DE10303383A1 - Verfahren und Vorrichtung zur Überwachung des sicheren Betriebs einer Funktionseinheit in einem Kraftfahrzeug - Google Patents

Verfahren und Vorrichtung zur Überwachung des sicheren Betriebs einer Funktionseinheit in einem Kraftfahrzeug Download PDF

Info

Publication number
DE10303383A1
DE10303383A1 DE10303383A DE10303383A DE10303383A1 DE 10303383 A1 DE10303383 A1 DE 10303383A1 DE 10303383 A DE10303383 A DE 10303383A DE 10303383 A DE10303383 A DE 10303383A DE 10303383 A1 DE10303383 A1 DE 10303383A1
Authority
DE
Germany
Prior art keywords
data
fail
units
unit
electronic units
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE10303383A
Other languages
English (en)
Inventor
Heikel Zarga
Thomas ... Häfner
Jochen Dr. Koepernik
Werner Mayer
Werner Harter
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Mercedes Benz Group AG
Original Assignee
DaimlerChrysler AG
Robert Bosch GmbH
ZF Lenksysteme GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DaimlerChrysler AG, Robert Bosch GmbH, ZF Lenksysteme GmbH filed Critical DaimlerChrysler AG
Priority to DE10303383A priority Critical patent/DE10303383A1/de
Publication of DE10303383A1 publication Critical patent/DE10303383A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • H04L12/40176Flexible bus arrangements involving redundancy
    • H04L12/40202Flexible bus arrangements involving redundancy by using a plurality of master stations
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T8/00Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
    • B60T8/32Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
    • B60T8/88Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
    • B60T8/885Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/40Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/413Plausibility monitoring, cross check, redundancy
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B62LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
    • B62DMOTOR VEHICLES; TRAILERS
    • B62D5/00Power-assisted or power-driven steering
    • B62D5/04Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear
    • B62D5/0457Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such
    • B62D5/0481Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures
    • B62D5/0493Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures detecting processor errors, e.g. plausibility of steering direction
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Abstract

Es werden ein Verfahren und eine Vorrichtung (10) zur Überwachung des sicheren Betriebs einer Funktionseinheit in einem Kraftfahrzeug beschrieben. Des weiteren werden ein Computerprogramm und ein Computerprogrammprodukt zur Durchführung des beschriebenen Verfahrens vorgestellt. Bei dem beschriebenen Verfahren sind zur Überwachung einer Funktionseinheit zwei fehlerfreie elektronsiche Einheiten (14, 16) vorgesehen. Während des Betriebs wird dabei ein Datenaustausch zwischen mindestens einer der beiden fehlersicheren elektronischen Einheiten (14, 16) und dem Datenbus (32) durchgeführt. Des weiteren erfolgt eine Kommunikation zwischen den beiden fehlersicheren elektronischen Einheiten (14, 16).

