WO1988005570A1 - Process and device for monitoring computer-controlled final control elements - Google Patents

Process and device for monitoring computer-controlled final control elements Download PDF

Info

Publication number
WO1988005570A1
WO1988005570A1 PCT/DE1987/000532 DE8700532W WO8805570A1 WO 1988005570 A1 WO1988005570 A1 WO 1988005570A1 DE 8700532 W DE8700532 W DE 8700532W WO 8805570 A1 WO8805570 A1 WO 8805570A1
Authority
WO
WIPO (PCT)
Prior art keywords
signal
computer
output
actuator
generator
Prior art date
Application number
PCT/DE1987/000532
Other languages
English (en)
French (fr)
Inventor
Wolfgang Drobny
Werner Nitschke
Peter Taufer
Hugo Weller
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Publication of WO1988005570A1 publication Critical patent/WO1988005570A1/de
Priority to SE8902508A priority Critical patent/SE464788B/sv

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0763Error or fault detection not based on redundancy by bit configuration check, e.g. of formats or tags
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/34Director, elements to supervisory
    • G05B2219/34454Check functioning controller, cpu or program
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/34Director, elements to supervisory
    • G05B2219/34455Different parameters are evaluated to indicate different faults
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/34Director, elements to supervisory
    • G05B2219/34491Count certain number of faults before delivering alarm or stop
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/42Servomotor, servo controller kind till VSS
    • G05B2219/42319What kind of actuator failure

