WO2009103371A1 - Method for providing an emergency operation function - Google Patents

Method for providing an emergency operation function Download PDF

Info

Publication number
WO2009103371A1
WO2009103371A1 PCT/EP2008/066320 EP2008066320W WO2009103371A1 WO 2009103371 A1 WO2009103371 A1 WO 2009103371A1 EP 2008066320 W EP2008066320 W EP 2008066320W WO 2009103371 A1 WO2009103371 A1 WO 2009103371A1
Authority
WO
WIPO (PCT)
Prior art keywords
redundant
microcontroller
function
signal
path
Prior art date
Application number
PCT/EP2008/066320
Other languages
German (de)
French (fr)
Inventor
Joerg Jehlicka
Thomas Jauch
Stefan Harport
Achim Mahler
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Publication of WO2009103371A1 publication Critical patent/WO2009103371A1/en

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24191Redundant processors are different in structure
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/34Director, elements to supervisory
    • G05B2219/34482Redundancy, processors watch each other for correctness

Definitions

  • the invention relates to a method for providing an emergency function, a device for providing an emergency function, a computer program and a computer program product
  • SBICs System Basic Chips
  • ECUs ECUs for automotive applications and typically combine different functions, such as voltage regulation and monitoring, reset functions (reset), monitoring functions (watchdog), interface functions and the like.
  • Commercially available SBICs are, for example, TLE6263 from Infineon, UJAl 065 from Philips or MC33889 from Freescale.
  • the invention relates to a method for providing an emergency function, via which a
  • Function is controlled redundantly.
  • an input signal intended to trigger the function is redundantly transmitted along a number of redundant paths to a device designed to implement the function.
  • a diagnosis of at least one redundant path is performed.
  • diagnosis of the at least one redundant path which also serves as an emergency operation path can be designated, or realized a corresponding signal path.
  • the input signal can thus be securely transmitted via several redundant paths, so that the function is safely implemented.
  • the redundant paths used in the method can be structured in different ways. Along such paths, for example emergency run paths, different electronic and / or circuit-related devices can be arranged. It is thus possible to transmit the input signal directly to the device via a first redundant path or emergency run path.
  • the input signal can be transmitted to the device via a second redundant path, which is designed as an operating path and comprises a microcontroller.
  • multiple paths can be diagnosed by this microcontroller. Thus, this microcontroller can also diagnose paths along which this microcontroller is not located.
  • At least one redundant path and the microcontroller are monitored by a system base circuit, which is also designed here as a monitoring unit.
  • the method is, for example, suitable for applications in the automotive sector or in the automotive sector. It is u. a. possible that in the context of the method, a brake light is controlled redundantly.
  • the input signal is provided by a brake switch or a corresponding brake device.
  • a brake light is to be generated by this input signal, wherein the input signal is transmitted redundantly to the brake light, so that this brake light indicates a braking.
  • errors can also be diagnosed in addition to the redundant paths or emergency routes. Thus, for example, a shutdown of faulty signals is possible.
  • the invention also relates to a device for providing a redundancy function intended for the redundant activation of a function, this device having a number of redundant ones Paths along which a provided for triggering the function input signal to the device, which is designed to implement the function to be transmitted redundantly. Furthermore, the device is designed to carry out a diagnosis of at least one redundant path.
  • This device may typically comprise a microcontroller, a system base circuit designed as a monitoring unit, and a module, which may also be referred to as an emergency running module.
  • the module may comprise a number of logic elements, so that this module is designed in a variant as a logical switching element.
  • the logic switching elements are connected to each other via line sections.
  • the microcontroller of the device can be arranged at the beginning of a branch of a redundant path, so that the input signal is transmitted via the microcontroller directly to this redundant path.
  • the device can have a number of readback lines, the microcontroller being connected to one of the redundant paths via in each case one such readback line, so that the diagnosis of the paths via these readback lines can be carried out with the microcontroller.
  • the system base circuit is configured to monitor the microcontroller and in a further embodiment the redundant paths.
  • the system base circuit is connected to the microcontroller.
  • the system base circuit can also at the beginning of a second branch of the described redundant path, at the first branch of the
  • Microcontroller is connected, be arranged.
  • Input signals can be transmitted redundantly via redundant paths of the module within a device.
  • a monitoring unit can, for. B. as a system base IC or circuit with an integrated monitoring module (Watchdog) for monitoring a microcontroller, which in case of failure, in addition to the readback signal, which also as remindsetzg. Reset signal is suitable, a high (high) or low (low) active error signal that can control the at least one function redundant, be formed.
  • Watchdog integrated monitoring module
  • the invention also relates to an emergency function with delay-free and multiple redundant activation of a function including complete diagnosis of at least one redundant signal path or at least one redundant line provided for providing signals and thus at least one redundant path within the module.
  • the module may, for example, comprise logic switching elements, usually AND and OR elements. Such logic switching elements are usually arranged along the at least one redundant path within the module, so that two logic switching elements can be connected to one another via a section of the at least one redundant path. In this case, a logical switching element can be arranged along a redundant path and thus also along a plurality of redundant paths.
  • the controllable, delay-free activation of the at least one function can typically be carried out directly by the input signal.
  • a complete diagnosis of the redundant drive or signal paths, which run at least in sections within the module, eg emergency module, and are thus arranged at least in sections as redundant paths within the module, can take place during operation, inter alia, by detecting dormant errors.
  • a shutdown of a function with a faulty input signal, eg. B. by short circuit, can be provided in addition.
  • a delay-free control of the function takes place, wherein this function can optionally be integrated in a trained as emergency run path.
  • the device described is adapted to all steps of the presented
  • Procedure to perform In this case, individual steps of this method can also be carried out by individual components of the device. Furthermore, functions of the device or functions of individual components of the device may be implemented as steps of the method.
  • the invention further relates to a computer program with program code means for carrying out all the steps of a described method when the computer program is executed on a computer or a corresponding arithmetic unit, in particular in a device according to the invention.
  • the computer program product according to the invention with program code means which are stored on a computer-readable data carrier is designed to carry out all the steps of a described method when the computer program is executed on a computer or a corresponding computing unit, in particular in a device according to the invention.
  • a function described here by way of example based on the function of the brake light, is almost instantaneous, d. H. without software reaction time, and application-specific, eg. B. with a pulse width modulated (PWM) signal driven.
  • PWM pulse width modulated
  • the microcontroller is not first activated with the function request by the input signal but set in advance and then immediately by the input signal activated.
  • the invention thus opens up the possibility of a delay-free control without software reaction time in a variant.
  • the input signal (brake switch input) of a brake switch controls the corresponding function directly and without delay with the correct control signal by hardware control (HW control). It is also possible to control the function via the microcontroller while providing software control. The control can usually take place without an active input signal, if the direct control should be deactivated by the input signal, redundant by the microcontroller.
  • HW control hardware control
  • the function can be switched off in order not to erroneously control the function and / or to protect an output driver.
  • a dimming of a light bulb by means of a pulse width modulated signal is possible.
  • the control signal (“PWM & test”) can u. a. also be used to diagnose at least one redundant path, which typically runs within the module.
  • a first redundant control by the monitoring unit (system base chip, SBIC) is usually implemented in case of failure of the microcontroller to provide an error signal.
  • a second redundant control can be done by the absence of a signal. Ie. the redundant control is immediately or with a delay by turning on a
  • FB1, FB2 typically two readback lines.
  • a first readback line is used toquele ⁇ rüfung a first OR element ORl and a second OR element OR2, which are arranged along the at least one redundant path within the module.
  • a corresponding error signal SBIC limp or micro limp
  • SBIC limp or micro limp which is provided on the system base circuit designed as a monitoring module and / or on the microcontroller, is activated and diagnosed on the basis of a signal level via a first read-back line (FB1) without a function being activated. If the activation of the function is accepted during the test, this first readback line may be omitted in future tests.
  • a second readback signal provided via the second readback line (FB2) serves at the end of a drive tocove ⁇ rüfung an AND element ANDl and a third OR element OR3 within the module, wherein the function is activated.
  • the input signal and control signal (“PWM & test") can be active.
  • This read-back signal (FB2) which is provided via the second read-back line (FB2), can also be used for diagnosis when actuated by the microcontroller during normal operation.
  • the signals (Micro Limp or PWM & Test) of the microcontroller can each be used for testing and correct application-specific control. Depending on the system design, only one of the named signals of a microcontroller may be sufficient for this purpose.
