DE10332194B4 - Verfahren und Vorrichtung zur Fehlerlokalisierung bei vernetzten Steuergeräten - Google Patents

Verfahren und Vorrichtung zur Fehlerlokalisierung bei vernetzten Steuergeräten Download PDF

Info

Publication number
DE10332194B4
DE10332194B4 DE2003132194 DE10332194A DE10332194B4 DE 10332194 B4 DE10332194 B4 DE 10332194B4 DE 2003132194 DE2003132194 DE 2003132194 DE 10332194 A DE10332194 A DE 10332194A DE 10332194 B4 DE10332194 B4 DE 10332194B4
Authority
DE
Germany
Prior art keywords
signals
functional unit
faulty
error
operating states
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE2003132194
Other languages
English (en)
Other versions
DE10332194A1 (de
Inventor
Dr. Siebel Ulrich
Dr. Ehlers Tiemo
Andreas Breuer
Frank Henecker
Rolf Modrich
Gernot Rueb
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Audi AG
Volkswagen AG
Original Assignee
Audi AG
Volkswagen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Audi AG, Volkswagen AG filed Critical Audi AG
Priority to DE2003132194 priority Critical patent/DE10332194B4/de
Publication of DE10332194A1 publication Critical patent/DE10332194A1/de
Application granted granted Critical
Publication of DE10332194B4 publication Critical patent/DE10332194B4/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

Verfahren zur Fehlerlokalisierung in einem mechatronischen System, umfassend mindestens zwei vernetzte Steuergeräte, wobei einem Steuergerät mindestens eine Funktionseinheit zugeordnet ist, wobei eine Funktionseinheit (F1–F3) durch mindestens ein Element (2, 2', 14, 15, 16) beobachtet wird, Signale des Elements (2, 2', 14, 15, 16) auf Plausibilität überprüft werden, wobei mindestens normale und/oder plausible Betriebszustände von fehlerhaften und/oder nicht plausiblen Betriebszuständen unterscheidbar sind, und mindestens die Signale mit fehlerhaften Betriebszuständen gekennzeichnet werde, 1', 1'') verteilt werden, dadurch gekennzeichnet, dass fehlerhafte Betriebszustände empfangener Signale von dem die Signale empfangenden, vernetzten Steuergerät erkannt werden, wobei mindestens eine Fehlerfunktion bei einer Erkennung eines einen fehlerhaften Betriebszustand kennzeichnenden Signals durchgeführt wird.

