DE69737308T2 - Fehlertolerantes kraftfahrzeugsteuerungssystem - Google Patents

Fehlertolerantes kraftfahrzeugsteuerungssystem

Info

Publication number
DE69737308T2
DE69737308T2 DE1997637308 DE69737308T DE69737308T2 DE 69737308 T2 DE69737308 T2 DE 69737308T2 DE 1997637308 DE1997637308 DE 1997637308 DE 69737308 T DE69737308 T DE 69737308T DE 69737308 T2 DE69737308 T2 DE 69737308T2
Authority
DE
Grant status
Grant
Patent type
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE1997637308
Other languages
English (en)
Other versions
DE69737308D1 (de )
Inventor
W. Lawrence Bellevue LEE
William Redmond WONG
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Grant date

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2035Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant without idle spare hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2028Failover techniques eliminating a faulty processor or activating a spare
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/03Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for supply of electrical power to vehicle subsystems or for
    • B60R16/0315Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for supply of electrical power to vehicle subsystems or for using multiplexing techniques
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0297Control Giving priority to different actuators or systems

Description

  • [0001]
    Die Erfindung betrifft ein fehlertolerantes Kraftfahrzeugsteuerungssystem, ein Kraftfahrzeug mit einem derartigen System, ein Verfahren zum Betreiben eines Kraftfahrzeugsteuerungssystems und einen zum Durchführen der Schritte des Verfahrens programmierter Computer.
  • HINTERGRUND DER ERFINDUNG
  • [0002]
    Moderne Kraftfahrzeuge sind typischerweise mit einer Vielzahl unabhängiger elektronischer Komponenten ausgerüstet. Beispielsweise weisen die meisten modernen Kraftfahrzeuge ein elektronisches Motormanagementsystem, ein rechnergestütztes Antiblockiersystem (ABS), ein Fahrzeugsicherheitssystem, ein Beleuchtungssteuerungssystem, ein Klimatisierungssteuerungssubsystem und ein Klangwiedergabesystem auf. Das Motormanagementsystem verwendet üblicherweise einen elektronischen Controller, um die Wirtschaftlichkeit des Treibstoffs zu maximieren und schädliche Emissionen zu minimieren. Das Antiblockiersystem verwendet elektronische Sensoren und Mikroprozessoren, um ein Kraftfahrzeug in optimalem Maße unter Vermeidung eines Rutschens zu verlangsamen. Das Fahrzeugsicherheitssystem weist einen bei einem Unfall reagierenden Controller auf, der während eines Unfalls ausgelöst wird, um einen oder mehrere Airbags zu entfalten.
  • [0003]
    Einige aktuelle Fahrzeugmodelle sind mit einem Navigationssystem ausgerüstet, das einen GPS (Global Positioning System)-Empfänger zum Empfangen von Positionssignalen aus einem Satellitennetzwerk verwendet. Das Navigationssystem berechnet Koordinaten, die das Fahrzeug auf der Oberfläche der Erde in Bezug auf Längengrad, Breitengrad und Höhe lokalisieren. Zellulare Kommunikationssysteme sind ebenso in Kraftfahrzeugen eingeführt worden, um dem Fahrer oder Insassen das Führen von Telefonanrufen aus ihrem Fahrzeug zu ermöglichen. Die meisten neuen Kraftfahrzeuge sind ferner mit einem Diagnosesystem aufgebaut, das die Leistung des Kraftfahrzeugmotors, Lüftungs- und Heizungssystems und anderer Komponenten analysiert (1996 oder später mit OBD II, 1993 oder später mit OBD I).
  • [0004]
    Obwohl sich diese verschiedenen elektronischen Komponenten als nützlich erwiesen haben, besteht ein Nachteil darin, dass alle vollkommen getrennt und unabhängig voneinander sind. Im Allgemeinen werden diese Subsysteme von unterschiedlichen Herstellern geliefert. Die grundverschiedenen Komponenten verwenden häufig proprietäre, zweckbestimmte Prozessoren oder ASICs (Application Specific Integrated Circuits), die unterschiedliche Systemarchitekturen aufweisen und inkompatible proprietäre Software ausführen. Die Komponenten weisen beschränkte oder keine Kommunikationsmöglichkeit untereinander auf.
  • [0005]
    Einige Fortschritte sind bei der Integration von Komponenten gemacht worden. Typischerweise fordern die Vorschläge, jede der verteilten Komponenten mit einem Datenbus, wie beispielsweise einem CAN (Controller Area Network)-Protokollbus, zu verbinden. Entwickler haben verschiedene multiplexende Protokolle und Token übergebende Protokolle theoretisiert, um Kommunikation über den Bus zu ermöglichen. Wegen weiterer Informationen zu diesen Vorschlägen wird der Leser auf die folgenden Artikel verwiesen, die in einer Veröffentlichung der SAE (Society of Automative Engineers) erschienen sind: Inoue u. a., „Multiplex Systems for Automotive Integrated Control", Multiplex Technolgoy Applications in Vehicle Electrical Systems, SP-954, Nr. 930002, Copyright 1993; Azuma u. a., „Development of a Class C Multiplex Control IC", Multiplex Technology Applications in Vehicle Electrical System, SP-954, Nr. 930003, Copyright 1993; Mathony u. a., "Network Architecture for CAN", Multiplex Technology Appllications in Vehicle Electrical Systems, SP-954, Nr. 930004, Copyright 1993; Szydolowski, "A Gateway for CAN Specification 2.0 Non-Passive Devices", Multiplex Technology Applications in Vehicle Electrical Systems, SP-954, Nr. 930005, Copyright 1993; Neumann u. a., "Open Systems and Interfaces for Distributed Electronics in Cars (OSEK)", Automotive Multiplexing Technology, SP-1070, Nr. 950291, Copyright 1995 und Emaus, "Aspects and Issues of Multiple Vehicle Networks", Automotive Multiplexing Technology, SP-1070, Nr. 950293, Copyright 1995.
  • [0006]
    Obwohl es einigen Fortschritt beim gegenseitigen Verbinden elektronischer Komponenten in einem verteilten System über eine Kommunikationsverbindung gibt, existiert kein allgemein akzeptierter Standard für den Haupt-Systembus im Kraftfahrzeug und das Bus-Interface. Zusätzlich sind selbst in der verteilten Architektur die elektronischen Komponenten einzeln hinsichtlich unbehebbarer Ausfälle anfällig. Wenn eine Komponente einen Ausfall der Elektronik, wie beispielsweise einen ausgefallenen Controller, wahrnimmt, wird die Komponente entweder vollständig nutzlos gemacht oder zu einer sicheren, aber sonst suboptimal arbeitenden Einheit herabgesetzt.
  • [0007]
    Die Erfinder haben ein fehlertolerantes System entwickelt, das diese Probleme löst.
  • [0008]
    Pöttig, W., Schmidt, A.: „Universelles, sicheres und fehlertolerantes Multicontroller-System; Anwendung in einem vollautomatischen Fahrzeugleitsystem"; VDI-Berichte Nr. 612, VDI-Verlag, Düsseldorf, 1996, Seiten 219–232 beschreibt ein universelles, zuverlässiges und fehlertolerantes Multicontroller-System in einem automatischen Fahrzeugleitsystem. Aus Sicherheitsgründen sind Redundanzen in dieses System eingebaut. Es sind acht verschiedene Arten von Redundanz einschließlich zentralisierter Redundanz beschrieben, in der – im Falle eines Ausfalls – alle Systemfunktionen durch eine Funktionseinheit, die ausreichend sein würde, um eigenständig die gesamte Funktion zu erhalten, übernommen werden. In Beispiel 1 der 3 ist es klar, dass das System zwei Steuereinheiten umfasst, wobei die zweite Steuereinheit einen Ersatz für die erste zur Verfügung stellt. Die Systeme beschäftigen sich vornehmlich mit lokalen Prozessoreinheiten, die eher in einem ausfallsicheren Zustand arbeiten als von woanders gesteuert zu werden.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • [0009]
    Die Erfindung betrifft ein fehlertolerantes Kraftfahrzeugsteuerungssystem, das verschiedenartige und separate Kraftfahrzeugkomponenten integriert und Komponentenausfall toleriert.
  • [0010]
    Nach einem ersten Aspekt der Erfindung weist ein fehlertolerantes Kraftfahrzeugsteuerungssystem für ein Kraftfahrzeug eine Vielzahl von elektronischen Kraftfahrzeugkomponenten auf, wobei jede elektronische Kraftfahrzeugkomponente einen lokalen Controller zum Steuern des Betriebs der elektronischen Kraftfahrzeugkomponente aufweist, wobei jeder lokaler Controller Treibersoftware speichert und der Controller derart ausgestaltet ist, dass er bei Ausführung der Software die elektronische Kraftfahrzeugskomponente steuert, wobei das Kraftfahrzeugsteuerungssystem umfasst: eine elektrisch mit den elektronischen Kraftfahrzeugkomponenten verbundene Master-Steuereinheit, die einen Computerprozessor aufweist, wobei jede der elektronischen Komponenten zum Registrieren bei der Master-Steuereinheit und zum Programmieren der Master-Steuereinheit während der Initialisierung oder beim Hinzufügen zu dem System durch Herunterladen der Treibersoftware für die lokalen Controller und durch Speichern der Treibersoftware in der Master-Steuereinheit ausgestaltet ist, wobei der Computerprozessor dabei zum Durchführen der Steueraufgaben des lokalen Controllers programmiert ist, so dass in einem Falle eines Ausfalls eines der lokalen Controller der Computerprozessor die Treibersoftware des ausgefallenen lokalen Controllers ausführt, so dass die Master-Steuereinheit die elektronische Kraftfahrzeugkomponente statt des ausgefallenen lokalen Controllers steuert, wobei die Master-Steuereinheit während des Betriebs des Steuerungssystems zum kontinuierlichen Überwachen hinsichtlich eines Ausfalls eines lokalen Controllers ausgestaltet ist, worin jede elektronische Kraftfahrzeugkomponente eine Schaltlogik umfasst, die zum selektiven Weiterleiten von Daten zu dem lokalen Controller oder zu der Master-Steuereinheit bei Ausfall des lokalen Controllers ausgestaltet ist.
  • [0011]
    Nach einem zweiten Aspekt der Erfindung umfasst ein Automobil ein fehlertolerantes Kraftfahrzeugsteuerungssystem gemäß dem ersten Aspekt der Erfindung.
  • [0012]
