WO2000063546A1 - Verfahren und vorrichtung zur überwachung eines rechenelements in einem kraftfahrzeug - Google Patents

Verfahren und vorrichtung zur überwachung eines rechenelements in einem kraftfahrzeug Download PDF

Info

Publication number
WO2000063546A1
WO2000063546A1 PCT/DE2000/001099 DE0001099W WO0063546A1 WO 2000063546 A1 WO2000063546 A1 WO 2000063546A1 DE 0001099 W DE0001099 W DE 0001099W WO 0063546 A1 WO0063546 A1 WO 0063546A1
Authority
WO
WIPO (PCT)
Prior art keywords
computing element
monitoring
test
program
module
Prior art date
Application number
PCT/DE2000/001099
Other languages
English (en)
French (fr)
Inventor
Frank Bederna
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Priority to BR0010662-3A priority Critical patent/BR0010662A/pt
Priority to EP00926714A priority patent/EP1175557B1/de
Priority to DE50011170T priority patent/DE50011170D1/de
Priority to JP2000612612A priority patent/JP4476494B2/ja
Priority to US09/958,979 priority patent/US6879891B1/en
Publication of WO2000063546A1 publication Critical patent/WO2000063546A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/22Safety or indicating devices for abnormal conditions
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor

Definitions

  • the control unit 10 is a control unit for controlling a drive unit of a motor vehicle. There, the position of a control element which can be actuated by the driver is detected, evaluated and a setpoint value for a torque of the drive unit is determined in a known manner. This is then taken into account, taking into account target values of other control systems received via the input circuit 14, such as a traction control system, a transmission control, etc. and internally generated setpoints (limits, etc.), a setpoint for the torque is determined. In the preferred exemplary embodiment of an internal combustion engine, this is then converted into a target value for the position of the throttle valve, which is set in the context of a position control loop.

Abstract

Es werden ein Verfahren und eine Vorrichtung zur Überwachung eines Rechenelementes in einem Kraftfahrzeug vorgeschlagen, wobei das Rechenelement mit Hilfe von Programmodulen abhängig von wenigstens einer Eingangsgrösse wenigstens eine Ausgangsgrösse zur Steuerung wenigstens einer Funktion im Kraftfahrzeug erzeugt. Wenigstens ein Programmodul oder wenigstens ein Teil davon ist zur Überwachung der korrekten Funktion des Rechenelements (12) ausgewählt. Dieses wenigstens eine ausgewählte Modul bzw. der wenigstens eine ausgewählte Teil davon oder eine Kopie durchlaufen im Rechenelement (12) auf der Basis von Testdaten und das Ergebnis zur Fehlererkennung verglichen wird.

