WO2022002913A1 - Elektronische steuereinheit - Google Patents

Elektronische steuereinheit Download PDF

Info

Publication number
WO2022002913A1
WO2022002913A1 PCT/EP2021/067810 EP2021067810W WO2022002913A1 WO 2022002913 A1 WO2022002913 A1 WO 2022002913A1 EP 2021067810 W EP2021067810 W EP 2021067810W WO 2022002913 A1 WO2022002913 A1 WO 2022002913A1
Authority
WO
WIPO (PCT)
Prior art keywords
bus
control unit
microcontroller
electronic control
semiconductor components
Prior art date
Application number
PCT/EP2021/067810
Other languages
English (en)
French (fr)
Inventor
Bernhard Bieg
Alfons Fisch
Andreas Wunderlich
Original Assignee
Vitesco Technologies GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Vitesco Technologies GmbH filed Critical Vitesco Technologies GmbH
Publication of WO2022002913A1 publication Critical patent/WO2022002913A1/de

Links

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/22Safety or indicating devices for abnormal conditions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1637Error detection by comparing the output of redundant processing systems using additional compare functionality in one or some but not all of the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3058Monitoring arrangements for monitoring environmental properties or parameters of the computing system or of the computing system component, e.g. monitoring of power, currents, temperature, humidity, position, vibrations
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • F02D41/266Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue

Definitions

  • the invention relates to an electronic control unit with a microcontroller and at least two integrated semiconductor components that interact with this.
  • Such an electronic control unit is known from DE 102004 020 539 B3.
  • Such known electronic control units are often referred to as "control units” and implemented as electronic components in which various control and / or monitoring functions for electronic or electrical components are combined and are used in a motor vehicle, in particular in an engine control unit or a transmission control unit .
  • microcontroller refers here, for. B. an electronic program-controlled control device, which typically has at least one CPU (Central Processing Unit), a RAM, a ROM and I / O ports, but is very specially designed for use in a motor vehicle, for example an A / D converter, Has timer, etc.
  • CPU Central Processing Unit
  • RAM Random Access Memory
  • ROM Read Only Memory
  • I / O ports a temporary storage device
  • the function of a microcontroller can also be implemented by a hard-wired or application-specific configurable electronic component (e.g. ASIC, FPGA, etc.).
  • the components to be controlled by the control unit can be other components of the vehicle in addition to components that are directly associated with an internal combustion engine, such as a fuel pump, a throttle valve, a fuel injector or a lambda probe.
  • the control unit required for control sensor signals or measured variables are input as input signals, z. B. regarding the crankshaft speed and position, the engine temperature, the inlet air temperature and volume, the accelerator pedal position, etc. This list of the components to be controlled or sensed is by no means exhaustive and only serves to illustrate the multitude of conceivable functions of a control device.
  • a microcontroller or its I / O ports are usually not suitable for direct control of the vehicle components of interest due to the technology involved, these components are usually controlled by assigned output stages, which for this purpose receive corresponding control signals from the microcontroller on the input side - as its output signals - and on the output side provide or control the voltages or currents required for activating and deactivating the components, for example the charging and discharging current of a piezo or magnetically actuated fuel injection valve.
  • the output stages are usually supplied with a digital, so-called release signal, in addition to the control signals, by means of which, depending on the status of the release signal, a blocking ("disable”) or a release ("enable”) of the activation is signaled.
  • This release which is independent of the actual control of the output stage, is given by a release control device.
  • Such a release control device is part of a so-called monitoring unit in known control devices, which monitors the proper operation of the microcontroller in order to take suitable measures in the event of an error, for example to reset the microcontroller and / or one or more of the mentioned release signals by means of the release control device to be set to the release signal state with which each assigned output stage is blocked or switched off.
  • Such a monitoring unit can be integrated in the microcontroller or arranged separately from it.
  • the function of such a monitoring unit is based, for example, on the fact that it gives the microcontroller tasks from time to time and uses the results returned by the microcontroller to determine whether the microcontroller is working correctly or not.
  • monitoring unit exceeds a certain complexity, it makes economic sense in practice to implement this unit (as well as the microcontroller) in a technology different from the output stages, which are mostly power output stages, namely expediently in a low voltage -Technology.
  • the electrical connections, which are provided for the transmission of enable signals to the relevant output stages (switch-off paths), can be designed multiple (redundant) for reasons of increased safety.
  • the ability to switch off output stages using the digital release signals can be checked using a self-test in the inactive system state.
  • any behavior of the electronic components used in the control unit can only be guaranteed within a limited, technology-related operating range. As soon as this area is left, e.g. For example, if there are inadmissibly high voltages (e.g. supply and / or signal voltages) at any point in the system, any configuration of the enable signals is conceivable.
  • the connection pins of a control device are exposed to voltages in the target environment, which are usually outside the operating voltage range specified for the logic circuits of the microcontroller and possibly the monitoring unit and can therefore in principle lead to disruption or even destruction of these circuits.
  • the mentioned monitoring unit also takes on the task of overvoltage detection, the case may arise that the monitored voltage itself exceeds the permissible operating voltage range of the monitoring unit, so that the output stages can no longer be set to the desired, predetermined error state.
  • DE10 2008 004208 A1 discloses, on the problem of the safety of such control units, a device for transferring an apparatus of a motor vehicle to a safe state, which comprises at least two control devices, at least one component required for operating the device being provided, the first control device being designed to depending on a first error state to control the at least one component of the device in such a way that the device assumes the safe state; and the second control device is designed to control the at least one component of the apparatus as a function of a second error state in such a way that the apparatus assumes the safe state.
  • the first control unit can be designed to receive at least one first error signal that indicates the first error state
  • the second control unit can be designed to receive at least one second error signal that indicates the second error state.
  • a test device can be designed to provide the at least one second error signal in the event of a malfunction of the first control device and to provide the at least one first error signal in the event of a malfunction of the second control device.
  • ISO 26262 defines requirements for performing a hazard analysis and risk assessment. To do this, the potential threats to the system must first be identified. This is done by considering the malfunctions of the system under investigation in specific driving situations. Each hazard is then classified with a safety requirement level (ASIL) from A to D or classified as non-safety-relevant QM. Unlike, for example, in IEC 61508, the risk analysis in ISO 26262 is carried out using a fixed, qualitative method. For each identified hazard, the severity of the impact, the frequency of the driving situation and the controllability of the malfunction in the respective driving situation, e.g. B. estimated by the driver will. The QM or ASIL A to D classification for each hazard can then be read from a given table.
  • ASIL safety requirement level
  • an electronic control unit with a microcontroller and at least two integrated semiconductor components interacting with it, in which both the microcontroller and the semiconductor components have monitoring connections that are connected to one another via a serial monitoring bus, in which both the microcontroller and the semiconductor modules are connected to a shutdown bus, through whose activation signal by either the microcontroller or one of the semiconductor modules, the control unit can be brought into a safe state, in which both the microcontroller and the semiconductor modules have control inputs and outputs that all have have a serial control bus as well as system inputs and system outputs, all of which are connected to one another via a serial system bus, and in which both the microcontroller and the semiconductor components are set up ind to process control and system signals on the control bus and the system bus and to check them for plausibility.
  • the semiconductor components are conventional peripheral integrated circuit arrangements used in electronic control units.
  • the microcontroller or a microprocessor takes over control functions in the electronic control unit.
  • Several microcontrollers or microprocessors can also be provided in a multiprocessor or multicontroller system.
  • ASICs, programmable logic FPGAs or CPLDs or an input / output microcontroller programmed for special input / output tasks can be used to generate control signals and read in input signals. These can communicate via a serial interface and, with suitable programming, monitoring signals take over.