  • the emergency function which can be carried out as part of an implementation of an emergency mode, is generalized for outdoor lighting, usually provided brake or stop lights and / or for a long-term supply relay.
  • a continuous specific path for energizing the exterior lighting for example at least one brake light, is activated.
  • an output for the permanent supply is set to an OFF or OFF position.
  • two redundant paths are provided in an embodiment.
  • Monitoring module of the system base circuit monitors the microcontroller.
  • a suitable signal (“SBIC Limp”) is provided to provide emergency running by means of the system base circuit, thus activating the limp home function.
  • SBIC Limp a suitable signal
  • the Microcontroller prevents the emergency function, as long as it is sufficiently supplied with electrical energy.
  • the emergency function is activated.
  • the logic to provide the emergency function can be activated by an internal signal (“Limp_home_supply_5V"). This signal can be generated by suitable switching elements, which may also be designed as microprocessors.
  • a diagnosis, for example of the emergency function, for the exterior lighting is possible with any functional request to activate the exterior lighting.
  • At least one trained as Notlaufpfad redundant path is activated in this case via a Notlauffunktion starting from the system base circuit or by an output signal of the microcontroller.
  • a readback signal is transmitted to a driver.
  • the at least one redundant path in this case the emergency running path, can be deactivated, wherein further method steps are transferred to the microcontroller and thus performed by the latter.
  • the microcontroller is monitored by the system base circuit independently of a function currently to be performed. It is further provided that redundant paths, which are normally designed as emergency run paths, for monitoring dormant faults are monitored.
  • a diagnosis of an emergency running function for at least one brake light is one for each request
  • a switch for the brake light is activated for activation via the microcontroller by means of a signal ("Stop PWM / Test").
  • a signal "Stop PWM / Test"
  • the brake light switch When the brake light switch is pressed, it is typically activated immediately so that it lights up.
  • the microcontroller recognizes a request transmitted by a signal to activate the brake light.
  • the microcontroller can activate an activation of a through-connection of the brake light via at least one redundant path via a read-back signal of the driver.
  • the microcontroller can take over the activation of the brake light and thereby deactivate a switching of the switch for the brake light. If the switch for the brake light is triggered, a switching on of the switch for the brake light is activated again by the microcontroller.
  • a pulse width modulated signal for the brake light can be provided.
  • the brake light can continue to be activated immediately, with no delay by a Monitoring of the microcontroller takes place. To indicate dormant errors, at least one redundant path is monitored when switching on a signal for the brake light.
  • FIG. 1 shows a schematic representation of an embodiment of a device according to the invention.
  • Figure 2 shows a schematic representation of waveforms of signals that are implemented in one embodiment of the method according to the invention.
  • the embodiment of the device 2 according to the invention shown schematically in FIG. 1 comprises an integrated system base circuit 4 (SBIC) which serves as a monitoring unit, a microcontroller 6 and a module 8 embodied here as an emergency running module, the OR and AND elements 18, 24 described below , 28, 30 and accordingly comprises logic circuit elements or logic modules.
  • SBIC integrated system base circuit 4
  • the integrated system base circuit 4 and the microcontroller 6 are connected via a serial peripheral interface 10 (serial perephial interface,
  • the integrated system base circuit 4 and the microcontroller 6 are connected via a first line 12 to a voltage V REG or VCC. Via a second line 14, the system base circuit 4 provides the microcontroller 6 with either a monitoring signal (watchdog, WD) or a reset signal (reset).
  • the integrated system base circuit 4 can transmit to the module 8 via a third line 16 an S error signal (SBIC limp) for the redundant realization of an emergency function.
  • This S error signal (SBIC Limp) of the system base circuit 4 is supplied to a first OR element 18 (OR1) of the module 8 in the present embodiment.
  • a fourth line 20 starting from the microcontroller 6, the first OR element 18 (OR1) of the module 8 is sent an M error signal (Micro Limp).
  • a fifth line 22 is provided so that the microcontroller 6 a second OR element 24th
  • OR2 of the module 8 transmits a pulse width modulated (PWM) signal or a test signal.
  • PWM pulse width modulated
  • SW control software control
  • the module 8 also has an AND element 30 (AND1).
  • the second OR element 24 (OR2) and the AND element 30 (AND1) are connected to the microcontroller 6 via a first readback line 32 (FB1) to provide a first readback signal.
  • the third OR element 28 (OR3) is connected to the microcontroller 6 via a second readback line 34 (FB2) for providing a second readback signal.
  • the module 8 is supplied via a supply line 36 with a current (KLl 5 supply).
  • the first readback line 32 (FB1) is here used to check the first and second OR elements 18, 24 (OR1, OR2) of the module 8. For verification, either the S error signal (SBIC Limp) of the system base circuit 4 or the M error signal (Micro Limp) of the
  • Microcontroller 6 is activated and diagnosed based on a signal level on the first readback line 32 (FBl), without a function is controlled.
  • the second readback signal is provided for checking the AND element 30 (AND1) and the third OR element 28 (OR3). In this case, the function is activated, wherein the pulse-width-modulated signal and an input signal provided via a supply line 38 are active.
  • the second readback signal is used in the control of the microcontroller 6 for the diagnosis of at least one path within the module 8 in normal operation.
  • the application-specific control by the control signal for pulse width modulation and for testing (“PWM &test") by the microcontroller 8 is set in advance in this case and activated by the input signal.
  • the present embodiment of the device 2 for implementing a limp home function is designed for brake or stop lights of a motor vehicle.
  • a switching line 40 starting from the logical switching element 8, a brake light is transmitted to an output signal for providing a brake light as a function to be triggered here.
  • this input signal is transmitted via a branch line 42 of the lead 38 to the microcontroller 6.
  • a first redundant control by a monitoring unit is usually delivered in the case of failure of the microcontroller as an error signal (Limp).
  • a second redundant control can be done in the absence of a signal. Ie. the redundant control is immediate or delayed by switching on a supply voltage or a supply current, eg. B. KL15, activated. Through an M
  • the module 8 of the device 2 in the present embodiment comprises three redundant lines, which are referred to as redundant paths and are provided for the activation of the emergency function.
  • the first redundant path begins at the end of the lead 38 and passes through the AND element 30 (AND1) and the third OR element 28 (OR3) to the switching line 40.
  • the second redundant path includes the first OR element 18 (OR1 ) and extends along the second OR element 24 (OR2), the AND element 30 (AND1) and the third OR element 28 (OR3) and terminates at the switching line 40.
  • This second redundant path at its beginning the system base circuit 4 and the third line 16 or the microcontroller 6 and the fourth line 20 on.
  • the supply line 36 activates the second redundant path from the first OR element 18 (OR1).
  • the microcontroller 6 prevents this emergency function as long as its supply is present.
  • a signal provided for this purpose "Micro Limp" is typically transmitted immediately upon startup, after a reset or after switching on a voltage of the system circuit 4 (VCC ON), assuming a correctly running system, and thus provided.
  • VCC ON voltage of the system circuit 4
  • the microcontroller 6 can not provide the signal, so that the emergency function is activated.
  • a logic for emergency operation via the redundant provided internally via the supply line 36 KL15 signal can be generated.
  • a direct passage of the input signal of the brake light switch is activated to the switching line 40 via the first redundant path for the input signal, so that
  • the present device 2 a direct control and a direct test of the brake light is possible.
  • either the pulse-width-modulated signal or the test signal is activated in a pre-run for control application-specific starting from microcontroller 6.
  • the input signal of the brake switch outputs the pulse-width-modulated signal or the test signal for checking by means of the lead 38 provided input signal free.
  • Readback or feedback signals provided via the two readback lines 32, 34 are transmitted for checking a signal for emergency operation as well as a signal for normal operation.
  • Brake lamp the course of an input signal 52 of the brake switch, a control signal 54, here a combination of a pulse width modulated signal and a test signal, an output signal 56 for the brake light and a software control signal 58 plotted.
  • a first dashed line 60 indicates a first time point by which a minimum hardware response time is indicated.
  • a second time line 62 indicates the time that begins after a software response time 64 has elapsed.
  • the output signal 56 for the brake light is controlled in the implementation of the method via a first control mechanism 66 from the control signal 54 (PWM and test) or via a second control mechanism 68 from the software control signal 58 and the control signal 54 (PWM and test) off that the output signal 56 for the
  • Bram light during normal operation is under the control of the microcontroller.
  • the diagram serves for the representation of the normal operation and the delay-free control of the function (brake light).
  • the control signal 54 and the software control signal 58 are input signals of the OR element 28 shown in Figure 1, the output signal 56 whose output signal.
  • the first trained as a logic device OR element 18 also generates, immediately or with delay, when applying the supply voltage KL15 via the supply line 36, a signal for activating the emergency operation when the signal "Micro Limp" is not active. Ie. In normal operation, the microcontroller 6 deactivates this emergency running path as fast as possible. In case of error z. B. in case of failure of the voltage of the system basic circuit 4, this path is activated because the signal "Micro Limp" is missing, but the first OR element 18 logic is still supplied. Other errors, eg. B. Software errors are covered by monitoring the microcontroller 6 by means of the monitoring module in the system basic circuit 4.

