EP1529253A1 - Verfahren und vorrichtung zur steuerung von betriebsabläufen insbesondere in einem fahrzeug - Google Patents

Verfahren und vorrichtung zur steuerung von betriebsabläufen insbesondere in einem fahrzeug

Info

Publication number
EP1529253A1
EP1529253A1 EP03790637A EP03790637A EP1529253A1 EP 1529253 A1 EP1529253 A1 EP 1529253A1 EP 03790637 A EP03790637 A EP 03790637A EP 03790637 A EP03790637 A EP 03790637A EP 1529253 A1 EP1529253 A1 EP 1529253A1
Authority
EP
European Patent Office
Prior art keywords
unit
functional unit
error
wda
error signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP03790637A
Other languages
English (en)
French (fr)
Inventor
Stefan Keller
Wolfgang Haag
Margit Mueller
Reinhard Pfeufer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of EP1529253A1 publication Critical patent/EP1529253A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40032Details regarding a bus interface enhancer
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/407Bus networks with decentralised control
    • H04L12/413Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD]
    • H04L12/4135Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD] using bit-wise arbitration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Definitions

  • the present invention relates to a method for controlling and / or regulating operating sequences, in particular in a vehicle.
  • a functional unit for sending and receiving information about at least one connection unit with at least one bus system.
  • the functional unit is monitored by a monitoring unit, the sending of information from the functional unit via the at least one bus system is prevented by the monitoring unit if an error in the functional unit is detected.
  • the invention also relates to a device for controlling and / or regulating operating processes, in particular in a vehicle.
  • the device comprises at least one functional unit which is used to send and receive information about at least one
  • Connection unit is connected to at least one bus system.
  • the device comprises at least one monitoring unit which monitors the functional unit.
  • the present invention also relates to a control device for controlling and / or leveling vcn
  • the control device comprises a functional unit, which stands for sending and receiving information about at least one connection unit with at least one Buss / sfer ⁇ connection, and a monitoring unit, which monitors the functional unit.
  • the monitoring unit prevents the sending of information from the functional unit via the at least one bus system if it detects an error in the functional unit.
  • the error detection device is connected to the data line and comprises electrical switching elements in order to be able to disconnect the data line in the event of an error.
  • this presupposes that switching elements must be arranged in every data line with which the electronic device is connected and which is to be disconnected in the event of a fault.
  • the functional monitoring of the functional unit by the monitoring unit can be activated or deactivated by the functional unit using a switching element.
  • the switching element can be implemented, for example, by setting or deleting a bit.
  • the monitoring function is activated, the functional unit is separated from the bus system by access.
  • the monitoring unit controls a further switching element through which the connection from the functional unit to the
  • Bus system is interrupted. Problematic demonstration 1 " ⁇ Also here is that also separate switching elements must be provided in the connection between the functional unit and the bus system to be able to detach the functional unit in case of failure of the bus system.
  • Monitoring concepts for functional units are also known from the prior art, in which the monitoring unit issues a peset in the event of an error auslost. As a result of the reset, the functional unit starts up again and then reaches its 3et ⁇ lebsz stand. If the error of the functional unit persists after we, the monitoring unit only recognizes the error again in the operating state and only then triggers a reset of the functional unit.
  • the sending of information from the functional unit via the B ⁇ _ss si, e ⁇ > is only briefly prevented during the reset state, since only in this state are the input / output connection positions (so-called ports) of the functional unit inactive. In the known method, a faulty functional unit can therefore send possibly incorrect information via the bus system, although the monitoring unit has detected an error in the functional unit. This can lead to safety-relevant situations when controlling the operational processes.
  • the present invention is based on the object of securely and reliably preventing the sending of information from the functional unit via the bus system and in a simple manner.
  • the present invention based on the method of the type mentioned at the outset, proposes that the monitoring unit emits an error signal which, depending on whether it detects an error in the functional unit or not, and that the error signal is present of the at least one connection unit and the at least one connection unit is deactivated by the error signal present if an error in the functional unit has been detected.
  • the method according to the invention does not trigger a peset in the event of a detected fault in the functional unit, but simply shuts off an erb ⁇ ndungsej.nne ⁇ t which is arranged between the functional unit and the bus system.
  • the connection unit is designed, for example, as a signal amplification device, in particular as a bus driver circuit of the bus system (so-called bus driver).
  • the bus driver circuit is used in particular to amplify a bus signal generated by a bus controller (so-called bus controller) before it is transmitted via the bus system, and to adapt the signal without feedback. So according to the invention
  • Functional unit itself in an operational state and can still generate information. However, this information can no longer be transmitted via the bus system, since the connection unit required for sending information has been deactivated.
  • the method according to the invention prevents other functional units which are connected to the faulty functional unit in a simple manner.
  • a faulty functional unit can therefore not send potentially incorrect or undesired information about the bus system in the event of a fault.
  • intrinsically safe single stones are connected in a network.
  • the sending of information by the functional unit without the use of additional switching elements between the functional unit and the bus system or in the bus system itself is secure can be reliably prevented.
  • the sending information permanently prevented by the functional unit which has the advantage over a reset function unit that the faulty Fun>'t ⁇ onse ⁇ nne_t no ⁇ can. If the errors of the functional unit allow it, it still works normally, ie it still generates information for the control and / or regulation of the operating processes, although this information can be incorrect. However, this information cannot be transmitted via the bus system. Through the continued operation of the functional unit, it is also possible to continue to monitor the functional unit in the event of an error and the sending of information by the
  • the reason for the necessary prevention of the wasting of information by the functional unit in the event of a fault is that a faulty functional unit may no longer have control over itself and over the correct generation of information to be sent, and also because of its own mistake can switch off reliably and safely. Due to a defective functional unit in a network, in which several functional units are connected to one another via a bus system, there is a risk that the other receiving functional units on the bus system will be sent by the faulty transmitter
  • Functional unit receive incorrect information and this causes unwanted actions to be carried out. These actions, which are triggered by incorrect information, can also have a safety-related effect on the operating processes to be controlled.
  • Motor vehicle control units could, for example, use a control unit for the internal combustion engine in the event of a fault
  • the error signal be applied to a reset input of the at least one connection unit.
  • the puck set input is also referred to as a reset input.
  • the connection unit can be deactivated by the error signal present at the reset input.
  • the invention proposes that the functional unit be connected to several bus systems and that the error signal be applied to connecting units of several of the bus systems.
  • the advantage of the present invention that the sending of information by a faulty functional unit can be prevented safely and reliably without the use of additional hardware, such as, for example, additional switching elements for interrupting the connection between the faulty functional unit and the bus system, is particularly evident when the faulty function is not only connected to one but to several bus systems, via which information can be sent to other function units.
  • the fault signal is the Ubeiw ⁇ L led to the connection units.
  • Bus systems that are only used to transfer information from non-safety-related operations do not necessarily have to be switched off in the event of an error in the functional unit.
  • the error signal be applied to output stages of components ⁇ / ⁇ rcl whose
  • Operating processes are controlled or regulated by the faulty functional unit.
  • These components are, for example, output stages of ignition, injection and / or throttle valve of an internal combustion engine.
  • the aim of this measure is to bring the internal combustion engine to a safe standstill in the event of a fault in the controlling or regulating functional unit.
  • Functional unit is further monitored by the monitoring unit and the at least one connection unit is reactivated if a proper function of the functional unit was detected. This reactivation of the connection units is possible at any time in the present invention. In the prior art, where a reset of the defective functional unit is carried out in the event of an error, it was only possible for the functional unit to function properly after the reset and startup of the
  • Functional unit can be recognized. With the present invention it is therefore possible not only to ensure the security of a network which comprises a plurality of functional units which are connected to one another via a bus system, but also the availability of the
  • Metzwerkverbundes be improved, since the proper functioning of a functional unit can be recognized particularly quickly.
  • the invention proposes that the monitoring unit have means for forming and outputting an error signal which assumes different values depending on whether the monitoring unit has recognized an error in the functional unit or not, and that the error signal is sent to the at least one connection unit is guided and the at least one connection unit can be deactivated by the error signal present if an error in the functional unit has been detected.
  • the device corresponds, for example, to a network which comprises a plurality of functional units which are connected to one another via a bus system.
  • the error signal be routed to an enable / disable input of the at least one connection unit.
  • the error signal be passed to a reset input of the at least one connection unit.
  • the device advantageously comprises a plurality of functional units which are connected to one another via a bus system and at least one monitoring unit, the monitoring unit being used to send
  • Such a device corresponds to the so-more multi-control device concept that has recently been increasingly used in motor vehicles, in which several control devices are used in parallel with one another to increase the computing power, the individual control device sometimes controlling a specific part of the operating processes.
