DE19509150A1 - Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen - Google Patents
Verfahren zum Steuern und Regeln von Fahrzeug-BremsanlagenInfo
- Publication number
- DE19509150A1 DE19509150A1 DE1995109150 DE19509150A DE19509150A1 DE 19509150 A1 DE19509150 A1 DE 19509150A1 DE 1995109150 DE1995109150 DE 1995109150 DE 19509150 A DE19509150 A DE 19509150A DE 19509150 A1 DE19509150 A1 DE 19509150A1
- Authority
- DE
- Germany
- Prior art keywords
- circuit
- brake
- control unit
- data
- comparator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 17
- 230000001105 regulatory effect Effects 0.000 claims abstract description 10
- 230000001276 controlling effect Effects 0.000 claims description 6
- 230000002950 deficient Effects 0.000 claims description 4
- 238000012544 monitoring process Methods 0.000 claims description 4
- 238000001514 detection method Methods 0.000 claims description 2
- 230000000977 initiatory effect Effects 0.000 claims 2
- 230000015572 biosynthetic process Effects 0.000 claims 1
- 101100346932 Mus musculus Muc1 gene Proteins 0.000 abstract 1
- 238000009434 installation Methods 0.000 abstract 1
- 230000009347 mechanical transmission Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 210000000056 organ Anatomy 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T8/00—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
- B60T8/32—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
- B60T8/88—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
- B60T8/885—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T17/00—Component parts, details, or accessories of power brake systems not covered by groups B60T8/00, B60T13/00 or B60T15/00, or presenting other characteristic features
- B60T17/18—Safety devices; Monitoring
- B60T17/22—Devices for monitoring or checking brake systems; Signal devices
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T2270/00—Further aspects of brake control systems not otherwise provided for
- B60T2270/40—Failsafe aspects of brake control systems
- B60T2270/413—Plausibility monitoring, cross check, redundancy
Landscapes
- Engineering & Computer Science (AREA)
- Transportation (AREA)
- Mechanical Engineering (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Hardware Redundancy (AREA)
- Safety Devices In Control Systems (AREA)
Description
Die Erfindung betrifft ein Verfahren zum Steuern bzw.
Regeln von Fahrzeug-Bremsanlagen mit mindestens zwei
Bremskreisen K1 und K2, die jeweils über eine voneinander
unabhängige mikroprozessorgesteuerte Steuer-/Regeleinheit
µC1 bzw. µC2 verfügen, und mit einer weiteren
mikroprozessorgesteuerten Steuer-/Regeleinheit µC3 als
Kontrollrechner.
Darüber hinaus betrifft die Erfindung eine Bremsanlage für
Fahrzeuge zur Durchführung des Verfahrens gemäß dem
Oberbegriff des Anspruchs 5.
In der Vergangenheit bestanden die Verbindungselemente
zwischen Fahrzeugführer und Fahrzeug im wesentlichen aus
mechanischen Übertragungsmitteln. Diese bisherigen
mechanischen Übertragungsmittel werden zunehmend durch
elektrische und sogenannte intelligente Steuer- und
Regelorgane ergänzt oder sogar völlig ersetzt.
Mit der fortschreitenden Entlastung des Fahrzeugführers
durch neue elektronische Regel-Systeme erhöht sich die
Fahrsicherheit nur dann, wenn auch die Zuverlässigkeit der
elektronischen Funktionen entsprechend gesteigert wird.
Dies gilt insbesondere für elektronisch-geregelte
Bremssysteme.
Zwar muß nicht jede Einschränkung an Zuverlässigkeit zu
einem Sicherheitsrisiko führen, d. h. nicht jeder Ausfall
führt zu einer Gefährdung. Bei der Entwicklung zukünftiger
Bremselektronik gilt es aber, die bisherigen
Sicherheitsstandards einzuhalten oder gar zu übertreffen.
Ein wegen erhöhter Kompliziertheit der Elektronik erhöhtes
Ausfallrisiko muß durch redundante Maßnahmen zu einem Mehr
an Sicherheit führen.
Bei der Zuverlässigkeit kann man grundsätzlich zwischen
sicherheitsrelevanter und nicht sicherheitsrelevanter
Zuverlässigkeit unterscheiden. Ein Mangel an
sicherheitsrelevanter Zuverlässigkeit kann stets zu
gefährlichen Systemfunktionen führen.
Eine anzustrebende Erhöhung der Sicherheit kann sowohl
durch eine allgemeine Erhöhung der Zuverlässigkeit (z. B.
der zu verwendenden elektrischen und sonstigen Bauelemente)
als auch durch Redundanzen erfolgen. Bei letzteren geht man
von der realistischen Erkenntnis aus, daß die
Zuverlässigkeit der Bauelemente nicht beliebig gesteigert
werden kann.
Bei einer Bremsanlage ist Redundanz durch den Einsatz eines
zweiten Bremskreises gegeben. Durch die Verwendung des
zweiten Bremskreises erhöht sich zunächst einmal die
Wahrscheinlichkeit, daß ein Kreis ausfällt, d. h. die
Zuverlässigkeit wird geringer. Andererseits ist aber die
Wahrscheinlichkeit, daß beide Bremskreise gleichzeitig
versagen und so ein gefährlicher Ausfall entstehen kann,
beträchtlich reduziert.
Durch eine Vergrößerung der Redundanz kann deshalb die
Sicherheit wirksam erhöht werden. Die Erhöhung der
Redundanz ist inzwischen ein unverzichtbares
Sicherheitsmerkmal geworden.