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

The invention relates to a method for providing an emergency operation function, by means of which a function is redundantly actuated, wherein at least one input signal (52) intended for actuating the function is redundantly transmitted along a number of redundant paths to a device designed for implementing the function, and wherein a diagnostic of at least one redundant path is performed.

Description

Beschreibung description
Titeltitle
Verfahren zum Bereitstellen einer Notlauffunktion.Method for providing an emergency function.
Die Erfindung betrifft ein Verfahren zum Bereitstellen einer Notlauffunktion, eine Vorrichtung zum Bereitstellen einer Notlauffunktion, ein Computerprogramm und ein ComputerprogrammproduktThe invention relates to a method for providing an emergency function, a device for providing an emergency function, a computer program and a computer program product
Stand der TechnikState of the art
Sog. Systembasischips bzw. -Schaltkreise (SBC) oder integrierte Systembasischips (SBIC) werden u. a. in Steuergeräten für automotive Anwendungen eingesetzt und fassen typischerweise unterschiedliche Funktionen, wie bspw. Spannungsregelung und -Überwachung, Rücksetzfunktionen (Reset), Überwachungsfunktionen (Watchdog), Schnittstellenfunktionen und dergleichen zusammen. Am Markt verfügbare SBICs sind bspw. TLE6263 von Infineon, UJAl 065 von Philips oder MC33889 von Freescale.So-called. System Basic Chips (SBCs) or Integrated System Basic Chips (SBICs) may become obsolete. a. used in ECUs for automotive applications and typically combine different functions, such as voltage regulation and monitoring, reset functions (reset), monitoring functions (watchdog), interface functions and the like. Commercially available SBICs are, for example, TLE6263 from Infineon, UJAl 065 from Philips or MC33889 from Freescale.
Offenbarung der ErfindungDisclosure of the invention
Die Erfindung betrifft ein Verfahren zum Bereitstellen einer Notlauffunktion, über die eineThe invention relates to a method for providing an emergency function, via which a
Funktion redundant angesteuert wird. Bei diesem Verfahren wird ein zum Auslösen der Funktion vorgesehenes Eingangssignal entlang einer Anzahl redundanter Pfade zu einer Einrichtung, die zum Umsetzen der Funktion ausgebildet ist, redundant übermittelt. Außerdem wird eine Diagnose mindestens eines redundanten Pfads durchgeführt.Function is controlled redundantly. In this method, an input signal intended to trigger the function is redundantly transmitted along a number of redundant paths to a device designed to implement the function. In addition, a diagnosis of at least one redundant path is performed.
Mit diesem Verfahren wird durch Bereitstellung der Notlauffunktion eine verzögerungsfreie und mehrfach redundante Ansteuerung einer Funktion zuzüglich einer vollständigen, typischerweise betriebsbegleitenden, Diagnose des mindestens einen redundanten Pfads, der auch als Notlaufpfad bezeichnet werden kann, oder eines entsprechenden Signalpfads realisiert. Das Eingangssignal kann somit über mehrere redundante Pfade sicher übermittelt werden, so dass die Funktion sicher umgesetzt wird. Durch Vornehmen der Diagnose des mindestens einen Pfads kann dessen Funktionstüchtigkeit überprüft werden.With this method, by providing the emergency function, a delay-free and multi-redundant activation of a function plus a complete, typically operation-accompanying, diagnosis of the at least one redundant path, which also serves as an emergency operation path can be designated, or realized a corresponding signal path. The input signal can thus be securely transmitted via several redundant paths, so that the function is safely implemented. By making the diagnosis of the at least one path, its functionality can be checked.
Die im Rahmen des Verfahrens benutzten redundanten Pfade können verschiedenartig strukturiert sein. Entlang derartiger Pfade, bspw. Notlaufpfade, können unterschiedliche elektronische und/oder schaltungstechnische Einrichtungen angeordnet sein. So ist es möglich, das Eingangssignal direkt über einen ersten redundanten Pfad oder Notlaufpfad zu der Einrichtung zu übermitteln. Außerdem kann das Eingangssignal über einen zweiten redundanten Pfad, der als Betriebspfad ausgebildet ist und einen Microcontroller umfasst, zu der Einrichtung übermittelt werden. Außerdem können mehrere Pfade durch diesen Microcontroller diagnostiziert werden. Somit kann dieser Microcontroller auch Pfade diagnostizieren, entlang denen dieser Microcontroller nicht angeordnet ist.The redundant paths used in the method can be structured in different ways. Along such paths, for example emergency run paths, different electronic and / or circuit-related devices can be arranged. It is thus possible to transmit the input signal directly to the device via a first redundant path or emergency run path. In addition, the input signal can be transmitted to the device via a second redundant path, which is designed as an operating path and comprises a microcontroller. In addition, multiple paths can be diagnosed by this microcontroller. Thus, this microcontroller can also diagnose paths along which this microcontroller is not located.
In einer weiteren Variante des Verfahrens werden mindestens ein redundanter Pfad und der Microcontroller durch einen Systembasisschaltkreis, der hier zugleich als Überwachungseinheit ausgebildet ist, überwacht.In a further variant of the method, at least one redundant path and the microcontroller are monitored by a system base circuit, which is also designed here as a monitoring unit.
Das Verfahren ist bspw. für Anwendungen im automotiven Bereich bzw. im Kfz-Bereich geeignet. Dabei ist es u. a. möglich, dass im Rahmen des Verfahrens ein Bremslicht redundant angesteuert wird. In diesem Fall wird das Eingangssignal durch einen Bremsschalter oder eine entsprechende Bremsvorrichtung bereitgestellt. Hierbei ist durch dieses Eingangssignal eine Bremsbeleuchtung zu erzeugen, wobei das Eingangssignal redundant zu dem Bremslicht übermittelt wird, so dass dieses Bremslicht eine Bremsung anzeigt. Somit kann mit demThe method is, for example, suitable for applications in the automotive sector or in the automotive sector. It is u. a. possible that in the context of the method, a brake light is controlled redundantly. In this case, the input signal is provided by a brake switch or a corresponding brake device. In this case, a brake light is to be generated by this input signal, wherein the input signal is transmitted redundantly to the brake light, so that this brake light indicates a braking. Thus, with the
Verfahren das Bremslicht betätigt und kontrolliert werden.Procedure, the brake light is operated and controlled.
Im Rahmen der beschriebenen Diagnose können neben den redundanten Pfaden oder Notlaufpfaden auch Fehler diagnostiziert werden. Somit ist bspw. auch ein Abschalten von fehlerhaften Signalen möglich.As part of the described diagnosis, errors can also be diagnosed in addition to the redundant paths or emergency routes. Thus, for example, a shutdown of faulty signals is possible.
Die Erfindung betrifft auch eine Vorrichtung zum Bereitstellen einer zum redundanten Ansteuern einer Funktion vorgesehenen Notlauffunktion, wobei diese Vorrichtung eine Anzahl redundanter Pfade umfasst, entlang denen ein zum Auslösen der Funktion vorgesehenes Eingangssignal zu der Einrichtung, die zum Umsetzen der Funktion ausgebildet ist, redundant zu übermitteln ist. Weiterhin ist die Vorrichtung dazu ausgebildet, eine Diagnose mindestens eines redundanten Pfads durchzuführen.The invention also relates to a device for providing a redundancy function intended for the redundant activation of a function, this device having a number of redundant ones Paths along which a provided for triggering the function input signal to the device, which is designed to implement the function to be transmitted redundantly. Furthermore, the device is designed to carry out a diagnosis of at least one redundant path.
Diese Vorrichtung kann üblicherweise einen Microcontroller, einen als Überwachungseinheit ausgebildeten Systembasisschaltkreis und ein Modul, das auch als Notlaufmodul bezeichnet werden kann, umfassen. Das Modul kann eine Anzahl logischer Elemente umfassen, so dass dieses Modul in einer Variante als ein logisches Schaltelement ausgebildet ist. Die logischen Schaltelemente sind über Leitungsabschnitte miteinander verbunden. Somit ist es möglich, dass die redundanten Pfade oder Notlaufpfade zumindest abschnittsweise entlang den logischen Schaltelementen innerhalb des Moduls verlaufen, was bedeutet, dass entlang der redundanten Pfade logische Elemente angeordnet sein können.This device may typically comprise a microcontroller, a system base circuit designed as a monitoring unit, and a module, which may also be referred to as an emergency running module. The module may comprise a number of logic elements, so that this module is designed in a variant as a logical switching element. The logic switching elements are connected to each other via line sections. Thus, it is possible that the redundant paths or Notlaufpfade run at least in sections along the logic switching elements within the module, which means that along the redundant paths logic elements can be arranged.
Der Microcontroller der Vorrichtung kann am Anfang eines Zweigs eines redundanten Pfads angeordnet sein, so dass das Eingangssignal über den Microcontroller direkt an diesen redundanten Pfad übermittelt bzw. geleitet wird. Außerdem kann die Vorrichtung eine Anzahl Rückleseleitungen aufweisen, wobei der Microcontroller über jeweils eine derartige Rückleseleitung an jeweils einem der redundanten Pfade angeschlossen ist, so dass die Diagnose der Pfade über diese Rückleseleitungen mit dem Microcontroller durchzuführen ist.The microcontroller of the device can be arranged at the beginning of a branch of a redundant path, so that the input signal is transmitted via the microcontroller directly to this redundant path. In addition, the device can have a number of readback lines, the microcontroller being connected to one of the redundant paths via in each case one such readback line, so that the diagnosis of the paths via these readback lines can be carried out with the microcontroller.
Der Systembasisschaltkreis ist dazu ausgebildet, den Microcontroller und in weiterer Ausgestaltung die redundanten Pfade zu überwachen. Hierzu ist der Systembasisschaltkreis mit dem Microcontroller verbunden. Außerdem kann der Systembasisschaltkreis auch am Anfang eines zweiten Zweigs des beschriebenen redundanten Pfads, an dessen ersten Zweig derThe system base circuit is configured to monitor the microcontroller and in a further embodiment the redundant paths. For this purpose, the system base circuit is connected to the microcontroller. In addition, the system base circuit can also at the beginning of a second branch of the described redundant path, at the first branch of the
Microcontroller angeschlossen ist, angeordnet sein.Microcontroller is connected, be arranged.
