WO2010020454A1 - Steuergerät und verfahren zur ansteuerung von personenschutzmitteln für ein fahrzeug - Google Patents

Steuergerät und verfahren zur ansteuerung von personenschutzmitteln für ein fahrzeug Download PDF

Info

Publication number
WO2010020454A1
WO2010020454A1 PCT/EP2009/057950 EP2009057950W WO2010020454A1 WO 2010020454 A1 WO2010020454 A1 WO 2010020454A1 EP 2009057950 W EP2009057950 W EP 2009057950W WO 2010020454 A1 WO2010020454 A1 WO 2010020454A1
Authority
WO
WIPO (PCT)
Prior art keywords
test signal
signal
sensor signal
sensor
test
Prior art date
Application number
PCT/EP2009/057950
Other languages
English (en)
French (fr)
Inventor
Ralf Maier
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Priority to US12/737,733 priority Critical patent/US20110144866A1/en
Priority to EP09779941A priority patent/EP2315685A1/de
Priority to CN200980132178.9A priority patent/CN102123888B/zh
Publication of WO2010020454A1 publication Critical patent/WO2010020454A1/de

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R21/00Arrangements or fittings on vehicles for protecting or preventing injuries to occupants or pedestrians in case of accidents or other traffic risks
    • B60R21/01Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents
    • B60R21/013Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents including means for detecting collisions, impending collisions or roll-over
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R21/00Arrangements or fittings on vehicles for protecting or preventing injuries to occupants or pedestrians in case of accidents or other traffic risks
    • B60R21/01Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents
    • B60R2021/01013Means for detecting collision, impending collision or roll-over
    • B60R2021/01027Safing sensors
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R21/00Arrangements or fittings on vehicles for protecting or preventing injuries to occupants or pedestrians in case of accidents or other traffic risks
    • B60R21/01Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents
    • B60R2021/0104Communication circuits for data transmission
    • B60R2021/01047Architecture
    • B60R2021/01054Bus
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R21/00Arrangements or fittings on vehicles for protecting or preventing injuries to occupants or pedestrians in case of accidents or other traffic risks
    • B60R21/01Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents
    • B60R2021/01122Prevention of malfunction
    • B60R2021/01129Problems or faults
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R21/00Arrangements or fittings on vehicles for protecting or preventing injuries to occupants or pedestrians in case of accidents or other traffic risks
    • B60R21/01Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents
    • B60R2021/01122Prevention of malfunction
    • B60R2021/01184Fault detection or diagnostic circuits
    • B60R2021/0119Plausibility check