    Nach einem dritten Aspekt der Erfindung weist ein Verfahren zum Betreiben eines Kraftfahrzeugsteuerungssystems für ein Kraftfahrzeug eine Vielzahl von elektronischen Kraftfahrzeugkomponenten auf, wobei jede elektronische Kraftfahrzeugkomponente einen lokalen Controller zum Steuern des Betriebs der zugehörigen elektronischen Kraftfahrzeugkomponenten und Schaltlogik zum selektiven Weiterleiten von Daten zu dem lokalen Controller oder zu der Master-Steuereinheit bei Ausfall des lokales Controllers aufweist, wobei jeder der lokalen Controller Treibersoftware speichert, die derart ausgestaltet ist, dass, wenn sie durch den lokalen Controller ausgeführt wird, der lokale Controller die elektronische Kraftfahrzeugkomponente steuert, wobei das Kraftfahrzeugsteuerungssystem eine mit den elektronischen Kraftfahrzeugkomponenten verbundene Master-Steuereinheit umfasst, die einen Computerprozessor aufweist, wobei das Verfahren die folgenden Schritte umfasst: (1) während der Initialisierung oder bei Hinzufügen von elektronischen Kraftfahrzeugkomponenten zu dem System, das Registrieren der elektronischen Komponenten bei der Master-Steuereinheit und das Herunterladen der Treibersoftware der lokalen Controller auf die Master-Steuereinheit, (2) Speichern der Treibersoftware des lokalen Controllers auf der Master-Steuereinheit, (3) Kontinuierliches Überwachen der lokalen elektronischen Controller hinsichtlich deren Ausfall und (4) in dem Fall, dass einer der elektronischen Controller ausfällt, das Ausführen der Treibersoftware des ausgefallenen lokalen Controllers und dadurch das entfernte Steuern der zugehörigen Komponente von dem Computerprozessor aus.
  • [0013]
    Nach einem vierten Aspekt der Erfindung gibt es einen Computer, der zum Durchführen der Schritte des Verfahrens gemäß dem dritten Aspekt der Erfindung programmiert ist.
  • [0014]
    Hinsichtlich etlicher bevorzugter und vorteilhafter Merkmale der Erfindung wird auf die abhängigen Ansprüche verwiesen.
  • [0015]
    Gemäß einer hier offenbarten Ausführungsform umfasst das fehlertolerante Kraftfahrzeugsteuerungssystem eine Master-Steuereinheit (MCU, Master Control Unit), die elektrisch über einen Datenkommunikationsbus mit den elektronischen Kraftfahrzeugkomponenten verbunden ist. Die Master-Steuereinheit weist einen Computerprozessor auf, der zum Verwalten des Datenflusses über den Datenkommunikationsbus zwischen den elektronischen Kraftfahrzeugkomponenten programmiert ist. Die MCU definiert und synchronisiert die Initialisierung der Buskommunikation.
  • [0016]
    Gemäß einer anderen hier offenbarten Ausführungsform führt die MCU eine Routing-Tabelle, um die gemeinsame Benutzung von Ressourcen und Information unter den Komponenten zu ermöglichen. Die Routing-Tabelle wird während der Initialisierung aufgebaut, um zu definieren, wie bei einer elektronischen Komponente erlangte Daten zu einer oder mehreren anderen Komponenten geleitet werden. Während des Betriebs sammelt die MCU Daten von den elektronischen Quellkomponenten und leitet die Daten zu den elektronischen Zielkomponenten gemäß der Routing-Tabelle weiter. Als ein Beispiel für diese gemeinsame Benutzung von Daten könnten durch ein Antiblockiersystem gesammelte Daten beim Verlangsamen eines Kraftfahrzeugs zu einem Automatikgetriebesystem geleitet werden, um bei der Entscheidung benutzt zu werden, ob heruntergeschaltet wird.
  • [0017]
    Gemäß einer anderen hier offenbarten Ausführungsform ist der Computerprozessor der MCU zum Durchführen der gleichen Funktionen programmiert, wie sie durch die lokalen Controller bei den elektronischen Komponenten durchgeführt werden. Während der Initialisierung wird die Treibersoftware für alle lokalen Controller auf die MCU heruntergeladen und dort gespeichert. Im Falle eines Ausfalls eines lokalen Controllers führt die Master-Steuereinheit die Treibersoftware für den ausgefallenen Controller aus, um die elektronische Kraftfahrzeugkomponente statt des ausgefallenen lokalen Controllers entfernt zu steuern.
  • [0018]
    Eine Schaltlogik ist bei jeder der elektronischen Komponenten zur Verfügung gestellt. Die Schaltlogik leitet selektiv Daten entweder zu dem lokalen Controller – annehmend der Controller arbeitet korrekt – oder über den Datenkommunikationsbus unter Umgehen der Controllers zu der MCU, wenn der Controller nicht korrekt arbeitet.
  • [0019]
    Gemäß einer noch weiteren hier offenbarten Ausführungsform weist das fehlertolerante Kraftfahrzeugsteuerungssystem eine untergeordnete Steuereinheit (SCU, Secondary Control Unit) auf, die elektrisch mit der Master-Steuereinheit über das Datenkommunikationsnetzwerk verbunden ist. Die untergeordnete Steuereinheit weist einen Computerprozessor auf, der viele nutzerbasierte Komponenten, wie beispielsweise ein Unterhaltungssystem oder ein zellulares Kommunikationssystem, unterstützt. Der Computerprozessor der SCU ist ebenso mit einer Ersatzkopie des Datenkommunikationscodes der MCU programmiert, um den Datenfluss zwischen den elektronischen Kraftfahrzeugkomponenten zu verwalten. Während des normalen Betriebs ist die SCU auf dem Datenkommunikationsbus der MCU untergeordnet und durch diese gesteuert. Im Falle eines Ausfalls der Master-Steuereinheit übernimmt jedoch die untergeordnete Steuereinheit die Steuerung des Datenkommunikationsbusses und verwaltet den Datenfluss zwischen den elektronischen Kraftfahrzeugkomponenten.
  • [0020]
    Entsprechend bietet das fehlertolerante Kraftfahrzeugsteuerungssystem Fehlertoleranz für alle Komponenten ebenso wie für die MCU selbst.
  • [0021]
    Gemäß einer anderen hier offenbarten Ausführungsform sind die Master-Steuereinheit und die untergeordnete Steuereinheit Mehrzweckcomputer, auf denen ein Betriebssystem für offene Plattformen läuft. Eine offene Architektur bietet eine ungeheuere Flexibilität und Anpassbarkeit für das Hinzufügen neuer Kraftfahrzeugkomponenten und die Rekonfiguration alter Komponenten.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • [0022]
    Die gleichen Bezugszeichen werden überall in den Zeichnungen verwendet, um ähnliche Komponenten und Merkmale zu referenzieren.
  • [0023]
    1 ist eine schematische Darstellung eines fehlertoleranten Kraftfahrzeugsteuerungssystems, das in einem Kraftfahrzeug gemäß eines beispielhaften Aspekts der Erfindung implementiert ist.
  • [0024]
    2 ist ein Blockdiagramm einer in dem Kraftfahrzeugsteuerungssystem verwendeten Master-Steuereinheit.
  • [0025]
    3 ist ein Blockdiagramm einer beispielhaften in dem Kraftfahrzeugsteuerungssystem verwendeten elektronischen Komponente
  • [0026]
    4 ist ein Blockdiagramm der in dem Kraftfahrzeugsteuerungssystem verwendeten untergeordneten Steuereinheit.
  • [0027]
    5 ist ein Zustandsdiagramm, das die Initialisierung und den Betrieb des Kraftfahrzeugsteuerungssystems zeigt.
  • [0028]
    6 ist ein Blockdiagramm des Kraftfahrzeugssteuerungssystems, das eine Master-/Slave-Beziehung zwischen der Master-Steuereinheit, der unterge ordneten Steuereinheit und der Vielzahl von elektronischen Komponenten während des normalen Betriebs zeigt.
  • [0029]
    7 ist ein Blockdiagramm ähnlich 6, das allerdings einen Ausfall einer elektronischen Komponente zeigt.
  • [0030]
    8 ist ein Blockdiagramm ähnlich 6, das allerdings einen Ausfall der Master-Steuereinheit zeigt.
  • DETAILLIERTE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORM
  • [0031]
    1 zeigt ein Kraftfahrzeugsteuerungssystem 20, das in einem Kraftfahrzeug 22 gemäß einer beispielhaften Implementierung der Erfindung ausgebildet ist. Das Kraftfahrzeugsteuerungssystem 20 weist eine Master-Steuereinheit (MCU, Master Control Unit) 24 und eine untergeordnete Steuereinheit (SCU, Secondary Control Unit) 26 auf. Eine doppelte Busstruktur, die aus einem primären Datenkommunikationsbus 28 und einem untergeordneten Unterstützungsbus 30 besteht, stellt eine Infrastruktur für die Datenkommunikation in dem Steuerungssystem 20 zur Verfügung. Der primäre Bus 28 kann unter Verwendung irgendeiner Ausführung eines Fahrzeugbusses implementiert sein, die derzeit durch Fahrzeughersteller verwendet oder in Betracht gezogen wird, wie beispielsweise CAN, ABUS, VAN, J1850, K-BUS, P-BUS, I-BUS, USB, P1394 usw. Der Unterstützungsbus 30 kann als irgendein Standard-Computerdatenbus, wie beispielsweise PCI, USB, P1394 und dergleichen, implementiert sein.
  • [0032]
    Die Master-Steuereinheit 24 und die untergeordnete Steuereinheit 26 sind durch den primären Fahrzeugbus 28 untereinander verbunden. Zusätzlich sind verschiedene elektronische Kraftfahrzeugkomponenten mit der Master-Steuereinheit 24 über den primären Bus 28 verbunden. In dieser Darstellung umfassen die elektronischen Komponenten ein Antiblockiersystem (ABS) 32, ein elektronisches Lenksystem 34 und ein Motor-Managementsystem 36. Allerdings können andere Komponenten gleichermaßen mit dem primären Fahrzeugbus 28 verbunden sein, wie beispielsweise ein Sicherheits-/Alarmsystem, ein Diagnosesystem, ein Beleuchtungssteuerungssystem, ein Treibstoffeinspritzsystem, ein Automatikgetriebesystem, usw. Zusätzlich sind die in 1 dargestellten elektronischen Komponenten dahingehend intelligente Komponenten, dass jede von ihnen ihren eigenen lokalen Controller, typischerweise als ein Mikroprozessor ausgeführt, aufweist. Das Kraftfahrzeug könnte zusätzlich nicht-intelligente elektronische Komponenten umfassen, die keine lokalen Verarbeitungsfähigkeiten aufweisen, wie unten mit Bezug auf die 6 bis 8 erläutert.
  • [0033]
    1 zeigt etliche Geräte, die mit dem Unterstützungsbus 30 verbunden sind. Diese Geräte umfassen ein Klimaregelungssystem 38, ein Audiosystem 40, ein Navigationssystem 42 mit einer GPS (Global Positioning System)-Antenne 44 und ein zellulares Kommunikationssystem 46. Die Türverriegelungs- und Fenster-Bedienelemente 48 sind ebenso mit dem Unterstützungsbus 30 verbunden. Die untergeordnete Steuereinheit 26 ist Master des Unterstützungsbusses 30. Die SCU 26 ist ferner als ein Server für mehrere Clients 50 ausgestaltet. Die Clients 50 können beispielsweise kleine Hand- oder Laptop-Spiele-Computer mit grafischen Anzeigebildschirmen und Soundkarten sein, um Multimedia-Unterhaltung zur Verfügung zu stellen. Die SCU 26 versorgt die Clients 50 mit Unterhaltung innerhalb des Autos in Form von Filmen und Spielen zum Vergnügen der Passagiere.
  • [0034]
    Im Allgemeinen ist die Master-Steuereinheit 24 während des normalen Betriebs des Kraftfahrzeugsteuerungssystems 20 Master des primären Fahrzeugbusses 28. Alle elektronischen Komponenten 32 bis 36, ebenso wie die untergeordnete Steuereinheit 26 sind Slaves für die Master-Steuereinheit 24. Die Master-Steuereinheit 24 verwaltet den Datenfluss zwischen den elektronischen Komponenten 32 bis 36 und ermöglicht die gemeinsame Benutzung von Ressourcen und Informationen. Zusätzlich stellt die Master-Steuereinheit 24 einen Ersatz für die intelligenten Elektronikkomponenten in dem Fall zur Verfügung, dass irgendeine von ihnen ausfällt, und führt außerdem Datenverarbeitung und Steuerungsfunktionen für nicht-intelligente elektronische Komponenten durch.
  • [0035]
    2 zeigt die Master-Steuereinheit 24 detaillierter. Sie weist einen Computerprozessor 60, flüchtigen Speicher 62 (beispielsweise RAM) und nichtflüchtigen Speicher 64 (beispielsweise ROM, Flash) auf. Die Master-Steuereinheit 24 weist ebenso ein Bus-Interface 66 auf, um Zugriff auf den primären Bus 28 zur Verfügung zu stellen.
