EP3024707A1 - Verfahren und elektronische schaltungsanordnung zur redundanten signalverarbeitung einer sicherheitsrelevanten anwendung, kraftfahrzeugbremssystem und kraftfahrzeug damit sowie verwendung einer derartigen elektronischen schaltungsanordnung - Google Patents
Verfahren und elektronische schaltungsanordnung zur redundanten signalverarbeitung einer sicherheitsrelevanten anwendung, kraftfahrzeugbremssystem und kraftfahrzeug damit sowie verwendung einer derartigen elektronischen schaltungsanordnungInfo
- Publication number
- EP3024707A1 EP3024707A1 EP14733999.8A EP14733999A EP3024707A1 EP 3024707 A1 EP3024707 A1 EP 3024707A1 EP 14733999 A EP14733999 A EP 14733999A EP 3024707 A1 EP3024707 A1 EP 3024707A1
- Authority
- EP
- European Patent Office
- Prior art keywords
- electronic circuit
- signal
- motor vehicle
- circuit arrangement
- processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T17/00—Component parts, details, or accessories of power brake systems not covered by groups B60T8/00, B60T13/00 or B60T15/00, or presenting other characteristic features
- B60T17/18—Safety devices; Monitoring
- B60T17/22—Devices for monitoring or checking brake systems; Signal devices
- B60T17/221—Procedure or apparatus for checking or keeping in a correct functioning condition of brake systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T8/00—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
- B60T8/32—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
- B60T8/88—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
- B60T8/885—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T2270/00—Further aspects of brake control systems not otherwise provided for
- B60T2270/40—Failsafe aspects of brake control systems
- B60T2270/413—Plausibility monitoring, cross check, redundancy
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
Definitions
- the test signal is likewise transmitted to the microcontroller for processing. Since the test signal differs from the input signal, the respective peripheral modules are constructed differently and the test signal is processed in a further peripheral module independently of the input signal, whereby the processing of the sensor information is advantageously made redundant. Since the I / O modules fulfill the same processing target, the signals or data can be compared after processing and possible systematic errors within the I / O modules can be detected.
- the received signals 6 are pulse-width-modulated signals of the sensor system 4.
- the sensors sense e.g. the way of the brake pedal and output this as an electrical signal pulse width modulated.
- an input signal 6 in a further input circuit 14 is converted into a test signal 16.
- the further input circuit 14 is a low-pass filter with which the pulse-width-modulated input signal 6 is converted into an analog test signal 16.
- the test signal 16 thus differs from the input signal 6, but still has all the sensor information.
Landscapes
- Engineering & Computer Science (AREA)
- Transportation (AREA)
- Mechanical Engineering (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Regulating Braking Force (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
Die Erfindung betrifft ein Verfahren zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, insbesondere einer Sicherheitssteuereinheit eines Kraftfahrzeugs, wobei von mindestens einem Sensor (4) mindestens zwei redundante Signale zur Verarbeitung der Sensorinformationen als Eingangssignale (6) einer elektronischen Schaltungsanordnung (2) zugeführt werden. Dabei wird mindestens ein Eingangssignal (6) in ein anderes Prüfsignal (16) konvertiert. Das bzw. die Eingangssignale (6) werden in der elektronischen Schaltungsanordnung (2) einem ersten Peripheriebaustein (12) eines Mikrocontrollers (10) zugeführt und das Prüfsignal (16) einem weiteren Peripheriebaustein (18) des Mikrocontrollers (10). Die Sensorinformationen der Eingangssignale (6) und des Prüfsignals (16) werden somit voneinander unabhängig in jeweils einem Peripheriebaustein (12, 18) des Mikrocontrollers (10) redundant verarbeitet. Ferner betrifft die Erfindung eine elektronische Schaltungsanordnung (2) zum Ausführen eines derartigen Verfahrens, ein Kraftfahrzeugbremssystem sowie ein Kraftfahrzeug damit und eine Verwendung einer derartigen elektronischen Schaltungsanordnung.
Description
Verfahren und elektronische Schaltungsanordnung zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung,
Kraftfahrzeugbremssystem und Kraftfahrzeug damit sowie
Verwendung einer derartigen elektronischen Schaltungsanordnung
Die Erfindung betrifft ein Verfahren zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, insbesondere einer Sicherheitssteuereinheit eines Kraftfahrzeugs, gemäß dem Oberbegriff von Anspruch 1 sowie eine elektronische Schaltungsanordnung zum Ausführen eines derartigen Verfahrens gemäß dem Oberbegriff von Anspruch 2. Ferner betrifft die Erfindung ein Kraftfahrzeugbremssystem und ein Kraftfahrzeug mit einer derartigen elektronischen Schaltungsanordnung sowie eine Verwendung dieser Schaltungsanordnung.
Elektronische Kraftfahrzeugsteuergeräte, wie beispielsweise ABS- und/oder EBS-Bremssteuergeräte, weisen vielfach redundante Signalverarbeitungssysteme auf, um für moderne sicherheitsrelevante Anwendungen geeignet zu sein. Dabei nehmen die Anforderungen an die Komponenten stetig zu. Mit der steigenden Komplexität der einzelnen Komponenten steigt jedoch auch die Möglichkeit von Fehlfunktionen. Aufgrund steigender Anforderungen an die Komponenten, z.B. Steuergeräte, werden diese nach vorgegebenen Sicherheitsvorschriften gefertigt.