Description

Verfahren und Vorrichtung zur Überwachung eines Rechenelements in einem Kraftfahrzeug
Stand der Technik
Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Überwachung eines Rechenelements in einem Kraftfahrzeug.
Aus der DE-A 44 38 714 ist ein Verfahren und eine Vorrichtung zur Überwachung eines Rechenelements in einem Kraftfahrzeug bekannt, dessen Programmstruktur wenigstens drei Ebenen aufweist. Einer ersten Ebene sind die Programme zugeordnet, welche die Steuerungsfunktion, z.B. die Steuerung der Leistung einer Antriebseinheit, durchführen. Einer zweiten Ebene sind Programme zugeordnet, welche zur Überwachung der Funktion der ersten Ebene dienen. Dazu wird im gezeigten Ausführungsbeispiel einer Leistungssteuerung für eine Antriebseinheit ein zulässiger Wert für eine einzustellende Betriebsgröße mit einem gemessenen oder ermittelten Istwert dieser Größe verglichen. Einer dritten Ebene sind Programme oder Programmteile zugeordnet, die zur Abiaufkontrolle der der zweiten Ebene zugeordneten Überwachungsprogramme dienen. Die Ablaufkontrolle erfolgt dabei im Rahmen einer Frage-Ant - wort-Kommunikation mit einem Sicherheitsbaustein (Überwa- chungsmodul) , welcher die korrekte Abarbeitung der Programme der zweiten Ebene anhand der Ergebnisse der Frage-Antwort-Kommunikation überprüft (Ablaufkontrolle) . Wird durch die Programme der zweiten Ebene und/oder durch das Überwachungsmodul wenigstens ein Fehlerzustand erkannt, werden Fehlerreaktionsmaßnahmen eingeleitet, die im Beispiel der Steuerung einer Antriebseinheit in der Abschaltung der Betriebsmittelzufuhr oder anderen, betriebseinschränkenden Maßnahmen bestehen.
Zur Verbesserung der Überwachung der Funktionsfähigkeit der Programme der zweiten Ebene, ist gemäß der DE-A 196 09 242 vorgesehen, neben oder alternativ zur Ablaufkontrolle einen Befehlstest durchzuführen, in dessen Rahmen ausgewählte Pro- gramme oder Programmteile mit vorgegebenen Testdaten gerechnet werden und das oder die Berechnungsergebnisse im Überwachungsmodul bitgenau zur Fehlererkennung überprüft werden.
Wesentlich bei den bekannten Lösungen ist, daß die Programme der ersten und zweiten Ebene sowie die Ablaufkontrolle und der Befehlstest in einem einzigen Rechenelement durchgeführt werden. Die Überwachung durchführenden Programme der zweiten Ebene sollten dabei aus mit Eingangssignalen arbeiten, die zu den von den Programmen der ersten Ebene verarbeitenden Eingangssignalen redundant sind. Diese Maßregel führt zur
Verdoppelung der Sensorik, wobei zur Vermeidung des Einsatzes zusätzlicher Sensoren aufgrund der unterschiedlichen Sensorumfänge in unterschiedlichen Fahrzeugen nur eine kleine Schnittmenge der EingangsSignale zur Überwachung zur Ver- fügung steht. Ferner wird mit zunehmenden Funktionsumfang, insbesondere mit zunehmendem Funktionsumfang leistungsbestimmender Funktionen einer Antriebseinheit wie z.B. bei Steuersystemen für Motoren mit Benzindirekteinspritzung, die Güte der Überwachung immer schlechter. Ein Beispiel für eine Funktion, welche die Güte der Überwachung beeinträchtigen kann, ist das Lernen der Anschläge des Fahrpedalstellungsge- bers . Wird durch diese Lernfunktion z.B. der Offset des Fahrpedalstellungssignals verändert, ist dies bei der Überwachung durch die Berücksichtigung maximaler Toleranzen der Endanschläge zu berücksichtigen. Dieser relativ große Toleranzbereich kann zu einer Beeinträchtigung der Überwachungs- güte führen.
Es ist Aufgabe der Erfindung, eine Überwachung für ein Re- chenelement in einem Fahrzeug anzugeben, bei welchem trotz zunehmendem Funktionsumfang eine ausreichend zufriedenstellende Güte der Überwachung sichergestellt ist.
Dies wird durch kennzeichnenden Merkmale der unabhängigen Patentansprüche erreicht .
Vorteile der Erfindung
Es wird eine Überwachung für ein Rechenelement in einem Kraftfahrzeug angegeben, durch welche auch bei steigendem
Funktionsumfang und unterschiedlichen Sensorumfängen in einzelnen Fahrzeugen eine zufriedenstellende Überwachung der Funktionsweise des Rechenelements sichergestellt ist.
Von besonderem Vorteil ist, daß eine zusätzliche Überwachungsebene eingespart werden kann, ohne daß auf Sicherheitsstandards verzichtet werden muß.
In diesem Zusammenhang ist von besonderem Vorteil, daß sich die Entwicklungsabläufe für die Überwachung des Rechenelements vereinfachen, da jede neue sicherheitsrelevante Funktion keine dazu passende neue Überwachungsfunktion benötigt. Deren Entwicklung wird somit eingespart. Von besonderem Vorteil ist die Vorgehensweise in Verbindung mit der Steuerung einer Antriebseinheit, bei welcher eine Vielzahl leistungsbestimmender Funktionen vorgesehen sind.
Besonders vorteilhaft ist ferner, daß adaptierende Funktionen, welche leistungsbestimmende Funktionen beeinflussen, keinen Einfluß auf die Gute der Überwachungsfunktion haben.
Besonders vorteilhaft ist die Auswahl vorgegebener Rechen- schritte aus den Funktionsprogrammen zur Durchführung eines Befehlstestes, da dadurch die Rechenleistung reduziert werden kann, ohne daß auf Sicherheitsstandards verzichtet werden muß
Besonders vorteilhaft ist, daß neben der beschriebenen Vorgehensweise zusätzlich eine aus dem Stand der Technik bekannte Überwachung vorgesehen ist, welche im Rahmen einer zweiten Ebene im Rechenelement arbeitet
Weitere Vorteile ergeben sich aus der nachfolgenden Beschreibung von Ausfuhrungsbeispielen bzw aus den abhangigen Patentansprüchen
Zeichnung