Allerdings kann die Redundanz aus Kostengründen nicht
beliebig weit getrieben werden.
Eine Möglichkeit, die Redundanz zu erhöhen, besteht in der
Einführung von "Software-Redundanz". Hierbei wird mit Hilfe
mehr oder weniger aufwendiger Selbsttestprogramme eine
Ausfallerkennung betrieben. Mit derartigen Programmen
können Soll-Ist-Vergleiche durchgeführt und bei Abweichung
von vorgegebenen Sollwerten kann u. U. ein Notlaufprogramm
in Gang gesetzt werden.
Bei Vorgängen, bei denen kein Sollwert gegeben ist und
somit auch kein Soll-Ist-Vergleich durchgeführt werden
kann, wäre eine zweite Rechnereinheit, bzw. eine zweite
Software erforderlich, um mit Hilfe eines Vergleichs
zwischen den beiden Ausgangsdaten Abweichungen der
Ausgangsdaten voneinander feststellen zu können. Da bei
einer Differenz, d. h. bei einem Fehler in der Elektronik,
die Bremsanlage nicht einfach abgeschaltet werden darf,
wäre es erforderlich, mit Hilfe einer dritten
Rechnereinheit, bzw. mit einem dritten Softwareprogramm
festzustellen, welche Rechnereinheit, bzw. welches
Softwareprogramm unzuverlässig, d. h. fehlerhaft gearbeitet
hat. Dabei würde die dritte Einheit entweder als
übergeordnete Entscheidungseinheit oder nach dem
demokratischen Prinzip als "Mehrheitsbeschaffer" fungieren.
Bei einem zweikreisigen Bremssystem wären bei dem hier
skizzierten Beispiel insgesamt sechs
Mikroprozessoreinheiten erforderlich. Durch derartige
Sicherheitsmaßnahmen würde sich der Aufwand an
Mikroprozessoren insgesamt verdreifachen.
Aufgabe der Erfindung ist es, die Sicherheit von
elektrisch/elektronisch geregelten Bremskreisen mittels
Redundanzen zu vertretbaren Kosten zu erhöhen.
Sicherheitsanforderungen, die über das von ABS bekannte Maß
hinausgehen, sollen mit neuartigen Rechnerstrukturen
erreicht werden.
Im Hinblick auf das eingangs genannte Verfahren wird diese
Aufgabe durch den kennzeichnenden Teil des Patentanspruchs
1 gelöst. Bezüglich der Bremsanlage zur Durchführung dieses
Verfahrens ist die entsprechende Lösung mit Anspruch 5
gegeben. Weitere vorteilhafte Merkmale ergeben sich aus den
Unteransprüchen.
Durch die erfindungsgemäße Anordnung wird es erstmals
möglich, die Anzahl der für die Bremssteuerung/Regelung
erforderlichen Prozessoren gering zu halten. Mit dem hier
realisierten Fail-active-Prinzip ist ein System gegeben,
welches - ausgehend von einem sicheren Zustand - aus einer
redundanten Anordnung von Prozessoren besteht, die sich
selbst überprüfen und regeln können.
Eine Fail-safe-Struktur kann hingegen lediglich einen
Fehler feststellen und abschalten. Ein typisches
Anwendungsbeispiel für eine Fail-safe-Struktur ist ein
Antiblockiersystem. Der sichere Zustand eines defekten
Antiblockiersystems ist der abgeschaltete Zustand. D. h.:
das System wird lahmgelegt; die ungeregelte Bremsfunktion
bleibt erhalten.
Die Bremse an sich hat aber keinen sicheren Zustand. Ein
sicherer Zustand ist weder "Bremse abschalten!" noch
"Vollbremsung einleiten!". D. h.: die Bremse ist ein
System, welches "fail-active" benötigt, denn die Bremse an
sich ist kein Hilfssystem, wie z. B. das ABS.
Wie eingangs erwähnt, benötigt man für die Realisierung von
"fail-active" jeweils drei Prozessoren. Deren drei
Ergebnisse werden miteinander verglichen. Dabei können
immer zwei Prozessoren mit ihren Ergebnissen den dritten
übereinstimmen.
Der Gesetzgeber verlangt, jeweils mindestens zwei
unabhängige Bremskreise vorzusehen. Zur Realisierung von
"fail-active" benötigt man dafür bisher mindestens sechs
Prozessoren. Erfindungsgemäß wird nun eine Struktur
gebildet, wobei die Hauptsteuer-/Regeleinheiten von nur
einer einzigen Kontrolleinheit überwacht werden.
Damit diese Kontrolleinheit fähig ist, beide Einheiten in
Echtzeit intermittierend zu überwachen, wird in der
Kontrolleinheit mit einfacheren Algorithmen gearbeitet, was
mit gewissen Toleranzen vertretbar ist. Bei der Kontrolle
ist es ausreichend zu prüfen, ob der Zielbereich stimmt. Es
kann nicht überprüft werden, ob die Ergebnisse 100%ig
identisch sind, wie es bei symmetrischer Redundanz erfolgen
würde. Deshalb wird ein Toleranzbereich vorgegeben, in
welchem Übereinstimmung unterstellt wird.
Überschreitet die Abweichung den vorgegebenen
Toleranzbereich, so wird auf einen Fehler im betreffenden
System geschlossen. In diesem Fall wird ein
Datenübertragungskanal geöffnet, der dem anderen Kreis
Daten zuspielt.