Definitions

  • the invention relates to a method for monitoring computer-controlled actuators, in particular for safety devices in motor vehicles (e.g. anti-lock braking system, air bags or belt tensioners), comprising a process computer and at least one electronic actuator actuated by it.
  • motor vehicles e.g. anti-lock braking system, air bags or belt tensioners
  • Actuators are used in all areas of regulation and control technology. Optical and acoustic signal transmitters are known for monitoring the output variables, as are analog-indicating instruments in which a danger zone is particularly marked.
  • actuators are often controlled by computers.
  • the known signal generators are not always sufficient, the requirement a fast and reliable monitoring. This is especially the case when it comes to safety-related actuators.
  • the inflatable gas cushions provide an example of the need to reliably prevent false triggers in safety systems. If this safety system is suddenly energized at high speeds without there being an objective reason for this, this can result in considerable consequential damage as a result of a visual impairment or by frightening the driver.
  • the object of the invention is to improve the speed and reliability of this monitoring and to automate it as far as possible in a method for monitoring computer-controlled actuators.
  • This object is achieved in a method for monitoring computer-controlled actuators according to the preamble of claim 1 by the features specified in the characterizing part.
  • the method according to the invention creates a very early possibility of detecting faults. This provides the prerequisite for prompt notification of the fault or, if necessary, timely remedial action, e.g. through our own program corrections or by including reserve actuators.
  • the taking of signal samples at two outputs also improves the reliability of the recognition in that a distinction can be made between different faults and the fault can thus be displayed or eliminated in a targeted manner.
  • the method according to the invention facilitates the diagnosis of the faults, which reduces the repair time and the possible material expenditure.
  • setpoints of the process computer are also continuously transmitted to the evaluation circuit.
  • the improvement of the availability of a computer-controlled actuator monitored by the method according to the invention is further increased by the further development.
  • the switching signal when the signal sample taken at the output of the computer deviates for the first time from the target value is a reset signal fed to a control input of the computer.
  • One-off faults can e.g. are caused by radio systems, electrical discharges or switching pulses on a line network. If these lead to a program error, this can be remedied in the simplest manner by resetting the computer and restarting it. This also eliminates the malfunction in the program flow. The time loss associated with this procedure is less significant the earlier the fault is recognized.
  • the switching signal is an alarm signal which excites a first signal generator if the signal sample taken at the output of the computer deviates several times from the desired value within a predetermined period of time.
  • the switching signal is an alarm signal which excites a further signal generator if the signal sample taken at the control output of the control element deviates from the target value:
  • Such a malfunction is not a program malfunction (software) but a circuit malfunction (hardware). Additional signal transmitters are therefore excited to make it easier to distinguish these faults. It is also possible to use the alarm signal to switch on a replacement actuator or to initiate other replacement measures.
  • the switching signal in the event of a static deviation of the signal sample taken at the control output of the actuator from the target value is a second signal generator which excites it.
  • Alarm signal is a second signal generator which excites it.
  • a Such a fault can indicate a fault in the actuator as well as a fault in the rest of the circuit, for example in the voltage supply. This fault can be better distinguished from others by a second signal generator.
  • the switching signal in the event of a coincident deviation of the signal sample taken at the control output of the actuator from the setpoint value as a function of a signal sample taken at the output of the computer is an alarm signal which excites a third signal generator.
  • This disturbance indicates an error in the control slider, while other causes for this are practically excluded.
  • This measure can therefore be used to distinguish between errors of a general circuitry type and those which are to be limited to the actuator itself.
  • This procedural measure therefore offers the possibility of switching on an actuator which is present as a replacement or, if such a thing is not provided, of facilitating subsequent fault diagnosis and repair.
  • the alarm signals are preferably conveyed by at least one different meaning content Detector optically and / or acoustically displayed. These measures ensure the immediate perception of the alarm signal and enable a decision-making aid to be made as to whether the arrangement is still functionally restricted or not and where the fault can be located and rectified in a later repair.
  • the signal samples taken at the control input of the actuator are converted into a digital signal and processed as a digital signal in the evaluation circuit.
  • This method facilitates the comparison of the actual target value, particularly in the case of very complicated signal processes. This increases the reliability of the comparison results. , ' .
  • lower and / or upper threshold values are specified, and if they are exceeded or undershot, switching signals are only generated.
  • the invention further relates to a circuit arrangement for monitoring computer-controlled actuators, in particular for safety devices in motor vehicles (e.g. anti-lock braking systems, air bags or belt tensioners), consisting of a process computer and at least one electronic actuator actuated by it.
  • motor vehicles e.g. anti-lock braking systems, air bags or belt tensioners
  • the invention has for its object to provide a circuit arrangement for monitoring computer-controlled actuators, which works quickly and reliably, and enables a largely automated monitoring.
  • the setpoint generator is designed to be controllable and connected to a data input or output of the computer.
  • This configuration also enables further, in particular current, setpoint / actual value comparisons to be carried out. For example, check the entire data processing "of the computer with the evaluation circuit by also feeding the input data of the reher to the evaluation circuit.
  • the setpoint-actual value comparison can be limited to checking so-called test signals, which occur at certain intervals within a computing routine. Malfunctions that have occurred can then be determined and corrected or reported before the actual incorrect end result.
  • the switching signal generator is preferably provided with at least two outputs for different switching signals.
  • an output of the switching signal generator is connected to a reset input of the computer and the other outputs are connected to the inputs of signal transmitters in the form of acoustic and / or optical detectors.
  • the fault is a one-time fault in the computer program, caused, for example, by electrical discharges, switching impulses on a line network or radio interference, this can be remedied by resetting the computer and restarting. Since this process takes place very quickly and can be initiated particularly early by the measures according to the invention, no notification is required for this. It is also advisable to display the other faults if the functionality of the system is still maintained by switching on the equivalent circuit, for example a spare computer or a spare actuator. In order to restore the original reliability, the defective components have to be replaced at the earliest possible time.
  • the evaluation circuit additionally includes a counter for the switching pulses applied to the one output.
  • the evaluation circuit preferably additionally comprises a threshold value transmitter for lower and / or upper threshold values, the threshold value transmitter being connected to the comparator.
  • the evaluation circuit is preferably designed as an additional process computer and interfaces are arranged between the inputs of this computer on the one hand and the output of the first computer and the actuating output of the actuator on the other hand.
  • This configuration is particularly advantageous in multi-computer systems if different computers are combined in order to accomplish a common task.
  • no special preparation of the data is generally necessary, since the data is already available in a mutually readable form.
  • the interfaces are designed as impedance converters or as digital-analog converters. With these measures, a decoupling of the evaluation circuit from the computer and the actuator is achieved, so that possible interference caused by the monitoring itself is avoided.
  • the design of the interface as a digital-to-analog converter is expedient if, in addition to the monitoring of the digital output variables of the actuator, analogue outputs are also to be monitored. This is e.g. then the case when an actuator dimensioned per se as a switch shows faults which lie in intermediate values between the switched-on and switched-off state of the switch.
  • Fig. 1 shows a circuit arrangement for
  • FIG. 2 shows a graphical representation of various signal configurations and the faults derived therefrom.
  • the Host 10 receives via ⁇ its data input 46 data which it evaluates and wo ⁇ raufhin it generates control signals, the gear about its Aus ⁇ 28 are transmitted to the actuator 12th
  • the actuator 12 in turn issues control commands via its control output 30 to a load 14.
  • the load 14 can be ignited by gas cartridges for blowable gas pillows can be formed in a safety device for a motor vehicle.
  • signal samples are taken at the output 28 of the computer 10 and at the control output 30 of the actuator 12 and evaluation inputs 16 and 18 are fed to the evaluation circuit 20.
  • the output variables of the process computer 10 and of the actuator 12 can be adapted to the variables that can be processed by the evaluation circuit 20 via interfaces 56 and 58, which are designed as impedance converters or as digital-analog converters in accordance with the required signal adaptation.
  • the evaluation circuit 20 comprises a setpoint generator 22, a comparator 24, a switching signal generator 26 and, as an expedient addition, a counter 52 and a threshold value generator 54.
  • the setpoint generator 22 can be designed as a fixed or as a controllable setpoint generator.
  • control lines are shown in dashed lines, namely one that has the data input 46 of the computer 10, one that has a data output 48 and one that has the output 28 of the computer 10 is connected.
  • the setpoint generator 22 could be constructed identically to the computer 10 and thus emulate the entire program sequence. A simpler configuration of the setpoint generator 22 is possible if intermediate results are used as the setpoint values via the data output 48 of the computer 10.
  • the setpoint generator can be designed even more simply if only test signals at the output 28 of the computer 10 are evaluated and compared with the combined data signal or a preceding or following one.
  • the comparator 24 compares the setpoint values generated by the setpoint generator 22 with the signal samples which are fed to it via the evaluation inputs 16 and 18. Comparisons between the individual signal samples and the target values are possible, as are comparisons between combined signal samples and target values. The comparison possibilities of the individual signal samples with the target values are symbolized by the addition points 60 and 62. The comparison possibilities of the combined signal samples, which are previously fed to an addition point 64, are carried out in a ⁇ indicated addition point.
  • addition points serves only for explanation. In a practical embodiment, there can also be only a single addition point which is switched over in time-division multiplexing.
  • the comparison circuit 24 and also the other function blocks 22, 26, 52, 54 can be implemented by a process computer with an appropriate computer program.
  • the switching signal generator 26 connects to the comparison circuit 24.
  • the latter has a number of inputs and outputs 32, 34, 36, 38 corresponding to the number of possible malfunctions.
  • the output 32 of the switching signal generator 26 is connected to a reset input 50 of the computer 10.
  • the other outputs are connected to signal transmitters 40, 42, 44 shown as optical detectors.
  • a counter 52 which is separately connected to an input of the switching signal generator 26 and operates on the output 38, is used to count the reset signals occurring at the output 32.
  • the threshold value generator 54 which upper and lower Threshold values are generated which are added to additional addition points 68 and 70 of the comparator 24 in order to suppress switching signal generation when certain threshold values are exceeded or not reached.
  • the mode of operation of the circuit will now be explained on the basis of several assumed accidents. It is initially assumed that a program error has occurred due to a switching fault.
  • the setpoint generator 22 now sets a signal at a certain point in time, which, however, does not appear at the output 28 of the computer 10.
  • a signal arrives at the setpoint generator 22 at the addition point 60 of the comparator 24, while no signal is applied from the evaluation input 16.
  • the comparator 24 thus detects a deviation which is passed on to the switching signal generator 26 and causes it to transmit a reset signal to the reset input 50 of the computer 10 via its output 32.
  • the computer 10 is then reset, starts again and the program error is eliminated.
  • the same process as described above follows first. After restarting the computer 10 by resetting via the reset input 50, the same fault occurs again, which consequently leads to a new reset.
  • the individual reset signals are now counted by the counter 52 and when a maximum value is reached within a predetermined period of time, the signal transmitter 44 is excited. In connection with this, the system could then either be switched off or a replacement process computer switched on.
  • the fourth malfunction is assumed to be a change in the transmission property of the actuator.
  • the output signal at the control output 30 of the actuator 12 does not change or does not change sufficiently.
  • the Sig- nalproben at the two outputs 28 and 30 reach the analysis inputs 16 and 18 of the evaluation circuit 20. This is first ⁇ in the summing point 64, a comparison of the two signals. The deviation of the signals reaches the addition point 66 from there, where it is compared with a setpoint value applied by the setpoint generator 22. Due to the deviation, the switching signal generator 26 is now caused to excite the signal generator 40 via its output 34. If the described deviation of the signals is below a threshold value, so that one can still speak of a match (coincidence), the actuation of the switching signal transmitter 26 is suppressed by the addition point 70 in connection with the threshold value transmitter 54.
  • FIG. 2 shows the malfunctions described graphically, namely the signals appearing at the output 28 of the computer 10 on the left and the signals occurring at the control output 30 of the actuator 12 on the right.
  • FIG. 2a first illustrates the trouble-free operation, in which the signal at the output 28 of the computer 10 occurs at the intended time and the signal at the output 30 of the actuator 12 follows it. Two signal cycles are shown in each case.
  • 2b shows the signal curve in the event of a program disturbance caused by external influences.
  • the signal expected at the intended time at the output 28 of the computer 10 remains off, but occurs at the correct time after the computer 10 is reset in the next cycle.
  • FIG. 2d A stationary fault at the control output 30 of the control element 12 is illustrated in FIG. 2d.
  • the outputs of the switching signal generator 26 activated when these malfunctions occur are given in addition to the representations.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Emergency Alarm Devices (AREA)
  • Monitoring And Testing Of Nuclear Reactors (AREA)
  • Air Bags (AREA)