Die Erfindung wird nachstehend anhand der in der Zeichnung dargestellten Ausführungsformen näher erläutert. Figur 1 zeigt dabei ein Übersichtsblockschaltbild einer Steuereinheit mit einem Rechenelement, welche wenigstens eine Be- triebsgröße im Kraftfahrzeug steuert, vorzugsweise die Leistung einer Antriebseinheit. In Figur 2 ist anhand eines Ablaufdiagramms ein Beispiel für die Überwachung der Funktionsweise des Rechenelements dargestellt. Figur 3 zeigt Ablaufdiagramme für zwei Realisierungen der Befehlstestebene. Beschreibung von Ausführungsbeispielen
Figur 1 zeigt ein elektronisches Steuergerät 10, welches wenigstens ein Rechenelement 12, ein Überwachungsmodul 11, ei- ne Eingangsschaltung 14 und eine Ausgangsschaltung 16 umfaßt. Speicherbausteine sind Teil des Rechenelements 12 oder diesem zugeordnet. Die genannten Elemente sind über ein Kommunikationssystem 18 miteinander zum Datenaustausch verbunden. Der Eingangsschaltung 14 werden Signale zugeführt, wel- ehe gemessene Betriebsgrößen der Antriebseinheit, des Triebstrangs und/oder des Kraftfahrzeuges repräsentieren oder aus welchen solche Betriebsgrößen abgeleitet werden können. Diese Signale werden von Meßeinrichtungen 20 bis 24 erfaßt und über Eingangsleitungen 26 bis 30 der Eingangsschaltung 14 zugeführt. Ferner werden über die Ausgangsschaltung 16 Signale ausgegeben, welche Stellelemente zur Einstellung wenigstens einer Betriebsgröße der Antriebseinheit, des Trieb- stranges und/oder des Kraftfahrzeuges betätigen. Die entsprechenden Ansteuersignalgrößen werden über die Leitungen 32 bis 36 an die Stellelemente 38 bis 42 abgegeben.
In Abhängigkeit der Eingangssignale, daraus abgeleiteter Betriebsgrößen und/oder interner Größen bildet das Rechenelement 12 im Rahmen dort implementierter Programme Werte für die auszugebenden Steuergrößen, die die Stellelemente im
Sinne einer vorgegebenen Steuerstrategie einstellen. Im bevorzugten Ausführungsbeispiel handelt es sich bei der Steuereinheit 10 um eine Steuereinheit zur Steuerung einer Antriebseinheit eines Kraftfahrzeuges. Dort wird in bekannter Weise die Stellung eines vom Fahrer betätigbaren Bedienelements erfaßt, ausgewertet und ein Sollwert für ein Drehmoment der Antriebseinheit ermittelt. Dieses wird dann unter Berücksichtigung von über die Eingangsschaltung 14 empfangenen Sollwerten anderer Steuersysteme, wie beispielsweise ei- ner Antriebsschlupfregelung, einer Getriebesteuerung, etc. sowie intern gebildeter Sollwerte (Begrenzungen, etc.), ein Sollwert für das Drehmoment ermittelt. Dieser wird dann im bevorzugten Ausführungsbeispiel einer Brennkraftmaschine in einen Sollwert für die Stellung der Drosselklappe, der im Rahmen eines Lageregelkreises eingestellt wird, umgewandelt. Ferner sind je nach Ausstattung der Brennkraftmaschine weitere leistungsbestimmende Funktionen vorgesehen, beispielsweise die Steuerung eines Turboladers, einer Abgasrückführung, einer Leerlaufdrehzahlregelung, etc. Darüber hinaus sind bei Brennkraftmaschinen mit Benzindirekteinspritzung nicht nur die Lufteinstellung, sondern auch die Bestimmung der einzuspritzenden Kraftstoffmasse, die Bestimmung eines einzustellenden Luft/Kraftstoff erhältnisses , die Vorgabe des Einspritzverlaufes (Voreinspritzung, Nacheinspritzung) , die Steuerung einer Ladungsbewegungsklappe, etc. leistungs- bestimmend, so daß dort neben den geschilderten eine Vielzahl weiterer Programme vorzusehen sind, die Einfluß auf die Leistung der Brennkraftmaschine und somit auf die Sicherheit des Kraftfahrzeuges haben.
In einem anderen Ausführungsbeispiel steuert die Steuereinheit 10 ein automatisches Getriebe oder eine Bremsanlage, z.B. eine Bremsanlage mit elektromotorischer Zuspannung . Auch bei diesen Systemen sind Programme, welche für das Kraftfahrzeug sicherheitsrelevant sind, beispielsweise bei der Steuerung einer Bremsanlage die Bildung der Sollbrems - kraft, die Einregelung der Sollbremskraft an den einzelnen Radbremsen, die Bildung des Fahrerbremswunsches aus den Betätigungssignalen des Bremspedals, etc.. Entsprechende si- cherheitsrelevante Funktionen sind auch bei Getriebesteuerung vorhanden.
Bei derartigen Steuersystemen sind grundsätzliche zwei mögliche Fehlerfelder zu beachten. Zum einen sind dies Defini- tions- und Softwarefehler bei der Umsetzung in die Steuer- Software, zum anderen sind dies Hardwarefehler im Rechenelement, die beim Betrieb des Steuergerätes auftreten können. Durch die eingangs genannten Überwachungskonzepte werden beide Fehlerfelder abgedeckt . Das nachfolgend beschriebene Überwachungskonzept geht von einer Aufspaltung der Behandlung dieser beiden Fehlerfelder aus, wobei lediglich Hardwarefehler im Rechenelement überwacht werden. Dies erlaubt, einen Befehlstest über die sicherheitsrelevanten Funktionen durchzuführen, ggf. zusätzlich zu einer Ablaufkontrolle . Die der Ebene 2 und 3 zugeordneten Programme können demnach entfallen, da die Überwachung über die in der Ebene 1 bestehenden sicherheitsrelevanten Funktionen durchgeführt wird (Ebene 1') . Neben dem Befehlstest und ggf. einer Ablaufkontrolle sind Speichertests vorgesehen, welche die Funktionsfähigkeit der Speicher des Rechenelementes sicherstellen.
Die durch die nachfolgend geschilderte Überwachung nicht erfaßten System- und Softwarefehler sind durch geeignete Maßnahmen in der Entwicklungsphase zu ermitteln und zu vermei- den, beispielsweise durch die Entwicklung der sicherheitsrelevanten Funktionen und Komponenten durch mehrere Mitarbeiter mit gegenseitiger Überprüfung der Arbeitsergebnisse. Ferner werden diese Art von Fehlern durch Vergleich des Entwicklungsergebnisses mit einem Simulationsmodell erkannt und die Fehlerfreiheit der Software auf diese Weise verifiziert.