Description

  • Die Erfindung bezieht sich auf ein Verfahren und eine Vorrichtung zur Fehlerlokalisierung in einem mechatronischen System, umfassend mindestens zwei vernetzte Steuergeräte. Mechatronische Systeme sind beispielsweise Fertigungsautomaten, Roboter, Flugzeuge, Schienenfahrzeuge oder Kraftfahrzeuge.
  • Einem Steuergerät sind verschiedene Komponenten, wie Sensoren, Aktoren, Schalter, Stecker, Massepunkte und/oder Leitungen zugeordnet. Es ist denkbar, das Steuergerät derart auszubilden, dass es lediglich einer Weiterleitung und/oder einem Empfang von Daten zwischen ihm zugeordneten Komponenten und mit ihm vernetzten Steuergeräten und/oder diesen zugeordneten Komponenten dient. Vorzugsweise ist das Steuergerät jedoch mit einer Recheneinheit ausgebildet, durch welche beispielsweise ihm zugeordnete Aktoren steuer- und/oder regelbar sind und/oder Sensordaten erfasst und verarbeitet werden. Die Steuergeräte sind über ein Bussystem, beispielsweise einen CAN-Bus, und/oder andere Datenleitungen vernetzt.
  • In sicherheitskritischen mechatronischen Systemen, beispielsweise in einem Kraftfahrzeug-Antriebssystem, ist es notwendig, Fehler schnell und zuverlässig zu erkennen. Es ist daher bekannt, Steuergeräten ein Diagnosemodul für eine Eigendiagnose zuzuordnen. Die Eigendiagnose bemerkt ein unplausibles Verhalten des Steuergeräts und der zugeordneten Peripherie und speichert eine Interpretation dieses Verhaltens als Fehlercode ab. Der Fehler ist beispielsweise in einer Werkstatt mit Hilfe eines Werkstatttesters abruf- und analysierbar.
  • Ist ein Steuergerät in einem mechatronischen System nicht autark sondern mit mindestens einem weiteren Steuergerät vernetzt und/oder sind verschiedene Komponenten eines Steuergeräts voneinander abhängig, so ist eine Interpretation des mittels Eigendiagnose an einem Steuergerät festgestellten Fehlerverhaltens oft nicht eindeutig. So kann ein Fehler einer Komponente des mechatronischen Systems mehrere Fehlermeldungen verursachen (Fehlermeldeschauer), ohne dass der eigentliche Verursacher erkennbar wird.
  • Aus der DE 199 21 065 A1 ist ein Verfahren zum Betrieb einer Steuereinheit zur Steuerung von Betriebsabläufen in einem Fahrzeug bekannt, wobei in der Steuereinheit wenigstens Steuerfunktionen ausgeführt werden, wobei bei fehlerfreien Betriebsabläufen in Reaktion auf wenigstens eine vorgebbare Bedingung die Ausführung der Steuerfunktionen in der Steuereinheit wenigstens teilweise unterbunden wird. Die vorgebbare Bedingung kann dabei einer Zeitbedingung oder einer Existenz einer Kennung entsprechen.
  • Aus der DE 100 65 118 A1 ist ein System zur Steuerung und/oder Überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbundes bekannt, mit einem ersten Steuergerät und wenigstens einem weiteren Steuergerät, wobei das erste Steuergerät mit Mitteln zur Durchführung seiner Steuerfunktion und zur Überwachung dieser Steuerfunktion sowie mit Mitteln zur Überwachung der Steuerfunktion des wenigstens einen zweiten Steuergerätes ausgebildet ist.
  • Aus der DE 102 07 222 A1 ist ein Verfahren zum Erfassen eines, aus Teildatensätzen mehrerer Steuergeräte zusammengesetzten, zeitpunktbezogenen Datensatzes in einem verteilt arbeitenden System bekannt, bei welchem Daten über einen seriellen Datenbus zwischen den Steuergeräten und einem Daten empfangenden Steuergerät austauschbar sind, mit den Schritten:
    • – Auslösen des Datenerfassens über den Datenbus,
    • – Erfassen der Teildatensätze durch die Steuergeräte und
    • – Bereitstellen der Teildatensätze auf dem Datenbus durch die Steuergeräte und
    • – Zusammenführen des zeitpunktbezogenen Datensatzes durch das empfangene Steuergerät.
  • Dabei werden die Teildatensätze der Steuergeräte von den Steuergeräten durch wiederholtes Abtasten von Daten für aufeinanderfolgende Abtastzeitpunkte in einem Zeitintervall ermittelt, wobei die Zeitintervalle der Steuergeräte mindestens so groß sind, dass diese sich mindestens an einem Zeitpunkt überschneiden.
