DE10113917A1 - Verfahren und Vorrichtung zur Überwachung von Steuereinheiten - Google Patents

Verfahren und Vorrichtung zur Überwachung von Steuereinheiten

Info

Publication number
DE10113917A1
DE10113917A1 DE10113917A DE10113917A DE10113917A1 DE 10113917 A1 DE10113917 A1 DE 10113917A1 DE 10113917 A DE10113917 A DE 10113917A DE 10113917 A DE10113917 A DE 10113917A DE 10113917 A1 DE10113917 A1 DE 10113917A1
Authority
DE
Germany
Prior art keywords
data
control unit
control
programs
level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE10113917A
Other languages
English (en)
Other versions
DE10113917B4 (de
Inventor
Margit Mueller
Lilian Kaiser
Stefan Keller
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE10113917.9A priority Critical patent/DE10113917B4/de
Priority to FR0203450A priority patent/FR2822562B1/fr
Priority to US10/101,820 priority patent/US6918064B2/en
Priority to JP2002080119A priority patent/JP2002312033A/ja
Publication of DE10113917A1 publication Critical patent/DE10113917A1/de
Application granted granted Critical
Publication of DE10113917B4 publication Critical patent/DE10113917B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/2406Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using essentially read only memories
    • F02D41/2425Particular ways of programming the data
    • F02D41/2487Methods for rewriting
    • F02D41/2493Resetting of data to a predefined set of values
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • F02D41/266Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0421Multiprocessor system
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24195Compare data in channels at timed intervals, for equality

Abstract

Verfahren und Vorrichtung zur Überwachung von Daten und der Übertragung der Daten zwischen wenigstens einer ersten und einer zweiten Steuereinheit, wobei die wenigstens zwei Steuereinheiten eine erste Programmebene aufweisen, der Programme zugeordnet sind, die die Steuerfunktion berechnen sowie eine zweite Programmebene aufweisen, die Programme umfasst, welche die Funktionsfähigkeit der Programme der ersten Programmebene überwachen, wobei die erste Steuereinheit mit wenigstens einer Komponente verbunden ist, zur Erfassung von Daten, insbesondere Steuergrößen, wobei die durch die Komponenten erfassten Daten oder mit diesen ermittelte Daten von der ersten zur zweiten Steuereinheit gesichert über eine einzige Verbindung übertragen werden, wobei eine getrennte Absicherung der Daten und der Datenübertragung in der ersten und zweiten Programmebene derart erfolgt, dass Fehler der Daten und in der Datenübertragung erkannt werden.