Für die Überwachung im Rechenelement bleiben so lediglich Hardwarefehler übrig, so daß es ausreicht, nur die sicherheitsrelevanten Funktionen, bei der Steuerung von Antriebs- einheiten die leistungsbestimmenden Funktionspfade und damit die leistungsbestimmenden Module im Rechner zu prüfen. Die Prüfung dieser Funktionen bzw. Programmodule erfolgt durch einen Befehlstest und ggf. einer Ablaufkontrolle . Bei Befehlstest werden vom Überwachungsmodul 11 ausgewählten Test- daten für ausgewählte Module vorgegeben. Die von den Modulen durchgeführten Testrechnungen werden zu einer Antwort zusammengefaßt und dem Überwachungsmodul 11 übergeben. Dort erfolgt die Überprüfung bitgenau mit den jeweiligen Testdaten zugeordneten Ergebnisdaten. Stimmen die im Befehlstest er- rechneten Ergebnissen mit den erwarteten nicht überein, erfolgt eine Fehlerreaktion, die beispielsweise durch das Überwachungsmodul, welches als separater Baustein ausgebildet ist, erfolgt. Die Speicherbausteine (RAM, ROM) der Steuereinheit und/oder der Rechenelements werden unabhängig von der Funktionsüberprüfung getestet.
Die Realisierung dieser Überwachungsmaßnahme erfolgt dadurch, daß einzelne sicherheitsrelevante Module und/oder Rechenschritte der sicherheitsrelevanten Module ausgewählt werden und als Kopie oder im Rahmen einer zeitweisen Umschaltung der Ebene 1' zugeordnet werden. In einem Ausführungsbeispiel wird die Kopie in einem eigenen Speicherbaustein abgelegt. Vorteilhaft ist, da eine Reduzierung der Rechnerbelastung erfolgt, wenn nur Teile der Module der Funktionsebene kopiert werden bzw. für den Befehlstest herangezogen werden, insbesondere wenn lediglich einzelne Programmschritte, wie Additionen, Subtraktionen, etc. aus den einzelnen sicherheitsrelevanten Programmodulen ausgewählt werden und im Rahmen des Befehlstests gerechnet werden.
Die Testrechnungen des Befehlstest werden nur wenig seltener, vorzugsweise entsprechend häufig wie die Funktionsrechnungen durchgeführt. Eine maximale Fehlerreaktionszeit ist dadurch gewährleistet, da eine Fehlererkennung im Befehl- stest mit einer vorhandenen Fehlfunktion des gesamten Systems gleichzusetzen ist.
Zusätzlich sind die sicherheitsrelevanten Funktionen in der Ebene 1 mit einer Programmablaufkontrolle bekannter Art aus- gestattet. Im Rahmen dieser Programmablaufkontrolle werden vom Überwachungsmodul per Zufallsgenerator ausgewählte Fragen gestellt, durch ausgewählte Programmodule oder Programmschritte der Ebene 1 beantwortet und das zusammengeführte Ergebnis zum Überwachungsmodul übertragen. Dieses vergleicht das Ergebnis mit einer der Frage zugeordneten Normantwort. Bei Abbrechungen wird ein Fehler erkannt.
Im bevorzugten Ausführungsbeispiel der Steuerung einer Antriebseinheit sind sicherheitsrelevante Module zur Auswer- tung der Fahrpedalstellungssignale, Module zur Überwachung des Drosselklappenstellers, Module zur Durchführung des Analog-Digital -Wandlertests , Module, die die Sollmomenten- Koordination durchführen, Module, die die Leerlaufregelung durchführen, Module für die Lageregelung einer Drosselklap- pe, etc.
Neben Befehlstest und Programmablaufkontrolle wird einem vorteilhaften Ausführungsbeispiel eine schnelle Überprüfung der Speicherbausteine zumindest bezüglich der sicherheitsre- levanten Module durchgeführt. Der Speichertest wird dabei in kurzen Zeitabständen durchgeführt. Als Beispiel für eine geeignete Überprüfung der Speicherbausteine sei ein doppeltes Ablegen der RAM- Information mit Komplement oder ein geeigneter Test des Speicherbausteines über die relevanten Zellen zu nennen. Entsprechend wird beim ROM der Steuereinheit 10 vorgegangen .
Die beschriebene Überwachungsmaßnähme stellt den korrekten Betrieb des Rechenelements sicher und erkennt zuverlässig Hardwarefehler im Bereich des Rechenelements. Eine weitere Verbesserung der Überwachungsgüte wird durch eine zusätzliche Programmablaufkontrolle erreicht, welche durch die weiterhin zusätzliche Überprüfung der Speicherbausteine zusammen mit der Überwachungsfunktion zu einer insgesamt zuver- lässigen und zufriedenstellenden Überwachung des Rechenelements führt .
Ein bevorzugtes Ausführungsbeispiel am Beispiel der Steue- rung einer Brennkraftmaschine ist anhand des Ablaufdiagramms nach Figur 2 skizziert.
Figur 2 zeigt eine schematische Darstellung des Rechenelementes 12 sowie des separaten Überwachungsmoduls 11. Die si- cherheitsrelevanten Funktionen bzw. Programmodule sind mit 110, 112 und 114 bis 118 bezeichnet. Dem Rechenelement werden Größen über das Kommunikationssystem 18 zugeführt, aus denen in nicht dargestellten Programmodulen zur die von den sicherheitsrelevanten, d.h. den leistungsbestimmenden Pro- grammodulen verwendeten Größen ermittelt werden. Ferner werden über das Kommunikationssystem 18 vom Rechenelement Steuersignale zur Steuerung der Stellelemente ausgegeben, die von wenigstens einem der Programmodule 110 bis 118 ermittelt wurden. Nicht dargestellt sind auch hier notwendige Zwi- schenschritte und Zwischenberechnungen, die in nicht dargestellten Programmodulen in Verbindung mit der Bildung der Steuersignale durchgeführt werden.