Description

Verfahren und Vorrichtung zur Überwachung rechnergesteuerter Stellglieder
Die Erfindung betrifft ein Verfahren zur Überwachung rechnergesteuerter Stellglieder, insbesondere für Sicher¬ heitseinrichtungen in Kraftfahrzeugen (z.B. Antiblockier- system, air bags oder Gurtstraffer) , bestehend aus einem Prozeßrechner und mindestens einem von diesem ange¬ steuerten elektronischen Stellglied.
Stellglieder werden in allen Bereichen der Regelungs¬ und Steuerungstechnik verwendet. Zur Überwachung der Ausgangsgrößen sind optische und akustische Signalgeber bekannt sowie analoganzeigende Instrumente, bei denen ein Gefahrenbereich besonders markiert..is .
Im Zuge immer komplizierterer, schnellerer und präziserer Steuerungs- und Regelvorgänge werden Stellglieder häufig von Rechnern angesteuert. In diesen Fällen reichen die bekannten Signalgeber nicht immer aus, die Forderung einer schnellen und zuverlässigen Überwachung zu er¬ füllen. Dies ist gerade dann der Fall, wenn es um sicher- heitsrelevante Stellglieder geht.
Ein Beispiel hierfür sind Sicherheitseinrichtungen in Kraftfahrzeugen, wie Antiblockiersysteme oder passive Rückhaitesysteme, z.B. aufblasbare Gaskisssen (air bags) , die beim Aufprall des Fahrzeugs auf ein'Hindernis auto¬ matisch wirksam werden, oder Sicherheitsgurte, die im Moment des Aufpralls gespannt werden (Gurtstraffer) .
An solche Sicherheitseinrichtungen werden zwei Forderungen gestellt. Einmal soll eine höchst mögliche Funktions- sicherheit erzielt werden und ein dennoch auftretender Fehler signalisiert werden. Zum anderen soll eine Fehl¬ auslösung sicher verhindert werden.
Die Notwendigkeit einer hohen Zuverlässigkeit wird be¬ sonders beim Antiblockiersyste deutlich. Da die Fahrer von mit Antiblockiersystem ausgerüsteten Fahrzeugen das Bremsverhalten ihres Fahrzeugs ohne Antiblockier¬ system nicht kennen und für sie auch kein Anlaß besteht, die optimale Betätigung der Bremse im Gefahrenfalle bei besonderen Ausbildungsveranstaltungen zu erlernen und zu übenr kann ein Ausfall dieser Sicherheitseinrichtung im Gefahrenfalle dazu führen, daß der Fahrer die für ihn ungewohnte Situation nicht beherrscht und einen Unfall verursacht.
Ein Beispiel für die Notwendigkeit einer sicheren Ver¬ hinderung von Fehlauslösungen bei Sicherheitssystemen bieten die aufblasbaren Gaskissen. Wird dieses Sicher¬ heitssystem bei hohen Geschwindigkeiten plötzlich er¬ regt, ohne daß hierfür ein objektiver Anlaß besteht, so kann dies in Folge einer Sichtbehinderung oder durch Erschrecken des Fahrers erhebliche Folgeschäden hervor¬ rufen.
Wird die Funktionsstörung bei diesen Sicherheitsein¬ richtungen in üblicher Weise überwacht und angezeigt, so müßte eine Bedienungsperson innerhalb von Sekunden- b uchteilen eingreifen und sogar anhand bestimmter Ent¬ scheidungskriterien die richtigen Gegenmaßnahmen treffen. Dies ist jedoch nicht zu bewältigen und es besteht die Gefahr, daß der Nutzen derartiger Sicherheitseinrich¬ tungen sich bei Störungen- in sein Gegenteil verkehrt.
Auch bei anderen rechnergesteuerten Stellgliedern, die nicht sicherheitsrelevant sind, z.B. Werkzeugmaschinen, können Störungen erhebliche Schäden herbeiführen, wenn bei üblichen überwachungsverfahren und Vorrichtungen ein korrigierendes Eingreifen zu spät erfolgt. Der Erfindung liegt die Aufgabe zugrunde, bei einem Verfahren zur Überwachung rechnergesteuerter Stell¬ glieder die Schnelligkeit und Zuverlässigkeit dieser Überwachung zu verbessern und weitestgehend zu auto¬ matisieren.
Gelöst wird diese Aufgabe bei einem Verfahren zur Über¬ wachung rechnergesteuerter Stellglieder nach dem Ober¬ begriff des Anspruchs 1 durch die im kennzeichnenden Teil angegebenen Merkmale.
Das erfindungsgemäße Verfahren schafft durch den fort¬ laufenden Vergleich der Signalproben mit den Sollwerten eine sehr frühzeitige Erkennungsmöglichkeit von Störungen. Diese bietet die Voraussetzung für eine rechtzeitige An¬ zeige der Störung oder gegebenenfalls einer rechtzeitigen Abhilfe z.B. durch eigene Programmkorrekturen oder durch Einbeziehung von ReserveStellgliedern. Die Entnahme von Signalproben an zwei Ausgängen verbessert auch die Zu¬ verlässigkeit der Erkennung, indem zwischen verschiedenen Störungen unterschieden werden kann und somit gezielt die Störung angezeigt oder beseitigt werden kann.
In Folge der zuverlässigen Erkennung der Störungen wird auch eine automatische Korrektur oder Abhilfe ermöglicht, sofern diese vom Rechenprogramm und dem schaltungs¬ technischen Aufwand her durchführbar ist. Handelt es sich dabei um Störungen des Rechenprogramms, welche durch zufällige äußere Einflüsse hervorgerufen wurden, so kann diese Korrektur auch ohne Anzeige erfolgen, so daß sie für den Benutzer unbemerkt bleibt.
Ist eine automatische Korrektur oder Abhilfe nicht mög¬ lich, sondern werden die Störungen nur angezeigt, so erleichtert das erfindungsgemäße Verfahren die Diagnose der Störungen wodurch die Reparaturzeit und der eventu¬ elle Materialaufwand vermindert wird.
Bei einer Weiterentwicklung des erfindungsgemäßen Ver¬ fahrens werden der Auswerteschaltung zusätzlich fort¬ laufend Sollwerte des Prozeßrechners übermittelt.
Hierdurch lassen sich mehrere Phasen in der Datenver¬ arbeitung des Rechners überwachen, so daß entstehende Fehler unter Umständen schon in einem früheren Stadium erkannt und korrigiert werden können. Die durch die automatisierte Korrektur und Abhilfemöglichkeit ver¬ besserte Verfügbarkeit eines nach dem erfindungsgemäßen Verfahren überwachtes rechnergesteuertes Stellglied wird durch die Weiterbildung noch weiter gesteigert. Bei einem praktisch angewandten Verfahren ist das Schalt¬ signal bei erstmaliger Abweichung der am Ausgang des Rechners entnommenen Signalprobe von dem Sollwert ein einem Steuereingang des Rechners zugeführtes Rücksetz¬ signal.
Einmalige Störungen können z.B. durch Funkanlagen, elek¬ trische Entladungen oder Schaltimpulse auf einem Leitungs¬ netz hervorgerufen werden. Führen diese zu einem Programm¬ fehler, so kann dieser in einfachster Weise dadurch be¬ hoben werden, daß der Rechner zurückgesetzt und neu gestartet wird. Damit ist auch die Störung im Programm¬ ablauf behoben. Der mit dieser Vorgehensweise verbundene Zeitverlust ist um so unbedeutender, je früher die Störung erkannt wird.
Bei einer Weiterbildung des erfindungsgemäßen Verfahrens ist das Schaltsignal bei mehrmaliger Abweichung der am Ausgang des Rechners entnommenen Signalprobe von dem Sollwert innerhalb einer vorgegebenen Zeitspanne ein einen ersten Signalgeber erregendes Alarmsignal.
