DE3926377C2 - Elektronisches Steuergerät für eine Brennkraftmaschine - Google Patents
Elektronisches Steuergerät für eine BrennkraftmaschineInfo
- Publication number
- DE3926377C2 DE3926377C2 DE19893926377 DE3926377A DE3926377C2 DE 3926377 C2 DE3926377 C2 DE 3926377C2 DE 19893926377 DE19893926377 DE 19893926377 DE 3926377 A DE3926377 A DE 3926377A DE 3926377 C2 DE3926377 C2 DE 3926377C2
- Authority
- DE
- Germany
- Prior art keywords
- computer
- output
- signals
- signal
- watchdog circuit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/24—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
- F02D41/26—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
- F02D41/266—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02B—INTERNAL-COMBUSTION PISTON ENGINES; COMBUSTION ENGINES IN GENERAL
- F02B3/00—Engines characterised by air compression and subsequent fuel addition
- F02B3/06—Engines characterised by air compression and subsequent fuel addition with compression ignition
Description
Die Erfindung betrifft ein elektronisches Steuergerät mit mindestens einem Ausgang
zum Ausgeben von digitalen Steuersignalen an mindestens ein steuerbares Bauteil
einer Brennkraftmaschine, z. B. an ein Stellwerk für eine Dieseleinspritzpumpe.
Ein solches elektronisches Steuergerät für eine Brennkraftmaschine ist aus der DE
35 39 407 A1 bekannt. Das dort beschriebene Steuergerät für eine Brennkraftmaschine
weist zwei Rechner auf, der Nebenrechner unterstützt den Hauptrechner beim
ordnungsgemäßen Betrieb maßgeblich bei den Steuerungsaufgaben. Bei einem Defekt
des ersten Rechners übt der zweite Rechner eine Notfunktion aus.
Bei einem Defekt im ersten Rechner wird der zweite Rechner wirksam geschaltet.
Darüber hinaus werden beide Rechner jeweils durch eine Watchdog-Schaltung
überwacht, deren Ausgangssignale logisch mit UND verknüpft werden.
Ferner ist bekannt, daß der Nebenrechner den Hauptrechner mit Hilfe von Daten
überwacht, die über eine Datenleitung zwischen den Rechnern ausgetauscht werden.
Darüber hinaus werden beide Rechner durch eine Überwachungsschaltung (Watchdog)
überwacht, die von beiden Rechnern getriggert wird. Solange mindestens einer
der Rechner das Triggersignal für den Watchdog ausgibt, liefert dieser ein
Durchlaßsignal an ein Sperrglied vor dem Steuerausgang. Sobald am Sperrglied das
Signal vom Watchdog nicht mehr ansteht, gibt das Sperrglied den Pegel logisch "0"
aus. Dieser Pegel entspricht einem Sicherheitspotential, das dafür sorgt, daß das
angesteuerte Brennkraftmaschinen-Bauteil in eine Stellung überführt wird, die dafür
sorgt, daß der Ausfall des Steuergeräts nicht zu einer Gefährdung von Personen führt,
die sich in dem Fahrzeug mit der überwachten Brennkraftmaschine befinden.
Sobald der Nebenrechner feststellt, daß der Hauptrechner ausgefallen ist, gibt er ein
Übernahmesignal aus, das einem Signalausgabemittel anzeigt, daß nun die
Ausgangssignale vom Nebenrechner auf den Steuerausgang gegeben werden sollen.
Problematisch ist, daß der Nebenrechner das Übernahmesignal auch aufgrund einer
Fehlfunktion ausgeben kann. Dann wird das Signal vom Hauptrechner vom
Steuerausgang weggenommen und auf das Signal vom Nebenrechner umgeschaltet,
obwohl dieser fehlerhaft arbeitet.
Es besteht daher grundsätzlich das Problem, ein elektronisches Steuergerät für eine
Brennkraftmaschine mit einem Hauptrechner und einem Nebenrechner anzugeben, das
so ausgestaltet ist, daß die die Zuverlässigkeit der Überwachung dahingehend, daß
nicht erwünschte Ausgangssignale auftreten, verbessert wird.
Die Erfindung betrifft verschiedene Ausgestaltungen elektronischer Steuergeräte mit
besonders hoher Zuverlässigkeit. Alle erfindungsgemäßen Steuergeräte gehören zur
bekannten Gruppe von Steuergeräten für Brennkraftmaschinen mit den folgenden
Merkmalen:
- - einem Hauptrechner,
- - einem Nebenrechner, der den Hauptrechner überwacht und bei Ausfall desselben Notfunktionen ausübt,
- - mindestens einer Watchdog-Schaltung für die Rechner, und
- - einem Signalausgabemittel zum Ausgeben von Signalen mit zwei Pegeln auf jeden Steuerausgang, wobei einer der Pegel ein Sicherheitspotential aufweist, das bei dauerndem Vorhandensein für einen Sicherheits-Betriebszustand der Brennkraftmaschine sorgt.
Von besonderem Vorteil ist es, wenn das Steuergerät über zwei Watchdog-Schaltungen
verfügt, nämlich eine erste Watchdog-Schaltung zum Überwachen der Funktion des
Hauptrechners und eine zweite Watchdog-Schaltung zum Überwachen der Funktion
des Nebenrechners.
Beim Steuergerät gemäß Anspruch 1 ist das Signalausgabemittel so ausgebildet, daß
- - daß es die Ausgangssignale vom Nebenrechner (12) an den jeweils zugehörigen Steuerausgang (16.1, 16.2) gibt, wenn mindestens die Bedingungen erfüllt sind, daß
- - der Nebenrechner ein Übernahmesignal ausgibt und gleichzeitig die wenigstens eine Watchdog-Schaltung meldet, daß der Nebenrechner (12) ordnungsgemäß arbeitet,
- - daß aber grundsätzlich das Sicherheitspotential an jeden Steuerausgang angelegt wird, wenn die wenigstens eine Watchdog-Schaltung (11, 13) den Ausfall des Haupt- und des Nebenrechners (10, 12) melden.