Description

Stand der Technik
Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Überwachung von Steuereinheiten. Ein derartiges Verfah­ ren bzw. eine derartige Vorrichtung ist aus der DE 44 38 714 A1 bekannt. Diese beschreibt eine eigensichere Steuereinheit, beispielsweise in Verbindung mit Steuersyste­ men zur Steuerung der Antriebseinheit eines Fahrzeugs. Ei­ gensicherheit bedeutet dabei, dass bei Auftreten eines Feh­ lers der Fehlerzustand auf das System begrenzt bleibt, in dem der Fehler entstanden ist, und das System nach außen hin immer in einem sicheren Zustand verbleibt. Dabei dürfen bei­ spielsweise Einzelfehler nicht zur Leistungserhöhung der An­ triebseinheit führen. Das in der bekannten Veröffentlichung­ beschriebene Überwachungskonzept ist strukturell zweikana­ lig, d. h. alle sicherheitsrelevanten Pfade sind durch redun­ dante Kanäle abgesichert. Dies gilt auch für die sicher­ heitsrelevanten Anteile der operativen Software, also bei­ spielsweise der Software zur Erfüllung der Aufgabe der Steu­ ereinheit. Diese die Steuergerätefunktionen realisierende Software wird im Rahmen einer zweiten Programmebene durch redundante Software überwacht, die die korrekte Bildung der Steuersignalgrößen durch die operative Software quantitativ überprüft. D. h. die Software der zweiten Ebene realisiert eine Funktionsüberwachung der Software der ersten Ebene. Der Ablauf und die Funktionsfähigkeit der Software dieser zwei­ ten Ebene wird durch Kommunikation mit einem externen Über­ wachungsmodul im Rahmen einer Frage-Antwort-Kommunikation überwacht. Konkret enthält in der bekannten Ausführung die erste Softwareebene die operative Software zur Durchführung der Steuerfunktion sowie systemspezifische Überwachungsfunk­ tionen der Eingangsgrößen und der Endstufen. Die zweite Ebe­ ne besteht aus der Funktionsüberwachung. In der Funktions­ überwachung wird mittels redundanter Funktionen die korrekte Bildung der Ausgangsgrößen, insbesondere der leistungsbe­ stimmenden Größen, überwacht. Außerdem bilden die Programme der zweiten Ebene die Antwort auf eine ausgewählte, vom Überwachungsmodul im Rahmen einer Ablaufkontrolle übermit­ telten Fragen, mit deren Hilfe die korrekte Berechnung der Überwachungsfunktionen überprüft wird und führen eine Rech­ nerüberwachung mittels eines Tests der Überwachungsfunktio­ nen durch Simulationsdaten durch. Die dritte Ebene schließ­ lich enthält die Frage-Antwort-Kommunikation (auf der Basis der übermittelten Frage und der gebildeten Antwort) mit dem Überwachungsmodul, mit deren Hilfe die Funktionsweise der Programme der zweiten Ebene überwacht wird. Dieser Ebene sind ferner Überwachungsfunktionen zugeordnet, die Komponen­ ten des Funktionsrechners wie Speicher, Analog-/Digital- Wandler, usw. prüfen. Eine derartige Vorgehensweise ist aus dem oben genannten Stand der Technik bekannt.
In modernen Steuersystemen werden in der Regel mehrere Steu­ ereinheiten eingesetzt, die separate Bauelemente bilden oder auch in einem Gerät baulich vereinigt sind. So sind bei­ spielsweise bei modernen Fahrzeugsteuerung Steuergeräte zur Steuerung der Antriebseinheit, zur Steuerung des Fahrverhaltens (ABS, ASR, ESP), zur Steuerung eines automatischen Ge­ triebes, zur Steuerung der Radbremsen, usw. vorhanden.
Üblicherweise werden in einem Sicherheitssystem eines Mehr­ steuergerätekonzeptes Redundanzen vorgesehen. So sind bei­ spielsweise einzelne Komponenten die Daten zur Weiterverar­ beitung in den Steuergeräten bzw. Steuereinheiten liefern, in einem solchern Sicherheitskonzept in der Regel mit allen den Steuereinheiten direkt verbunden, die die von den Kom­ pontenten gelieferten Daten benötigen bzw. weiterverarbei­ ten. Dies können beispielsweise Sensoren sein, aber auch Ak­ tuatoren, die eine Rückmeldung über Betriebszustände lie­ fern.
Aufgabe der Erfindung ist es nun, für die Daten bzw. Infor­ mation aus diesen Komponenten eine Übertragung an ein oder mehrere Steuergeräte bzw. Steuereinheiten zu definieren, die heutigen Sicherheitsstandards entspricht, um zu ermöglichen, dass die die Daten liefernde Komponente nur an eine Steuer­ einheit angebunden werden kann.
Vorteile der Erfindung
Erfindungsgemäß wird somit ein Verfahren zur Überwachung von Daten und der Übertragung der Daten zwischen wenigstens ei­ ner ersten und einer zweiten Steuereinheit im Rahmen eines Steuergeräteverbundes vorgeschlagen, wobei die wenigstens zwei Steuereinheiten eine erste Programmebene aufweisen, der Programme zugeordnet sind, die die Steuerfunktionen berech­ nen, sowie eine zweite Programmebene aufweisen, die Program­ me umfasst, welche die Funktionsfähigkeit der Programme der ersten Programmebene überwachen, wobei die erste Steuerein­ heit mit wenigstens einer Komponente verbunden ist, die zur Erfassung von Daten, insbesondere Steuergrößen dient. Vorteilhafter Weise werden die durch die Komponente erfassten Daten oder mit diesen Daten ermittelten Daten von der ersten zur zweiten Steuereinheit gesichert über eine einzige Ver­ bindung übertragen, wobei eine getrennte Absicherung der Da­ ten und der Datenübertragung in der ersten und zweiten Pro­ grammebene derart erfolgt, das Fehler der Daten und in der Datenübertragung erkannt werden.
Es werden also zur Aufrechterhaltung der Redundanz trotz An­ bindung der wenigstens eine Komponente an nur ein Steuerge­ rät zwei parallele Signalpfade definiert, wovon einer davon mit speziellen Absicherungsmechanismen ausgestattet ist.
Vorteilhaft dabei ist, der minimale Hardwareaufwand bei der Kopplung der Steuereinheiten, da durch die erfindungsgemäße Absicherung in der ersten und zweiten Programmebene der Da­ ten bzw. Datenübertragung eine einzige Verbindung zur Erzeu­ gung von Redundanz ausreicht. Somit erfolgt zweckmäßiger Weise die Realisierung eines Mehrsteuergerätebetriebes mit minimaler Hardwareanbindung zwischen den Steuereinheiten beispielsweise nur über einen CAN-Bus. Der CAN-Bus bzw. das CAN-Bus-Protokoll mit den in der Beschreibung verwendeten Eigenschaften ist in der "CAN Specification, Version 2.0, Robert Bosch GmbH" von 1991 und in der Norm ISO/TC 22/SC 3 N 11898 von 1999 beschrieben.
