich oder in beliebiger Kombination den Gegenstand der Erfindung, unabhängig von ihrer Zusammenfassung in den Patentansprüchen oder deren Rückbeziehung sowie unabhängig von ihrer Formulierung bzw. Darstellung in der Beschreibung bzw. in den Zeichnungen. Es zeigen:
  • 1 ein erfindungsgemäßes Steuergerät gemäß einer bevorzugten Ausführungsform;
  • 2 eine erfindungsgemäße Vorrichtung umfassend zwei erfindungsgemäße Steuergeräte, die über ein Bussystem miteinander in Verbindung stehen; und
  • 3 Verläufe von verschiedenen Zuständen und Signalen eines aus dem Stand der Technik bekannten Steuergerätes (3b bis 3d) im Vergleich zu dem erfindungsgemäßen Steuergerät (3e und 3f).
  • Beschreibung der Ausführungsbeispiele
  • In 1 ist ein erfindungsgemäßes Steuergerät SG in seiner Gesamtheit mit dem Bezugszeichen 1 bezeichnet. Das Steuergerät 1 dient bspw. zur Steuerung und/oder Regelung von Betriebsabläufen in einem Kraftfahrzeug. Nachfolgend wird bspw. auf ein Steuergerät 1 zur Steuerung von Betriebsabläufen in einer Brennkraftmaschine eines Kraftfahrzeuges näher eingegangen. Die Erfindung ist jedoch generell anwendbar auf alle Arten von Steuergeräten SG, bspw, für eine Getriebesteuerung, eine Fahrdynamikregelung, eine Antriebsschlupfregelung (ASR), eine automatische Abstandsregelung (EDC; Electronic Distance Control), eine adaptive Fahrzeuggeschwindigkeitsregelung (ACC; Adaptive Cruise Control) etc., die über ein Bussystem 2 zu einem Steuergeräteverbund miteinander in Verbindung stehen und über das Bussystem 2 untereinander Informationen austauschen. Das Bussystem 2 ist bspw. als ein CAN (Controller Area Network) ausgebildet.
  • Das Steuergerät 1 umfasst einen Funktionsrechner FR 3, der bspw. als ein Mikroprozessor oder als ein Mikrocontroller ausgebildet ist. Auf dem Funktionsrechner 3 ist ein Computerprogramm ablauffähig, das zur Erfüllung der Steuerungs- und/oder Regelungsfunktion des Steuergerätes 1 dient. Der Funktionsrechner 3 steht zum Versenden und Empfangen von Informationen über eine Verbindungseinheit 4 mit dem Bussystem 2 in Verbindung. Die Verbindungseinheit 4 ist als eine Hardware-Schnittstelle zwischen einem Controller und einem externen Steuergeräteübertragungsbus mit Signalverstärkungseinrichtung, insbesondere als eine Bustreiberschaltung, z. B. als ein CAN-Treiber für ein CAN-Bussystem, ausgebildet. Der CAN-Treiber 4 wird auch als CAN-Driver bezeichnet.
  • Die in dem Funktionsrechner 3 im Rahmen der Abarbeitung des Computerprogramms zur Erfüllung der Steuerungs- und/oder Regelungsfunktion des Steuergerätes 1 erzeugten Informationen werden über einen Datenbus 5 zunächst an eine CAN-Steuerung 6 übertragen, die auch als CAN-Controller bezeichnet wird. In der CAN-Steuerung 6 werden die von dem Funktionsrechner 3 erzeugten Informationen in eine dem CAN- Protokoll entsprechende Form gebracht und für die Übertragung über das CAN-Bussystem 2 vorbereitet. Vor der Übertragung der aufbereiteten Informationen müssen die Signale noch an die elektrischen Eigenschaften auf dem CAN-Bus angepasst werden. Dazu werden die aufbereiteten Informationen über eine zwei-Draht-Datenleitung 7 von der CAN-Steuerung 6 an den CAN-Treiber 4 übertragen, der die Signale auf das CAN-Bussystem 2 legt.