  • [0036]
    Auf der Master-Steuereinheit 24 läuft ein Betriebssystem 68 für offene Plattformen, das als in dem nicht flüchtigen Speicher 64 gespeichert dargestellt ist. Während der Laufzeit wird das Betriebssystem 68 in den flüchtigen Speicher 62 geladen und auf dem Prozessor 60 ausgeführt. Das Betriebssystem 68 für offene Plattformen ist vorzugsweise ein Echtzeit-Multitasking-Betriebssystem, das zum Unterstützen einer „Plug-and-Play"-Systemkonfiguration und zum Bereitstellen hoher Stabilität, Sicherheit und Effizienz in der Lage ist. Ein bevorzugtes Betriebssystem ist ein Betriebssystem der Marke Windows, das von der Microsoft Corporation vertrieben wird, wie beispielsweise die Betriebssysteme Windows CE oder Windows NT.
  • [0037]
    Das Betriebssystem 68 weist Netzwerkverwaltungsfähigkeiten auf, die die Master-Steuereinheit 24 zum Verwalten des Datenflusses über den primären Bus 28 zwischen den elektronischen Komponenten 32 bis 36 und der untergeordneten Steuereinheit 26 befähigt. Die Master-Steuereinheit 24 initialisiert die Netzwerkkommunikation und das Registrier-Subsystem und bewältigt die Konfiguration der Komponenten. Während des Betriebs steuert die Master-Steuereinheit 24 den Datenfluss vorzugsweise in einer deterministischen Art, die lediglich vordefinierte Daten von den elektronischen Komponenten akzeptiert. Dies ist dahingehend vorteilhaft, dass die Master-Steuereinheit Schutz für die einzelnen elektronischen Komponenten, die auf dem primären Fahrzeugbus 28 verbunden sind, gegenüber unerwarteten oder unautorisierten Befehlen zur Verfügung stellt. Zusätzlich ermöglichen die Netzwerkfähigkeiten die Master-Steuereinheit 24 dazu, das Löschen und Hinzufügen elektronischer Komponenten zu dem primären Bus 28 zu überwachen.
  • [0038]
    Die MCU 24 enthält Treibersoftware – allgemein als Nr. 70 referenziert – für alle der mit dem primären Bus 28 verbundenen elektronischen Komponenten. Die elektronischen Komponenten registrieren sich bei der MCU 24 während der Initialisierung oder wenn sie zu dem Bus hinzugefügt werden. Der Software-Code 70 der Komponenten kann bereits in dem Speicher der MCU in Form von DLLs (Dynamic Link Library) existieren, die mit dem MCU-System verbunden werden, wenn Komponenten registriert werden. Wenn der Software-Code einer oder mehrerer Komponenten nicht in der DLL existieren, schließt ein Teil dieser Registrierung das Herunterladen des zum Betreiben der Komponenten verwendeten Software-Codes über den primären Bus 28 zu der Master-Steuereinheit 24 mit ein. 2 zeigt Treibersoftware 70 für die lokalen Controller LC(1), LC(2), ..., LC(N) der intelligenten elektronischen Komponenten (d. h. Komponenten mit lokalen Controllern), die in dem nichtflüchtigen Speicher 64 gespeichert sind. 2 zeigt ebenso ausführbaren Code für nicht-intelligente Komponenten NIC(1), NIC(2), ..., NIC(M), (d. h. Komponenten ohne lokale Controller) – allgemein als Nr. 72 referenziert -, der in dem nichtflüchtigen Speicher 64 gespeichert ist.
  • [0039]
    In dem Fall, dass ein lokaler Controller einer intelligenten Komponente ausfällt, übernimmt die MCU 24 die Steuerung dieser Komponente und weist dieser ausgefallenen Komponente die höchste Ausführungspriorität zu, um eine ununterbrochene Leistung sicherzustellen. Wenn beispielsweise der Prozessor in dem ABS ausfällt, laufen die Treiber des lokalen Controllers – beispielsweise Treiber LC(1) – auf der MCU 24, um die Funktionen des ausgefallenen Prozessors für das Antiblockiersystems durchzuführen. Eine Schaltlogik ist bei der ausgefallenen Komponente zum Übertragen der Steuersignale zu der MCU zur Verfügung gestellt. Sobald die MCU 24 die Steuerung einer Komponente übernommen hat, führt die MCU 24 die Funktionen der Datenflussverwaltung auf einer Basis verfügbarer Ressourcen durch.
  • [0040]
    Das Betriebssystem 68 ist ein deterministisches Echtzeit-Betriebssystem, das die Verarbeitungsleistung aufweist, die zum konkurrierenden Unterstützen mehrerer kritischer Komponenten imstande ist. In dem Fall, dass mehrere Komponenten ausfallen, verwendet die MCU 24 eine Prioritätstabelle 74, die eine geordnete Rangfolge für die Ausführung der ausgefallenen Geräte spezifiziert. Die Prioritätstabelle 74 wird während der Inititalisierung aufgebaut, wenn sich die Komponenten bei der MCU 24 registrieren. Während der Registrierung weist die MCU 24 jeder der elektronischen Kraftfahrzeugskomponenten eine Prioritätsbewertung zu und speichert die Zuordnung in einer Tabelle in dem nichtflüchtigen Speicher 64. Die Prioritätsbewertung ist durch die Datenstruktur der Tabelle Kennungen für die Treibersoftware 70 und den ausführbaren Code 72 zugeordnet. Die Priorität wird durch den Automobilhersteller basierend darauf, welche Komponenten sich bei der MCU 24 registrieren, vorherbestimmt. Es sei darauf hingewiesen, dass die Prioritätstabelle 74 alternativ bei jedem Startzyklus vom Grunde auf rekonstruiert und in dem flüchtigen Speicher 62 gehalten werden kann.
  • [0041]
    Sobald aufgebaut, begründet die Prioritätstabelle 74 eine Priorität der Ausführung in dem Fall, dass mehr als eine Komponente ausfällt. Die Prioritätstabelle 74 weist Verarbeitungsressourcen unverhältnismäßig zuerst der mit der höchsten Priorität bewerteten Komponente zu, gefolgt in der Reihenfolge durch die mit der niedrigeren Priorität bewerteten Komponenten. Beispielsweise könnte der Treibersoftware für das Antiblockiersystem die höchste Prioritätsbewertung zugewiesen sein, um sicherzustellen, dass die MCU 24 ausreichend Ressourcen zum Bewältigen des Bremssystems im Falle eines Ausfalls hat, auch wenn andere Komponenten (wie beispielsweise das Sicherheitssystem) ebenso während dieser Zeit ausfallen könnten. In einer Implementierung werden Komponenten eine Bewertung „kritisch", was bedeutet, dass ihnen die höchste verfügbare Priorität gegeben wird, eine Bewertung „normal", was bedeutet, dass ihnen eine niedrigere Priorität gegeben werden kann, falls eine kritische Komponente zeitgleich ausfällt, oder eine Bewertung „niedrigste" zugeordnet, was bedeutet, dass sie MCU-Ressourcen erst dann erhalten, nachdem alle Komponenten mit höherer Priorität gehandhabt worden sind.
  • [0042]
    Die MCU 24 führt außerdem eine Routing-Tabelle 76 in dem flüchtigen Speicher 62. Die Routing-Tabelle 76 wird während der Initialisierung aufgebaut, um zu definieren, welche Daten übergeben und unter den aktiven elektronischen Komponenten gemeinsam genutzt werden. Beispielsweise könnte die Tabelle eine Datenstruktur mit einem Quellfeld, das eine Kennung einer elektronischen Komponente enthält, von wo bestimmte Daten erzeugt werden, und ein Zielfeld aufweisen, das eine Liste einer oder mehrerer Komponenten enthält, zu denen die bestimmten Daten durch die MCU 24 geleitet werden sollen. Beispielsweise könnten die durch das ABS 32 (d. h. eine Quellkomponente) gesammelten Daten betreffend der Radgeschwindigkeit an das Steuerungssystem des Automatikgetriebes und das Steuerungssystem der Treibstoffeinspritzung (d. h. Zielkomponenten) geleitet werden. Die Quell- und Zielfelder werden in der Tabelle in Beziehung gesetzt. Während des Betriebs sammelt die MCU 24 Daten von den in den Quellfeldern (wie beispielsweise das ABS) identifizierten elektronischen Komponenten, indiziert die Routing-Tabelle 76 für entsprechende Zielfelder und leitet die Daten an die elektronischen Komponenten (wie beispielsweise das Steuerungssystem des Automatikgetriebes oder das Steuerungssystem der Treibstoffeinspritzung), die in den entsprechenden Zielfeldern aufgelistet sind, weiter. Die Routing-Tabelle erlaubt es der MCU 24, die gemeinsame Benutzung von Daten unter den Komponenten zu ermöglichen.
  • [0043]
    3 zeigt einen beispielhaften Aufbau einer intelligenten elektronischen Kraftfahrzeugkomponente, allgemein als Nr. 80 referenziert. Die Kraftfahrzeugkomponente 80 umfasst allgemein ein mechanisches Gerät 82 (beispielsweise Bremsen, Motor, Getriebe, etc.), das durch einen elektronisch gesteuerten Aktuator 84 gesteuert wird. Ein lokaler Controller 86 ist über einen Treiber 88 zum Senden von elektronischen Kommandosignalen verbunden, die den Aktuator und dadurch das mechanische Gerät 82 steuern. Der lokale Controller 86 kann als ein Mikroprozessor, digitaler Signalprozessor, zweckbestimmter ASIC (Application Specific Integrated Circuit) oder dergleichen implementiert sein. Ein Sensor 90 überwacht das mechanische Gerät 82 und erzeugt betriebsanzeigende Daten, um Rückkopplungsinformationen für den lokalen Controller 86 zur Verfügung zu stellen. Der lokale Controller 86 weist ebenso ein Interface zu dem primären Fahrzeugbus 28 auf. Dieser Aufbau der elektronischen Kraftfahrzeugkomponente ist gebräuchlich und im Stand der Technik bekannt.
  • [0044]
    Ein Aspekt der Erfindung ist, die existierende elektronische Kraftfahrzeugkomponente 80 dahingehend zu modifizieren, dass sie eine Schaltlogik 92 umfasst. In der Darstellung der 3 bildet die Schaltlogik 92 ein Interface zwischen dem lokalen Controller 86 und dem Treiber 88 und dem Sensor 90. Die Schaltlogik 92 weist ebenso ihre eigene Verbindung zu dem primären Bus 28 auf, die den lokalen Controller 86 umgeht. Die Schaltlogik 92 leitet selektiv von dem Sensor 90 empfangene Daten entweder an den lokalen Controller 86 oder direkt an den primären Bus 28 weiter. Die Schaltlogik 92 richtet die Daten an den lokalen Controller 86, wenn der Controller korrekt funktioniert. In dem Fall, dass der Controller nicht korrekt funktioniert, leitet die Schaltlogik 92 jedoch den Datenfluss an den Bus 28, wobei der ausgefallene lokale Controller 86 umgangen wird, so dass die MCU 24 die Komponente über den primären Bus 28 steuern kann.
  • [0045]
    4 zeigt die untergeordnete Steuereinheit 26 detaillierter. Die untergeordnete Steuereinheit 26 ist vorzugsweise ein Mehrzweckcomputer, der zum Unterstützen mehrerer Anwendungen in der Lage ist. Die SCU 26 weist einen Prozessor 100 (bei spielsweise einen SH3 von Hitachi Ltd. oder einen Pentium-Mikroprozessor der Intel Corporation), flüchtigen Speicher 102 (beispielsweise RAM) und nichtflüchtigen Speicher 104 (beispielsweise ROM, Flash, Festplatte, etc.) auf. Die SCU 26 weist ein primäres Businterface 106 zum Bereitstellen des Zugriffs auf den primären Fahrzeugbus 28 und ein Unterstützungsbus-Interface 108 zum Bereitstellen des Zugriffs auf den Unterstützungsbus 30 auf.
  • [0046]