Ein Beispiel einer blockiergeschützten Fahrzeugbremsanlage ist aus
DE 32 34 637 C2 bekannt. Hier werden die Eingangsdaten zwei identisch programmierten MikroControllern parallel zugeführt und dort synchron verarbeitet. Zwischendurch und am Ausgang werden die Signale verglichen. Tritt eine Abweichung der Signale voneinander auf, wird ein Abschaltsignal ausgegeben. Aufgrund eines zweiten MikroControllers, der in seinem Aufbau und in seiner Programmierung mit dem ersten Mikrocontroller identisch ist, lassen sich Datenverarbeitungsfehler zumindest teilweise erkennen. Ein solches System benötigt jedoch zwei hochwertige Mikrocontroller, obwohl zur Erzeugung der eigentlichen
Steuersignale ein einziger Mikrocontroller genügen würde, wodurch sich der Aufwand an MikroControllern aus Sicherheitsgründen verdoppelt.
Um eine mögliche Fehlerquelle aufgrund eines systematischen Designfehlers oder systematischen Fertigungsfehlers des Mikrocontrollers auszuschließen, müssten außerdem beide Systeme von unabhängigen Programmierern entwickelt werden, wodurch sich der Aufwand noch weiter erhöht.
Der Erfindung liegt daher die Aufgabe zugrunde, ein einfaches und kostengünstiges Verfahren sowie eine elektronische Schaltungsanordnung zu schaffen, mit der sich mit der Zuverlässigkeit, die für sicherheitsrelevante Anwendungen gefordert wird, Fehlfunktionen des Systems erkennen lassen.
Die Erfindung löst diese Aufgabe mit den Merkmalen eines Verfahrens zur redundanten Signalverarbeitung gemäß Anspruch 1 , mit einer elektronischen Schaltungsanordnung gemäß Anspruch 2, mit einem Kraftfahrzeugbremssystem gemäß Anspruch 6, mit einem Fahrzeug gemäß Anspruch 7 sowie mit einer Verwendung einer elektronischen Schaltungsanordnung gemäß Anspruch 8.
Zur Durchführung des erfindungsgemäßen Verfahrens zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, wie beispielsweise ein ABS- oder EBS-Steuergerät eines Kraftfahrzeugs, werden von mindestens einem Sensor mindestens zwei redundante Signale zur Verarbeitung von Sensorinformationen der Sensoren als Eingangssignale einer elektronischen Schaltungsanordnung zugeführt.
Bevorzugt werden die Eingangssignale von zwei unabhängigen Sensoren bereitgestellt, um Fehler bei der Erzeugung des Sensorsignals aufgrund eines fehlerhaften Sensors zu erkennen bzw. beim Ausfall eines Sensors die Funktionssicherheit des Systems zu gewähren.
Die Übertragungseinrichtung zur Übertragung der Sensorsignale ist ebenfalls redundant ausgebildet, um ggf. Übertragungsfehler zu erkennen. Daher stehen der elektronischen Schaltungsanordnung erfindungsgemäß mindestens zwei Sensorsignale als Eingangssignale zur Verarbeitung der Sensorinformationen
zur Verfügung. Die Eingangssignale werden entweder direkt oder über eine Schutzbeschaltung gegen Überspannung einem Peripheriebaustein eines Mikro- controllers übergeben. Bevorzugt weist der Peripheriebaustein ein Softwaremodul auf, welches derart ausgestaltet ist, um die Empfangssignale miteinander zu vergleichen. Aufgrund vorhandener Abweichungen lassen sich mögliche Fehlerquellen ermitteln und die sicherheitsrelevante Anwendung in einen sicheren Zustand überführen.
Die vorstehend genannten, funktional unabhängigen Pfade über die zwei redundanten Eingangssignale können jedoch gleichzeitig beeinflusst werden, falls ein systematischer Designfehler oder ein systematischer Fertigungsfehler in dem Peripheriebaustein des Mikrocontrollers vorliegt. Dieser Fehler könnte beide Eingangssignale simultan beeinflussen und zu einem zeitgleichen Ausfall bzw. zu einer Fehlfunktion des Systems führen.
Um das Risiko von Fehlfunktionen von sicherheitsrelevanten elektronischen Schaltungsanordnungen zu minimieren, wird erfindungsgemäß mindestens ein Eingangssignal in ein Prüfsignal konvertiert. Dazu weist die elektronische Schaltungsanordnung mindestens einen Eingangsschaltkreis auf, welcher derart ausgestaltet ist, um aus dem Eingangssignal ein Prüfsignal zu erzeugen, welches sich von dem Eingangssignal unterscheidet, jedoch die Sensorinformationen beibehält.