  • an 8-zylmdr_gen Bren V-irafzmasc'nme used a first control device to control four of the cylinders and a second control device to control the remaining four cylinders.
  • the two control units are connected to each other via a bus system.
  • Information about the operating state of the internal combustion engine or the motor vehicle is only supplied to the first control device, which then forwards the information to the second control device via the bus system. If the monitoring unit of the first control unit detects an error in the control unit, it deactivates the connection unit of the bus system to the second control unit in order to prevent the first control unit from sending incorrect information to the second control unit and the second control unit to send the remaining four
  • the monitoring unit have means for forming and outputting an error signal which, depending on the situation, assumes different values as to whether the monitoring unit detects an error in the functional unit has or not, and that the error signal is fed to the at least one connection unit and the at least one connection unit can be deactivated by the applied error signal if an error in the functional unit was detected.
  • FIG. 1 shows a control device according to the invention in accordance with a preferred embodiment of FIG.
  • FIG. 2 shows a device according to the invention comprising two control devices according to the invention, which are connected to one another via a bus system, and
  • a control device SG according to the invention is designated in its entirety by reference number 1.
  • the control device 1 is used, for example, to control and / or regulate the operating sequences of a motor vehicle.
  • a control device 1 " 1 is used to control 1 g 1
  • control devices S ⁇ for example for a transmission control, a driving lanyard control, a traction control system (ASP), and an automatic one
  • the bus system 2 is designed, for example, as a CAM (Controller Area Network).
  • the control device 1 comprises a function computer FR 3, which is designed, for example, as a microprocessor or as a microcontroller.
  • a computer program is executable on the function computer 3, which is used to fill the control and / or regulating function of the control device 1.
  • the function computer 3 is connected to the bus system 2 for sending and receiving information via a connection unit 4.
  • the connection unit 4 is used as a hardware interface between a controller and an external control device transmission bus with signal amplification direction, in particular as a bus driver circuit, e.g. B. designed as a CAN driver for a CAN bus system.
  • the CAN driver 4 is also referred to as a CAM driver.
  • Computer programs for fulfilling the control and / or leveling function of the control device 1 are first transmitted via a data bus 5 to a CAN controller 6, which is also referred to as a CAN controller.
  • a CAN controller 6 the information generated by the function computer 3 is converted into a Protocol corresponding form georacnt and for cue transmission via the CAM bus system. 2 prepared.
  • the signals must be adapted to the electrical properties on the CALL bus. For this, the processed ones
  • the independent hardware is assigned to the function computer 3.
  • the independent hardware is referred to as the UM 8 monitoring module.
  • the monitoring module 8 cyclically asks the function computer 3 various questions which run through extensive control mechanisms in the function computer 3, such as program sequence checks or command tests, and form a result. The result is transmitted back to the monitoring module 8 in response to the question.
  • a function computer 3 working without errors returns the correct answer within a predeterminable time window. By evaluating the response, the monitoring module 8 determines whether there is an error in the function computer 3 or not.
  • the described monitoring concept of the functional computer 3 by the monitoring module 8 is also used as a question-answer
  • Communication means Communication between the monitoring module 8 and the function computer 2 takes place via an SPI (Serial Parallel Interface) interface 9.
  • SPI Serial Parallel Interface
  • an error signal WDA is generated in the monitoring module, which takes on different values depending on whether an error of the function computer 3 has been detected or not.
  • An error payer is preferably incorrect if an error of the function computer 3 was detected.
  • the error signal WDA is only output when the error payer has exceeded a threshold value.
  • the error signal WDA is applied via a signal line 10 to output stages El to EN of motor vehicle components Kl to r'.n, which are controlled by the control device 1 for controlling and / or regulating the operating processes.
  • the control device 1 for controlling and / or regulating the operating processes.
  • these are the output stages for ignition, injection and / or throttle valve.
  • WDA is used to bring the internal combustion engine to a safe standstill and to avoid safety-relevant situations.
  • the error signal WDA is also applied to a reset input RST of the CAM driver 4.
  • the CAN driver 4 is deactivated by the applied error signal WDA if an error in the function computer 3 has been detected. As a result, the sending of information by a defective function computer 3 via the CAN
  • Bus system 2 is reliably, effectively and, above all, permanently prevented for the entire duration of the fault of the function computer 3. As a result, the possibly faulty information is also sent to others by the faulty function computer 3 via the CAM bus system 2
  • the control device 1 thus represents an intrinsically safe own system in a control device group. It fulfills the regulations for control devices in a control device group, namely that each control device 1 bears the responsibility for the information it sends itself.
  • Another advantage of the present invention is that a faulty function computer 3 continues to work normally and continues to determine - possibly incorrectly - information for controlling the operational processes.
  • the monitoring module 8 can thus, even after the detection of an error of the function computer 3, the functionality of the
  • Control unit network can affect. As soon as the monitoring module 8 detects that the function computer 2 is functioning properly, the CAN driver 4 can be reactivated, so that the control unit 1 can work normally again. It is advantageous with the present invention that a proper function of the function computer 3 can be recognized without a long time delay.
  • Another advantage of the invention can be seen in the fact that the sending of information by a faulty function computer 3 in a simple manner and without additional hardware, for example without additional switching elements which are introduced into the CAN bus system 2 and are opened in the event of an error to separate the function computer 3 from the CAN bus system 2 can be prevented.
  • a two control device concept is shown, in which two control devices SGI, SG2 are used to control certain operating processes.
  • the two control units are SGI, SGZ. used to control the operational sequences in a 12-cylinder internal combustion engine BM 11. This controls first control unit SGI the first six cylinders ZiL 12 and the second control unit SG2 the remaining six cylinders Z ⁇ L 13.
  • the first control unit SGI receives information S about the driver's request (position of the accelerator pedal) and / or about the operating state of the internal combustion engine 11 and the
  • the two control devices SGI and SG2 are connected to one another via a CAM bus system 2.
  • the second control unit SG2 receives 2 setpoint values (e.g. the driver's request) from the first control unit SGI via the CAN bus system.
  • setpoint values e.g. the driver's request
  • the sending of information by the function computer FR1 via the CAN bus system 2 is prevented by the monitoring unit UM1.
  • the error signal WDA of the monitoring module UM1 is applied to a reset input RST of the CAN driver 4.
  • control unit SG2 can recognize a defect in the SGI and activate corresponding replacement measures or error reactions in the SG2.
  • FIGS. 3a to 3f show the courses of various control device states and control device sizes over the 2 t L.
  • the status of an error counter of the monitoring module 8 is shown in FIG. 3a. This increases at the beginning from zero to above a threshold value "W. As soon as the error payer exceeds the threshold value SW, an error response ⁇ is triggered at time tj. This means that the error signal WDA assumes a corresponding value. As values of the error signal WDA are particularly HIGH or LOW.
  • the m the figures 3b, 3c and 3c! represented course correspond to the state of the art. 3b shows the course of a peset signal which, according to the prior art, is applied by the monitoring module UM 8 to a reset input of the function computer FR 3.
  • control unit SG em Before triggering the error reaction at time ti, control unit SG em runs through normal driving program A. Then, after time ti, a fixed status B is connected. Thereafter, the control unit SG goes through an initialization phase C and then changes again to the normal driving program A.
  • the monitoring module UM carries out question-answer communication with the function computer FR to be monitored and recognizes at a time t_ that the Function calculator FP error still present.
  • the previously described states Reset B, Initialization C and Drive Program A are also included Go through twcrt communication D. 13
  • FIGS. 3e and 3f show the signal and state profiles of the control device 1 according to the invention.
  • 3e clearly shows that the CAN signal is blocked for the duration of the error immediately after the error reaction at time ti * "F ⁇ - Functional computer 3 is after the error reaction in a normal driving program A, during which a Question-answer communication D is carried out cyclically and the output stages are in the deactivated state via the WDA signal (E) .
  • the information determined by the function computer 3 is not transmitted via the CAN bus system 2 because the CAN driver 4 is deactivated and the CAN signal is thus blocked.
  • the present invention the
  • Functional computer 3 does not take place during the reset B and initialization C states. As a result, the proper functioning of the function computer 3 can be recognized earlier in the present invention than in the prior art.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • General Engineering & Computer Science (AREA)
  • Manufacturing & Machinery (AREA)
  • Quality & Reliability (AREA)
  • Safety Devices In Control Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere in einem Fahrzeug. Dabei steht eine Funktionseinheit (3) zum Versenden und Empfangen von Informationen über mindestens eine Verbindungseinheit (4) mit mindestens einem Bussystem (2) in Verbindung. Die Funktionseinheit (3) wird von einer Überwachungseinheit (8) überwacht. Das Versenden von Informationen von der Funktionseinheit (3) über das mindestens eine Bussystem (2) wird durch die Überwachungseinheit (8) unterbunden, falls ein Fehler der Funktionseinheit (3) erkannt wird. Um das Versenden von Informationen durch die Funktionseinheit (8) in einem Fehlerfall auf eine möglichst einfache Weise, aber dennoch sicher und zuverlässig zu unterbinden, wird vorgeschlagen, dass durch die Überwachungseinheit (8) ein Fehlersignal (WDA) ausgegeben wird, das in Abhängigkeit davon unterschiedliche Werte annimmt, ob ein fehler der funktionseinheit (3) erkannt wurde oder nicht, und dass das Fehlersignal (WDA) an der mindestens einen Verbindungseinheit (4) angelegt und die mindestens eine Verbindungseinheit (4) durch das anliegende Fehlersignal (WDA) deaktiviert wird, falls ein Fehler der Funktionseinheit (3) erkannt wurde.