Definitions

  • the invention relates to a control device or a method for controlling personal protection means according to the preamble of the independent claims.
  • an integrated circuit which, in addition to other functions, also carries out the evaluation of at least one acceleration signal for enabling at least one ignition output stage. This examination of the acceleration signals runs parallel to the examination of these signals by the microcontroller. This will be separate
  • control device according to the invention or the inventive method for controlling personal protection means for a vehicle with the features of the independent claims have the advantage that when the sensor signal via the evaluation circuit, for example the
  • Microcontroller is provided, this sensor signal for generating a test signal with a test signal that is generated outside of the evaluation, is linked and then the test signal from the safety controller, so the redundant evaluation is evaluated. This prevents that when the microcontroller is in an uncontrolled state and thus the Transmits sensor signals to the safety controller in an uncontrollable manner, this can be detected on the basis of the link with the test signal, which originates from outside the microcontroller and so an evaluation is omitted and thus an erroneous control of the personal protection means is prevented.
  • connection of the sensor signals via the evaluation circuit can be provided, for example, when so-called bus concepts such as the FlexRay serve to transmit the sensor signals to the control unit.
  • the microcontroller can then have, for example, a receiver circuit for CAN and / or Flexray, so that the computing power of the microcontroller can be fully utilized in the present case and the implementation of a receiver in the second signal path with the safety controller can be omitted.
  • a control device is an electrical device that has at least one
  • Processed sensor signal and generated in response to control signals for the personal protection means such as airbags, belt tensioners or a crash-active headrest.
  • the activation of the personal protection means means the activation of this personal protection.
  • test signal generator which is located outside the evaluation circuit but inside the control unit, serves to provide the test signal.
  • this test signal can be retrieved from a memory, for example an EEPROM, or generated by means of predetermined data. As is apparent from the dependent claims, it may be in the
  • Test signal to act on a key or other coding pattern can, as is apparent from the dependent claims, be provided on the integrated circuit, which accommodates a variety of functions for the control unit, thus a system ASIC.
  • a software implementation is possible in the present case.
  • the evaluation circuit can be a microcontroller, but all other processor types are also suitable. Likewise suitable ASICs come into question. For the function of a processor such as a microcontroller is then the appropriate software necessary.
  • the evaluation circuit according to the invention has an interface for providing the at least one sensor signal. This interface can be implemented as a software module or as a hardware section. The interface allows the sensor data to be read in, in order to further process this sensor data. The payload of others
  • the sensor signal is usually a signal of an accident sensor system, such as an acceleration sensor, an air pressure sensor system, a structure-borne sound sensor system or an environmental sensor system. But other, for example, deformation sensors can be used for this purpose.
  • the sensor signal as well as the other signals are implemented digitally, but they can also be transmitted analogously.
  • the sensor signal may be a multiplex or a single signal.
  • the evaluation module can be a software module or even a hardware section on the evaluation circuit. It serves to generate a first activation decision as a function of the at least one sensor signal. This means that the evaluation module calculates the evaluation algorithm on the basis of the sensor signal. It can be very different
  • Operations are made, as well as preprocessing, such as integrations of an acceleration signal with subsequent threshold comparisons and the like.
  • the linking module can also be implemented as hardware and / or software. It serves to link the at least one sensor signal with the test signal. This linkage is such that the safety controller or elements assigned to it can detect whether the test signal has been corrupted in any way by the evaluation circuit. This would then also apply to the sensor signal.
  • the safety controller is usually a hardware separate from the evaluation circuit and, independently of the evaluation circuit, forms the second activation decision in dependence on the test signal. It is also possible, for example, that at a Multi-core computer on a core the evaluation circuit and located on another core of the safety controller.
  • the safety controller usually uses a simpler algorithm than the evaluation module.
  • the test signal may be pre-processed for evaluation by the safety controller, for example, by being disconnected from the test signal again.
  • This simpler algorithm which requires fewer calculation steps than the evaluation algorithm on the evaluation circuit, can be implemented in terms of hardware or software.
  • the drive circuit is a logic which combines the first and second drive decision and then evaluates the resulting result and the corresponding personal protection means in response drives it.
  • a simple example is a logical AND link.
  • the logic can be significantly more complex to also deduce from the drive decisions which ones
  • Control when to control.
  • the control is usually done by the control of circuit breakers, such as MOSFETs, for example, the control then causes the activation of the personal protection means, for example by energizing ignition elements for airbags.
  • the test signal generator is configured to provide a key as the test signal.
  • the test signal is a key with which coding is possible, as is known, for example, from encryption technology. This key can be permanently stored or it can be calculated from given data.
  • the test signal generator then contains its own memory or accesses a memory in which the key is stored as a date, for example.
  • the linking module is designed as an encoder, wherein the encoder encodes the at least one sensor signal with the key to the test signal and that then a decoder for decoding the test signal is assigned to the safety controller. The encoder is then a module that has the appropriate
  • Invoice ie the encryption executes or coding and the decoder to a corresponding computer, which frees the sensor signal from the encryption again.
  • the decoder is not part of the evaluation circuit but, for example, as indicated below, part of the system ASIC.
  • the interface has a redundancy module which adds redundancy to the at least one sensor signal and is connected in accordance with the linking module.