Beim Steuergerät gemäß Anspruch 3 ist das Signalausgabemittel so ausgebildet, daß
- - es die Ausgangssignale vom Nebenrechner dann an den jeweils zugehörigen Steuerausgang (16) gibt, wenn die zweite Watchdog-Schaltung (13) ordnungsgemäßen Betrieb des Nebenrechners meldet und dabei die erste Watchdog-Schaltung den Ausfall des Hauptrechners meldet, oder
- - wenn beide Watchdog-Schaltungen (11, 13) ordnungsgemäßen Betrieb der Rechner melden, der Nebenrechner (12) jedoch fehlerhaften Betrieb des Hauptrechners (10) meldet, aber die Ausgangssignale der beiden Rechner für den Steuerausgang übereinstimmen,
- - daß aber grundsätzlich des Sicherheitspotential an jeden Steuerausgang liegt, wenn beide Watchdogs den Ausfall der überwachten Rechner melden.
Durch diese Maßnahmen ist gewährleistet, daß das Signal vom Nebenrechner nur dann
auf den mindestens einen Steuerausgang gegeben wird, wenn die Wahrscheinlichkeit sehr
hoch ist, daß der Nebenrechner ordnungsgemäß arbeitet, was dadurch angezeigt wird, daß
am Ausgang des zweiten Watchdogs ein entsprechendes Signal ansteht.
Das Steuergerät gemäß Anspruch 1 gibt die Ausgangssignale vom Nebenrechner auch
dann an die Steuerausgänge, wenn nur der Nebenrechner fehlerhaften Betrieb des
Hauptrechners anzeigt, der erste Watchdog aber unverändert ordnungsgemäßen Betrieb
des Hauptrechners meldet. Beim Steuergerät gemäß Anspruch 2 ist das
Signalausgabemittel so weitergebildet, daß es auch im eben genannten Fall das
Sicherheitspotential an jeden Steuerausgang gibt.
Wie aus dem Vorstehenden ersichtlich, ist für die Gesamtfunktion des Steuergeräts die
Funktion der Watchdog-Schaltung entscheidend. Das Steuergerät gemäß Anspruch 4 ist
in vorteilhafter Weise so ausgestaltet, daß die Rechner Überwachungssignale an die
Watchdog-Schaltung geben und sie die Ausgangssignale der Watchdog-Schaltung nach
dem Ausgeben der Überwachungssignale überprüfen. Das Signalausgabemittel legt das
Sicherheitspotential auf die Steuerausgänge, wenn die Überprüfung ergibt, daß die
Watchdog-Schaltung nicht ordnungsgemäß arbeitet. Die Watchdog-Schaltung kann aus
einem gemeinsamen Watchdog für beide Rechner, wie beim Stand der Technik, bestehen,
oder es kann eine Watchdog-Schaltung mit zwei einzelnen Watchdogs sein, wie bei den
Steuergeräten gemäß den Ansprüchen 1-3.
Selbst wenn Fehlfunktionen der Rechner ordnungsgemäß festgestellt werden, besteht
immer noch die Gefahr, daß fehlerhafte Ausgangssignale ausgegeben werden. Um
Fehlfunktionen aufgrund dieser Gefahr auszuschließen, werden beim Steuergerät gemäß
Anspruch 5 die an den Steuerausgängen anliegenden Signale von
mindestens einem der Rechner überprüft, und es wird eine Sicherheits-Steuerung
vorgenommen, wenn festgestellt wird, daß die Werte der überprüften Signale nicht mit
den erwarteten Werten übereinstimmen. Statt der an den Steuerausgängen anliegenden
Signale können auch die Ausgangssignale der Steuerstufen überprüft werden, die von den
Signalen der Steuerausgänge angesteuert werden, was Gegenstand von Anspruch 6 ist.
Die Funktionen zum Überwachen der beiden Rechner sowie die Funktionen zum
Überprüfen der Korrektheit von Ausgangssignalen können einzeln oder gemeinsam
angewendet werden. Von besonderem Vorteil ist es, alle Maßnahmen, die zum Erhöhen
der Sicherheit beitragen, gemeinsam anzuwenden.
Die Erfindung wird im Folgenden anhand von Zeichnungen und Ausführungsbeispielen
näher erläutert; hierbei zeigt:
Fig. 1 Blockschaltbild eines elektronischen Steuergerätes, das so ausgebildet ist, daß
Ausgangssignale von einem Nebenrechner nur dann auf Steuerausgänge
gegeben werden können, wenn ein dem Nebenrechner zugeordneter Watchdog
ordnungsgemäßes Arbeiten des Nebenrechners anzeigt;
Fig. 2 Blockschaltbild eines elektronischen Steuergerätes, das so ausgebildet ist, daß
Ausgangssignale von einem Nebenrechner nur dann auf einen Steuerausgang
gegeben werden können, wenn ein dem Nebenrechner zugeordneter Watchdog
ordnungsgemäßes Arbeiten des Nebenrechners anzeigt und gleichzeitig ein
einem Hauptrechner zugeordneter Watchdog den Ausfall des Hauptrechners
anzeigt;
Fig. 3 Blockschaltbild eines elektronischen Steuergerätes, das so ausgebildet ist, daß
Ausgangssignale von einem
Nebenrechner nur dann an einen Steuerausgang gegeben werden, wenn ein dem
Nebenrechner zugeordneter Watchdog ordnungsgemäßen Betrieb des
Nebenrechners anzeigt und entweder ein einem Hauptrechner zugeordneter
Watchdog den Ausfall des Hauptrechners anzeigt oder wenn der Hauptrechner
jeweils dasselbe Ausgangssignal abgibt wie der Nebenrechner; und
Fig. 4 Blockschaltbild eines elektronischen Steuergerätes, das Ausgangssignale
überwacht, und das ein Sicherheitspotential auf einen Steuerausgang gibt, wenn
festgestellt wird, daß die ermittelten Ausgangssignale nicht mit erwarteten
übereinstimmen.
Die Steuergeräte gemäß allen Fig. 1-4 weisen einen Hauptrechner 10 mit zugehörigem
ersten Watchdog 11, einen Nebenrechner 12 mit zugehörigem zweiten Watchdog 13 und
ein Signalausgabemittel 14 auf, das jeweils unterschiedliche Funktionsgruppen enthält.