Im bevorzugten Ausführungsbeispiel einer Steuerung einer Brennkraftmaschine stellt sind die ausgewählten Programmodule 110 bis 118 Programme, die die Leistung der Brennkraftmaschine bestimmen. Z.B. wird mit dem Programmodul 110 die Fahrpedalstellung erfaßt und der Fahrerwunsch gebildet, mit dem Programmodul 112 die Momentenkoordination, mit dem Pro- grammodul 114 die Leerlaufregelung und mit dem Programmodul 118 die Lageregelung der Drosselklappe durchgeführt. Letzteres gibt dann ein leistungsbestimmendes Steuersignal auf der Basis der Zwischenergebnisse der anderen Module ab. Daneben sind andere, nicht dargestellte sicherheitsrelevante Pro- grammodule vorhanden, z.B. der Test des Analog- /Digitalwandlers, der Überwachung des Drosselklappenstelle- lements, die Auswertung der Drosselklappenstellungssignale, etc., die aus Übersichtsgründen in Figur 2 nicht dargestellt sind.
Figur 2 zeigt ein ferner die vorstehend beschriebene Vorgehensweise zur Überwachung des Rechenelements 12 und das Zusammenspiel mit dem Überwachungsmodul 11. Dargestellt sind die im Rechenelement 12 vorhandenen 2 Programmebenen, die Ebene 1, der die die Steuerungsfunktion durchführenden Programme (z.B. 110 bis 118) zugeordnet sind, sowie die Ebene 1", der die Programme 110 bis 118, Teile davon oder Kopien davon zugeordnet sind, die der Durchführung der Überwachungsfunktion zugrunde liegen. Über das Kommunikationssy- stem 18 steht das Rechenelement 12 mit dem Überwachungsmodul 11 in Verbindung, was in Figur 2 durch die Leitungen 18a und 18b dargestellt ist. Ferner greift das Überwachungsmodul 11 über das Kommunikationssystem 18, symbolisiert durch die Leitung 18c, im Falle eines Fehlers auf die Steuerung im Sinne eines Notlaufes oder einer Begrenzung der Steuerungsfunktionen ein.
Die dargestellten Programme 110 bis 118 wirken sich sicherheitsrelevant auf das Betriebsverhalten des Kraftfahrzeuges aus, da sie die Leistung der Antriebseinheit unabhängig von der Fahrervorgabe beeinflussen. Die dargestellten Programme sind als Funktionsprogramme der Ebene 1 zugeordnet und werden dort zur Durchführung der Steuerung abgearbeitet. Mittels dieser Programme wird eine wie aus dem Stand der Tech- nik bekannte Ablaufkontrolle durchgeführt, welche als Frage- Antwort-Kommunikation mit dem Überwachungsmodul 11 von diesem über die Leitung 18a angestoßen wird. Aus diesem Grunde sind die Programme 110 und 118 auch Teil der Überwachungsebene 1' des Rechenelements 12. Die gesammelte Antwort, an der alle ausgewählten Programmodule mitwirkten, auf die Fra- ge des Überwachungsmoduls 11 wird über die Verknüpfungsstelle 120, m der das Ergebnis der Ablaufkontrolle mit dem Ergebnis des Befehlstestes über die ausgewählten Programme verknüpft werden kann, dem Überwachungsmodul 11 über die Leitung 18b zugeführt. Das Überwachungsmodul 11 überprüft das übermittelte Ergebnis mit einem vorgegebenen Wert auf Richtigkeit und leitet bei unzulässigen Abweichungen Fehler- reaktionsmaßnahmen ein (über die Leitung 18c) .
Der Befehlstest 122 findet wie aus dem eingangs genannten Stand der Technik bekannt auf der Basis von vorgegebenen Testdaten statt. Vorzugsweise mehrere Testdatensätze sind im Speicher des Rechenelements 12 abgelegt und werden von dem Überwachungsmodul 11 über einen entsprechenden Befehl ausge- wählt. Der Befehlstest findet über ausgewählte Programme, die sicherheitsrelevanten Einfluß haben, die insbesondere leistungsbestimmend sind, statt. Im gezeigten Beispiel sind dies die Programme 110 bis 118. Je nach Ausführungsbeispiel sind die gesamten Programme im Befehlstest 122 integriert, wobei bezuglich des Befehlstestes das komplette Programm mit Testdaten durchlaufen wird, oder, wie m Figur 2 gezeigt, ausgewählte Programmteile oder Programmschritte 1100 bis 1180. Beispielsweise werden aus jedem Programm bestimmte Programmschritte, z.B. Additions-, Subtraktions- , oder Mul- tiplikationsschritte, ausgewählt. Die ausgewählten Programmschritte oder -teile werden m den Befehlstest 122 kopiert oder verbleiben im Originalprogramm und werden dann (entweder in der Kopie oder im Original) zum Befehlstest mit Testdaten durchlaufen. Das Ergebnis wird über die Verknüpfungs- stelle 120 und die Leitung 18b an das Überwachungsmodul 11 gesendet. Neben Befehlstest und Ablaufkontrolle findet der oben dargestellte Speichertest statt.
Anstelle einer Kopie des Origmalprogramms oder Teilen davon wird in einem anderen Ausführungsbeispiel das Originalpro- gramm selbst zur Testrechnung verwendet. Die notwendige Umschaltung ist Teil der Ebene 1'.
In Figur 3 sind zwei konkrete Realisierungsmöglichkeiten am Beispiel des Programmes 110 dargestellt. Gemäß Figur 3a wird das Programm 110 als solches oder einzelne Programmschritte daraus kopiert, wobei die Kopie 110b dem Befehlstest zugrunde gelegt wird. Das Originalprogramm 110a, welches die Funktion durchführt, bleibt unbeeinflußt.
Im zweiten Ausführungsbeispiel nach Figur 3b ist das Programm 110 nur einmal als Original vorhanden. Beim Auftreten der Bedingungen (vorzugsweise Zeitbedingung) für den Befehl - stest werden die Schaltelemente 200 und 202 in die gestri- chelte Stellung umgeschaltet. Das Programm 110 wird dann anstelle der zugeführten Originaldaten (18) mit den Testdaten (18a) durchlaufen und das Ergebnis an das Überwachungsmodul 11 zur Kontrolle abgegeben (18b) . Neben dem vollständigen des Programms 110 zum Befehlstest werden Programmteile bzw. Programmschritte des Originalprogramms 110 als Basis des Befehlstestes ausgewählt.