Description

Verfahren und Vorrichtung zur Steuerung von
Bet iebsablaufen, insbesondere n einem Fahrzeug
Die vorliegende Erfindung betrifft ein Verfahren zur Steuerung und/oder Regelung von Betriebsablaufen, insbesondere in einem Fahrzeug. Dabei steht eine Funktionseinheit zum Versenden und Empfangen von Informationen über mindestens eine Verbindungseinheit mit mindestens einem Bussystem m Verbindung. Die Funktionseinheit wird von einer Überwachungseinheit überwacht, das Versenden vor Informationen von der Funktionseinheit über das mindestens eine Bussystem wird durch die Uberwachungseinheit unterbunden, falls ein Fehler der Funktionseinheit erkannt wird.
D e Erfindung betrifft außerdem eine Vorrichtung zur Steuerung und/oder Regelung von Betriebsablaufen, insbesondere m einem Fahrzeug. Die Vorrichtung umfasst mindestens eine Funktionseinheit, welche zum Versenden und Empfangen von Informationen über mindestens eine
Verbindungseinheit mit mindestens einem Bussystem in Verbindung steht. Außerdem urnfasst die Vorrichtung mindestens e ne Uberwachungseinheit, welche die Funktionseinheit überwacht. Die Uberwachungseinheit unterbindet das Versenden von Informationen von d-=τ Funktionseinheit über das mindestens eine Bussystem, falls sie einen Fehler αer Funktionsemneit ernennt.
Scnließl ch betrifft die vorliegende Erfindung auch ein Steuerger t zur Steuerung und/oder Pegelung vcn
Betriebsablaufen insbesondere in einem Fahrzeug. Das Steuergerat umfasst eine Funktionseinheit, welche zum Versenden und Empfangen von Informationen über mindestens eine Verbindungseinheit mit mindestens einem Büss/sfer ^ Verbindung steht, und eine Uberwachungseinheit, welche die Funktionseinheit überwacht. Die Uberwachungseinheit unterbindet das Versenden von Informationen von der Funktionseinheit über das mindestens eine Bussystem, falls sie einen Fehler der Funktionseinheit erkennt.
Stand der Technik
Aus der DE 198 33 462 AI ist e ne Schaltungsanordnung zur Abkopplung einer elektronischen Einrichtung von einer Datenleitung in einem Kraftfahrzeug bekannt. Uh<=r ια Datenleitung tauschen die elektronische Einrichtung und mindestens ein weiteres elektrisches System wahrend des Betriebs der elektronischen Einrichtung Informationen aus. Bei der Schaltungsanordnung, bei welcher trotz Ausfall einer an die Datenleitung angeschlossenen elektronischen Einrichtung der Fahrzeugbetrieb auf echterhalten weiden kann, ist die elektronische Einrichtung mit einer Fehlererkennungseinrichtung verbunden. Bei Feststellung eines Fehlers der elektronischen Einr chtupj !L. „h ;[_-_ Fehlererkennungseinrichtung wird die elektronische Einrichtung durch die Schaltungsanordnung von der Datenleitung abgekoppelt, wobei die Betπebsfahigkeit des elektrischen Systems aufrechterhalten bleibt. In der DE 198 33 462 AI geht es insbesondere um die Überwachung der Datenleitung und um die Erkennung von Fehlern der Datenleitung, welche die Funktionsfahigkeiz der an die Datenleitung angeschlossenen elektronischen Einrichtung beeinträchtigen können. Zum Abkoppeln der elektronischen Einrichtung von der Datenleitung im Fehlerfall ist die Fehlererkennungseinrichtung in die Datenleitung geschaltet und umfasst elektrische Schaltelemente, um die Datenleitung im Fehlerfall auftrennen zu können. Das setzt jedoch voraus, dass in jeder Datenleitung, mit der die elektronische Einrichtung in Verbindung steht und die im Fehlerfall aufgetrennt werden soll, Schaltelemente angeordnet sein müssen.
Aus der DE 100 30 996 AI ist ein Verfahren und eine
Vorrichtung der eingangs genannten Art bekannt. Dort Wir vorgeschlagen, dass die Funktionsüberwachung der Funktionseinheit durch die Überwachungseinheit mittels eines Schaltelements durch die Funktionseinheit aktiviert bzw. deaktiviert werden kann. Das Ξchaltelement kann bspw. durch Setzen oder Loschen eines Bits realisiert we den. Bei aktivierter Uberwachungsfunktion wird die Funktionseinheit von dem Bussystem durch Zugriff getrennt. Dazu steuert die Uberwachungseinheit ein weiteres Schaltelement an, durch das die Verbindung von der Funktionseinheit zu dem
Bussystem unterbrochen wird. Als problematisch erweis1" ^ sich auch hier, dass ebenfalls gesonderte Schaltelemente in der Verbindung zwischen der Funktionseinheit und dem Bussystem vorgesehen sein müssen, um die Funktionseinheit im Fehlerfall von dem Bussystem abkoppeln zu können.
Aus dem Stand der Technik sind zudem Uberwachungskonzepte für Funktionseinheiten, insbesondere für Kraftfahrsteuergerate, bekannt, bei denen die Uberwachungseinheit in einem Fehlerfall einen Peset auslost. Infolge des Reset fahrt die Funktionseinheit erneut hoch und erreicht danach ihren 3etι lebsz -.stand . Falls der Fehler der Funktionseinheit nach w e vor besteht, erkennt die Uberwachungseinheit den Fehler erst m dem Betriebs∑ustand erneut und lost erst dann wieder einen Reset der Funktionseinheit aus. Das Versenden von Informationen von der Funktionseinheit über das Bι_ss si,eτ> ist nur kurzzeitig wahrend des Reset-Zustandes unterbunden, da nur m diesem Zustand die Eιn-/Ausgangs- Anschlusspositionen (sog. Ports) der Funktionseinheit inaktiv sind. Bei dem bekannten Verfahren kann eine fehlerbehaftete Funktionseinheit also möglicherweise fehlerhaftete Informationen über das Bussystem versenden, obwohl die Uberwachungseinheit einen Fehler der Funktionseinheit detektiert hat. Dadurch kann es zu sicherheitsrelevanten Situationen bei der Steuerung der Betriebsablaufe kommen.
Der vorliegenden Erfindung liegt die Aufgabe zugrunde, das Versenden von Informationen von der Funktionseinheit über das Bussystem sicher und zuverlässig und auf einfache Weise zu unterbinden.
Zur Losung dieser Aufgabe schlagt die vorliegende Erfindung ausgehend von dem Verfahren der eingangs genannten Art vor, dass durch die Uberwachungseinheit ein Fehlersignal ausgegeben wird, das in Abhängigkeit davon unterschiedliche Werte annimmt, ob ein Fehler der Funktionseinheit erkannt wurde oder nicht, und dass das Fehlersignal an der mindestens einen Verbindungseinheit angelegt und die mindestens eine Verbindungseinheit durch das anliegende Fehlersignal deaktiviert wird, falls ein Fehler der Funktionseinheit erkannt wurde. Vorteile der Erfindung
Durch das erfmdungsgemaße Verfahren wird bei einem erkannten Fehler der Funktionseinheit von der Uberwachungseinheit kein Peset ausgelost, sondern einfach eine erbιndungsej.nneιt , die zwischen αer Funktionsemnei und dem Bussystem angeordnet ist, abgeschaltet. Die Verbindungseinheit ist bspw. als eine Signalverstarkungsemrichtung, insbesondere als eine Bustreiberschaltung des Bussystems (sog. Bus-Driver), ausgebildet. Die Bustreiberschaltung dient insbesondere zur Verstärkung eines von einer Bussteuerung (sog. Bus- Controller) erzeugten Bussignal, bevor es über das Bussystem übertragen wird, sowie zur ruckwirkungsfreien Signalanpassung. Erfmdungsgemaß bleibt also die
Funktionseinheit an sich in einem betriebsfähigen Zustand und kann nach wie vor Informationen erzeugen. Diese Informationen können jedoch nicht mehr über das Bussystem übertragen werden, da die für das Versenden von Informationen erforderliche Verbindungseinheit deaktiviert wurde .
Durch das erfmdungsgemaße Verfahren wird eine Beeinträchtigung anderer Funktionseinheiten, die _.beι dar Bussystem mit der fehlerbehafteten Funktionseinheit in Verbindung stehen, auf einfache Weise verhindert. Eine fehlerbehaftete Funktionseinheit kann im Fehlerfall somit keine potentiell falschen oder nicht gewünschten Informationen über das Bussystem versenden. Dadurch eLysυ-ii sich eigensichere Einzels/steine in einem Netzwerk verbün .