Das Prüfsignal wird ebenfalls wie auch das bzw. die Eingangssignale dem Mik- rocontroller zur Verarbeitung übergeben. Da sich das Prüfsignal von dem Eingangssignal unterscheidet, sind auch die jeweiligen Peripheriebausteine unterschiedlich aufgebaut und das Prüfsignal wird in einem weiteren Peripheriebaustein unabhängig von dem Eingangssignal verarbeitet, wodurch vorteilhaft die Verarbeitungen der Sensorinformationen redundant ermöglicht wird. Da die Peripheriebausteine das gleiche Verarbeitungsziel erfüllen, lassen sich die Signale oder Daten nach der Verarbeitung vergleichen und mögliche systematische Fehler innerhalb der Peripheriebausteine erkennen.
Gemäß einer bevorzugten Ausführungsform der Erfindung weisen die Peripheriebausteine des Mikrocontrollers zur redundanten Signalverarbeitung voneinan-
der verschiedene Softwaremodule mit unterschiedlichen Softwaretreibern auf. Somit können vorteilhaft Fehlfunktonen oder Ausfälle des Systems, die auf einer fehlerhaften Programmierung beruhen, vermieden werden.
In einer weiteren bevorzugten Ausführungsform der Erfindung ist der Eingangsschaltkreis, der das Eingangssignal in ein analoges Prüfsignal konvertiert, als ein Tiefpassfilter ausgebildet, falls das Eingangssignal ein pulsweitenmoduliertes Signal ist. Alternativ weist der Eingangsschaltkreis, welcher das Eingangssignal in ein pulsweitenmoduliertes Prüfsignal konvertiert, einen spannungsgesteuerten Oszillator (VCO) auf, falls das Eingangssignal ein analoges Spannungs- oder Stromsignal ist. Mit derartigen Eingangsschaltkreisen lassen sich vorhandene Eingangssignale besonders einfach in andere Signale konvertieren, um sie dann von zwei unabhängigen verschiedenen Peripheriebausteinen redundant verarbeiten zu können.
Eine weitere bevorzugte Ausführungsform der Erfindung sieht Mittel zum Erkennen von signifikanten Abweichungen zwischen den Ergebnissen der redundant verarbeiteten Sensorinformationen des Eingangssignals und des Prüfsignals vor. Bei Vorhandensein derartiger Abweichungen lassen sich vorteilhaft die von den abweichenden Daten betroffenen Regelsysteme in einen sicheren Zustand überführen. Somit können vorteilhaft Fehlentscheidungen von Systemen vermieden werden, die möglicherweise eine Gefahr für den Menschen darstellen können.
Die Erfindung löst o. g. Aufgabe ferner mit einem Kraftfahrzeugbremssystem, beispielsweise einem ABS- oder EBS-System, mit Mitteln zum Durchführen des erfindungsgemäßen Verfahrens und/oder mit mindestens einer erfindungsgemäßen elektronischen Schaltungsanordnung, insbesondere einer Sicherheitssteuereinheit.
Des Weiteren löst die Erfindung die o. g. Aufgabe mit einem Kraftfahrzeug, welches mindestens eine elektrische Schaltungsanordnung, insbesondere eine Sicherheitssteuereinheit, zur redundanten Signalverarbeitung aufweist und/oder ein Kraftfahrzeugbremssystem mit derartiger elektronischer Schaltungsanordnung und/oder Mittel zur Durchführung eines erfindungsgemäßen Verfahrens zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung.
Schließlich löst die Erfindung o. g. Aufgabe durch eine Verwendung einer erfindungsgemäßen elektronischen Schaltungsanordnung zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, wobei die erfindungsgemäße elektronische Schaltung zur redundanten Signalverarbeitung in einem Kraftfahrzeug bremssystem und/oder in einem Kraftfahrzeug angewendet werden kann.
Eine derartige Verwendung einer erfindungsgemäßen Schaltungsanordnung gewährleistet vorteilhaft die funktionale Sicherheit eines Systems, insbesondere eines Kraftfahrzeugbremssystems oder eines Kraftfahrzeugs, mit elektronischen Komponenten.
Weitere Ausführungsformen der Erfindung ergeben sich aus den Ansprüchen sowie aus dem anhand der Zeichnung näher erläuterten Ausführungsbeispielen. In der Zeichnung zeigt:
Fig. 1 ein Blockschaltbild einer elektronischen Schaltungsanordnung mit
Sensorsystem und Übertragungseinrichtung.
Fig. 1 zeigt schematisch ein redundant arbeitendes System mit einer elektronischen Schaltungsanordnung 2, die mindestens eine Steuerfunktionalität umfasst.
Es ist bekannt, in elektronischen Schaltungsanordnungen, wie z.B. Steuergeräten für Kraftfahrzeugbremssysteme, Sicherheitseinrichtungen vorzusehen, mit denen auftretende Fehler im System erkannt werden können. Es können bei Erkennen eines solchen Fehlers geeignete Gegenmaßnahmen ergriffen werden und das Steuergerät abgeschaltet oder in einen Notfallmodus geschaltet werden. Zur Erkennung von Fehlern werden oftmals sicherheitsrelevante Schaltungsteile redundant, d.h. mehrfach, ausgeführt. Ein entsprechender Vergleich der Funktionen der mehrfach vorhandenen Schaltungsteile zeigt mögliche Fehler auf.