  • the semiconductor modules are designed in particular as microcontrollers, microprocessors, FPGAs, CPLDs or ASICs.
  • the monitoring bus can be designed as a serial monitoring interface. Only a few lines are preferably used by the monitoring bus.
  • the transmission speed is preferably adapted to an error reaction time.
  • measures for example securing data with checksums, transaction counters, time-out monitoring
  • the monitoring bus can be designed, for example, as a bidirectional serial bus or as an SPI interface or as a UART interface in multidrop mode or use one.
  • the transmission on the bidirectional serial bus can be secured by suitable measures such as checksums, transaction counters and / or time-out monitoring.
  • the monitoring bus can transmit one or more of the following signals:
  • Safety-relevant input / output signals binary (i.e. a 1: 1 image of the control signals) or coded (i.e. preprocessed signals in order to reduce the amount of data transferred). These can then be cross-checked and / or checked for plausibility by another semiconductor module, for example an ASIC and / or logic module.
  • the control bus can be designed to transmit input / output signals that are generated by the electronic control unit or by the microcontroller and fed to the semiconductor components (for example peripheral components).
  • the semiconductor components for example peripheral components.
  • currents and voltages measured in a power driver are generated by the electronic control unit.
  • In the input / output signals may contain safety-relevant signals.
  • These semiconductor modules (for example peripheral modules) can be configured to exchange the status of these signals via the monitoring interface and then to check and / or check plausibility.
  • the system bus can serve to exchange signals used internally in the electronic control unit to control the peripheral modules.
  • it can be a parallel or serial data bus, for example an 8-bit data bus or a bus for transmitting parallel input / output signals or an SPI bus.
  • Signals on the control bus can be unbuffered counterparts to the output signals, but not always.
  • a serial bus can also be used for transmission to the peripheral module.
  • the control signal is then generated in the semiconductor module (in particular peripheral module). Signals to the semiconductor component (in particular peripheral component) can be transmitted, for example, on the system bus and signals to an actuator or sensor can, for example, be transmitted on the control bus.
  • the shutdown bus transmits, for example, signals for shutting down safety-relevant outputs, for example a relay for shutting down the supply voltage, and / or a disable signal from a power driver.
  • the shutdown bus can be designed redundantly, that is, several shutdown buses can be provided.
  • the semiconductor modules of the electronic control unit also have a monitoring functionality for the microcontroller.
  • a controller with safety objectives can contain a watchdog and voltage monitors and the microcontroller can provide redundant signals.
  • the microcontroller can contain security software to carry out plausibility checks and tests. Provision can also be made to use a second microcontroller or dedicated monitoring module in order to ensure hardware redundancy during monitoring.
  • the safety-relevant information is available in the semiconductor components (for example peripheral components) of the electronic control unit.
  • the semiconductor components for example peripheral components
  • the semiconductor components can exchange the information via a suitable interface.
  • the information is then available to all or more semiconductor components (for example peripheral components).
  • the microcontroller and the semiconductor components are designed to compare input signals on the control bus and to check them for plausibility.
  • the microcontroller as well as the semiconductor modules can be designed to redundantly calculate and compare output signals and to check them for plausibility and to apply them to the control bus.
  • the electronic control unit also has at least one monitoring module which is connected to the monitoring bus, the control bus and the system bus and is set up to put the control unit in a safe state if discrepancies are detected in the plausibility checks.
  • the electronic control unit can be used, for example, as a control unit, in particular an engine control unit or transmission control unit, in a motor vehicle, in particular to control a fuel pump, a throttle valve, a fuel injector or a lambda probe.
  • a control unit in particular an engine control unit or transmission control unit
  • a fuel pump in particular to control a fuel pump, a throttle valve, a fuel injector or a lambda probe.
  • the figure shows an electronic control unit 1 with a microcontroller 2 and at least two integrated semiconductor components 3 interacting with it.
  • Both the microcontroller 2 and the semiconductor components 3 have monitoring connections 4 which are connected to one another via a serial monitoring bus 5.
  • both the microcontroller 2 and the semiconductor modules 3 are connected to a shutdown bus 6, the activation of which by either the microcontroller 2 or one of the semiconductor modules 3 can bring the control unit 1 into a safe state.
  • Both the microcontroller 2 and the semiconductor modules 3 also have control inputs and outputs, all of which have a serial control bus 7, and system inputs and system outputs which are all connected to one another via a serial system bus 8.
  • Both the microcontroller 2 and the semiconductor modules 3 are set up to process control and system signals on the control bus 7 and the system bus 8 and to check them for plausibility.
  • the semiconductor modules 3 can advantageously also have a monitoring functionality for the microcontroller 2.
  • the microcontroller 2 and also the semiconductor modules 3 can be designed to compare input signals on the control bus 7 and check them for plausibility.
  • both the microcontroller 2 and the semiconductor modules 3 can be designed to redundantly calculate and compare and plausibility check output signals and to apply them to the control bus 7.
  • the electronic control unit 1 also has at least one monitoring module 9, which is connected to the monitoring bus 5, the control bus 7 and the system bus 8 and is set up to transfer the control unit 1 to a safe one if discrepancies are detected in the plausibility checks To move state.
  • the Monitoring module 9 can exist as an independent component, or a monitoring module 9 can be integrated into at least one of the semiconductor modules 3.
  • FIG. 2 is a schematic view of an arrangement comprising a microcontroller 2, a semiconductor module 3, for example a peripheral module, as well as a load 11 (for example an actuator) and a sensor 12.
  • the semiconductor module 3 is connected to the microcontroller 2 via a system bus 8 and connected to the load 11 and the sensor 12 via a control bus 7.
  • the system bus 8 can have an address bus 8.1, a data bus 8.2 and control lines 8.3 and 8.4, for example Chipselect CS and Read / Write RD / WR.
  • the system bus 8 can be, for example, a serial bus, in particular SPI, or a discrete parallel input / output bus.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Combustion & Propulsion (AREA)
  • Chemical & Material Sciences (AREA)
  • Mechanical Engineering (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Hardware Design (AREA)
  • Mathematical Physics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Die Erfindung betrifft eine elektronische Steuereinheit (1) mit einem Mikrocontroller (2) und zumindest zwei mit diesem zusammenwirkenden integrierten Halbleiterbausteinen (3) mit den Merkmalen: sowohl der Mikrocontroller (2) als auch die Halbleiterbausteine (3) weisen Überwachungs-Anschlüsse (4) auf, die über einen seriellen Überwachungsbus (5) miteinander verbunden sind, sowohl der Mikrocontroller (2) als auch die Halbleiterbausteine (3) sind mit einem Abschaltbus (6) verbunden, durch dessen Beaufschlagung mit einem Aktivierungssignal durch entweder den Mikrocontroller (2) oder einen der Halbleiterbausteine (3) die Steuereinheit (1) in einen sicheren Zustand gebracht werden kann, sowohl der Mikrocontroller (2) als auch die Halbleiterbausteine (3) weisen Ansteuerein- und Ansteuerausgänge auf, die alle über einen seriellen Ansteuerbus (7), sowie Systemein- und Systemausgänge auf, die alle über einen seriellen Systembus (8) miteinander verbunden sind, sowohl der Mikrocontroller (2) als auch die Halbleiterbausteine (3) sind eingerichtet, Ansteuer- und Systemsignale auf dem Ansteuerbus (7) und dem Systembus (8) zu verarbeiten und zu plausibilisieren.