Mit der Erfindung ist u. a. eine steuerbare, verzögerungsfreie Ansteuerung von mindestens einer Funktion, d. h. auch von mehreren Funktionen, die durch jeweilige Eingangssignale ausgelöst werden, möglich. Es ist klar, dass in einer Variante auch mehrere unterschiedlicheWith the invention u. a. a controllable, delay-free control of at least one function, d. H. Also possible from several functions that are triggered by respective input signals. It is clear that in one variant also several different ones
Eingangssignale über redundante Pfade des Moduls innerhalb einer Vorrichtung redundant übertragen werden können. Außerdem können zusätzliche redundante Ansteuerung für den - A -Input signals can be transmitted redundantly via redundant paths of the module within a device. In addition, additional redundant control for the - A -
Ausfall der ersten redundanten Ansteuerung zuzüglich einer vollständigen Diagnose im normalen Betrieb durchgeführt werden.Failure of the first redundant control plus a complete diagnosis in normal operation are performed.
Somit ist eine direkte Steuerung durch ein Eingangssignal unter Bereitstellung unterschiedlicher Steuerungsmöglichkeit realisierbar. Eine Überwachungseinheit kann z. B. als System Basis IC bzw. Schaltkreis mit integriertem Überwachungsmodul (Watchdog) zur Überwachung eines Microcontrollers, der im Fehlerfall, zusätzlich zu dem Rücklesesignal, das auch als Rücksetzbzw. Reset- Signal geeignet ist, ein hoch- (high) oder niedrig- (low) aktives Fehlersignal liefert, das die mindestens eine Funktion redundant ansteuern kann, ausgebildet sein.Thus, a direct control by an input signal under provision of different control options can be realized. A monitoring unit can, for. B. as a system base IC or circuit with an integrated monitoring module (Watchdog) for monitoring a microcontroller, which in case of failure, in addition to the readback signal, which also as Rücksetzbzw. Reset signal is suitable, a high (high) or low (low) active error signal that can control the at least one function redundant, be formed.
In Ausgestaltung der Erfindung kann eine Kombination der oben genannten Varianten, d. h. eine ggf. auch mehrfach redundante Ansteuerung sowie eine bspw. betriebsbegleitende Diagnose, erfolgen. Dadurch ergeben sich schnelle Reaktionszeiten, flexible Ansteuerungsmöglichkeiten, eine in der Regel vollständige Diagnose zur Erkennung schlafender Fehler und/oder eine Abschaltung einer Funktion bei fehlerhaftem Eingangssignal, bspw. für einen Kurzschlußschutz.In an embodiment of the invention, a combination of the above variants, d. H. an optionally multi-redundant control as well as an example. Operation-accompanying diagnosis done. This results in fast reaction times, flexible control options, a generally complete diagnosis for the detection of sleeping errors and / or a shutdown of a function with a faulty input signal, eg. For a short-circuit protection.
Die Erfindung betrifft in Ausgestaltung auch eine Notlauffunktion mit verzögerungsfreier und mehrfach redundanter Ansteuerung einer Funktion einschließlich vollständiger Diagnose mindestens eines redundanten Signalpfads bzw. mindestens einer zur Bereitstellung von Signalen vorgesehenen redundanten Leitung und somit mindestens eines redundanten Pfads innerhalb des Moduls. Das Modul kann bspw. logische Schaltelemente, üblicherweise UND- sowie ODER- Elemente, umfassen. Derartige logische Schaltelemente sind üblicherweise entlang dem mindestens einen redundanten Pfad innerhalb des Moduls angeordnet, so dass zwei logische Schaltelemente über einen Abschnitt des mindestens einen redundanten Pfads miteinander verbunden sein können. Hierbei kann ein logisches Schaltelement entlang einem redundanten Pfad und somit auch entlang mehreren redundanten Pfaden angeordnet sein.In a refinement, the invention also relates to an emergency function with delay-free and multiple redundant activation of a function including complete diagnosis of at least one redundant signal path or at least one redundant line provided for providing signals and thus at least one redundant path within the module. The module may, for example, comprise logic switching elements, usually AND and OR elements. Such logic switching elements are usually arranged along the at least one redundant path within the module, so that two logic switching elements can be connected to one another via a section of the at least one redundant path. In this case, a logical switching element can be arranged along a redundant path and thus also along a plurality of redundant paths.
Die steuerbare, verzögerungsfreie Ansteuerung der mindestens einen Funktion ist typischerweise direkt durch das Eingangssignal durchführbar. Es ergibt sich auch die Möglichkeit einer Ansteuerung der mindestens einen Funktion im normalen Betriebsfall durch den Microcontroller und eine mehrfach redundante Ansteuerung bei Ausfall des Microcontrollers oder anderer Komponenten der Vorrichtung oder eines entsprechenden Systems. Eine vollständige Diagnose der redundanten Ansteuer- oder Signalpfade, die zumindest abschnittsweise innerhalb des Moduls, bspw. Notlaufmoduls, verlaufen und somit zumindest abschnittsweise als redundante Pfade innerhalb des Moduls angeordnet sind, kann bspw. während des Betriebs u. a. durch Erkennung schlafender Fehler erfolgen. Eine Abschaltung einer Funktion bei einem fehlerhaftem Eingangssignal, z. B. durch Kurzschluß, kann ergänzend vorgesehen sein.The controllable, delay-free activation of the at least one function can typically be carried out directly by the input signal. There is also the possibility of triggering the at least one function in the normal operating case by the microcontroller and a multi-redundant control in case of failure of the microcontroller or other components of the device or a corresponding system. A complete diagnosis of the redundant drive or signal paths, which run at least in sections within the module, eg emergency module, and are thus arranged at least in sections as redundant paths within the module, can take place during operation, inter alia, by detecting dormant errors. A shutdown of a function with a faulty input signal, eg. B. by short circuit, can be provided in addition.
In Ausgestaltung erfolgt eine verzögerungsfreie Ansteuerung der Funktion, wobei diese Funktion ggf. in einem als Notlaufpfad ausgebildeten Pfad integriert werden kann.In an embodiment, a delay-free control of the function takes place, wherein this function can optionally be integrated in a trained as emergency run path.
Die beschriebene Vorrichtung ist dazu ausgebildet, sämtliche Schritte des vorgestelltenThe device described is adapted to all steps of the presented
Verfahrens durchzuführen. Dabei können einzelne Schritte dieses Verfahrens auch von einzelnen Komponenten der Vorrichtung durchgeführt werden. Weiterhin können Funktionen der Vorrichtung oder Funktionen von einzelnen Komponenten der Vorrichtung als Schritte des Verfahrens umgesetzt werden.Procedure to perform. In this case, individual steps of this method can also be carried out by individual components of the device. Furthermore, functions of the device or functions of individual components of the device may be implemented as steps of the method.
Die Erfindung betrifft weiterhin ein Computerprogramm mit Programmcodemitteln, um alle Schritte eines beschriebenen Verfahrens durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit, insbesondere in einer erfindungsgemäßen Vorrichtung, ausgeführt wird.The invention further relates to a computer program with program code means for carrying out all the steps of a described method when the computer program is executed on a computer or a corresponding arithmetic unit, in particular in a device according to the invention.
Das erfindungsgemäße Computerprogrammprodukt mit Programmcodemitteln, die auf einem computerlesbaren Datenträger gespeichert sind, ist zum Durchführen aller Schritte eines beschriebenen Verfahrens ausgebildet, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit, insbesondere in einer erfindungsgemäßen Vorrichtung, ausgeführt wird.The computer program product according to the invention with program code means which are stored on a computer-readable data carrier is designed to carry out all the steps of a described method when the computer program is executed on a computer or a corresponding computing unit, in particular in a device according to the invention.
Eine Funktion, hier beispielhaft anhand der Funktion des Bremslichts beschrieben, wird nahezu verzögerungsfrei, d. h. ohne Software-Reaktionszeit, und applikationsspezifisch, z. B. mit einem pulsweitenmodulierten (PWM) Signal, angesteuert. Die applikationsspezifische Steuerung durch das Steuersignal zur Pulsweitenmodulation und zum Testen ("PWM & Test") durch denA function, described here by way of example based on the function of the brake light, is almost instantaneous, d. H. without software reaction time, and application-specific, eg. B. with a pulse width modulated (PWM) signal driven. The application-specific control by the control signal for pulse width modulation and for testing ("PWM & test") by the
Microcontroller wird in diesem Fall nicht erst mit der Funktionsanforderung durch das Eingangssignal aktiviert sondern vorab eingestellt und dann durch das Eingangssignal sofort aktiviert. Die Erfindung eröffnet somit in einer Variante die Möglichkeit einer verzögerungsfreien Ansteuerung ohne Software-Reaktionszeit.In this case, the microcontroller is not first activated with the function request by the input signal but set in advance and then immediately by the input signal activated. The invention thus opens up the possibility of a delay-free control without software reaction time in a variant.
Somit steuert das Eingangssignal (Brake switch input) eines Bremsschalters die entsprechende Funktion direkt und verzögerungsfrei mit dem korrekten Steuersignal durch Hardwarekontrolle (HW control) an. Es besteht auch die Möglichkeit, die Funktion über den Microcontroller unter Bereitstellung einer Softwarekontrolle anzusteuern. Die Ansteuerung kann üblicherweise ohne aktives Eingangssignal, falls die direkte Ansteuerung durch das Eingangsignal deaktiviert sein sollte, durch den Microcontroller redundant erfolgen.Thus, the input signal (brake switch input) of a brake switch controls the corresponding function directly and without delay with the correct control signal by hardware control (HW control). It is also possible to control the function via the microcontroller while providing software control. The control can usually take place without an active input signal, if the direct control should be deactivated by the input signal, redundant by the microcontroller.
Darüberhinaus kann bei einem Kurzschluß zur Batteriespannung des Eingangssignals die Funktion abgeschaltet werden, um die Funktion nicht fehlerhaft anzusteuern und/oder einen Ausgangstreiber zu schützen.Moreover, in case of a short circuit to the battery voltage of the input signal, the function can be switched off in order not to erroneously control the function and / or to protect an output driver.