    Auf der SCU 26 läuft ein Betriebssystem 110 für offene Plattformen, das eine Vielzahl von Anwendungen unterstützt. Durch das Verwenden eines Betriebssystems für offene Plattformen und einer offenen Computersystemarchitektur können verschiedenartige Softwareanwendungen und Hardware-Peripheriegeräte durch die SCU 26 auf dem Unterstützungsbus 30 unterstützt werden. Dies ist dahingehend vorteilhaft, dass die Software-Anwendungen nicht für speziell entworfene eingebettete Systeme zweckbestimmt sein müssen. Auf der offenen Hardware-Architektur läuft vorzugsweise ein Multitasking-Betriebssystem, das ein grafisches Nutzerinterface verwendet. Ein bevorzugtes Betriebssystem ist ein Betriebssystem der Marke Windows, das von der Microsoft Corporation vertrieben wird, wie beispielsweise Windows 95 oder Windows NT oder andere abgeleitete Versionen von Windows. Ein Multitasking-Betriebssystem erlaubt die zeitgleiche Ausführung von mehreren Anwendungen.
  • [0047]
    Die SCU 26 könnte ebenso mindestens ein Speicherlaufwerk – wie beispielsweise ein CD-ROM-Laufwerk, PC-Card-Laufwerk oder ein Diskettenlaufwerk – aufweisen, das die Verwendung eines tragbaren Speichermediums ermöglichst. Ein CD-ROM-Laufwerk erlaubt anwendungsbezogene CDs ebenso wie Musik-, Video-, Spiele- oder andere Arten von Unterhaltungs-CDs. Die SCU 26 ist zur Montage in dem Armaturenbrett des Kraftfahrzeugs ausgebildet und dimensioniert. Eine detaillierte Beschreibung einer geeigneten Ausgestaltung einer untergeordneten Steuereinheit 26 ist in der US-Patentanmeldung mit der Nr. 08/564,586 mit dem Titel „Vehicle Computer System" beschrieben, die am 29. November 1995 im Namen von Richard D. Beckert, Mark M. Moeller und William Wong eingereicht wurde. Diese Anmeldung ist auf die Microsoft Corporation übertragen worden und wird hiermit durch Referenz einbezogen.
  • [0048]
    Die untergeordnete Steuereinheit 26 ist Slave für die Master-Steuereinheit 24 in dem Fahrzeugbus 28, aber ist ein Master für die Clients 50 und andere elektronische Komponenten 38 bis 48, die mit dem Unterstützungsbus 30 verbunden sind. Armaturenbrett oder andere geeignete Stelle. Die SCU 26 kann als ein Server für die Clients 50 fungieren, wie beispielsweise zum Versorgen mit Spielen, Musik, Filmen oder anderen Formen von Unterhaltung.
  • [0049]
    Die SCU 26 führt eine aktuelle Kopie des ausführbaren Codes 112, der auf der MCU 24 zum Verwalten des Datenflusses zwischen den Komponenten läuft. Der Code 112 der MCU wird auf die SCU 26 während der Initialisierung heruntergeladen und in dem nichtflüchtigen Speicher 84 gespeichert. In dem Falle eines Ausfalls der MCU 24 führt die untergeordnete Steuereinheit 26 den Code 112 der MCU aus, um die Masterverantwortlichkeiten der Datenflussverwaltung auf den primären Bus 28 zu übernehmen.
  • [0050]
    5 zeigt ein Zustandsdiagramm des Kraftfahrzeugsteuerungssystems. Der Start wird durch das Anschalten der Energie für das Kraftfahrzeug ausgelöst. In Zustand 120 startet die Master-Steuereinheit 24 einen Initialisierungsvorgang zum Booten des Betriebssystems und lädt alle Treibersoftware 70 für intelligente Komponenten und ausführbaren Code 72 für nicht-intelligente Komponenten aus dem nichtflüchtigen Speicher in den flüchtigen Speicher. Diese Softwareprogramme entsprechen Komponenten, die für die MCU 24 durch vorherige Registrierung vorbekannt sind. In Zustand 122 startet die MCU 24 einen dynamischen Konfigurationsvorgang, der nachprüft, ob irgendwelche neuen Komponenten zu dem primären Fahrzeugbus hinzugefügt oder alte Komponenten von diesem entfernt wurden. Die MCU 24 fragt die existierenden Komponenten ab und sendet Anfragen zu neuen Komponenten aus. Komponenten, die nach wie vor verbunden und funktionierend sind, antworten der MCU 24. Neue Komponenten antworten ebenso und registrieren sich nachfolgend bei der MCU 24. Komponenten, die entfernt wurden, antworten verständlicherweise nicht auf die Abfragesignale.
  • [0051]
    Sobald die Komponenten identifiziert und ausgewiesen sind, baut die MCU 24 die Prioritätstabelle 74 auf und speichert sie in dem nichtflüchtigen Speicher 104. Die MCU 24 baut ebenso die Routing-Tabelle 76 basierend auf den existierenden aktiven Komponenten auf.
  • [0052]
    In Zustand 124 lädt die MCU 24 eine Kopie ihres Codes auf die SCU 26 über den primären Bus 28 herunter. Auf diese Initialisierungssequenz folgend betritt die MCU ihren normalen Betriebszustand 126. Falls die MCU ausfällt, wird die Steuerung zurück auf die SCU 26 (wie durch den Pfeil „MCU ausgefallen" angedeutet) geschoben. Falls die MCU nachfolgend wiederhergestellt wird, wird die Steuerung auf die MCU (wie durch den Pfeil „bereit" angedeutet) zurückgesandt.
  • [0053]
    Auch in Zustand 126 überwacht die MCU 24 kontinuierlich den Ausfall irgendwelcher elektronischen Komponenten. Falls die MCU 24 den Ausfall einer Komponente detektiert, rekonfiguriert die MCU 24 die Routing- und die Prioritäts-Tabelle dynamisch und übernimmt die Steuerung der ausgefallenen Komponente (wie durch den Pfeil „Komponente ausgefallen" zurück auf Zustand 122 angedeutet).
  • [0054]
    Die 6 bis 8 zeigen Strategien zur fehlertoleranten Steuerung, die durch das Kraftfahrzeugsteuerungssystem implementiert werden. 6 zeigt das Kraftfahrzeugsteuerungssystem 20 mit der MCU 24 und zwei intelligenten elektronischen Komponenten 80(1), 80(2) und zwei nicht-intelligenten Komponenten 130(1), 130(2), die mit dem primären Bus 28 verbunden sind. Das System umfasst ferner die sowohl mit dem primären Bus 28 als auch dem Unterstützungsbus 30 verbundene SCU 26 und zwei Clients 50 und das Audiosystem 40, die mit dem Unterstützungsbus 30 verbunden sind.
  • [0055]
    Während des normalen Betriebs ist die Master-Steuereinheit 24 Master für den primären Bus 28 und die untergeordnete Steuereinheit 26. Die Master-Steuereinheit 24 verwaltet den Datenfluss über den primären Bus 28 und führt die Datenverarbeitungen und Steuerfunktionen für die nicht-intelligenten Komponenten 130(1), 130(2) durch. Die MCU 24 überwacht kontinuierlich die intelligenten Komponenten 80(1), 80(2), um festzustellen, ob die lokalen Controller 86(1), 86(2) korrekt funktionieren. Die MCU 24 und SCU 26 arbeiten unter normalen Umständen zusammenwirkend und unabhängig voneinander, abgesehen davon, dass die SCU 26 die MCU 24 in regelmäßigen Zeitabständen hinsichtlich Anzeichen eines Ausfalls überprüft.
  • [0056]
    Da die MCU 24 sämtliche Datenkommunikationen auf dem primären Bus 28 steuert, erhält sie auch die Sicherheit und Integrität des primären Busses 28 durch kontinuierliches Überwachen der Nachrichten, die durch die elektronischen Komponenten und insbesondere die SCU 26 gesendet werden, da es sich um ein offenes System handelt. Sollte die SCU 26 korrumpiert werden und versuchen unautorisierte Kontrolle irgendeiner elektronischen Komponente auf dem primären Bus 28 zu erlangen, wird die MCU 24 die Kommunikation von der SCU 26 durch Wechseln ihres Status' in der Konfigurations- und der Routing-Tabelle deaktivieren. Dieses Vorgehen degradiert die SCU 26 zu einem passiven Gerät, das lediglich Nachrichten empfängt und sie nicht über den primären Bus 28 senden kann. Die MCU 24 wird dann versuchen, einen anderen Kandidaten zu wählen, um ihn als einen Ersatz für die untergeordnete Steuereinheit zu bestimmen, indem sie durch die Verfahrenszustände 122 und 124, wie in 5 beschrieben, geht.
  • [0057]
    7 zeigt einen Fall, in dem ein lokaler Controller 86(1) ausfällt. In dem Fall eines Ausfalls des lokalen Controllers 86(1) lenkt die Schaltlogik 92(1) den Datenfluss von dem lokalen Controller 86(1) direkt auf den primären Bus 28 um. Die Master-Steuereinheit 24 übernimmt die Steuerung der Komponente 80(1) unter Verwendung des Treibers 86(1)' der Komponente, der auf der MCU 24 gespeichert ist. Die MCU 24 weist die höchste Ausführungspriorität zum Sicherstellen einer ununterbrochenen Durchführung der ausgefallenen Komponente zu. Falls beispielsweise der Mikroprozessor in dem ABS ausfällt, übernimmt die MCU 24 die Funktionen des Mikroprozessors des ABS und stellt ununterbrochenen Betrieb für die ABS-Komponente zur Verfügung. Die MCU 24 fährt mit dem Verwalten des Datenflusses zwischen den Komponenten auf einer Basis verfügbarer Ressourcen fort.
  • [0058]
    8 zeigt einen Fall, in dem die MCU 24 ausfällt. Die SCU 26 detektiert durch kontinuierliches Überwachen oder alternativ durch einen nicht-maskierbaren durch die MCU 24 unmittelbar vor einem Ausfall erzeugten Interrupt, wenn die MCU 24 ausfällt. Bei einem Ausfall der MCU übernimmt die SCU 26 die grundlegende Datenflussverwaltung und Steuerfunktionen der MCU 24 ebenso wie die Verarbeitungsfunktionen für die nicht-intelligenten Komponenten 130(1) und 130(2). Die SCU 26 startet die lokale Kopie des Codes 26' der MCU, um einen Ersatzmaster für den primären Bus 28 und die damit verbundenen Komponenten 80(1), 80(2), 130(1), 130(2) zu werden. In dieser Implementierung übernimmt die SCU 26 jedoch nicht die Funktionen irgendeines ausgefallenen lokalen Controllers einer Komponente auf dem Fahrzeugbus. Zum Sicherstellen eines ununterbrochenen Betriebs für die Komponenten auf dem primären Bus 28 weist die SCU 26 die höchste Priorität für die Durchführung der grundlegenden Datenflussverwaltung und Steuerungsfunktion der ausgefallenen MCU 24 zu und führt alle anderen Funktionen auf einer Basis verfügbarer Ressourcen durch.
  • [0059]
    Das fehlertolerante Kraftfahrzeugsteuerungssystem bietet viele Vorteile. Es integriert die elektronischen Komponenten und ermöglicht die gemeinsame Benutzung von Daten und die Kommunikation zwischen ihnen. Das System stellt ebenso Einpunkt-Fehlertoleranz dahingehend zur Verfügung, dass jede Komponente und die Master-Steuereinheit einmal ohne den Verlust der Dienste ausfallen kann. Das System bietet unglaubliche Flexibilität bei der Installation von Systemkomponenten in einem Fahrzeug. Jede Komponente oder Bus kann als ein Aufrüstungsmerkmal zum Bereitstellen voller Systemfunktionalität installiert werden. Wenn eine neue Komponente installiert wird, wird lediglich der Treiber für diese Komponente auf die MCU geladen, um im Falle eines Ausfalls Ersatz zur Verfügung zu stellen.
  • [0060]
    Die Erfindung ist in einer mehr oder weniger für die Struktur- und Verfahrensmerkmale spezifischen Sprache beschrieben. Es versteht sich jedoch, dass die Erfindung nicht auf die bestimmten beschriebenen Merkmale beschränkt ist, da die hier offenbarten Mittel beispielhafte Formen zur Verwirklichung der Erfindung umfassen.