Daher ist in Fig. 1 ein Sensorsystem 4 mit zwei Sensoren vorgesehen, die die gleiche Messgröße unabhängig voneinander erfassen. Die Sensorinformationen der zwei Sensoren sind in zwei Empfangssignalen 6 enthalten, die über eine
Übertragungseinrichtung, z.B. über zwei separate Bus-Systeme, der elektronischen Schaltungsanordnung 2 übergeben werden.
Die Eingangssignale 6 werden zunächst zwei Eingangsschaltkreisen 8 der elektronischen Schaltungsanordnung 2 zugeführt. Die Eingangsschaltkreise 8 dienen jedoch lediglich zum Schutz vor möglichen Überspannungen und sind daher optional anzusehen, so dass die Eingangssignale 6 einem MikroController 10 übergeben werden, insbesondere einem ersten Peripheriebaustein 12 des Mikrocont- rollers 10 übergeben werden.
In dem in Fig. 1 dargestellten Ausführungsbeispiel handelt es sich bei den Empfangssignalen 6 um pulsweitenmodulierte Signale des Sensorsystems 4. Die Sensoren sensieren z.B. den Weg des Bremspedals und geben diesen als elektrisches Signal pulsweitenmoduliert aus.
Der erste Peripheriebaustein 12 ist bevorzugt eine Aufnehmen-A ergleichen- Einheit, die Signale aufnehmen und vergleichen kann. Mit dem Vergleich der Eingangssignale 6 wird die Übertragungseinrichtung auf mögliche Fehler hin überprüft.
Der erste Peripheriebaustein 12 weist ferner ein erstes Softwaremodul mit zugehörigem Softwaretreiber auf, womit aus den Sensorinformationen eine Bremsanforderung ermittelt wird und eine entsprechende Freigabe der Drucksteuerung erfolgt.
Weist der erste Peripheriebaustein 12 jedoch einen systematischen Fehler auf, z.B. eine fehlerhafte Programmierung des ersten Softwaremoduls, kann es trotz der redundanten Übertragung der Sensorinformationen zu einer Fehlfunktion des Systems, insbesondere des MikroControllers 10, führen.
Um derartige singulare Fehlerursachen (Common Cause Failure - CCF), die funktional unabhängige Pfade in einem System gleichzeitig beeinflussen können, auszuschließen, wird ein Eingangssignal 6 in einem weiteren Eingangsschaltkreis 14 in ein Prüfsignal 16 konvertiert.
Gemäß dem Ausführungsbeispiel aus Fig. 1 handelt es sich bei dem weiteren Eingangsschaltkreis 14 um einen Tiefpass mit dem das pulsweitenmodulierte Eingangssignal 6 in ein analoges Prüfsignal 16 konvertiert wird. Das Prüfsignal 16 unterscheidet sich somit von dem Eingangssignal 6, besitzt aber weiterhin alle Sensorinformationen.
Zur weiteren Verarbeitung des Prüfsignals 16 wird dieses einem zweiten Peripheriebaustein 18 des MikroControllers 10 übergeben. Der zweite Peripheriebaustein 18 dient der redundanten Signalverarbeitung des MikroControllers 10, d.h. der erste Peripheriebaustein 12 und der zweite Peripheriebaustein 18 verfolgen das gleiche Verarbeitungsziel.
Da sich das Prüfsignal 16 jedoch von dem Eingangssignal 6 unterscheidet, verwendet der zweite Peripheriebaustein 18 ein vom ersten Peripheriebaustein 12 verschiedenes zweites Softwaremodul sowie einen anderen Softwaretreiber zur weiteren Verarbeitung der Sensorinformationen. Bevorzugt handelt es sich bei dem zweiten Peripheriebaustein 18 im Wesentlichen um einen Analog-Digital- Wandler mit anschließender Verarbeitung des digitalen Signals.
Ein anschließender Vergleich der ermittelten Bremsanforderung des ersten Peripheriebausteins 12 mit der ermittelten Bremsanforderung des zweiten Peripheriebausteins 18 ermöglicht vorteilhaft das Erkennen einer singulären Fehlerursache in einem der Peripheriebausteine 12, 18, falls das Ergebnis der redundanten Signalverarbeitung der beiden Peripheriebausteine 12, 18 signifikant voneinander abweicht.
Die Erfindung ist jedoch nicht auf das vorstehend beschriebene Ausführungsbeispiel beschränkt. Alternativ können statt der pulsweitenmodulierten Eingangssignale 6 auch zwei redundant übertragene analoge Strom- oder Spannungssignale als Eingangssignale 6 der elektronischen Schaltungsanordnung 2 übergeben werden. Diese analogen Strom- oder Spannungssignale repräsentieren z.B. den zu erzeugenden Bremsdruck, welcher durch die Betätigung des Bremspedals vorgegeben wird.
Liegen analoge Eingangssignale 6 der elektronischen Schaltungsanordnung 2 vor, werden diese in einem ersten Peripheriebaustein 12 verarbeitet mit dem Ziel der Freigabe der Drucksteuerung, falls die Empfangssignale 6 fehlerfrei übertragen wurden.