Besonders vorteilhaft ist, dass das Versenden von Informationen durch die Funktionseinheit ohne den Einsatz zusätzlicher Schaltelemente zwischen der Funktionseinheit und dem Bussystem oder in dem Bussystem selbst sicher _ιn:l zuverlässig unterbunden werden kann. Außerdem ist mit der vorliegenden Erfindung das Versenden von Informationen durch die Funktionseinheit dauerhaft unterbunden, was gegenüber einem Reset der Funktionseinheit den vorteil hat, dass die fehlerhafte Fun>'tιonseιnne_t zu keiner ^-=._τ_j_u .r t Informationen mehr über das Bussystem versenden kann. Sofern es die Fehler der Funktionseinheit zulassen, arbeitet diese noch ganz normal, d. h. sie erzeugt noch Informationen zur Steuerung und/oder Regelung der Betriebsablaufe, wobei diese Informationen allerdings fehlerhaft sein können. Diese Informationen können jedoch nicht über das Bussystem übertragen werden. Durch den weiteren Betrieb der Funktionseinheit ist es möglich, aucn in einem Fehlerfall die Funktionseinheit weiterhin zu überwachen und das Versenden von Informationen durch die
Funktionseinheit unmittelbar wieder zu erlauben, sobald der Fehler der Funktionseinheit nicht mehr auftritt.
Der Grund für das notwendige Unterbinden des Versenclens von Informationen durch die Funktionseinheit im Fehlerfall liegt darin, dass eine fehlerbehaf ete Funktionseinheit möglicherweise nicht mehr die Kontrolle über sich selbst und über die korrekte Erzeugung von zu versendenden Informationen hat und sich aufgrund des eigenen Fehlej s auch nicht zuverlässig und sicher abschalten kann. Durch eine defekte Funktionseinheit m einem Netzwerkverbund, m dem mehrere Funktionseinheiten über ein Bussystem miteinander in Verbindung stehen, besteht die Gefahr, dass die übrigen empfangerden Funktionseinheiten an den Bussystem von der fehlerbehäfteten sendenden
Funktionseinheit fehlerhafte Informationen erhalten und dadurch veranlasst ungewollte Aktionen ausfuhren. Diese durch fehlerhafte Informationen ausgelosten Aktionen können sich auch sicherheitsrelevant auf die zu steuernden Betriebsablaufe auswirken. Am Beispiel von Kraftfahrzeugsteuergeraten konnte bspw. ein Steuergerat für die Brennkraftmaschine im Fehlerfall ein
Getriebesteuergerat dazu veranlassen, in niedrigere Gange herunterzuschalten, wodurch das Fahrzeug in einer instabilen Fahrzustand gelangen konnte.
Gemäß einer vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass das Fehlersignal an einen Rucksetzeingang der mindestens einen Verbindungseinheit angelegt wird. Der Pucksetzeingang wird auch als Reset-Emgang bezeichnet. In einem Fehlerfall kann die Verbindungseinheit durch das an dem Rucksetzeingang anliegende Fehlersignal deaktiviert werden.
Gemäß einer bevorzugten Ausfuhrungsform der vorliegenden
Erfindung wird vorgeschlagen, class die Funktionseinheit mit mehreren Bussystemen in Verbindung steht und das Fehlersignal an Verbindungseinheiten mehrerer der Bussysteme angelegt wird. Der Vorteil der vorliegenden Erfindung, dass das Versenden von Informationen durch eine fehlerbehaftete Funktionseinheit ohne den Einsatz zusätzlicher Hardware, wie bspw. zusatzlicher Schaltelemente zum Unterbrechen der Verbindung zwischen fehlerbehafteter Funktionseinheit und Bussystem, sicher und zuverlässig unterbunden werden kann, kommt insbesondere dann zum Tragen, wenn die fehlerbehaftete Funktionsemoeit nicht nur mit einem, sondern mit mehreren Bussystemen in Verbindung steht, über die Informationen an andere Funktionseinheiten versandt werden können. Bei allen Bussystemen, die an die fehleroehaftete Funktionseinheit angeschlossen sind und die m einem Fehlerfall deaktiviere werden sollen, ist das Fehlersignal der Ubeiwα L an die Verbindungseinheiten gefuhrt. Bussysteme, die nur zur Übertragung von Informationen von nicht sicherheitsrelevanten Betriebsablaufen (z. B. von Komrortfunktionen) dienen, müssen in einem Fehlerfall der Funktionseinheit nicht unbedingt abgeschaltet werden.
Des weiteren wird vorgeschlagen, dass das Fehlersignal an Endstufen von Komponenten angelegt </ιrcl, deren
Betriebsablaufe von der fehlerbehaf eten Funktionseinheit gesteuert bzw. geregelt werden. Diese Komponenten sind bspw. Endstufen von Zündung, Einspritzung und/oder Drosselklappe einer Brennkraftmaschine. Ziel dieser Maßnahme ist es, die Brennkraftmaschine im Falle eines Fehlers der steuernden bzw. regelnden Funktionseinheit sicher zum Stillstand zu bringen.
Als besonders vorteilhaft wird vorgeschlagen, dass nach dem Erkennen eines Fehlers der Funktionseinheit die
Funktionseinheit von der Uberwachungseinheit weiter überwacht wird und die mindestens eine Verbindungseinheit wieder aktiviert wird, falls eine ordnungsgemäße Funktion der Funktionseinheit erkannt wurde. Diese erneute Aktivierung der Verbindungseinheiten ist bei der vorliegenden Erfindung jederzeit möglich. Beim Stand der Technik, wo in einem Fehlerfall ein Reset der fehlerbehafteten Funktionseinheit ausgeführt wird, konnte eine ordnungsgemäße Funktion der Funktionseinheit lediglich im Anschluss an den Reset und das Hochfahren der
Funktionseinheit erkannt werden. Mit der vorliegenden Erfindung kann somit nicht nur die Sicherheit eines Netzwerkverbundes, welcher mehrere Funktionseinheiten umfasst, die über ein Bussystem miteinander in Verbindung stehen, sondern auch die Verfügbarkeit des
Metzwerkverbundes verbessert werden, da die ordnungsgemäße Funktion einer Funktionseinheit besonders schnell erkannt werden kann.
Als eine weitere Lösung der Aufgabe der vorliegenden Erfindung wird ausgehend von der Vorπcntung der eingangs genannten Art vorgeschlagen, dass die Überwachungseinheit Mittel zum Bilden und Ausgeben eines Fehlersignals aufweist, das n Abhängigkeit davon unterschiedliche Werte annimmt, ob d e Uberwachungseinheit einen Fehler der Funktionseinheit erkannt hat oder nicht, und dass das Fehlersignal an die mindestens eine Verbindungseinheit gefuhrt ist und die mindestens eine Verbindungseinheit durch das anliegende Fehlersignal dεakti lerbar ist, falls ein Fehler der Funktionseinheit erkannt wurde. Die
Vorrichtung entspricht bspw. einem Netzwerkverbund, der mehrere Funktionseinheiten umfasst, die über ein Bussystem miteinander m Verbindung stehen.
Gemäß einer vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass das Fehlersignal an einen Enable/Disable-Emgang der mindestens einen Verbindungseinheit gefuhrt ist. Alternativ wird vorgeschlagen, dass das Fehlersignal an einen Reset-Emgang der mindestens einen Verbindungseinheit gefuhrt st.
Vorteilhafterweise umfasst die Vorrichtung mehrere Funktionseinheiten, die über ein Bussystem miteinander in Verbindung stehen, und mindestens eine Uberwachungseinheit, wobei die Uberwachungseinheit das Versenden von