Description

  • Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Überwachung des sicheren Betriebs einer Funktionseinheit in einem Kraftfahrzeug. Des weiteren betrifft die Erfindung ein Computerprogramm und ein Computerprogrammprodukt zur Durchführung des erfindungsgemäßen Verfahrens.
  • Zur Steuerung der Funktionseinheiten, wie bspw. der Lenkung oder des Motors, werden in Kraftfahrzeugen Steuergeräte eingesetzt, die typischerweise über Mikroprozessoren verfügen und über Ein-/Ausgabeschnittstellen mit den entsprechenden Sensoren und Aktoren bidirektional kommunizieren. Die Steuergeräte in dem Kraftfahrzeug sind dabei über einen Datenbus miteinander verbunden.
  • Insbesondere bei sicherheitskritischen Funktionseinheiten, wie bspw. der Lenkung, ist es unumgänglich besondere Vorkehrungen zu treffen, um den sicheren Betrieb des Fahrzeuges gewährleisten zu können.
  • Bei funktionssicheren und fehlertoleranten Anwendungen (fail operational) werden zur Ansteuerung der Funktionseinheiten fehlersichere elektronische Einheiten, sogenannte Fail-Safe-Einheiten, eingesetzt. Fail-Safe-Einheiten sind Steuergeräte, die bspw. zwei Mikroprozessoren aufweisen, die parallel zueinander bzw. synchron Berechnungen durchführen und somit eine Redundanz bei der Sicherheitsüberprüfung gewährleisten.
  • Aufgabe der vorliegenden Erfindung ist es, ein Verfahren und eine Vorrichtung bereitzustellen, mit denen funktionssichere und fehlertolerante Anwendungen zu realisieren sind und die gegenüber bekannten Verfahren und Vorrichtungen ein zusätzliches Maß an Sicherheit beim Betrieb eines Kraftfahrzeuges bieten.
  • Hierzu sind bei dem erfindungsgemäßen Verfahren zur Überwachung des sicheren Betriebs eines Kraftfahrzeuges zwei an einen Datenbus angeschlossene, fehlersichere elektronische Einheiten zum Ansteuern einer Funktionseinheit vorgesehen. Während des Betriebs wird ein Austausch von Daten zwischen mindestens einer der beiden elektronischen Einheiten und dem Datenbus durchgeführt. Außerdem erfolgt eine Kommunikation zwischen den beiden fehlersicheren elektronischen Einheiten.
  • Das Verfahren bedient sich somit zweier fehlersicherer Einheiten in einem sogenannten Duplex-System, wodurch ein zusätzliches Maß an Sicherheit gegeben ist.
  • Eine mögliche Ausführungsform der Erfindung sieht vor, daß eine der beiden elektronischen Einheiten für den Datenaustausch mit dem Datenbus eingesetzt wird und erst im Fehlerfall die andere der beiden Einheiten den Datenaustausch übernimmt.
  • Vorzugsweise werden beide Einheiten für den Datenaustausch gleichzeitig eingesetzt, so daß diese identische oder ähnliche Eingangsdaten erhalten, identische oder ähnliche Berechnungen durchführen und zu identischen oder ähnlichen Ergebnissen kommen. Das heißt, daß die Einheiten in sogenannter heißer Redundanz arbeiten. Durch die erfolgte Kommunikation über Synchronisations- und/oder Kommunikations zeitungen arbeiten die Einheiten in endlicher Synchronität, das bedeutet, daß diese bis auf eine geringe Zeitdifferenz zeitlich parallel arbeiten. Um zu identischen Ergebnissen zu kommen, stimmen sich diese über die Eingangsdaten ab.
  • Beim Anschluß dieser Duplex-Einheit an einen nichtredundanten asynchronen Datenbus, wie bspw. dem CAN-Bus, kann somit vorgesehen sein, daß beide Einheiten alle Signale empfangen und nur eine der Einheiten zum Senden der Daten vorgesehen ist.
  • Vorzugsweise teilen sich die beiden Fail-Safe-Einheiten die Sende- und Empfangsaufgabe derart auf, daß im fehlerfreien Fall beide Einheiten zyklisch senden und empfangen, d. h. daß der Datenaustausch zyklisch erfolgt.