Description

Beschreibung
Elektronische Steuereinheit
Die Erfindung betrifft eine elektronische Steuereinheit mit einem Mikrocontroller und zumindest zwei mit diesem zusammenwirkenden integrierten Halbleiterbausteinen.
Eine solche elektronische Steuereinheit ist aus der DE 102004 020 539 B3 bekannt. Solche bekannten elektronischen Steuereinheiten werden häufig als "Steuergerät" bezeichnet und als elektronische Baueinheit realisiert, in welcher vielfältige Steuer- und/oder Überwachungsfunktionen für elektronische bzw. elektrische Komponenten zusammengefasst sind und zur Anwendung in einem Kraftfahrzeug, insbesondere in einem Motorsteuergerät oder einem Getriebesteuergerät, dienen.
Die in der Vergangenheit stetig gestiegenen Anforderungen hinsichtlich der Funktionalitäten solcher Steuereinheiten haben dazu geführt, dass die gewünschten Funktionen heutzutage größtenteils durch Einsatz eines Mikrocontrollers implementiert werden. Der Begriff "Mikrocontroller" bezeichnet hierbei z. B. eine elektronische programmgesteuerte Steuereinrichtung, die typischerweise zumindest eine CPU (Central Processing Unit), ein RAM, ein ROM und I/O-Ports aufweist, jedoch bei einer Anwendung in einem Kraftfahrzeug sehr speziell ausgelegt ist, beispielsweise A/D-Wandler, Timer usw. aufweist. Alternativ kann die Funktion eines Mikrocontrollers auch durch eine festverdrahtete oder anwendungsspezifisch konfigurierbare elektronische Komponente (z. B. ASIC, FPGA etc.) implementiert sein.
Bei den von der Steuereinheit zu steuernden Komponenten kann es sich neben unmittelbar einer Brennkraftmaschine zuzuordnenden Komponenten wie einer Kraftstoffpumpe, einem Drosselklappenventil, einem Kraftstoffinjektor oder einer Lambdasonde auch um andere Komponenten des Fahrzeugs handeln. Eingangsseitig werden der Steuereinheit zur Steuerung benötigte Sensorsignale bzw. Messgrößen als Eingangssignale eingegeben, z. B. betreffend die Kurbelwellendrehgeschwindigkeit und -Stellung, die Motortemperatur, die Einlasslufttemperatur und -menge, die Fahrpedalstellung etc. Diese Aufzählung der zu steuernden bzw. sensierenden Komponenten ist keineswegs abschließend und dient lediglich der Veranschaulichung der Vielzahl denkbarer Funktionen einer Steuereinrichtung. Da ein Mikrocontroller bzw. dessen I/O-Ports technologiebedingt zumeist nicht zur direkten Ansteuerung der hier interessierenden Fahrzeugkomponenten geeignet sind, werden diese Komponenten üblicherweise durch zugeordnete Endstufen gesteuert, welche zu diesem Zweck eingangsseitig entsprechende Steuersignale des Mikrocontrollers -als dessen Ausgangssignale - erhalten und ausgangsseitig die zur Aktivierung und Deaktivierung der Komponenten erforderlichen Spannungen oder Ströme bereitstellen oder steuern, beispielsweise den Lade- und Entladestrom eines piezo- oder magnetisch betätigten Kraftstoffeinspritzventils.
Insbesondere im Hinblick auf die sicherheitskritischen Funktionen wird den Endstufen üblicherweise neben den Steuersignalen auch ein digitales, so genanntes Freigabesignal zugeführt, mittels welchem je nach Freigabesignalzustand eine Sperrung ("Disable" ) oder eine Freigabe ("Enable") der Aktivierung signalisiert wird. Diese von der eigentlichen Ansteuerung der Endstufe unabhängige Freigabe wird hierbei von einer Freigabesteuereinrichtung gegeben.
Eine solche Freigabesteuereinrichtung ist bei bekannten Steuereinrichtungen Teil einer so genannten Überwachungseinheit, welche den ordnungsgemäßen Betrieb des Mikrocontrollers überwacht, um im Falle eines Fehlers geeignete Maßnahmen zu treffen, beispielsweise den Mikrocontroller zurückzusetzen (Reset) und/oder mittels der Freigabesteuereinrichtung ein oder mehrere der erwähnten Freigabesignale auf denjenigen Freigabesignalzustand zu setzen, mit welchem jede zugeordnete Endstufe gesperrt bzw. abgeschaltet wird.
Eine solche Überwachungseinheit, oftmals als "Watchdog" bezeichnet, kann hierbei im Mikrocontroller integriert oder separat von diesem angeordnet sein. Die Funktion einer solchen Überwachungseinheit beruht beispielsweise darauf, dass diese dem Mikrocontroller von Zeit zu Zeit Aufgaben stellt und anhand der vom Mikrocontroller zurückgelieferten Resultate feststellt, ob der Mikrocontroller korrekt arbeitet oder nicht.
Wenn eine solche Überwachungseinheit eine gewisse Komplexität übersteigt, so ist es in der Praxis wirtschaftlich sinnvoll, diese Einheit (wie auch den Mikrocontroller) in einer von den Endstufen, bei denen es sich zumeist um Leistungsendstufen handelt, verschiedenen Technologie auszuführen, nämlich zweckmäßigerweise in einer Niedervolt-Technologie. Die elektrischen Verbindungen, welche zur Übertragung von Freigabesignalen zu den relevanten Endstufen vorgesehen sind (Abschaltpfade), können aus Gründen erhöhter Sicherheit mehrfach (redundant) ausgelegt werden. Ferner kann die Fähigkeit zur Abschaltung von Endstufen mittels der digitalen Freigabesignale anhand eines Selbsttests im inaktiven Systemzustand überprüft werden.
Wenn im Betrieb der Steuereinheit ein Fehler auftritt, der durch die Überwachungseinheit erkannt werden sollte, und Endstufen mittels des digitalen Freigabesignals in einen als "sicher" definierten Zustand überführt werden sollten, so ergeben sich bei den bekannten Steuereinheiten in der Praxis im Falle von Überspannungen jedoch Unzulänglichkeiten.
Jegliches Verhalten der in der Steuereinheit verwendeten elektronischen Bauteile kann nur innerhalb eines begrenzten, technologiebedingten Betriebsbereiches garantiert werden. Sobald dieser Bereich verlassen wird, z. B. bei Vorliegen unzulässig hoher Spannungen (z. B. Versorgungs- und/oder Signalspannungen) an irgendeiner Stelle des Systems, ist jede beliebige Konfiguration der Freigabesignale vorstellbar. Die Anschlusspins eines Steuergeräts sind in der Zielumgebung Spannungen ausgesetzt, die sich in der Regel außerhalb des für die Logikschaltkreise des Mikrocontrollers und ggf. der Überwachungseinheit spezifizierten Betriebsspannungsbereichs befinden und daher prinzipiell zur Störung oder sogar Zerstörung dieser Schaltkreise führen können.
Wenn die erwähnte Überwachungseinheit auch die Aufgabe einer Überspannungserkennung übernimmt, so kann der Fall eintreten, dass die überwachte Spannung selbst den zulässigen Betriebsspannungsbereich der Überwachungseinheit überschreitet, so dass ein Versetzen der Endstufen in den gewünschten vorbestimmten Fehlerfallzustand nicht mehr gewährleistet werden kann.
Beispielsweise kann es Vorkommen, dass im Überspannungsfall ein Freigabesignal deshalb nicht in den eine Sperrung der zugeordneten Endstufe bewirkenden Disable-Zustand überführt wird, weil die Überspannung die ordnungsgemäße Funktion der Überwachungseinheit bzw. deren Freigabesteuereinrichtung selbst beeinträchtigt.
Außerdem kann ein Überschreiten der zulässigen Spannungen an den Schaltkreisen des Steuergeräts, welche in einer Niedervolt-Technologie (z. B. 5V und/oder 3,3V) implementiert sind, auf Grund der hohen Sensibilität dieser Schaltkreise zu einer Undefinierten Anzahl an Folgefehlern führen.
Zur Lösung dieses Problems der oftmals unzulänglichen Sicherheit im Falle einer Überspannung ist es zwar denkbar, den Mikrocontroller und/oder die Überwachungseinheit robuster auszuführen. Solche Lösungen wären jedoch sehr teuer.