Da es sich um digitale Informationen handelt, können die
beiden Kreise galvanisch voneinander getrennt bleiben.
Insofern ist die getrennte Kreisigkeit der Bremsanlage
gewährleistet. Eine elektrische Wirkverbindung besteht
nicht; es werden lediglich Informationen ausgetauscht.
Durch das erfindungsgemäße Verfahren wird der intakte
Prozessor dem anderen Kreis zur Verfügung gestellt. Und
sobald der intakte Prozessor nicht voll ausgelastet ist,
kann er die vom defekten Kreis übertragenen Informationen
verarbeiten und an den defekten Kreis und dem zugehörigen
Komparator zwecks Mehrheitsentscheid zurückübertragen. Auf
diese Weise kann entschieden werden, welcher der beiden
Prozessoren (Haupt- oder Kontroll-Prozessor) defekt ist. In
Anbetracht dieser Kenntnisse braucht der diesbezügliche
Kreis nicht abgeschaltet zu werden, sondern er kann auf der
Basis der Grundfunktionen weiterarbeiten.
Dieses erfinderische Prinzip ist auf alle Bremsaufgaben
inclusive ABS - anwendbar. Die Stromversorgung der Steuer-/
Regeleinheiten kann galvanisch getrennt sein. Vorzugsweise
ist die Stromversorgung der Kontrolleinheit einem
Hauptkreis zugeordnet.
Insgesamt ergibt sich ein einfacher Aufbau mit Fail-active
Verhalten. Die vom Gesetzgeber geforderte Zweikreisigkeit
bleibt voll erhalten. Somit können hohe
Sicherheitsanforderungen erfüllt werden. Dadurch, daß
Haupt- und Kontroll-Prozessoren einen unterschiedlichen
Aufbau aufweisen, wird die Betriebssicherheit gesteigert.
Im folgenden wird das erfindungsgemäße Verfahren und die
zur Durchführung des Verfahrens vorgesehene Steuer-/
Regeleinrichtung anhand des in Fig. 1 dargestellten
Blockschaltbildes beschrieben.
Bei einer Bremsanlage sind aus Sicherheitsgründen stets
mindestens zwei voneinander unabhängig funktionierende
Bremskreise (K1) 2 und (K2) 4 vorzusehen. Diese voneinander
unabhängigen funktionierenden Bremskreise (K1) 2 und (K2) 4
können mit Hilfe der mikroprozessorgesteuerten Steuer-/
Regeleinheiten (µC1) 6 und (µC2) 8 voneinander unabhängig
gesteuert bzw. geregelt werden.
Außer den beiden mikroprozessorgesteuerten Steuer-/
Regeleinheiten (µC1) 6 und (µC2) 8, die jeweils den
einzelnen Kreisen (K1) 2 und (K2) 4 zugeordnet sind, gibt
es noch eine weitere mikroprozessorgesteuerte Steuer-/
Regeleinheit (µC3) 10 als Kontrollrechner. Diese weitere
Einheit (µC3) 10 steht sowohl mit der Einheit (µC1) 6 des
Kreises (K1) 2 als auch mit der Einheit (µC2) 8 des Kreises
(K2) 4 in Wirkverbindung.
Trotz der Verknüpfung der beiden Steuer-/Regeleinheiten
(µC1) 6 und (µC2) 8 über den gemeinsamen Kontrollrechner
(µC3) 10 bleiben die beiden Bremskreise (K1) 2 und (K2) 4
voneinander unabhängig.
Die weitere Einheit (µC3) 10, die nach dem Verfahren der
sogenannten asymmetrischen Redundanz (Redundanz durch zwei
ungleiche Zweige) die beiden Kreise (K1) 2 und (K2) 4
überwacht, wird herangezogen, um eine Fail-safe-Struktur zu
erreichen. Zu diesem Zweck erhält die weitere Einheit (µC3)
10 die Eingangsdaten 16 und 18 der beiden Kreise (K1) 2 und
(K2) 4 und berechnet intermittierend die zugehörigen
Ausgangsdaten 22 und 26.
Da die Ausgangsdaten 20 und 24 der beiden Kreise (K1) 2 und
(K2) 4 in Echtzeit überwacht werden sollen, müßte der
gemeinsame Kontrollrechner (µC3) 10 über die doppelte
Rechnerkapazität verfügen. Um dies zu vermeiden, wird
erfindungsgemäß vorgeschlagen, daß im angesprochenen
Kontrollrechner (µC3) 10 lediglich vereinfachte Algorithmen
ablaufen. So kann die Kapazität des Kontrollrechners 10 in
vertretbaren Grenzen gehalten werden.
Zusätzlich zu den mikroprozessorgesteuerten Steuer-/
Regeleinheiten (µC1) 6 bzw. (µC2) 8 erhält jeder Kreis
(K2) 2 bzw. (K2) 4 einen Baustein "Komparator+Mehrheitsentscheid"
12 bzw. 14 zum Vergleich der
Ausgangsdaten 22 des Kontrollrechners (µC3) 10 bezüglich
des Kreises (K1) 2 mit den Ausgangsdaten 20 der Einheit
(µC1) 6, bzw. zum Vergleich der Ausgangsdaten 26 des
Kontrollrechners (µC3) 10 bezüglich des Kreises (K2) 4 mit
den Ausgangsdaten 24 der Einheit (µC2) 8.