  • Aus der DE 100 17 543 A1 ist ein Verfahren zur Fehlererkennung und Fehlerheilung bei der Überwachung von Größen bekannt, die in einer Auswerteeinrichtung auf Plausibilität überprüft werden, wobei bei Nichtplausibilität auf Fehler erkannt wird und bei vorgebbaren Bedingungen eine Fehlerheilung erfolgt, wobei eine Unterteilung in mindestens zwei Bereiche erfolgt und eine Fehlererkennung in jedem Bereich durchgeführt wird und eine Fehlerheilung nur in dem Bereich erlaubt ist, in dem der Fehler zuvor erkannt wurde. Dabei erfolgt die Fehlererkennung, sofern vorgebbare Schwellwerte überschritten oder unterschritten werden oder eine Nullpunktlage unplausibel ist, wobei die Schwellwerte anhand von Kennfeldern oder Kennlinien gebildet werden und die Kennfelder oder Kennlinien in Bereiche unterteilt sind.
  • Aus der EP 0 825 502 B1 ist ein Verfahren zur Fehlerlokalisierung in einem mechatronischen System in Form einer Fertigungsanlage bekannt, umfassend mindestens zwei versetzte Steuergeräte, wobei einem Steuergerät mindestens eine Funktionseinheit zugeordnet ist. Dabei wird die Funktionseinheit durch mindestens ein Element in Form eines Sensors beobachtet. Die von den Sensoren gelieferten Signale werden in einer Signalaufbereitungseinheit aufbereitet und entsprechend ausgewertet. Dabei ist weiter vorgesehen, dass von jedem Steuergerät über ein Bussystem Fehlermeldungen abgegeben werden können.
  • Der Erfindung liegt daher das technische Problem zugrunde, ein verbessertes Verfahren und eine vereinfachte Vorrichtung zur Fehlerlokalisierung zu schaffen.
  • Die Lösung des Problems ergibt sich durch die Gegenstände mit den Merkmalen der Patentansprüche 1 und 7. Weitere vorteilhafte Ausgestaltungen der Erfindung ergeben sich aus den Unteransprüchen.
  • Hierfür werden Steuergeräte eines mechatronischen Systems, das mindestens zwei vernetzte Steuergeräte umfasst, wobei einem Steuergerät mindestens eine Funktionseinheit zugeordnet ist, auf der Ebene der Funktionseinheiten ausgewertet. Die Auswertung auf Ebene der Funktionseinheiten erfolgt, indem den Funktionseinheiten Elemente für eine Beobachtung zugeordnet sind, Signale dieser Elemente auf Plausibilität überprüft werden, wobei mindestens normale und/oder plausible Betriebszustände der Funktionseinheiten von fehlerhaften und/oder nicht plausiblen Betriebszuständen unterscheidbar sind. Es ist auch denkbar, dass nicht plausible Betriebszustände aufgrund einer fehlerhaften Funktion des beobachtenden Elements erfasst werden. Fehler lassen sich jedoch in jedem Fall eindeutig in einem Steuergerät detektieren und einer Funktionseinheit zuordnen. Signale mit fehlerhaftem Betriebszustand, die über einen Datenbus oder eine andere vergleichbare Datenleitung verteilt werden, werden gekennzeichnet. Durch ein empfangendes Steuergerät und/oder eine Funktionseinheit werden fehlerhafte Betriebszustände empfangener Signale anhand der Kennzeichnung erkannt, so dass eine Fehlerfunktion ausgelöst wird. Durch die Fehlerfunktion wird verhindert, dass diese Signale weiterverarbeitet werden und Folgefehler auslösen. Die Fehlerfunktion ist dabei abhängig von dem empfangenen Signal und/oder der Funktionseinheit für dessen Weiterverarbeitung. Die Fehlerfunktion muss bei sicherheitskritischen Funktionen mindestens eine Notlaufstrategie beinhalten, durch welche die Funktion ohne das empfangene Signal mindestens derart ausführbar ist, dass ein sicherer Betriebszustand erzielt wird. Für viele andere Funktionen ist es ausreichend, dass Signal in der Weiterverarbeitung durch die empfangende Funktionseinheit und/oder das empfangende Steuergerät zu ignorieren.
  • Vorzugsweise wird ein Betriebszustand als normal und/oder plausibel eingestuft, wenn das Signal des Elements innerhalb eines festgelegten Bereichs liegt. Der Bereich wird durch spezifische obere und unterer Grenzwerte der Signale der zugeordneten Funktionseinheit definiert. Dadurch ist eine schnelle und einfache Überprüfung der Plausibilität möglich. Die Bereiche sind nicht starr und können anwendungsspezifisch und/oder zeitabhängig variieren.