Die DE10 2008 004208 A1 offenbart zum Problem der Sicherheit solcher Steuereinheiten eine Einrichtung zum Überführen eines Apparats eines Kraftfahrzeugs in einen sicheren Zustand welche wenigstens zwei Steuergeräte umfasst, wobei mindestens eine zum Betrieb des Apparats erforderliche Komponente vorgesehen ist, wobei das erste Steuergerät ausgebildet ist, um abhängig von einem ersten Fehlerzustand die mindestens eine Komponente des Apparats so anzusteuern, dass der Apparat den sicheren Zustand einnimmt; und das zweite Steuergerät ausgebildet ist, um abhängig von einem zweiten Fehlerzustand die mindestens eine Komponente des Apparats so anzusteuern, dass der Apparat den sicheren Zustand einnimmt. Das erste Steuergerät kann dabei ausgebildet sein, mindestens ein erstes Fehlersignal zu empfangen, das den ersten Fehlerzustand anzeigt, wobei das zweite Steuergerät ausgebildet sein kann, mindestens ein zweites Fehlersignal zu empfangen, das den zweiten Fehlerzustand anzeigt. Eine Prüfeinrichtung kann ausgebildet sein, bei einer Fehlfunktion des ersten Steuergeräts das mindestens eine zweite Fehlersignal bereitzustellen, und bei einer Fehlfunktion des zweiten Steuergeräts das mindestens eine erste Fehlersignal bereitzustellen.
In der ISO 26262 sind Anforderungen bezüglich der Durchführung einer Gefährdungsanalyse und Risikoabschätzung definiert. Dazu müssen zunächst die potentiellen Gefährdungen des Systems identifiziert werden. Dies geschieht durch Betrachtung der Fehlfunktionen des untersuchten Systems in spezifischen Fahrsituationen. Anschließend wird jede Gefährdung mit einer Sicherheitsanforderungsstufe (ASIL) von A bis D klassifiziert oder als nicht sicherheitsrelevant QM eingeordnet. Anders als zum Beispiel in der IEC 61508 geschieht die Risikoanalyse in der ISO 26262 mittels einer festgelegten, qualitativen Methodik. Dazu muss für jede identifizierte Gefährdung einzeln die Schwere der Auswirkung, die Häufigkeit der Fahrsituation und die Beherrschbarkeit der Fehlfunktion in der jeweiligen Fahrsituation z. B. durch den Fahrer abgeschätzt werden. Aus einer vorgegebenen Tabelle lässt sich dann für jede Gefährdung die Einstufung QM oder ASIL A bis D ablesen.
Es ist die Aufgabe der Erfindung, eine elektronische Steuereinheit anzugeben, die auch für höhere ASIL-Level geeignet ist.
Die Aufgabe wird gelöst durch eine elektronische Steuereinheit mit einem Mikrocontroller und zumindest zwei mit diesem zusammenwirkenden integrierten Halbleiterbausteinen, bei der sowohl der Mikrocontroller als auch die Halbleiterbausteine Überwachungs-Anschlüsse aufweisen, die über einen seriellen Überwachungsbus miteinander verbunden sind, bei der sowohl der Mikrocontroller als auch die Halbleiterbausteine mit einem Abschaltbus verbunden sind, durch dessen Beaufschlagung mit einem Aktivierungssignal durch entweder den Mikrocontroller oder einen der Halbleiterbausteine die Steuereinheit in einen sicheren Zustand gebracht werden kann, bei der sowohl der Mikrocontroller als auch die Halbleiterbausteine Ansteuerein- und Ansteuerausgänge aufweisen, die alle über einen seriellen Ansteuerbus, sowie Systemein- und Systemausgänge aufweisen, die alle über einen seriellen Systembus miteinander verbunden sind, und bei der sowohl der Mikrocontroller als auch die Halbleiterbausteine eingerichtet sind, Ansteuer- und Systemsignale auf dem Ansteuerbus und dem Systembus zu verarbeiten und zu plausibilisieren.
Hierdurch ist es in vorteilhafter Weise möglich, dass sowohl der Mikrocontroller als auch die Halbleiterbauteile über alle wesentlichen, möglicherweise sicherheitsrelevanten Informationen verfügen und eine Sicherheitsabschaltung oder eine sonstige Maßnahme, um die Steuereinheit in einen sicheren Zustand zu versetzen, durchführen können. Die Halbleiterbauteile sind dabei übliche, in elektronischen Steuereinheiten benutzte periphere integrierte Schaltungsanordnungen.
Der Microcontroller oder ein Microprozessor übernimmt Steuerfunktionen in der elektronischen Steuereinheit. In einem Multiprozessor- oder Multicontrollersystem können auch mehrere Microcontroller oder Microprozessoren vorgesehen sein. Zum Erzeugen von Ansteuersignalen und Einlesen von Eingangssignalen können beispielsweise ASICs, programmierbare Logik-FPGAs oder CPLDs oder auch ein Ein-/Ausgabe-Microcontroller, der für spezielle Ein/Ausgabe-Aufgaben programmiert ist, verwendet werden. Diese können über eine serielle Schnittstelle kommunizieren und bei geeigneter Programmierung Überwachungssignale übernehmen. Die Halbleiterbausteine sind insbesondere als Microcontroller, Microprozessoren, FPGAs, CPLDs oder ASICs ausgebildet.
Der Überwachungsbus kann als eine serielle Überwachungsschnittstelle ausgebildet sein. Bevorzugt werden vom Überwachungsbus lediglich wenige Leitungen verwendet. Die Übertragungsgeschwindigkeit ist vorzugsweise an eine Fehlerreaktionszeit angepasst. Zusätzlich können Maßnahmen (beispielsweise Absicherung von Daten mit Prüfsumme, Transaction Counter, Time-Out-Überwachung) getroffen werden, um angestrebte Sicherheits-Ziele zu erreichen. Der Überwachungsbus kann zum Beispiel als ein bidirektionaler serieller Bus oder als eine SPI Schnittstelle oder als eine UART Schnittstelle im Multidrop Mode ausgebildet sein oder eine solche verwenden. Die Übertragung auf dem bidirektionalen seriellen Bus kann durch geeignete Maßnahmen wie beispielsweise Prüfsummen, Transaction Counter und/oder Time-Out-Überwachung abgesichert werden. Der Überwachungsbus kann beispielsweise ein oder mehrere der folgenden Signale übertragen:
- Sicherheitsrelevante Ein/Ausgabe-Signale binär (das heißt ein 1 :1 -Abbild der Ansteuersignale) oder kodiert (das heißt vorverarbeitete Signale, um die übertragene Datenmenge zu reduzieren). Diese können dann von einem anderen Halbleiterbaustein, beispielsweise einem ASIC, und/oder Logikbaustein gegengeprüft und/oder plausibilisiert werden.
- Spannungen und Ströme, die für die korrekte Funktion der elektronischen Steuereinheit überwacht werden sollen.
- Prüfsummen, beispielsweise um die Integrität von Speicherbereichen zu prüfen.
- Frage-Antwort Kommunikation zwischen Halbleiterbausteinen (beispielsweise einem Peripherie-Bausteinen) oder zwischen dem Microcontroller und einem Halbleiterbaustein (beispielsweise einem Peripherie-Baustein), um die korrekte Funktion zu prüfen.
- Spezielle Signale (beispielsweise Frage-Antwort Kommunikation wie oben erwähnt) mit zeitgerechter Übertragung, um einen Watchdog, beispielsweise einen Window-Watchdog, zu implementieren.
-Versorgungsspannungen, die auf Über-/Unterspannung überwacht werden sollen.
Der Ansteuerbus kann zur Übertragung von Ein-/Ausgabesignalen ausgebildet sein, die von der elektronischen Steuereinheit oder vom Microcontroller erzeugt und den Halbleiterbausteinen (beispielsweise Peripheriebausteinen) zugeführt werden. Insbesondere in einem Leistungstreiber gemessene Ströme und Spannungen werden von der elektronischen Steuereinheit erzeugt. In den Ein-/Ausgabesignalen können sicherheitsrelevante Signale enthalten sein. Diese Halbleiterbausteine (beispielsweise Peripheriebausteine) können dazu konfiguriert sein, über die Überwachungsschnittstelle den Zustand dieser Signale auszutauschen und anschließend gegenzuprüfen und/oder zu plausibilisieren.