Durch die Verwendung vereinfachter Algorithmen im
Kontrollrechner (µC3) 10 kann es vorkommen, daß die
Ausgangsdaten 22 bezüglich des Kreises (K1) 2 bzw. die
Ausgangsdaten 26 bezüglich des Kreises (K2) 4 in gewissem
Maße von den Ausgangsdaten 20 bzw. 24 der Haupteinheiten
(µC1) 6 bzw. (µC2) 8 abweichen. Überschreitet die vom
jeweiligen Baustein "Komparator+Mehrheitsentscheid" 12
bzw. 14 festgestellte Abweichung einen bestimmten
vorgegebenen Vertrauensbereich, so liegt in dem
betreffenden Kreis (K1) 2 bzw. (K2) 4 ein Fehler vor. Bei
Kenntnis eines derartig festgestellten Systemfehlers können
erste Schritte (z. B. Start eines Notlaufprogramms)
eingeleitet werden. Abschaltung eines Kreises (K1) 2 oder
(K2) 4 sollte an einem solchen sicherheitsrelevanten
Bauteil wie der Bremse jedoch möglichst nicht erfolgen.
Erfindungsgemäß wird in einem solchen Fall eine Fail-active-Struktur
gebildet, in der das Bremssystem im
gestörten Kreis (K1) 2 bzw. (K2) 4 aktiv bleiben kann und
per Mehrheitsentscheid geführt wird. Dazu wird im
Fehlerfall vom zugeordneten Baustein "Komparator+
Mehrheitsentscheid" 12 bzw. 14 eine elektrische Verbindung
(Gate 1) 28 bzw. (Gate 2) 30 geöffnet, über welche die
Eingangsdaten 16 bzw. 18 dem Prozessor (µC2) 8 bzw. (µC1) 6
des störungsfreien Kreises (K2) 4 bzw. (K1) 2 auf einer
niedrigen Prioritätsstufe 34 bzw. 32 zur Verfügung
gestellt werden.
Die niedrigere Priorität ist derart ausgebildet, daß der
funktionsfähige Kreis (K2) 4 bzw. (K1) 2 durch die
zusätzlichen Daten 34 bzw. 32 nicht gestört wird und seine
Leistungsfähigkeit voll erhalten bleibt. In einer Periode,
in der der Prozessor (µC2) 8 bzw. (µC1) 6 jedoch ansonsten
nicht voll ausgelastet wäre, werden die Daten 34 bzw. 32
verarbeitet und wieder dem Baustein "Komparator+
Mehrheitsentscheid" 12 bzw. 14 des fehlerhaften Kreises
(K1) 2 bzw. (K2) 4 übermittelt. Der Baustein "Komparator+
Mehrheitsentscheid" 12 bzw. 14 kann nun nicht nur per
Mehrheitsentscheid wieder aktiv arbeiten, sondern kann
darüber hinaus auch den fehlerhaften Zweig erkennen.
Daraus leitet sich eine Fail-active-Struktur ab, womit die
Systemfunktion sowohl bei Ausfall eines Prozessors (µC1) 6
bzw. (µC2) 8 als auch bei Ausfall des Prozessors (µC3) in
zwei getrennte Kreisen (K1) 2 bzw. (K2) 4 per
Mehrheitsentscheid des Bausteins 12 bzw. 14
aufrechterhalten werden kann.
Bezugszeichenliste
2 Bremskreis K1
4 Bremskreis K2
6 mikroprozessorgesteuerte Steuer-/Regeleinheit µC1
8 mikroprozessorgesteuerte Steuer-/Regeleinheit µC2
10 mikroprozessorgesteuerte Steuer-/Regeleinheit µC3
als Kontrollrechner
12 Baustein "Komparator+Mehrheitsentscheid"
14 Baustein "Komparator+Mehrheitsentscheid"
16 Eingangsdaten des Kreises K1
18 Eingangsdaten des Kreises K2
20 Ausgangsdaten der Einheit µC1
22 Ausgangsdaten des Kontrollrechners µC3 bezüglich des Kreises K1
24 Ausgangsdaten der Einheit µC2
26 Ausgangsdaten des Kontrollrechners µC3 bezüglich des Kreises K2
28 Elektrische Verbindung (Gate 1)
30 Elektrische Verbindung (Gate 2)
32 Eingangsdaten des Kreises K1 auf einer niedrigeren Prioritätsstufe
34 Eingangsdaten des Kreises K2 auf einer niedrigeren Prioritätsstufe
36 von Prozessor µC2 auf einer niedrigeren Prioritätsstufe verarbeitete Daten des Kreises K1
38 von Prozessor µC1 auf einer niedrigeren Prioritätsstufe verarbeitete Daten des Kreises K2
4 Bremskreis K2
6 mikroprozessorgesteuerte Steuer-/Regeleinheit µC1
8 mikroprozessorgesteuerte Steuer-/Regeleinheit µC2
10 mikroprozessorgesteuerte Steuer-/Regeleinheit µC3
als Kontrollrechner
12 Baustein "Komparator+Mehrheitsentscheid"
14 Baustein "Komparator+Mehrheitsentscheid"
16 Eingangsdaten des Kreises K1
18 Eingangsdaten des Kreises K2
20 Ausgangsdaten der Einheit µC1
22 Ausgangsdaten des Kontrollrechners µC3 bezüglich des Kreises K1
24 Ausgangsdaten der Einheit µC2
26 Ausgangsdaten des Kontrollrechners µC3 bezüglich des Kreises K2
28 Elektrische Verbindung (Gate 1)
30 Elektrische Verbindung (Gate 2)
32 Eingangsdaten des Kreises K1 auf einer niedrigeren Prioritätsstufe
34 Eingangsdaten des Kreises K2 auf einer niedrigeren Prioritätsstufe