Dabei können dann vorteilhafter Weise bestimmte, insbesonde­ re auch leistungsbestimmende Elemente bzw. Komponenten trotzdem nur an eine der wenigstens zwei Steuereinheiten an­ gebunden sein. Die im Stand der Technik definierte Überwa­ chung wird dann über diese erfindungsgemäße Anbindung hinweg durchgeführt.
Dabei erfolgt die Absicherung in der ersten Programmebene durch Auswertung der Statusinformation einer entsprechenden CAN-Botschaft, die die Daten enthält. Die Absicherung in der zweiten Programmebene der ersten Steuereinheit erfolgt durch Hinzufügung einer Absicherungsinformation zum jeweiligen Da­ tum und/oder durch Einsatz eines Botschaftszählers, wobei dann die Konsistenz und Aktualität der Empfangsbotschaft überprüft werden kann.
Vorteilhafter Weise wird dann bei Erkennen eines Fehlers der Daten in der Datenübertragung bzw. eines Fehlers in den Da­ ten selbst eine Fehlerreaktion angestossen, durch die im zweiten Steuergerät bzw. der zweiten Steuereinheit ein si­ cherer Zustand eingestellt werden kann. Zweckmäßigerweise erfolgt die Fehlerreaktion derart, dass Fehler im ersten Steuergerät bzw. der ersten Steuereinheit nicht zu unerkann­ ter Leistungserhöhung in einem weiteren Steuergerät bzw. ei­ ner weiteren Steuereinheit führen.
Weitere Vorteile und vorteilhafte Ausgestaltungen ergeben sich aus der Beschreibung und den Ansprüchen.
Zeichnung
Die Erfindung wird im weiteren anhand der in der Zeichnung dargestellten Figuren offenbart.
Dabei zeigt Fig. 1 eine Steuereinheit mit dem Überwachungs­ konzept gemäß der DE 44 38 714 A1.
In Fig. 2 ist ein Steuergeräteverbund dargestellt und die erfindungsgemäße Erweiterung in Programmebene 1 und 2 zur singulären Anbindung einer Komponente.
Fig. 3 zeigt anhand eines konkreten Beispiels mit Pe­ dalsollwertvorgabe und Fahrgeschwindigkeitsregelung (FGR) die Überwachungsfunktion sowie die Fehlerreaktion.
Beschreibung der Ausführungsbeispiele
Fig. 1 zeigt ein Steuergerät 1 mit einer Steuereinheit 10 und einem Überwachungsmodul 11. Dieses Steuergerät 1 dient in einem bevorzugten Ausführungsbeispiel zur Steuerung einer Brennkraftmaschine. Das Steuergerät 1 umfasst dabei eine Steuereinheit 10 sowie ein Überwachungsmodul 11, welchen den Programmebenen 1, 2 und 3 zugeorndet werden. Ebenso kann das Steuergerät 1 einen Rechner umfassen, der insgesamt die Pro­ grammebenen 1 bis 3 umfasst, so dass das Überwachungsmodul bzw. die zugehörige Ebene 3 in die Steuereinheit, also den Funktionsrechner integriert ist.
Dabei sind der Ebene 1 die Funktionen zugeordnet, welche zur Gewährleistung der Steuerfunktion, d. h. der eigentlichen Steuerungsaufgaben, sowie systemspezifische Überwachungs­ funktionen der Eingangsgrößen und Endstufen dienen. Ebenso in Ebene 1 untergebracht ist die Funktionalität zur Daten­ übertragung beispielsweise bei Verwendung eines CAN- Bussystems. Dies ist in Fig. 1 durch 14 dargestellt. Den Steuergeräten werden über Eingangssschaltungen 16 von nicht dargestellten Messeinrichtungen, beispielsweise Sensoren oder Aktuatoren Eingangsgrößen über die Eingangsleitungen 18 bis 22 zugeführt. Diese Eingangsgrößen liegen der Berechnung der Steuerfunktionen zugrunde. Daher werden die Eingangsgrö­ ßen den Programmen der Ebene 1 zur Verfügung gestellt. Die Programme der ersten Ebene bilden auf der Basis der Ein­ gangsgrößen Stellgrößen, die über die Ausgangsleitungen 24 und 26 an die jeweiligen Endstufen 28 und 30 ausgegeben wer­ den. Im bevorzugten Ausführungsbeispiel handelt es sich beim Steuergerät 1 um ein Steuergerät zur Steuerung einer Brenn­ kraftmaschine, wobei die Endstufen 28 Endstufen zur Steue­ rung von Einspritzventilen und Zündeinrichtungen usw. also Motorelektronik bzw. Motronikendstufen darstellen. Die End­ stufe 30 ist im bevorzugten Ausführungsbeispiel beispiels­ weise eine Endstufe zur Betätigung einer elektrisch betätig­ baren Drosselklappe der Brennkraftmaschine. Je nach Anwen­ dungsfall steuert das Steuergerät bzw. die Steuereinheit 10 Endstufen zur Betätigung von Kupplungen eines automatischen Getriebes, von Bremsenstelleinrichtungen, usw. an.
Der Inhalt der DE 44 38 714 A1 wird an dieser Stelle aus­ drücklich als Ausgangspunkt bzw. Bestandteil dieser Erfin­ dung bestimmt. Wie aus dieser eingangs genannten Offenle­ gungsschrift DE 44 38 714 A1 bekannt, sind der zweiten Ebene 2 Programme 32 zugeordnet, welche die Funktionsfähigkeit der Programme der ersten Ebene und somit die Funktionsfähigkeit der Steuerfunktion überwachen.
Im bevorzugten Ausführungsbeispiel dieser Erfindung wird dies auf der Basis von Ein- und Ausgangsgrößen durchgeführt. Den Programmen der zweiten Programmebene bzw. Ebene II wer­ den somit redundant die Eingangssignale der Leitungen 18 bis 22 zugeführt, sowie die Ausgangs- oder Zwischengrößen der Programme der ersten Programmebene bzw. Ebene I über Leitun­ gen 34 bis 38. Durch Vergleich dieser Größen bzw. daraus ab­ geleiteter Größen stellen die Programme der zweiten Ebene die Funktionsfähigkeit bzw. eine Fehlfunktion der Programme der ersten Ebene fest. Zur Sicherstellung der Betriebssi­ cherheit ist vorgesehen, dass wenigstens eine der Endstufen im Beispiel der Steuereinheit 10 die Endstufe 30 über eine Ausgangsleitung 40 durch die Programme der zweiten Ebene DII im fehlerfreien Fall freigeschaltet wird, bzw. bei auftre­ tendem Fehler abgeschaltet wird.
Die dritte Programmebene III umfasst Programme, welche die Funktionsfähigkeit der Programme der Ebene II sowie von Kom­ ponenten des Rechners überprüfen. Dabei kann die dritte Ebe­ ne III wie in Fig. 1 dargestellt, über Funktionsrechner und Überwachungsmodul 11 aufgeteilt sein oder auch komplett in der Steuereinheit 10, also quasi mit integriertem Überwa­ chungsmodul, enthalten sein.