Informationen von einer Funktionseinheit über das mindestens eine Bussystem unterbindet, falls die Uberwachungseinheit einen Fehler dieser Funktionseinheit erkannt hat. Eine solche Vorrichtung entspricht dem in Kraftfahrzeugen in letzter Zeit zunehmend emαesetzten soα Mehr-Steuergerate-Konzept, bei dem zur Steigerung der Rechenleistung mehrere Steuergerate parallel zueinander eingesetzt werden, wobei die einzelnen Steuergerat eweils einen bestimmten Teil der Betriebsablaufe steuert . So wird bspw. bei einem Zwei-Steuergerate-Konzept zur Steuerung einer 8-zylmdr_gen Bren V-irafzmasc'nme ein erstes Steuergerat zur Steuerung von vier der Zylinder und ein zweites Steuergerat zur Steuerung der übrigen vier Zylinder eingesetzt. Die beiden Steuergerate stehen über ein Bussystem miteinander in Verbindung. Informationen über den Betriebszustand der Brennkraftmaschine oder des Kraftfahrzeugs werden lediglich dem ersten Steuergerät zugeführt, welches die Informationen dann über das Bussystem an das zweite Steuergerat weiterleitet. Falls die Uberwachungseinheit des ersten Steuergerätes einen Fehler des Steuergerätes erkennt, deaktiviert diese die Verbindungseinheit des Bussystems zu dem zweiten Steuergerat, um zu verhindern, dass das erste Steuergerat fehlerhafte Informationen an das zweite Steuergerat versendet und das zweite Steuergerat die übrigen vier
Zylinder der Brennkraftmaschine falsch ansteuert und sich möglicherweise sogar eine sicherheitsrelevante Situation ergeben konnte.
Schließlich wird als noch eine weitere Losung der Aufgabe der vorliegenden Erfindung ausgehend von dem Steuergerat der eingangs genannten Art vorgeschlagen, dass die Uberwachungseinheit Mittel zum Bilden und Ausgeben eines Fehlersignals aufweist, das in Abhängigkeit davon unterschiedliche Werte annimmt, ob die Uberwachungseinheit einen Fehler der Funktionseinheit erkannt hat oder nicht, und dass das Fehlersignal an die mindestens eine Verbindungseinheit gefuhrt ist und die mindestens eine Verbindungseinheit durch das anliegende Fehlersignal deaktivierbar ist, falls ein Fehler der Funktionseinheit erkannt wurde . Zeichnungen
Weitere Merkmale, Anwendungsmoglichkeiten und Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung von Ausfuhrungsbeispielen der Erfindung, die in den Zeichnungen dargestellt sind. Dabei bilden alle beschriebenen oder dargestellten Merkmale für sich oder in beliebiger Kombination den Gegenstand der Erfindung, unabhängig von ihrer Zusammenfassung in den
Patentansprüchen oder deren Puckbeziehung sowie unabhängig von ihrer Formulierung bzw. Darstellung in der Beschreibung bzw. in den Zeichnungen. Es zeigen:
Figur 1 ein erfmclungsgemaßes Steuergerät gemäß e.nci bevorzugten Ausfuhrungsform;
Figur 2 eine erfmdungsgemaße Vorrichtung umfassend zwei erfmdungsgemaße Steuergerate, die über ein Bussystem miteinander in Verbindung stehen, und
Figur 3 Verlaufe von erschiedenen Zustande)! und . eines aus dem Stand der Technik bekannten Steuergerätes (Figuren 3b bis 3c!) im Vergleich zu dem erf dungsgemaßen Steuergerat (Figuren 3e und
3f ) .
Beschreibung der Ausfuhrungsbeispiele
In Fig. 1 ist ein erf dungsgemaßes Steuergerat SG in seiner Gesamtheit mit dem Bezugszeichen 1 bezeichnet. Das Steuergerat 1 dient bspw. zur Steuerung und/oder Regelung von Betriebsablaufen einem Kraftfahrzeug. Nachfolgend wird bspw. auf ein Steuergera1" 1 zur S eu r.1 g 1
Betriebsablaufen einer Brennkraftmaschine e_nes Kraftfahrzeuges naher eingegangen. Die Erfindung ist jedoch ger ereil anwendbar auf alle Arten von Steuergeräten Sα, bspw. für eine Getriebesteuerung, eine Fahrlynami ] regelung, eine Antriebsschlupf egelung (ASP), eine automatische
Abstandsregelung (EDC; Electronic Distance Contrc] ) , eine adaptive Fahrzeuggeschwmdigkeitsregelung (ACC; Adaptive Cruise Control) etc., die über ein Bussystem 2 zu einem Steuergerateverbund miteinander in Verbindung stehen und über das Bussystem 2 untereinander Informationen austauschen. Das Bussystem 2 ist bspw. als ein CAM (Controller Area Network) ausgebildet.
Das Steuergerat 1 umfasst einen Funktionsrechner FR 3, der bspw. als ein Mikroprozessor oder als ein Mikrocontroller ausgebildet ist. Auf dem Funktionsrechner 3 ist ein Computerprogramm ablauffähig, das zur Eifullung dei Steuerungs- und/oder Regelungsfunktion des Steuergerätes 1 dient. Der Funktionsrechner 3 steht zum Versenden und Empfangen von Informationen über eine Verbindungseinheit 4 mit dem Bussystem 2 in Verbindung. Die Verbindungseinheit 4 ist als eine Hardware-Schnittstelle zwischen einem Controller und einem externen Steuergerateubertragungsbus mit Signalverstarkungse richtung, insbesondere als eine Bustreiberschaltung, z. B. als ein CAN-Treiber für ein CAN- Bussystem, ausgebildet. Der CAN-Treiber 4 wird auch als CAM-Dπver bezeichnet.
Die in dem Funktionsrechner 3 im Pahmen der barbeitung °=. Computerprogramms zur Erf llung der Steuerungs- und/oder Pegelungsfunktion des Steuergerätes 1 erzeugten Informationen werden über einen Datenbus 5 zunächst an eine CAN-Steuerung 6 übertragen, die auch als CAN-Cont roller bezeichnet wird. In der CAN-Steuerung 6 werden die von dem Funktionsrechner 3 erzeugten Informationen in eine dem CAN- Protokoll entsprechende Form georacnt und f r cue Übertragung über das CAM-Bussystem. 2 vorbereitet. Vor der Übertragung der aufbereiteten Informationen müssen die Signale noch an die elektrischen Eigenschaften auf dem CAll- Bus angepasst werden. Dazu werden die aufbereiteten
Informationen über eine zwei-Draht-Datenleitung "7 vcn " CAM-Steuerung 6 an den CAN-Treiber 4 uoertragen, der αie Signale auf das CAN-BusSystem 2 legt.
Dem Funktionsrechner 3 ist eine unabhängige Hardware zur Funktionsüberwachung des Funktionsrechners 3 zugeordnet. Die unabhängige Hardware wird als Uberwachungsmodul UM 8 bezeichnet. Das Uberwachungsmodul 8 stellt dem Funktionsrechner 3 zyklisch verschiedene Fragen, die in dem Funktionsrechner 3 umfangreiche Kontrollmechamsmen, wie bspw. Programmablaufkontrollen oder Befehlstests, durchlaufen und ein Ergebnis bilden. Das Ergebnis wird als Antwort auf die Frage dem Uberwachungsmodul 8 zurück übertragen. Ein fehlerfrei arbeitender Funktionsrechner 3 liefert die richtige Antwort innerhalb eines v-orgebbaren Zeitfensters zurück. Das Uberwachungsmodul 8 stellt durch Auswerten der Antwort fest, ob ein Fehler des Funktionsrechners 3 vorliegt oder nicht. Das beschriebene Uberwachungskonzept des Funktionsrechners 3 durch das Uberwachungsmodul 8 wird auch als Frage-Antwort-
Kommunikation bezeichnet. Die Kommunikation zwiscnen dem Uberwachungsmodul 8 und dem Funktionsrechner 2 erfolgt über eine SPI (Serial Parallel Interface) -Schnittstelle 9.
Durch Auswerten der Antwort des Funktionsrechners 3 wird in dem Uberwachungsmodul n e Fehlersignal WDA generiert, das Abhängigkeit davon unterschiedliche Werte annimmt, ob ein Fehler des Funktionsrechners 3 erkannt wurde oder nicht. Vorzugsweise wird ein Fehlerzahler inkre eut leH , falls ein Fehler des Funktionsrechners 3 erkannt wurde. Erst wenn der Fehlerzahler einen Schwellenwert überschritten hat, wird das Fehlersignal WDA ausgegecer . Das Fehlersignal WDA wird über eine Signalleitung 10 an Endstufen El bis EN von Kraftfahrzeugkomponenten Kl bis r'.n, die von dem Steuergerat 1 zur Steuerung und/oder Regelung der Betriebsablaufe angesteuert werden, angelegt. Dies sind bspw. bei einem Kraftfahrzeugsteuergerat 1 zur Steuerung und/oder Regelung einer Brennkraftmaschine die Endstufen für Zündung, Einspritzung und/oder Drosselklappe. Die Ansteuerung der Endstufen El bis En mit dem Fehlersignal
WDA dient dazu, im Fehlerfall die Brennkraftmaschine sicher zum Stillstand zu bringen und sicherheitsrelevante Situationen zu vermeiden.
Erfindungsgemaß wird das Fehlersignal WDA außerdem an einen Reset-Eingang RST des CAM-Treibers 4 angelegt. Der CAN- Treiber 4 wird durch das anliegende Fehlersignal WDA deaktiviert, falls ein Fehler des Funktionsrechners 3 erkannt wurde. Dadurch wird das Versenden von Informationen durch einen defekten Funktionsrechner 3 über das CAN-