36 von Prozessor µC2 auf einer niedrigeren Prioritätsstufe verarbeitete Daten des Kreises K1
38 von Prozessor µC1 auf einer niedrigeren Prioritätsstufe verarbeitete Daten des Kreises K2
Claims (9)
1. Verfahren zum Steuern bzw. Regeln von Fahrzeug-
Bremsanlagen
mit mindestens zwei Bremskreisen K1 (2) und K2 (4),
die jeweils über eine voneinander unabhängige
mikroprozessor gesteuerte Steuer-/Regleinheit µC1 (6) und
µC2 (8) verfügen, und
mit einer weiteren mikroprozessorgesteuerten Steuer- /Regeleinheit µC3 (10) als Kontrollrechner,
dadurch gekennzeichnet
mit einer weiteren mikroprozessorgesteuerten Steuer- /Regeleinheit µC3 (10) als Kontrollrechner,
dadurch gekennzeichnet
- - daß die weitere mikroprozessorgesteuerte Steuer-/Regeleinheit µC3 (10) die beiden Steuer-/Regeleinheiten µC1 (6) und µC2 (8) überwacht, wozu sie wechselweise die Eingangsdaten (16) bzw. (18) der Kreise K1 (2) und K2 (4) erhält und intermittierend die Ausgangsdaten (22) und (26) bezüglich der Kreise K1 (2) und K2 (4) berechnet,
- - daß jeweils in einem Baustein "Komparator+Mehrheitsentscheid" (12) bzw. (14) die Ausgangsdaten (20) bzw. (24) der Einheit µC1 (6) bzw. µC2 (8) mit den Ausgangsdaten (22) bzw. (26) des Kontrollrechners µC3 (10) bezüglich des Kreises K1 (2) bzw. K2 (4) verglichen werden, und
- - daß - falls der jeweilige Baustein "Komparator+Mehrheitsentscheid" (12) bzw. (14) ein Überschreiten einer vorgegebenen Abweichung feststellen sollte und somit ein Systemfehler vorläge - bei Kenntnis eines solchen vorliegenden Systemfehlers Maßnahmen eingeleitet werden können (z. B. Einleitung eines Notlaufprogramms), wobei eine Abschaltung eines Bremskreises K1 (2) bzw. K2 (4) vermieden werden sollte.
2. Verfahren zum Steuern und Regeln nach Anspruch 1,
dadurch gekennzeichnet,
daß im Fall der Feststellung einer unerlaubten Abweichung
eine Fail-active-Struktur gebildet wird,
in der das Bremssystem des gestörten Kreises K1 (2) bzw. K2
(4) aktiv bleiben kann und durch Mehrheitsentscheid geführt
wird,
wozu im Fehlerfall mittels des zugehörigen Komparators (12)
bzw. (14) eine elektrische Verbindung (Gate 1, 28) bzw.
(Gate 2, 30) geöffnet wird,
über welche dem Prozessor µC2 (8) bzw. µC1 (6) des
störungsfreien Kreises K2 (4) bzw. K1 (2) die Eingangsdaten
auf einer niedrigen Prioritätsstufe (32) bzw. (34) zur
Verfügung gestellt werden.
3. Verfahren zum Steuern und Regeln nach Anspruch 2,
dadurch gekennzeichnet,
daß die niedrige Priorität derart ausgebildet ist,
daß der funktionsfähige Kreis K2 (4) bzw. K1 (2) durch die
zusätzlichen Daten ungestört und mit voller
Leistungsfähigkeit erhalten bleibt,
jedoch in Perioden, in welchen die Abarbeitung der Daten
nicht die Funktion des intakten Bremskreises
beeinträchtigt, die Daten verarbeitet und wieder dem
Baustein "Komparator+Mehrheitsentscheid (12) bzw. (14)
des fehlerhaften Kreises K1 (2) bzw. K2 (4) übermittelt
werden, wodurch der Komparator (12) bzw. (14) nicht nur per
Mehrheitsentscheid wieder aktiv arbeiten sondern
gleichzeitig den fehlerhaften Prozessor als fehlerhaft
erkennen kann.
4. Verfahren zum Steuern und Regeln nach einem der
vorhergehenden Ansprüche,
dadurch gekennzeichnet,
daß in dem Kontrollrechner µC3 (10) zwecks Überwachung in
Echtzeit vereinfachte Algorithmen ablaufen.
5. Bremsanlage für Fahrzeuge zur Durchführung des
Verfahrens zum Steuern und Regeln nach einem der
vorhergehenden Ansprüche,
mit mindestens zwei Bremskreisen K1 (2) und K2 (4),
die jeweils über eine voneinander unabhängige
mikroprozessorgesteuerte Steuer-/Regeleinheit µC1 (6) und
µC2 (8) verfügen, und
mit einer weiteren mikroprozessorgesteuerten Steuer-/ Regeleinheit µC3 (10) als Kontrollrechner, wobei die weitere Steuer-/Regeleinheit µC3 (10) den Steuer-/ Regeleinheiten µC1 (6) und µC2 (8) der Bremskreise K1 (2) und K2 (4) zur Überwachung und Beeinflussung zugeordnet ist, gekennzeichnet durch jeweils einen Baustein "Komparator+Mehrheitsentscheid" (12) bzw. (14), die den Bremskreisen K1 (2) und K2 (4) - zwecks Vergleich des Resultats des Kontrollrechners µC3 (10) mit dem der jeweiligen Steuer-/Regeleinheit µC1 (6) bzw. µC2 (8) - zugeordnet sind.