Die Programme dieser Ebene II kommunizieren im dargestellten Beispiel im Rahmen der Überwachung aber mit externen Bauele­ menten, beim eingangs genannten Stand der Technik mit dem Überwachungsmodul.
Die Ebene III umfasst Programme wie Speichertestprogramme 42, Programme zur Ablaufkontrolle 44 und eventuell auch Pro­ gramme zum Fremdgerätetest. Im eingangs genannten Stand der Technik, welcher eine Einzelüberwachung eines Steuergerätes beschreibt, stehen die Programme der Ablaufkontrolle der Ebene III mit dem Überwachungsmodul in Verbindung. Durch Frage-Antwort-Kommunikation 13, 14 mit Ablaufkontrolle 44 mit nachfolgendem Speichertest 42 wird dabei eine Funktions­ überwachung sichergestellt. Zur redundanten Absicherung gibt dann das Überwachungsmodul 11 bzw. die entsprechenden Pro­ gramme 11a über Leitung 12 ein Erlaubnissignal an Endstufe 30 bzw. eine Freigabe an die Motronicendstufe 28.
Dieses Überwachungskonzept wird nun erfindungsgemäß in Fig. 2 erweitert. So besitzt das erste Steuergerät 200, bei­ spielsweise das Sende- oder Mastersteuergerät eine Anbindung an bestimmte Komponenten 210, welche das bzw. die Slavesteu­ ergeräte, also die zweiten Steuergeräte 201 nicht besitzen. Die Information dieser Komponente 210 werden an sinnvoller Stelle für die zweiten Steuergeräte, also für die Empfangs- oder Slavesteuergeräte 201 abgezweigt. Dabei ist wichtig, das Fehler im Mastersteuergerät 200 nicht zu unerkannter Leistungserhöhung im Slavesteuergerät 201 führen. Es gibt also im Steuergeräteverbund 2, also im Mehrsteuergerätekon­ zept ein Mastersteuergerät 200 an das Komponenten 210 ange­ schlossen sind, die nur einmal vorhanden sind und nicht par­ allel eingelesen werden sollen oder können, wie beispiels­ weise ein Pedalwertgeber.
Es wird nun im Mastersteuergerät 200 aus der Funktionsüber­ wachung 32a ein Datenpaket zusammengestellt. Die Funktions­ überwachung stellt abgesicherte RAM-Informationen, also Da­ ten aus dem Arbeitsspeicher 203a zur Verfügung. Aus diesen wird dann die Sendebotschaft mit einer speziellen Absiche­ rungsinformation und einem Botschaftszähler 204a zusammenge­ stellt. Dies erfolgt in Programmebene II. Am Beispiel der Verbindung über CAN-Bus wird nun die Sendebotschaft mit Ab­ sicherungsinformation und Botschaftszähler in den Arbeits­ speicherpuffer für die CAN-Botschaft 205a gelegt. Über die CAN-Bedienung fürs Senden 206a und den Block CAN mit DPRAM 207a wird dann die Botschaft mit dementsprechendem Datenin­ halt zum Empfangssteuergerät dem zweiten Steuergerät oder Slavesteuergerät 201 über Verbindung 202, insbesondere den CAN-Bus, übertragen. Die Funktionalitäten 205a, 206a und 207a sind dabei in Ebene I abgelegt.
In Ebene I des Empfangssteuergeräts 201 wird nun wiederrum über Block 207b, DPRAM, die CAN-Bedienung fürs Empfangen 206b und den Arbeitsspeicherpuffer für die CAN-Botschaft 205b die CAN-Botschaft empfangen. Dabei wird die Empfangs­ botschaft in Ebene IT ausgewertet und deren Aktualität an­ hand des Botschaftszählers sowie deren Konsistenz anhand der Absicherungsinformation in 204b geprüft. Die Daten gelangen dann als abgesicherte Arbeitsspeicherinformationen über Block 203b in die Funktionsüberwachung 32b. D. h. das Auswer­ ten und die Prüfung erfolgt in Ebene II im Rahmen der Funk­ tionsüberwachung.
In Fig. 3 wird dies anhand eines konkreten Beispiels noch einmal dargestellt. D. h. die Erweiterung des Überwachungs­ konzeptes der Fig. 1, dargestellt in Fig. 2, wird nun an­ hand Fig. 3 im konkreten Beispiel eines Pedalwertgebers und einer Fahrgeschwindigkeitsregelung FGR dargestellt. Dabei werden die überwachungsrelevanten Signalpfade sowie die spe­ ziellen Absicherungsmechanismen gezeigt. In Block 300 ist die Übernahme aus dem CAN-Pufferspeicher für die Empfangs­ botschaft dargestellt. Dabei können der Botschaftszähler vom Master 304, ein Pedalsollwert vom Master 303 sowie die Fahr­ geschwindigkeitsregelungszulässigkeit vom Master (FGR- Zulässigkeit) 302 und die Absicherungsinformation 301 vom Master extrahiert werden.
In Block 305 wird die Botschaftszählerdifferenz ausgewertet. Das bedeutet, dass die Aktualität der Empfangsbotschaft überprüft wird. In Block 306 wird die Absicherungsinformati­ on kontrolliert. Diese kann wie hier dargestellt als Checksumme oder Checkwert über 302 bis 304 dargestellt sein oder auch als Checksummenwert über Teile der Gesamtinforma­ tion beispielsweise nur 302 und 303 dargelegt sein.
Die Ergebnisse der Botschaftszählerauswertung, also die Prü­ fung der Aktualität sowie die Konsitenzüberprüfung im Block 306 werden in Block 307 bewertet. Ein Beispiel für eine sol­ che Auswertung ist beispielsweise eine Veroderung der Signa­ le, wodurch, wenn ein Fehler durch "1" signalisiert wird, lediglich bei Fehlerlosigkeit keine Inaktivwerte in 308 vor­ gegeben werden. Liegt aus einem der Blöcke 305 oder 306 ein Fehler symbolisiert durch eine "1" vor, werden durch die Verorderung Inaktivwerte vorgegeben, wodurch eine Leistungs­ erhöhung im Slavesteuergerät vermieden werden kann.
Diese Inaktivwerte in Block 308 sind beispielsweise die Leerlaufvorgabe für den Pedalsollwert bzw. die Verneinung der Zulässigkeit entsprechend der Fahrgeschwindigkeitsrege­ lung. In Ebene I erfolgt die Leerlaufvorgabe für den Pe­ dalsollwert bzw. Vorgabe eines Nullmoments im Rahmen der Fahrgeschwindigkeitsregelung. Es werden somit zwei Signal­ pfade definiert, einmal der Signalpfad der Funktion in Ebene I als Bestandteil von CAN-Botschaften, wobei in diesem spe­ ziellen Ausführungsbeispiel der Pedalsollwert und ein Fahr­ geschwindigkeitsregelungssollmoment im Rahmen von CAN- Botschaften übertragen werden. Dabei wird in Ebene I eine Nachrichtenunterbrechung in der Funktion durch Auswertung der Statusinformationen der CAN-Botschaften im CAN-DPRAM er­ kannt und führt zu der genannten Fehlerreaktion in der Funk­ tion der Leerlaufvorgabe für den Pedalsollwert sowie der Nullmomentvorgabe im Rahmen der Fahrgeschwindigkeitsrege­ lung.