In dem weiteren Eingangsschaltkreis 14 wird nun aus dem analogen Eingangssignal 6 ein physikalisch anderes Prüfsignal 16 erzeugt. Beispielsweise handelt es sich bei dem Prüfsignal 16 um ein mittels eines spannungsgesteuerten Oszillators erzeugtes pulsweitenmoduliertes Signal, welches dem zweiten Peripheriebaustein 18 zur weiteren Verarbeitung übergeben wird.
Statt eines pulsweitenmodulierten Signals können ebenso weitere Modulationsarten, wie z.B. Pulsfrequenzmodulation, Pulsamplitudenmodulation, Pulscodemodulation oder Pulsphasenmodulation, vorgesehen sein oder auch jedwede andere Art von Modulation, wie z.B. Amplitudenmodulation, Winkelmodulation oder Frequenz/Phasenmodulation, um die Sensorsignale zu übertragen und/oder zu konvertieren.
Grundsätzlich ist es möglich, jedwede Art von Eingangssignalen 6 einer elektronischen Schaltungsanordnung 2 zu übergeben, wobei mindestens ein Eingangssignal in ein anderes Prüfsignal 16 konvertiert wird.
Um die funktionale Sicherheit des Systems, insbesondere des Kraftfahrzeugbremssystems, zu gewährleisten, wird erfindungsgemäß neben der redundanten Übertragungseinrichtung zur Absicherung einer fehlerfreien Übertragung von Sensorsignalen auch die im Mikrocontroller 10 zur Verarbeitung der Sensorsignale genutzten Soft- und Hardware auf fehlerfreie Funktion hin überprüft, indem das Eingangssignal 6 in ein anderes Prüfsignal 16 konvertiert wird und die anschließende Auswertung des Empfangssignals 6 in einem Peripheriebaustein 12 sowie die Auswertung des Prüfsignals 16 in einem unabhängigen Peripheriebaustein 18 separat erfolgen.
Mit Hilfe der erfindungsgemäßen Schaltungsanordnung 2 lässt sich folglich ein hohes Sicherheitsniveau des Systems erreichen. Dabei lässt sich die erfin-
dungsgemäße Schaltungsanordnung 2 vorteilhaft mit geringem Herstellungsaufwand realisieren, da lediglich ein MikroController 10 verwendet wird.
Die Erfindung genügt somit der neuen ISO (International Organization for Stan- dardization) 26262 („Road Vehicle - Functional Safety") - Norm, welche die funktionale Sicherheit eines elektrischen oder elektronischen Systems in Kraftfahrzeugen gewährleisten soll.
Sämtliche in der vorstehenden Beschreibung sowie in den Ansprüchen genannten Merkmale sind sowohl einzeln als auch in beliebiger Kombination mit den Merkmalen der unabhängigen Ansprüche kombinierbar. Die Offenbarung der Erfindung ist daher nicht auf die beschriebenen bzw. beanspruchten Merkmalskombinationen beschränkt. Vielmehr sind alle im Rahmen der Erfindung sinnvollen Merkmalskombinationen als offenbart zu betrachten.
Claims
Ansprüche
Verfahren zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, insbesondere einer Sicherheitssteuereinheit innerhalb eines Kraftfahrzeugs, wobei von mindestens einem Sensor (4) mindestens zwei redundante Signale zur Verarbeitung von Sensorinformationen als Eingangssignale (6) einer elektronischen Schaltungsanordnung (2) zugeführt werden, von denen mindestens ein Eingangssignal (6) in einem Peripheriebaustein (12) eines MikroControllers (10) der elektronischen Schaltungsanordnung (2) verarbeitet wird,
dadurch gekennzeichnet, dass
mindestens ein Eingangssignal (6) in ein Prüfsignal (16) konvertiert wird, wobei sich das Prüfsignal (16) von dem Eingangssignal (6) unterscheidet, jedoch die Sensorinformationen beibehält,
das Prüfsignal (16) einem weiteren Peripheriebaustein (18) des Mikrocont- rollers (10) zur Verarbeitung der Sensorinformationen des Prüfsignals (16) zugeführt wird und
die Verarbeitung der Sensorinformationen des Eingangssignals (6) in einem Peripheriebaustein (12) des Mikrocontrollers (10) und die Verarbeitung des Prüfsignals (16) in einem weiteren Peripheriebaustein (18) des Mikrocontrollers (10) voneinander unabhängig redundant durchgeführt werden.