  • Auch ist vorteilhaft, wenn zu einem Zeitpunkt immer nur eine der Einheiten sendet, da sich auf asynchronen nichtredundanten Datenbussen die nichtredundanten Empfänger für ein Datenpaket entscheiden müssen und die redundante Versendung lediglich den Bus belastet.
  • Es kann vorgesehen sein, daß eine Aufteilung der Daten, nämlich eine Aufteilung der empfangenen und/oder der zu sendenden Daten, erfolgt.
  • In Ausgestaltung des erfindungsgemäßen Verfahrens werden die Einheiten abwechselnd und somit ebenfalls zyklisch für den Datenaustausch eingesetzt.
  • Der Datenaustausch kann sowohl ein Senden von Daten als auch ein Empfangen von Daten umfassen.
  • Die erfindungsgemäße Vorrichtung dient zur Überwachung einer Funktionseinheit in einem Kraftfahrzeug und damit zum sicheren und fehlertoleranten Betrieb derselben. Diese weist zwei an einen Datenbus angeschlossene fehlersichere elektronische Einheiten und eine die beiden Einheiten verbindende Datenleitung auf.
  • Als Datenbus dient vorteilhafterweise ein CAN-Bus, der sich insbesondere für den Einsatz in Kraftfahrzeugen bewährt hat.
  • Das erfindungsgemäße Computerprogramm weist Programmcodemittel auf, um alle Schritte des vorstehend beschriebenen Verfahrens durchzuführen. Dieses wird auf einem Computer oder einer Recheneinheit, insbesondere einer Recheneinheit in einer erfindungsgemäßen Vorrichtung, durchgeführt.
  • Das erfindungsgemäße Computerprogrammprodukt weist diese Programmcodemittel auf, die auf einem computerlesbaren Datenträger gespeichert sind.
  • Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.
  • Es versteht sich, daß die vorstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellungen verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
    •
  • Die Erfindung ist anhand von Ausführungsbeispielen, die insbesondere mögliche Varianten der Durchführung des erfindungsgemäßen Verfahrens verdeutlichen, in der Zeichnung schematisch dargestellt und wird im folgenden unter Bezugnahme auf die Zeichnung ausführlich beschrieben.
  • 1 zeigt einen prinzipiellen Aufbau einer erfindungsgemäßen Vorrichtung in schematischer Darstellung.
  • 2 verdeutlicht den Empfang von Daten gemäß einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens.
  • 3 verdeutlicht das Senden von Daten gemäß der bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens.
  • 4 verdeutlicht den Empfang von Daten gemäß einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens zum Zeitpunkt t.
  • 5 verdeutlicht den Empfang von Daten gemäß der weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens zum Zeitpunkt t + 1.
  • 6 verdeutlicht den Vorgang des Sendens von Daten gemäß der weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens zum Zeitpunkt t.
  • 7 verdeutlicht den Vorgang des Sendens von Daten gemäß der weiteren bevorzugten Ausführungsform zum Zeitpunkt t + 1.
  • In 1 ist schematisch der Aufbau einer erfindungsgemäßen Vorrichtung, insgesamt mit der Bezugsziffer 10 bezeichnet, wiedergegeben. Zu erkennen ist ein Duplexsystem 12, eine sogenannte Fail-Operational-Einheit, die eine erste Fail-Safe-Einheit 14 und eine zweite Fail-Safe-Einheit 16 aufweist. Die beiden Fail-Safe-Einheiten 14 und 16 sind über Datenleitungen bzw. Kommunikationsverbindungen 18 miteinander verbunden.
  • Die erste Fail-Safe-Einheit 14 ist über eine erste Versorgungsleitung 20 mit einer ersten Stromversorgung 22 verbunden. Eine zweite Versorgungsleitung 24 verbindet die zweite Fail-Safe-Einheit. 16 mit der zweiten Stromversorgung 26.