In einer weiteren Ausführungsform ist eine Dimmung einer Glühlampe mittels eines pulsweitenmodulierten Signals möglich. Das Steuersignal ("PWM & Test") kann u. a. auch zur Diagnose mindestens eines redundanten Pfads, der typischerweise innerhalb des Moduls verläuft, genutzt werden.In a further embodiment, a dimming of a light bulb by means of a pulse width modulated signal is possible. The control signal ("PWM & test") can u. a. also be used to diagnose at least one redundant path, which typically runs within the module.
Eine erste redundante Ansteuerung durch die Überwachungseinheit (System Basis Chip, SBIC) wird in der Regel beim Ausfall des Microcontrollers unter Bereitstellung eines Fehlersignals umgesetzt.A first redundant control by the monitoring unit (system base chip, SBIC) is usually implemented in case of failure of the microcontroller to provide an error signal.
Eine zweite redundante Ansteuerung kann durch das Ausbleiben eines Signals erfolgen. D. h. die redundante Ansteuerung wird sofort oder mit Verzögerung durch das Einschalten einerA second redundant control can be done by the absence of a signal. Ie. the redundant control is immediately or with a delay by turning on a
Versorgungsspannung oder eines Versorgungsstroms, z. B. KL15, aktiviert. Durch ein Fehlersignal (Micro Limp) des Microcontrollers wird diese Ansteuerung wieder deaktiviert, so dass bei einem Ausbleiben dieses Fehlersignals vom Microcontroller die redundante Ansteuerung aktiviert wird. Dieses Fehlersignal (Micro Limp) kann auch zur Diagnose des mindestens einen redundanten Pfads genutzt werden.Supply voltage or a supply current, z. B. KL15, activated. By an error signal (Micro Limp) of the microcontroller, this control is deactivated again, so that in the absence of this error signal from the microcontroller, the redundant control is activated. This error signal (Micro Limp) can also be used to diagnose the at least one redundant path.
Für eine vollständige Diagnose sind in einer Ausführungsform typischerweise zwei Rückleseleitungen (FBl, FB2) vorgesehen. Eine erste Rückleseleitung dient zur Übeφrüfung eines ersten ODER-Elements ORl und eines zweiten ODER-Elements OR2, die entlang des mindestens einen redundanten Pfads innerhalb des Moduls angeordnet sind. Zur Überprüfung wird ein entsprechendes Fehlersignal (SBIC Limp oder Micro Limp), das an dem als Überwachungsmodul ausgebildeten Systembasisschaltkreis und/oder am Microcontroller bereitgestellt wird, aktiviert und anhand eines Signalpegels über eine erste Rückleseleitung (FBl) diagnostiziert, ohne dass eine Funktion angesteuert wird. Wird die Aktivierung der Funktion während des Tests akzeptiert, kann auf diese erste Rückleseleitung bei zukünftigen Tests ggf. verzichtet werden.For a complete diagnosis, in one embodiment, typically two readback lines (FB1, FB2) are provided. A first readback line is used to Übeφrüfung a first OR element ORl and a second OR element OR2, which are arranged along the at least one redundant path within the module. For checking, a corresponding error signal (SBIC limp or micro limp), which is provided on the system base circuit designed as a monitoring module and / or on the microcontroller, is activated and diagnosed on the basis of a signal level via a first read-back line (FB1) without a function being activated. If the activation of the function is accepted during the test, this first readback line may be omitted in future tests.
Ein zweites Rücklesesignal, das über die zweite Rückleseleitung (FB2) bereitgestellt wird, dient am Ende einer Ansteuerung zur Übeφrüfung eines UND-Elements ANDl und eines dritten ODER-Elements OR3 innerhalb des Moduls, wobei die Funktion aktiviert wird. Dazu kann das Einganssignal und Steuersignal ("PWM & Test") aktiv anliegen.A second readback signal provided via the second readback line (FB2) serves at the end of a drive to Übeφrüfung an AND element ANDl and a third OR element OR3 within the module, wherein the function is activated. For this, the input signal and control signal ("PWM & test") can be active.
Dieses über die zweite Rückleseleitung (FB2) bereitgestellte Rücklesesignal (FB2) kann auch zur Diagnose bei Ansteuerung durch den Microcontroller im normalen Betriebsfall genutzt werden.This read-back signal (FB2), which is provided via the second read-back line (FB2), can also be used for diagnosis when actuated by the microcontroller during normal operation.
Bei einer Kombination der voranstehend beschriebenen Ausführungsformen können die Signale (Micro Limp oder PWM & Test) des Microcontrollers jeweils zum Test und zur korrekten applikationsspezifischen Ansteuerung genutzt werden. Je nach Systemauslegung kann hierfür auch nur eines der benannten Signale eines Microcontrollers ausreichen.In a combination of the embodiments described above, the signals (Micro Limp or PWM & Test) of the microcontroller can each be used for testing and correct application-specific control. Depending on the system design, only one of the named signals of a microcontroller may be sufficient for this purpose.
Die Notlauffunktion, die im Rahmen einer Umsetzung eines Notlaufmodus ausgeführt werden kann, ist verallgemeinert für Außenbeleuchtungen, üblicherweise Brems- bzw. Stopplichter und/oder für ein Dauerversorgungsrelais vorgesehen. Für den Fall, dass die Bedingungen für einen Notlauf gegeben sind, ist ein durchgängiger spezifischer Pfad zur Bestromung der Außenbeleuchtung, bspw. mindestens eines Bremslichts, aktiviert. Weiterhin wird ein Ausgang für die Dauerversorgung in eine AUS- bzw. Off-Position gesetzt. Zur Aktivierung der Notlauffunktion sind in Ausgestaltung zwei redundante Pfade vorgesehen. DasThe emergency function, which can be carried out as part of an implementation of an emergency mode, is generalized for outdoor lighting, usually provided brake or stop lights and / or for a long-term supply relay. In the event that the conditions for emergency running are given, a continuous specific path for energizing the exterior lighting, for example at least one brake light, is activated. Furthermore, an output for the permanent supply is set to an OFF or OFF position. To activate the emergency function, two redundant paths are provided in an embodiment. The
Überwachungsmodul des Systembasisschaltkreises überwacht hierbei den Microcontroller. Im Fall eines Fehlers wird ein geeignetes Signal ("SBIC Limp") zur Bereitstellung eines Notlaufs mittels des Systembasisschaltkreises gesetzt, um somit die Notlauffunktion zu aktivieren. Der Microcontroller unterbindet die Notlauffunktion, so lange dieser hinreichend mit elektrischer Energie versorgt wird. Im Falle eines Verlustes eines Signals ("Micro Limp") des Microcontrollers für einen Notlauf des Microcontrollers wird die Notlauffunktion aktiviert. Die Logik zur Bereitstellung der Notlauffunktion kann durch ein internes Signal ("Limp_home_supply_5V") aktiviert werden. Dieses Signal kann durch geeignete Schaltelemente, die auch als Mikroprozessoren ausgebildet sein können, erzeugt werden.Monitoring module of the system base circuit monitors the microcontroller. In the event of a fault, a suitable signal ("SBIC Limp") is provided to provide emergency running by means of the system base circuit, thus activating the limp home function. Of the Microcontroller prevents the emergency function, as long as it is sufficiently supplied with electrical energy. In case of loss of a signal ("Micro Limp") of the microcontroller for emergency operation of the microcontroller, the emergency function is activated. The logic to provide the emergency function can be activated by an internal signal ("Limp_home_supply_5V"). This signal can be generated by suitable switching elements, which may also be designed as microprocessors.
Eine Diagnose, bspw. der Notlauffunktion, für die Außenbeleuchtung ist bei jeder funktionellen Anfrage zur Aktivierung der Außenbeleuchtung möglich. Mindestens ein als Notlaufpfad ausgebildeter redundanter Pfad wird in diesem Fall über eine Notlauffunktion ausgehend von dem Systembasisschaltkreis oder durch ein Ausgabesignal des Microcontrollers aktiviert. Zur Bestätigung einer derartigen Aktivierung wird ein Rücklesesignal (Feedbacksignal) an einen Treiber übermittelt. Danach kann der mindestens eine redundante Pfad, hier der Notlaufpfad, deaktiviert werden, wobei weitere Verfahrensschritte an den Microcontroller übergeben und somit von diesem durchgeführt werden. In der Regel wird der Microcontroller unabhängig von einer aktuell durchzuführenden Funktion von dem Systembasisschaltkreis überwacht. Weiterhin ist vorgesehen, dass üblicherweise als Notlaufpfade ausgebildete redundante Pfade zum Nachweis schlafender Fehler überwacht werden.A diagnosis, for example of the emergency function, for the exterior lighting is possible with any functional request to activate the exterior lighting. At least one trained as Notlaufpfad redundant path is activated in this case via a Notlauffunktion starting from the system base circuit or by an output signal of the microcontroller. To confirm such activation, a readback signal (feedback signal) is transmitted to a driver. After that, the at least one redundant path, in this case the emergency running path, can be deactivated, wherein further method steps are transferred to the microcontroller and thus performed by the latter. As a rule, the microcontroller is monitored by the system base circuit independently of a function currently to be performed. It is further provided that redundant paths, which are normally designed as emergency run paths, for monitoring dormant faults are monitored.
Eine Diagnose einer Notlauffunktion für mindestens ein Bremslicht ist bei jeder Anfrage einerA diagnosis of an emergency running function for at least one brake light is one for each request
Funktion zur Aktivierung eines derartiger Bremslichtes möglich. Ein Schalter für das Bremslichte wird zur Aktivierung über den Microcontroller mittels eines Signals ("Stop PWM/Test") aktiviert. Wenn der Schalter für das Bremslicht gedrückt wird, wird dieses typischerweise sofort aktiviert, so dass dieses leuchtet. Dabei erkennt der Microcontroller eine durch ein Signal übertragene Anfrage zur Aktivierung des Bremslichts. Der Microcontroller kann in diesem Fall eine Aktivierung einer Durchschaltung des Bremslichts über mindestens einen redundanten Pfad über ein Rücklesesignal des Treibers aktivieren. Weiterhin kann der Microcontroller die Aktivierung des Bremslichts übernehmen und dabei eine Durchschaltung des Schalters für das Bremslicht deaktivieren. Falls der Schalter für das Bremslicht ausgelöst ist, wird eine Durchschaltung des Schalters für das Bremslicht erneut durch den Microcontroller aktiviert. In diesem Kontext ist ein pulsweitenmoduliertes Signal für das Bremslicht bereitstellbar. Das Bremslicht kann weiterhin unverzüglich aktiviert werden, wobei keine Verzögerung durch eine Überwachung des Microcontrollers erfolgt. Zur Anzeige schlafender Fehler wird mindestens ein redundanter Pfad beim Durchschalten eines Signals für das Bremslicht überwacht.Function for activating such a brake light possible. A switch for the brake light is activated for activation via the microcontroller by means of a signal ("Stop PWM / Test"). When the brake light switch is pressed, it is typically activated immediately so that it lights up. The microcontroller recognizes a request transmitted by a signal to activate the brake light. In this case, the microcontroller can activate an activation of a through-connection of the brake light via at least one redundant path via a read-back signal of the driver. Furthermore, the microcontroller can take over the activation of the brake light and thereby deactivate a switching of the switch for the brake light. If the switch for the brake light is triggered, a switching on of the switch for the brake light is activated again by the microcontroller. In this context, a pulse width modulated signal for the brake light can be provided. The brake light can continue to be activated immediately, with no delay by a Monitoring of the microcontroller takes place. To indicate dormant errors, at least one redundant path is monitored when switching on a signal for the brake light.
Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.Further advantages and embodiments of the invention will become apparent from the description and the accompanying drawings.
Es versteht sich, dass die voranstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.It is understood that the features mentioned above and those yet to be explained below can be used not only in the particular combination indicated, but also in other combinations or in isolation, without departing from the scope of the present invention.
Kurze Beschreibung der ZeichnungenBrief description of the drawings
Figur 1 zeigt in schematischer Darstellung eine Ausführungsform einer erfindungsgemäßen Vorrichtung.FIG. 1 shows a schematic representation of an embodiment of a device according to the invention.
Figur 2 zeigt in schematischer Darstellung Verläufe von Signalen, die bei einer Ausführungsform des erfindungsgemäßen Verfahrens umgesetzt werden.Figure 2 shows a schematic representation of waveforms of signals that are implemented in one embodiment of the method according to the invention.
Ausführungsformen der ErfindungEmbodiments of the invention
Die Erfindung ist anhand von Ausführungsformen in den Zeichnungen schematisch dargestellt und wird im folgenden unter Bezugnahme auf die Zeichnungen ausführlich beschrieben.The invention is illustrated schematically by means of embodiments in the drawings and will be described in detail below with reference to the drawings.
Die in Figur 1 schematisch dargestellte Ausführungsform der erfindungsgemäßen Vorrichtung 2 umfasst einen integrierten Systembasisschaltkreis 4 (SBIC), der hier als Überwachungseinheit dient, einen Microcontroller 6 und ein hier als Notlaufmodul ausgebildetes Modul 8, das nachfolgend beschriebene ODER- sowie UND-Elemente 18, 24, 28, 30 und demnach logische Schaltelemente bzw. Logikbausteine umfasst. Dabei sind der integrierte Systembasisschaltkreis 4 und der Microcontroller 6 über eine serielle periphere Schnittstelle 10 (serial perephial interface,The embodiment of the device 2 according to the invention shown schematically in FIG. 1 comprises an integrated system base circuit 4 (SBIC) which serves as a monitoring unit, a microcontroller 6 and a module 8 embodied here as an emergency running module, the OR and AND elements 18, 24 described below , 28, 30 and accordingly comprises logic circuit elements or logic modules. In this case, the integrated system base circuit 4 and the microcontroller 6 are connected via a serial peripheral interface 10 (serial perephial interface,
SPI) miteinander verbunden. Der integrierte Systembasisschaltkreis 4 und der Microcontroller 6 liegen über eine erste Leitung 12 auf einer Spannung VREG bzw. VCC. Über eine zweite Leitung 14 stellt der Systembasisschaltkreis 4 dem Microcontroller 6 entweder ein Überwachungssignal (Watchdog, WD) oder ein Rücksetzsignal (Reset) bereit. Außerdem ist vorgesehen, dass der integrierte Systembasisschaltkreis 4 dem Modul 8 über eine dritte Leitung 16 ein S -Fehlersignal (SBIC Limp) zur redundanten Realisierung einer Notlauffunktion übermitteln kann. Dieses S -Fehlersignal (SBIC Limp) des Systembasisschaltkreises 4 wird in der vorliegenden Ausführungsform einem ersten ODER-Element 18 (ORl) des Moduls 8 zugeführt.SPI) interconnected. The integrated system base circuit 4 and the microcontroller 6 are connected via a first line 12 to a voltage V REG or VCC. Via a second line 14, the system base circuit 4 provides the microcontroller 6 with either a monitoring signal (watchdog, WD) or a reset signal (reset). In addition, it is provided that the integrated system base circuit 4 can transmit to the module 8 via a third line 16 an S error signal (SBIC limp) for the redundant realization of an emergency function. This S error signal (SBIC Limp) of the system base circuit 4 is supplied to a first OR element 18 (OR1) of the module 8 in the present embodiment.
Über eine vierte Leitung 20 wird ausgehend von dem Microcontroller 6 dem ersten ODER- Element 18 (ORl) des Moduls 8 ein M-Fehlersignal (Micro Limp) übermittelt. Eine fünfte Leitung 22 ist dazu vorgesehen, dass der Microcontroller 6 einem zweiten ODER-Element 24Via a fourth line 20, starting from the microcontroller 6, the first OR element 18 (OR1) of the module 8 is sent an M error signal (Micro Limp). A fifth line 22 is provided so that the microcontroller 6 a second OR element 24th
(OR2) des Moduls 8 einen pulsweitenmoduliertes (PWM) Signal oder ein Testsignal übermittelt. Über eine sechste Leitung 26 übermittelt der Microcontroller 6 einem dritten ODER-Element 28 (OR3) des Moduls 8 ein Signal zur Softwarekontrolle (SW control).(OR2) of the module 8 transmits a pulse width modulated (PWM) signal or a test signal. Via a sixth line 26, the microcontroller 6 transmits to a third OR element 28 (OR3) of the module 8 a signal for software control (SW control).
Weiterhin weist das Modul 8 noch ein UND-Element 30 (ANDl) auf. Das zweite ODER- Element 24 (OR2) und das UND-Element 30 (ANDl) sind zur Bereitstellung eines ersten Rücklesesignals über eine erste Rückleseleitung 32 (FBl) mit dem Microcontroller 6 verbunden. Weiterhin ist das dritte ODER-Element 28 (OR3) über eine zweite Rückleseleitung 34 (FB2) zur Bereitstellung eines zweiten Rücklesesignals mit dem Microcontroller 6 verbunden. Bei Betrieb der Vorrichtung 2 wird das Modul 8 über eine Versorgungsleitung 36 mit einem Strom (KLl 5 supply) versorgt.Furthermore, the module 8 also has an AND element 30 (AND1). The second OR element 24 (OR2) and the AND element 30 (AND1) are connected to the microcontroller 6 via a first readback line 32 (FB1) to provide a first readback signal. Furthermore, the third OR element 28 (OR3) is connected to the microcontroller 6 via a second readback line 34 (FB2) for providing a second readback signal. During operation of the device 2, the module 8 is supplied via a supply line 36 with a current (KLl 5 supply).
Die erste Rückleseleitung 32 (FBl) dient hier zum Überprüfen des ersten und zweiten ODER- Elements 18, 24 (ORl, OR2) des Moduls 8. Zur Überprüfung wird entweder das S -Fehlersignal (SBIC Limp) des Systembasisschaltkreises 4 oder das M-Fehlersignal (Micro Limp) desThe first readback line 32 (FB1) is here used to check the first and second OR elements 18, 24 (OR1, OR2) of the module 8. For verification, either the S error signal (SBIC Limp) of the system base circuit 4 or the M error signal (Micro Limp) of the
Microcontrollers 6 aktiviert und anhand eines Signalpegels über die erste Rückleseleitung 32 (FBl) diagnostiziert, ohne dass eine Funktion angesteuert wird.Microcontroller 6 is activated and diagnosed based on a signal level on the first readback line 32 (FBl), without a function is controlled.
Das zweite Rücklesesignal ist zum Überprüfen des UND-Elements 30 (ANDl) und des dritten ODER-Elements 28 (OR3) vorgesehen. Dabei wird die Funktion aktiviert, wobei das pulsweitenmodulierte Signal und ein über eine Zuleitung 38 bereitgestelltes Eingangssignal aktiv anliegen. Außerdem wird das zweite Rücklesesignal bei Ansteuerung durch den Microcontroller 6 zur Diagnose mindestens eines Pfads innerhalb des Moduls 8 im normalen Betriebsfall genutzt. Die applikationsspezifische Steuerung durch das Steuersignal zur Pulsweitenmodulation und zum Testen ("PWM & Test") durch den Microcontroller 8 wird in diesem Fall vorab eingestellt und durch das Eingangssignal aktiviert.The second readback signal is provided for checking the AND element 30 (AND1) and the third OR element 28 (OR3). In this case, the function is activated, wherein the pulse-width-modulated signal and an input signal provided via a supply line 38 are active. In addition, the second readback signal is used in the control of the microcontroller 6 for the diagnosis of at least one path within the module 8 in normal operation. The application-specific control by the control signal for pulse width modulation and for testing ("PWM &test") by the microcontroller 8 is set in advance in this case and activated by the input signal.
Es ist vorgesehen, dass die vorliegende Ausführungsform der Vorrichtung 2 zur Umsetzung einer Notlauffunktion (Limp Home) für Brems- bzw. Stopplichter eines Kraftfahrzeugs ausgebildet ist. Hierbei ist vorgesehen, dass dem UND-Element 30 (ANDl) des logischen Schaltelements 8 über die Zuleitung 38 das Eingabesignal eines Bremsschalters bereitgestellt wird. Über eine Schaltleitung 40 wird ausgehend von dem logischen Schaltelement 8 einem Bremslicht ein Ausgabesignal zur Bereitstellung einer Bremsbeleuchtung als hier anzusteuernde Funktion übermittelt. Außerdem wird dieses Eingangssignal über eine Abzweigungsleitung 42 der Zuleitung 38 an den Microcontroller 6 übermittelt. Somit ist es möglich, das Eingangssignal über die Microcontroller der Schaltleitung 40 redundant zuzuführen und das Bremslicht redundant anzusteuern.It is provided that the present embodiment of the device 2 for implementing a limp home function is designed for brake or stop lights of a motor vehicle. It is provided that the AND element 30 (ANDl) of the logic switching element 8 via the supply line 38, the input signal of a brake switch is provided. Via a switching line 40, starting from the logical switching element 8, a brake light is transmitted to an output signal for providing a brake light as a function to be triggered here. In addition, this input signal is transmitted via a branch line 42 of the lead 38 to the microcontroller 6. Thus, it is possible to supply redundantly the input signal via the microcontroller of the switching line 40 and to drive the brake light redundant.
Es ist außerdem möglich, das Bremslicht nur durch den Microcontroller anzusteuern, indem das PWM-Signal 22 abgeschaltet wird. Dies ermöglicht eine Diagnose des Pfads 6 über die fünfte Leitung des Microcontrollers mittels Feedback über die zweite Rückleseleitung 34. Dies ist eine sog. Normalfunktion, dabei erfolgt ein verzögerungsfreies Einschalten, dannIt is also possible to control the brake light only by the microcontroller by the PWM signal 22 is turned off. This allows a diagnosis of the path 6 via the fifth line of the microcontroller by means of feedback via the second readback line 34. This is a so-called. Normal function, there is a delay-free switching, then