  • In einer weiteren bevorzugten Ausführungsform ist einer Funktionseinheit mindestens ein Aktor zugeordnet ist, wobei der Aktor durch einen Sensor beobachtbar ist. Daneben sind einer Funktionseinheit weitere Komponenten, beispielsweise Leitungen und/oder Schalter, zuordenbar. Anstelle oder kumulativ zu einer Beobachtung durch einen externen Sensor ist auch eine Beobachtung durch ein Element denkbar, welches dem Steuergerät zugeordnet ist. Beispielsweise ist ein fehlerfreies Verhalten eines Elektromotors durch eine Überwachung der Stromaufnahme im Steuergerät beobachtbar. Weiter ist durch ein dem Steuergerät zugeordnetes Element auch eine Überwachung externer Sensoren denkbar.
  • In einer bevorzugten Ausführungsform bilden ein Aktor und ein Sensor eine Funktionseinheit. Durch kleine Funktionseinheiten sind fehlerhafte Komponenten leichter auffindbar. Daneben ist es jedoch auch denkbar, dass einem Sensor mehrere Komponenten zugeordnet sind. Erfindungsgemäß ist die Suche nach einem Verursacher wenigstens auf eine Funktionseinheit beschränkbar, d. h. auf Komponenten, die dem Sensor und/oder einem im Steuergerät angeordneten internen Element zugeordnet sind. Werden Komponenten durch eine Vielzahl an Sensoren und/oder internen Elementen beobachtet, wobei die Anzahl an Sensoren und/oder internen Elementen kleiner der Anzahl an Komponenten ist, so ist die Anzahl möglicher Fehlerverursacher durch eine Abhängigkeitsmatrix beschränkbar. In der Abhängigkeitsmatrix werden physikalische Abhängigkeiten zwischen den Signalen der Sensoren und/oder internen Elemente und den Komponenten dargestellt. Sind fehlerhafte und/oder unplausible sowie fehlerfreie und/oder plausible Signale von Sensoren und/oder internen Elementen verschiedener Funktionseinheiten von derselben Komponente abhängig, so ist diese Komponente im Regelfall nicht für den Fehler ursächlich. Die Komponente wird „entlastet”. Sind dagegen alle Funktionseinheiten mit fehlerhaften Signalen von einer Komponente abhängig, so kann diese Komponente Verursacher sein. Die Komponente wird „belastet”. Die Schnittmenge der Komponenten, die den eingesetzten Sensoren und/oder internen Elementen zugeordnet sind, bestimmt dabei, auf welche Anzahl verdächtiger Komponenten die Fehlerlokalisierung eingegrenzt werden kann. Dabei ist ein Kompromiss zwischen zusätzlichen Kosten aufgrund der Sensoren und/oder der internen Elemente und sicherer Fehlerlokalisierung zu finden. Die ausgewerteten Signale werden dabei entweder durch den normalen Fahrbetrieb generiert und/oder durch spezielle Fehlerfunktionen erzeugt. Es ist auch denkbar, dass Komponenten durch Sensoren und/oder interne Elemente unterschiedlicher Steuergeräte beobachtbar sind. Die Signale können dann beispielsweise an einer zentralen Stelle ausgewertet werden und/oder empfangene Signale werden in dem Steuergerät und/oder einer Funktionseinheit mit eigenen Signalen verknüpft.
  • In einer weiteren bevorzugten Ausführungsform wird die Plausibilität der Signale periodisch überprüft. Die periodische Überprüfung erfolgt vorzugsweise bei Funktionseinheiten mit Aktoren nur dann, wenn die Aktoren aktiv sind. Daneben ist es auch denkbar, dass der festgelegte Bereich, für den ein Signal als plausibel gewertet wird, bei inaktiven Aktoren entsprechend festgelegt wird.
  • In einer weiteren bevorzugten Ausführungsform verteilt ein Steuergerät mindestens ein Signal im fehlerfreien Betrieb zyklisch an vernetzte Steuergeräte. Wird ein Fehler in einer Funktionseinheit des Steuergeräts detektiert, so wird mindestens das zugehörige Signal nicht an vernetzte Steuergeräte verteilt. Daneben ist es auch denkbar, dass das zugehörige Steuergerät nach Auftreten eines Fehlers keine Signale mehr sendet. Da Signale anderer Steuergeräte weiterhin empfangen werden, ist ein Ausbleiben von Signalen aufgrund von Fehlern in Funktionseinheiten von einem Datenbusfehler unterscheidbar.
  • Die Erfindung wird nachfolgend anhand eines bevorzugten Ausführungsbeispiels näher erläutert. Die Figuren zeigen:
  • 1 eine schematische Darstellung zweier vernetzter Steuergeräte,
  • 2 eine schematische Darstellung eines Steuergeräts mit fünf zugeordneten Komponenten und
  • 3 eine schematische Darstellung einer Abhängigkeitsmatrix.