  • Des weiteren ist die erste Fail-Safe-Einheit 14 über eine erste Schnittstelle 28 und die zweite Fail-Safe-Einheit 16 über eine zweite Schnittstelle 30 mit einem asynchronen Datenbus 32 für einen bidirektionalen Datenaustausch verbunden. Diese Schnittstellen 28 und 30 ermöglichen somit ein Zugriff der Einheiten 14 und 16 auf den Datenbus 32 zum Empfangen von Daten und ebenso das Senden von Daten zu dem Datenbus 32.
  • In 2 ist eine erste Variante des erfindungsgemäßen Verfahrens anhand der Prinzipdarstellung der 1 verdeutlicht. Dabei werden Daten, in diesem Fall Botschaften 1 bis 6, von dem Datenbus 32 empfangen. Es wird davon ausgegangen, daß jede Einheit 14 und 16 alle Daten einliest. Die erste Einheit 14 verwendet jedoch nur die erste Hälfte der empfangenen Botschaften, nämlich die Botschaften 1 bis 3, wie dies durch eine geschwungene Klammer 40 verdeutlicht ist. Klammer 42 zeigt, daß die zweite Einheit nur die zweite Hälfte der empfangenen Botschaften, nämlich Botschaften 4 bis 6, verwendet. Verwenden bedeutet in diesem Fall, daß die entsprechenden Botschaften zur Berechnung verwendet werden.
  • In der ersten Einheit 14 wird die erste Hälfte der Botschaft, wie Pfeile 44 zeigt, an die zweite Einheit übertragen und gleichzeitig einer ersten Recheneinheit 46 in der ersten Einheit 14 übergeben (Pfeil 48).
  • Entsprechend überträgt die zweite Recheneinheit 16 die Botschaften 4 bis 6 an die erste Recheneinheit 46 in der ersten Einheit 14 (Pfeile 50) und zur Berechnung an eine zweite Recheneinheit 52 (Pfeil 54).
  • Da aufgrund der asynchronen Datenübertragung und der endlichen Synchronität der Fail-Safe-Einheiten es möglich ist, daß eine Einheit ein Datenpaket von dem aktuellen Kommunikationszyklus t empfängt und verwendet, während die zweite Einheit ein Datenpaket von dem vorhergehenden Zyklus t – 1 empfängt und verwendet, kann es dazu kommen, daß wenn sich von t – 1 zu t der Inhalt des Datenpakets ändert, die beiden Fail-Safe-Einheiten mit unterschiedlichen Eingangswerten arbeiten und somit zu unterschiedlichen Ausgangswerten kommen. Dies wird durch den zuvor beschriebenen Datenaustausch 18 zwischen den Recheneinheiten 14 und 16 vermieden, ohne daß die Einheiten sich in einem zusätzlichen, kommunikations- und zeitaufwendigen Prozeß abstimmen müssen.
  • Die beiden Fail-Safe-Einheiten stellen für sich genommen jeweils ein Zwei-Prozessorsystem dar. Die Zusammenschaltung dieser Einheiten 14 und 16 über den Datenaustausch 18 bildet ein fehlertolerantes System, also bspw. ein 2*2-Prozessorsystem.
  • In 3 ist das Versenden der Daten gemäß der ersten Variante des erfindungsgemäßen Verfahrens wiedergegeben. Hierbei generieren beide Fail-Safe-Einheiten 14 und 16 alle Sendedaten mit identischen oder ähnlichen Algorithmen in den jeweiligen Recheneinheiten 46 bzw. 52.
  • Die erste Einheit sendet jedoch nur die erste Hälfte der Botschaften, wie mit geschwungener Klammer 60 gezeigt, während die zweite Einheit 16 nur die zweite Hälfte der Bot schaften, die mit geschwungener Klammer 62 markiert sind, sendet.
  • Bei der ersten Variante werden die Schnittstellen in den beiden Fail-Safe-Einheiten 14 und 16 zur Anbindung an den asynchronen Datenbus 32 zyklisch verwendet, so daß ein Fehler sofort bemerkt wird. Dabei muß zwischen den Einheiten 14 und 16 pro Regelzyklus über die Kommunikationsverbindung 18in beiden Richtungen nur die Hälfte der Daten ausgetauscht werden, um einen Abgleich bezüglich der zu sendenden Daten zwischen den Fail-Safe-Einheiten 14 und 16 zu realisieren, so daß der Kommunikationsaufwand und der Zeitverzug verringert werden können. Gemäß der ersten Variante ist im fehlerfreien Fall keine zyklische Umkonfiguration der Busschnittstelle erforderlich.