Der Systembus kann zum Austausch von in der elektronischen Steuereinheit intern verwendeten Signalen zur Ansteuerung der Peripheriebausteine dienen. Es kann sich beispielsweise um einen parallelen oder seriellen Datenbus, beispielsweise einen 8Bit-Datenbus oder einen Bus zur Übertragung paralleler Ein-/Ausgabesignale oder einen SPI-Bus handeln. Signale auf dem Ansteuerbus können ungepufferte Pendants zu den Ausgangssignalen sein, jedoch nicht immer. Beispielsweise kann auch ein serieller Bus zur Übertragung zum Peripheriebaustein genutzt werden. Das Ansteuersignal wird dann im Halbleiterbaustein (insbesondere Peripheriebaustein) erzeugt. Signale zum Halbleiterbaustein (insbesondere Peripheriebaustein) können beispielsweise auf dem Systembus übertragen werden und Signale zu einem Aktuator oder Sensor können beispielsweise auf dem Ansteuerbus übertragen werden.
Der Abschaltbus überträgt beispielsweise Signale zur Abschaltung sicherheitsrelevanter Ausgänge, beispielsweise ein Relais zum Abschalten der Versorgungsspannung, und/oder ein Disable-Signal eines Leistungstreibers. Der Abschaltbus kann redundant ausgelegt werden, das heißt, es können mehrere Abschaltbusse vorgesehen sein.
In einer vorteilhaften Ausführung weisen die Halbleiterbausteine der elektronischen Steuereinheit auch eine Überwachungsfunktionalität für den Mikrocontroller aufweisen.
Sie können damit neben einer herkömmlichen Überwachungsschaltung - oft als Watchdog bezeichnet - die ordnungsgemäße Funktion des Mikrocontrollers überprüfen und diesen ggf. zurücksetzen oder abschalten.
Üblicherweise kann eine Steuerung mit Sicherheitszielen einen Watchdog und Spannungsmonitore enthalten und der Microcontroller kann Signale redundant einiesen. Zusätzlich kann der Mikrocontroller eine Sicherheitssoftware enthalten, um Plausibilisierungen und Prüfungen vorzunehmen. Es kann auch vorgesehen sein, einen zweiten Microcontroller oder dedizierten Überwachungsbaustein einzusetzen, um Hardwareredundanz bei der Überwachung sicherzustellen. Im vorliegenden Ansatz wird ausgenutzt, dass die sicherheitsrelevanten Informationen in den Halbleiterbausteinen (beispielsweise Peripheriebausteinen) der elektronischen Steuereinheit vorhanden sind. Die Halbleiterbausteine (beispielsweise Peripheriebausteine) können die Informationen über eine geeignete Schnittstelle austauschen. Die Information steht dann allen oder mehreren Halbleiterbausteinen (beispielsweise Peripheriebausteinen) zur Verfügung. Diese können somit eine verbesserte, redundante Überwachung mit minimaler Leiterplatten-Fläche und maximaler Parallelität realisieren. Es ist damit möglich, zusätzliche Bausteine wie Watchdog, Spannungsmonitore und bestenfalls auch einen Überwachungs-Microcontroller einzusparen.
In einer vorteilhaften Ausbildung der Erfindung sind der Mikrocontroller als auch die Halbleiterbausteine ausgebildet, Eingangssignale auf dem Ansteuerbus zu vergleichen und zu plausibilisieren.
Damit werden Eingangssignale nicht nur in einer Schaltungseinrichtung, wie beispielsweise dem Mikrocontroller, überprüft oder verarbeitet, sondern auch in den Halbleiterbausteinen, die dafür entsprechend ausgebildet sein müssen, also entsprechende Hardware- und/oder Softwareausrüstung aufweisen müssen.
In entsprechender Weise können der Mikrocontroller als auch die Halbleiterbausteine ausgebildet sein, Ausgangssignale redundant zu berechnen und zu vergleichen und zu plausibilisieren und an den Ansteuerbus anzulegen.
In einer weiteren vorteilhaften Ausbildung der elektronischen Steuereinheit weist diese außerdem zumindest einen Überwachungsbaustein auf, der mit dem Überwachungsbus, dem Ansteuerbus, sowie dem Systembus verbunden ist und eingerichtet ist, die Steuereinheit bei erkannten Unstimmigkeiten bei den Plausibilisierungsvorgängen in einen sicheren Zustand zu versetzen.
Die elektronische Steuereinheit kann beispielsweise als Steuereinheit, insbesondere Motorsteuereinheit oder Getriebesteuereienheit, in einem Kraftfahrzeug verwendet werden, insbesondere zum Steuern einer Kraftstoffpumpe, eines Drosselklappenventils, eines Kraftstoffinjektors oder einer Lambdasonde. Die Erfindung soll nachfolgend anhand eines Ausführungsbeispiels mit Hilfe einer Figur näher erläutert werden.
Die Figur zeigt eine elektronische Steuereinheit 1 m it einem Mikrocontroller 2 und zumindest zwei mit diesem zusammenwirkenden integrierten Halbleiterbausteinen 3. Sowohl der Mikrocontroller 2 als auch die Halbleiterbausteine 3 weisen Überwachungs-Anschlüsse 4 auf, die über einen seriellen Überwachungsbus 5 miteinander verbunden sind. Außerdem sind sowohl der Mikrocontroller 2 als auch die Halbleiterbausteine 3 mit einem Abschaltbus 6 verbunden, durch dessen Beaufschlagung mit einem Aktivierungssignal durch entweder den Mikrocontroller 2 oder einen der Halbleiterbausteine 3 die Steuereinheit 1 in einen sicheren Zustand gebracht werden kann.
Sowohl der Mikrocontroller 2 als auch die Halbleiterbausteine 3 weisen zudem Ansteuerein- und Ansteuerausgänge, die alle über einen seriellen Ansteuerbus 7, sowie Systemein- und Systemausgänge auf, die alle über einen seriellen Systembus 8 miteinander verbunden sind.
Sowohl der Mikrocontroller 2 als auch die Halbleiterbausteine 3 sind eingerichtet, Ansteuer- und Systemsignale auf dem Ansteuerbus 7 und dem Systembus 8 zu verarbeiten und zu plausibilisieren.
In vorteilhafter Weise können die Halbleiterbausteine 3 auch eine Überwachungsfunktionalität für den Mikrocontroller 2 aufweisen.
In einer vorteilhaften Ausführung der elektronische Steuereinheit 1 können der Mikrocontroller 2 als auch die Halbleiterbausteine 3 ausgebildet sein, Eingangssignale auf dem Ansteuerbus 7 zu vergleichen und zu plausibilisieren.
Außerdem können sowohl der Mikrocontroller 2 als auch die Halbleiterbausteine 3 ausgebildet sein, Ausgangssignale redundant zu berechnen und zu vergleichen und zu plausibilisieren und an den Ansteuerbus 7 anzulegen.
Im Ausführungsbeispiel der Fig. 1 weist die elektronische Steuereinheit 1 außerdem zumindest einen Überwachungsbaustein 9 auf, der mit dem Überwachungsbus 5, dem Ansteuerbus 7, sowie dem Systembus 8 verbunden ist und eingerichtet ist, die Steuereinheit 1 bei erkannten Unstimmigkeiten bei den Plausibilisierungsvorgängen in einen sicheren Zustand zu versetzen. Der Überwachungsbaustein 9 kann als eigenständiges Bauteil existieren oder es kann ein Überwachungsbaustein 9 in mindestens einen der Halbleiterbausteine 3 integriert sein. Figur 2 ist eine schematische Ansicht einer Anordnung, umfassend einen Microcontroller 2, einen Halbleiterbaustein 3, beispielsweise einen Peripheriebaustein, sowie eine Last 11 (beispielsweise einen Aktor) und einen Sensor 12. Der Halbleiterbaustein 3 ist über einen Systembus 8 mit dem Microcontroller 2 verbunden und über einen Ansteuerbus 7 mit der Last 11 und dem Sensor 12 verbunden. Der Systembus 8 kann einen Adressbus 8.1 , einen Datenbus 8.2 sowie Steuerleitungen 8.3 und 8.4, beispielsweise Chipselect CS und Read/Write RD/WR, aufweisen. Der Systembus 8 kann beispielsweise ein serieller Bus, insbesondere SPI, oder ein diskreter paralleler Ein-/Ausgabebus sein.