  • the at least one sensor signal is then provided with redundancy, so that a corresponding correction can be made, for example.
  • a checksum check can be used for this.
  • the sensor signal thus provided with a checksum is then supplied in the linking module for the coding, for example.
  • the decoder is followed by a test module that checks the sensor based on this redundancy, the integrity of the sensor signal and optionally corrected.
  • the evaluation circuit may preferably be formed as a processor, as already indicated above.
  • This processor usually consists of a single semiconductor substrate. The corresponding functions are then implemented in silicon on this semiconductor substrate.
  • test signal generator The test signal generator, the decoder, the test module and the safety
  • Controller and the drive circuit may advantageously be arranged on a single integrated circuit and thus form, for example in conjunction with other functions, the system ASIC. For a cost-effective implementation of these functions is possible. Embodiments are illustrated in the drawings and will be explained in more detail in the following description.
  • FIG. 1 is a block diagram of the control device according to the invention with connected components in the vehicle,
  • Fig. 2 is a block diagram of an inventive signal processing
  • FIG. 3 shows a flow chart of the method according to the invention.
  • Fig. 1 shows a block diagram of the ECU according to the invention in connection with connected devices DCU and PS in the vehicle FZ.
  • a sensor control unit DCU transmits sensor signals or data, for example via a bus to the control unit ECU and thereby directly to the microcontroller .mu.C.
  • the bus used here is the Flexray standard. It is possible to implement a different standard.
  • the microcontroller .mu.C itself has an interface R in order to be able to receive the sensor data of the sensor control unit DCU.
  • This interface R is able to extract the useful data from the transmission frame that was used for the bus transmission and forward it to the other modules in the microcontroller .mu.C.
  • sensor control unit DCU which contains a variety of necessary for the function of personal safety sensors
  • other structures such as sensor cluster or individual sensors may be provided.
  • the sensor data are fed on the one hand to the evaluation module A and on the other hand to the linking module C.
  • the evaluation module A applies the evaluation algorithm to the sensor signal.
  • the various signal processing methods are used.
  • threshold comparisons are performed. These thresholds can also be changed depending on other variables. If the relevant actuation thresholds are exceeded, then the first actuation decision is formed by the evaluation module A and transmitted to the actuation circuit FLIC.
  • the sensor data are also processed by the linking module C, namely by being linked to the test signal from the test signal generator TG.
  • This link is in the present case designed as an encryption or a mere addition of the key to the sensor signal, since the
  • Test signal is designed as a key.
  • the link module C is designed as an encoder.
  • the test signal generator TG is arranged in the system ASIC, in which also a decoder D, the safety controller SC and the drive circuit FLIC are arranged.
  • the encrypted data from the microcontroller .mu.C via the link module C to the
  • Decoder D transmitted on the system ASIC SA.
  • the decoder D now checks whether the key is still the way the test signal generator TG originally transmitted it to the coder C. For this purpose, the key is provided by the test signal generator, the decoder D, so that a simple comparison is possible.
  • the decoder D can also get the key from a memory or other device.
  • the user data is forwarded to the safety controller SC so that the safety controller can use this sensor signal to form the second activation decision.
  • the safety controller SC uses for the
  • Forming the drive decision also at least one threshold value comparison, usually this education easier, that is connected to fewer computing steps, as this performs the evaluation algorithm on the microcontroller .mu.C.
  • This drive decision is then transmitted to the drive circuit FLIC.
  • the drive circuit FLIC combines the two drive decisions, and only when both are positive, it comes to driving the personal protection PS.
  • the key is therefore integrated into the signal by the encoder C to form the test signal.
  • the signal can simply be multiplied by the test pattern and then divided in the safety path.
  • one needs a uniquely reversible mathematical operation i. In the realization, one would look for a runtime-optimal variant in the signal theory.
  • FIG. 2 shows the relevant part of the invention as a block diagram.
  • User data 200 are transmitted here by the sequence 00111001 to the microcontroller 201 and thereby to the receiver 203, ie the interface.
  • Receiver 203 adds redundancy to the data by adding a checksum, commonly known as CRC Cyclic Redundancy Code. The data without this checksum is supplied to the algorithm 205 to form the first drive decision.
  • CRC Cyclic Redundancy Code commonly known as CRC Cyclic Redundancy Code
  • the data with the checksum are supplied to the encoder 204, wherein in the present case the user data 00111001 is supplemented by the checksum 11001.
  • the encoder 204 receives the key 11000011 from the test signal generator 206 on the system ASIC 202.
  • the encoder 204 integrates this key to the sensor signal.
  • the resulting signal is then transmitted to the decoder 207.
  • the decoder 207 is also located on the system ASIC 202.
  • the decoder 207 also receives the key 11000011 from the test signal generator 206.
  • the useful data obtained by the decoding with the redundancy are fed to a test module 208. Based on the redundancy, this test module checks whether the user data has been transmitted correctly. Optionally, a Error data correction done. If the payload data is incorrect, the method ends there and no second activation decision is made. However, if the payload data is correct or if a correction can be made, the payload data is fed to the safety controller 209, which is also on the system ASIC 202. Then it can be the second
  • FIG. 3 shows a flow chart of the method according to the invention.
  • the test signal for example the key
  • the sensor signal is provided, for example, via the FlexRay bus in the microcontroller .mu.C as the evaluation circuit.
  • the sensor signal is supplied to the evaluation algorithm in method step 302 in order to form the first activation decision.
  • a test signal is formed with the test signal on the basis of the sensor signal by the linking module. For this one can
  • Encoders are used.
  • the second control decision is formed by the safety controller SC on the basis of this test signal.
  • the first activation decision and the second activation decision are linked with one another in order to decide whether or not the personal protection devices are to be activated. Thereafter, the control of the personal protection means.