  • Dem Funktionsrechner 3 ist eine unabhängige Hardware zur Funktionsüberwachung des Funktionsrechners 3 zugeordnet. Die unabhängige Hardware wird als Überwachungsmodul ÜM 8 bezeichnet. Das Überwachungsmodul 8 stellt dem Funktionsrechner 3 zyklisch verschiedene Fragen, die in dem Funktionsrechner 3 umfangreiche Kontrollmechanismen, wie bspw. Programmablaufkontrollen oder Befehlstests, durchlaufen und ein Ergebnis bilden. Das Ergebnis wird als Antwort auf die Frage dem Überwachungsmodul 8 zurück übertragen. Ein fehlerfrei arbeitender Funktionsrechner 3 liefert die richtige Antwort innerhalb eines vorgebbaren Zeitfensters zurück. Das Überwachungsmodul 8 stellt durch Auswerten der Antwort fest, ob ein Fehler des Funktionsrechners 3 vorliegt oder nicht. Das beschriebene Überwachungskonzept des Funktionsrechners 3 durch das Überwachungsmodul 8 wird auch als Frage-Antwort-Kommunikation bezeichnet. Die Kommunikation zwischen dem Überwachungsmodul 8 und dem Funktionsrechner 2 erfolgt über eine SPI (Serial Parallel Interface)-Schnittstelle 9.
  • Durch Auswerten der Antwort des Funktionsrechners 3 wird in dem Überwachungsmodul 8 ein Fehlersignal WDA generiert, das in Abhängigkeit davon unterschiedliche Werte annimmt, ob ein Fehler des Funktionsrechners 3 erkannt wurde oder nicht. Vorzugsweise wird ein Fehlerzähler inkrementiert:, falls ein Fehler des Funktionsrechners 3 erkannt wurde.
  • Erst wenn der Fehlerzähler einen Schwellenwert überschritten hat, wird das Fehlersignal WDA ausgegeben. Das Fehlersignal WDA wird über eine Signalleitung 10 an Endstufen E1 bis EN von Kraftfahrzeugkomponenten K1 bis Kn, die von dem Steuergerät 1 zur Steuerung und/oder Regelung der Betriebsabläufe angesteuert werden, angelegt. Dies sind bspw. bei einem Kraftfahrzeugsteuergerät 1 zur Steuerung und/oder Regelung einer Brennkraftmaschine die Endstufen für Zündung, Einspritzung und/oder Drosselklappe. Die Ansteuerung der Endstufen E1 bis En mit dem Fehlersignal WDA dient dazu, im Fehlerfall die Brennkraftmaschine sicher zum Stillstand zu bringen und sicherheitsrelevante Situationen zu vermeiden.
  • Erfindungsgemäß wird das Fehlersignal WDA außerdem an einen Reset-Eingang RST des CAN-Treibers 4 angelegt. Der CAN-Treiber 4 wird durch das anliegende Fehlersignal WDA deaktiviert, falls ein Fehler des Funktionsrechners 3 erkannt wurde. Dadurch wird das Versenden von Informationen durch einen defekten Funktionsrechner 3 über das CAN-Bussystem 2 zuverlässig, wirksam und vor allem dauerhaft für die gesamte Dauer des Fehlers des Funktionsrechners 3 unterbunden. Dadurch wird auch das Versenden möglicherweise fehlerhafter Informationen durch den fehlerbehafteten Funktionsrechner 3 über das CAN-Bussystem 2 an andere Funktionsrechner auf einfache Weise verhindert. Das erfindungsgemäße Steuergerät 1 stellt somit ein eigensicheres Eigensystem in einem Steuergeräteverbund dar. Es erfüllt die Vorschriften an Steuergeräte in einem Steuergerätverbund, dass nämlich jedes Steuergerät 1 die Verantwortung für die von ihm versendeten Informationen selbst trägt.