Der zweite Signalpfad der Überwachung in Ebene II erfolgt ebenfalls in der CAN-Botschaft, aber mit Botschaftszähler und Absicherungsinformation. D. h. hier wird eine Nachrich­ tenunterbrechung in der Funktionsüberwachung durch Auswer­ tung des Botschaftszählers auf Veränderung erkannt. Im Si­ gnalpfad II wird auch hier ein Pedalsollwert vorzugsweise ein redundanter Pedalsollwert sowie die Zulässigkeit der Fahrgeschwindigkeitsregelung FGR übertragen. Bei Erkennung auf Fehler in der Überwachung erfolgt als Reaktion die Leer­ laufvorgabe bezüglich des redundanten Pedalsollwertes sowie die Einstufung der Fahrgeschwindigkeitsregelung als unzuläs­ sig, wodurch das Slavesteuergerät in den sicheren Zustand überführt wird.
Desweiteren wird nun die Auswirkung von Fehlern im Master­ steuergerät 200 im Rahmen des Verhaltens des Slavesteuerge­ rätes 201 betrachtet. Dabei wird in 1. bis 4. unterschieden zwischen:
  • 1. Fehlern, die Auswirkung auf den Pedalsollwert haben, der vom Mastersteuergerät ans Slavesteuergerät übertragen wird:
    Diese Fehler können sein:
    • - Unterspannung im Mastersteuergerät,
    • - ADC-Fehler im Mastersteuergerät (ADC = Analog-Digital- Converter),
    • - Fehlererkennung in der Pedalsollwertüberwachung im Master­ steuergerät in Ebene II
    Die genannten Fehler führen zu folgender Fehlerreaktion im System:
    • - Leerlaufvorgabe in Ebene I für Master- und Slavesteuerge­ rät,
    • - die Überwachung auf Leerlaufvorgabe in Ebene II für Master- und Slavesteuergerät
    • - Drehzahlbegrenzung über Einspritzausblendung mit stromloser Drosselklappenendstufe (30) im Mastersteuergerät und Leer­ laufvorgabe im Slavesteuergerät.
  • 2. Fehler die Auswirkungen auf die Fahrgeschwindigkeitsrege­ lungsvorgabe haben, die vom Mastersteuergerät ans Slavesteu­ ergerät übertragen wird:
    • - Fahrgeschwindigkeitsregelungsbedienhebelfehler oder Bot­ schaftsfehler bei Fahrgeschwindigkeitsregelungssignalen über CAN,
    • - Bremslichtschalterfehler,
    • - andere Fehler, die zur FGR-Abschaltung in Ebene I führen, sowie
    • - Fehlererkennung in der Überwachung der Eingangsinformatio­ nen für die FGR-Überwachung im Mastersteuergerät in Ebene II.
    Diese Fehler führen zu folgender Fehlerreaktion im System:
    • - Kein FGR-Solimoment in Ebene I für Master- und Slavesteuer­ gerät,
    • - keine FGR-Zulässigkeit in Ebene II in Master- und Slave­ steuergerät,
    • - Normalbetrieb ohne Fahrgeschwindigkeitsregelung in Master- und Slavesteuergerät, wobei als Ausnahme die Fehler betrach­ tet werden, die zur FGR-Abschaltung führen. Diese werden durch andere Fehlerreaktionen im Mastersteuergerät beglei­ tet.
  • 3. Speicherfehler, Arbeitsspeicher oder Festspeicherfehler (RAM oder ROM im Mastersteuergerät) führen zu folgender Feh­ lerreaktion im System:
    • - der vom Fehler betroffene Speichertest wird in der Intiali­ sierung des Mastersteuergerätes wiederholt,
    • - der Speichertest erkennt den Fehler und verhindert den Nor­ malbetrieb.
    • - Die CAN-Anbindung im Mastersteuergerät wird nicht freigege­ ben.
    • - Die CAN-Botschaften vom Mastersteuergerät werden nicht ge­ sendet.
    • - Im Slavesteuergerät werden keine CAN-Botschaften vom Ma­ stersteuergerät empfangen.
    • - Ebene I im Slavesteuergerät erkennt über die Statusinforma­ tionen in den Beschreibungsbytes (Descriptorbytes) der CAN- Botschaften auf Nachrichtenunterbrechung und gibt als Pe­ dalsollwert Leerlauf und als FGR-Sollmoment 0 vor.
    • - Ebene II im Slavesteuergerät erkennt auf "Botschaftszähler steht" und gibt für die Überwachung als Pedalsollwert Leer­ lauf und für die FGR-Funktion "FGR nicht zulässig" vor.
    • - Endstufenabschaltung im Mastersteuergerät.
    • - Leerlaufbetrieb ohne Fahrgeschwindigkeitsregelung im Slave­ steuergerät, nach Endprellzeit sowie Drehzahlbegrenzung über Einspritzausblendung.
  • 4. Befehls- oder Programmablaufskontrollfehler im Master­ steuergerät führen zu folgenden möglichen Fehlerreaktionen im Gerät:
    • - Das Mastersteuergerät sendet keine Botschaften ans Slave­ steuergerät,
    • - im Slavesteuergerät wird in Ebene I und II auf CAN- Nachrichtenunterbrechung erkannt und mit den genannten Inak­ tivvorgaben reagiert.
    • - Das Mastersteuergerät sendet während der Reset- und Initia­ lisierungszeit keine bzw. keine gültigen, ansonsten fehler­ hafte Überwachungsbotschaften ans Slavesteuergerät,
    • - Ebene II im Slavesteuergerät erkennt auf Botschaftsfehler und gibt die Inaktivwerte in Ebene I und II vor.
    • - Das Mastersteuergerät sendet während der Reset- und Initia­ lisierungszeit keine Botschaften an das Slavesteuergerät, das mit Inaktivvorgaben reagiert.
    • - Das Mastersteuergerät kann zwischen den zyklisch durchs Überwachungsmodul ausgelösten Resets gültige Botschaften ans Slavesteuergerät senden. Dies wird durch die bleibende Feh­ lerauswirkung, die erst nach Erkennung auf mehrmalig fehler­ freie Botschaft zurückgenommen wird, überbrückt. Damit ist im Slavesteuergerät dauerhaft die Inaktiv-Vorgabe in Ebene I und II gültig.
Somit kann im Mehrsteuergerätekonzept mit einem Masterste u­ ergerät, an das Komponenten angeschlossen sind, die nur einmal vorhanden sind und nicht parallel eingelesen werden kön­ nen oder sollen, wie zum Beispiel der Pedalwertgeber, ein Mehrsteuergerätebetrieb mit minimaler Hardwareanbindung zwi­ schen den Steuergeräten beispielsweise nur über CAN reali­ siert werden, bei Erzielung der notwendigen Sicherheitsst an­ dards. Dabei können bestimmte, inbesondere auch leistungsbe­ stimmende Elemente trotzdem nur an eines der beiden Steuer­ geräte angebunden sein, wobei die definierte Überwachung ge­ mäß dem Stand der Technik über diese Anbindung hinweg durch­ geführt werden kann.