Mehrmalige, insbesondere aufeinander folgende derartige Störungen deuten auf einen internen Programmfehler hin, dessen Beseitigung nicht durch Rücksetzen des Rechners möglich ist. Deshalb wird dieser Störfall angezeigt. Der Benutzer kann sich dann darauf einstellen und die Beseitigung der Störung z.B. durch Austausch eines in¬ ternen Programmspeichers veranlassen. In. aufwendigeren Anlagen könnte das Alarmsignal auch dazu ausgenutzt werden, einen identischen Ersatzrechner an Stelle des bisherigen -Rechners in Betrieb zu setzen.
Bei einem praktisch ausgeführten Verfahren ist das Schalt¬ signal bei Abweichung der am Stellausgang des Stell¬ gliedes entnommenen Signalprobe von dem Sollwert ein einen weiteren Signalgeber erregendes Alarmsignal: , -
Bei einer derartigen Störung handelt es sich nicht um eine Programmstörung (Software) sondern um eine schal¬ tungstechnische Störung (Hardware) . Zur besseren Unter- scheidbarkeit dieser Störungen werden deshalb weitere Signalgeber erregt. Außerdem besteht die Möglichkeit, durch das Alarmsignal ein ErsatzStellglied einzuschalten oder andere Ersatzmaßnahmen einzuleiten.
In Weiterbildung dieser Maßnahme ist das Schaltsignal bei statischer Abweichung der am Stellausgang des Stell¬ gliedes entnommenen Signalprobe von dem Sollwert ein einen zweiten Signalgeber erregendes. Alarmsignal . Eine derartige Störung kann sowohl auf einen Fehler des Stell¬ gliedes als auch auf einen solchen in der übrigen Schal¬ tung z.B. in der SpannungsVersorgung hindeuten. Durch einen zweiten Signalgeber läßt sich dieser Störfall von anderen besser unterscheiden.
Als zusätzliche Weiterbildung ist das Schaltsignal bei koinzidenter Abweichung der am Stellausgang des Stell¬ gliedes entnommenen Signalprobe von dem Sollwert in Abhängigkeit einer am Ausgang des Rechners entnommenen Signalprobe ein einen dritten Signalgeber erregendes Alarmsignal.
Diese Störung deutet auf einen Fehler des Stellgleides hin, während andere Ursachen dafür praktisch ausge¬ schlossen sind. Durch diese Maßnahme können daher Fehler allgemeiner schaltungstechnischer Art und solche, die auf das Stellglied selbst einzugrenzen sind, unter¬ schieden werden. Diese Verfahrensmaßnahme bietet daher die Möglichkeit, ein ersatzweise vorhandenes Stellglied einzuschalten oder, falls so etwas nicht vorgesehen ist, die spätere Fehlerdiagnose und Reparatur zu erleichtern.
Vorzugsweise werden die Alarmsignale durch wenigstens einen, unterschiedliche Bedeutungsinhalte vermittelnden Melder optisch und/oder akustisch angezeigt. Diese Ma߬ nahmen sichern die sofortige Wahrnehmung des Alarmsig¬ nals und ermöglichen eine Entscheidungshilfe dahin¬ gehend, ob die Anordnung noch eingeschränkt funktions¬ tüchtig ist oder nicht und wo der Fehler zu orten und bei einer späteren Reparatur zu beheben ist.
Bei einem praktisch ausgeführten Verfahren werden die am Stelleingang des Stellgliedes entnommenen Signal¬ proben in ein digitales Signal umgewandelt und in der Auswerteschaltung als digitales Signal verarbeitet.
Dieses Verfahren erleichtert den Ist-Sollwert-Ver¬ gleich besonders bei sehr komplizierten Signalvor¬ gängen. Die Zuverlässigkeit der Vergleichsergebnisse wird dadurch erhöht. ,' .
Bei einer abgewandelten Ausführungsform werden untere und/obere Schwellwerte vorgegeben, bei deren Unter¬ bzw. Überschreitung erst Schaltsignale erzeugt werden.
Durch diese Maßnahme können Fehlauslösungen in Folge betriebsbedingter SpannungsSchwankungen, Bauteiletole¬ ranzen oder Eigenschaftsänderungen in Folge Alterung, welche die sichere Funktion noch nicht beeinträchtigen würden, berücksichtigt werden. Es werden dadurch Alarm¬ signale vermieden, die im Hinblick auf die Funktions¬ tüchtigkeit der Anordnung objektiv noch nicht notwendig sind.
Die Erfindung betrifft weiter eine Schaltungsanordnung zur Überwachung rechnergesteuerter Stellglieder, ins¬ besondere für Sicherheitseinrichtungen in Kraftfahr¬ zeugen (z.B. Antiblockiersysteme, air bags oder Gurt¬ straffer) , bestehend aus einem Prozeßrechner und min¬ destens einem von diesem angesteuerten elektronischen Stellglied.
Diesbezüglich liegt der Erfindung die Aufgabe zugrunde, eine Schaltungsanordnung zur Überwachung rechnerge¬ steuerter Stellglieder zu schaffen, die schnell und zu¬ verlässig arbeitet, und eine wei estgehend automati¬ sierte Überwachung ermöglicht.
Gelöst wird diese Aufgabe bei einer Schaltungsanordnung nach dem Oberbegriff des Anspruchs 11 durch die im kenn¬ zeichnenden Teil angegebenen Merkmale. Durch die Über¬ wachung des Ausgangs des Rechners und des Stellausgang des Stellgliedes lassen sich die Ausgangsgrößen sowohl einzeln als auch in ihrer Kombination überwachen. Auf diese Weise wird die Störungserkennung auf verschiedene Störungsarten ausgeweitet. Je nach Art der Störung lassen sich Fehler schon in einem sehr frühzeitigen Stadium erkennen. Die Fehler können dann entweder angezeigt oder Korrektur und Abhilfemaßnahmen einleiten. Solche Maßnahmen können in einer Korrektur des Rechenprogramms durch Rücksetzen und Neustarten des Rechners oder durch Einschalten eines ersatzweise vorgesehenen Rechners oder Stellgliedes bestehen. Wird die Störung nur an¬ gezeigt, so erleichtert sie die spätere Fehlerortung und Reparatur.
Bei einer Weiterbildung der erfindungsgemäßen Schaltungs- an.ordnung ist der Sollwertgeber steuerbar ausgebildet und mit einem Dateneingang oder Ausgang des Recherns verbunden.
Durch diese Ausgestaltung lassen sich auch weitere, ins¬ besondere aktuelle Sollwert-Istwert-Vergleiche durch¬ führen. So läßt sich z.B. mit der AuswerteSchal ung die gesamte Datenverarbeitung" des Recherns überprüfen, in dem auch der Auswerteschaltung die Eingangsdaten des Reσhers zugeführt werden.
Bei einer einfacheren Ausgestaltung wäre es möglich, Zwischenergebnisse des Rechners zu überprüfen. Bei einer noch weiteren Vereinfachung kann sich der Sollwert-Ist¬ wert-Vergleich auf die Kontrolle sogenannter PrüfSig¬ nale beschränken, die in bestimmten Abständen inner¬ halb einer Rechenroutine auftreten. Aufgetretene Stö¬ rungen lassen sich dann bereits wesentlich vor dem ei¬ gentlichen falschen Endergebnis ermitteln und korri¬ gieren oder zur Anzeige bringen.
Vorzugsweise ist der Schaltsignalgenerator mit wenigstens zwei Ausgängen für unterschiedliche Schaltsignale ver- sehen.
Die durch die Überwachung von zwei Ausgängen gegebene Möglichkeit, unterschiedliche Störungen zu erkennen, wird so zweckmäßig dazu ausgesnutzt, auch die Art der Störungen bei der Erzeugung der Schaltsignale zu be¬ rücksichtigen.