  • 1 zeigt schematisch zwei Steuergeräte 1, 1', die über einen Datenbus 4 vernetzt sind. Für die Kommunikation sind die Steuergeräte 1, 1' mit Schnittstellen 13 ausgebildet. Die Steuergeräte umfassen zentrale Recheneinheiten 10. Empfangene Signale werden durch die Schnittstelle 13 und/oder die zentrale Recheneinheit 10 überprüft. Die Steuergeräte 1, 1' dienen zur Ansteuerung von Aktoren 3, 3'. Ein Signal zur Ansteuerung der Aktoren 3, 3' ist dabei abhängig von empfangenen Signalen und/oder durch die Recheneinheit 10 ermittelbar. Der Zustand der Aktoren 3, 3' wird durch Sensoren 2, 2' beobachtet. Dabei ist der Zustand des Aktors 3 direkt durch den Sensor 2 erfassbar. Der Zustand des Aktors 3' ist nur indirekt in Abhängigkeit eines Elements 31 beobachtbar. Daneben ist es auch denkbar, ein Steuergerät ohne zugeordneten Aktor auszubilden, wobei dem Steuergerät lediglich ein Sensor zugeordnet ist, durch welchen eine Umgebungsvariable und/oder ein Zustand passiver Komponenten erfassbar ist. Die Sensoren 2, 2' überwachen außerdem ihren eigenen Zustand.
  • Die Signale der Sensoren 2, 2' werden auf Plausibilität überprüft. Ein Signal gilt als plausibel, wenn dessen Wert innerhalb eines vorbestimmten Bereichs liegt. Nicht plausible Signale deuten auf einen Fehler hin. Durch das Steuergerät 1 sind beispielsweise Signale des Steuergeräts 1' verarbeitbar. Das Steuergerät 1' sendet hierfür in periodischen Abständen die Signale über den Datenbus 4. Erkennt das Steuergerät 1' einen fehlerhafte und/oder nicht plausiblen Zustand des erfassten Signals, so wird dieses nicht gesendet. Das Steuergerät 1 erkennt das Ausbleiben des Signals und interpretiert dies als fehlerhaften Zustand im Steuergerät 1'. Die Funktionen des Steuergeräts 1 werden darauf wenn möglich unabhängig von Signalen des Steuergeräts 1' durchgeführt. Ist eine unabhängige Durchführung nicht möglich, so wird vorzugsweise eine Notfallstrategie durchgeführt, durch welche das Steuergerät 1 und/oder der ihm zugeordnete Aktor 3 in einen sicheren Betriebszustand überführbar ist.
  • Bei Auftreten eines Fehlers in dem Steuergerät 1' ist durch die dargestellte Konfiguration nicht eindeutig feststellbar, ob der Aktor 3' und/oder das Element 31 ursächlich für den Fehler sind, da beide gemeinsam durch einen Sensor 2 überwacht werden. Da Komponenten nicht immer direkt durch Sensoren erfassbar sind, und/oder aus kostentechnischen Gründen und/oder Aufgrund von Bauraumbeschränkungen sind teilweise mehrere Komponenten in einer Funktionseinheit mit einem Sensor zusammengefasst. Die Suche nach der Komponente der Funktionseinheit, die ursächlich für einen Fehler ist, kann dabei zeitaufwendig und mühsam sein. Daher wird in derartigen Fällen vorzugsweise durch eine Belastungs-/Entlastungsuntersuchung die Zahl der möglicherweise ursächlichen Komponenten reduziert.
  • 2 zeigt schematisch ein Steuergerät 1'', umfassend eine zentrale Recheneinheit 10, Komponentendiagnosen 11, einen Speicher 12, eine Schnittstelle 13 und Elemente 1416 als Schnittstelle für Hardwarefunktionen. Als Hardwarefunktionen werden Funktionen bezeichnet, die durch Funktionseinheiten durchgeführt werden. Dem Steuergerät 1'' sind fünf Komponenten K1–K5 zugeordnet. Komponenten sind beispielsweise Sensoren, Aktoren, Schalter, Stecker, Massepunkte und/oder Leitungen. Dabei ist eine erste Hardwarefunktion abhängig von den Komponenten K1, K2 und K5 und ist dem Element 14 zugeordnet. Eine zweite Hardwarefunktion ist abhängig von den Komponenten K1–K4 und ist dem Element 15 zugeordnet. Eine dritte Hardwarefunktion ist abhängig von den Komponenten K1, K4 und dem Element 16 zugeordnet.