  • Ein weiterer Vorteil der vorliegenden Erfindung besteht darin, dass ein fehlerbehafteter Funktionsrechner 3 weiterhin normal arbeitet und weiterhin – zwar möglicherweise fehlerhafte – Informationen zur Steuerung der Betriebsabläufe ermittelt. Das Überwachungsmodul 8 kann somit auch nach dem Erkennen eines Fehlers des Funktionsrechners 3 die Funktionsfähigkeit des Funktionsrechners 3 weiterhin überwachen. Solange das Überwachungsmodul 8 einen Fehler des Funktionsrechners 3 erkennt, bleibt der CAN-Treiber 4 deaktiviert, damit die von dem fehlerhaften Funktionsrechner 3 ermittelten fehlerhaften Informationen nicht auf das CAN-Bussystem 2 gelangen und andere Funktionsrechner des Steuergeräteverbundes beeinträchtigen können. Sobald das Überwachungsmodul 8 jedoch eine ordnungsgemäße Funktion des Funktionsrechners 2 erkennt, kann der CAN-Treiber 4 wieder aktiviert werden, so dass das Steuergerät 1 wieder ganz normal arbeiten kann. Vorteilhaft bei der vorliegenden Erfindung ist es, dass eine ordnungsgemäße Funktion des Funktionsrechners 3 ohne lange Zeitverzögerung erkannt werden kann.
  • Noch ein Vorteil der Erfindung ist darin zu sehen, dass das Versenden von Informationen durch einen fehlerbehafteten Funktionsrechner 3 auf einfache Weise und ohne zusätzliche Hardware, bspw. ohne zusätzliche Schaltelemente, die in das CAN-Bussystem 2 eingebracht werden und im Fehlerfall geöffnet werden, um den Funktionsrechner 3 von dem CAN-Bussystem 2 zu trennen, unterbunden werden kann.
  • In 2 ist ein Mehr-Steuergeräte-Konzept, genauer gesagt ein Zwei-Steuergeräte-Konzept, dargestellt, bei dem zwei Steuergeräte SGl, SG2 zur Steuerung bestimmter Betriebsabläufe eingesetzt werden. In dem dargestellten Ausführungsbeispiel sind die zwei Steuergeräte SGl, SG2 zur Steuerung der Betriebsabläufe in einer 12-zylindrigen Brennkraftmaschine BM 11 eingesetzt. Dabei steuert das erste Steuergerät SGl die ersten sechs Zylinder ZYL 12 und das zweite Steuergerät SG2 die übrigen sechs Zylinder ZYL 13. Das erste Steuergerät SGl erhält Informationen S über den Fahrerwunsch (Stellung des Gaspedals) und/oder über den Betriebszustand der Brennkraftmaschine 11 und des Kraftfahrzeugs von entsprechenden Sensoren. Die beiden Steuergeräte SGl und SG2 sind über ein CAN-Bussystem 2 miteinander verbunden. Das zweite Steuergerät SG2 erhält über das CAN-Bussystem 2 Sollwertvorgaben (z.B. den Fahrerwunsch) von dem ersten Steuergerät SGl. Um zu verhindern, dass bei einem Fehler des Funktionsrechners FRl des ersten Steuergerätes SGl fehlerhafte Sollwertvorgaben an das zweite Steuergerät SG2 übermittelt werden, wird erfindungsgemäß das Versenden von Informationen durch den Funktionsrechner FR1 über das CAN-Bussystem 2 durch die Überwachungseinheit ÜM1 unterbunden. Dazu wird das Fehlersignal WDA des Überwachungsmoduls ÜMl an einen Reset-Eingang RST des CAN-Treibers 4 angelegt.
  • Anhand der ausbleibenden Datenübertragung (Nachrichtenunterbrechung bzw. fehlende Aktualisierung) kann das Steuergerät SG2 einen Defekt im SG1 erkennen und entsprechende Ersatzmaßnahmen oder Fehlerreaktionen im SG2 aktivieren.
  • In den 3a bis 3f sind die Verläufe verschiedener Steuergerätezustände und Steuergerätegrößen über die Zeit t dargestellt. Insbesondere ist in 3a der Stand eines Fehlerzählers des Überwachungsmoduls 8 dargestellt. Dieser steigt am Anfang von Null bis über einen Schwellenwert SW an. Sobald der Fehlerzähler den Schwellenwert SW übersteigt, wird zum Zeitpunkt t1 eine Fehlerreaktion ausgelöst. Das bedeutet, dass das Fehlersignal WDA einen entsprechenden Wert annimmt. Als Werte des Fehlersignals WDA kommen insbesondere HIGH oder LOW in Frage.