Übernahme der Kontrolle durch den Microcontroller 6 und ein Abschalten des Direktdurchgriffs. Nachdem Funktionsanforderung wegfällt und Bremslicht abgeschaltet ist, wird PWM-Signal wieder aktiviert, um schnelles Einschalten zu ermöglichen.Taking over the control by the microcontroller 6 and switching off the direct access. After the function request disappears and the brake light is turned off, the PWM signal is reactivated to allow quick turn-on.
Eine erste redundante Ansteuerung durch eine Überwachungseinheit (System Basis Chip SBIC) wird in der Regel beim Ausfall des Microcontrollers als ein Fehlersignal (Limp) geliefert.A first redundant control by a monitoring unit (system base chip SBIC) is usually delivered in the case of failure of the microcontroller as an error signal (Limp).
Eine zweite redundante Ansteuerung kann bei Ausbleiben eines Signals erfolgen. D. h. die redundante Ansteuerung wird sofort oder mit Verzögerung durch das Einschalten einer Versorgungsspannung oder eines Versorgungsstroms, z. B. KL15, aktiviert. Durch ein M-A second redundant control can be done in the absence of a signal. Ie. the redundant control is immediate or delayed by switching on a supply voltage or a supply current, eg. B. KL15, activated. Through an M
Fehlersignal (Micro Limp) des Microcontrollers wird diese Ansteuerung wieder deaktiviert, so dass bei einem Ausbleiben dieses M-Fehlersignals die redundante Ansteuerung aktiviert wird. Das Modul 8 der Vorrichtung 2 umfasst in der vorliegenden Ausführung drei redundante Leitungen, die als redundante Pfade bezeichnet werden und zur Aktivierung der Notlauffunktion vorgesehen sind. Der erste redundante Pfad beginnt am Ende der Zuleitung 38 und verläuft über das UND-Element 30 (ANDl) und das dritte ODER-Element 28 (OR3) bis zu der Schaltleitung 40. Der zweite redundante Pfad umfasst das erste ODER-Element 18 (ORl) und verläuft entlang des zweiten ODER-Elements 24 (OR2), des UND-Elements 30 (ANDl) und des dritten ODER- Elements 28 (OR3) und endet an der Schaltleitung 40. Je nach dem, welche redundante Ansteuerung vorgesehen ist, weist dieser zweite redundante Pfad an seinem Anfang den Systembasisschaltkreis 4 und die dritte Leitung 16 oder den Microcontroller 6 und die vierte Leitung 20 auf.Error signal (Micro Limp) of the microcontroller, this control is disabled again, so that in the absence of this M error signal, the redundant control is activated. The module 8 of the device 2 in the present embodiment comprises three redundant lines, which are referred to as redundant paths and are provided for the activation of the emergency function. The first redundant path begins at the end of the lead 38 and passes through the AND element 30 (AND1) and the third OR element 28 (OR3) to the switching line 40. The second redundant path includes the first OR element 18 (OR1 ) and extends along the second OR element 24 (OR2), the AND element 30 (AND1) and the third OR element 28 (OR3) and terminates at the switching line 40. Depending on which redundant drive is provided has this second redundant path at its beginning the system base circuit 4 and the third line 16 or the microcontroller 6 and the fourth line 20 on.
Die Versorgungsleitung 36 aktiviert den zweiten redundanten Pfad ab dem ersten ODER-Element 18 (ORl). Der Microcontroller 6 unterbindet diese Notlauffunktion solange seine Versorgung anliegt. Ein hierfür vorgesehenes Signal "Micro Limp" wird typischerweise sofort beim Hochlauf, nach einem Reset oder nach Einschalten einer Spannung des Systembauschaltkreises 4 (VCC ON), in der Annahme eines korrekt laufenden Systems, übermittelt und somit bereitgestellt. Im Fall eines Fehlers des integrierten Systembasisschaltkreises 4, bspw. bei Ausfall der Versorgungsspannung VCC, die über die erste Leitung 12 für den Microcontroller 6 bereitgestellt wird, kann der Microcontroller 6 das Signal nicht bereitstellen, so dass die Notlauffunktion aktiviert wird.The supply line 36 activates the second redundant path from the first OR element 18 (OR1). The microcontroller 6 prevents this emergency function as long as its supply is present. A signal provided for this purpose "Micro Limp" is typically transmitted immediately upon startup, after a reset or after switching on a voltage of the system circuit 4 (VCC ON), assuming a correctly running system, and thus provided. In the case of a failure of the integrated system base circuit 4, for example, in the event of failure of the supply voltage VCC, which is provided via the first line 12 for the microcontroller 6, the microcontroller 6 can not provide the signal, so that the emergency function is activated.
Demnach kann eine Logik zum Notlauf über das intern über die Versorgungsleitung 36 redundant bereitgestellte KL15-Signal erzeugt werden. Für den Fall, dass Bedingungen für den Notlauf gegeben sind, ist ein direkter Durchlauf des Eingangssignals des Bremslichtschalters zu der Schaltleitung 40 über den ersten redundanten Pfad für das Eingangssignal aktiviert, so dass dasAccordingly, a logic for emergency operation via the redundant provided internally via the supply line 36 KL15 signal can be generated. In the event that conditions for the emergency operation are given, a direct passage of the input signal of the brake light switch is activated to the switching line 40 via the first redundant path for the input signal, so that
Bremslicht über diesen redundanten Pfad, hier entlang des UND-Elements 30 und des dritten ODER-Elements 28, direkt angesteuert wird.Brake light via this redundant path, here along the AND element 30 and the third OR element 28, is controlled directly.
Weiterhin ist vorgesehen, dass mit der vorliegenden Vorrichtung 2 eine direkte Kontrolle sowie ein direkter Test des Bremslichts möglich ist. Hierzu wird in einem Vorlauf zur Kontrolle anwendungsspezifisch ausgehend von Microcontroller 6 entweder das pulsweitenmodulierte Signal oder das Testsignal aktiviert. Das Eingangsignal des Bremsschalters gibt das pulsweitenmodulierte Signal oder das Testsignal zur Kontrolle durch das über die Zuleitung 38 bereitgestellte Eingangssignal frei. Rücklese- bzw. Feedbacksignale, die über die beiden Rückleseleitungen 32, 34 (SWl, FB2) bereitgestellt werden, werden zum Überprüfen eines Signals für den Notlauf sowie eines Signals für den Normalbetrieb übermittelt.It is further provided that with the present device 2 a direct control and a direct test of the brake light is possible. For this purpose, either the pulse-width-modulated signal or the test signal is activated in a pre-run for control application-specific starting from microcontroller 6. The input signal of the brake switch outputs the pulse-width-modulated signal or the test signal for checking by means of the lead 38 provided input signal free. Readback or feedback signals provided via the two readback lines 32, 34 (SW1, FB2) are transmitted for checking a signal for emergency operation as well as a signal for normal operation.
In dem Diagramm aus Figur 2 sind entlang einer Zeitachse 50 bei einer Kontrolle derIn the diagram of FIG. 2, along a time axis 50, during a check of FIG
Bremsleuchte der Verlauf eines Eingangssignals 52 des Bremsschalters, eines Steuersignals 54, hier eine Kombination aus einem pulsweitenmodulierten Signal und einem Testsignal, eines Ausgabesignals 56 für die Bremsleuchte sowie ein Softwarekontrollsignal 58 aufgetragen. Innerhalb dieses Diagramms kennzeichnet eine erste gestrichelte Linie 60 einen ersten Zeitpunkt, durch den eine minimale Reaktionszeit der Hardware gekennzeichnet ist. Eine zweite Zeitlinie 62 zeigt den Zeitpunkt an, der nach Verstreichen einer Softwarereaktionszeit 64 einsetzt. Das Ausgabesignal 56 für das Bremslicht wird bei Durchführung des Verfahrens über einen ersten Kontrollmechanismus 66 ausgehend von dem Steuersignal 54 (PWM und Test) oder über einen zweiten Kontrollmechanismus 68 ausgehend von dem Softwarekontrollsignal 58 gesteuert und das Steuersignal 54 (PWM und Test) ausgeschaltet, so dass das Ausgabesignal 56 für dasBrake lamp, the course of an input signal 52 of the brake switch, a control signal 54, here a combination of a pulse width modulated signal and a test signal, an output signal 56 for the brake light and a software control signal 58 plotted. Within this diagram, a first dashed line 60 indicates a first time point by which a minimum hardware response time is indicated. A second time line 62 indicates the time that begins after a software response time 64 has elapsed. The output signal 56 for the brake light is controlled in the implementation of the method via a first control mechanism 66 from the control signal 54 (PWM and test) or via a second control mechanism 68 from the software control signal 58 and the control signal 54 (PWM and test) off that the output signal 56 for the
Bramslicht bei Normalbetrieb unter Kontrolle des Microcontrollers ist. Das Diagramm dient hier zur Darstellung des Normalbetriebs und der verzögerungsfreien Ansteuerung der Funktion (Bremslicht). Das Steuersignal 54 und das Software Kontrollsignal 58 sind Eingangssignale des in Figur 1 gezeigten ODER-Elements 28, das Ausgabesignal 56 dessen Ausgangssignal.Bram light during normal operation is under the control of the microcontroller. The diagram serves for the representation of the normal operation and the delay-free control of the function (brake light). The control signal 54 and the software control signal 58 are input signals of the OR element 28 shown in Figure 1, the output signal 56 whose output signal.
Das erste als Logikbaustein ausgebildete ODER-Element 18 erzeugt ebenfalls, sofort oder mit Verzögerung, beim Anlegen der Versorgungsspannung KL15 über die Versorgungsleitung 36 ein Signal zur Aktivierung des Notlaufs, wenn das Signal "Micro Limp" nicht aktiv ist. D. h. im normalen Betriebsfall deaktiviert der Microcontroller 6 diesen Notlaufpfad so schnell wie möglich. Im Fehlerfall z. B. bei Ausfall der Spannung des Systembasischaltkreises 4 wird dieser Pfad aktiviert, da das Signal "Micro Limp" fehlt, aber das erste ODER-Element 18 Logik noch versorgt ist. Andere Fehler, z. B. Software-Fehler werden durch Überwachung des Microcontrollers 6 mittels des Überwachungsmoduls im Systembasischaltkreis 4 abgedeckt. The first trained as a logic device OR element 18 also generates, immediately or with delay, when applying the supply voltage KL15 via the supply line 36, a signal for activating the emergency operation when the signal "Micro Limp" is not active. Ie. In normal operation, the microcontroller 6 deactivates this emergency running path as fast as possible. In case of error z. B. in case of failure of the voltage of the system basic circuit 4, this path is activated because the signal "Micro Limp" is missing, but the first OR element 18 logic is still supplied. Other errors, eg. B. Software errors are covered by monitoring the microcontroller 6 by means of the monitoring module in the system basic circuit 4.