Elektronische Schaltungsanordnung, insbesondere eine Sicherheitssteuereinheit eines Kraftfahrzeugs, zur redundanten Signalverarbeitung für sicherheitsrelevante Anwendungen mit mindestens einem Mikrocontroller (10) mit mindestens einem Peripheriebaustein (12) zur Verarbeitung von mindestens einem Empfangssignal (6) mindestens eines Sensors (4), gekennzeichnet durch
mindestens ein Eingangsschaltkreis (14), welcher derart ausgestaltet ist, um ein Eingangssignal (6) der Schaltungsanordnung
(2) in ein Prüfsignal (16) zu konvertieren, wobei sich das Prüfsignal (16) von dem Eingangssignal (6) unterscheidet und
mindestens ein weiterer Peripheriebaustein (18) des Mikrocontrollers (10), welcher derart ausgestaltet ist, um in dem Prüfsignal (16) enthaltene Sen-
sorinformationen zu verarbeiten, wobei die Verarbeitung der Sensorinformationen des Eingangssignals (6) in einem Peripheriebaustein (12) des MikroControllers (10) und die Verarbeitung des Prüfsignals (16) in einem weiteren Peripheriebaustein (18) des MikroControllers (10) voneinander unabhängig redundant durchgeführt werden.
3. Elektronische Schaltungsanordnung nach Anspruch 2,
dadurch gekennzeichnet, dass
die Peripheriebausteine (12, 18) des MikroControllers (10) zur redundanten Signalverarbeitung voneinander verschiedene Softwaremodule mit unterschiedlichen Softwaretreibern aufweisen.
4. Elektronische Schaltungsanordnung nach Anspruch 2 oder 3,
dadurch gekennzeichnet, dass
der Eingangsschaltkreis (14), welcher das Eingangssignal (6) in ein analoges Prüfsignal (16) konvertiert, ein Tiefpassfilter ist, falls das Eingangssignal (6) ein pulsweitenmoduliertes Signal ist oder
der Eingangsschaltkreis (14), welcher das Eingangssignal (6) in ein pulsweitenmoduliertes Prüfsignal (16) konvertiert, einen spannungsgesteuerten Oszillator (VCO) aufweist, falls das Eingangssignal (6) ein analoges Span- nungs- oder Stromsignal ist.
5. Elektronische Schaltungsanordnung nach einem der Ansprüche 2 bis 4, dadurch gekennzeichnet, dass
bei signifikanten Abweichungen zwischen dem redundant verarbeiteten Sensorinformationen des Eingangssignals (6) und des Prüfsignals (16), die von den abweichenden Daten betroffene Regelsysteme in einen sicheren Betriebsmodus überführt werden.
6. Kraftfahrzeug bremssystem
gekennzeichnet durch
Mittel zum Durchführen der Schritte eines Verfahrens nach Anspruch 1 und/oder
mindestens eine elektronische Schaltungsanordnung (2) nach einem der Ansprüche 2 bis 5.
7. Kraftfahrzeug mit einer elektronischen Schaltungsanordnung (2), insbesondere einer Sicherheitssteuereinheit, nach einem der Ansprüche 2 bis 5 und/oder
ein Kraftfahrzeugbremssystem nach Anspruch 6 und/oder
Mittel zum Durchführen der Schritte eines Verfahrens nach Anspruch 1.
8. Verwendung einer elektronischen Schaltungsanordnung (2) zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, dadurch gekennzeichnet, dass
die elektronische Schaltungsanordnung (2) nach einem der Ansprüche 2 bis 5 ausgebildet ist oder
die elektronische Schaltungsanordnung (2) zur redundanten Signalverarbeitung in einem Kraftfahrzeugbremssystem gemäß Anspruch 6 und/oder in einem Kraftfahrzeug gemäß Anspruch 7 eingesetzt wird.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102013012497.2A DE102013012497A1 (de) | 2013-07-26 | 2013-07-26 | Verfahren und elektronische Schaltungsanordnung zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, Kraftfahrzeugbremssystem und Kraftfahrzeug damit sowie Verwendung einer derartigen elektronischen Schaltungsanordnung |
| PCT/EP2014/001666 WO2015010756A1 (de) | 2013-07-26 | 2014-06-18 | Verfahren und elektronische schaltungsanordnung zur redundanten signalverarbeitung einer sicherheitsrelevanten anwendung, kraftfahrzeugbremssystem und kraftfahrzeug damit sowie verwendung einer derartigen elektronischen schaltungsanordnung |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| EP3024707A1 true EP3024707A1 (de) | 2016-06-01 |
Family
ID=51033118
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| EP14733999.8A Withdrawn EP3024707A1 (de) | 2013-07-26 | 2014-06-18 | Verfahren und elektronische schaltungsanordnung zur redundanten signalverarbeitung einer sicherheitsrelevanten anwendung, kraftfahrzeugbremssystem und kraftfahrzeug damit sowie verwendung einer derartigen elektronischen schaltungsanordnung |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US10053079B2 (de) |