  • Die in den 3b, 3c und 3d dargestellten Verläufe entsprechen dem Stand der Technik. In 3b ist der Verlauf eines Reset-Signals dargestellt, welches nach dem Stand der Technik von dem Überwachungsmodul ÜM 8 an einen Reset-Eingang des Funktionsrechners FR 3 angelegt wird. Zum Zeitpunkt t1 wird die Fehlerreaktion ausgelöst, die beim Stand der Technik darin besteht, einen Reset des Funktionsrechners FR 3 auszulösen. In 3c ist der Verlauf einer Größe "CAN-Signal freigegeben" dargestellt. Das Signal hat die Werte „frei" oder „gesperrt". 3c kann entnommen werden, dass das CAN-Signal nur während der Dauer des Reset (RST = 1 in 3b) gesperrt ist und ansonsten frei ist. Solange das CAN-Signal freigegeben ist, kann selbst ein fehlerbehafteter Funktionsrechner FR 3 möglicherweise fehlerhafte Informationen über das CAN-Bussystem 2 übertragen. Dies kann unter Umständen fehlerhafte Reaktionen anderer Funktionsrechner FR des Steuergeräteverbundes auslösen.
  • In 3d sind verschiedene Zustände des aus dem Stand der Technik bekannten Steuergeräts SG dargestellt. Vor dem Auslösen der Fehlerreaktion zum Zeitpunkt t1 durchläuft das Steuergerät SG ein ganz normales Fahrprogramm A. Danach schließt sich nach dem Zeitpunkt t1 ein Reset-Zustand B an. Im Anschluss daran durchläuft das Steuergerät SG eine Initialisierungsphase C und wechselt danach wiederum in das normale Fahrprogramm A. Während des Fahrprogramms A führt das Überwachungsmodul ÜM eine Frage-Antwort-Kommunikation mit dem zu überwachenden Funktionsrechner FR durch und erkennt an einem Zeitpunkt t2, dass der Fehler des Funktionsrechners FR immer noch vorliegt. Danach werden wiederum die vorbeschriebenen Zustände Reset B, Initialisierung C und Fahrprogramm A mit Frage-Antwort-Kommunikation D durchlaufen.
  • In den 3e und 3f sind die Signal- und Zustandsverläufe des erfindungsgemäßen Steuergeräts 1 dargestellt. Anhand der 3e ist deutlich zu erkennen, dass das CAN-Signal unmittelbar nach der Fehlerreaktion zum Zeitpunkt t1 für die Dauer des Fehlers gesperrt ist. Der Funktionsrechner 3 befindet sich nach der Fehlerreaktion in einem ganz normalen Fahrprogramm A, währenddessen eine Frage-Antwort-Kommunikation D zyklisch ausgeführt wird und die Endstufen über das WDA-Signal sich im deaktivierten Zustand befinden (E). Allerdings werden die von dem Funktionsrechner 3 ermittelten Informationen nicht über das CAN-Bussystem 2 übertragen, da der CAN-Treiber 4 deaktiviert ist und das CAN-Signal somit gesperrt ist. Bei der vorliegenden Erfindung befindet sich der Funktionsrechner 3 im Fehlerfall niemals in einer Situation in der nicht die Funktionsfähigkeit des Funktionsrechners 3 durch eine Frage-Antwort-Kommunikation überprüft werden könnte. Dagegen kann beim Stand der Technik im Fehlerfall eine Überprüfung der Funktionsfähigkeit des Funktionsrechners 3 nicht während der Zustände Reset B und Initialisierung C erfolgen. Dadurch kann die ordnungsgemäße Funktion des Funktionsrechners 3 bei der vorliegenden Erfindung früher als beim Stand der Technik erkannt werden.