Claims

Patentansprüche
1 . Elektronische Steuereinheit (1 ) mit einem Mikrocontroller (2) und zumindest zwei mit diesem zusammenwirkenden integrierten Halbleiterbausteinen (3) mit den Merkmalen: sowohl der Mikrocontroller (2) als auch die Halbleiterbausteine (3) weisen Überwachungs-Anschlüsse (4) auf, die über einen seriellen Überwachungsbus (5) miteinander verbunden sind, sowohl der Mikrocontroller (2) als auch die Halbleiterbausteine (3) sind mit einem Abschaltbus (6) verbunden, durch dessen Beaufschlagung mit einem Aktivierungssignal durch entweder den Mikrocontroller (2) oder einen der Halbleiterbausteine (3) die Steuereinheit (1 ) in einen sicheren Zustand gebracht werden kann, sowohl der Mikrocontroller (2) als auch die Halbleiterbausteine (3) weisen Ansteuerein- und Ansteuerausgänge auf, die alle über einen seriellen Ansteuerbus (7), sowie Systemein- und Systemausgänge auf, die alle über einen seriellen Systembus (8) miteinander verbunden sind, sowohl der Mikrocontroller (2) als auch die Halbleiterbausteine (3) sind eingerichtet, Ansteuer- und Systemsignale auf dem Ansteuerbus (7) und dem Systembus (8) zu verarbeiten und zu plausibilisieren.
2. Elektronische Steuereinheit (1 ) nach Anspruch 1 , bei der die Halbleiterbausteine (3) auch eine Überwachungsfunktionalität für den Mikrocontroller (2) aufweisen.
3. Elektronische Steuereinheit (1) nach einem der vorhergehenden Ansprüche, bei der der Mikrocontroller (2) als auch die Halbleiterbausteine (3) ausgebildet sind, Eingangssignale auf dem Ansteuerbus (7) zu vergleichen und zu plausibilisieren.
4. Elektronische Steuereinheit (1) nach einem der vorhergehenden Ansprüche, bei der der Mikrocontroller (2) als auch die Halbleiterbausteine (3) ausgebildet sind, Ausgangssignale redundant zu berechnen und zu vergleichen und zu plausibilisieren und an den Ansteuerbus (7) anzulegen.
5. Elektronische Steuereinheit (1) nach einem der vorhergehenden Ansprüche, die außerdem zumindest einen Überwachungsbaustein (9) aufweist, der mit dem Überwachungsbus (5), dem Ansteuerbus (7), sowie dem Systembus (8) verbunden ist und eingerichtet ist, die Steuereinheit (1 ) bei erkannten Unstimmigkeiten bei den Plausibilisierungsvorgängen in einen sicheren Zustand zu versetzen.
6. Elektronische Steuereinheit (1) nach einem der vorhergehenden Ansprüche, wobei mindestens einer der Halbleiterbausteine (3) als Microcontroller, Microprozessor, FPGA, CPLD oder ASIC ausgebildet ist.
7. Elektronische Steuereinheit (1) nach einem der vorhergehenden Ansprüche, wobei der Überwachungsbus (5) als ein bidirektionaler serieller Bus ausgebildet ist.
8. Elektronische Steuereinheit (1) nach einem der vorhergehenden Ansprüche, wobei der Überwachungsbus (5) zur Übertragung mindestens eines der folgenden Signale konfiguriert ist:
- sicherheitsrelevante Ein/Ausgabe-Signale binär oder kodiert,
- Spannungen und Ströme, die für die korrekte Funktion der elektronischen Steuereinheit (1) überwacht werden sollen,
- Prüfsummen,
- Frage-Antwort Kommunikation zwischen Halbleiterbausteinen (3) oder zwischen dem Microcontroller (2) und einem Halbleiterbaustein (3),
- Signale mit zeitgerechter Übertragung, um einen Watchdog, zu implementieren, - Versorgungsspannungen, die auf Über-/Unterspannung überwacht werden sollen.
9. Elektronische Steuereinheit (1) nach einem der vorhergehenden Ansprüche, wobei der Ansteuerbus (7) zur Übertragung von Ein-/Ausgabesignalen konfiguriert ist, die von der elektronischen Steuereinheit (1) erzeugt und den Halbleiterbausteinen (3) zugeführt werden.
10. Elektronische Steuereinheit (1 ) nach einem der vorhergehenden Ansprüche, wobei der Systembus (8) als ein paralleler oder serieller Datenbus oder als ein Bus zur Übertragung paralleler Ein-/Ausgabesignale ausgebildet ist.
11 . Elektronische Steuereinheit (1 ) nach einem der vorhergehenden Ansprüche, wobei der Abschaltbus (6) dazu konfiguriert ist, Signale zur Abschaltung sicherheitsrelevanter Ausgänge, insbesondere eines Relais zum Abschalten einer Versorgungsspannung, und/oder ein Disable-Signal eines Leistungstreibers zu übertragen.
12. Elektronische Steuereinheit (1 ) nach einem der Ansprüche 2 bis 11 , wobei die Überwachungsfunktionalität einen Watchdog umfasst sowie die ordnungsgemäße Funktion des Microcontrollers (2) überprüft und diesen gegebenenfalls zurücksetzt oder abschaltet.
13. Verwendung einer elektronischen Steuereinheit (1) nach einem der vorhergehenden Ansprüche als Steuereinheit in einem Kraftfahrzeug.
14. Kraftfahrzeug, umfassend eine elektronische Steuereinheit (1) gemäß einem der Ansprüche 1 bis 12.
PCT/EP2021/067810 2020-07-03 2021-06-29 Elektronische steuereinheit WO2022002913A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102020208370.3A DE102020208370A1 (de) 2020-07-03 2020-07-03 Elektronische Steuereinheit
DE102020208370.3 2020-07-03

Publications (1)

Publication Number Publication Date
WO2022002913A1 true WO2022002913A1 (de) 2022-01-06