Claims (6)

1. Verfahren zur Überwachung von Daten und der Übertragung der Daten zwischen wenigstens einer ersten und einer zweiten Steuereinheit, wobei die wenigstens zwei Steuereinheiten ei­ ne erste Programmebene aufweisen der Programme zugeordnet sind, die die Steuerfunktion berechnen sowie eine zweite Programmebene aufweisen, die Programme umfasst, welche die Funktionsfähigkeit der Programme der ersten Programmebene überwachen, wobei die erste Steuereinheit mit wenigstens ei­ ner Komponente verbunden ist, die zur Erfassung von Daten, insbesondere Steuergrößen, dient dadurch gekennzeichnet, dass die durch die Komponente erfassten Daten oder mit diesen er­ mittelte Daten von der ersten zur zweiten Steuereinheit ge­ sichert über eine einzige Verbindung übertragen werden, wo­ bei eine getrennte Absicherung der Daten und der Datenüber­ tragung in der ersten und zweiten Programmebene derart er­ folgt, dass Fehler der Daten und in der Datenübertragung er­ kannt werden.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die einzige Verbindung ein CAN-Bus ist.
3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass die Absicherung in der ersten Programmebene durch Auswertung der Statusinformation einer entsprechenden CAN-Botschaft, die die Daten enthält auf dem CAN-Bus ist.
4. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Absicherung in der zweiten Programmebene der ersten Steuereinheit durch Hinzufügung einer Absicherungsinformati­ on zum jeweiligen Datum und durch Einsatz eines Botschafts­ zählers erfolgt.
5. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass bei Erkennen eines Fehlers der Daten oder in der Datenüber­ tragung, insbesondere eine Unterbrechung der Datenübertra­ gung, eine Fehlerreaktion erfolgt, durch die im zweiten Steuergerät ein sicherer Zustand eingestellt wird.
6. Vorrichtung mit wenigstens zwei Steuereinheiten zur Über­ wachung von Daten und zur Übertragung der Daten zwischen we­ nigstens der ersten und der zweiten Steuereinheit, wobei die wenigstens zwei Steuereinheiten eine erste Programmebene aufweisen der Programme zugeordnet sind, die die Steuerfunk­ tion berechnen sowie eine zweite Programmebene aufweisen, die Programme umfasst, welche die Funktionsfähigkeit der Programme der ersten Programmebene überwachen, wobei die er­ ste Steuereinheit mit wenigstens einer Komponente verbunden ist, die zur Erfassung von Daten, insbesondere Steuergrößen, dient dadurch gekennzeichnet, dass die durch die Komponente erfassten Daten oder mit diesen er­ mittelte Daten von der ersten zur zweiten Steuereinheit ge­ sichert über eine einzige Verbindung übertragen werden, wobei Mittel enthalten sind, welche eine getrennte Absicherung der Daten und der Datenübertragung in der ersten und zweiten Programmebene derart durchführen, dass Fehler der Daten und in der Datenübertragung erkannt werden.
DE10113917.9A 2001-03-21 2001-03-21 Verfahren und Vorrichtung zur Überwachung von Steuereinheiten Expired - Fee Related DE10113917B4 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE10113917.9A DE10113917B4 (de) 2001-03-21 2001-03-21 Verfahren und Vorrichtung zur Überwachung von Steuereinheiten
FR0203450A FR2822562B1 (fr) 2001-03-21 2002-03-20 Procede et dispositif de surveillance d'unites de commande
US10/101,820 US6918064B2 (en) 2001-03-21 2002-03-20 Method and device for monitoring control units
JP2002080119A JP2002312033A (ja) 2001-03-21 2002-03-22 制御ユニットの監視方法及びその装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10113917.9A DE10113917B4 (de) 2001-03-21 2001-03-21 Verfahren und Vorrichtung zur Überwachung von Steuereinheiten