Das Signalausgabemittel 14 ist durch eine strichpunktierte Linie angedeutet. Von jedem
der Steuergeräte wird mindestens ein Bauteil einer Brennkraftmaschine angesteuert. Bei
Fig. 1 sind es zwei Bauteile 15.1 und 15.2. Jedes Bauteil erhält ein Steuersignal von
mindestens einem Steuerausgang 16. Das Steuergerät gemäß Fig. 1 weist zwei
Steuerausgänge 16.1 und 16.2 auf. Die Bauteile können Treiberstufen von Stellgliedern
sein, es können aber auch Stellregler sein. Im ersten Fall stellt das ausgegebene
Steuersignal ein Stellsignal dar, während es im zweiten Fall ein Sollwertsignal darstellt.
An unterschiedlichen Steuerausgängen können unterschiedliche Arten von Steuersignalen
ausgegeben werden. Es handelt sich jedoch immer um digitale Signale, also um Signale
mit zwei Pegel. Jedes Bauteil 15 ist so ausgelegt, daß es dann, wenn ein vorgegebener
Pegel dauernd auftritt, einen Zustand einstellt, der für einen solchen Betrieb
der Brennkraftmaschine sorgt, der einen sicheren Betrieb des
Fahrzeugs zur Folge hat, in dem die gesteuerte Brennkraftma
schine angeordnet ist. Das Potential des Pegels, bei dem der
Sicherheitszustand eintritt, wird im folgenden Sicherheitspo
tential genannt. Es kann dies der niedrige oder der hohe Pegel
des digitalen Ausgangssignales sein, je nachdem wie das ange
steuerte Bauteil 15 ausgebildet ist.
Das Signalausgabemittel 14.1 beim Steuergerät gemäß Fig. 1 weist
ein Oder-Glied 17, ein Und-Glied 18, eine Umschalteinrichtung 19
und zwei Sperr-Und-Glieder 20.1 und 20.2 auf. Das Oder-Glied 17
empfängt die Signale vom ersten Watchdog 11 und vom zweiten
Watchdog 13. Sein Ausgangssignal ist ein Eingangssignal für die
Sperr-Und-Glieder 20.1 und 20.2. Das zweite Eingangssignal für
das erste Sperr-Und-Glied 20.1 ist ein erstes Ausgangssignal
HAS.1 vom Hauptrechner. Für das zweite Sperr-Und-Glied 20.2 ist
das zweite Eingangssignal ein zweites Ausgangssignal HAS.2 vom
Hauptrechner 10. Das Ausgangssignal vom ersten Sperr-Und-Glied
20.1 gelangt an den ersten Steuerausgang 16.1. Entsprechend wird
das Ausgangssignal vom zweiten Sperr-Und-Glied 20.2 auf den
zweiten Steuerausgang 16.2 geführt.
Die Sperr-Und-Glieder 20.1 und 20.2 erhalten die Ausgangssig
nale HAS.1 bzw. HAS.2 vom Hauptrechner 10 jedoch nur bei ord
nungsgemäßem Betrieb dieses Rechners. Bei fehlerhaftem Betrieb
schaltet die Umschalteinrichtung 19 um, wodurch die Sperr-Und-
Glieder 20.1 und 20.2 Ausgangssignale NAS.1 bzw. NAS.2 vom Ne
benrechner 12 erhalten. Das Umschalten erfolgt dann, wenn das
Und-Glied 18 ein Ausgangssignal abgibt. Diese Und-Glied 18 er
hält an seinem einen Eingang das Ausgangssignal vom zweiten
Watchdog 13 und an seinem anderen Eingang ein Übernahmesignal
US. Wenn beide Signale hohen Pegel einnehmen, erfolgt das Um
schalten.
Die Verknüpfung der genannten Funktionsteile führt zum folgen
den Ablauf.
Solange mindestens einer der beiden Watchdogs 11 und 13 ord
nungsgemäßen Betrieb eines der beiden Rechner meldet, gibt das
Oder-Glied 17 ein Signal hohen Pegels aus, das die beiden Sperr-
Und-Glieder 20.1 und 20.2 auf Durchlaß schaltet. Diese stellen
an ihrem Ausgang daher dasjenige Signal zur Verfügung, das am
zweiten jeweiligen Eingang ansteht. Bei ordnungsgemäßem Betrieb
ist dies das jeweilige Ausgangssignal HAS.1 bzw. HAS.2 vom
Hauptrechner 10. Fällt dieser jedoch aus, was vom Nebenrechner 12
dadurch festgestellt wird, daß über eine Datenaustauschleitung 21
fehlerhafte Signale oder keine Signale mehr empfangen werden,
erfolgt das beschriebene Umschalten auf die Ausgangssignale
NAS.1 bzw. NAS.2 vom Nebenrechner 12. Dadurch, daß das Und-
Glied 18 in der genannten Beschaltung vorhanden ist, ist sicher
gestellt, daß der Nebenrechner 12 ein Umschalten mit Hilfe des
Übernahmesignales US nur dann vornehmen kann, wenn gleichzeitig
der ihm zugeordnete zweite Watchdog 13 ordnungsgemäßen Betrieb
des Nebenrechners 12 meldet. Bei bisher bekannten Steuergeräten
war es möglich, daß der Nebenrechner aufgrund fehlerhaften Be
triebs annahm, der Hauptrechner sei nicht in Ordnung, woraufhin er
auf sein eigenes fehlerhaftes Ausgangssignal umschaltete. Die
ser Mangel ist beim Steuergerät gemäß Fig. 1 weitgehend behoben.
Noch weitergehend läßt sich der eben genannte Mangel vermeiden,
wenn ein Prinzip angewandt wird, wie es nun mit Hilfe des
Steuergerätes gemäß Fig. 2 erläutert wird. Gemäß diesem Prinzip
wird nämlich das Ausgeben des Signales vom Nebenrechner nicht
nur dann verhindert, wenn dessen Watchdog den Ausfall des Neben
rechners anzeigt, sondern das Ausgeben wird auch dann verhin
dert, wenn der Nebenrechner 12 anzeigt, der Hauptrechner 10 sei
ausgefallen, der dem Hauptrechner zugeordnete erste Watchdog 11
jedoch ordnungsgemäßen Betrieb des Hauptrechners 10 meldet.