Claims

Patentansprüche
1. Verfahren zur Überwachung eines Rechenelements (12) in einem Fahrzeug, welches Programmodule (110 - 118) umfaßt, mit deren Hilfe das Betriebsverhalten des Kraftfahrzeuges beeinflußt wird, wobei das Rechenelement mit Hilfe der
Programmodule abhängig von wenigstens einer Eingangsgröße wenigstens eine Ausgangsgröße zur Steuerung wenigstens einer Funktion im Kraftfahrzeug erzeugt, dadurch gekennzeichnet, daß zur Überwachung der korrekten Funktion des Rechenelements (12) wenigstens ein Programmodul oder wenigstens ein Teil davon ausgewählt wird, dieses wenigstens eine ausgewählte Modul bzw. der wenigstens eine ausgewählte Teil davon oder eine Kopie im Rechenelement (12) auf der Basis von Testdaten durchlaufen und das Er- gebnis der Testdatenrechnung mit einem vorgegebenen Ergebnis zur Fehlererkennung verglichen wird.
2. Verfahren nach Anspruch 1 dadurch gekennzeichnet, daß der Test von einem Überwachungsmodul angeregt wird.
3. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß neben dem Test eine Ablaufkontrolle des wenigstens einem ausgewählten Programmoduls vorgesehen ist, die eine Frage-Antwort-Kommunikation mit dem Überwachungsmodul darstellt und von diesem gestartet wird.
Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß das durch den Test und/oder durch die Ablaufkontrolle ermittelte Ergebnis im Überwachungsmodul mit einem jeweils vorgegebenen Ergebnis verglichen wird und bei unzulässigen Abweichungen eine Fehlerreaktion durch das Überwachungsmodul eingeleitet wird.
5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß das Rechenelement zur Steuerung zur Antriebseinheit eines Kraftfahrzeuges dient, und das wenigstens eine ausgewähltes Programmodul sicherheitsre- levant, vorzugsweise leistungsbestimmend, ist, wie zum
Beispiel die Erfassung des Fahrerwunsches, die Leerlauf- regelung, die Momentenkoordination, die Drosselklappenlageregelung .
6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß das wenigstens eine ausgewählte Programmodul bzw. der wenigstens eine ausgewählte Teil davon als Originalprogramm einer ersten Ebene des Re- chenelementes (Ebene 1) und als Kopie oder im Original zur Durchführung des Tests einer zweiten Ebene des Rechenelements (Ebene 1") zugeordnet wird.
7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß das wenigstens eine ausgewählte Programmodule bzw. der wenigstens eine ausgewählte Teil davon als Originalprogramm zum Test herangezogen wird.
8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß neben Befehlstest, der eine Testrechnung mit dem Originalprogramm oder mit einer Ko- pie des Origmalprogramms darstellt, und/oder Ablaufkontrolle ein Test wenigstens der sicherheitsrelevanten Speicherzellen des Rechenelements (12) durchgeführt wird.
9. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß das Rechenelement zur Steuerung eines automatischen Getriebes oder einer Motorleistungs- steuerung oder einer elektrisch gesteuerten Bremsanlage, vorzugsweise einer Bremsanlage mit elektromotorischer Zu- Spannung, dient.
10.Vorrichtung zur Überwachung eines Rechenelementes (12) einem Kraftfahrzeug, mit einem Rechenelement (12), welches Programmodule (110 - 118) umfaßt, mit deren Hilfe das Betπebsverhalten des Kraftfahrzeuges beeinflußt wird, wobei das Rechenelement mit Hilfe der Programmodule abhangig von wenigstens einer Eingangsgröße wenigstens eine Ausgangsgröße zur Steuerung wenigstens einer Funktion im Kraftfahrzeug erzeugt, gekennzeichnet durch wenig- stens ein Programmodul oder wenigstens ein Teil davon, das zur Überwachung der korrekten Funktion des Rechenele- ments (12) ausgewählt ist, dieses wenigstens eine ausgewählte Modul bzw. der wenigstens eine ausgewählte Teil davon oder eine Kopie im Rechenelement (12) auf der Basis von Testdaten durchlaufen und das Ergebnis der Testdaten- rechnung mit einem vorgegebenen Ergebnis zur Fehlererkennung verglichen wird.
PCT/DE2000/001099 1999-04-16 2000-04-05 Verfahren und vorrichtung zur überwachung eines rechenelements in einem kraftfahrzeug WO2000063546A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
BR0010662-3A BR0010662A (pt) 1999-04-16 2000-04-05 Processo e dispositivo para controle de um computador em um veìculo automotor
EP00926714A EP1175557B1 (de) 1999-04-16 2000-04-05 Verfahren und vorrichtung zur überwachung eines rechenelements in einem kraftfahrzeug
DE50011170T DE50011170D1 (de) 1999-04-16 2000-04-05 Verfahren und vorrichtung zur überwachung eines rechenelements in einem kraftfahrzeug
JP2000612612A JP4476494B2 (ja) 1999-04-16 2000-04-05 自動車内の計算要素のモニタ方法および装置
US09/958,979 US6879891B1 (en) 1999-04-16 2000-04-15 Method and device for monitoring a computing element in a motor vehicle