  • Die Elemente 1416 sind beispielsweise als Hardwaretreiber ausgebildet, durch die Signale der Hardwarefunktionen interpretierbar sind. Die Signale werden Komponentendiagnosen 11 zugeführt und durch diese auf Plausibilität überprüft. Ein Signal gilt demnach als plausibel, wenn es innerhalb eines bestimmten Bereichs liegt. Plausible Zustände werden mit „ok”, nicht plausible Zustände mit „nok” gekennzeichnet. Die Ergebnisse der Komponentendiagnosen 11 werden in der zentralen Recheneinheit 10 ausgewertet. Die Recheneinheit 10 berücksichtigt für die Auswertung die Zustände aller aktiven Funktionseinheiten mit Zustand „nok” oder „ok”. Es ist denkbar, die Komponentendiagnosen 11 gemeinsam und/oder als Teil der zentralen Recheneinheit 10 auszubilden. Vorzugsweise sind die Elemente 1416 gemeinsam mit den Komponentendiagnosen 11 ausgebildet. Beispielsweise ist eine gemeinsame Ausbildung als Decoder denkbar, durch welche die Signale empfangen, interpretiert und auf Plausibilität überprüft werden. Die Beobachtung der Funktionseinheiten erfolgt durch die internen Elemente 1416 und die Komponentendiagnosen 11. Es ist weiter denkbar, die Elemente 1416 mindestens teilweise als Sensoren auszubilden, die außerhalb des Steuergeräts 1'' angeordnet sind. Mögliche externe Sensoren sind beispielsweise Temperatursensoren oder Anschläge zur Positionsbestimmung.
  • Da nur zwei Zustände „nok” und „ok” zu unterscheiden sind, ist eine einfache Kennzeichnung möglich. Als Kennzeichnung ist es beispielsweise ausreichend, dass Signale mit „nok”-Zuständen nicht an die Recheneinheit 10 übertragen werden. Im fehlerfreien Betrieb überträgt eine Komponentendiagnose 11, die einer aktiven Funktionseinheit zugeordnet ist, zyklisch Signale an die Recheneinheit 10. Das Ausbleiben des zyklischen Signals signalisiert damit einen „nok”-Zustand. Die Recheneinheit 10 ist dabei derart auszubilden, dass sie ein Ausbleiben nicht aktivierter Funktionen von einem Ausbleiben von Signalen aufgrund eines Fehlers unterscheiden kann.
  • In der zentralen Recheneinheit 10 erfolgt die Auswertung Komponentendiagnose-Ergebnisse anhand von Abhängigkeitsmatrizen. Die Abhängigkeitsmatrizen sind in dem Speicher 12 abgelegt.
  • Fehlersignale oder Fehlercodes der Komponentendiagnosen 11 können daneben auch aufgrund von Fehlern in den Komponentendiagnosen 11 und/oder den Elementen 1416 erzeugt werden. Dieser Fall wird in der nachfolgenden Betrachtung für eine bessere Übersicht vernachlässigt,
  • 3 zeigt eine Abhängigkeitsmatrix für das Steuergerät 1'' mit den zugeordneten Komponenten K1–K5 gemäß 2. In der Abhängigkeitsmatrix werden in einer Richtung k die Komponenten K1–K5 aufgetragen und in einer zweiten Richtung f die Funktionseinheiten. Im dargestellten Beispiel umfasst die Funktionseinheit F1 die Komponenten K1, K2, K5, die Funktionseinheit F2 die Komponenten K1–K4 und die Funktionseinheit F3 die Komponente K1, K4. Tritt mindestens ein Fehler und/oder ein unplausibler Zustand in einer Funktionseinheit F1–F3 auf, so ist dies durch unplausible Zustände an den Elementen 1416 erkennbar. Eine Auswertung der Signale erfolgt durch Belastung und Entlastung einzelner Komponenten. Eine Komponenten wird belastet, wenn alle Signale mit „nok”-Zustand von ihr abhängen. Eine Komponente wird entlastet, wenn mindesten ein Signal mit „ok”-Zustand von ihr abhängig ist.
  • Weist beispielsweise das Signal der Funktionseinheit F2 ein nicht plausibles und/oder fehlerhaftes Verhalten auf, d. h. einen „nok”-Zustand, so können dafür eine oder mehrere Komponenten K1–K4 ursächlich sein. Weisen nun die Signale der Funktionseinheiten F1 und F3 beide plausible, fehlerfreie Zustände auf („ok”-Zustände), so werden die Komponenten K1, K2, K4 entlastet. Demgemäß wird die Komponenten K3 als ursächlich für das fehlerhafte Verhalten der Funktionseinheit F2 erkannt. Weisen hingegen alle Signale ein fehlerhaftes Verhalten auf, so ist wahrscheinlich die Komponente K1 ursächlich.
  • Für die Auswertung werden alle zur Verfügung stehenden Signale mit „ok” oder „nok” Zustand berücksichtigt. Nicht aktive Funktionseinheiten lassen keine Rückschlüsse zu und werden daher nicht berücksichtigt. Es ist jedoch denkbar, einzelne nicht-aktive Funktionen zu aktivieren und die Ergebnisse für die Auswertung zu verwenden. Daneben ist es auch denkbar, Funktionseinheiten zu bilden, indem gezielt Komponenten deaktiviert oder aktiviert werden.
  • Die Komponenten K1–K5 können dabei wie in 2 dargestellt einem Steuergerät 1'' zugeordnet sein. Es ist jedoch auch denkbar, dass Komponenten K1–K5 unterschiedlichen vernetzten Steuergeräten zugeordnet sind. Die Auswertung ist dabei sowohl in einer zentralen Recheneinheit als auch in einzelnen Steuergeräten denkbar.