Claims (18)

  1. Fehlertolerantes Kraftfahrzeugsteuerungssystem (20) für ein Kraftfahrzeug mit einer Vielzahl von elektronischen Kraftfahrzeugkomponenten (32, 34, 36), wobei jede elektronische Kraftfahrzeugkomponente (32, 34, 36) einen lokalen Controller (86) zum Steuern des Betriebs der elektronischen Kraftfahrzeugkomponente aufweist, wobei jeder lokaler Controller (86) Treibersoftware speichert und der Controller (86) derart ausgestaltet ist, dass er bei Ausführung der Software die elektronische Kraftfahrzeugskomponente (32, 34, 36) steuert, wobei das Kraftfahrzeugsteuerungssystem (20) umfasst: eine elektrisch mit den elektronischen Kraftfahrzeugkomponenten verbundene Master-Steuereinheit (24), die einen Computerprozessor (60) aufweist, wobei jede der elektronischen Komponenten (32, 34, 26) zum Registrieren bei der Master-Steuereinheit (24) und zum Programmieren der Master-Steuereinheit (24) während der Initialisierung oder beim Hinzufügen zu dem System durch Herunterladen der Treibersoftware für die lokalen Controller und durch Speichern der Treibersoftware in der Master-Steuereinheit (24) ausgestaltet ist, wobei der Computerprozessor dabei zum Durchführen der Steueraufgaben des lokalen Controllers (86) programmiert ist, so dass in einem Falle eines Ausfalls eines der lokalen Controller (86) der Computerprozessor (60) die Treibersoftware des ausgefallenen lokalen Controllers ausführt, so dass die Master-Steuereinheit (24) die elektronische Kraftfahrzeugkomponente (32, 34, 36) statt des ausgefallenen lokalen Controllers steuert, wobei die Master-Steuereinheit (24) während des Betriebs des Steuerungssystems zum kontinuierlichen Überwachen hinsichtlich eines Ausfalls eines lokalen Controllers (86) ausgestaltet ist, worin jede elektronische Kraftfahrzeugkomponente (32, 34, 36) eine Schaltlogik umfasst, die zum selektiven Weiterleiten von Daten zu dem lokalen Controller (86) oder zu der Master-Steuereinheit (24) bei Ausfall des lokalen Controllers (86) ausgestaltet ist.
  2. Fehlertolerantes Kraftfahrzeugsteuerungssystem nach Anspruch 1, worin die Master-Steuereinheit (24) ein Betriebssystem für offene Plattformen aufweist, das auf dem Computerprozessor (60) ausgeführt wird.
  3. Fehlertolerantes Kraftfahrzeugsteuerungssystem nach Anspruch 1 oder 2, worin die Master-Steuereinheit (24) ein Multitasking-Betriebssystem aufweist, das auf dem Computerprozessor (60) ausgeführt wird.
  4. Fehlertolerantes Kraftfahrzeugsteuerungssystem nach einem der vorangegangenen Ansprüche, worin die Master-Steuereinheit (24) Datenkommunikation zwischen den elektronischen Kraftfahrzeugkomponenten (32, 34, 36) ermöglicht.
  5. Fehlertolerantes Kraftfahrzeugsteuerungssystem nach einem der vorangegangenen Ansprüche, worin die Master-Steuereinheit (24) eine Routing-Tabelle (76) führt, die die Master-Steuereinheit (24) zum Routen von durch eine elektronische Kraftfahrzeugkomponente (32, 34, 36) detektierten Daten zu einer oder mehreren anderen elektronischen Kraftfahrzeugkomponenten (32, 34, 36) verwendet.
  6. Fehlertolerantes Kraftfahrzeugsteuerungssystem nach einem der vorangegangenen Ansprüche, worin die Master-Steuereinheit (24) einen Speicher (64) aufweist und eine Prioritätstabelle (74) in dem Speicher (64) führt, wobei über die Prioritätstabelle (74) elektronischen Kraftfahrzeugkomponenten (32, 34, 36) eine entsprechende Prioritätsbewertung zugeordnet ist, wobei die Master-Steuereinheit (24) die Aufgaben eines oder mehrerer ausgefallener lokaler Controller (86) in einer Reihenfolge gemäß der Prioritätsbewertung der elektronischen Kraftfahrzeugkomponenten (32, 34, 36) in der Prioritätstabelle (74) handhabt.
  7. Fehlertolerantes Kraftfahrzeugsteuerungssystem nach einem der vorangegangenen Ansprüche, in dem die elektronischen Kraftfahrzeugkomponenten (32, 34, 36) ferner nicht-intelligente Komponenten (130) umfassen, die ohne lokale Controller ausgebildet sind, und worin die Master-Steuereinheit (24) die Datenverarbeitung und Steuerungsfunktionen für die nicht-intelligenten Komponenten (130) durchführt.
  8. Fehlertolerantes Kraftfahrzeugsteuerungssystem nach einem der vorangegangenen Ansprüche, das zusätzlich ein Datenkommunikationsnetzwerk aufweist, das die elektronischen Kraftfahrzeugkomponenten (32, 34, 36) und die Master-Steuereinheit (24) untereinander verbindet.
  9. Fehlertolerantes Kraftfahrzeugsteuerungssystem nach Anspruch 8, worin die Master-Steuereinheit (24) elektrisch mit den elektronischen Kraftfahrzeugkomponenten über das Datenkommunikationswerk verbunden ist und zum Verwalten des Datenflusses über das Datenkommunikationsnetzwerk zwischen den elektronischen Kraftfahrzeugkomponenten (32, 34, 36) programmiert ist.
  10. Fehlertolerantes Kraftfahrzeugsteuerungssystem nach einem der vorangegangenen Ansprüche, das zusätzlich eine untergeordnete Steuereinheit (26) umfasst, die elektrisch mit der Master-Steuereinheit (24) verbunden ist, wobei die untergeordnete Steuereinheit (26) einen Computerprozessor (100) aufweist, der zum Verwalten des Datenflusses zwischen den elektronischen Kraftfahrzeugkomponenten (32, 34, 36) in dem Falle eines Ausfalls der Master-Steuereinheit (24) programmiert ist.
  11. Fehlertolerantes Kraftfahrzeugsteuerungssystem nach Anspruch 10, worin die untergeordnete Steuereinheit (26) ein Multitasking-Betriebssystem für offene Plattformen aufweist, das auf einem Computerprozessor (100) der untergeordneten Steuereinheit (26) ausgeführt wird.
  12. Fehlertolerantes Kraftfahrzeugsteuerungssystem nach Anspruch 10 oder 11, das zusätzlich umfasst: eine doppelte Busdatenstruktur mit einem primären Bus (28) und einem Unterstützungsbus (30), wobei der primäre Bus (29) die elektronischen Kraftfahrzeugkomponenten (32, 34, 36), die Master-Steuereinheit (24) und die untergeordnete Steuereinheit (26) untereinander verbindet und wobei der Unterstützungsbus (30) mit der untergeordneten Steuereinheit (26) zum Bilden einer Schnittstelle für ein oder mehrere andere Geräte verbunden ist.
  13. Fehlertolerantes Kraftfahrzeugsteuerungssystem nach einem der Ansprüche 10 bis 12, worin die Master-Steuereinheit (24) den Datenfluss zwischen den elektronischen Kraftfahrzeugkomponenten (32, 34, 36) und der untergeordneten Steuereinheit (26) über einen primären Bus verwaltet und in dem Fall, dass die untergeordnete Steuereinheit (26) versucht, unberechtigte Kontrolle über eine der elektronischen Kraftfahrzeugkomponenten (32, 34, 36) auf dem primären Bus (28) zu erlangen, die Master-Steuereinheit (24) zum Abschalten der von der untergeordneten Steuereinheit (26) auf den primären Bus (28) kommenden Kommunikation ausgestaltet ist.
  14. Fehlertolerantes Kraftfahrzeugsteuerungssystem nach Anspruch 8 oder 9, worin die auf einem der elektronischen Kraftfahrzeugkomponenten (32, 34, 36) angesiedelte Schaltlogik ausgestaltet ist zum Weiterleiten von Daten zu: (i) dem lokalen Controller (86) der elektronischen Kraftfahrzeugkomponente, wenn der lokale Controller korrekt arbeitet oder (ii) dem Datenkommunikationsnetzwerk unter Umgehung des lokalen Controllers (86), wenn der lokale Controller (86) nicht korrekt arbeitet, worin in dem Fall eines Ausfalls eines lokalen Controllers (86) die Schaltlogik die Daten zu der Master-Steuereinheit (24) über das Datenkommunikationsnetzwerk durch Überbrücken des ausgefallenen lokalen Controllers (86) weiterleitet und die Master-Steuereinheit (24) die Aufgaben des ausgefallenen lokalen Controllers (86) durchführt.
  15. Kraftfahrzeug, das ein fehlertolerantes Kraftfahrzeugsteuerungssystem nach einem der vorangegangenen Ansprüche umfasst.
  16. Verfahren zum Betrieb eines Kraftfahrzeugsteuerungssystem (20) für ein Kraftfahrzeug mit einer Vielzahl von elektronischen Kraftfahrzeugkomponenten (32, 34, 36), wobei jede elektronische Kraftfahrzeugkomponente einen lokalen Controller (86) zum Steuern des Betriebs der zugehörigen elektronischen Kraftfahrzeugkomponenten und Schaltlogik zum selektiven Weiterleiten von Daten zu dem lokalen Controller (86) oder zu der Master-Steuereinheit (24) bei Ausfall des lokales Controllers (86) aufweist, wobei jeder der lokalen Controller Treibersoftware speichert, die derart ausgestaltet ist, dass, wenn sie durch den lokalen Controller (86) ausgeführt wird, der lokale Controller (86) die elektronische Kraftfahrzeugkomponente (32, 34, 36) steuert, wobei das Kraftfahrzeugsteuerungssystem eine mit den elektronischen Kraftfahrzeugkomponenten verbundene Master-Steuereinheit (24) umfasst, die einen Computerprozessor (60) aufweist, wobei das Verfahren die folgenden Schritte umfasst: (1) während der Initialisierung oder bei Hinzufügen von elektronischen Kraftfahrzeugkomponenten (32, 34, 36) zu dem System, das Registrieren der elektronischen Komponenten (32, 34, 36) bei der Master-Steuereinheit (24) und das Herunterladen der Treibersoftware der lokalen Controller auf die Master-Steuereinheit (24), (2) Speichern der Treibersoftware des lokalen Controllers auf der Master-Steuereinheit, (3) Kontinuierliches Überwachen der lokalen elektronischen Controller (86) hinsichtlich deren Ausfall und (4) in dem Fall, dass einer der elektronischen Controller (86) ausfällt, das Ausführen der Treibersoftware des ausgefallenen lokalen Controllers und dadurch das entfernte Steuern der zugehörigen Komponente von dem Computerprozessor (60) aus.
  17. Verfahren nach Anspruch 16, wobei das System zusätzlich eine mit der Master-Steuereinheit (24) elektrisch verbundene untergeordnete Steuereinheit (26) umfasst, worin das Verfahren zusätzlich die folgenden Schritte umfasst: (1) Überwachen der Master-Steuereinheit (24) und (2) in dem Fall, dass die Master-Steuereinheit ausfällt, das Verwalten der Datenkommunikation unter den lokalen elektronischen Controllern (86) von der untergeordneten Steuereinheit (26) aus.
  18. Computer, der zum Durchführen der Schritte des Verfahrens nach Anspruch 16 oder 17 programmiert ist.
DE1997637308 1996-12-16 1997-12-10 Fehlertolerantes kraftfahrzeugsteuerungssystem Expired - Lifetime DE69737308T2 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US08771343 US5957985A (en) 1996-12-16 1996-12-16 Fault-resilient automobile control system
US771343 1996-12-16
PCT/US1997/023030 WO1998026958A1 (en) 1996-12-16 1997-12-10 Fault-resilient automobile control system