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Air Bags (AREA)
  • Automotive Seat Belt Assembly (AREA)
  • Lock And Its Accessories (AREA)

Abstract

Es wird ein Steuergerät und ein Verfahren zur Ansteuerung von Personenschutzmitteln für ein Fahrzeug vorgeschlagen, wobei sowohl ein Testsignal von außerhalb der Auswerteschaltung als auch ein Sensorsignal innerhalb der Auswerteschaltung bereitgestellt werden. Anhand des Sensorsignals wird die erste Ansteuerungsentscheidung gebildet. Das Testsignal wird weiterhin mit dem Sensorsignal zu einem Prüfsignal durch ein Verknüpfungsmodul verknüpft. Die zweite Ansteuerungsentscheidung wird in Abhängigkeit von diesem Prüfsignal gebildet. Die Ansteuerung der Personenschutzmittel erfolgt dann in Abhängigkeit von der ersten und der zweiten Ansteuerungsentscheidung.

Description

Beschreibung
Titel
Steuergerät und Verfahren zur Ansteuerung von Personenschutzmitteln für ein Fahrzeug
Stand der Technik
Die Erfindung betrifft ein Steuergerät bzw. ein Verfahren zur Ansteuerung von Personenschutzmitteln nach der Gattung der unabhängigen Patentansprüche.
Aus DE 10 2004 056 415 Al ist ein integrierter Schaltkreis bekannt, der neben anderen Funktionen auch die Bewertung von wenigstens einem Beschleunigungssignal zur Freigabe von wenigstens einer Zündendstufe durchführt. Diese Untersuchung der Beschleunigungssignale läuft parallel zur Untersuchung dieser Signale durch den Mikrocontroller. Damit werden getrennte
Auswertepfade realisiert. Nur wenn der Mikrocontroller und der integrierte Schaltkreis auf eine Ansteuerung der Personenschutzmittel entscheiden, kommt es zur tatsächlichen Ansteuerung der Personenschutzmittel.
Offenbarung der Erfindung
Das erfindungsgemäße Steuergerät bzw. das erfindungsgemäße Verfahren zur Ansteuerung von Personenschutzmitteln für ein Fahrzeug mit den Merkmalen der unabhängigen Patentansprüche haben demgegenüber den Vorteil, dass wenn das Sensorsignal über die Auswerteschaltung, beispielsweise den
Mikrocontroller bereitgestellt wird, dieses Sensorsignal zur Erzeugung eines Prüfsignals mit einem Testsignal, das außerhalb der Auswerteschaltung erzeugt wird, verknüpft wird und dann das Prüfsignal von dem Safety-Controller, also der redundanten Auswertung ausgewertet wird. Damit wird verhindert, dass, wenn der Mikrocontroller in einem unkontrollierten Zustand ist und damit auch die Sensorsignale dem Safety-Controller in unkontrollierbarer Art und Weise übergibt, dies anhand der Verknüpfung mit dem Testsignal, das von außerhalb des Mikrocontrollers stammt, erkannt werden kann und so eine Auswertung unterbleibt und damit eine fehlerhafte Ansteuerung der Personenschutzmittel unterbunden wird.
Die Anbindung der Sensorsignale über die Auswerteschaltung kann beispielsweise dann vorgesehen sein, wenn sogenannte Buskonzepte wie der FlexRay dazu dienen, die Sensorsignale zum Steuergerät zu übertragen. Der Mikrocontroller kann dann beispielsweise eine Empfängerschaltung für CAN und/oder Flexray aufweisen, so dass die Rechenleistung des Mikrocontrollers vorliegend voll genutzt werden kann und die Implementierung eines Empfängers im zweiten Signalpfad mit dem Safety-Controller unterbleiben kann.
Vorliegend ist ein Steuergerät ein elektrisches Gerät, das wenigstens ein
Sensorsignal verarbeitet und in Abhängigkeit davon Ansteuerungssignale für die Personenschutzmittel wie Airbags, Gurtstraffer oder eine crashaktive Kopfstütze erzeugt. Das Ansteuern der Personenschutzmittel bedeutet dabei das Aktivieren dieser Personenschutzmittel.
Der Testsignalgenerator, der sich außerhalb der Auswerteschaltung, aber innerhalb des Steuergeräts befindet, dient zur Bereitstellung des Testsignals. Dabei kann dieses Testsignal aus einem Speicher, beispielsweise einem EEPROM abgerufen werden oder mittels vorgegebener Daten erzeugt werden. Wie aus den abhängigen Ansprüchen hervorgeht, kann es sich bei dem
Testsignal um einen Schlüssel oder ein anderes Codiermuster handeln. Der Testsignalgenerator kann, wie es aus den abhängigen Ansprüchen hervorgeht, auf dem integrierten Schaltkreis vorgesehen sein, der die verschiedensten Funktionen für das Steuergerät beherbergt mithin einem System-ASIC. Auch eine softwaremäßige Implementierung ist vorliegend möglich.
Bei der Auswerteschaltung kann, wie bereits angegeben, es sich um einen Mikrocontroller handeln, aber auch alle anderen Prozessortypen kommen hierfür in Frage. Ebenso kommen hierfür geeignete ASICs in Frage. Für die Funktion bei einem Prozessor wie einem Mikrocontroller ist dann die entsprechende Software notwendig. Die Auswerteschaltung weist erfindungsgemäß eine Schnittstelle zur Bereitstellung des wenigstens einen Sensorsignals auf. Diese Schnittstelle kann als Softwaremodul oder auch als ein Hardwareabschnitt ausgeführt sein. Die Schnittstelle ermöglicht das Einlesen der Sensordaten, um diese Sensordaten dann weiter zu verarbeiten. Dabei werden die Nutzdaten von anderen
Übertragungsdaten getrennt.
Bei dem Sensorsignal handelt es sich üblicherweise um ein Signal einer Unfallsensorik, wie es eine Beschleunigungssensor, eine Luftdrucksensorik, eine Körperschallsensorik oder eine Umfeldsensorik sind. Aber auch andere beispielsweise Deformationssensoriken können dafür verwendet werden. Das Sensorsignal wie auch die anderen Signale sind vorliegend digital ausgeführt, sie können jedoch auch analog übertragen werden. Insbesondere kann es sich bei dem Sensorsignal um einen Multiplex oder um ein einzelnes Signal handeln.
Das erfindungsgemäße Auswertemodul kann ein Softwaremodul oder auch ein Hardwareabschnitt auf der Auswerteschaltung sein. Es dient zur Erzeugung einer ersten Ansteuerungsentscheidung in Abhängigkeit von dem wenigstens einen Sensorsignal. Dies bedeutet, das Auswertemodul rechnet den Auswertealgorithmus anhand des Sensorsignals. Dabei können verschiedenste
Operationen vorgenommen werden, wie auch Vorverarbeitungen, beispielsweise Integrationen eines Beschleunigungssignals mit anschließenden Schwellwertvergleichen und dergleichen mehr.