  • Im Fehlerfall verfügt die fehlerfreie Einheit ohne Zeitverzug oder zusätzlichen Datenaustausch über alle empfangenen Botschaften bzw. kann alle zu sendenden Botschaften bereitstellen.
  • Eine höhere Systemverfügbarkeit kann zusätzlich erzielt werden, wenn beide Einheiten 14 und 16 alle Botschaften einlesen und alle Botschaften an die jeweils andere Einheit senden. Im fehlerfreien Fall verwendet jede Einheit 14 und 16 nur einen bestimmten Teil der Botschaften. Fällt bei einer der beiden Einheiten 14 und 16 die Busanbindung aus, bspw. durch einen Fehler bei einem Steckverbinder, verfügt diese Einheit ohne Zeitverzug über alle Botschaften und kann ohne Einschränkung weiterarbeiten. Zu beachten ist hierbei jedoch, daß der doppelte Kommunikationsaufwand auf der Verbindung 18 zwischen den Einheiten 14 und 16 entsteht.
  • Eine zweite Variante des erfindungsgemäßen Verfahrens ist in den 4 bis 7 wiedergegeben. Bei dieser erfolgt das periodische Wechseln der Empfangs- und der Sendefunktion zwischen den beiden Fail-Safe-Einheiten 14 und 16.
  • In 4 ist dieser Vorgang beim Empfangen der Daten zum Zeitpunkt t gezeigt. Zu erkennen ist, daß die erste Fail-Safe-Einheit 14 zu diesem Zeitpunkt alle Botschaften, was Klammer 70 zeigt, empfängt, zur Verwendung an die erste Recheneinheit 46 weitergibt (Pfeil 72) und diese Botschaften auch an die zweite Einheit 16 bzw. an deren zweite Recheneinheit 52 überträgt (Pfeile 74).
  • Zum Zeitpunkt t + 1, der in 5 wiedergegeben ist, empfängt die zweite Einheit 16 sämtliche Botschaften (Klammer 80), gibt diese zur Verwendung an die zweite Recheneinheit 52 (Pfeil 82) und überträgt diese Daten an die erste Recheneinheit 46 (Pfeile 84).
  • Es wird somit von Zyklus zu Zyklus das Empfangen aller Botschaften einmal von der ersten Einheit 14 und dann im nächsten Zyklus von der zweiten Einheit 16 übernommen. Alle empfangenen Daten werden an die nicht empfangende Einheit über die Kommunikationsverbindung 18 gesendet.
  • In 6 ist der Vorgang des Sendens gemäß der zweiten Variante zum Zeitpunkt t dargestellt. Eine geschwungene Klammer 90 zeigt, daß zu diesem Zeitpunkt die erste Einheit sämtliche Botschaften zu dem Datenbus 32 sendet. Zum Zeitpunkt t + 1, der in 7 wiedergegeben ist, versendet die zweite Einheit 16 alle Botschaften (Klammer 92).
  • Somit wird von Zyklus zu Zyklus das Senden aller Botschaften einmal von der ersten Einheit 14 und dann von der zweiten Einheit 16 bewerkstelligt.
  • Bei der gezeigten zweiten Variante dienen die Schnittstellen in beiden Einheiten 14 und 16 zur Anbindung an den Datenbus 32 und werden hierzu zyklisch verwendet. So zeigen sich Fehler bereits nach kurzer Verzögerung, spätestens nach jedem zweiten Regelzyklus.
  • Zwischen den Einheiten 14 und 16 müssen pro Regelzyklus immer nur in eine Richtung Daten übertragen werden, was einen verminderten Kommunikationsaufwand bedeutet. Im fehlerfreien Fall ist eine zyklische Umkonfiguration der Busschnittstelle notwendig.
  • Im Fehlerfall verfügt die fehlerfreie der beiden Einheiten 14 und 16 mit einem Zeitverzug von maximal einem Regelzyklus über alle Empfangsbotschaften bzw. kann alle zu sendenden Botschaften bereitstellen.
  • Um eine Datenkonsistenz zu gewährleisten, wird bei beiden Varianten davon ausgegangen, daß sich die Einheiten 14 und 16 vor der Versendung über die Kommunikationsverbindung 18 bzgl. der Dateninhalte abstimmen.
  • Das erfindungsgemäße Verfahren bietet sich insbesondere für einen Einsatz in einem Kraftfahrzeug an. Eine konkrete Anwendung könnte in einem Steer-by-Wire-System mit je zwei Sub-/Halbsteuergeräten beim Handmomentensteller und beim Radmomentensteller sein.