Um das eben genannte Prinzip zu realisieren, ist im Signalaus
gabemittel 14.2 im Steuergerät gemäß Fig. 2 zusätzlich zu den
Funktionsgruppen, die das Signalausgabemittel 14.1 gemäß Fig. 1
aufweist, noch ein zweites Und-Glied 22 vorhanden. Diesem, und
nur diesem, werden die Ausgangssignale vom Oder-Glied 17 und
vom Und-Glied 18 zugeführt, letzteres in negierter Form. Die
Eingangssignale für das Oder-Glied 17 und das Und-Glied 18 sind
die ausgehend von Fig. 1 beschriebenen Signale.
Der Einfachheit halber ist in Fig. 2, wie auch in den Fig. 3
und 4, nur jeweils ein Steuerausgang 16 mit angesteuertem Bau
teil 15 dargestellt. Entsprechend gibt der Hauptrechner 10 nur
ein einziges Ausgangssignal HAS und der Nebenrechner 12 nur ein
einziges Ausgangssignal NAS aus. Es würde jedoch am Prinzip der
Steuergeräte nichts ändern, wenn jeder der Rechner mehrere Aus
gangssignale für mehrere Steuerausgänge ausgeben würde.
Der eben genannte Steuerausgang 16 erhält das Ausgangssignal
vom Sperr-Und-Glied 20. Letzterem werden zwei Eingangssignale
zugeführt, und zwar das Ausgangssignal vom zweiten Und-Glied 22
und das Ausgangssignal von der Umschalteinrichtung 19. Diese
Umschalteinrichtung 19 wird bei der Variante gemäß Fig. 2 nicht
mehr mit Hilfe eines Übernahmesignales US vom Nebenrechner 12
umgeschaltet, sondern mit Hilfe des Ausgangssignales vom ersten
Watchdog 11. Sobald dieses Signal auf niedrigen Pegel fällt,
schaltet die Umschalteinrichtung 19 vom Ausgangssignal HAS vom
Hauptrechner 10 auf das Ausgangssignal NAS vom Nebenrechner 12
um.
Die eben beschriebene Ansteuerung der Umschalteinrichtung 19
gewährleistet, daß das Ausgangssignal NAS vom Nebenrechner 12
nicht auf den Steuerausgang 16 gelangen kann, solange der erste
Watchdog 11 ordnungsgemäßen Betrieb des Hauptrechners 10 meldet.
Stellt jedoch der Nebenrechner 12 gleichzeitig fehlerhaften Be
trieb des Hauptrechners fest und gibt daher das Übernahmesig
nal US an das Und-Glied 18 aus, führt dies bei der oben genann
ten Schaltung dazu, daß das vom zweiten Und-Glied 22 an das
Sperr-Und-Glied 20 ausgegebene Signal auf niedrigen Pegel fällt,
weswegen das Sperr-Und-Glied 20 ein Dauersignal mit niedrigem
Pegel auf den Steuerausgang 16 gibt. Dies wird erreicht,
indem das Umschaltsignal US mit dem Watchdogsignal 13 im
UND-Glied 18 verknüpft und invertiert auf den zweiten Eingang
des zweiten UND-gliedes geführt wird.
Bei der Schaltung gemäß Fig. 2 sperrt das Sperr-Und-Glied 20
also dann, wenn entweder die Signale von den beiden Watchdogs 11
und 13 ausfallen (niedriger Pegel am einen Eingang des zweiten
Und-Gliedes 22) oder wenn der Nebenrechner 12 das Übernahme
signal US ausgibt und sein Watchdog 13 ordnungsgemäßen
Betrieb des Hauptrechners 12 meldet (niedriger Pegel am
anderen Eingang des zweiten UND-gliedes 22). Auf das Ausgangs
signal NAS vom Nebenrechner 12 wird nur dann umgeschaltet, wenn
der erste Watchdog 11 den Ausfall des Hauptrechners 10 meldet.
Das Steuergerät gemäß Fig. 3 ist eine Variante des Gerätes gemäß
Fig. 2, und zwar dahingehend, daß in demjenigen Fall, in dem
der Nebenrechner 12 Ausfall, der erste Watchdog 11 jedoch ord
nungsgemäßen Betrieb des Hauptrechners 10 meldet, nicht grund
sätzlich dauernd das Sicherheitspotential an den Steuerausgang
gegeben wird, sondern daß dann noch mit digitalen Signalen ge
steuert wird, wenn die Ausgangssignale HAS vom Hauptrechner 10
und NAS vom Nebenrechner 12 übereinstimmen. Weiterhin ist das
Ausführungsbeispiel dahingehend gegenüber dem von Fig. 2 va
riiert, daß keine Umschalteinrichtung 19 mehr vorhanden ist,
sondern daß durch mehrere logische Funktionen gewährleistet
wird, daß entweder das Ausgangssignal HAS vom Hauptrechner 10
oder das Ausgangssignal NAS vom Nebenrechner 12 auf den Steuer
ausgang 16 gelangt, oder beide Signale dorthin gelangen, näm
lich unter der im vorigen Absatz genannten Bedingung.
Das Signalausgabemittel 14.3 im Steuergerät gemäß Fig. 3 weist
ein Haupt-Und-Glied 24.1, ein Neben-Und-Glied 24.2, ein Signal-
Oder-Glied 25.1 und ein Sperr-Oder-Glied 25.2 auf. Letzteres erhält als
Eingangssignale die Ausgangssignale von den Oder-Gliedern 25.1
und 25.2. Dem Signal-Oder-Glied 25.1 werden die Ausgangssignale
von den beiden genannten Und-Gliedern 24.1 und 24.2 als Ein
gangssignale zugeführt. Das Sperr-Oder-Glied 25.2 erhält als
Eingangssignale die Ausgangssignale von den beiden Watchdogs
11 und 13. Das Ausgangssignal vom ersten Watchdog 11 gelangt
darüber hinaus als Eingangssignal an das Haupt-Und-Glied 24.1.
Entsprechend wird dem Neben-Und-Glied 24.2 als ein Eingangs
signal das Ausgangssignal vom zweiten Watchdog 13 zugeführt.