Auch das Verknüpfungsmodul kann hard- und/oder softwaremäßig ausgeführt sein. Es dient zur Verknüpfung des wenigstens einen Sensorsignals mit dem Testsignal. Diese Verknüpfung ist so, dass der Safety-Controller oder ihm zugeordnete Elemente daran erkennen können, ob das Testsignal durch die Auswerteschaltung in irgendeiner Weise korrumpiert wurde. Dies würde dann auch für das Sensorsignal zutreffen.
Bei dem Safety-Controller handelt es sich üblicherweise um eine von der Auswerteschaltung getrennte Hardware, die unabhängig von der Auswerteschaltung die zweite Ansteuerungsentscheidung in Abhängigkeit von dem Prüfsignal bildet. Dabei ist es beispielsweise auch möglich, dass bei einem Mehrkernrechner auf einem Kern die Auswerteschaltung und auf einem anderen Kern der Safety-Controller lokalisiert sind. Üblicherweise verwendet der Safety- Controller einen einfacheren Algorithmus als das Auswertemodul. Das Prüfsignal kann für die Auswertung durch den Safety-Controller noch vorverarbeitet sein, beispielsweise, indem es von dem Testsignal wieder getrennt wird. Dieser einfachere Algorithmus, der weniger Rechenschritte als der Auswertealgorithmus auf der Auswerteschaltung erfordert, kann hardwaremäßig oder softwaremäßig implementiert sein.
Bei der Ansteuerungsschaltung handelt es sich um eine Logik, die die erste und zweite Ansteuerungsentscheidung verknüpft und dann das so entstandene Ergebnis auswertet und die entsprechenden Personenschutzmittel in Abhängigkeit davon ansteuert. Ein einfaches Beispiel ist eine logische Und- Verknüpfung. Die Logik kann jedoch erheblich komplexer sein, um aus den Ansteuerungsentscheidungen auch zu entnehmen, welche
Personenschutzmittel, wann anzusteuern sind. Die Ansteuerung geschieht üblicherweise durch die Ansteuerung von Leistungsschaltern, wie es MOSFETs beispielsweise sind, deren Ansteuerung dann die Aktivierung der Personenschutzmittel bewirkt, beispielsweise durch ein Bestromen von Zündelementen für Airbags.
Durch die in den abhängigen Ansprüchen aufgeführten Maßnahmen und Weiterbildungen sind vorteilhafte Verbesserungen des in den unabhängigen Patentansprüchen angegebenen Steuergeräts bzw. Verfahrens zur Ansteuerung von Personenschutzmitteln für ein Fahrzeug möglich.
Es ist dabei von Vorteil, dass der Testsignalgenerator zur Bereitstellung eines Schlüssels als dem Testsignal konfiguriert ist. D. h. das Testsignal ist dabei ein Schlüssel, mit dem eine Codierung möglich ist, wie es beispielsweise aus der Verschlüsselungstechnologie bekannt ist. Dieser Schlüssel kann dabei fest abgespeichert sein oder er kann aus vorgegebenen Daten berechnet werden. Der Testsignalgenerator beinhaltet dabei dann einen eigenen Speicher oder greift auf einen Speicher zu, bei dem der Schlüssel beispielsweise als Datum abgelegt ist. Es ist weiterhin vorteilhaft, dass das Verknüpfungsmodul als Codierer ausgebildet ist, wobei der Codierer das wenigstens eine Sensorsignal mit dem Schlüssel zu dem Prüfsignal codiert und dass dann ein Decodierer zur Decodierung des Prüfsignals dem Safety-Controller zugeordnet ist. Bei dem Codierer handelt es sich dabei dann um ein Modul, das die entsprechende
Rechnung, also die Verschlüsselung ausführt bzw. Codierung und bei dem Decodierer um einen entsprechenden Rechner, der das Sensorsignal von der Verschlüsselung wieder befreit. Der Decodierer ist nicht Teil der Auswerteschaltung, sondern beispielsweise, wie unten angegeben, Teil des System-ASICs.
Darüber hinaus ist es von Vorteil, dass die Schnittstelle ein Redundanzmodul aufweist, das dem wenigstens einen Sensorsignal Redundanz zufügt und mit dem Verknüpfungsmodul entsprechend verbunden ist. Dabei wird dann das wenigstens eine Sensorsignal mit Redundanz versehen, so dass eine entsprechende Korrektur beispielsweise vorgenommen werden kann. Dafür kann ein Prüfsummencheck verwendet werden. Das so mit einer Prüfsumme versehene Sensorsignal wird dann in dem Verknüpfungsmodul für die Codierung beispielsweise zugeführt.
Es ist weiterhin vorteilhaft, dass dem Decodierer ein Prüfmodul nachgeordnet ist, dass anhand dieser Redundanz das Sensorsignal auf Integrität prüft und gegebenenfalls korrigiert.
Die Auswerteschaltung kann vorzugsweise als Prozessor ausgebildet sein, wie es bereits oben angegeben ist. Dieser Prozessor besteht üblicherweise aus einem einzigen Halbleitersubstrat. Auf diesem Halbleitersubstrat sind dann in Silizium die entsprechenden Funktionen realisiert.
Der Testsignalgenerator, der Decodierer, das Prüfmodul und der Safety-
Controller sowie die Ansteuerschaltung können vorteilhafter Weise auf einem einzigen integrierten Schaltkreis angeordnet sein und bilden so beispielsweise in Verbindung mit anderen Funktionen den System-ASIC. Damit ist eine kostengünstige Realisierung dieser Funktionen möglich. Ausführungsbeispiele sind in der Zeichnung dargestellt und werden in der nachfolgenden Beschreibung näher erläutert.
Es zeigen
Fig. 1 ein Blockschaltbild des erfindungsgemäßen Steuergeräts mit angeschlossenen Komponenten im Fahrzeug,
Fig. 2 ein Blockschaltbild einer erfindungsgemäß relevanten Signalverarbeitung und
Fig. 3 ein Flussdiagramm des erfindungsgemäßen Verfahrens.
Fig. 1 zeigt in einem Blockschaltbild das erfindungsgemäße Steuergerät ECU in Verbindung mit angeschlossenen Geräten DCU und PS im Fahrzeug FZ.
Vorliegend sind nur die für das Verständnis der Erfindung wesentlichen Komponenten dargestellt. Andere, für den Betrieb des Steuergeräts ECU notwendige Komponenten sind der Einfachheit halber weggelassen worden, weil sie nicht wesentlich zum Verständnis der Erfindung beitragen.
Ein Sensorsteuergerät DCU überträgt Sensorsignale bzw. -daten, beispielsweise über einen Bus an das Steuergerät ECU und dabei direkt an den Mikrocontroller μC. Als Bus wird vorliegend der Flexray-Standard verwendet. Es ist möglich einen anderen Standard zu implementieren.
Der Mikrocontroller μC weist selbst eine Schnittstelle R auf, um die Sensordaten des Sensorsteuergeräts DCU empfangen zu können. Diese Schnittstelle R ist in der Lage, die Nutzdaten aus dem Übertragungsrahmen, der für die Busübertragung verwendet wurde, zu entnehmen und an die weiteren Module im Mikrocontroller μC weiterzugeben.