Claims (12)

  1. Verfahren zur Überwachung des sicheren Betriebs eines Kraftfahrzeuges, bei dem zum Ansteuern einer Funktionseinheit zwei an einen Datenbus (32) angeschlossene, fehlersichere elektronische Einheiten (14, 16) vorgesehen sind, wobei während des Betriebs ein Datenaustausch zwischen mindestens einer der beiden fehlersicheren elektronischen Einheiten (14, 16) und dem Datenbus (32) durchgeführt wird und eine Kommunikation (18j zwischen den beiden fehlersicheren elektronischen Einheiten (14, 16) erfolgt.
  2. Verfahren nach Anspruch 1, bei dem eine der beiden fehlersicheren elektronischen Einheiten (14, 16) für den Datenaustausch eingesetzt wird und in einem Fehlerfall die andere der beiden fehlersicheren elektronischen Einheiten (14, 16) den Datenaustausch übernimmt.
  3. Verfahren nach Anspruch 1, bei dem beide fehlersicheren elektronischen Einheiten (14, 16) gleichzeitig für den Datenaustausch eingesetzt werden.
  4. Verfahren nach Anspruch 3, bei dem der Datenaustausch zyklisch erfolgt.
  5. Verfahren nach Anspruch 3 oder 4, bei dem eine Aufteilung der Daten erfolgt.
  6. Verfahren nach Anspruch 1, bei dem die beiden fehlersicheren elektronischen Einheiten (14, 16) abwechselnd für den Datenaustausch eingesetzt werden.
  7. Verfahren nach einem der Ansprüche 1 bis 6, bei dem Daten von mindestens einer der fehlersicheren elektroni schen Einheiten (14, 16) zu dem Datenbus (32) gesendet werden.
  8. Verfahren nach einem der Ansprüche 1 bis 6, bei dem mindestens eine der fehlersicheren elektronischen Einheiten (14, 16) Daten von dem Datenbus (32) empfängt.
  9. Vorrichtung zur Überwachung einer Funktionseinheit in einem Kraftfahrzeug, mit zwei an einen Datenbus (32) angeschlossenen, fehlersicheren elektronischen Einheiten (14, 16) und einer die beiden fehlersicheren elektronischen Einheiten (14, 16) verbindenden Datenleitung (18) für eine Kommunikation.
  10. Vorrichtung nach Anspruch 9, bei der als Datenbus (32) ein CAN-Bus dient.
  11. Computerprogramm mit Programmcodemitteln, um alle Schritte eines Verfahrens nach einem der Ansprüche 1 bis 8 durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit, insbesondere einer Recheneinheit (46, 52) in einer Vorrichtung (10) nach einem der Ansprüche 9 oder 10, durchgeführt wird.
  12. Computerprogrammprodukt mit Programmcodemitteln, die auf einem computerlesbaren Datenträger gespeichert sind, um ein Verfahren nach einem der Ansprüche 1 bis 8 durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit, insbesondere einer Recheneinheit (46, 52) in einer Vorrichtung (10) nach einem der Ansprüche 8 oder 9 durchgeführt wird.
DE10303383A 2003-01-29 2003-01-29 Verfahren und Vorrichtung zur Überwachung des sicheren Betriebs einer Funktionseinheit in einem Kraftfahrzeug Withdrawn DE10303383A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE10303383A DE10303383A1 (de) 2003-01-29 2003-01-29 Verfahren und Vorrichtung zur Überwachung des sicheren Betriebs einer Funktionseinheit in einem Kraftfahrzeug