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE19917208.0 1999-04-16
DE19917208A DE19917208A1 (de) 1999-04-16 1999-04-16 Verfahren und Vorrichtung zur Überwachung eines Rechenelements in einem Kraftfahrzeug

Publications (1)

Publication Number Publication Date
WO2000063546A1 true WO2000063546A1 (de) 2000-10-26

Family

ID=7904784

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE2000/001099 WO2000063546A1 (de) 1999-04-16 2000-04-05 Verfahren und vorrichtung zur überwachung eines rechenelements in einem kraftfahrzeug

Country Status (8)

Country Link
US (1) US6879891B1 (de)
EP (1) EP1175557B1 (de)
JP (1) JP4476494B2 (de)
KR (1) KR100704322B1 (de)
BR (1) BR0010662A (de)
DE (2) DE19917208A1 (de)
RU (1) RU2243395C2 (de)
WO (1) WO2000063546A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9068527B2 (en) 2009-12-18 2015-06-30 Conti Temic Microelectronic Gmbh Monitoring computer in a control device
DE102006028695B4 (de) * 2005-06-23 2017-11-30 Denso Corporation Elektronisches Steuersystem mit Fehlfunktionsüberwachung

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100377027C (zh) * 2001-05-14 2008-03-26 株式会社Ntt都科摩 程序管理系统
JP4348950B2 (ja) * 2003-01-23 2009-10-21 株式会社デンソー 電子制御装置
US8174512B2 (en) 2006-06-02 2012-05-08 Immersion Corporation Hybrid haptic device utilizing mechanical and programmable haptic effects
DE102006037124A1 (de) * 2006-08-09 2008-02-14 Daimler Ag Ansteuersystem für eine Antriebseinheit eines Kraftfahrzeuges
JP4981743B2 (ja) 2008-05-08 2012-07-25 三菱重工業株式会社 ディーゼルエンジンの燃料制御装置
KR101205654B1 (ko) 2011-09-30 2012-11-27 주식회사 케피코 엔진제어유닛의 외부토크요구 모니터링 방법
KR101894311B1 (ko) * 2011-11-17 2018-09-03 콘티넨탈 오토모티브 시스템 주식회사 자동변속 제어의 시뮬레이션 방법
DE102011086729A1 (de) 2011-11-21 2013-05-23 Robert Bosch Gmbh Verfahren und Vorrichtung zur Überwachung eines Antriebssystems
KR102083839B1 (ko) * 2013-07-25 2020-03-03 현대모비스 주식회사 Mdps 시스템의 메모리 보호 장치 및 방법
US10018267B2 (en) 2016-03-11 2018-07-10 Ford Global Technologies, Llc Vehicle transmission control module reset detection and mitigation
JP6540561B2 (ja) * 2016-03-14 2019-07-10 オムロン株式会社 評価システム、評価プログラムおよび評価方法
EP3309721A1 (de) * 2016-09-23 2018-04-18 KPIT Technologies Ltd. Autonome systemvalidierung
KR102213676B1 (ko) 2019-12-19 2021-02-05 현대오트론 주식회사 산술 연산 감시 기능을 구비하는 오토사 시스템용 단말 장치 및 오토사 시스템의 산술 연산 감시 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5043984A (en) * 1987-04-14 1991-08-27 Japan Electronic Control Systems Co., Ltd. Method and system for inspecting microprocessor-based unit and/or component thereof
DE4438714A1 (de) 1994-10-29 1996-05-02 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs
DE19609242A1 (de) 1996-03-09 1997-09-11 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung einer Antriebseinheit eines Fahrzeugs
DE19653429A1 (de) * 1996-12-20 1998-07-16 Siemens Ag Verfahren zur Überprüfung der Funktionsfähigkeit einer Recheneinheit

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5963343A (ja) * 1982-10-01 1984-04-11 Fuji Heavy Ind Ltd 内燃機関の電子装置
JPS5963344A (ja) * 1982-10-01 1984-04-11 Fuji Heavy Ind Ltd 内燃機関の自己診断方式
US4598355A (en) * 1983-10-27 1986-07-01 Sundstrand Corporation Fault tolerant controller
IT1208538B (it) * 1985-05-14 1989-07-10 Alfa Romeo Spa Dispositivo e procedimento di autodiagnosi di un sistema di controllo a microcalcolatore per un motore a c.i. di un autoveicolo.
US5182755A (en) * 1987-06-19 1993-01-26 Diesel Kiki Co., Ltd. Malfunction checking system for controller
US5121324A (en) * 1989-12-21 1992-06-09 Mack Trucks, Inc. Motor vehicle magagement and control system including solenoid actuated fuel injection timing control
DE69326083D1 (de) * 1992-04-28 1999-09-23 Dynamic Controls Ltd Regelvorrichtung für elektrisch angetriebene fahrzeuge
US5372410A (en) * 1994-02-02 1994-12-13 National Semiconductor Corporation Anti-lock braking system
US5687081A (en) * 1994-12-30 1997-11-11 Crown Equipment Corporation Lift truck control system
SE510029C2 (sv) * 1995-10-03 1999-04-12 Volvo Ab Diagnossystem i ett driftsystem för motorer jämte en diagnosfunktionsmodul (DF-modul) i ett driftsystem för motorer
KR100500721B1 (ko) * 1996-03-14 2005-11-25 루크 게트리에베시스템 게엠베하 차량및제어방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5043984A (en) * 1987-04-14 1991-08-27 Japan Electronic Control Systems Co., Ltd. Method and system for inspecting microprocessor-based unit and/or component thereof
DE4438714A1 (de) 1994-10-29 1996-05-02 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs
WO1996013657A1 (de) * 1994-10-29 1996-05-09 Robert Bosch Gmbh Verfahren und vorrichtung zur steuerung der antriebseinheit eines fahrzeugs
DE19609242A1 (de) 1996-03-09 1997-09-11 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung einer Antriebseinheit eines Fahrzeugs
DE19653429A1 (de) * 1996-12-20 1998-07-16 Siemens Ag Verfahren zur Überprüfung der Funktionsfähigkeit einer Recheneinheit