Anstatt eines Sensorsteuergeräts DCU, das verschiedenste für die Funktion des Personenschutzes notwendige Sensoren beinhaltet, können auch andere Aufbauten, beispielsweise Sensorcluster oder Einzelsensoren vorgesehen sein. Die Sensordaten werden einerseits dem Auswertemodul A zugeführt und andererseits dem Verknüpfungsmodul C.
Das Auswertemodul A wendet den Auswertealgorithmus an das Sensorsignal an. Dabei kommen die verschiedensten Signalverarbeitungsmethoden zum Einsatz.
Insbesondere werden Schwellwertvergleiche durchgeführt. Diese Schwellwerte können auch in Abhängigkeit von weiteren Größen verändert werden. Werden die relevanten Ansteuerungsschwellen überschritten, dann wird die erste Ansteuerungsentscheidung durch das Auswertemodul A gebildet und an die Ansteuerungsschaltung FLIC übertragen.
Die Sensordaten werden auch vom Verknüpfungsmodul C verarbeitet, und zwar indem sie mit dem Testsignal vom Testsignalgenerator TG miteinander verknüpft werden. Diese Verknüpfung ist vorliegend als eine Verschlüsselung oder eine bloße Hinzufügung des Schlüssels zu dem Sensorsignal ausgeführt, da das
Testsignal als ein Schlüssel ausgebildet ist. Damit ist das Verknüpfungsmodul C als Codierer ausgebildet. Der Testsignalgenerator TG ist im System-ASIC angeordnet, in dem auch ein Decodierer D, der Safety-Controller SC und die Ansteuerungsschaltung FLIC angeordnet sind. Die verschlüsselten Daten werden vom Mikrocontroller μC über das Verknüpfungsmodul C zu dem
Decodierer D auf dem System-ASIC SA übertragen. Der Decodierer D prüft nun, ob der Schlüssel noch so ist, wie ihn der Testsignalgenerator TG ursprünglich an den Codierer C übertragen hat. Dazu wird der Schlüssel vom Testsignalgenerator, dem Decodierer D zur Verfügung gestellt, so dass ein einfacher Vergleich möglich ist. Der Decodierer D kann den Schlüssel auch von einem Speicher oder einem anderen Baustein bekommen.
Die Nutzdaten werden dem Safety-Controller SC weitergegeben, damit der Safety-Controller anhand dieses Sensorsignals die zweite Ansteuerungsentscheidung bilden kann. Der Safety-Controller SC wendet für die
Bildung der Ansteuerungsentscheidung ebenfalls wenigstens einen Schwellwertvergleich an, wobei üblicherweise diese Bildung einfacher, d.h. mit weniger Rechenschritten verbunden ist, als dies der Auswertealgorithmus auf dem Mikrocontroller μC ausführt. Diese Ansteuerungsentscheidung wird dann der Ansteuerungsschaltung FLIC übertragen. Die Ansteuerungsschaltung FLIC verknüpft die beiden Ansteuerungsentscheidungen, und nur wenn beide positiv sind, kommt es zur Ansteuerung der Personenschutzmittel PS.
Der Schlüssel wird daher vom Codierer C in das Signal integriert, um damit das Prüfsignal zu bilden. Dabei kann das Signal einfach mit dem Prüfmuster multipliziert und dann im Sicherheitspfad dividiert werden. Allgemein benötigt man eine eindeutig umkehrbare mathematische Operation, d.h. bei der Realisierung würde man in der Signaltheorie eine laufzeitoptimale Variante suchen.
Figur 2 zeigt den relevanten Teil der Erfindung als ein Blockschaltbild. Nutzdaten 200 werden hier durch die Folge 00111001 an den Mikrocontroller 201 und dabei an den Empfänger 203, also die Schnittstelle, übertragen. Der Empfänger 203 fügt den Daten Redundanz hinzu, indem er eine Prüfsumme hinzufügt, was allgemein als CRC Cyclic Redundancy Code bekannt ist. Die Daten ohne diese Prüfsumme werden dem Algorithmus 205 zugeführt, um die erste Ansteuerungsentscheidung zu bilden.
Die Daten mit der Prüfsumme werden dem Codierer 204 zugeführt, wobei vorliegend die Nutzdaten 00111001 um die Prüfsumme 11001 ergänzt sind. Der Codierer 204 erhält vom Testsignalgenerator 206 auf dem System-ASIC 202 den Schlüssel 11000011. Der Codierer 204 integriert diesen Schlüssel zu dem Sensorsignal. Das so entstandene Signal wird dann dem Decodierer 207 übertragen. Der Decodierer 207 ist ebenfalls auf dem System-ASIC 202 angeordnet. Der Decodierer 207 erhält ebenfalls vom Testsignalgenerator 206 den Schlüssel 11000011. Somit kann der Decodierer, indem er den Schlüssel wieder von der übertragenen Nachricht vom Codierer 204 separiert, durch Vergleich erkennen, ob der Schlüssel verändert wurde, beispielsweise durch eine
Fehlfunktion des Mikrocontrollers 201.
Die durch die Decodierung gewonnenen Nutzdaten mit der Redundanz werden einem Prüfmodul 208 zugeführt. Dieses Prüfmodul prüft anhand der Redundanz, ob die Nutzdaten korrekt übertragen wurden. Gegebenenfalls kann eine Fehlerdatenkorrektur erfolgen. Sind die Nutzdaten nicht in Ordnung, endet dort das Verfahren, und es wird keine zweite Ansteuerungsentscheidung gebildet. Sind die Nutzdaten jedoch korrekt oder kann eine Korrektur durchgeführt werden, dann werden die Nutzdaten dem Safety-Controller 209, der ebenfalls auf dem System-ASIC 202 ist, zugeführt. Daran kann dann die zweite
Ansteuerungsentscheidung gebildet werden.
Figur 3 zeigt in einem Flussdiagramm das erfindungsgemäße Verfahren. In Verfahrensschritt 300 wird das Testsignal, beispielsweise der Schlüssel, bereitgestellt. In Verfahrensschritt 301 wird das Sensorsignal beispielsweise über den FlexRay-Bus im Mikrocontroller μC als der Auswerteschaltung bereitgestellt. Das Sensorsignal wird dabei dem Auswertealgorithmus im Verfahrensschritt 302 zugeführt, um die erste Ansteuerungsentscheidung zu bilden. Im Verfahrensschritt 303 wird anhand des Sensorsignals durch das Verknüpfungsmodul ein Prüfsignal mit dem Testsignal gebildet. Dafür kann ein
Codierer verwendet werden. Im Verfahrensschritt 304 wird anhand dieses Prüfsignals durch den Safety-Controller SC die zweite Ansteuerungsentscheidung gebildet. Im Verfahrensschritt 305 wird die erste Ansteuerungsentscheidung und die zweite Ansteuerungsentscheidung miteinander verknüpft, um zu entscheiden, ob die Personenschutzmittel angesteuert werden sollen oder nicht. Danach erfolgt die Ansteuerung der Personenschutzmittel.