| EP (1) | EP3024707A1 (de) |
| JP (1) | JP2016529610A (de) |
| KR (1) | KR20160037939A (de) |
| CN (1) | CN105555624B (de) |
| DE (1) | DE102013012497A1 (de) |
| WO (1) | WO2015010756A1 (de) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102015114211A1 (de) * | 2015-08-27 | 2017-03-02 | Endress + Hauser Gmbh + Co. Kg | Sensorschaltung zum Auswerten eines Sensorsignals |
| DE102015217386A1 (de) * | 2015-09-11 | 2017-03-16 | Robert Bosch Gmbh | Verfahren und System zum Betreiben eines Kraftfahrzeugs |
| CN109901547B (zh) * | 2017-12-11 | 2021-07-16 | 中车永济电机有限公司 | 一种车辆管理控制vcu柜 |
| DE102018220065A1 (de) * | 2018-11-22 | 2020-05-28 | Robert Bosch Gmbh | Betriebsverfahren für eine redundante Sensoranordnung eines Fahrzeugsystems und korrespondierende redundante Sensoranordnung |
| US11385632B2 (en) * | 2018-12-21 | 2022-07-12 | The Boeing Company | Sensor fault detection and identification using residual failure pattern recognition |
| DE102019129305A1 (de) * | 2019-10-30 | 2021-05-06 | Knorr-Bremse Systeme für Nutzfahrzeuge GmbH | Schaltvorrichtung für ein Bremssystem für ein Fahrzeug, Bremssystem mit einer Schaltvorrichtung und Verfahren zum Betreiben einer Schaltvorrichtung |
| EP3822134B1 (de) * | 2019-11-18 | 2021-12-29 | KNORR-BREMSE Systeme für Nutzfahrzeuge GmbH | Bremssystem für ein kraftfahrzeug und anhängersteuerungsmodul |
| CN114115055A (zh) * | 2021-11-30 | 2022-03-01 | 重庆川仪自动化股份有限公司 | 用于符合电动执行机构功能安全的冗余控制系统及方法 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3234637A1 (de) | 1982-09-18 | 1984-03-22 | Alfred Teves Gmbh, 6000 Frankfurt | Verfahren und schaltungsanordnung zur steuerung einer bremsschlupfregelanlage |
| JP2841602B2 (ja) * | 1989-12-28 | 1998-12-24 | 住友電気工業株式会社 | 多重系制御回路 |
| DE4341082A1 (de) * | 1993-12-02 | 1995-06-08 | Teves Gmbh Alfred | Schaltungsanordnung für sicherheitskritische Regelungssysteme |
| DE19716197A1 (de) * | 1997-04-18 | 1998-10-22 | Itt Mfg Enterprises Inc | Mikroprozessorsystem für sicherheitskritische Regelungen |
| DE10056129A1 (de) * | 2000-11-13 | 2002-05-23 | Zf Lenksysteme Gmbh | Steuerungssystem für ein Stellglied in einem Kraftfahrzeug |
| WO2002055356A1 (de) * | 2001-01-12 | 2002-07-18 | Daimlerchrysler Ag | Vorrichtung zur überwachung von in einem fahrzeug angeordneten sensormitteln |
| DE10325650A1 (de) | 2003-06-06 | 2004-12-23 | Daimlerchrysler Ag | Bremsvorrichtung und -verfahren für ein Fahrzeug |
| DE102005005995A1 (de) * | 2004-02-23 | 2006-06-22 | Continental Teves Ag & Co. Ohg | Verfahren und Vorrichtung zum Überwachen von Signalverarbeitungseinheiten für Sensoren |
| DE102006017302B4 (de) * | 2006-04-12 | 2012-02-16 | Continental Automotive Gmbh | Verfahren und System zur Kontrolle einer Signalübertragung eines elektrischen Pedals |
| JP2008116339A (ja) * | 2006-11-06 | 2008-05-22 | Denso Corp | センサ装置およびセンサ装置を備えた車両制御システム |
| DE102006053617A1 (de) * | 2006-11-14 | 2008-05-15 | Siemens Ag | System zur Aktorsteuerung, insbesondere Bremssystem |
| DE102007035326B4 (de) | 2007-07-27 | 2026-03-26 | Robert Bosch Gmbh | Sensorkonzept für eine elektrisch betätigte Bremse |
| CA2721830C (en) * | 2008-04-21 | 2017-06-20 | Bombardier Inc. | Integrity monitoring of inertial reference unit |
| DE102010006061A1 (de) * | 2010-01-28 | 2011-08-18 | Daimler AG, 70327 | Verfahren und Vorrichtung zur Erzeugung eines Bremslichtausgangssignals einer Bremsanlage für ein Fahrzeug |
| CN102713857B (zh) * | 2010-08-03 | 2014-11-26 | 西门子公司 | 用于进行故障安全型硬件无关浮点运算的方法和装置 |
| DE102011122776A1 (de) | 2011-07-21 | 2013-01-24 | Daimler Ag | Bremsanlage für ein Kraftfahrzeug |
| US9375250B2 (en) * | 2012-04-09 | 2016-06-28 | Covidien Lp | Method for employing single fault safe redundant signals |
| US8868989B2 (en) * | 2012-07-12 | 2014-10-21 | Freescale Semiconductor, Inc. | System for testing error detection circuits |
-
2013
- 2013-07-26 DE DE102013012497.2A patent/DE102013012497A1/de not_active Ceased
-
2014
- 2014-06-18 CN CN201480041968.7A patent/CN105555624B/zh active Active
- 2014-06-18 US US14/904,968 patent/US10053079B2/en active Active
- 2014-06-18 KR KR1020167003945A patent/KR20160037939A/ko not_active Ceased
- 2014-06-18 EP EP14733999.8A patent/EP3024707A1/de not_active Withdrawn
- 2014-06-18 JP JP2016528367A patent/JP2016529610A/ja active Pending
- 2014-06-18 WO PCT/EP2014/001666 patent/WO2015010756A1/de not_active Ceased
Non-Patent Citations (2)
| Title |
|---|