Bei einer praktischen Ausführungsform ist ein Ausgang des Schaltsignalgenerators mit einem Rücksetzeingang des Rechners und sind die anderen Ausgänge mit den Ein¬ gängen von Signalgebern in Form von akustischen und/ optischen Meldern verbunden. Besteht die Störung in einer einmaligen Störung des Rechenprogramms, verursacht z.B. durch elektrische Entladungen, Schaltimpulse auf einem Leitungsnetz oder Funkstörungen, so kann diese durch Rücksetzen des Rech¬ ners und Neustarten behoben werden. Da dieser Vorgang sehr schnell abläuft und durch die erfindungsgemäßen Maßnahmen besonders frühzeitig eingeleitet werden kann, bedarf es hierzu keiner Anzeige. Eine Anzeige der üb¬ rigen Störungen ist auch dann sinnvoll, wenn durch Ein¬ schalten von Ersatzschaltung, z.B. eines Ersatzrechners oder eines Ersatzstellgliedes die Funktionsfähigkeit der Anlage noch erhalten bleibt. Um die ursprüngliche Zuverlässigkeit wieder herzustellen, müssen nämlich die defekten Bestandteile zum frühestmöglichen Zeit¬ punkt ausgetauscht werden.
In Weiterbildung der Erfindung umfaßt die Auswerte- schältung zusätzlich einenZähler für die auf den einen Ausgang angelegten Schaltimpulse.
Während bei Programmstörungen durch äußere Einflüsse durch Rücksetzen und Neustarten des Rechners behoben werden können, lassen sich interne Programmfehler auf diese Weise nicht beseitigen. Um diese von den anderen Störungen zu unterscheiden, wird ein Zähler verwendet, der die Anzahl .der in einer bestimmten Zeiteinheit er- folgenden Rücksetzsignale zählt. Ist die Zahl der Rück- setzsignale zu hoch, so wird ein interner Programm- fehler vermutet, woraufhin ein besonderes Schaltsiσnal erzeugt wird.
Vorzugsweise umfaßt die AuswerteSchaltung zusätzlich ein Schwellwertgeber für untere und/obere Schwellwerte, wobei der Schwellwertgeber mit dem Vergleicher verbunden ist.
Ohne diese Zusatzmaßnahmen würden auch schon geringe SpannungsSchwankungen, Bauteiletoleranzen oder alterungs¬ bedingte Eingenschaftsänderungen der Bauteile zu einer Störmeldung führen. Wenn diese Abweichungen aber ein bestimmtes Ausmaß nicht überschreiten, gefährden sie die sichere Funktion der Anlage noch nicht. Die vor¬ geschlagenen Maßnahmen ermöglichen so die Erzeugung von Schaltsignalen und damit verbundenen Alarmsig¬ nalen bei derartigen Abweichungen zu unterdrücken.
Vorzugsweise ist die Auswerteschaltung als zusätzlicher Prozeßrechner ausgebildet und zwischen den Eingängen dieses Recherns einerseits und dem Ausgang des ersten Rechners sowie dem Stellausgang des Stellgliedes anderer¬ seits sind Schnittstellen angeordnet. Diese Ausgestaltung ist besonders in Mehrrechnersystemen vorteilhaft, wenn verschiedene Rechner ohnehin zur Bewältigung einer ge¬ meinsamen Aufgabe zusammengeschlossen werden. Neben Raumeinsparungen aufgrund von Mehrfachausnutzungen vor¬ handener Prozeßrechner ist in der Regel auch keine be¬ sondere Aufbereitung der Daten erforderlich, da die Daten bereits in einer gegenseitig lesbaren Form vor¬ liegen.
Gegebenenfalls sind die Schnittstellen als Impedanz¬ wandler oder als Digital-Analog-Wandler ausgebildet. Mit diesen Maßnahmen wird eine Entkoppelung der Aus¬ werteschaltung von dem Rechner und dem Stellglied er¬ zielt, so daß durch die Überwachung selbst bedingte mögliche Störungen vermieden werden. Die Ausbildung der Schnittstelle als'Digital-Analog-Wandler ist dann zweckmäßig, wenn neben der Überwachung digitale Aus¬ gangsgrößen des Stellgliedes auch analoge mit über¬ wacht werden sollen. Das ist z.B. dann der Fall, wenn ein an sich als Schalter dimensioniertes Stellglied Störungen zeigt, die in Zwischenwerten zwischen dem eingeschalteten und ausgeschalteten Zustand des Schal¬ ters liegen.
Weiterbildungen und vorteilhafte Ausfuhrungsformen der Erfindung ergeben sich aus den Ansprüchen, der weiteren Beschreibung und der Zeichnung. Das erfindungsgemäße Verfahren und die Schaltungsanordnung werden anschließend anhand der Zeichnung erläutert, in der ein Ausführungs- beispiel der Erfindung wiedergegeben ist.
In der Zeichnung zeigen
Fig. 1 eine Schaltungsanordnung zur
Überwachung rechnergesteuerter Stellglieder als Blockschalt¬ bild,
Fig. 2 eine graphische Darstellung verschiedener Signalkonfigu¬ rationen und die daraus ab¬ geleiteten Störfälle.
In Fig, 1 ist ein Prozeßrechner 10 und ein Stellglied 12 dargestellt, deren Funktionsweise von einer Auswerte— Schaltung 20 überwacht wird. Der Recher 10 erhält über seinen Dateneingang 46 Daten die er auswertet und wo¬ raufhin er Steuersignale erzeugt, die über seinen Aus¬ gang 28 auf das Stellglied 12 übermittelt werden. Das Stellglied 12 wiederum gibt Stellbefehle über seinen Stellausgang 30 an eine Last 14 ab. Die Last 14 kann dabei durch die Zündvorrichtung von Gaspatronen für auf- blasbare Gaskissen bei einer Sicherheitseinrichtung für ein Kraftfahrzeug ausgebildet sein.
Zur Überprüfung der Funktionsweise des Prozeßrechners 10 und des Stellglieds 12 werden am Ausgang 28 des Rechners 10 sowie am Stellausgang 30 des Stellgliedes 12 Signalproben entnommen und Auswerteeingängen 16 und 18 der Auswerteschaltung 20 zugeführt. Die Anpassung der Ausgangsgrößen des Prozeßrechners 10 sowie des Stellgliedes 12 an die von der Auswerteschaltung 20 verarbeitbaren Größen kann dabei über Schnittstellen 56 und 58 erfolgen, die entsprechend der erforderlichen Signalanpassung als Impedanzwandler oder als Digital- Analog-Wandler ausgebildet sind.
Die Auswerteschaltung 20 umfaßt einen Sollwertgeber 22, einen Vergleicher 24, einen Schaltsignalgenerator 26 sowie als zweckmäßige -Ergänzung einen Zähler 52 und einen Schwellwertgeber 54.
Der Sollwertgeber 22 kann dabei als fester oder als steuerbarer Sollwertgeber ausgebildet sein. Um die zweite Alternative anzudeuten, sind gestrichelt gezeich¬ nete Steuerleitungen dargestellt und zwar eine, die mit dem Dateneingang 46 des Rechers 10, eine die mit einem Datenausgang 48 und eine die mit dem Ausgang 28 des Rechners 10 verbunden ist.
Werden die Sollwerte aus dem Dateneingang 46 gewonnen, so könnte der Sollwertgeber 22 identisch dem Rechner 10 aufgebaut werden und so den ganzen Programmablauf nachbilden. Eine einfachere Ausgestaltung des Soll¬ wertgebers 22 ist möglich, wenn über den Datenaus¬ gang 48 des Rechners 10 Zwischenergebnisse als Soll¬ werte zugrunde gelegt werden. Noch einfacher kann der Sollwertgeber ausgebildet werden, wenn nur PrüfSignale am Ausgang 28 des Rechers 10 ausgewertet und mit dem kombinierten Datensignal oder einem Vorhergehenden oder Folgenden verglichen werden.
Der Vergleicher 24 vergleicht die vom Sollwertgeber 22 erzeugten Sollwerte mit den Signalproben, die ihm über die Auswerteeingänge 16 und 18 zugeführt werden. Hier¬ bei sind sowohl Vergleiche zwischen den einzelnen Sig¬ nalproben und den Sollwerten möglich als auch Ver¬ gleiche zwischen kombinierten Signalproben und Soll¬ werten. Die Vergleichsmöglichkeiten der einzelnen Sig¬ nalproben mit den Sollwerten werden durch die Additions¬ stellen 60 und 62 symbolisiert. Die Vergleichsmöglich¬ keiten der kombinierten Signalproben, welche zuvor einer Additionsstelle 64 zugeführt sind, erfolgen in einer mit ββ angedeuteten Additionsstelle.