Bussystem 2 zuverlässig, wirksam und vor allem dauerhaft für die gesamte Dauer des Fehlers des Funktionsrechners 3 unterbunden. Dadurch wird auch das Versenden möglicherweise fehlerhafter Informationen durch den fehlerbehafteten Funktionsrechner 3 über das CAM-Bussystem 2 an andere
Funktionsrechner auf einfache Weise verhindert. Das erf dungsgemaße Steuergerat 1 stellt somit ein eigensicheres Eigensystem in einem Steuergerateverbund dar. Es erfüllt die Vorschriften an Steuergerate in einem Steuergeratverbund, dass nämlich jedes Steuergerat 1 die Verantwortung für die von ihm versendeten Informationen selbst tragt .
Ein weiterer Vorteil der vorliegenden Erfindung bestent darin, dass ein fehlerbehafteter Funktionsrechner 3 weiterhin normal arbeitet und weiterhin - zwar möglicherweise fehlernafte - Informationen zur Steuerung der Betriebsablaufe ermittelt. Das Uberwachungsmodul 8 kann somit auch nach dem Erkennen eines Fehlers des Funktionsrechners 3 die Funktionsfahigkeit des
Funktionsrechners 3 weiterhin überwachen. Solange das Uberwachungsmodul 8 einen Fehler des Funktionsrechners 3 erkennt, bleibt der CAN-Treiber 4 deaktiviert, damit die von dem fehlerhaften Funktionsrechner 3 ermittelten fehlerhaften Informationen nicht auf das CAM-Bussystem 2 gelangen und andere Funktionsrechner des
Steuergerateverbundes beeinträchtigen können. Sobald das Uberwachungsmodul 8 jedoch eine ordnungsgemäße Funktion des Funktionsrechners 2 erkennt, kann der CAN-Treiber 4 wieder aktiviert werden, so class das Steuergerat 1 wieder ganz normal arbeiten kann. Vorteilhaft bei der vorliegenden Erfindung ist es, dass eine ordnungsgemäße Funktion des Funktionsrechners 3 ohne lange Zeitverzogerung erkannt werden kann.
Noch em Vorteil der Erfindung ist darin zu sehen, dass das Versenden von Informationen durch einen fehlerbehafteten Funktionsrechner 3 auf einfache Weise und ohne zusatzliche Hardware, bspw. ohne zusatzliche Schaltelemente, die in das CAN-Bussystem 2 eingebracht werden und im Fehlerfall geöffnet werden, um den Funktionsrechner 3 von dem CAN- Bussystem 2 zu trennen, unterbunden werden kann.
In Fig. 2 ist em Mehr-Steuergerate-Konzept , genauer g=:_αg_. em Zwei-Steuergerate-Konzept, dargestellt, bei dem zwei Steuergerate SGI, SG2 zur Steuerung bestimmter Betriebsablaufe eingesetzt werden. In dem dargestellten Ausfuhrungsbeispiel sind die zwei Steuergerate SGI, SGZ. zur Steuerung der Betπebsablaufe in einer 12-zylmdπgen Brennkraftmaschine BM 11 eingesetzt. Dabei steuert das erste Steuergerat SGI die ersten sechs Zylinder ZiL 12 und das zweite Steuergerat SG2 die übrigen sechs Zylinder ZΪL 13. Das erste Steuergerat SGI erhalt Informationen S über den Fahrerwunsch (Stellung des Gaspedals) und/oder über den Betriebszustand der Brennkraftmaschine 11 und des
Kraftfahrzeugs von entsprechenden Sensoren. Die beiden Steuergerate SGI und SG2 sind über ein CAM-Bussystem 2 miteinander verbunden. Das zweite Steuergerät SG2 erhalt über das CAN-Bussystem 2 Sollwertvorgaben (z.B. den Fahrerwunsch) von dem ersten Steuergerat SGI. Um zu verhindern, dass bei einem Fehler des Funktionsrechners FRl des ersten Steuergerätes SGI fehlerhafte Sollwertvorgaben an das zweite Steuergerat SG2 übermittelt werden, wird erfindungsgemaß das Versenden von Informationen durch den Funktionsrechner FRl über das CAN-Bussystem 2 durch die Uberwachungseinheit UMl unterbunden. Dazu wird das Fehlersignal WDA des Uberwachungsmoduls UMl an einen Reset- Eingang RST des CAN-Treibers 4 angelegt.
Anhand der ausbleibenden Datenübertragung
(Nachrichtenunterbrechung bzw. fehlende Aktualisierung) kann das Steuergerat SG2 einen Defekt im SGI erkennen und entsprechende Ersatzmaßnahmen oder Fehlerreaktionen im SG2 aktivieren .
In den Figuren 3a bis 3f sind die Verlaufe verschiedener Steuergeratezustande und Steuergerategroßen über die 2 t L dargestellt. Insbesondere ist in Fig. 3a der Stand eines Fehlerzahlers des Uberwachungsmoduls 8 dargestellt. Dieser steigt am Anfang von Null bis über einen Schwellenwert "W an. Sobald der Fehlerzahler den Schwellenwert SW übersteigt, wird zum Zeitpunkt tj eine Fehlerre^kt I^ ausgelost. Das bedeutet, dass das Fehlersignal WDA einen entsprechenden Wert annimmt. Als Werte des Fehlersignals WDA kommen insbesondere HIGH oder LOW in Frage. Die m den Figuren 3b, 3c und 3c! dargestellten Verlaufs entsprechen dem Stand der Technik. In Fig. 3b ist der Verlauf eines Peset-Signals dargestellt, welches nach dem Stand der Technik von dem Uberwachungsmodul UM 8 an einen Reset-Emgang des Funktionsrechners FR 3 angelegt wird. Zum Zeitpunkt ti wird die Fehlerreaktion ausgelost, die beim Stand der Technik darin besteht, einen Reset des Funktionsrechners FR 3 auszulosen. In Fig. 3c ist der Verlauf einer Große "CAN-Signal freigegeben" dar ebtt ilL . Das Signal hat die Werte „frei" oder „gesperrt". Fig. 3c kann entnommen werden, dass das CAN-Signal nur wahrend der Dauer des Reset (RST = 1 m Fig. 3b) gesperrt ist und ansonsten frei ist. Solange das CAN-Signal freigegeben ist, kann selbst em fehlerbehafteter Funktionsrec ne1" FP 3 möglicherweise fehlerhafte Informationen über das CAN- Bussystem 2 übertragen. Dies kann unter Umstanden fehlerhafte Reaktionen anderer Funktionsrechner FR des Steuergerateverbundes auslosen.
In Fig. 3d sind verschiedene Zustande des aus dem Stand der Technik bekannten Steuergeräts SG dargestellt. Vor dem Auslosen der Fehlerreaktion zum Zeitpunkt ti durchlauft das Steuergerat SG em ganz normales Fahrprogramm A. Danach schließt sich nach dem Zeitpunkt ti ein Feset-Zus tancl B an. Im Anschluss daran durchlauft das Steuergerät SG eine Initialisierungsphase C und wechselt danach wiederum m das normale Fahrprogramm A. Wahrend des Fahrprogramms A fuhrt das Überwachungsmodul UM eine Frage-Antwort-Kommunikation mit dem zu überwachenden Funktionsrechner FR durch und erkennt an einem Zeitpunkt t_, dass der Fehler des Funktionsrechners FP immer noch vorliegt. Danach werden wiederum die vorbeschriebenen Zustande Reset B, Initialisierung C und Fahrprogramm A mit twcrt- Kommunikation D durchlaufen. 13
In den Figuren 3e und 3f sind die Signal- und Zustandsverlaufe des erfmdungsgemaßen Steuergeräts 1 dargestellt. Anhand der Fig. 3e ist deutlich zu erkennen, dass das CAN-Signal unmittelbar nach der Fehlerreaktion zum Zeitpunkt ti für die Dauer des Fehlers gesperrt is*" F^ - Funktionsrechner 3 befindet sich nach der Fehlerreaktion m einem ganz normalen Fahrprogramm A, währenddessen eine Frage-Antwort-Kommunikation D zyklisch ausgeführt wird und die Endstufen über das WDA-Signal sich im deaktivierten Zustand befinden (E) . Allerdings werden die von dem Funktionsrechner 3 ermittelten Informationen nicht über das CAN-Bussystem 2 übertragen, da der CAN-Treiber 4 deaktiviert ist und das CAN-Signal somit gesperrt ist. Bei der vorliegenden Erfindung befindet sich der
Funktionsrechner 3 im Fehlerfall niemals in einer Situation in der nicht die Funktionsfahigkeit des Funktionsrechners 3 durch eine Frage-Antwort-Kommunikation überprüft werden konnte. Dagegen kann beim Stand der Technik im Fehlerfall eine Überprüfung der Funktionsfahigkeit des
Funktionsrechners 3 nicht wahrend der Zustande Reset B und Initialisierung C erfolgen. Dadurch kann die ordnungsgemäße Funktion des Funktionsrechners 3 bei der vorliegenden Erfindung früher als beim Stand der Technik erkannt werden.