Publications (1)

Publication Number Publication Date
DE69737308T2 true DE69737308T2 (de) 2007-09-13

Family

ID=25091511

Family Applications (2)

Application Number Title Priority Date Filing Date
DE1997637308 Expired - Lifetime DE69737308T2 (de) 1996-12-16 1997-12-10 Fehlertolerantes kraftfahrzeugsteuerungssystem
DE1997637308 Expired - Lifetime DE69737308D1 (de) 1996-12-16 1997-12-10 Fehlertolerantes kraftfahrzeugsteuerungssystem

Family Applications After (1)

Application Number Title Priority Date Filing Date
DE1997637308 Expired - Lifetime DE69737308D1 (de) 1996-12-16 1997-12-10 Fehlertolerantes kraftfahrzeugsteuerungssystem

Country Status (7)

Country Link
US (1) US5957985A (de)
EP (1) EP0942849B1 (de)
JP (1) JP4091126B2 (de)
KR (1) KR20000057625A (de)
CA (1) CA2275246C (de)
DE (2) DE69737308T2 (de)
WO (1) WO1998026958A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010003122B4 (de) * 2009-03-24 2013-04-25 Autonetworks Technologies, Ltd. Fahrzeug-Steuervorrichtung, Fahrzeug-Steuerverfahren, Computerprogramm und Speicher damit