Claims

Ansprüche
1. Steuergerät (ECU) zur Ansteuerung von Personenschutzmitteln (PS) für ein Fahrzeug (FZ) mit:
- einem Testsignalgenerator (TG) zur Bereitstellung eines Testsignals, einer Auswerteschaltung (μC), die eine Schnittstelle (R) zur Bereitstellung wenigstens eines Sensorsignals aufweist, wobei die Auswerteschaltung (μC) ein Auswertemodul (A) zur Erzeugung einer ersten Ansteuerungsentscheidung in Abhängigkeit von dem wenigstens einen Sensorsignal aufweist, wobei die
Auswerteschaltung (μC) ein Verknüpfungsmodul (C) zur Erzeugung eines Prüfsignals in Abhängigkeit von einer Verknüpfung des wenigstens einen Sensorsignals mit dem Testsignal aufweist, einem Safety-Controller (SC) zur Bildung einer zweiten Ansteuerungsentscheidung in Abhängigkeit von dem Prüfsignal, einer Ansteuerungsschaltung (FLIC) zur Ansteuerung der Personenschutzmittel (PS) in Abhängigkeit von der ersten und der zweiten Ansteuerungsentscheidung.
2. Steuergerät nach Anspruch 1, dadurch gekennzeichnet, dass der
Testsignalgenerator (TG) zur Bereitstellung eines Schlüssels als dem Testsignal konfiguriert ist.
3. Steuergerät nach Anspruch 2, dadurch gekennzeichnet, dass das Verknüpfungsmodul (C) als Codierer ausgebildet ist, der das wenigstens eine
Sensorsignal mit dem Schlüssel zu dem Prüfsignal codiert und dass ein Decodierer (D) zur Decodierung des Prüfsignals dem Safety-Controller (SC) zugeordnet ist.
4. Steuergerät nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Schnittstelle (R) ein Redundanzmodul aufweist, das dem wenigstens einen Sensorsignal Redundanz zufügt und mit dem Verknüpfungsmodul verbunden ist.
5. Steuergerät nach Anspruch 3 und 4, dadurch gekennzeichnet, dass dem Decodierer (D) ein Prüfmodul nachgeordnet ist, das anhand der Redundanz das Sensorsignal auf Integrität prüft.
6. Steuergerät nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Auswerteschaltung (μC) als Prozessor ausgebildet ist.
7. Steuergerät nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Testsignalgenerator (TG), der Decodierer (D), das
Prüfmodul, der Safety-Controller (SC) und die Ansteuerungsschaltung (FLIC) auf einem einzigen integrierten Schaltkreis angeordnet sind.
8. Verfahren zur Ansteuerung von Personenschutzmitteln (PS) für ein Fahrzeug (FZ) mit folgenden Verfahrensschritten:
Bereitstellen eines Testsignals,
Bereitstellen wenigstens eines Sensorsignals,
Bilden einer ersten Ansteuerungsentscheidung in Abhängigkeit für wenigstens ein Sensorsignal,
Erzeugen eines Prüfsignals in Abhängigkeit von einer Verknüpfung des wenigstens einen Sensorsignals mit dem Testsignal, Bilden einer zweiten Ansteuerungsentscheidung in Abhängigkeit von dem Prüfsignal, - Ansteuern der Personenschutzmittel (PS) in Abhängigkeit von der ersten und der zweiten Ansteuerungsentscheidung.
9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass als das Testsignal ein Schlüssel bereitgestellt wird.
10. Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass das wenigstens eine Sensorsignal mit dem Schlüssel zu dem Prüfsignal codiert wird.
PCT/EP2009/057950 2008-08-19 2009-06-25 Steuergerät und verfahren zur ansteuerung von personenschutzmitteln für ein fahrzeug WO2010020454A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US12/737,733 US20110144866A1 (en) 2008-08-19 2009-06-25 Control unit and method for triggering passenger protection means for a vehicle
EP09779941A EP2315685A1 (de) 2008-08-19 2009-06-25 Steuergerät und verfahren zur ansteuerung von personenschutzmitteln für ein fahrzeug
CN200980132178.9A CN102123888B (zh) 2008-08-19 2009-06-25 用于触发车辆的乘员保护装置的控制装置和控制方法

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102008041339.9 2008-08-19
DE102008041339.9A DE102008041339B4 (de) 2008-08-19 2008-08-19 Steuergerät und Verfahren zur Ansteuerung von Personenschutzmitteln für ein Fahrzeug

Publications (1)

Publication Number Publication Date
WO2010020454A1 true WO2010020454A1 (de) 2010-02-25

Family

ID=41059704

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2009/057950 WO2010020454A1 (de) 2008-08-19 2009-06-25 Steuergerät und verfahren zur ansteuerung von personenschutzmitteln für ein fahrzeug

Country Status (5)