Publications (2)

Publication Number Publication Date
DE10113917A1 true DE10113917A1 (de) 2002-09-26
DE10113917B4 DE10113917B4 (de) 2019-05-23

Family

ID=7678491

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10113917.9A Expired - Fee Related DE10113917B4 (de) 2001-03-21 2001-03-21 Verfahren und Vorrichtung zur Überwachung von Steuereinheiten

Country Status (4)

Country Link
US (1) US6918064B2 (de)
JP (1) JP2002312033A (de)
DE (1) DE10113917B4 (de)
FR (1) FR2822562B1 (de)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005061296A1 (de) * 2003-12-20 2005-07-07 Daimlerchrysler Ag Verfahren und fahrfunktionssystem zum überführen von sicherheitsrelevanten fahrfunktionen eines fahrzeugs in den sicheren zustand
DE102006057743A1 (de) * 2006-12-07 2008-06-19 Siemens Ag Verfahren zur Überwachung der Funktionssoftware von Steuergeräten in einem Steuergeräteverbund
US7469179B2 (en) 2004-10-01 2008-12-23 Bayerische Motoren Werke Aktiengesellschaft Longitudinal dynamic control device for motor vehicles
EP2388460A1 (de) * 2010-05-17 2011-11-23 Caterpillar Motoren GmbH & Co. KG Common-Rail-System für einen Verbrennungsmotor mit mehreren Zylinderbänken und mit unabhängig gesteuerter Kraftstoffzufuhr zu jeder Bank
WO2013083367A1 (de) * 2011-12-08 2013-06-13 Robert Bosch Gmbh Verfahren und vorrichtung zur überprüfung einer funktionsfähigkeit einer von einem multi-fuel-system betriebenen brennkraftmaschine
WO2015162332A1 (en) * 2014-04-23 2015-10-29 Wärtsilä Finland Oy Distributed control
EP2099667B2 (de) 2006-11-30 2016-06-29 Continental Teves AG & Co. oHG Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems
DE102016210984A1 (de) 2016-06-20 2017-12-21 Robert Bosch Gmbh Verfahren zum Betreiben eines Steuergeräts
WO2018184699A1 (en) * 2017-04-07 2018-10-11 Ecole Polytechnique Federale De Lausanne (Epfl) A controller and an agreement protocol for a real-time control system
DE102007003146B4 (de) 2006-01-20 2020-06-18 Hitachi, Ltd. Elektronische Steuereinrichtung für Fahrzeuge und zugehöriges Diagnoseverfahren
DE10331873B4 (de) 2003-07-14 2022-09-01 Robert Bosch Gmbh Verfahren zur Überwachung verteilter Software
WO2023213461A1 (de) * 2022-05-04 2023-11-09 Audi Ag Antriebssystem für ein fahrzeug