Die Darstellung der Additionsstellen dient lediglich der Erläuterung. Bei einer praktischen Ausgestaltung kann auch nur eine einzige Additionsstelle vorhanden sein, die im Zeitmultiplexverfahren umgeschaltet wird. Alternativ kann die Vergleichsschaltung 24 sowie auch die anderen Funktionsblöcke 22, 26, 52, 54 durch einen Prozeßrechner mit einem entsprechenden Rechenprogramm realisiert werden.
An die Vergleichsschaltung 24 schließt sich der Schalt¬ signalgenerator 26 an-. Dieser besitzt einer der Anzahl der möglichen Störfälle entsprechende Anzahl von Ein¬ gängen und Ausgängen 32, 34, 36, 38. Der Ausgang 32 des Schaltsignalgenerators 26 ist mit einem Rücksetz¬ eingang 50 des Rechers 10 verbunden. Die übrigen Aus¬ gänge sind mit als optische Melder dargestellten Sig¬ nalgebern 40, 42, 44 verbunden.
Zur Zählung der am Ausgang 32 auftretenden Rücksetz¬ signale dient ein Zähler 52, der gesondert mit einem Eingang des Schaltsignalgenerators 26 verbunden ist und auf den Ausgang 38 arbeitet. Schließlich ist noch der Schwellwertgeber 54 vorhanden, welcher obere und untere Schwellwerte erzeugt, die auf zusätzliche Additions¬ stellen 68 und 70 des Vergleichers 24 gegeben werden, um eine Schaltsignalerzeugung bei Unter oder Über¬ schreiten bestimmter Schwellwerte zu unterdrücken.
Die Funktionsweise der Schaltung wird nun anhand meh¬ rerer angenommener Störfälle erläutert. Es wird zu¬ nächst davon ausgegangen, daß aufgrund einer Schalt¬ störung ein Programmfehler eingetreten ist. Der Soll¬ wertgeber 22 setzt nun zu einem bestimmten Zeitpunkt ein Signal, das jedoch am Ausgang 28 des Rechers 10 ausbleibt. Zum Sollwertgeber 22 gelangt dann an die Additionsstelle 60 des -Vergleichers 24 ein Signal, während vom Auswerteeingang 16 kein Signal angelegt- wird. Der Vergleicher 24 stellt somit eine Abweichung fest, die an den Schaltsignalgenerator 26 weiterge¬ geben wird und ihn veranlaßt, über seinen Ausgang 32 ein Rücksetzsignal an den Rücksetzeingang 50 des Rech¬ ners 10 zu übermitteln. Der Rechner 10 wird dann zu¬ rückgesetzt, startet erneut und der Programmfehler ist behoben.
Handelt es sich bei dem Programmfehler jedoch um einen solchen, der durch eine Veränderung des Speicherinhalts eines internen Speichers hervorgerufen wurde,, so er- folgt zunächst der gleiche Vorgang wie zuvor beschrieben. Nach dem Neustart des Rechners 10 durch Rücksetzen über den Rücksetzeingang 50 tritt die gleiche Störung er¬ neut auf, was folglich zu einer erneuten Rücksetzung führt. Die einzelnen Rücksetzsignale werden nun vom Zähler 52 gezählt und bei Erreichen eines Höchstwertes innerhalb einer vorgegebenen Zeitspanne wird der Sig¬ nalgeber 44 erregt. Damit einhergehend könnte dann die Anlage entweder abgeschaltet oder ein Ersatzprozeß- rechner eingeschaltet werden.
Als weiterer Störfall wird eine Spannungsänderung oder Unterbrechung beim Stellglied 12 angenommen. Die am Stellausgang 30 des Stellgliedes entnommene Signalprobe gelangt über den Auswerteeingang 18 an die Additions¬ stelle 62 und wird mit einem vom Sollwertgeber 22 an¬ gelegten Sollwert verglichen. Da die Signalprobe von diesem Sollwert abweicht, wird der Schaltsignalgene¬ rator 26 vom Vergleicher 24 veranlaßt, über seinen Aus¬ gang 36 den Signalgeber 42 zu aktivieren. Dieser zeigt jetzt einen allgemeinen Schaltungsfehler an.
Liegt die Abweichung der Betriebsspannung jedoch unter¬ halb eines bestimmten Schwellwertes, so wird durch die weitere Additionsstelle 68 in Verbindung mit dem vom Schwellwertgeber 54 angelegten- Schwellwert eine An- Steuerung des Schaltsignalgenerators 26 unterdrückt.
Als vierter Störfall wird schließlich eine Änderung der Übertragungseigenschaft des Stellgliedes angenommen. Auf ein Ausgangssignal am Ausgang 28 des Rechners 10 ändert sich das Ausgangssignal am Stellausgang 30 des Stellgliedes 12 nicht oder nicht ausreichend. Die Sig— nalproben an den beiden Ausgängen 28 und 30 gelangen zu den Auswerteeingängen 16 und 18 der AuswerteSchal¬ tung 20. Hier erfolgt zunächst^ in der Additionsstelle 64 ein Vergleich der beiden Signale. Das Abweichen der Signale gelangt von dort zu der Additionsstelle 66 wo es mit einem vom Sollwertgeber 22 angelegten Sollwert verglichen wird. Aufgrund der Abweichung wird nun der Schaltsignalgenerator 26 veranlaßt, über seinen Ausgang 34 den Signalgeber 40 zu erregen. Liegt die geschil¬ derte Abweichung der Signale unterhab eines Schwell¬ wertes, so daß noch von einer Übereinstimmung (Ko¬ inzidenz) gesprochen werden kann, so wird durch die Additionsstelle 70 in Verbindung mit dem Schwellwert¬ geber 54 die Ansteuerung des Schaltsignalgebers 26 unterdrückt.
Da beim Vergleich der beiden -Ausgänge 28 und 30 eine Störung auf das Stellglied 12 eingegrenzt werden kann, wäre es möglich, in Verbindung mit dem Schaltsignal am Ausgang 34, das hier den Signalgeber 40 erregt, auch ein ersatzweise vorgesehenes Stellglied einzu¬ schalten.
In Fig. 2 sind die geschilderten Störfälle graphisch dargestellt und zwar sind jeweils links die am Aus¬ gang 28 des Rechners 10 auftretenden Signale und rechts daneben die am Stellausgang 30 des Stellgliedes 12 auf¬ tretenden Signale dargestellt. Fig. 2a veranschaulicht zunächst den störungsfreien Betrieb, bei der das Sig¬ nal am Ausgang 28 des Rechners 10 im vorgesehenen Zeit¬ punkt auftritt und das Signal am Ausgang 30 des Stell¬ gliedes 12 diesem folgt. Dargestellt sind jeweils zwei Signalzyklen.
In Fig. 2b ist der Signalverlauf bei einer durch äußere Einflüsse verursachten Programmstörung dargestellt. Das zu einem vorgesehenen Zeitpunkt am Ausgang 28 des Rech¬ ners 10 erwartete Signal bleibt aus, tritt nach Rück¬ setzen des Rechners 10 beim nächsten Zyklus jedoch im richtigen Zeitpunkt auf.
Fig. 2c zeigt den Fall einer internen Programmstörung. Zu den vorgesehenen Zeitpunkten tritt am Ausgang 28 des Rechners 10 kein Signal auf.
In Fig. 2d ist eine stationäre Störung am Stellaus¬ gang 30 des Stellgliedes 12 veranschaulicht.
Schließlich ist noch in Fig. 2e der Signalverlauf an den Ausgängen 28 und 30 veranschaulicht, wie er bei einer Störung der Übertragungseigenschaft des Stell¬ gliedes 12 auftritt.
Zur Bezugnahme auf die aufgrund dieser Störfälle aus¬ gelösten Schaltsignale sind jeweils neben den Darstel¬ lungen noch die bei Auftreten dieser Störungen akti¬ vierten Ausgänge des Schaltsignalgenerators 26 ange¬ geben.