Claims (12)

  1. Verfahren zur Fehlerlokalisierung in einem mechatronischen System, umfassend mindestens zwei vernetzte Steuergeräte, wobei einem Steuergerät mindestens eine Funktionseinheit zugeordnet ist, wobei eine Funktionseinheit (F1–F3) durch mindestens ein Element (2, 2', 14, 15, 16) beobachtet wird, Signale des Elements (2, 2', 14, 15, 16) auf Plausibilität überprüft werden, wobei mindestens normale und/oder plausible Betriebszustände von fehlerhaften und/oder nicht plausiblen Betriebszuständen unterscheidbar sind, und mindestens die Signale mit fehlerhaften Betriebszuständen gekennzeichnet werden, die an mindestens ein vernetztes Steuergerät (1, 1', 1'') verteilt werden, dadurch gekennzeichnet, dass fehlerhafte Betriebszustände empfangener Signale von dem die Signale empfangenden, vernetzten Steuergerät erkannt werden, wobei mindestens eine Fehlerfunktion bei einer Erkennung eines einen fehlerhaften Betriebszustand kennzeichnenden Signals durchgeführt wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass ein Betriebszustand als normal und/oder plausibel eingestuft wird, wenn das Signal des Elements (2, 2', 14, 15, 16) innerhalb eines festgelegten Bereichs liegt.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass mindestens einer Funktionseinheit (F1–F3) mindestens ein Aktor (3, 3') zugeordnet ist, wobei der Aktor (3, 3') durch einen Sensor (2, 2') beobachtbar ist.
  4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass ein Aktor (3) und ein Sensor (2) eine Funktionseinheit (F1–F3) bilden.
  5. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, dass Plausibilität periodisch überprüft wird.
  6. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, dass eine Kennzeichnung von fehlerhaften und/oder nicht plausiblen Betriebszuständen durch Ausbleiben periodischer Signale signalisiert und/oder erkannt wird.
  7. Vorrichtung zur Fehlerlokalisierung in einem mechatronischen System, umfassend mindestens zwei vernetzte Steuergeräte, wobei einem Steuergerät mindestens eine Funktionseinheit zugeordnet ist, wobei einer Funktionseinheit (F1–F3) mindestens ein Element (2, 2', 14, 15, 16) zugeordnet ist, wobei die Funktionseinheit (F1–F3) durch das Element (2, 2', 14, 15, 16) beobachtet wird, Signale des Elements (2, 2', 14, 15, 16) auf Plausibilität überprüft werden, wobei mindestens normale und/oder plausible Betriebszustände von fehlerhaften und/oder nicht plausiblen Betriebszuständen unterscheidbar sind, und mindestens die Signale mit fehlerhaften Betriebszuständen gekennzeichnet werden, die an mindestens ein vernetztes Steuergerät (1, 1', 1'') verteilt werden, dadurch gekennzeichnet, dass fehlerhafte Betriebszustände empfangener Signale von dem die Signale empfangenden, vernetzten Steuergerät erkannt werden, wobei mindestens eine Fehlerfunktion bei einer Erkennung eines einen fehlerhaften Betriebszustand kennzeichnenden Signals durchgeführt wird.
  8. Vorrichtung nach Anspruch 7, dadurch gekennzeichnet, dass ein Betriebszustand als normal und/oder plausibel eingestuft ist, wenn das Signal des Elements (2, 2', 14, 15, 16) innerhalb eines festgelegten Bereichs liegt.
  9. Vorrichtung nach Anspruch 7 oder 8, dadurch gekennzeichnet, dass mindestens einer Funktionseinheit mindestens ein Aktor (3, 3') zugeordnet ist, wobei der Aktor (3, 3') durch einen Sensor (2, 2') beobachtbar ist.
  10. Vorrichtung nach Anspruch 9, dadurch gekennzeichnet, dass ein Aktor (3) und ein Sensor (2) eine Funktionseinheit (F1–F3) bilden.
  11. Vorrichtung nach einem der Ansprüche 7 bis 11, dadurch gekennzeichnet, dass Plausibilität periodisch überprüfbar ist.
  12. Vorrichtung nach einem der Ansprüche 7 bis 11, dadurch gekennzeichnet, dass eine Kennzeichnung von fehlerhaften und/oder nicht plausiblen Betriebszuständen durch Ausbleiben periodischer Signale signalisier- und/oder erkennbar ist.
DE2003132194 2003-07-15 2003-07-15 Verfahren und Vorrichtung zur Fehlerlokalisierung bei vernetzten Steuergeräten Expired - Lifetime DE10332194B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE2003132194 DE10332194B4 (de) 2003-07-15 2003-07-15 Verfahren und Vorrichtung zur Fehlerlokalisierung bei vernetzten Steuergeräten