Claims (11)

  1. Verfahren zur Steuerung und/oder Regelung von Betriebsabläufen, insbesondere in einem Fahrzeug, wobei eine Funktionseinheit (3) zum Versenden und Empfangen von Informationen über mindestens eine Verbindungseinheit (4) mit mindestens einem Bussystem (2) in Verbindung steht, die Funktionseinheit (3) von einer Überwachungseinheit (8) überwacht wird und das Versenden von Informationen von der Funktionseinheit (3) über das mindestens eine Bussystem (2) durch die Überwachungseinheit (8) unterbunden wird, falls ein Fehler der Funktionseinheit (3) erkannt wird, dadurch gekennzeichnet, dass durch die Überwachungseinheit (8) ein Fehlersignal (WDA) ausgegeben wird, das in Abhängigkeit davon unterschiedliche Werte annimmt, ob ein Fehler der Funktionseinheit (3) erkannt wurde oder nicht, und dass das Fehlersignal (WDA) an der mindestens einen Verbindungseinheit (4) angelegt und die mindestens eine Verbindungseinheit (4) durch das anliegende Fehlersignal (WDA) deaktiviert wird, falls ein Fehler der Funktionseinheit (3) erkannt wurde.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Fehlersignal (WDA) an einen Rücksetzeingang (RST) der mindestens einen Verbindungseinheit (4) angelegt wird.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Funktionseinheit (3) mit mehreren Bussystemen (2) in Verbindung steht und das Fehlersignal (WDA) an Verbindungseinheiten (4) mehrerer der Bussysteme (2) angelegt wird.
  4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass das Fehlersignal (WDA) an Endstufen (E1,... En) von Komponenten (K1,... Kn) angelegt wird, deren Betriebsabläufe gesteuert bzw. geregelt werden.
  5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass nach dem Erkennen eines Fehlers der Funktionseinheit (3) die Funktionseinheit (3) von der Überwachungseinheit (8) weiter überwacht wird und die mindestens eine Verbindungseinheit (4) wieder aktiviert wird, falls eine ordnungsgemäße Funktion der Funktionseinheit (3) erkannt wurde. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass nach dem Erkennen eines Fehlers der Funktionseinheit (3) die Funktionseinheit (3) nicht zurückgesetzt wird, weiterhin aktiv ein Computerprogramm abarbeitet, und der Sende- und Empfangsbetrieb von der Überwachungseinheit (8) durch Aktivierung bzw. Deaktivierung der Verbindungseinheit (4) gesteuert wird.
  6. Vorrichtung zur Steuerung und/oder Regelung von Betriebsabläufen, insbesondere in einem Fahrzeug, umfassend mindestens eine Funktionseinheit (3), welche zum Versenden und Empfangen von Informationen über mindestens eine Verbindungseinheit (4) mit mindestens einem Bussystem (?) in Verbindung steht, und mindestens eine Überwachungseinheit (8), welche die Funktionseinheit (2) überwacht, wobei die Überwachungseinheit (8) das Versenden von Informationen von der Funktionseinheit (3) über das mindestens eine Bussystem (2) unterbindet, falls sie einen Fehler der Funktionseinheit (3) erkennt, dadurch gekennzeichnet, dass die Überwachungseinheit (8) Mittel zum Bilden und Ausgeben eines Fehlersignals (WDA) aufweist, das in Abhängigkeit davon unterschiedliche Werte annimmt, ob die Überwachungseinheit (8) einen Fehler der Funktionseinheit (3) erkannt hat oder nicht, und dass das Fehlersignal (WDA) an die mindestens eine Verbindungseinheit (4) geführt ist und die mindestens eine Verbindungseinheit (4) durch das anliegende Fehlersignal {WDA) deaktivierbar ist, falls ein Fehler der Funktionseinheit (3) erkannt wurde.
  7. Vorrichtung nach Anspruch 5, dadurch gekennzeichnet, dass das Fehlersignal (WDA) an einen Enable/Disable-Eingang der mindestens einen Verbindungseinheit (4) geführt ist.
  8. Vorrichtung nach Anspruch 5, dadurch gekennzeichnet, dass das Fehlersignal {WDA) an einen Rücksetzeingang (RST) der mindestens einen Verbindungseinheit (4) geführt ist.
  9. Vorrichtung nach einem der Ansprüche 5 bis 7, dadurch gekennzeichnet, dass die Vorrichtung mehrere Funktionseinheiten (3), die über ein Bussystem (2) miteinander in Verbindung stehen, und mindestens eine Überwachungseinheit (8) umfasst, wobei die Überwachungseinheit (8) das Versenden von Informationen einer Funktionseinheit (3; FRl) über das mindestens eine Bussystem (2) unterbindet, falls die Überwachungseinheit (8) einen Fehler dieser Funktionseinheit (3; FRl) erkannt hat.
  10. Steuergerät (1) zur Steuerung und/oder Regelung von Betriebsabläufen insbesondere in einem Fahrzeug, umfassend eine Funktionseinheit (3), welche zum Versenden und Empfangen von Informationen über mindestens eine Verbindungseinheit (4) mit mindestens einem Bussystem (2) in Verbindung steht, und eine Überwachungseinheit (8), welche die Funktionseinheit (3) überwacht, wobei die Überwachungseinheit (8) das Versenden von Informationen von der Funktionseinheit (3) über das mindestens eine Bussystem (2) unterbindet, falls sie einen Fehler der Funktionseinheit (3) erkennt, dadurch gekennzeichnet, dass die Überwachungseinheit (8) Mittel zum Bilden und Ausgeben eines Fehlersignals (WDA) aufweist, das in Abhängigkeit davon unterschiedliche Werte annimmt, ob die Überwachungseinheit (8) einen Fehler der Funktionseinheit (3) erkannt hat oder nicht, und dass das Fehlersignal (WDA) an die mindestens eine Verbindungseinheit (4) geführt ist und die mindestens eine Verbindungseinheit (4) durch das anliegende Fehlersignal (WDA) deaktivierbar ist, falls ein Fehler der Funktionseinheit (3) erkannt wurde.
  11. Steuergerät (SG) nach Anspruch 9, dadurch gekennzeichnet, dass das Fehlersignal (WDA) an einen Rücksetzeingang (RST) der mindestens einen Verbindungseinheit (4) geführt ist.
DE10236080A 2002-08-07 2002-08-07 Verfahren und Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere in einem Fahrzeug Withdrawn DE10236080A1 (de)