Claims

- -lyP a t e n t a n s p r ü c h e
1. Verfahren zur Überwachung rechnergesteuerter Stellglieder, insbesondere für Siσherheitseinriσhtungen in Kraftfahrzeugen (z.B. Antiblockiersystem, air bags oder Gurtstraffer) , bestehend aus einem Prozeßrechner und mindestens einem von diesem angesteuerten elek¬ tronischen Stellglied, dadurch gekennzeichnet, daß so¬ wohl am Ausgang des Rechners als auch am Stellausgang des Stellgliedes Signalproben entnommen und einer ge¬ meinsamen Auswerteschaltung zugeführt werden, daß die Signalproben fortlaufend mit Sollwerten verglichen wer¬ den und das bei Abweichungen der Signalproben von den Sollwerten Schaltsignale erzeugt und dem Rechner und/ oder einem Signalgeber zugeführt werden. - 2ό -
2. Verfahren nach Anspruch 1, dadurch gekenn¬ zeichnet, daß der AuswerteSchaltung zusätzlich fort¬ laufend Sollwerte des Prozeßrechners übermittelt werden.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß daß Schaltsignal bei erstmaliger Abweichung der am Ausgang des Rechners entnommenen Sig¬ nalprobe von dem Sollwert ein einem Steuereingang des Rechners zugeführtes Rücksetzsignal ist.
4. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß das Schaltsignal bei mehrmaliger Abweichung der am Ausgang des Rechners entnommenen Sig¬ nalprobe von dem Sollwert innerhalb einer vorgegebenen Zeitspanne ein einen ersten Signalgeber erregendes Alarm¬ signal ist.
5. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß das Schaltsignal bei Abweichung der am Stellausgang des Stellgliedes entnommenen Signal¬ probe von dem Sollwert ein einen weiteren Signalgeber erregendes Alarmsignal ist.
6. Verfahren nach Anspruch 5, dadurch gekenn¬ zeichnet, daß das- Schaltsignal bei statischer Abweichung der am Stellausgang des Stellgliedes entnommenen Signal- probe von dem Sollwert ein einen zweiten Signalgeber erregendes Alarmsignal ist.
7. Verfahren nach Anspruch 5, dadurch gekenn¬ zeichnet, daß das Schaltsignal bei koinzidenter Ab¬ weichung der am Stellausgang des Stellgliedes ent¬ nommenen Signalprobe von dem Sollwert in Abhängigkeit am Ausgang des Rechners entnommenen Signalprobe ein einen dritten Signalgeber erregendes Alarmsignal ist.
8. Verfahren nach einem der Ansprüche 1 - 7, dadurch gekennzeichnet, daß die Alarmsignale durch wenigstens einen unterschiedliche Bedeutungsinhalte ermittelnden Melder optisch und/oder akustisch ange¬ zeigt werden.
9. Verfahren nach einem der Ansprüche 1 - 8 , dadurch gekennzeichnet, daß die am Stellausgang des Stellgliedes entnommene Signalprobe in ein digitales Signal umgewandelt und in der Auswerteschaltung als digitales Signal weiter verarbeitet wird.
10. Verfahren nach Anspruch 9, dadurch gekenn¬ zeichnet, daß durch einen Schwellwertgeber untere und/ obere Schwellwerte vorgegeben werden, bei deren
Unter- bzw. Überschreiten erst Schaltsignale erzeugt wer- den .
11. SchaltuπgsanOrdnung zur Überwachung rechner¬ gesteuerter Stellglieder, insbesondere für Sicherheits¬ einrichtungen in Kraftfahrzeugen (z.B. Antiblockier- systeme, air bags oder Gurtstraffer) , bestehend aus einem Prozeßrechner (10) und mindestens einem von die¬ sem angesteuerten elektronischen Stellglied (12) , da¬ durch gekennzeichnet, daß eine über zwei Auswerteein¬ gänge (16, 18) verfügende Auswerteschaltung (20) vor¬ gesehen ist, die einen Sollwertgeber (22) , einen von dem Sollwertgeber (22) und den Auswerteeingängen (16, 18) ansteuerbaren Vergleicher (24) sowie einen von dem Vergleicher (24) angesteuerten Schaltsignalgenerator (26) umfaßt, daß der eine Auswerteeingang (16) mit einem Ausgang (28) des Rechners und der andere Auswerteein¬ gang (18) mit einem Stellausgang (30) des Stellgliedes (12) verbunden ist und das Ausgänge (32, 34, 36, 38) des Schaltsignalgenerators (26) mit dem Rechner (10) und/oder mit wenigstens einem Signalgeber (40, 42, 44) verbunden sind.
12. Schaltungsanordnung nach Anspruch 11 , dadurch gekennzeichnet, daß der Sollwertgeber (22) steuerbar ausgebildet und mit einem Dateneingang (46) oder einem Ausgang (48, 28) des Rechners (10) verbunden ist.
13. Schaltungsanordnung nach Anspruch 11 oder 12, dadurch gekennzeichnet, daß der Schaltsignalgene¬ rator (26) wenigstens zwei Ausgänge (32; 34, 36, 38) für unterschiedliche Schaltsignale umfaßt.
14. Schaltungsanordnung nach Anspruch 13, dadurch gekennzeichnet, daß der eine Ausgang (32) des Schalt- signalgenerators (26) mit einem Rücksetzeingang (50) des Rechners (10) und die anderen Ausgänge (34, 36, 38) mit den Eingängen von Signalgebern in Form von akus¬ tischen und/oder optischen Meldern (40, 42, 44) ver¬ bunden sind.
15. Schaltungsanordnung nach Anspruch 14, da¬ durch gekennzeichnet, daß die Auswerteschaltung (20) zusätzlich einen Zähler (52) für die auf den einen Ausgang (32) angelegten Schaltsignale umfaßt.
16. Schaltungsanordnung nach einem der An¬ sprüche 11 - 15, dadurch gekennzeichnet, daß die Aus¬ werteschaltung zusätzlich einen Schwellwertgeber (54) für untere und/obere Schwellwerte umfaßt und der Schwell¬ wertgeber (54) mit dem Vergleicher (24) verbunden ist.
17. Schaltungsanordnung nach einem der An¬ sprüche 11 - 16, dadurch gekennzeichnet, daß die Aus¬ werteschaltung als zusätzlicher Prozeßrechner (20) ausgebildet ist und daß zwischen den Eingängen (16, 18) dieses Rechners (26) einerseits und dem Ausgang (28) des ersten Rechners (10) sowie dem Stellausgang (30) des Stellgliedes (12) andererseits Schnittstellen (56, 58) angeordnet sind.
18. Schaltungsanordnung nach Anspruch 17 , da¬ durch gekennzeichnet, daß die Schnittstellen als Im¬ pedanzwandler (56, 58) ausgebildet sind.
19. Schaltungsanordnung nach Anspruch 17, da¬ durch gekennzeichnet, daß die Schnittstellen als Di¬ gital-Analog-Wandler (56, 58) ausgebildet sind.
PCT/DE1987/000532 1987-01-22 1987-11-20 Process and device for monitoring computer-controlled final control elements WO1988005570A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
SE8902508A SE464788B (sv) 1987-01-22 1989-07-11 Saett och anordning foer oevervakning av datorstyrda staellelement

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DEP3701714.4 1987-01-22
DE19873701714 DE3701714A1 (de) 1987-01-22 1987-01-22 Verfahren und vorrichtung zur ueberwachung rechnergesteuerter stellglieder

Publications (1)

Publication Number Publication Date
WO1988005570A1 true WO1988005570A1 (en) 1988-07-28

Family

ID=6319260

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE1987/000532 WO1988005570A1 (en) 1987-01-22 1987-11-20 Process and device for monitoring computer-controlled final control elements

Country Status (4)

Country Link
JP (1) JPH02501960A (de)
DE (2) DE3701714A1 (de)
SE (1) SE464788B (de)
WO (1) WO1988005570A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0259901A (ja) * 1988-08-26 1990-02-28 Fanuc Ltd 故障診断方法
EP0428338A2 (de) * 1989-11-16 1991-05-22 Lucas Industries Public Limited Company Geber-Überwachungs-Gerät und Verfahren
EP0462539A1 (de) * 1990-06-19 1991-12-27 Mitsubishi Denki Kabushiki Kaisha Überwachungseinheit eines Servomotors
US5522040A (en) * 1990-12-10 1996-05-28 Robert Bosch Gmbh Arrangement for testing a watchdog circuit