mit einer weiteren mikroprozessorgesteuerten Steuer-/ Regeleinheit µC3 (10) als Kontrollrechner, wobei die weitere Steuer-/Regeleinheit µC3 (10) den Steuer-/ Regeleinheiten µC1 (6) und µC2 (8) der Bremskreise K1 (2) und K2 (4) zur Überwachung und Beeinflussung zugeordnet ist, gekennzeichnet durch jeweils einen Baustein "Komparator+Mehrheitsentscheid" (12) bzw. (14), die den Bremskreisen K1 (2) und K2 (4) - zwecks Vergleich des Resultats des Kontrollrechners µC3 (10) mit dem der jeweiligen Steuer-/Regeleinheit µC1 (6) bzw. µC2 (8) - zugeordnet sind.
6. Bremsanlage nach Anspruch 5,
dadurch gekennzeichnet,
daß der Kontrollrechner µC3 (10) zwecks Überwachung der
Steuer-/Regeleinheiten µC1 (6) und µC2 (8) in Echtzeit
lediglich über vereinfachte Algorithmen verfügt.
7. Bremsanlage nach Anspruch 5 oder 6,
gekennzeichnet durch
Mittel zur Einleitung von Maßnahmen bei Überschreiten einer
vorgegebenen Abweichung der Resultate voneinander (z. B.
Einleitung eines Notlaufprogramms).
8. Bremsanlage nach einem der vorhergehenden Ansprüche 5-7,
gekennzeichnet durch
Bildung einer Fail-active-Struktur, in der das Bremssystem
des gestörten Kreises K1 (2) bzw. K2 (4) aktiv bleiben
kann,
wobei es durch Mehrheitsentscheid führbar ist,
indem im Fehlerfall über den Komparator (12) bzw. (14) eine
elektrische Verbindung (Gate 1 bzw. 2) (28) bzw. (30) vom
Eingang des defekten Kreises K1 (2) bzw. K2 (4) zu dem
anderen Kreis K2 (4) bzw. K1 (2) herstellbar ist, über den
die Eingangsdaten des gestörten Kreises K1 (2) bzw. K2 (4)
dem Prozessor der störungsfrei arbeitenden Steuer-/
Regeleinheit µC2 (8) bzw. µC1 (6) auf einer niedrigeren
Prioritätsstufe (32) bzw. (34) verfügbar sind.
9. Bremsanlage nach Anspruch 8,
dadurch gekennzeichnet,
daß die niedrigere Priorität (32) bzw. (34) derartig
ausgebildet ist, daß der funktionsfähige Kreis K2 (4) bzw.
K1 (2) trotz der zuätzlichen Daten ungestört und seine
volle Leistungsfähigkeit erhalten bleibt, jedoch in
Perioden, in welchen die Abarbeitung der Daten keine
Beeinträchtigung der Funktion darstellt, können die Daten
(32) bzw. (34) verarbeitet werden und die auf einer
niedrigeren Prioritätsstufe verarbeiteten Daten (36)
bzw. (38) sind wieder dem Baustein (12) bzw. (14) des
fehlerhaften Kreises K1 (2) bzw. K2 (4) übermittelbar,
wodurch der Komparator (12) bzw. (14) nicht nur per
Mehrheitsentscheid wieder aktiv arbeiten
sondern gleichzeitig den fehlerhaften Kreis K1 (2) bzw. K2
(4) als fehlerhaft erkennen kann.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE1995109150 DE19509150C2 (de) | 1995-03-14 | 1995-03-14 | Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE1995109150 DE19509150C2 (de) | 1995-03-14 | 1995-03-14 | Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| DE19509150A1 true DE19509150A1 (de) | 1996-09-19 |
| DE19509150C2 DE19509150C2 (de) | 2003-03-27 |
Family
ID=7756616
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DE1995109150 Expired - Lifetime DE19509150C2 (de) | 1995-03-14 | 1995-03-14 | Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage |
Country Status (1)
| Country | Link |
|---|---|
| DE (1) | DE19509150C2 (de) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19640148A1 (de) * | 1996-09-28 | 1998-04-02 | Wabco Gmbh | Elektronisches Bremssystem für Radfahrzeuge |
| DE19716197A1 (de) * | 1997-04-18 | 1998-10-22 | Itt Mfg Enterprises Inc | Mikroprozessorsystem für sicherheitskritische Regelungen |
| DE19717686A1 (de) * | 1997-04-28 | 1998-10-29 | Itt Mfg Enterprises Inc | Schaltungsanordnung für ein Kraftfahrzeug-Regelungssystem |
| DE19829126A1 (de) * | 1997-11-22 | 1999-05-27 | Itt Mfg Enterprises Inc | Elektromechanisches Bremssystem |
| EP0919892A2 (de) * | 1997-11-26 | 1999-06-02 | Fanuc Ltd | Steuerung für industrielle Maschine |
| WO2000005116A1 (en) * | 1998-07-20 | 2000-02-03 | Motorola Limited | Fault-tolerant electronic braking system |
| EP0985907A2 (de) * | 1998-09-08 | 2000-03-15 | Continental Aktiengesellschaft | Sicherheitsrelevantes System, insbesondere elektromechanisches Bremssystem |
| DE19548392C2 (de) * | 1995-12-22 | 2001-05-17 | Siemens Ag | Bremsanlage für ein Kraftfahrzeug |
| US6275752B1 (en) | 1997-05-16 | 2001-08-14 | Continental Teves Ag & Co., Ohg | Microprocessor system for automobile control systems |