Claims

Ansprüche
1. Verfahren zur Steuerung und/oder Regelung von Betriebsablaufen, insbesondere in einem Fahrzeug, wobei eine Funktionseinheit (3) zum Versenden und Empfangen von Informationen über mindestens eine Verbindungseinheit (4) mit mindestens einem Bussystem (2) in Verbindung steht, die Funktionseinheit (3) von einer Uberwachungseinheit (8) überwacht wird und das Versenden von Informationen von der Funktionseinheit (3) über das mindestens eine Bussystem (2) durch die Uberwachungseinheit (8) unterbunden wird, falls em Fehler der Funktionseinheit (3) erkannt wird, dadurch gekennzeichnet, dass durch die Uberwachungseinheit (8) ein Fehlersignal (WDA) ausgegeben wird, das in Abhängigkeit davon unterschiedliche Werte annimmt, ob ein Fehler der Funktionseinheit (3) erkannt wurde oder nicht, und dass das Fehlersignal (WDA) an der mindestens einen Verbindungseinheit (4) angelegt und die mindestens eine Verbindungseinheit (4) durch das anliegende Fehlersignal (WDA) deaktiviert wird, falls e Fehler der Funktionseinheit (3) erkannt wurde.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Fεhlersignal (WDA) an einen Rucksetzeingang (RST) der mindestens einen Verbindungseinheit (4) angelegt wird.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Funktionseinheit (3) mit mehreren Bussystemen (2) Verbindung steht und das Fehlersignal ( ^) an Verbmdung≤einheiten (4) mehrerer der Bussysteme (2) angelegt wird.
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurcn gekennzeichnet, dass das Fehlersignal (WDA) an Endstufen (El, ... En) von Komponenten (Kl, ... Kn) angelegt wird, deren Betriebsablaufe gesteuert bzw. geregelt werden.
5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass nach dem Erkennen eines Fehlers der Funktionseinheit (3) die Funktionseinheit (3) von der Uberwachungseinheit (8) weiter überwacht wird und die mindestens eine Verbindungseinheit (4) wieder aktiviert wird, falls eine ordnungsgemäße Funktion der
Funktionseinheit (3) erkannt wurde. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass nacn dem Erkennen eines Fehlers der Funktionseinheit (3) die Funktionseinheit (3) nicht zurückgesetzt wird, ex inn, aktiv em Computerprogramm abarbeitet, und der Sende- und Empfangsbetrieb von der Uberwachungseinheit (8) durch Aktivierung bzw. Deaktivierung der Verbindungseinheit (4) gesteuert wird.
6. Vorrichtung zur Steuerung und/oder Regelung von Betrieosablaufen, insbesondere in einem Fahrzeug, umfassend mindestens eine Funktionseinheit (3), welche zum Versenden und Empfangen von Informationen über mindestens eine Verbindungseinheit (4) mit mindestens einem Buss sceπ '2) Verbindung steht, und mindestens eine Uberwachungseinheit I B ) , welche die Funktionseinhe ( ) überwacht, wobei die Uberwachungseinheit (8) das Versenden von Informationen von der Funktionseinheit (3) über das mindestens eine Bussystem (2) unterbindet, falls sie einen Fehler der Funktionseinheit (3) erkennt, dadurch gekennzeichnet, dass die Uberwachungseinheit (8) Mittel zum Bilden und Ausgeben eines Fehlersignals (WDA) aufweist, das in Abhängigkeit davon unterschiedliche Werte annimmt, ob die Uberwachungseinheit (8) einen Fehler der
Funktionseinheit (3) erkannt hat oder nicht, und class das Fehlersignal (WDA) an die mindestens eine
Verbindungseinheit (4) gefuhrt ist und die mindestens eine Verbindungseinheit (4) durch das anliegende Fehlersignal (WDA) deaktivierbar ist, falls em Fehler der Funktionseinheit (3) erkannt wurde.
7. Vorrichtung nach Anspruch 5, dadurch gekennzeichnet, dass das Fehlersignal (WDA) an einen Enable/Disable-Emgang der mindestens einen Verbindungseinheit (4) gefuhrt ist.
8. Vorrichtung nach Anspruch 5, dadurch ge ennzeichnet, dass das Fehlersignal (WDA) an einen Rucksetzeingang (RST) der mindestens einen Verbindungseinheit (4) gefuhrt ist.
9. Vorrichtung nach einem der Ansprüche 5 bis 7, dadurch gekennzeichnet, dass die Vorrichtung mehrere Funktionseinheiten (3), die über em Bussystem (2, miteinander in Verbindung stehen, und mindestens eirit Uberwachungseinheit (8) umfasst, wobei die Überwachungseinheit (8) das Versenden von Informationen einer Funktionseinheit (3; FP1) über das mindestens eine Bussystem (2) unterbindet, falls die Uberwachungseinheit (8) einen Fehler dieser Funktionseinheit (3; FRl) erkannt hat.
10. Steuergerat (1) zur Steuerung und/oder Regelung von Betriebsablaufen insbesondere in einem Fahrzeug, umfassend eine Funktionseinheit (3), welche zum ./ersende i und Empfangen von Informationen über mindestens eine Verbindungseinheit (4) mit mindestens einem Buss/Stem (2) in Verbindung steht, und eine Überwachungseinheit (8), welche die Funktionseinheit (3) überwacht, wobei die Uberwachungseinheit (8) das Versenden von Inzor a ti eran v_π cler Funktionseinheit (3) über das mindestens eine Bussyste (2) unterbindet, falls sie einen Fehler der
Funktionseinheit (3) erkennt, dadurch gekennzeichnet, dass die Uberwachungseinheit (8) Mittel zum Bilden und Ausgeben eines Fehlersignals (WDA) aufweist, das in Abhängigkeit davon unterschiedliche Werte annimmt, ob die Uberwachungseinheit (8) einen Fehler der Funktionseinheit
(3) erkannt hat oder nicht, und dass das Fehlersignal (WDA) an die mindestens eine Verbindungseinheit (4) gefuhrt ist und die mindestens eine Verbindungseinheit (4) durch das anliegende Fehlersignal (WDA) deaktivierbar ist, falls ein Fehler der Funktionseinheit (3) erkannt wurde.
11. Steuergerat (SG) nach Anspruch 9, dadurch gekennzeichnet, dass das Fehlersignal (WDA) an einen Rucksetzeingang (RST) der mindestens einen Verbindungseinheit (4) geführt ist.
EP03790637A 2002-08-07 2003-07-10 Verfahren und vorrichtung zur steuerung von betriebsabläufen insbesondere in einem fahrzeug Withdrawn EP1529253A1 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE10236080 2002-08-07
DE10236080A DE10236080A1 (de) 2002-08-07 2002-08-07 Verfahren und Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere in einem Fahrzeug
PCT/DE2003/002310 WO2004021095A1 (de) 2002-08-07 2003-07-10 Verfahren und vorrichtung zur steuerung von betriebsabläufen, insbesondere in einem fahrzeug________________________________

Publications (1)

Publication Number Publication Date
EP1529253A1 true EP1529253A1 (de) 2005-05-11

Family

ID=30469514

Family Applications (1)

Application Number Title Priority Date Filing Date
EP03790637A Withdrawn EP1529253A1 (de) 2002-08-07 2003-07-10 Verfahren und vorrichtung zur steuerung von betriebsabläufen insbesondere in einem fahrzeug

Country Status (8)