Families Citing this family (123)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998052795A3 (de) * 1997-05-21 1999-02-25 Siemens Ag Insassenschutz-steuersystem und verfahren zur steuerung des insassenschutz-steuersystems
JP3731980B2 (ja) * 1997-08-20 2006-01-05 富士通株式会社 コンピュータネットワークシステム及び携帯型コンピュータ
DE19753907A1 (de) * 1997-12-05 1999-06-10 Itt Mfg Enterprises Inc Verbundsystem zur Regelung des Fahrverhaltens eines Kraftfahrzeugs
ES2147119B1 (es) * 1998-03-10 2001-03-16 Mecanismos Aux Es Ind S L Sistema para transferir informacion binaria.
JPH11341020A (ja) * 1998-05-22 1999-12-10 Yazaki Corp 多重通信システム
US6150925A (en) * 1998-06-03 2000-11-21 Intel Corporation Connecting devices to in-car personal computers
US6311162B1 (en) * 1998-07-25 2001-10-30 Ernst F. Reichwein Interactive symptomatic recording system and methods
US7103646B1 (en) * 1998-08-07 2006-09-05 Hitachi, Ltd. Distributed control system and information processing system
US20030204549A1 (en) * 1998-10-22 2003-10-30 Wolfgang Eibach Operating system for handling dynamic and static tasks
WO2000029083A1 (en) * 1998-11-13 2000-05-25 Brook Lang A motor vehicle entertainment system
DE19853665B4 (de) * 1998-11-20 2005-06-30 Daimlerchrysler Ag Fahrzeugkommunikationssystem und Verfahren zum Austausch von Daten in einem Kraftfahrzeug
CA2280571A1 (en) * 1998-11-30 2000-05-30 Daimlerchrysler Corporation J1850 application specific integrated circuit (asic) and messaging technique
FR2790857B1 (fr) * 1999-03-12 2001-09-07 Siemens Automotive Sa Systeme de securite pour vehicule automobile
DE10009366A1 (de) * 1999-03-22 2000-09-28 Continental Teves Ag & Co Ohg Schaltungsanordnung und Verfahren zur Konfiguration einer Schnittstelle von einer Steuerungs- oder Regelungseinrichtung
JP2000297444A (ja) * 1999-04-13 2000-10-24 Komatsu Ltd 建設機械の情報管理装置
DE19918407C2 (de) * 1999-04-22 2003-02-06 Deutsche Bahn Ag Bremssystem für einen Zug
US7213061B1 (en) 1999-04-29 2007-05-01 Amx Llc Internet control system and method
US6865596B1 (en) * 1999-06-09 2005-03-08 Amx Corporation Method and system for operating virtual devices by master controllers in a control system
DE19931838C1 (de) * 1999-07-09 2001-10-31 Daimler Chrysler Ag Verfahren zur Überprüfung einer ringförmigen optischen Netzleitung zur Datenübertragung zwischen mehreren Netzteilnehmern in einem Kraftfahrzeug
DE19932405B4 (de) * 1999-07-14 2008-01-31 Grundig Multimedia B.V. Verfahren zur Aufnahme einer neuen Komponente in ein Bussystem
FR2796735B1 (fr) * 1999-07-21 2002-08-16 Peugeot Citroen Automobiles Sa Procede et systeme de configuration de calculateurs
US7277782B2 (en) 2001-01-31 2007-10-02 Oshkosh Truck Corporation Control system and method for electric vehicle
US7729831B2 (en) * 1999-07-30 2010-06-01 Oshkosh Corporation Concrete placement vehicle control system and method
US6909944B2 (en) * 1999-07-30 2005-06-21 Oshkosh Truck Corporation Vehicle control system and method
US7024296B2 (en) * 1999-07-30 2006-04-04 Oshkosh Truck Corporation Control system and method for an equipment service vehicle
US6922615B2 (en) * 1999-07-30 2005-07-26 Oshkosh Truck Corporation Turret envelope control system and method for a fire fighting vehicle
US7184866B2 (en) * 1999-07-30 2007-02-27 Oshkosh Truck Corporation Equipment service vehicle with remote monitoring
US7302320B2 (en) 2001-12-21 2007-11-27 Oshkosh Truck Corporation Failure mode operation for an electric vehicle
US7127331B2 (en) 1999-07-30 2006-10-24 Oshkosh Truck Corporation Turret operator interface system and method for a fire fighting vehicle
US7184862B2 (en) * 1999-07-30 2007-02-27 Oshkosh Truck Corporation Turret targeting system and method for a fire fighting vehicle
US7162332B2 (en) 1999-07-30 2007-01-09 Oshkosh Truck Corporation Turret deployment system and method for a fire fighting vehicle
US6421593B1 (en) * 1999-07-30 2002-07-16 Pierce Manufacturing Inc. Military vehicle having cooperative control network with distributed I/O interfacing
US7006902B2 (en) 1999-07-30 2006-02-28 Oshkosh Truck Corporation Control system and method for an equipment service vehicle
US7107129B2 (en) 2002-02-28 2006-09-12 Oshkosh Truck Corporation Turret positioning system and method for a fire fighting vehicle
US7072745B2 (en) 1999-07-30 2006-07-04 Oshkosh Truck Corporation Refuse vehicle control system and method
US6882917B2 (en) * 1999-07-30 2005-04-19 Oshkosh Truck Corporation Steering control system and method
US6993421B2 (en) * 1999-07-30 2006-01-31 Oshkosh Truck Corporation Equipment service vehicle with network-assisted vehicle service and repair
US7412307B2 (en) * 2002-08-02 2008-08-12 Oshkosh Truck Corporation Refuse vehicle control system and method
US7379797B2 (en) 2001-01-31 2008-05-27 Oshkosh Truck Corporation System and method for braking in an electric vehicle
US7792618B2 (en) 2001-12-21 2010-09-07 Oshkosh Corporation Control system and method for a concrete vehicle
US6845398B1 (en) * 1999-08-02 2005-01-18 Lucent Technologies Inc. Wireless multimedia player
US6654910B1 (en) 1999-08-14 2003-11-25 International Business Machines Corporation Intelligent fault management
DE19946022A1 (de) 1999-09-25 2001-04-26 Bosch Gmbh Robert Steuerungsvorrichtung und -verfahren zur Festlegung einer Informationsausgabe-Rangfolge mehrerer Informationsquellen, insbesondere Audioquellen
US6553290B1 (en) * 2000-02-09 2003-04-22 Oshkosh Truck Corporation Equipment service vehicle having on-board diagnostic system
JP3900778B2 (ja) * 2000-02-22 2007-04-04 アイシン・エィ・ダブリュ株式会社 ナビゲーション装置
FR2808353B1 (fr) * 2000-04-28 2003-12-05 Airsys Atm S A Dispositif de gestion d'entrees/sorties redondant, notamment de routage informatique
DE10023705A1 (de) * 2000-05-16 2001-11-22 Bosch Gmbh Robert Verfahren zur Zugriffssteuerung auf Geräte in einem Fahrzeugkommunikationsnetz
DE10026124A1 (de) * 2000-05-26 2001-11-29 Bayerische Motoren Werke Ag Schaltungsanordnung für ein Kraftfahrzeug
DE10030996B4 (de) * 2000-06-30 2010-07-22 Robert Bosch Gmbh Vorrichtung und Verfahren zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug
KR20020022576A (ko) * 2000-09-19 2002-03-27 가와소에 가츠히코 차량용 전자 제어 시스템의 고장 진단 장치 및 고장 진단방법
US6928654B2 (en) * 2000-10-27 2005-08-09 Audiovox Corporation Vehicle display device for simultaneously displaying one or more video programs on separate displays
US6973023B1 (en) 2000-12-30 2005-12-06 Cisco Technology, Inc. Method for routing information over a network employing centralized control
US6981087B1 (en) * 2001-01-02 2005-12-27 Juniper Networks, Inc. Multi-master and diverse serial bus in a complex electrical system
JP4399987B2 (ja) * 2001-01-25 2010-01-20 株式会社デンソー 車両統合制御におけるフェイルセーフシステム
US6757597B2 (en) 2001-01-31 2004-06-29 Oshkosh Truck A/C bus assembly for electronic traction vehicle
DE10105858A1 (de) * 2001-02-08 2002-08-14 Deere & Co Kommunikationssystem eines Fahrzeugs
DE10118300B4 (de) * 2001-04-12 2006-05-18 Conti Temic Microelectronic Gmbh Verfahren zum Betreiben von elektronischen Steuereinrichtungen in einem Kraftfahrzeug
US7146260B2 (en) 2001-04-24 2006-12-05 Medius, Inc. Method and apparatus for dynamic configuration of multiprocessor system
JP2002347479A (ja) * 2001-05-29 2002-12-04 Denso Corp 車両統合制御システム
DE10127327A1 (de) * 2001-06-06 2003-01-09 Bosch Gmbh Robert Busstation
GB0114424D0 (en) * 2001-06-13 2001-08-08 Ricardo Consulting Eng Improved vehicle control
DE10140721A1 (de) * 2001-08-27 2003-03-20 Bayerische Motoren Werke Ag Verfahren zur Bereitstellung von Software zur Verwendung durch ein Steuergerät eines Fahrzeugs
US6678606B2 (en) 2001-09-14 2004-01-13 Cummins Inc. Tamper detection for vehicle controller
DE10148326A1 (de) * 2001-09-29 2003-04-17 Daimler Chrysler Ag Kommunikationssystem, insbesondere für ein Kraftfahrzeug
DE10148340A1 (de) * 2001-09-29 2003-04-17 Bosch Gmbh Robert Verfahren zur Notbetätigung bewegbarer Flächen an Fahrzeugen
US6865460B2 (en) * 2001-10-29 2005-03-08 Visteon Global Technologies, Inc. Communication network for an automobile
US7342325B2 (en) * 2001-11-05 2008-03-11 Michael Rhodes Universal fleet electrical system
US6901531B2 (en) * 2001-11-30 2005-05-31 Sun Microsystems, Inc. Automatic system control failover
US7778750B2 (en) * 2002-02-25 2010-08-17 Cummins Inc. Vehicle communications network adapter
US7178049B2 (en) 2002-04-24 2007-02-13 Medius, Inc. Method for multi-tasking multiple Java virtual machines in a secure environment
US7520354B2 (en) * 2002-05-02 2009-04-21 Oshkosh Truck Corporation Hybrid vehicle with combustion engine/electric motor drive
US6759851B2 (en) 2002-07-02 2004-07-06 Delphi Technologies, Inc. Method and apparatus for control and fault detection of an electric load circuit
EP1526987B1 (de) * 2002-07-29 2008-03-05 Robert Bosch Gmbh Computersystem und verfahren zur steuerung, insbesondere zur koordinierten antriebsstrangsteuerung eines kraftfahzeuges
US7036040B2 (en) * 2002-11-26 2006-04-25 Microsoft Corporation Reliability of diskless network-bootable computers using non-volatile memory cache
US6960918B2 (en) * 2003-01-28 2005-11-01 Delphi Technologies, Inc. Method and apparatus for control and fault detection of a remote electrical motor
US7245995B2 (en) * 2003-02-19 2007-07-17 Robert Bosch Gmbh Fault-tolerant vehicle stability control
DE10307342B4 (de) 2003-02-21 2005-08-11 Audi Ag Vorrichtung und Verfahren zur modellbasierten On-Board-Diagnose
JP2004268630A (ja) * 2003-03-05 2004-09-30 Yazaki Corp 電装コネクタ、および補機モジュール
FR2852709B1 (fr) * 2003-03-18 2005-06-17 Peugeot Citroen Automobiles Sa Systeme de securisation de sorties de signaux de commande d'une unite de traitement d'informations
US7275181B2 (en) * 2003-03-26 2007-09-25 International Business Machines Corporation Autonomic embedded computing “dynamic storage subsystem morphing”
WO2004104834A1 (ja) * 2003-05-20 2004-12-02 Bosch Corporation 車両制御システムの復帰制御方法
US7516244B2 (en) 2003-07-02 2009-04-07 Caterpillar Inc. Systems and methods for providing server operations in a work machine
US7532640B2 (en) * 2003-07-02 2009-05-12 Caterpillar Inc. Systems and methods for performing protocol conversions in a machine
US7983820B2 (en) * 2003-07-02 2011-07-19 Caterpillar Inc. Systems and methods for providing proxy control functions in a work machine
DE10333652A1 (de) * 2003-07-24 2005-02-24 Bayerische Motoren Werke Ag Steuervorrichtung für ein zumindest zeitweise vierradgetriebenes Kraftfahrzeug
WO2005043483A1 (en) * 2003-10-27 2005-05-12 Scania Cv Ab (Publ) Remote control system
JP4155198B2 (ja) * 2004-01-19 2008-09-24 トヨタ自動車株式会社 車両の制御システムの異常検知装置
EP1616746B1 (de) * 2004-07-15 2010-02-24 Hitachi, Ltd. Fahrzeugsteuerungsystem
DE102004032458B4 (de) * 2004-06-30 2017-08-24 Volkswagen Ag Vorrichtung und Verfahren zur Ansteuerung von Systemkomponenten
JP4709847B2 (ja) * 2004-11-11 2011-06-29 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Maschines Corporation ネットワーク再構成による処理ユニットの並列フラッシング
JP4437468B2 (ja) * 2004-12-06 2010-03-24 富士通テン株式会社 車両用電子制御装置
WO2007030421A3 (en) 2005-09-07 2009-04-16 Amx Llc Method and computer program for device configuration
US20070088469A1 (en) * 2005-10-04 2007-04-19 Oshkosh Truck Corporation Vehicle control system and method
KR100747303B1 (ko) * 2005-11-11 2007-08-07 현대자동차주식회사 하이브리드 차량의 페일 세이프티 제어 시스템
US8947531B2 (en) 2006-06-19 2015-02-03 Oshkosh Corporation Vehicle diagnostics based on information communicated between vehicles
US8139109B2 (en) 2006-06-19 2012-03-20 Oshkosh Corporation Vision system for an autonomous vehicle
US7817066B2 (en) * 2006-07-06 2010-10-19 Sin Etke Technology Co., Ltd. In-vehicle computer system
DE102006056668A1 (de) 2006-11-30 2008-06-05 Continental Teves Ag & Co. Ohg Verfahren zum Sicherstellen oder Aufrechterhalten der Funktion eines komplexen sicherheitskritischen Gesamtsystems
JP4458119B2 (ja) 2007-06-11 2010-04-28 トヨタ自動車株式会社 マルチプロセッサシステム及びその制御方法
JP5114123B2 (ja) * 2007-07-24 2013-01-09 トヨタ自動車株式会社 車載装置制御システム
WO2009156882A1 (en) * 2008-06-25 2009-12-30 Nxp B.V. System on chip system and method to operate the system
US9358924B1 (en) 2009-05-08 2016-06-07 Eagle Harbor Holdings, Llc System and method for modeling advanced automotive safety systems
DE102010035300B4 (de) * 2009-08-28 2012-05-31 Jörg Hartzsch Vorrichtung und Verfahren zum Betreiben mehrerer Komponenten an einfachen elektrischen Datenverbindungen
DE102009042368A1 (de) * 2009-09-23 2011-03-31 Phoenix Contact Gmbh & Co. Kg Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
DE102009042354C5 (de) 2009-09-23 2017-07-13 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur sicherheitsgerichteten Kommunikation im Kommunikations-Netzwerk einer Automatisierungs-Anlage
US8337352B2 (en) 2010-06-22 2012-12-25 Oshkosh Corporation Electromechanical variable transmission
GB201015756D0 (en) * 2010-09-21 2010-10-27 Airbus Operations Gmbh Remote data concentrator
CN102001392A (zh) * 2010-11-05 2011-04-06 北京工业大学 混合动力残疾人摩托车车载信息系统
US8930036B2 (en) * 2011-04-13 2015-01-06 GM Global Technology Operations LLC Reconfigurable interface-based electrical architecture
KR101251808B1 (ko) * 2011-10-28 2013-04-09 주식회사 현대케피코 듀얼 ems 및 그 제어 방법
DE102011121441A1 (de) * 2011-12-16 2013-06-20 GM Global Technology Operations LLC (n. d. Gesetzen des Staates Delaware) Verfahren zum Betreiben eines Fehlerdiagnosesystems eines Fahrzeugs und Fahrzeug
US8988025B2 (en) * 2012-01-20 2015-03-24 GM Global Technology Operations LLC Systems and methods for controlling a brushless motor
US8452465B1 (en) 2012-03-30 2013-05-28 GM Global Technology Operations LLC Systems and methods for ECU task reconfiguration
JP2013225208A (ja) * 2012-04-20 2013-10-31 Toyota Motor Corp 情報処理装置、情報処理方法、及びプログラム
US8953436B2 (en) * 2012-09-20 2015-02-10 Broadcom Corporation Automotive neural network
US9132736B1 (en) 2013-03-14 2015-09-15 Oshkosh Defense, Llc Methods, systems, and vehicles with electromechanical variable transmission
US9845191B2 (en) 2013-08-02 2017-12-19 Oshkosh Corporation Ejector track for refuse vehicle
US9514581B2 (en) * 2014-01-03 2016-12-06 Shem, Llc Diagnostic system for a vehicle
FR3023047B1 (fr) * 2014-06-27 2016-06-24 Continental Automotive France Procede de gestion de messages de panne d'un vehicule automobile
US9650032B2 (en) 2015-02-17 2017-05-16 Oshkosh Corporation Multi-mode electromechanical variable transmission
US9656659B2 (en) 2015-02-17 2017-05-23 Oshkosh Corporation Multi-mode electromechanical variable transmission
US9651120B2 (en) 2015-02-17 2017-05-16 Oshkosh Corporation Multi-mode electromechanical variable transmission
WO2017108407A1 (de) * 2015-12-21 2017-06-29 Bayerische Motoren Werke Aktiengesellschaft Verfahren zur modifikation safety- und/oder security-relevanter steuergeräte in einem kraftfahrzeug, und eine diesbezügliche vorrichtung