Das zweite Eingangssignal für das Haupt-Und-Glied 24.1 ist das
Ausgangssignal HAS vom Hauptrechner 10, während das zweite Ein
gangssignal für das Neben-Und-Glied 24.2 das Ausgangssignal NAS
vom Nebenrechner 12 ist.
Die Funktion des so aufgebauten Steuergerätes sei hier nochmals
kurz zusammengefaßt: Melden sowohl der erste Watchdog 11 wie
auch der Nebenrechner 12 ordnungsgemäßen Betrieb des Hauptrech
ners 10, gelangt dessen Ausgangssignal HAS an den Steueraus
gang 16. Melden sowohl der ersten Watchdog 11 wie auch der Ne
benrechner 12 Ausfall des Hauptrechners 10, gelangt das Aus
gangssignal NAS vom Nebenrechner 12 an den Steuerausgang 16.
Melden beide Watchdogs 11 und 13 den Ausfall der zugehörigen
Rechner 10 bzw. 12, liegt dauernd das Sicherheitspotential am
Steuerausgang 16. Stellt schließlich der Nebenrechner 12 fehler
haften Betrieb des Hauptrechners 10 fest, meldet jedoch der
Watchdog 11 ordnungsgemäßen Betrieb des Hauptrechners 10, ge
langt nur dann ein digitales Ausgangssignal an den Steueraus
gang 16, wenn die Ausgangssignale HAS und NAS der beiden Rech
ner 10 und 12 übereinstimmen. Andernfalls liegt das Sicherheits
potential an.
Aus der vorstehenden Beschreibung ist ersichtlich, daß es für
die erwünschte Betriebssicherheit darauf ankommt, daß die Watch
dogs 11 und 13 ordnungsgemäß arbeiten. Um deren einwandfreie
Funktion zu überprüfen, ist das Steuergerät in der Variante
gemäß Fig. 4 so ausgestaltet, daß das Ausgangssignal vom ersten
Watchdog 11 in den Hauptrechner 10 und das Ausgangssignal vom
zweiten Watchdog 13 in den Nebenrechner 12 rückgeführt ist. In
einem Prüfprogramm läßt der Hauptrechner 10 ein Triggersignal
für den ersten Watchdog 11 ausfallen und überprüft, ob dann
dessen Ausgangssignal auf niedrigen Pegel fällt. Ist dies nicht
der Fall, zeigt dies fehlerhaften Betrieb des ersten Watchdogs
11 an, woraufhin der Hauptrechner 10 ein Notlaufsignal NLS.H
an das Signalausgabemittel 14 ausgibt. Der Aufbau dieses Sig
nalausgabemittels 14 ist in Fig. 4 nicht dargestellt. Es arbei
tet vorzugsweise nach einem der anhand der Fig. 1-3 erläuter
ten Prinzipien. Auf das Notlaufsignal NLS.H hin, gibt das Sig
nalausgabemittel 14 entweder das Sicherheitspotential an den
Steuerausgang 16 oder es gibt ein solches digitales Signal aus,
das zu einem stark eingeschränkten Fahrbetrieb führt. Dadurch
wird der Fahrzeugführer veranlaßt, eine Werkstatt aufzusuchen,
um das Steuergerät reparieren zu lassen.
Entsprechend wie der Hauptrechner 10 den ersten Watchdog 11
überprüft und bei Ausfall desselben ein Notlaufsignal NLS.H
ausgibt, überprüft der Nebenrechner 12 den zweiten Watchdog 13
und gibt im Fehlerfall ein Notlaufsignal NLS.N aus.
Die eben genannte Überprüfung kann auch dann stattfinden, wenn
keine zwei gesonderten Watchdogs vorhanden sind, sondern beide
Rechner einen gemeinsamen Watchdog triggern. Der Hauptrechner 10
meldet dann dem Nebenrechner 12 über die Datenaustauschleitung
21, daß die Triggersignale ausgesetzt werden sollen. Dann über
prüft einer der Rechner, ob das Ausgangssignal vom Watchdog
abfällt. Ist dies der Fall, werden Notlaufmaßnahmen ergriffen.
Aus der vorstehenden Beschreibung ist ersichtlich, daß die ver
schiedenen Ausführungsformen der Signalausgabemittel alle dazu
dienen, sicheren Betrieb einzustellen, wenn einer der Rechner
ausfällt. Diesem Bestreben kann jedoch dann der Erfolg versagt
sein, wenn das Signalausgabemittel selbst fehlerhaft arbeitet,
oder wenn das angesteuerte Bauteil 15 das empfangene Signal
falsch verarbeitet. Um auch in bezug auf derartige Fehler die
Betriebssicherheit zu erhöhen, ist das Steuergerät gemäß Fig. 4
so ausgebildet, daß das Ausgangssignal vom Steuerausgang 16 so
wohl auf den Hauptrechner 10 wie auf den Nebenrechner 12 rück
geführt ist. Jeder der Rechner kann dann überprüfen, ob das am
Steuerausgang 16 auftretende Signal mit dem erwarteten Signal
übereinstimmt. Entsprechend kann das Ausgangssignal vom Bauteil 15
auf die beiden Rechner rückgeführt und mit einem erwarteten Sig
nal verglichen werden. Wenn sich bei einem der Vergleiche ein Feh
ler ergibt, wird ein Sperrsignal SPS.H oder ein Sperrsignal
SPS. N vom Hauptrechner 10 bzw. vom Nebenrechner 12 ausgegeben.
Diese Signale gelangen auf einen dem Bauteil 15 nachgeschalte
ten Sicherheitsschalter 26, der Massepotential oder ein anderes
für den jeweiligen Anwendungsfall geeignetes Sicherheitspoten
tial auf die Ausgangsleitung legt. Alternativ zum nachgeschalteten Sicher
heitsschalter 26 kann der sichere Zustand auch durch einen in Fig. 4 nicht
dargestellten, parallel zum Ausgang 16 mit Bauteil 15 arbeitenden zweiten
Eingriff über einen weiteren Ausgang erfolgen, wie z. B. in Fig. 1 dargestellt.