| None * |
| See also references of WO2015010756A1 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2015010756A1 (de) | 2015-01-29 |
| DE102013012497A1 (de) | 2015-01-29 |
| CN105555624A (zh) | 2016-05-04 |
| JP2016529610A (ja) | 2016-09-23 |
| US20160144844A1 (en) | 2016-05-26 |
| US10053079B2 (en) | 2018-08-21 |
| KR20160037939A (ko) | 2016-04-06 |
| CN105555624B (zh) | 2020-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3024707A1 (de) | Verfahren und elektronische schaltungsanordnung zur redundanten signalverarbeitung einer sicherheitsrelevanten anwendung, kraftfahrzeugbremssystem und kraftfahrzeug damit sowie verwendung einer derartigen elektronischen schaltungsanordnung | |
| EP3201894B1 (de) | Vorrichtung zum senden und empfangen eines sensorsignals | |
| DE102007021286A1 (de) | Elektromechanisches Bremssystem mit einer ausfallsicheren Energieversorgung und Verfahren zur ausfallsicheren Energieversorgung in einem elektromechanischen Bremssystem für Fahrzeuge | |
| DE19829126A1 (de) | Elektromechanisches Bremssystem | |
| DE102018107452B4 (de) | ISO 26262 konformes Verfahren zur Prüfung einer Bewertungsvorrichtung für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems | |
| DE102009019792A1 (de) | Steuersystem zum sicheren Betreiben von mindestens einer Funktionskomponente | |
| DE102012021564B4 (de) | Vorrichtung und Verfahren zum teil-, hoch- oder vollautomatischen Führen eines Kraftfahrzeuges | |
| DE102018107448A1 (de) | ISO 26262 konforme Vorrichtung zur Prüfung einer Bewertungsvorrichtung mit mehreren Bewertungsteilvorrichtungen für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems | |
| DE102016220197A1 (de) | Verfahren zum Verarbeiten von Daten für ein automatisiertes Fahrzeug | |
| DE102018107449A1 (de) | ISO 26262 konformes Verfahren zur Prüfung einer Bewertungsvorrichtung für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems | |
| DE102018107446A1 (de) | ISO 26262 konforme Vorrichtung zur Prüfung einer Bewertungsvorrichtung mit einer Einspeisevorrichtung und mehreren Bewertungsteilvorrichtungen für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems | |
| WO2008014940A1 (de) | Steuergerät und verfahren zur steuerung von funktionen | |
| DE102006017302B4 (de) | Verfahren und System zur Kontrolle einer Signalübertragung eines elektrischen Pedals | |
| WO2003096540A1 (de) | Elektronische schaltungsanordnung zur fehlerabgesicherten analog-/digital-umwandlung von signalen | |
| EP1034104A1 (de) | Elektromechanisches bremssystem | |
| DE102010051873A1 (de) | Integrierte Schaltungsanordnung und Verfahren zur Signalüberwachung | |
| DE102010006061A1 (de) | Verfahren und Vorrichtung zur Erzeugung eines Bremslichtausgangssignals einer Bremsanlage für ein Fahrzeug | |
| DE10007008B4 (de) | Verfahren zur Überwachung einer Datenverarbeitungseinrichtung | |
| EP1904343B1 (de) | Elektronische vorrichtung | |
| DE102007062974B4 (de) | Signalverarbeitungsvorrichtung | |
| EP4048574B1 (de) | Auswertevorrichtung zur fehlertoleranten auswertung von sensorsignalen für ein motorsteuergerät einer kraftfahrzeuglenkung und kraftfahrzeuglenkung | |
| DE102016224580B3 (de) | Prüfverfahren für einen Betätigungsschalter einer Funktionseinheit eines Kraftfahrzeugs | |
| DE102018203887B4 (de) | Steuergerät für ein Mehrspannungsbordnetz eines Fahrzeugs und Mehrspannungsbordnetz | |
| DE102016222628A1 (de) | Sensoranordnung mit einem Sensor zum redundanten Erfassen einer Messgröße und ein elektrohydraulisches Bremssystem mit einer solchen Sensoranordnung | |
| EP1928091B1 (de) | Sensoreinheit mit Sicherheitssystem |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PUAI | Public reference made under article 153(3) epc to a published international application that has entered the european phase |
Free format text: ORIGINAL CODE: 0009012 |
|
| 17P | Request for examination filed |
Effective date: 20160226 |
|
| AK | Designated contracting states |
Kind code of ref document: A1 Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR |
|
| AX | Request for extension of the european patent |
Extension state: BA ME |
|
| DAX | Request for extension of the european patent (deleted) | ||
| 17Q | First examination report despatched |
Effective date: 20181108 |
|
| STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN |
|
| 18D | Application deemed to be withdrawn |
Effective date: 20191009 |