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3623014A (en) * 1969-08-25 1971-11-23 Control Data Corp Computer communications system
EP0033664A1 (de) * 1980-02-04 1981-08-12 Ripaults Limited Fahrzeug-Verdrahtungs-System
US4534025A (en) * 1983-02-24 1985-08-06 United Technologies Automotive, Inc. Vehicle multiplex system having protocol/format for secure communication transactions
US4694408A (en) * 1986-01-15 1987-09-15 Zaleski James V Apparatus for testing auto electronics systems
US4736367A (en) * 1986-12-22 1988-04-05 Chrysler Motors Corporation Smart control and sensor devices single wire bus multiplex system
US5377322A (en) * 1989-07-19 1994-12-27 Hitachi, Ltd. Information handling method and system utilizing multiple interconnected processors and controllers
EP0434907A3 (en) * 1989-09-07 1991-08-07 Gisowatt S.P.A. Industria Elettrodomestici Floor-scrubbing machine
US5481456A (en) * 1990-09-04 1996-01-02 Fuji Jukogyo Kabushiki Kaisha Electronic control system having master/slave CPUs for a motor vehicle
US5351041A (en) * 1990-10-25 1994-09-27 Pioneer Electronic Corporation Method of data communication in communication network on automobile
US5278759A (en) * 1991-05-07 1994-01-11 Chrysler Corporation System and method for reprogramming vehicle computers
US5313584A (en) * 1991-11-25 1994-05-17 Unisys Corporation Multiple I/O processor system
JP3138709B2 (ja) * 1993-12-21 2001-02-26 アイシン・エィ・ダブリュ株式会社 車両用電子制御装置の自己故障診断方法及び装置
DE19500957A1 (de) * 1994-07-19 1996-01-25 Bosch Gmbh Robert Verfahren zur Steuerung von technischen Vorgängen oder Prozessen
EP0812049A4 (de) * 1995-02-21 2000-06-07 Hitachi Ltd Einrichtung und verfahren zur stromversorgung eines fahrzeugs,halbleiterschaltungselement zur verwendung in denselben und gemeinsames verkabelungssystem für ein fahrzeug oder automobil
JP3657027B2 (ja) * 1995-05-25 2005-06-08 株式会社小松製作所 車両故障診断装置の時間管理システム及び方法
JPH09226482A (ja) * 1996-02-28 1997-09-02 Toyota Motor Corp 車両用通信制御装置
GB9605048D0 (en) * 1996-03-09 1996-05-08 Jaguar Cars Multiplexed electronic control systems
DE19637312A1 (de) * 1996-09-12 1998-03-19 Bosch Gmbh Robert Verfahren zur Kontrolle der Verbindungen eines Übertragungssystems und Komponente zur Durchführung des Verfahrens
DE19640148A1 (de) * 1996-09-28 1998-04-02 Wabco Gmbh Elektronisches Bremssystem für Radfahrzeuge

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010003122B4 (de) * 2009-03-24 2013-04-25 Autonetworks Technologies, Ltd. Fahrzeug-Steuervorrichtung, Fahrzeug-Steuerverfahren, Computerprogramm und Speicher damit
US9020616B2 (en) 2009-03-24 2015-04-28 Autonetworks Technologies, Ltd. Control apparatus and control method of performing operation control of actuators

Also Published As

Publication number Publication date Type
DE69737308D1 (de) 2007-03-22 grant
EP0942849A1 (de) 1999-09-22 application
KR20000057625A (ko) 2000-09-25 application
EP0942849B1 (de) 2007-01-31 grant
JP2001506789A (ja) 2001-05-22 application
US5957985A (en) 1999-09-28 grant
WO1998026958A1 (en) 1998-06-25 application
CA2275246C (en) 2008-06-03 grant
JP4091126B2 (ja) 2008-05-28 grant
CA2275246A1 (en) 1998-06-25 application

Similar Documents

Publication Publication Date Title
US8020028B1 (en) Application management system for mobile devices
US20030093199A1 (en) Remote monitoring and control of a motorized vehicle
EP0467112A2 (de) Elektronisches Bremssystem für Strassenfahrzeuge
DE19832167A1 (de) Elektromechanisches Bremssystem
US20100292867A1 (en) Motor Vehicle Control Device
DE19853036A1 (de) Elektromechanisches Bremssystem
DE19716197A1 (de) Mikroprozessorsystem für sicherheitskritische Regelungen
EP1058220A1 (de) Kommunikationssystem für ein Fahrzeug
DE4439060A1 (de) Mikroprozessoranordnung für ein Fahrzeug-Regelungssystem
DE4110372A1 (de) Multiplex-uebertragungssystem fuer fahrzeuge
DE19926206A1 (de) Fahrzeugelektrik-Konfigurationssystem
US6434459B2 (en) Automobile information system
DE10131395A1 (de) Verfahren zum Übertragen von Software- Modulen
DE19750662A1 (de) Prozessoreinheit für ein datenverarbeitungsgestütztes elektronisches Steuerungssystem in einem Kraftfahrzeug
EP1482394A2 (de) Verfahren zur Steuerung des Zugriffs auf eine Ressource einer Applikation in einer Datenverarbeitungseinrichtung
DE10332700A1 (de) Verfahren zur Umschaltung zwischen wenigstens zwei Betriebsmodi einer Prozessoreinheit sowie entsprechende Prozessoreinheit
DE19853451A1 (de) Verfahren zum Aktivieren und/oder Deaktivieren eines Netzwerkkomponentenverbundes, insbesondere eines Kraftfahrzeug-Netzwerkkomponentenverbundes
US5957985A (en) Fault-resilient automobile control system
DE19735015A1 (de) Verfahren und Vorrichtung für Sicherheitsstrategien in Kraftfahrzeugen
DE102005048427B3 (de) Kommunikations-Anordnung für ein Fahrzeug
GB2339869A (en) A fault tolerant electronic braking system
DE4404501A1 (de) Elektronisches Türschließsystem
EP1405767A1 (de) Bordnetz fuer ein kraftfahrzeug
Peti et al. An integrated architecture for future car generations
DE19909157A1 (de) Verteiltes Fahrzeuginformationsverarbeitungs- und Fahrzeugsteuersystem