| US6502019B1 (en) | 1998-01-07 | 2002-12-31 | Continental Teves Ag & Co., Ohg | Electronic digital device employing fault detection |
| DE19732764B4 (de) * | 1997-07-30 | 2004-04-29 | Rheinmetall Landsysteme Gmbh | Übertragungseinrichtung für Steuersignale, insbesondere in Fahrzeugen |
| WO2004098967A2 (de) * | 2003-05-08 | 2004-11-18 | Knorr-Bremse Systeme für Nutzfahrzeuge GmbH | Bermsanlage für fahrzeuge, insbesondere nutzfahrzeuge mit mindestens zwei separaten elektronischen bremssteuerkreisen |
| FR2882716A1 (fr) * | 2005-03-03 | 2006-09-08 | Renault Sas | Procede et dispositif de commande d'un systeme de freinage a commande electrique |
| DE102006024522A1 (de) * | 2006-05-23 | 2007-11-29 | Behr Gmbh & Co. Kg | Kühlsystem |
| EP1972513A1 (de) * | 2007-03-21 | 2008-09-24 | Delphi Technologies, Inc. | Elektromechanisches Bremssystem eines Fahrzeugs |
| EP1670668B2 (de) † | 2003-09-29 | 2019-07-31 | Haldex Brake Products AB | Steuernetz für bremssystem |
| GB2609567B (en) * | 2017-06-29 | 2023-05-24 | Ipgate Ag | Device for a hydraulic actuating system |
| DE112015006400B4 (de) | 2015-03-30 | 2024-02-29 | Mitsubishi Electric Corporation | Schienenfahrzeugbremssystem |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108749581B (zh) * | 2018-05-11 | 2019-06-14 | 北京理工大学 | 一种纯电动无人车的紧急制动电路系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3234637A1 (de) * | 1982-09-18 | 1984-03-22 | Alfred Teves Gmbh, 6000 Frankfurt | Verfahren und schaltungsanordnung zur steuerung einer bremsschlupfregelanlage |
| US5458404A (en) * | 1991-11-12 | 1995-10-17 | Itt Automotive Europe Gmbh | Redundant wheel sensor signal processing in both controller and monitoring circuits |
-
1995
- 1995-03-14 DE DE1995109150 patent/DE19509150C2/de not_active Expired - Lifetime
Cited By (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19548392C2 (de) * | 1995-12-22 | 2001-05-17 | Siemens Ag | Bremsanlage für ein Kraftfahrzeug |
| DE19640148A1 (de) * | 1996-09-28 | 1998-04-02 | Wabco Gmbh | Elektronisches Bremssystem für Radfahrzeuge |
| DE19716197A1 (de) * | 1997-04-18 | 1998-10-22 | Itt Mfg Enterprises Inc | Mikroprozessorsystem für sicherheitskritische Regelungen |
| US6823251B1 (en) | 1997-04-18 | 2004-11-23 | Continental Teves Ag & Co., Ohg | Microprocessor system for safety-critical control systems |
| WO1998049038A1 (de) * | 1997-04-28 | 1998-11-05 | Continental Teves Ag & Co. Ohg | Schaltungsanordnung für ein kraftfahrzeug-regelungssystem |
| DE19717686A1 (de) * | 1997-04-28 | 1998-10-29 | Itt Mfg Enterprises Inc | Schaltungsanordnung für ein Kraftfahrzeug-Regelungssystem |
| US6410993B1 (en) | 1997-04-28 | 2002-06-25 | Continental Teves Ag & Co., Ohg | Circuit configuration for a motor vehicle control system |
| US6275752B1 (en) | 1997-05-16 | 2001-08-14 | Continental Teves Ag & Co., Ohg | Microprocessor system for automobile control systems |
| DE19732764B4 (de) * | 1997-07-30 | 2004-04-29 | Rheinmetall Landsysteme Gmbh | Übertragungseinrichtung für Steuersignale, insbesondere in Fahrzeugen |
| DE19829126A1 (de) * | 1997-11-22 | 1999-05-27 | Itt Mfg Enterprises Inc | Elektromechanisches Bremssystem |
| EP0919892A2 (de) * | 1997-11-26 | 1999-06-02 | Fanuc Ltd | Steuerung für industrielle Maschine |
| EP0919892A3 (de) * | 1997-11-26 | 2000-09-20 | Fanuc Ltd | Steuerung für industrielle Maschine |
| US6526324B1 (en) | 1997-11-26 | 2003-02-25 | Fanuc Ltd. | Controller for industrial machine |
| US6502019B1 (en) | 1998-01-07 | 2002-12-31 | Continental Teves Ag & Co., Ohg | Electronic digital device employing fault detection |
| WO2000005116A1 (en) * | 1998-07-20 | 2000-02-03 | Motorola Limited | Fault-tolerant electronic braking system |
| EP0985907A2 (de) * | 1998-09-08 | 2000-03-15 | Continental Aktiengesellschaft | Sicherheitsrelevantes System, insbesondere elektromechanisches Bremssystem |
| DE19840944B4 (de) * | 1998-09-08 | 2004-10-21 | Continental Teves Ag & Co. Ohg | Sicherheitsrelevantes System, insbesondere elektromechanisches Bremssystem |
| EP0985907A3 (de) * | 1998-09-08 | 2005-01-05 | Continental Teves AG & Co. oHG | Sicherheitsrelevantes System, insbesondere elektromechanisches Bremssystem |