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006028695B4 (de) * 2005-06-23 2017-11-30 Denso Corporation Elektronisches Steuersystem mit Fehlfunktionsüberwachung
US9068527B2 (en) 2009-12-18 2015-06-30 Conti Temic Microelectronic Gmbh Monitoring computer in a control device

Also Published As

Publication number Publication date
RU2243395C2 (ru) 2004-12-27
DE50011170D1 (de) 2005-10-20
DE19917208A1 (de) 2000-10-19
KR20020007370A (ko) 2002-01-26
JP4476494B2 (ja) 2010-06-09
JP2002542424A (ja) 2002-12-10
BR0010662A (pt) 2002-02-05
EP1175557B1 (de) 2005-09-14
US6879891B1 (en) 2005-04-12
EP1175557A1 (de) 2002-01-30
KR100704322B1 (ko) 2007-04-09

Similar Documents

Publication Publication Date Title
EP0170018B1 (de) Verfahren und Vorrichtung zur Eigendiagnose von Stellgliedern
EP0788581B1 (de) Verfahren und vorrichtung zur steuerung der antriebseinheit eines fahrzeugs
EP0826102B1 (de) Verfahren und vorrichtung zur steuerung einer antriebseinheit eines fahrzeugs
EP1924474B1 (de) Verfahren zur steuerung einer fahrzeug-antriebseinheit
EP1175557A1 (de) Verfahren und vorrichtung zur überwachung eines rechenelements in einem kraftfahrzeug
EP0468007B1 (de) System zur steuerung und/oder regelung einer brennkraftmaschine
EP0446453A1 (de) Verfahren und Einrichtung zur elektrischen Steuerung und/oder Regelung einer Brennkraftmaschine eines Kraftfahrzeugs
DE10025613B4 (de) Eigendiagnose-System für ein Fahrzeug und Diagnose-Verfahren, welches das Eigendiagnose-System verwendet
DE19922740A1 (de) System zum Steuern des Motorbremsmoments im Schubbetrieb
DE102005019096A1 (de) Elektronische Drosselklappensteuerung mit Drosselklappenstellungs-Sensorsystem und Luftdurchflussindikatoren
EP1479003B1 (de) Verfahren und vorrichtung zur steuerung einer funktionseinheit eines kraftfahrzeugs
WO1990013738A1 (de) Verfahren und vorrichtung zur diagnose der steuerung des tankentlüftungsventils in verbindung mit der steuerung einer brennkraftmaschine
EP0437559B1 (de) Verfahren und vorrichtung zur steuerung und/oder regelung der motorleistung einer brennkraftmaschine eines kraftfahrzeugs
EP1222378B1 (de) Vorrichtung und verfahren zur steuerung einer antriebseinheit
DE4302483C2 (de) Verfahren und Vorrichtung zur Steuerung einer Brennkraftmaschine
DE102006057743B4 (de) Verfahren zur Überwachung der Funktionssoftware von Steuergeräten in einem Steuergeräteverbund
EP0898745B1 (de) Verfahren zur überprüfung der funktionsfähigkeit einer recheneinheit
EP1486658A2 (de) Fehlerdiagnoseverfahren und -vorrichtung für ein Kraftfahrzeugsystem
EP1309781B1 (de) Verfahren und vorrichtung zur steuerung einer brennkraftmaschine
EP1305513A1 (de) Verfahren zum überprüfen der funktionstüchtigkeit eines abgasrückführungssystems einer brennkraftmaschine
DE102012221277A1 (de) Fahrzeugsteuervorrichtung
DE4341434C1 (de) Verfahren und Vorrichtung zur Funktionsüberprüfung einer Brennkraftmaschine
DE19755311B4 (de) Verfahren und Vorrichtung zur Informationsübertragung in Kraftfahrzeugen
WO2010081607A1 (de) Verfahren zum durchführen einer anzahl einspritzungen
EP1502019A1 (de) Verfahren und vorrichtung zur steuerung der antriebseinheit eines fahrzeugs

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): BR IN JP KR RU US

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE

DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 2000926714

Country of ref document: EP

ENP Entry into the national phase

Ref country code: JP

Ref document number: 2000 612612

Kind code of ref document: A

Format of ref document f/p: F

WWE Wipo information: entry into national phase

Ref document number: 1020017013142

Country of ref document: KR

WWE Wipo information: entry into national phase

Ref document number: 09958979

Country of ref document: US

WWP Wipo information: published in national office

Ref document number: 1020017013142

Country of ref document: KR

WWP Wipo information: published in national office

Ref document number: 2000926714

Country of ref document: EP

WWG Wipo information: grant in national office

Ref document number: 2000926714

Country of ref document: EP

WWG Wipo information: grant in national office

Ref document number: 1020017013142

Country of ref document: KR