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10303383A DE10303383A1 (de) 2003-01-29 2003-01-29 Verfahren und Vorrichtung zur Überwachung des sicheren Betriebs einer Funktionseinheit in einem Kraftfahrzeug

Publications (1)

Publication Number Publication Date
DE10303383A1 true DE10303383A1 (de) 2004-08-05

Family

ID=32667913

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10303383A Withdrawn DE10303383A1 (de) 2003-01-29 2003-01-29 Verfahren und Vorrichtung zur Überwachung des sicheren Betriebs einer Funktionseinheit in einem Kraftfahrzeug

Country Status (1)

Country Link
DE (1) DE10303383A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006024006A1 (en) * 2004-08-24 2006-03-02 Honeywell International Inc. Electrical energy management system on a vehicle e.g. a more electric aircraft (mea)
DE102009014642A1 (de) * 2009-03-24 2010-09-30 Valeo Schalter Und Sensoren Gmbh Anordnung zur Steuerung eines Fahrzeugassistenzsystems

Citations (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3725750A1 (de) * 1987-08-04 1989-02-23 Vdo Schindling Mehrprozessorsystem mit wenigstens zwei prozessoren zur erzeugung gleicher oder nahezu gleicher ausgangssignale
DE3825280A1 (de) * 1988-07-26 1990-02-01 Bayerische Motoren Werke Ag Steuersystem fuer stelleinrichtungen eines kraftfahrzeugs
DE4114999A1 (de) * 1991-05-08 1992-11-12 Bosch Gmbh Robert System zur steuerung eines kraftfahrzeuges
DE4133268A1 (de) * 1991-10-08 1993-04-15 Bosch Gmbh Robert Vorrichtung zur steuerung der antriebsleistung eines fahrzeuges
DE4201577A1 (de) * 1992-01-22 1993-07-29 Bosch Gmbh Robert Elektronisches steuersystem fuer ein elektromagnetisches stellmittel in einem kraftfahrzeug mit einem steuergeraet
DE4314118A1 (de) * 1993-04-29 1994-11-10 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung der Antriebsleistung eines Fahrzeugs
DE19650104A1 (de) * 1995-12-04 1997-06-05 Toyota Motor Co Ltd Elektronische Steuervorrichtung für ein Kraftfahrzeug
DE19717686A1 (de) * 1997-04-28 1998-10-29 Itt Mfg Enterprises Inc Schaltungsanordnung für ein Kraftfahrzeug-Regelungssystem
WO1999026822A1 (de) * 1997-11-22 1999-06-03 Continental Teves Ag & Co. Ohg Elektromechanisches bremssystem
DE19800311A1 (de) * 1998-01-07 1999-07-08 Itt Mfg Enterprises Inc Elektronische, digitale Einrichtung
GB2345153A (en) * 1998-12-23 2000-06-28 Motorola Ltd Fault-tolerant microcontroller arrangement, eg for a vehicle braking system
DE19933086A1 (de) * 1999-07-15 2001-01-18 Bosch Gmbh Robert Verfahren und Vorrichtung zur gegenseitigen Überwachung von Steuereinheiten
DE10032179A1 (de) * 2000-07-01 2002-01-17 Daimler Chrysler Ag Steuerungssystem für ein Fahrzeug und Verfahren zur Steuerung eines Fahrzeugs
DE10065118A1 (de) * 2000-12-28 2002-07-04 Bosch Gmbh Robert System und Verfahren zur Steuerung und/oder Überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbundes
DE10162689A1 (de) * 2001-01-12 2002-07-18 Daimler Chrysler Ag Vorrichtung zur Überwachung von in einem Fahrzeug angeordneten Sensormitteln

Patent Citations (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3725750A1 (de) * 1987-08-04 1989-02-23 Vdo Schindling Mehrprozessorsystem mit wenigstens zwei prozessoren zur erzeugung gleicher oder nahezu gleicher ausgangssignale
DE3825280A1 (de) * 1988-07-26 1990-02-01 Bayerische Motoren Werke Ag Steuersystem fuer stelleinrichtungen eines kraftfahrzeugs
DE4114999A1 (de) * 1991-05-08 1992-11-12 Bosch Gmbh Robert System zur steuerung eines kraftfahrzeuges
DE4133268A1 (de) * 1991-10-08 1993-04-15 Bosch Gmbh Robert Vorrichtung zur steuerung der antriebsleistung eines fahrzeuges
DE4201577A1 (de) * 1992-01-22 1993-07-29 Bosch Gmbh Robert Elektronisches steuersystem fuer ein elektromagnetisches stellmittel in einem kraftfahrzeug mit einem steuergeraet
DE4314118A1 (de) * 1993-04-29 1994-11-10 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung der Antriebsleistung eines Fahrzeugs
DE19650104A1 (de) * 1995-12-04 1997-06-05 Toyota Motor Co Ltd Elektronische Steuervorrichtung für ein Kraftfahrzeug
DE19717686A1 (de) * 1997-04-28 1998-10-29 Itt Mfg Enterprises Inc Schaltungsanordnung für ein Kraftfahrzeug-Regelungssystem
WO1999026822A1 (de) * 1997-11-22 1999-06-03 Continental Teves Ag & Co. Ohg Elektromechanisches bremssystem
DE19800311A1 (de) * 1998-01-07 1999-07-08 Itt Mfg Enterprises Inc Elektronische, digitale Einrichtung
GB2345153A (en) * 1998-12-23 2000-06-28 Motorola Ltd Fault-tolerant microcontroller arrangement, eg for a vehicle braking system
DE19933086A1 (de) * 1999-07-15 2001-01-18 Bosch Gmbh Robert Verfahren und Vorrichtung zur gegenseitigen Überwachung von Steuereinheiten
DE10032179A1 (de) * 2000-07-01 2002-01-17 Daimler Chrysler Ag Steuerungssystem für ein Fahrzeug und Verfahren zur Steuerung eines Fahrzeugs
DE10065118A1 (de) * 2000-12-28 2002-07-04 Bosch Gmbh Robert System und Verfahren zur Steuerung und/oder Überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbundes
DE10162689A1 (de) * 2001-01-12 2002-07-18 Daimler Chrysler Ag Vorrichtung zur Überwachung von in einem Fahrzeug angeordneten Sensormitteln