Die anhand von Fig. 4 erläuterten Sicherungsmaßnahmen werden
vorteilhafterweise gemeinsam eingesetzt, können jedoch auch
einzeln verwendet werden. Von ganz besonderem Vorteil ist es,
die anhand von Fig. 4 erläuterten Maßnahmen mit solchen zusam
men einzusetzen, wie sie anhand von Fig. 2 oder von Fig. 3 be
schrieben wurden.
Claims (6)
1. Elektronisches Steuergerät für eine Brennkraftmaschine,
mit einem Hauptrechner (10),
einem Nebenrechner (12), der den Hauptrechner überwacht und bei Ausfall desselben Notfunktionen ausübt,
wenigstens einer Watchdog-Schaltung (11, 13) für die Rechner und
einem Signalausgabemittel (14; 14.1; 14.2; 14.3) zum Ausgeben von Signalen mit zwei Pegeln auf mindestens einen Steuerausgang (16; 16.1; 16.2), wobei einem der Pegel ein Sicherheitspotential zugeordnet ist, das bei dauerndem Vorhandensein für einen Sicherheits-Betriebszustand der Brennkraftmaschine sorgt,
wobei die wenigstens eine Watchdog-Schaltung die Funktion des Hauptrechners (10) und die Funktion des Nebenrechners (10) überwacht, dadurch gekennzeichnet,
daß das Signalausgabemittel (14.1) so ausgebildet ist, daß es die Ausgangssignale vom Nebenrechner (12) an den jeweils zugehörigen Steuerausgang (16.1, 16.2) gibt, wenn mindestens die Bedingungen erfüllt sind, daß
der Nebenrechner ein Übernahmesignal ausgibt und gleichzeitig die wenigstens eine Watchdog-Schaltung meldet, daß der Nebenrechner (12) ordnungsgemäß arbeitet,
daß aber grundsätzlich das Sicherheitspotential an jeden Steuerausgang angelegt wird, wenn die wenigstens eine Watchdog-Schaltung (11, 13) den Ausfall des Haupt- und des Nebenrechners (10, 12) melden.
mit einem Hauptrechner (10),
einem Nebenrechner (12), der den Hauptrechner überwacht und bei Ausfall desselben Notfunktionen ausübt,
wenigstens einer Watchdog-Schaltung (11, 13) für die Rechner und
einem Signalausgabemittel (14; 14.1; 14.2; 14.3) zum Ausgeben von Signalen mit zwei Pegeln auf mindestens einen Steuerausgang (16; 16.1; 16.2), wobei einem der Pegel ein Sicherheitspotential zugeordnet ist, das bei dauerndem Vorhandensein für einen Sicherheits-Betriebszustand der Brennkraftmaschine sorgt,
wobei die wenigstens eine Watchdog-Schaltung die Funktion des Hauptrechners (10) und die Funktion des Nebenrechners (10) überwacht, dadurch gekennzeichnet,
daß das Signalausgabemittel (14.1) so ausgebildet ist, daß es die Ausgangssignale vom Nebenrechner (12) an den jeweils zugehörigen Steuerausgang (16.1, 16.2) gibt, wenn mindestens die Bedingungen erfüllt sind, daß
der Nebenrechner ein Übernahmesignal ausgibt und gleichzeitig die wenigstens eine Watchdog-Schaltung meldet, daß der Nebenrechner (12) ordnungsgemäß arbeitet,
daß aber grundsätzlich das Sicherheitspotential an jeden Steuerausgang angelegt wird, wenn die wenigstens eine Watchdog-Schaltung (11, 13) den Ausfall des Haupt- und des Nebenrechners (10, 12) melden.
2. Elektronisches Steuergerät nach Anspruch 1, dadurch gekennzeichnet,
daß das Signalausgabemittel (14.2) so weitergebildet ist,
daß es die Ausgangssignale vom Nebenrechner (12) nur dann an den jeweils zugehörigen Steuerausgang (16) gibt, wenn die Bedingung erfüllt ist, daß die wenigstens eine Watchdog-Schaltung den Ausfall des Hauptrechners (10) meldet, und
das Sicherheitspotential auch dann an jeden Steuerausgang anlegt, wenn die wenigstens eine Watchdog-Schaltung (11, 13) ordnungsgemäßen Betrieb der Rechner melden, aber der Nebenrechner (12) fehlerhaften Betrieb des Hauptrechners (10) meldet.
daß das Signalausgabemittel (14.2) so weitergebildet ist,
daß es die Ausgangssignale vom Nebenrechner (12) nur dann an den jeweils zugehörigen Steuerausgang (16) gibt, wenn die Bedingung erfüllt ist, daß die wenigstens eine Watchdog-Schaltung den Ausfall des Hauptrechners (10) meldet, und
das Sicherheitspotential auch dann an jeden Steuerausgang anlegt, wenn die wenigstens eine Watchdog-Schaltung (11, 13) ordnungsgemäßen Betrieb der Rechner melden, aber der Nebenrechner (12) fehlerhaften Betrieb des Hauptrechners (10) meldet.
3. Elektronisches Steuergerät für eine Brennkraftmaschine,
mit einem Hauptrechner (10),
einem Nebenrechner (12), der den Hauptrechner überwacht und bei Ausfall desselben Notfunktionen ausübt,
wenigstens einer Watchdog-Schaltung (11, 13) für die Rechner und
einem Signalausgabemittel (14; 14.1; 14.2; 14.3) zum Ausgeben von Signalen mit zwei Pegeln auf mindestens einen Steuerausgang (16; 16.1; 16.2), wobei einem der Pegel ein Sicherheitspotential zugeordnet ist, das bei dauerndem Vorhandensein für einen Sicherheits-Betriebszustand der Brennkraftmaschine sorgt,
daß eine erste Watchdog-Schaltung (11) zum Überwachen der Funktion des Hauptrechners (10) vorhanden ist,
eine zweite Watchdog-Schaltung (13) zum Überwachen der Funktion des Nebenrechners (12) vorhanden ist, dadurch gekennzeichnet, daß
das Signalausgabemittel (14.3) so ausgebildet ist, daß es die Ausgangssignale vom Nebenrechner dann an den jeweils zugehörigen Steuerausgang (16) gibt, wenn die zweite Watchdog-Schaltung (13) ordnungsgemäßen Betrieb des Nebenrechners meldet und dabei die erste Watchdog-Schaltung den Ausfall des Hauptrechners meldet, oder
wenn beide Watchdog-Schaltungen (11, 13) ordnungsgemäßen Betrieb der Rechner melden, der Nebenrechner (12) jedoch fehlerhaften Betrieb des Hauptrechners (10) meldet, aber die Ausgangssignale der beiden Rechner für den Steuerausgang übereinstimmen,
daß aber grundsätzlich des Sicherheitspotential an jeden Steuerausgang liegt, wenn beide Watchdogs den Ausfall der überwachten Rechner melden.