Claims

Ansprüche claims
1. Verfahren zum Bereitstellen einer Notlauffunktion, über die eine Funktion redundant angesteuert wird, bei dem ein zum Auslösen der Funktion vorgesehenes Eingangssignal (52) entlang einer Anzahl redundanter Pfade zu einer Einrichtung, die zum Umsetzen der Funktion ausgebildet ist, redundant übermittelt wird, und bei dem eine Diagnose mindestens eines redundanten Pfads durchgeführt wird.A method for providing a Notlauffunktion over which a redundant function is controlled, in which a provided for triggering the input signal (52) along a number of redundant paths to a device that is designed to implement the function is transmitted redundantly, and in which a diagnosis of at least one redundant path is performed.
2. Verfahren nach Anspruch 1, bei dem das Eingangssignal direkt über einen ersten redundanten Pfad zu der Einrichtung übermittelt wird, und bei dem das Eingangssignal über einen zweiten redundanten Pfad, der einen Microcontroller (6) umfasst, zu der Einrichtung übermittelt wird.2. The method of claim 1, wherein the input signal is transmitted directly via a first redundant path to the device, and wherein the input signal via a second redundant path, which includes a microcontroller (6), is transmitted to the device.
3. Verfahren nach Anspruch 2, bei dem die Pfade durch den Microcontroller (6) diagnostiziert werden.3. The method of claim 2, wherein the paths are diagnosed by the microcontroller (6).
4. Verfahren nach Anspruch 2 oder 3, bei dem mindestens ein redundanter Pfad und der Microcontroller (6) durch einen Systembasisschaltkreis (2) überwacht werden.4. The method of claim 2 or 3, wherein at least one redundant path and the microcontroller (6) are monitored by a system base circuit (2).
5. Verfahren nach einem der voranstehenden Ansprüche, bei dem mindestens ein Bremslicht redundant angesteuert wird.5. The method according to any one of the preceding claims, wherein at least one brake light is controlled redundantly.
6. Verfahren nach einem der voranstehenden Ansprüche, bei dem die Funktion verzögerungsfrei angesteuert und in den mindestens einen redundanten Pfad integriert wird.6. The method according to any one of the preceding claims, wherein the function is controlled without delay and integrated into the at least one redundant path.
7. Vorrichtung zum Bereitstellen einer zum redundanten Ansteuern einer Funktion vorgesehenen Notlauffunktion, wobei diese Vorrichtung eine Anzahl redundanter Pfade umfasst, entlang denen ein zum Auslösen der Funktion vorgesehenes Eingangssignal (52) zu einer Einrichtung, die zum Umsetzen der Funktion ausgebildet ist, redundant zu übermitteln ist, und wobei die Vorrichtung dazu ausgebildet ist, eine Diagnose mindestens eines redundanten Pfads durchzuführen.7. An apparatus for providing an emergency function provided for the redundant activation of a function, wherein this apparatus comprises a number of redundant paths along which an input signal (52) provided for triggering the function Means, which is designed to implement the function to be transmitted redundantly, and wherein the device is adapted to perform a diagnosis of at least one redundant path.
8. Vorrichtung nach Anspruch 7, bei dem die redundanten Pfade entlang logischen8. The apparatus of claim 7, wherein the redundant paths along logical
Elementen innerhalb eines Moduls verlaufen.Elements within a module.
9. Vorrichtung nach Anspruch 7 oder 8, die einen Microcontroller (6) aufweist, der am Anfang eines ersten Zweigs eines redundanten Pfads angeordnet ist.9. Device according to claim 7 or 8, comprising a microcontroller (6), which is arranged at the beginning of a first branch of a redundant path.
10. Vorrichtung nach Anspruch 9, bei dem der Microcontroller (6) über jeweils eine Rückleseleitung (32, 34) an jeweils einem der redundanten Pfade angeschlossen ist.10. The apparatus of claim 9, wherein the microcontroller (6) via a respective read-back line (32, 34) is connected to one of the redundant paths.
11. Vorrichtung nach Anspruch 9 oder 10, die einen Systembasisschaltkreis aufweist, der mit dem Microcontroller (6) verbunden und am Anfang eines zweiten Zweigs des redundanten Pfads angeordnet ist.An apparatus according to claim 9 or 10, comprising a system base circuit connected to the microcontroller (6) and located at the beginning of a second branch of the redundant path.
12. Computerprogramm mit Programmcodemitteln, um alle Schritte eines Verfahrens nach einem der Ansprüche 1 bis 6 durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit, insbesondere in einer Vorrichtung nach einem der Ansprüche 7 bis 11, ausgeführt wird.12. Computer program with program code means to perform all the steps of a method according to one of claims 1 to 6, when the computer program on a computer or a corresponding computing unit, in particular in a device according to one of claims 7 to 11, is executed.
13. Computerprogrammprodukt mit Programmcodemitteln, die auf einem computerlesbaren Datenträger gespeichert sind, um alle Schritte eines Verfahrens nach einem der Ansprüche 1 bis 6 durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechendenA computer program product comprising program code means stored on a computer readable medium for performing all the steps of a method as claimed in any one of claims 1 to 6 when the computer program is run on a computer or equivalent computer
Recheneinheit, insbesondere in einer Vorrichtung nach einem der Ansprüche 7 bis 11, ausgeführt wird. Computing unit, in particular in a device according to one of claims 7 to 11, is executed.
PCT/EP2008/066320 2008-02-19 2008-11-27 Method for providing an emergency operation function WO2009103371A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102008009905.8 2008-02-19
DE200810009905 DE102008009905A1 (en) 2008-02-19 2008-02-19 Method for providing an emergency function

Publications (1)

Publication Number Publication Date
WO2009103371A1 true WO2009103371A1 (en) 2009-08-27

Family

ID=40510050

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2008/066320 WO2009103371A1 (en) 2008-02-19 2008-11-27 Method for providing an emergency operation function

Country Status (2)

Country Link
DE (1) DE102008009905A1 (en)
WO (1) WO2009103371A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010046303A1 (en) * 2008-10-20 2010-04-29 Continental Automotive Gmbh Integrated limp home system
CN109032132A (en) * 2018-07-06 2018-12-18 联合汽车电子有限公司 Vehicle driving system and method

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010044800A1 (en) * 2010-09-09 2012-03-15 Bpw Bergische Achsen Kg Vehicle lighting system with an avoidance circuit

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4314118A1 (en) * 1993-04-29 1994-11-10 Bosch Gmbh Robert Method and device for controlling the drive power of a vehicle
DE10011410A1 (en) * 2000-03-09 2001-09-20 Bosch Gmbh Robert Fail-safe signal generation device for safety critical signal has back-up device for generation of load driver signal in emergency operating mode
DE10139616A1 (en) * 2001-08-11 2003-02-20 Bosch Gmbh Robert Operation of an electronic control module for a motor vehicle, particularly in emergency situations when a component of the control system fails, whereby only a single emergency signal input is required
DE10261740A1 (en) * 2002-12-30 2004-07-08 Robert Bosch Gmbh Control device, especially for motor vehicle safety components, has a secondary monitoring control unit that receives both the inputs and outputs of a primary control unit as its inputs in order to check primary unit operation
DE102006008958A1 (en) * 2005-03-10 2006-09-28 Continental Teves Ag & Co. Ohg Electronic motor vehicle brake control unit
DE102006013381A1 (en) * 2006-03-23 2007-09-27 Conti Temic Microelectronic Gmbh Motor vehicle safety system`s e.g. brake and/or occupant protection system, control device, has watchdog monitoring malfunctioning or incorrect program flow of microcontroller, and auxiliary logic activating actuators

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4314118A1 (en) * 1993-04-29 1994-11-10 Bosch Gmbh Robert Method and device for controlling the drive power of a vehicle
DE10011410A1 (en) * 2000-03-09 2001-09-20 Bosch Gmbh Robert Fail-safe signal generation device for safety critical signal has back-up device for generation of load driver signal in emergency operating mode
DE10139616A1 (en) * 2001-08-11 2003-02-20 Bosch Gmbh Robert Operation of an electronic control module for a motor vehicle, particularly in emergency situations when a component of the control system fails, whereby only a single emergency signal input is required
DE10261740A1 (en) * 2002-12-30 2004-07-08 Robert Bosch Gmbh Control device, especially for motor vehicle safety components, has a secondary monitoring control unit that receives both the inputs and outputs of a primary control unit as its inputs in order to check primary unit operation
DE102006008958A1 (en) * 2005-03-10 2006-09-28 Continental Teves Ag & Co. Ohg Electronic motor vehicle brake control unit
DE102006013381A1 (en) * 2006-03-23 2007-09-27 Conti Temic Microelectronic Gmbh Motor vehicle safety system`s e.g. brake and/or occupant protection system, control device, has watchdog monitoring malfunctioning or incorrect program flow of microcontroller, and auxiliary logic activating actuators

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010046303A1 (en) * 2008-10-20 2010-04-29 Continental Automotive Gmbh Integrated limp home system
CN109032132A (en) * 2018-07-06 2018-12-18 联合汽车电子有限公司 Vehicle driving system and method
CN109032132B (en) * 2018-07-06 2021-08-13 联合汽车电子有限公司 Vehicle driving system and method

Also Published As

Publication number Publication date
DE102008009905A1 (en) 2009-08-20

Similar Documents

Publication Publication Date Title
EP2643194B1 (en) Method for detecting a fault of an operating switch for initiating a vehicle function of a vehicle and operating switch for carrying out the method
EP2146881B1 (en) Electromechanical brake system with a failsafe energy supply and method for failsafe energy supply in an electromechanical brake system for vehicles
EP2630012B1 (en) Fault-secure parking brake for motor vehicles
DE112014003026B4 (en) Control unit
DE102004027676A1 (en) Method and device for testing at least one LED string
DE10143454B4 (en) Device for controlling a vehicle
WO2015039658A1 (en) Method for supplying a control device
DE102011081093A1 (en) Starting system, method and computer program product for starting an internal combustion engine
WO2009103371A1 (en) Method for providing an emergency operation function
EP1679729B1 (en) Method for secure signal generation
EP1397729B1 (en) Device for reliable signal generation
EP1446576B1 (en) Starter device for an internal combustion engine
EP3826875B1 (en) System for automatically monitored vehicle status signalling and method for monitoring a vehicle status signalling device
DE112021003249T5 (en) ELECTRICAL CONTROL UNIT OF AN ELECTRIC PARKING BRAKE SYSTEM
WO2011015455A1 (en) Method and device for monitoring a device for switching a starter
DE102015119611B4 (en) Improving the diagnosability of fail-operational systems
DE102015203250A1 (en) Safety device and method for transferring an actuator system to a safe state, actuator system and method for operating an actuator system
DE102013214066A1 (en) control unit
EP0508081A2 (en) Circuit and method for monitoring a fuel-heated apparatus
DE102021124495A1 (en) ELECTRONIC PARKING BRAKE CONTROL DEVICE AND METHOD
DE102011075182A1 (en) Microcontroller for controlling brake system of vehicle, has direct signal path formed between error detection logic and circuit module which deactivates the outputs of pulse width modulation circuit
DE19745676C2 (en) Control for a vehicle with an automatically actuated clutch
DE102015203252A1 (en) Safety device and method for transferring an actuator system to a safe state, actuator system and method for operating an actuator system
DE102019205800A1 (en) Supply network output and method for operating a supply network
DE102009028531B4 (en) Method for operating a display device and display device

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 08872593

Country of ref document: EP

Kind code of ref document: A1

122 Ep: pct application non-entry in european phase

Ref document number: 08872593

Country of ref document: EP

Kind code of ref document: A1