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE2003132194 DE10332194B4 (de) 2003-07-15 2003-07-15 Verfahren und Vorrichtung zur Fehlerlokalisierung bei vernetzten Steuergeräten

Publications (2)

Publication Number Publication Date
DE10332194A1 DE10332194A1 (de) 2005-03-24
DE10332194B4 true DE10332194B4 (de) 2012-03-29

Family

ID=34201365

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2003132194 Expired - Lifetime DE10332194B4 (de) 2003-07-15 2003-07-15 Verfahren und Vorrichtung zur Fehlerlokalisierung bei vernetzten Steuergeräten

Country Status (1)

Country Link
DE (1) DE10332194B4 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010028263A1 (de) * 2010-04-27 2011-10-27 Airbus Operations Gmbh Verfahren und Vorrichtung zum Identifizieren einer Zuordnung von Regelkreisen zu mindestens einer Regelvorrichtung
DE102021213472A1 (de) 2021-11-30 2023-06-01 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Ausführung einer Fahraufgabe in einem dezentralen Steuereinheitensystem und dezentrales Steuereinheitensystem

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19921065A1 (de) * 1999-05-07 2000-11-09 Bosch Gmbh Robert Verfahren und Vorrichtung zum Betrieb einer Steuereinheit zur Steuerung von Betriebsabläufen in einem Fahrzeug
DE10017543A1 (de) * 2000-04-08 2001-10-11 Bosch Gmbh Robert Verfahren zur Fehlererkennung und Fehlerheilung
EP0825502B1 (de) * 1996-08-13 2002-06-26 Dürr Systems GmbH Steuerungssystem
DE10065118A1 (de) * 2000-12-28 2002-07-04 Bosch Gmbh Robert System und Verfahren zur Steuerung und/oder Überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbundes
DE10207222A1 (de) * 2002-02-21 2003-10-02 Daimler Chrysler Ag Verfahren und Vorrichtung zum Prozessdatenerfassen

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0825502B1 (de) * 1996-08-13 2002-06-26 Dürr Systems GmbH Steuerungssystem
DE19921065A1 (de) * 1999-05-07 2000-11-09 Bosch Gmbh Robert Verfahren und Vorrichtung zum Betrieb einer Steuereinheit zur Steuerung von Betriebsabläufen in einem Fahrzeug
DE10017543A1 (de) * 2000-04-08 2001-10-11 Bosch Gmbh Robert Verfahren zur Fehlererkennung und Fehlerheilung
DE10065118A1 (de) * 2000-12-28 2002-07-04 Bosch Gmbh Robert System und Verfahren zur Steuerung und/oder Überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbundes
DE10207222A1 (de) * 2002-02-21 2003-10-02 Daimler Chrysler Ag Verfahren und Vorrichtung zum Prozessdatenerfassen

Also Published As

Publication number Publication date
DE10332194A1 (de) 2005-03-24

Similar Documents

Publication Publication Date Title
EP1597643B1 (de) Vorrichtung und verfahren zur modellbasierten on-board-diagnose
EP2210151B1 (de) FELDGERÄT FÜR DIE BESTIMMUNG ODER ÜBERWACHUNG EINER PROZESSGRÖßE IN DER PROZESSAUTOMATISIERUNG
DE10056408C1 (de) Vorrichtung zur Überwachung eines Prozessors
DE102004004572B4 (de) Fehlerdiagnoseverfahren für ein Fahrzeugkommunikationsnetz
WO2010086073A1 (de) Feldgerät zur bestimmung und/oder überwachung einer physikalischen oder chemischen prozessgrösse
EP2394400B1 (de) Konfigurierbare statusverarbeitungseinheit für sensor-aktor-systeme
EP3557598B1 (de) Sicherheitsschalter
DE202006003273U1 (de) Diagnosevorrichtung in einem Fahrzeug für eine funktionsorientierte Diagnose
DE102005034161B3 (de) Elektronische Vorrichtung
DE10332194B4 (de) Verfahren und Vorrichtung zur Fehlerlokalisierung bei vernetzten Steuergeräten
DE10235163A1 (de) Verfahren zur Überwachung wenigstens eines Sensors
DE10307343B4 (de) On-Board-Diagnosevorrichtung und On-Board-Diagnoseverfahren für Kraftfahrzeuge
EP1104365A1 (de) Bussystem in einem fahrzeug und verfahren zur übertragung von nachrichten
DE102008016801A1 (de) Onboard-Fehlerdiagnoseverfahren für Fahrzeuge
EP1850229B1 (de) Vorrichtung und Verfahren zur Überwachung einer Funktionseinheit in einem Fahrzeug
DE10307344B4 (de) Vorrichtung und Verfahren zur dezentralen On-Board-Diagnose für Kraftfahrzeuge
DE10361072A1 (de) Verfahren und Vorrichtung zur Diagnose von Steuergeräten
DE10036391B4 (de) Fahrzeug-Überwachungssystem
EP0694451B1 (de) Fahrzeugsicherungsanordnung
DE102007019846A1 (de) Vorrichtung und Verfahren zur Überwachung einer Funktionseinheit in einem Fahrzeug
DE102009002734A1 (de) Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Prozessautomatisierung
DE10254393A1 (de) Verfahren und Vorrichtung zur Diagnose vernetzter Fahrzeugsysteme
EP2667304B1 (de) Eingang-Ausgangsmodul
EP2667267B1 (de) Analogsignal-Ausgangsschaltung mit einer Anzahl von Analogsignal-Ausgabekanälen
DE10220811B4 (de) Verfahren und Vorrichtung zur Überwachung der Funktionsweise eines Systems

Legal Events

Date Code Title Description
OR8 Request for search as to paragraph 43 lit. 1 sentence 1 patent law
8105 Search report available
8110 Request for examination paragraph 44
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R082 Change of representative

Representative=s name: ,

R020 Patent grant now final

Effective date: 20120630

R071 Expiry of right