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006024006A1 (en) * 2004-08-24 2006-03-02 Honeywell International Inc. Electrical energy management system on a vehicle e.g. a more electric aircraft (mea)
US7406370B2 (en) 2004-08-24 2008-07-29 Honeywell International Inc. Electrical energy management system on a more electric vehicle
DE102009014642A1 (de) * 2009-03-24 2010-09-30 Valeo Schalter Und Sensoren Gmbh Anordnung zur Steuerung eines Fahrzeugassistenzsystems

Similar Documents

Publication Publication Date Title
EP1600831B1 (de) Verfahren und Vorrichtung zur Überwachung mehrerer Steuergeräte mittels einer Frage-Antwort-Kommunikation
EP1040028B1 (de) Verfahren zur fehlererkennung von mikroprozessoren in steuergeräten eines kfz
DE10243713B4 (de) Redundante Steuergeräteanordnung
DE112010001370B4 (de) Signalübertragungsvorrichtung für einen Aufzug
EP1297394B1 (de) Redundantes steuerungssystem sowie steuerrechner und peripherieeinheit für ein derartiges steuerungssystem
DE102006046399A1 (de) Verfahren und Vorrichtung zur Fehlerverwaltung
EP1171332B1 (de) Lenk- und bremssystem für ein fahrzeug
DE19500188B4 (de) Schaltungsanordnung für eine Bremsanlage
EP0092719A1 (de) Anordnung zur Kopplung von digitalen Verarbeitungseinheiten
DE102006017302B4 (de) Verfahren und System zur Kontrolle einer Signalübertragung eines elektrischen Pedals
DE102016220197A1 (de) Verfahren zum Verarbeiten von Daten für ein automatisiertes Fahrzeug
DE102008009652A1 (de) Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor
EP1811722A2 (de) Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht
EP3473512A1 (de) Funktionsmodul, steuereinheit für ein betriebsassistenzsystem und arbeitsvorrichtung
WO2020173682A1 (de) Sicherheitssystem und verfahren zum betreiben eines sicherheitssystems
DE102006037125A1 (de) Ansteuersystem für eine Antriebseinheit eines Kraftfahrzeuges
DE10303383A1 (de) Verfahren und Vorrichtung zur Überwachung des sicheren Betriebs einer Funktionseinheit in einem Kraftfahrzeug
EP1596517B1 (de) Verfahren zur einkanaligen Übertragung von redundant vorliegenden Daten
DE10133652A1 (de) Zentraleinheit für ein redundantes Automatisierungssystem
EP1649373A2 (de) Verfahren und vorrichtung zur berwachung eines verteilten s ystems
EP1133096B1 (de) Verfahren zur signaltechnisch sicheren Übermittlung von Daten zwischen signaltechnisch sicheren Rechnern sowie Einrichtung hierzu
WO2021233675A1 (de) Fahrzeug-steuerungssystem mit schnittstelle zwischen datenverarbeitungspfaden
DE102012212680A1 (de) Verfahren und System zur fehlertoleranten Steuerung von Stellgliedern für eine begrenzte Zeit auf der Grundlage von vorberechneten Werten
DE102017213401A1 (de) Elektronische steuereinheit
WO2011113405A1 (de) Steuergeräteanordnung

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
8127 New person/name/address of the applicant

Owner name: DAIMLERCHRYSLER AG, 70567 STUTTGART, DE

Owner name: ROBERT BOSCH GMBH, 70469 STUTTGART, DE

8127 New person/name/address of the applicant

Owner name: DAIMLERCHRYSLER AG, 70327 STUTTGART, DE

Owner name: ROBERT BOSCH GMBH, 70469 STUTTGART, DE

8127 New person/name/address of the applicant

Owner name: ROBERT BOSCH GMBH, 70469 STUTTGART, DE

Owner name: DAIMLER AG, 70327 STUTTGART, DE

8141 Disposal/no request for examination