Family

ID=76859597

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2021/067810 WO2022002913A1 (de) 2020-07-03 2021-06-29 Elektronische steuereinheit

Country Status (2)

Country Link
DE (1) DE102020208370A1 (de)
WO (1) WO2022002913A1 (de)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5895434A (en) * 1994-11-02 1999-04-20 Itt Manufacturing Enterprises Inc. Microprocessor arrangement for a vehicle control system
DE102004020539B3 (de) 2004-04-27 2005-07-28 Siemens Ag Elektronische Steuereinrichtung und Verfahren zur Steuerung des Betriebs von Kraftfahrzeugkomponenten
DE102008004208A1 (de) 2008-01-14 2009-07-16 Robert Bosch Gmbh Steuergerät für ein Kraftfahrzeug sowie Einrichtung und Verfahren zum Überprüfen eines Apparats in einen sicheren Zustand
US9903300B2 (en) * 2015-07-22 2018-02-27 Robert Bosch Gmbh Method for shutting down an electrically controlled component of a vehicle in a case of error of a processing unit controlling the component
US20180105183A1 (en) * 2015-04-20 2018-04-19 Autoliv Developement Ab A vehicle safety electronic control system

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19529434B4 (de) 1995-08-10 2009-09-17 Continental Teves Ag & Co. Ohg Microprozessorsystem für sicherheitskritische Regelungen
DE19800311A1 (de) 1998-01-07 1999-07-08 Itt Mfg Enterprises Inc Elektronische, digitale Einrichtung
DE10124027A1 (de) 2001-05-16 2002-11-21 Continental Teves Ag & Co Ohg Verfahren,Mikroprozessorsystem für sicherheitskritische Regelungen und dessen Verwendung
RU2585262C2 (ru) 2010-03-23 2016-05-27 Континенталь Тевес Аг Унд Ко. Охг Контрольно-вычислительная система, способ управления контрольно-вычислительной системой, а также применение контрольно-вычислительной системы
US9676357B2 (en) 2010-06-15 2017-06-13 Infineon Technologies Ag Diagnosis of integrated driver circuits

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5895434A (en) * 1994-11-02 1999-04-20 Itt Manufacturing Enterprises Inc. Microprocessor arrangement for a vehicle control system
DE102004020539B3 (de) 2004-04-27 2005-07-28 Siemens Ag Elektronische Steuereinrichtung und Verfahren zur Steuerung des Betriebs von Kraftfahrzeugkomponenten
US20080004765A1 (en) * 2004-04-27 2008-01-03 Siemens Aktiengesellschaft Electronic Control Device and Method for Controlling the Operation of Motor Vehicle Components
DE102008004208A1 (de) 2008-01-14 2009-07-16 Robert Bosch Gmbh Steuergerät für ein Kraftfahrzeug sowie Einrichtung und Verfahren zum Überprüfen eines Apparats in einen sicheren Zustand
US20180105183A1 (en) * 2015-04-20 2018-04-19 Autoliv Developement Ab A vehicle safety electronic control system
US9903300B2 (en) * 2015-07-22 2018-02-27 Robert Bosch Gmbh Method for shutting down an electrically controlled component of a vehicle in a case of error of a processing unit controlling the component

Also Published As

Publication number Publication date
DE102020208370A1 (de) 2022-01-05

Similar Documents

Publication Publication Date Title
EP1927914B1 (de) Sicherheitsmodul und Automatisierungssystem
EP2191344B1 (de) Integrierte schaltungsanordnung für sicherheitskritische regelungssysteme
EP2447843B1 (de) Verfahren zur Verifizierung eines Anwendungsprogramms einer fehlersicheren Speicherprogrammierbaren Steuerung, und Speicherprogrammierbare Steuerung zur Ausführung des Verfahrens
DE10215405A1 (de) Verfahren und Vorrichtung zur Funktionsprüfung eines Analog-Digital-Wandlers sowie Analog-Digital-Wandler
EP1092177B1 (de) Regler bzw. triebwerksregler, triebwerk und verfahren zum regeln eines stell- oder antriebssystems bzw. eines triebwerks
DE102013113296A1 (de) Redundante Rechenarchitektur
EP0525574A2 (de) System zur Ansteuerung sicherheitsrelevanter Systeme
EP3073333B1 (de) Brenneranlage mit einer Sicherheitseinrichtung
EP1615087B1 (de) Steuer- und Regeleinheit
EP2203795B1 (de) Fahrzeug-steuereinheit mit einem versorgungspannungsüberwachten mikrocontroller sowie zugehöriges verfahren
EP2239752B1 (de) Sichere Schalteinrichtung und modulares fehlersicheres Steuerungssystem
EP2228723B1 (de) Verfahren zur Fehlerbehandlung eines Rechnersystems
EP2237118B1 (de) Sicherheitssystem zur Sicherung einer fehlersicheren Steuerung elektrischer Anlagen und Sicherheitssteuerung damit
DE10302456A1 (de) Vorrichtung für sicherheitskritische Anwendungen und sichere Elektronik-Architektur
WO2022002913A1 (de) Elektronische steuereinheit
EP1740815A1 (de) Elektronische steuereinrichtung und verfahren zur steuerung des betriebs von kraftfahrzeugkomponenten
DE10007008B4 (de) Verfahren zur Überwachung einer Datenverarbeitungseinrichtung
WO2021083659A1 (de) Schaltvorrichtung für ein bremssystem für ein fahrzeug, bremssystem mit einer schaltvorrichtung und verfahren zum betreiben einer schaltvorrichtung
EP1224547B1 (de) Integrierter elektronischer baustein mit duplizierter kernlogik und hardware-fehlereinspeisung für prüfzwecke
DE10220811B4 (de) Verfahren und Vorrichtung zur Überwachung der Funktionsweise eines Systems
EP2667267B1 (de) Analogsignal-Ausgangsschaltung mit einer Anzahl von Analogsignal-Ausgabekanälen
EP1176508B1 (de) Anordnung zur Überwachung des ordnungsgemässen Betriebes von die selben oder einander entsprechende Aktionen ausführenden Komponenten eines elektrischen Systems
EP1486791B1 (de) Halbleiter-Chip mit einer Überwachungseinrichtung, durch welche überwachbar ist, ob der Halbleiter-Chip mechanisch beschädigt ist
DE102013113404B4 (de) Controllereinheit zum Betreiben zumindest eines Leistungsaktors
DE102007015937B4 (de) Überwachungsverfahren zum Prüfen von Schaltungen sowie Monitorschaltkreis und dessen Verwendung

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21739986

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 21739986

Country of ref document: EP

Kind code of ref document: A1