mit einem Hauptrechner (10),
einem Nebenrechner (12), der den Hauptrechner überwacht und bei Ausfall desselben Notfunktionen ausübt,
wenigstens einer Watchdog-Schaltung (11, 13) für die Rechner und
einem Signalausgabemittel (14; 14.1; 14.2; 14.3) zum Ausgeben von Signalen mit zwei Pegeln auf mindestens einen Steuerausgang (16; 16.1; 16.2), wobei einem der Pegel ein Sicherheitspotential zugeordnet ist, das bei dauerndem Vorhandensein für einen Sicherheits-Betriebszustand der Brennkraftmaschine sorgt,
daß eine erste Watchdog-Schaltung (11) zum Überwachen der Funktion des Hauptrechners (10) vorhanden ist,
eine zweite Watchdog-Schaltung (13) zum Überwachen der Funktion des Nebenrechners (12) vorhanden ist, dadurch gekennzeichnet, daß
das Signalausgabemittel (14.3) so ausgebildet ist, daß es die Ausgangssignale vom Nebenrechner dann an den jeweils zugehörigen Steuerausgang (16) gibt, wenn die zweite Watchdog-Schaltung (13) ordnungsgemäßen Betrieb des Nebenrechners meldet und dabei die erste Watchdog-Schaltung den Ausfall des Hauptrechners meldet, oder
wenn beide Watchdog-Schaltungen (11, 13) ordnungsgemäßen Betrieb der Rechner melden, der Nebenrechner (12) jedoch fehlerhaften Betrieb des Hauptrechners (10) meldet, aber die Ausgangssignale der beiden Rechner für den Steuerausgang übereinstimmen,
daß aber grundsätzlich des Sicherheitspotential an jeden Steuerausgang liegt, wenn beide Watchdogs den Ausfall der überwachten Rechner melden.
4. Elektronisches Steuergerät nach einem der vorstehenden Ansprüche, dadurch
gekennzeichnet, daß die Rechner (10, 12) Überwachungssignale an die Watchdog-
Schaltung (11, 13) geben und die Ausgangssignale der Watchdog-Schalung nach
dem Ausgeben der Überwachungssignale überprüfen, und der
Hauptrechner (10) oder der Nebenrechner (12) dann das Sicherheitspotential
ausgeben, wenn die Überprüfung ergibt, daß die zum jeweiligen Rechner
gehörende Watchdog-Schaltung nicht ordnungsgemäß arbeitet.
5. Elektronisches Steuergerät nach einem der vorhergehenden Ansprüche dadurch
gekennzeichnet, daß die an den Steuerausgängen (16) anliegenden Signale von
mindestens einem der Rechner (10, 12) überprüft werden, und eine Sicherheits-
Steuerung vorgenommen wird, wenn festgestellt wird, daß die Werte der
überprüften Signale nicht mit den erwarteten Werten übereinstimmen.
6. Elektronisches Steuergerät nach einem der vorstehenden Ansprüche, dadurch
gekennzeichnet, daß die Ausgangssignale angesteuerter Bauteile (15) von
mindestens einem der Rechner (10, 12) überprüft werden, welche Bauteile von
den Signalen am jeweils zugehörigen Steuerausgang (16) angesteuert werden,
und eine Sicherheits-Steuerung vorgenommen wird, wenn festgestellt wird, daß
die Werte der überprüften Signale nicht mit den erwarteten Werten
übereinstimmen.
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE19893926377 DE3926377C2 (de) | 1989-08-04 | 1989-08-04 | Elektronisches Steuergerät für eine Brennkraftmaschine |
| JP2187347A JP2877912B2 (ja) | 1989-08-04 | 1990-07-17 | 内燃機関の電子制御装置 |
| JP10290228A JP2983532B2 (ja) | 1989-08-04 | 1998-10-13 | 内燃機関の電子制御装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE19893926377 DE3926377C2 (de) | 1989-08-04 | 1989-08-04 | Elektronisches Steuergerät für eine Brennkraftmaschine |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| DE3926377A1 DE3926377A1 (de) | 1991-02-07 |
| DE3926377C2 true DE3926377C2 (de) | 2003-03-06 |
Family
ID=6386823
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DE19893926377 Expired - Lifetime DE3926377C2 (de) | 1989-08-04 | 1989-08-04 | Elektronisches Steuergerät für eine Brennkraftmaschine |
Country Status (2)
| Country | Link |
|---|---|
| JP (2) | JP2877912B2 (de) |
| DE (1) | DE3926377C2 (de) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102013201702A1 (de) | 2013-02-01 | 2014-08-07 | Mtu Friedrichshafen Gmbh | Verfahren und Anordnung zur Steuerung einer Brennkraftmaschine |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE4113959A1 (de) * | 1991-04-29 | 1992-11-05 | Kloeckner Humboldt Deutz Ag | Ueberwachungseinrichtung |
| JPH06185442A (ja) * | 1992-12-22 | 1994-07-05 | Fujitsu Ten Ltd | 内燃機関の点火時期制御装置 |
| DE19919504B4 (de) * | 1999-04-29 | 2005-10-20 | Mtu Aero Engines Gmbh | Triebwerksregler, Triebwerk und Verfahren zum Regeln eines Triebwerks |
| JP2003049875A (ja) * | 2001-08-07 | 2003-02-21 | Denso Corp | 発電機及び車載機器駆動用の車両用電磁クラッチ装置 |
| JP3967599B2 (ja) * | 2002-01-28 | 2007-08-29 | 株式会社デンソー | 車両用電子制御装置 |
| JP2003333675A (ja) | 2002-05-14 | 2003-11-21 | Hitachi Ltd | 通信系制御装置およびそれの異常監視方法 |
| DE10252990B3 (de) | 2002-11-14 | 2004-04-15 | Siemens Ag | Steuereinheit zur Auslösung eines Insassenschutzmittels in einem Kraftfahrzeug und Verfahren zur Überwachung der ordnungsgemäßen Funktion einer vorzugsweise solchen Steuereinheit |