Priority Applications (8)

Application Number Priority Date Filing Date Title
DE10236080A DE10236080A1 (de) 2002-08-07 2002-08-07 Verfahren und Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere in einem Fahrzeug
AU2003254623A AU2003254623A1 (en) 2002-08-07 2003-07-10 Method and device for controlling operational processes, especially in a vehicle
EP03790637A EP1529253A1 (de) 2002-08-07 2003-07-10 Verfahren und vorrichtung zur steuerung von betriebsabläufen insbesondere in einem fahrzeug
PCT/DE2003/002310 WO2004021095A1 (de) 2002-08-07 2003-07-10 Verfahren und vorrichtung zur steuerung von betriebsabläufen, insbesondere in einem fahrzeug________________________________
US10/523,327 US7418316B2 (en) 2002-08-07 2003-07-10 Method and device for controlling operational processes, especially in a vehicle
JP2004531409A JP5021163B2 (ja) 2002-08-07 2003-07-10 特に車両内の,駆動シーケンスを制御する方法および装置
CNB03813246XA CN100422951C (zh) 2002-08-07 2003-07-10 车辆中控制工作进程的方法和装置
KR1020057002021A KR100984232B1 (ko) 2002-08-07 2003-07-10 차량의 구동 프로세스 제어 방법 및 장치 및 차량의 구동 프로세스 제어를 위한 제어 유닛