Country Link
US (1) US7418316B2 (de)
EP (1) EP1529253A1 (de)
JP (1) JP5021163B2 (de)
KR (1) KR100984232B1 (de)
CN (1) CN100422951C (de)
AU (1) AU2003254623A1 (de)
DE (1) DE10236080A1 (de)
WO (1) WO2004021095A1 (de)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2876814B1 (fr) * 2004-10-14 2006-12-15 Renault Sas Systeme d'enregistrement d'un contexte d'incident dans un vehicule automobile
DE102005061392A1 (de) * 2005-12-22 2007-06-28 Robert Bosch Gmbh Bus-Guardian eines Teilnehmers eines Kommunikationssystems, sowie Teilnehmer für ein Kommunikationssystem
WO2008014940A1 (de) * 2006-08-02 2008-02-07 Autoliv Development Ab Steuergerät und verfahren zur steuerung von funktionen
DE102007015122A1 (de) * 2007-03-29 2008-10-02 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum Transfer von Daten in mehrere Steuergeräte
EP2086104B1 (de) * 2008-01-29 2015-08-12 Ebm-Papst St. Georgen GmbH & CO. KG Elektronisch kommutierter Motor
JP5843786B2 (ja) * 2009-12-18 2016-01-13 コンティ テミック マイクロエレクトロニック ゲゼルシャフト ミットベシュレンクテル ハフツングConti Temic microelectronic GmbH 制御装置にある監視計算機
US8831821B2 (en) * 2010-12-17 2014-09-09 GM Global Technology Operations LLC Controller area network message transmission disable testing systems and methods
CN102320277A (zh) * 2011-07-05 2012-01-18 苏州力久新能源科技有限公司 基于并行结构的汽车力矩安全架构
JP5853691B2 (ja) * 2011-12-28 2016-02-09 アイシン・エィ・ダブリュ株式会社 車両用制御装置および方法
CN103072576B (zh) * 2012-10-19 2015-09-23 昆山力久新能源汽车技术有限公司 基于并行结构的驾驶员请求扭矩安全架构
WO2015008114A1 (en) * 2013-07-18 2015-01-22 Freescale Semiconductor, Inc. Illegal message destroyer
DE102013224695A1 (de) * 2013-12-03 2015-06-03 Robert Bosch Gmbh Verfahren zum Überwachen eines Mikrocontrollers
JP6536011B2 (ja) 2014-10-31 2019-07-03 株式会社デンソー 電子制御装置
JP6812737B2 (ja) 2016-10-07 2021-01-13 オムロン株式会社 演算装置および制御装置
US10668926B2 (en) * 2017-05-31 2020-06-02 Zoox, Inc. Vehicle operation with interchangeable drive modules
DE102018101103A1 (de) * 2018-01-18 2019-07-18 Volkswagen Aktiengesellschaft Verfahren und Computerprogramme für eine Überwachungsinstanz und eine Kommunikationskomponente, Überwachungsinstanz, Kommunikationskomponente, System und Fahrzeug
CN109725629B (zh) * 2018-12-29 2020-05-22 一汽-大众汽车有限公司 一种整车控制器刷新测试系统
US11036573B2 (en) 2019-05-16 2021-06-15 Ford Global Technologies, Llc Control processor unit (CPU) error detection by another CPU via communication bus
US10936397B2 (en) 2019-05-23 2021-03-02 Ford Global Technologies, Llc Hybrid control module status communication system and method
US11760203B2 (en) 2019-06-24 2023-09-19 Hitachi Astemo, Ltd. On-vehicle control device
CN115223273B (zh) * 2021-04-21 2024-02-23 广州汽车集团股份有限公司 Tcu数据监控方法、装置、终端设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5436837A (en) 1991-05-08 1995-07-25 Robert Bosch Gmbh System for controlling a motor vehicle
US5692472A (en) 1995-09-28 1997-12-02 Robert Bosch Gmbh Method and arrangement for controlling the drive unit of a motor vehicle
US5880568A (en) 1994-10-29 1999-03-09 Robert Bosch Gmbh Method and arrangement for controlling the drive unit of a vehicle
US5898829A (en) * 1994-03-22 1999-04-27 Nec Corporation Fault-tolerant computer system capable of preventing acquisition of an input/output information path by a processor in which a failure occurs
DE10030996A1 (de) * 2000-06-30 2002-01-10 Bosch Gmbh Robert Vorrichtung und Verfahren zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4255789A (en) * 1978-02-27 1981-03-10 The Bendix Corporation Microprocessor-based electronic engine control system
DE3826774A1 (de) * 1988-08-06 1990-02-08 Bosch Gmbh Robert Netzwerkschnittstelle
US5574848A (en) * 1993-08-24 1996-11-12 National Semiconductor Corporation Can interface selecting one of two distinct fault recovery method after counting a predetermined number of recessive bits or good can frames
DE19611944C2 (de) * 1996-03-26 2003-03-27 Daimler Chrysler Ag Integrierter Schaltkreis zur Kopplung eines mikrokontrollierten Steuergerätes an einen Zweidraht-Bus
SE511458C2 (sv) * 1997-02-17 1999-10-04 Mecel Ab Skyddsanordning för diagnosuttag i distribuerade datornät
DE19833462A1 (de) * 1998-07-24 2000-01-27 Mannesmann Vdo Ag Schaltungsanordnung zur Abkopplung einer elektronischen Einrichtung von einer Datenleitung in einem Kraftfahrzeug
DE19836079A1 (de) * 1998-07-30 2000-02-10 Siemens Ag Anordnung und Verfahren zur sicheren Prozeßsteuerung
US6981176B2 (en) * 1999-05-10 2005-12-27 Delphi Technologies, Inc. Secured microcontroller architecture
GB9916359D0 (en) 1999-07-14 1999-09-15 New Holland Uk Ltd A contoller area network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5436837A (en) 1991-05-08 1995-07-25 Robert Bosch Gmbh System for controlling a motor vehicle
US5898829A (en) * 1994-03-22 1999-04-27 Nec Corporation Fault-tolerant computer system capable of preventing acquisition of an input/output information path by a processor in which a failure occurs
US5880568A (en) 1994-10-29 1999-03-09 Robert Bosch Gmbh Method and arrangement for controlling the drive unit of a vehicle
US5692472A (en) 1995-09-28 1997-12-02 Robert Bosch Gmbh Method and arrangement for controlling the drive unit of a motor vehicle
DE10030996A1 (de) * 2000-06-30 2002-01-10 Bosch Gmbh Robert Vorrichtung und Verfahren zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See also references of WO2004021095A1 *

Also Published As

Publication number Publication date
DE10236080A1 (de) 2004-02-19
US7418316B2 (en) 2008-08-26
JP5021163B2 (ja) 2012-09-05
CN100422951C (zh) 2008-10-01
AU2003254623A1 (en) 2004-03-19
US20060112315A1 (en) 2006-05-25
WO2004021095A1 (de) 2004-03-11
KR20050059053A (ko) 2005-06-17
KR100984232B1 (ko) 2010-09-28
JP2005535054A (ja) 2005-11-17
CN1659484A (zh) 2005-08-24

Similar Documents

Publication Publication Date Title
WO2004021095A1 (de) Verfahren und vorrichtung zur steuerung von betriebsabläufen, insbesondere in einem fahrzeug________________________________
EP2033375B1 (de) Verfahren zum übertragen von messdaten und sensoreinrichtung
DE10237167B4 (de) Verfahren zur Steuerung eines automatisierten Schaltgetriebes
DE102007036259A1 (de) Bremssystem für ein Fahrzeug und ein Verfahren zum Betreiben eines Bremssystems für ein Fahrzeug
WO2003028305A2 (de) Verfahren und versorgungsleitungsstruktur zur übertragung von informationen zwischen elektrischen kraftfahrzeugkomponenten
EP2739883B1 (de) Verfahren und steuergerät für eine antriebsstrang-komponente
EP3661819B1 (de) Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium
DE102013217461B4 (de) Verfahren und Anordnung zur Überwachung einer Komponente in einem Kraftfahrzeug
EP1989470B1 (de) Sicherheitskonzept für eine getriebestellvorrichtung
EP1401690A1 (de) Verfahren zur ansteuerung einer komponente eines verteilten sicherheitsrelevanten systems
DE19937159A1 (de) Elektrisch gesteuertes Bremssystem
DE102007021871A1 (de) Verfahren und System zum Überwachen des Betriebs eines Antriebsstrangs eines Fahrzeugs
EP1962193B1 (de) Schaltungsvorrichtung und entsprechendes Verfahren zum Ansteuern einer Last
EP1370914A1 (de) Verfahren zum betreiben eines verteilten sicherheitsrelevanten systems
DE10248195A1 (de) Verfahren und Vorrichtung zur Überwachung einer Verzögerungsfunktion einer Steuereinheit eines Kraftfahrzeugs
DE102017209556A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
DE19944939C1 (de) Steuergerät für ein Kraftfahrzeug
DE10011410A1 (de) Vorrichtung zur sicheren Signalerzeugung
DE102021208459B4 (de) Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
DE102011087063A1 (de) Kontrollrechnersystem und Verfahren zur beschleunigten Initialisierung einzelner Module
DE102007046731B4 (de) Verfahren zur Ansteuerung eines Aktuators in einem Kraftfahrzeug
DE10252990B3 (de) Steuereinheit zur Auslösung eines Insassenschutzmittels in einem Kraftfahrzeug und Verfahren zur Überwachung der ordnungsgemäßen Funktion einer vorzugsweise solchen Steuereinheit
DE102007046706A1 (de) Steuervorrichtung für Fahrzeuge
DE102012211987B4 (de) Verfahren zur Kommunikation zwischen einer Master- und einer Slave-Einheit
WO2005044633A1 (de) Schaltungsanordnung zum überwachen einer kraftfahrzeug-sicherheitseinrichtung

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20050307

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LI LU MC NL PT RO SE SI SK TR

17Q First examination report despatched

Effective date: 20110222

TPAC Observations filed by third parties

Free format text: ORIGINAL CODE: EPIDOSNTIPA

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20170922

RIC1 Information provided on ipc code assigned before grant

Ipc: G05B 9/02 20060101ALI20040317BHEP

Ipc: G05B 19/418 20060101AFI20040317BHEP