| JP5589635B2 (ja) * | 2010-07-20 | 2014-09-17 | いすゞ自動車株式会社 | カムレスエンジン弁開閉制御装置 |
| JP5246230B2 (ja) * | 2010-09-13 | 2013-07-24 | 株式会社デンソー | 車両用電子制御装置 |
| CN103913988B (zh) * | 2014-04-04 | 2016-04-13 | 中国海洋石油总公司 | 一种电流模拟量信号分配器 |
| JP6647188B2 (ja) * | 2016-11-14 | 2020-02-14 | 日立オートモティブシステムズ株式会社 | 変速機制御装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3322240A1 (de) * | 1982-07-23 | 1984-01-26 | Robert Bosch Gmbh, 7000 Stuttgart | Sicherheits-notlaufeinrichtung fuer den leerlaufbetrieb von kraftfahrzeugen |
| DE3539407A1 (de) * | 1985-11-07 | 1987-05-14 | Bosch Gmbh Robert | Rechnersystem mit zwei prozessoren |
-
1989
- 1989-08-04 DE DE19893926377 patent/DE3926377C2/de not_active Expired - Lifetime
-
1990
- 1990-07-17 JP JP2187347A patent/JP2877912B2/ja not_active Expired - Lifetime
-
1998
- 1998-10-13 JP JP10290228A patent/JP2983532B2/ja not_active Expired - Lifetime
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3322240A1 (de) * | 1982-07-23 | 1984-01-26 | Robert Bosch Gmbh, 7000 Stuttgart | Sicherheits-notlaufeinrichtung fuer den leerlaufbetrieb von kraftfahrzeugen |
| DE3539407A1 (de) * | 1985-11-07 | 1987-05-14 | Bosch Gmbh Robert | Rechnersystem mit zwei prozessoren |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102013201702A1 (de) | 2013-02-01 | 2014-08-07 | Mtu Friedrichshafen Gmbh | Verfahren und Anordnung zur Steuerung einer Brennkraftmaschine |
| DE102013201702B4 (de) | 2013-02-01 | 2014-11-27 | Mtu Friedrichshafen Gmbh | Verfahren und Anordnung zur Steuerung einer Brennkraftmaschine |
| DE102013201702C5 (de) * | 2013-02-01 | 2017-03-23 | Mtu Friedrichshafen Gmbh | Verfahren und Anordnung zur Steuerung einer Brennkraftmaschine |
| US9719452B2 (en) | 2013-02-01 | 2017-08-01 | Mtu Friedrichshafen Gmbh | Method and arrangement for controlling an internal combustion engine, comprising at least two control units |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2983532B2 (ja) | 1999-11-29 |
| JPH11190251A (ja) | 1999-07-13 |
| JP2877912B2 (ja) | 1999-04-05 |
| DE3926377A1 (de) | 1991-02-07 |
| JPH0370837A (ja) | 1991-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE4039355C2 (de) | Vorrichtung zur Funktionsüberprüfung einer Watchdog-Schaltung | |
| EP0512240B1 (de) | System zur Steuerung eines Kraftfahrzeuges | |
| DE3926377C2 (de) | Elektronisches Steuergerät für eine Brennkraftmaschine | |
| EP1092177B1 (de) | Regler bzw. triebwerksregler, triebwerk und verfahren zum regeln eines stell- oder antriebssystems bzw. eines triebwerks | |
| DE19509150C2 (de) | Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage | |
| DE4441070C2 (de) | Sicherheitsschalteranordnung | |
| DE102016220197A1 (de) | Verfahren zum Verarbeiten von Daten für ein automatisiertes Fahrzeug | |
| DE3514079C2 (de) | Ausfallsicherungsschaltung | |
| WO1996020103A1 (de) | Verfahren und schaltungsanordnung zur überwachung der funktion einer programmgesteuerten schaltung | |
| DE4134396C2 (de) | Sicheres Automatisierungssystem | |
| DE4113959A1 (de) | Ueberwachungseinrichtung | |
| WO2008014940A1 (de) | Steuergerät und verfahren zur steuerung von funktionen | |
| EP0596297B1 (de) | Verfahren und Vorrichtung zur Überprüfung einer Überwachungseinheit von Motorsteuersystem | |
| EP1740815A1 (de) | Elektronische steuereinrichtung und verfahren zur steuerung des betriebs von kraftfahrzeugkomponenten | |
| WO2000020969A1 (de) | Verfahren und vorrichtung zur synchronisation und überprüfung von prozessor und überwachungsschaltung | |
| DE102006001805A1 (de) | Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung | |
| WO1998000782A1 (de) | Vorrichtung zum betreiben von zwei funktionsmässig parallelgeschalteten prozessoren | |
| DE3108871A1 (de) | Einrichtung zur funktionspruefung eines mehrrechnersystems | |
| DE10238547A1 (de) | Steuersystem und Verfahren zur Fehlerbehebung in elektronischen Einheiten oder Teilnetzen | |
| DE3531901C2 (de) | ||
| DE3739227C2 (de) | ||
| WO2004043737A2 (de) | Steuereinheit zur auslösung eines insassenschutzmittels in einem kraftfahrzeug und verfahren zur überwachung der ordnungsgemässen funktion einer vorzugsweise solchen steuereinheit | |
| DE3920696A1 (de) | Mikroprozessor-schaltungsanordnung mit watchdog-schaltung | |
| EP0508081A2 (de) | Schaltungsanordnung und Verfahren zum Überwachen eines brennstoffbeheizten Gerätes | |
| DE10032216A1 (de) | Sicherheitssystem in einem Kraftfahrzeug und Verfahren |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 8110 | Request for examination paragraph 44 | ||
| 8304 | Grant after examination procedure | ||
| 8364 | No opposition during term of opposition | ||
| 8320 | Willingness to grant licenses declared (paragraph 23) |