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10236080A DE10236080A1 (de) 2002-08-07 2002-08-07 Verfahren und Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere in einem Fahrzeug

Publications (1)

Publication Number Publication Date
DE10236080A1 true DE10236080A1 (de) 2004-02-19

Family

ID=30469514

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10236080A Withdrawn DE10236080A1 (de) 2002-08-07 2002-08-07 Verfahren und Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere in einem Fahrzeug

Country Status (8)

Country Link
US (1) US7418316B2 (de)
EP (1) EP1529253A1 (de)
JP (1) JP5021163B2 (de)
KR (1) KR100984232B1 (de)
CN (1) CN100422951C (de)
AU (1) AU2003254623A1 (de)
DE (1) DE10236080A1 (de)
WO (1) WO2004021095A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2876814A1 (fr) * 2004-10-14 2006-04-21 Renault Sas Systeme d'enregistrement d'un contexte d'incident dans un vehicule automobile
WO2008014940A1 (de) * 2006-08-02 2008-02-07 Autoliv Development Ab Steuergerät und verfahren zur steuerung von funktionen
DE102015220964A1 (de) 2014-10-31 2016-05-04 Denso Corporation Elektronische Steuerungsvorrichtung

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005061392A1 (de) * 2005-12-22 2007-06-28 Robert Bosch Gmbh Bus-Guardian eines Teilnehmers eines Kommunikationssystems, sowie Teilnehmer für ein Kommunikationssystem
DE102007015122A1 (de) * 2007-03-29 2008-10-02 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum Transfer von Daten in mehrere Steuergeräte
DE102009005702A1 (de) * 2008-01-29 2009-07-30 Ebm-Papst St. Georgen Gmbh & Co. Kg Elektronisch kommutierter Motor
JP5843786B2 (ja) * 2009-12-18 2016-01-13 コンティ テミック マイクロエレクトロニック ゲゼルシャフト ミットベシュレンクテル ハフツングConti Temic microelectronic GmbH 制御装置にある監視計算機
US8831821B2 (en) * 2010-12-17 2014-09-09 GM Global Technology Operations LLC Controller area network message transmission disable testing systems and methods
CN102320277A (zh) * 2011-07-05 2012-01-18 苏州力久新能源科技有限公司 基于并行结构的汽车力矩安全架构
JP5853691B2 (ja) * 2011-12-28 2016-02-09 アイシン・エィ・ダブリュ株式会社 車両用制御装置および方法
CN103072576B (zh) * 2012-10-19 2015-09-23 昆山力久新能源汽车技术有限公司 基于并行结构的驾驶员请求扭矩安全架构
WO2015008114A1 (en) * 2013-07-18 2015-01-22 Freescale Semiconductor, Inc. Illegal message destroyer
DE102013224695A1 (de) * 2013-12-03 2015-06-03 Robert Bosch Gmbh Verfahren zum Überwachen eines Mikrocontrollers
JP6812737B2 (ja) 2016-10-07 2021-01-13 オムロン株式会社 演算装置および制御装置
US10737737B2 (en) 2017-05-31 2020-08-11 Zoox, Inc. Vehicle with interchangeable drive modules
DE102018101103A1 (de) * 2018-01-18 2019-07-18 Volkswagen Aktiengesellschaft Verfahren und Computerprogramme für eine Überwachungsinstanz und eine Kommunikationskomponente, Überwachungsinstanz, Kommunikationskomponente, System und Fahrzeug
CN109725629B (zh) * 2018-12-29 2020-05-22 一汽-大众汽车有限公司 一种整车控制器刷新测试系统
US11036573B2 (en) 2019-05-16 2021-06-15 Ford Global Technologies, Llc Control processor unit (CPU) error detection by another CPU via communication bus
US10936397B2 (en) 2019-05-23 2021-03-02 Ford Global Technologies, Llc Hybrid control module status communication system and method
WO2020262031A1 (ja) * 2019-06-24 2020-12-30 日立オートモティブシステムズ株式会社 車載制御装置
CN115223273B (zh) * 2021-04-21 2024-02-23 广州汽车集团股份有限公司 Tcu数据监控方法、装置、终端设备及存储介质

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4255789A (en) * 1978-02-27 1981-03-10 The Bendix Corporation Microprocessor-based electronic engine control system
DE3826774A1 (de) * 1988-08-06 1990-02-08 Bosch Gmbh Robert Netzwerkschnittstelle
DE4114999C2 (de) 1991-05-08 2001-04-26 Bosch Gmbh Robert System zur Steuerung eines Kraftfahrzeuges
US5574848A (en) 1993-08-24 1996-11-12 National Semiconductor Corporation Can interface selecting one of two distinct fault recovery method after counting a predetermined number of recessive bits or good can frames
JPH07262148A (ja) * 1994-03-22 1995-10-13 Nec Corp コンピュータシステム
DE4438714A1 (de) 1994-10-29 1996-05-02 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs
DE19536038B4 (de) 1995-09-28 2007-08-16 Robert Bosch Gmbh Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Kraftfahrzeugs
DE19611944C2 (de) * 1996-03-26 2003-03-27 Daimler Chrysler Ag Integrierter Schaltkreis zur Kopplung eines mikrokontrollierten Steuergerätes an einen Zweidraht-Bus
SE511458C2 (sv) * 1997-02-17 1999-10-04 Mecel Ab Skyddsanordning för diagnosuttag i distribuerade datornät
DE19833462A1 (de) * 1998-07-24 2000-01-27 Mannesmann Vdo Ag Schaltungsanordnung zur Abkopplung einer elektronischen Einrichtung von einer Datenleitung in einem Kraftfahrzeug
DE19836079A1 (de) * 1998-07-30 2000-02-10 Siemens Ag Anordnung und Verfahren zur sicheren Prozeßsteuerung
US6981176B2 (en) * 1999-05-10 2005-12-27 Delphi Technologies, Inc. Secured microcontroller architecture
GB9916359D0 (en) 1999-07-14 1999-09-15 New Holland Uk Ltd A contoller area network
DE10030996B4 (de) 2000-06-30 2010-07-22 Robert Bosch Gmbh Vorrichtung und Verfahren zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2876814A1 (fr) * 2004-10-14 2006-04-21 Renault Sas Systeme d'enregistrement d'un contexte d'incident dans un vehicule automobile
WO2008014940A1 (de) * 2006-08-02 2008-02-07 Autoliv Development Ab Steuergerät und verfahren zur steuerung von funktionen
US8706377B2 (en) 2006-08-02 2014-04-22 Autoliv Development Ab Control device and method for the control of functions
DE102015220964A1 (de) 2014-10-31 2016-05-04 Denso Corporation Elektronische Steuerungsvorrichtung
DE102015220964B4 (de) 2014-10-31 2023-08-10 Denso Corporation Elektronische Steuerungsvorrichtung