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3928651A1 (de) * 1989-08-30 1991-03-07 Wabco Westinghouse Fahrzeug Elektronische schaltung zur ueberwachung eines endverstaerkers und seiner last
JP2611506B2 (ja) * 1990-06-18 1997-05-21 三菱電機株式会社 エンジン制御装置
DE4220286C2 (de) * 1992-06-20 2001-08-09 Bosch Gmbh Robert Verfahren zur Funktionsüberprüfung eines Stellelements in einem Fahrzeug
DE19508841C2 (de) * 1994-11-18 2002-03-28 Leuze Electronic Gmbh & Co Sicherheitsschalteranordnung
DE4441070C2 (de) * 1994-11-18 1997-12-11 Leuze Electronic Gmbh & Co Sicherheitsschalteranordnung
ATE192859T1 (de) * 1995-03-11 2000-05-15 Leuze Electronic Gmbh & Co Sicherheitsschalteranordnung
DE19919729A1 (de) * 1999-04-30 2000-11-02 Opel Adam Ag Vorrichtung zur Ansteuerung einer Funktionsgruppe in einem Kraftfahrzeug
DE10041888A1 (de) * 2000-08-25 2002-03-07 Hella Kg Hueck & Co Steuergerät für ein Fahrzeug
DE102011016229B4 (de) * 2011-04-06 2017-08-31 Audi Ag Kraftfahrzeug

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4363092A (en) * 1978-10-25 1982-12-07 Nissan Motor Company, Limited Malfunction preventing system for a microcomputer system
FR2508246A1 (fr) * 1981-06-18 1982-12-24 Westinghouse Electric Corp Installation electrique a unite de commande acceptant des erreurs
GB2125577A (en) * 1982-08-16 1984-03-07 Nissan Motor Self monitoring system
EP0195457A1 (de) * 1985-03-22 1986-09-24 Siemens Aktiengesellschaft Vorrichtung zur Eigenüberwachung einer Schaltungsanordnung mit einem Mikrocomputer
DE3531901A1 (de) * 1985-09-04 1987-03-12 Siemens Ag Verfahren zur ueberpruefung der funktionstuechtigkeit einer datenausgabeeinheit eines mikroprozessors

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2135067B (en) * 1983-02-07 1986-03-05 Defence The Secreatry Of State Computer system performance monitor

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4363092A (en) * 1978-10-25 1982-12-07 Nissan Motor Company, Limited Malfunction preventing system for a microcomputer system
FR2508246A1 (fr) * 1981-06-18 1982-12-24 Westinghouse Electric Corp Installation electrique a unite de commande acceptant des erreurs
GB2125577A (en) * 1982-08-16 1984-03-07 Nissan Motor Self monitoring system
EP0195457A1 (de) * 1985-03-22 1986-09-24 Siemens Aktiengesellschaft Vorrichtung zur Eigenüberwachung einer Schaltungsanordnung mit einem Mikrocomputer
DE3531901A1 (de) * 1985-09-04 1987-03-12 Siemens Ag Verfahren zur ueberpruefung der funktionstuechtigkeit einer datenausgabeeinheit eines mikroprozessors

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0259901A (ja) * 1988-08-26 1990-02-28 Fanuc Ltd 故障診断方法
EP0428338A2 (de) * 1989-11-16 1991-05-22 Lucas Industries Public Limited Company Geber-Überwachungs-Gerät und Verfahren
EP0428338A3 (en) * 1989-11-16 1992-03-25 Lucas Industries Public Limited Company Transducer monitoring apparatus and method
EP0462539A1 (de) * 1990-06-19 1991-12-27 Mitsubishi Denki Kabushiki Kaisha Überwachungseinheit eines Servomotors
US5210476A (en) * 1990-06-19 1993-05-11 Mitsubishi Denki K.K. Servo motor monitoring unit
US5522040A (en) * 1990-12-10 1996-05-28 Robert Bosch Gmbh Arrangement for testing a watchdog circuit

Also Published As

Publication number Publication date
SE8902508L (sv) 1989-07-11
DE3790886D2 (en) 1989-07-06
SE8902508D0 (sv) 1989-07-11
SE464788B (sv) 1991-06-10
JPH02501960A (ja) 1990-06-28
DE3701714A1 (de) 1988-08-04

Similar Documents

Publication Publication Date Title
EP0610316B1 (de) Verfahren und vorrichtung zur fehlerbehandlung in elektronischen steuergeräten
DE69124848T2 (de) Überwachungseinheit eines Servomotors
EP1337921A1 (de) Vorrichtung zur überwachung eines prozessors
EP1638829B1 (de) Verfahren und anordnung zur unterdr ckung von falschmeldunge n in berwachungssystemen
DE3324333C2 (de) Verfahren zur Überwachung eines elektronisch gesteuerten Schraubers
WO1989010865A1 (en) Control unit for steering the rear wheels of a road service vehicle
WO1988005570A1 (en) Process and device for monitoring computer-controlled final control elements
EP1040028A1 (de) Verfahren zur fehlererkennung von mikroprozessoren in steuergeräten eines kfz
EP1479003B1 (de) Verfahren und vorrichtung zur steuerung einer funktionseinheit eines kraftfahrzeugs
DE102018222313A1 (de) Bremssystem für ein autonomes Fahrzeug
DE2701159B2 (de) Schaltungsanordnung zum periodischen Überprüfen der Funktionsfähigkeit von Teilen einer blockiergeschützten druckmittelbetätigten Fahrzeugbremsanlage
DE3627588A1 (de) Vorrichtung zum erfassen von fehlfunktionen eines sensors
DE4431901A1 (de) Vorrichtung zur Störerfassung in einem Antischlupf-Bremssteuersystem für Kraftfahrzeuge
EP2726352B1 (de) Verfahren, system und computerprogrammprodukt zur funktionsüberwachung einer sicherheitsüberwachung einer kfz - steuereinheit
EP1277095B1 (de) System und verfahren zur überwachung einer einrichtung zum messen, steuern und regeln
EP1597470B1 (de) Signalverarbeitungsvorrichtung und steuergerät zur zusammenarbeit mit einer signalverarbeitungsvorrichtung
DE4403156B4 (de) Verfahren und Vorrichtung zur Durchführung des Verfahrens zur Ansteuerung eines Verbrauchers
EP3740828B1 (de) Verfahren zum überprüfen eines zeitdiskreten signalwerts eines sensors auf fehlerfreiheit
DE102019203783B4 (de) Verfahren, Programm und System zur Verwendung von Signalqualitätsanforderungen im Rahmen von Sicherheitskonzepten
DE3108871A1 (de) Einrichtung zur funktionspruefung eines mehrrechnersystems
EP0694451B1 (de) Fahrzeugsicherungsanordnung
EP0596297A2 (de) Verfahren und Vorrichtung zur Überprufung einer Überwachungseinheit von Motorsteuersystem
DE4117488A1 (de) Maschinensteuervorrichtung
DE102006020793A1 (de) Schaltungsanordnung und Verfahren zum Betrieb einer Schaltungsanordnung
DE4430177A1 (de) Überwachungsvorrichtung für einen Prozessor

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): DE JP SE US

REF Corresponds to

Ref document number: 3790886

Country of ref document: DE

Date of ref document: 19890706

WWE Wipo information: entry into national phase

Ref document number: 3790886

Country of ref document: DE

WWE Wipo information: entry into national phase

Ref document number: 89025084

Country of ref document: SE

WWP Wipo information: published in national office

Ref document number: 89025084

Country of ref document: SE