Country Link
US (1) US20110144866A1 (de)
EP (1) EP2315685A1 (de)
CN (1) CN102123888B (de)
DE (1) DE102008041339B4 (de)
WO (1) WO2010020454A1 (de)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006039709A1 (de) * 2006-08-24 2008-02-28 Robert Bosch Gmbh Verfahren zur Übertragung einer Ansteuerungsentscheidung für eine Aktuatorik von einem ersten zu mindestens einem zweiten Steuergerät, erstes Steuergerät für ein Fahrzeug, zweites Steuergerät für ein Fahrzeug, Vorrichtung zur Übertragung von einer Ansteuerungsentscheidung für eine Aktuatorik von einem ersten zu einem zweiten Steuergerät
US8887022B2 (en) * 2011-03-04 2014-11-11 Infineon Technologies Austria Ag Reliable data transmission with reduced bit error rate
DE102011109888B4 (de) * 2011-08-10 2020-01-23 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zum automatischen Erstellen einer ausführbaren Sicherheitsfunktion für ein Gerät
DE102014114316A1 (de) * 2014-10-01 2016-04-07 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Vorrichtung zum Senden und Empfangen eines Sensorsignals
US10671062B2 (en) 2017-04-19 2020-06-02 Infineon Technologies Ag Testing a crash sensor device during vehicle operation
DE102019210706A1 (de) * 2019-07-19 2021-01-21 Robert Bosch Gmbh Steuergerät und Verfahren zur Aktivierung eines Personenschutzmittels eines Fahrzeugs

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19740019A1 (de) * 1997-09-11 1999-03-25 Siemens Ag Einrichtung für den Insassenschutz in einem Kraftfahrzeug
DE102004031010A1 (de) * 2004-06-26 2006-01-12 Conti Temic Microelectronic Gmbh Vorrichtung und Verfahren zur Auslösung eines Insassenschutzsystems in einem Fahrzeug

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004056415A1 (de) 2004-11-23 2006-05-24 Robert Bosch Gmbh Integrierter Schaltkreis

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19740019A1 (de) * 1997-09-11 1999-03-25 Siemens Ag Einrichtung für den Insassenschutz in einem Kraftfahrzeug
DE102004031010A1 (de) * 2004-06-26 2006-01-12 Conti Temic Microelectronic Gmbh Vorrichtung und Verfahren zur Auslösung eines Insassenschutzsystems in einem Fahrzeug

Also Published As

Publication number Publication date
EP2315685A1 (de) 2011-05-04
CN102123888A (zh) 2011-07-13
US20110144866A1 (en) 2011-06-16
DE102008041339A1 (de) 2010-02-25
DE102008041339B4 (de) 2020-06-04
CN102123888B (zh) 2014-05-07

Similar Documents

Publication Publication Date Title
DE102008041339B4 (de) Steuergerät und Verfahren zur Ansteuerung von Personenschutzmitteln für ein Fahrzeug
DE10113917B4 (de) Verfahren und Vorrichtung zur Überwachung von Steuereinheiten
EP1012003B1 (de) Verfahren und vorrichtung zur steuerung der datenübertragung zwischen zwei in einem kraftfahrzeug vorhandenen modulen
DE102008029311A1 (de) Bremsanlage und Verfahren zum Steuern einer Fahrzeugbremse
EP2385433A2 (de) Verfahren und System zur sicheren Datenübertragung
EP1817209A1 (de) Beschleunigungssensor in einem steuerger[t
EP3473512B1 (de) Funktionsmodul, steuereinheit für ein betriebsassistenzsystem und arbeitsvorrichtung
DE102008040145A1 (de) Vorrichtung zur Ansteuerung aller Airbags für ein Fahrzeug, Steuergerät zur Bildung eines Ansteuersignals für alle Airbags für ein Fahrzeug und ein System aus der Vorrichtung und dem Steuergerät
DE19619117A1 (de) Steuersystem, insbesondere für Sicherheitssysteme in Kraftfahrzeugen, und Verfahren zum Austauschen von Informationen in einem Steuersystem
DE102006036861A1 (de) Passagier-Schutzsystem
WO2020053067A1 (de) Steer-by-wire-lenksystem für ein kraftfahrzeug und verfahren zum betreiben eines steer-by-wire-lenksystems für ein kraftfahrzeug
EP3983274A1 (de) Einrichtung und verfahren zum ausführen zumindest einer fahrzeugfunktion für ein fahrzeug
EP2288519A1 (de) Verfahren und steuergerät zur ansteuerung von personenschutzmitteln für ein fahrzeug
DE10350919A1 (de) Steuergerät und Beschleunigungssensorik
DE19651452C2 (de) Airbagsystem
DE102007028767B4 (de) Buskommunikationsschaltung zur sicheren seriellen Übertragung von Daten sowie deren Verwendung
WO2007051792A1 (de) Gemischtsignalschaltkreis für ein elektronisches, abgesichertes steuer- bzw. regelungssystem
DE102019216342B3 (de) Auswertevorrichtung zur fehlertoleranten Auswertung von Sensorsignalen für ein Motorsteuergerät einer Kraftfahrzeuglenkung und Kraftfahrzeuglenkung
EP1568573A1 (de) Verfahren zum Betrieb eines Lenksystems
DE19732764A1 (de) Übertragungseinrichtung für Steuersignale, insbesondere in Fahrzeugen
WO2009074394A1 (de) Verfahren und steuergerät zur ansteuerung von personenschutzmitteln für ein fahrzeug
WO2009106207A1 (de) Sensoranordnung, insbesondere für ein insassenschutzsystem eines kraftfahrzeugs
DE102006030563A1 (de) Sensoreinheit und zugehöriges Schutzsystem für ein Fahrzeug
WO2009068346A1 (de) Steuergerät und verfahren zur ansteuerung von personenschutzmitteln
DE102008040317B4 (de) Steuergerät und Verfahren zur Ansteuerung von Personenschutzmitteln für ein Fahrzeug

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 200980132178.9

Country of ref document: CN

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 09779941

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2009779941

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 12737733

Country of ref document: US