Also Published As

Publication number Publication date
US7418316B2 (en) 2008-08-26
US20060112315A1 (en) 2006-05-25
CN100422951C (zh) 2008-10-01
AU2003254623A1 (en) 2004-03-19
KR20050059053A (ko) 2005-06-17
CN1659484A (zh) 2005-08-24
JP2005535054A (ja) 2005-11-17
EP1529253A1 (de) 2005-05-11
KR100984232B1 (ko) 2010-09-28
JP5021163B2 (ja) 2012-09-05
WO2004021095A1 (de) 2004-03-11

Similar Documents

Publication Publication Date Title
DE10236080A1 (de) Verfahren und Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere in einem Fahrzeug
EP1219489B1 (de) System und Verfahren zur Steuerung und/oder überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbunde
DE10243713B4 (de) Redundante Steuergeräteanordnung
DE10237167B4 (de) Verfahren zur Steuerung eines automatisierten Schaltgetriebes
EP1040028B1 (de) Verfahren zur fehlererkennung von mikroprozessoren in steuergeräten eines kfz
EP2171549B1 (de) Sicherheitsvorrichtung zum mehrkanaligen steuern einer sicherheitstechnischen einrichtung
EP2739883B1 (de) Verfahren und steuergerät für eine antriebsstrang-komponente
EP1989470B1 (de) Sicherheitskonzept für eine getriebestellvorrichtung
DE102013217461B4 (de) Verfahren und Anordnung zur Überwachung einer Komponente in einem Kraftfahrzeug
EP2491492B1 (de) Automatisierungssystem und verfahren zum betrieb eines automatisierungssystems
EP1962193B1 (de) Schaltungsvorrichtung und entsprechendes Verfahren zum Ansteuern einer Last
DE102011088764A1 (de) Verfahren zum Betreiben eines Steuergeräts
EP1370914A1 (de) Verfahren zum betreiben eines verteilten sicherheitsrelevanten systems
DE102010007899B4 (de) Kraftfahrzeug mit einem Längsführungssystem mit STOP- & GO-Funktion und einer automatisch einlegbaren Parkbremse
DE102006037124A1 (de) Ansteuersystem für eine Antriebseinheit eines Kraftfahrzeuges
DE102017209556A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
WO2006131255A2 (de) Verfahren zum betreiben einer elektrischen maschine und ansteuersystem hierzu
DE10011410A1 (de) Vorrichtung zur sicheren Signalerzeugung
EP2612059B1 (de) Vorrichtung und verfahren zur regelung eines doppelkupplungsgetriebes
DE102007046731B4 (de) Verfahren zur Ansteuerung eines Aktuators in einem Kraftfahrzeug
DE102012211987B4 (de) Verfahren zur Kommunikation zwischen einer Master- und einer Slave-Einheit
EP2435915B1 (de) Verringerung der reaktionszeit in einem system zur überwachung eines funktionsrechners
DE102015119611A1 (de) Verbesserung der Diagnostizierbarkeit von Fail-operational Systemen
DE102006037126A1 (de) Ansteuersystem für eine Antriebseinheit eines Kraftfahrzeuges
DE102007042090A1 (de) Antriebssystem und Verfahren zur Überwachung eines hydrostatischen Antriebs

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
R016 Response to examination communication
R084 Declaration of willingness to licence
R120 Application withdrawn or ip right abandoned