| WO2004098967A2 (de) * | 2003-05-08 | 2004-11-18 | Knorr-Bremse Systeme für Nutzfahrzeuge GmbH | Bermsanlage für fahrzeuge, insbesondere nutzfahrzeuge mit mindestens zwei separaten elektronischen bremssteuerkreisen |
| WO2004098967A3 (de) * | 2003-05-08 | 2005-02-24 | Knorr Bremse Systeme | Bermsanlage für fahrzeuge, insbesondere nutzfahrzeuge mit mindestens zwei separaten elektronischen bremssteuerkreisen |
| CN100413739C (zh) * | 2003-05-08 | 2008-08-27 | 克诺尔商用车制动系统有限公司 | 用于汽车的制动装置 |
| US7866761B2 (en) | 2003-05-08 | 2011-01-11 | Knorr-Bremse Systeme Fur Nutzfahrzeuge Gmbh | Braking system for vehicles, in particular utility vehicles, comprising at least two separate electronic braking control circuits |
| EP1670668B2 (de) † | 2003-09-29 | 2019-07-31 | Haldex Brake Products AB | Steuernetz für bremssystem |
| FR2882716A1 (fr) * | 2005-03-03 | 2006-09-08 | Renault Sas | Procede et dispositif de commande d'un systeme de freinage a commande electrique |
| DE102006024522A1 (de) * | 2006-05-23 | 2007-11-29 | Behr Gmbh & Co. Kg | Kühlsystem |
| EP1972513A1 (de) * | 2007-03-21 | 2008-09-24 | Delphi Technologies, Inc. | Elektromechanisches Bremssystem eines Fahrzeugs |
| DE112015006400B4 (de) | 2015-03-30 | 2024-02-29 | Mitsubishi Electric Corporation | Schienenfahrzeugbremssystem |
| GB2609567B (en) * | 2017-06-29 | 2023-05-24 | Ipgate Ag | Device for a hydraulic actuating system |
Also Published As
| Publication number | Publication date |
|---|---|
| DE19509150C2 (de) | 2003-03-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE19509150C2 (de) | Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage | |
| EP0243728B1 (de) | Sicherheitssystem für eine Druckmaschine | |
| DE4334260C2 (de) | Steuervorrichtung für ein Fahrzeug mit einer Antiblockier-Bremseinrichtung und einer Servolenkeinrichtung | |
| DE10223880B4 (de) | Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems | |
| EP0742500A2 (de) | Sichere Tipptasten- und Schalterfunktionen mit Fehleraufdeckung | |
| EP1673667A1 (de) | Integriertes mikroprozessorsystem für sicherheitskritische regelungen | |
| EP1040028A1 (de) | Verfahren zur fehlererkennung von mikroprozessoren in steuergeräten eines kfz | |
| EP1989470B1 (de) | Sicherheitskonzept für eine getriebestellvorrichtung | |
| EP1092177A1 (de) | Regler bzw. triebwerksregler, triebwerk und verfahren zum regeln eines stell- oder antriebssystems bzw. eines triebwerks | |
| DE19500188B4 (de) | Schaltungsanordnung für eine Bremsanlage | |
| DE102005023296B4 (de) | Zugbeeinflussungssystem | |
| DE4446314A1 (de) | Verfahren und Schaltungsanordnung zur Überwachung der Funktion einer programmgesteuerten Schaltung | |
| EP3338189A2 (de) | Verfahren zum betrieb eines mehrkernprozessors | |
| DE3926377C2 (de) | Elektronisches Steuergerät für eine Brennkraftmaschine | |
| EP1128241B1 (de) | Verfahren und Vorrichtung zur Sicherheitsüberwachung einer Steuereinrichtung | |
| EP1205373B1 (de) | Steuerungssystem für ein Stellglied in einem Kraftfahrzeug | |
| EP2228723A1 (de) | Verfahren zur Fehlerbehandlung eines Rechnersystems | |
| EP1649373A2 (de) | Verfahren und vorrichtung zur berwachung eines verteilten s ystems | |
| DE102017110753A1 (de) | Vorrichtung zum fehlertoleranten Betrieb eines technischen Systems | |
| EP0404992B1 (de) | Verfahren zum hochverfügbaren Betrieb von redundanten Datenverarbeitungsanlagen | |
| WO2011113405A1 (de) | Steuergeräteanordnung | |
| DE10344070B4 (de) | Antriebsmodul für eine Druckmaschine | |
| DE102017212560A1 (de) | Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion | |
| DE19545645A1 (de) | Sicherheitskonzept für Steuereinheiten | |
| DD231869A5 (de) | Signaltechnisch sichere datenverarbeitungseinrichtung |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 8110 | Request for examination paragraph 44 | ||
| 8127 | New person/name/address of the applicant |
Owner name: CONTINENTAL TEVES AG & CO. OHG, 60488 FRANKFURT, D |
|
| 8304 | Grant after examination procedure | ||
| 8364 | No opposition during term of opposition | ||
| R120 | Application withdrawn or ip right abandoned | ||
| R120 | Application withdrawn or ip right abandoned |
Effective date: 20130705 |