Families Citing this family (63)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10065118A1 (de) * 2000-12-28 2002-07-04 Bosch Gmbh Robert System und Verfahren zur Steuerung und/oder Überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbundes
KR100614433B1 (ko) * 2001-05-14 2006-08-22 엔티티 도꼬모 인코퍼레이티드 애플리케이션 관리 서버, 이동 단말 및 애플리케이션 관리 방법
DE10331872A1 (de) * 2003-07-14 2005-02-10 Robert Bosch Gmbh Verfahren zur Überwachung eines technischen Systems
US7184864B2 (en) * 2004-04-19 2007-02-27 Haldex Brake Products Ltd. Vehicle system control unit with auxiliary control capabilities
WO2007042561A1 (de) * 2005-10-12 2007-04-19 Continental Teves Ag & Co. Ohg Bremsanlage für kraftfahrzeuge
DE102006037124A1 (de) * 2006-08-09 2008-02-14 Daimler Ag Ansteuersystem für eine Antriebseinheit eines Kraftfahrzeuges
US9432208B2 (en) 2008-10-27 2016-08-30 Lennox Industries Inc. Device abstraction system and method for a distributed architecture heating, ventilation and air conditioning system
US8564400B2 (en) 2008-10-27 2013-10-22 Lennox Industries, Inc. Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network
US9268345B2 (en) 2008-10-27 2016-02-23 Lennox Industries Inc. System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network
US8774210B2 (en) 2008-10-27 2014-07-08 Lennox Industries, Inc. Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network
US8655490B2 (en) 2008-10-27 2014-02-18 Lennox Industries, Inc. System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network
US8437877B2 (en) 2008-10-27 2013-05-07 Lennox Industries Inc. System recovery in a heating, ventilation and air conditioning network
US8788100B2 (en) 2008-10-27 2014-07-22 Lennox Industries Inc. System and method for zoning a distributed-architecture heating, ventilation and air conditioning network
US8600558B2 (en) 2008-10-27 2013-12-03 Lennox Industries Inc. System recovery in a heating, ventilation and air conditioning network
US8725298B2 (en) 2008-10-27 2014-05-13 Lennox Industries, Inc. Alarm and diagnostics system and method for a distributed architecture heating, ventilation and conditioning network
US8615326B2 (en) 2008-10-27 2013-12-24 Lennox Industries Inc. System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network
US9678486B2 (en) 2008-10-27 2017-06-13 Lennox Industries Inc. Device abstraction system and method for a distributed-architecture heating, ventilation and air conditioning system
US9325517B2 (en) 2008-10-27 2016-04-26 Lennox Industries Inc. Device abstraction system and method for a distributed-architecture heating, ventilation and air conditioning system
US8548630B2 (en) 2008-10-27 2013-10-01 Lennox Industries, Inc. Alarm and diagnostics system and method for a distributed-architecture heating, ventilation and air conditioning network
US9632490B2 (en) 2008-10-27 2017-04-25 Lennox Industries Inc. System and method for zoning a distributed architecture heating, ventilation and air conditioning network
US8452906B2 (en) 2008-10-27 2013-05-28 Lennox Industries, Inc. Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network
US8239066B2 (en) 2008-10-27 2012-08-07 Lennox Industries Inc. System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network
US8352080B2 (en) 2008-10-27 2013-01-08 Lennox Industries Inc. Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network
US8855825B2 (en) 2008-10-27 2014-10-07 Lennox Industries Inc. Device abstraction system and method for a distributed-architecture heating, ventilation and air conditioning system
US8352081B2 (en) 2008-10-27 2013-01-08 Lennox Industries Inc. Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network
US8977794B2 (en) 2008-10-27 2015-03-10 Lennox Industries, Inc. Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network
US8600559B2 (en) 2008-10-27 2013-12-03 Lennox Industries Inc. Method of controlling equipment in a heating, ventilation and air conditioning network
US9261888B2 (en) 2008-10-27 2016-02-16 Lennox Industries Inc. System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network
US8892797B2 (en) 2008-10-27 2014-11-18 Lennox Industries Inc. Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network
US8433446B2 (en) 2008-10-27 2013-04-30 Lennox Industries, Inc. Alarm and diagnostics system and method for a distributed-architecture heating, ventilation and air conditioning network
US8442693B2 (en) 2008-10-27 2013-05-14 Lennox Industries, Inc. System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network
US8463442B2 (en) 2008-10-27 2013-06-11 Lennox Industries, Inc. Alarm and diagnostics system and method for a distributed architecture heating, ventilation and air conditioning network
US8798796B2 (en) 2008-10-27 2014-08-05 Lennox Industries Inc. General control techniques in a heating, ventilation and air conditioning network
US8655491B2 (en) 2008-10-27 2014-02-18 Lennox Industries Inc. Alarm and diagnostics system and method for a distributed architecture heating, ventilation and air conditioning network
US8762666B2 (en) 2008-10-27 2014-06-24 Lennox Industries, Inc. Backup and restoration of operation control data in a heating, ventilation and air conditioning network
US8295981B2 (en) 2008-10-27 2012-10-23 Lennox Industries Inc. Device commissioning in a heating, ventilation and air conditioning network
US8994539B2 (en) 2008-10-27 2015-03-31 Lennox Industries, Inc. Alarm and diagnostics system and method for a distributed-architecture heating, ventilation and air conditioning network
US8452456B2 (en) 2008-10-27 2013-05-28 Lennox Industries Inc. System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network
US8694164B2 (en) 2008-10-27 2014-04-08 Lennox Industries, Inc. Interactive user guidance interface for a heating, ventilation and air conditioning system
US9377768B2 (en) 2008-10-27 2016-06-28 Lennox Industries Inc. Memory recovery scheme and data structure in a heating, ventilation and air conditioning network
US8874815B2 (en) 2008-10-27 2014-10-28 Lennox Industries, Inc. Communication protocol system and method for a distributed architecture heating, ventilation and air conditioning network
US8661165B2 (en) 2008-10-27 2014-02-25 Lennox Industries, Inc. Device abstraction system and method for a distributed architecture heating, ventilation and air conditioning system
US8560125B2 (en) 2008-10-27 2013-10-15 Lennox Industries Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network
US8255086B2 (en) 2008-10-27 2012-08-28 Lennox Industries Inc. System recovery in a heating, ventilation and air conditioning network
US8437878B2 (en) 2008-10-27 2013-05-07 Lennox Industries Inc. Alarm and diagnostics system and method for a distributed architecture heating, ventilation and air conditioning network
US9152155B2 (en) 2008-10-27 2015-10-06 Lennox Industries Inc. Device abstraction system and method for a distributed-architecture heating, ventilation and air conditioning system
US8744629B2 (en) 2008-10-27 2014-06-03 Lennox Industries Inc. System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network
US8463443B2 (en) 2008-10-27 2013-06-11 Lennox Industries, Inc. Memory recovery scheme and data structure in a heating, ventilation and air conditioning network
US8802981B2 (en) 2008-10-27 2014-08-12 Lennox Industries Inc. Flush wall mount thermostat and in-set mounting plate for a heating, ventilation and air conditioning system
US9651925B2 (en) 2008-10-27 2017-05-16 Lennox Industries Inc. System and method for zoning a distributed-architecture heating, ventilation and air conditioning network
US8543243B2 (en) 2008-10-27 2013-09-24 Lennox Industries, Inc. System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network
DE102008054589B3 (de) * 2008-12-12 2010-08-19 Thielert Aircraft Engines Gmbh Motorsteuerungssystem für einen Flugdieselmotor
USD648642S1 (en) 2009-10-21 2011-11-15 Lennox Industries Inc. Thin cover plate for an electronic system controller
USD648641S1 (en) 2009-10-21 2011-11-15 Lennox Industries Inc. Thin cover plate for an electronic system controller
US8260444B2 (en) 2010-02-17 2012-09-04 Lennox Industries Inc. Auxiliary controller of a HVAC system
EP2634401B1 (de) * 2012-02-28 2014-11-05 Caterpillar Motoren GmbH & Co. KG Steuerungssystem und -verfahren für Zweistoffmotoren
DE102012010537A1 (de) * 2012-05-29 2013-12-05 Robert Bosch Gmbh Programmiervorlage für verteilteAnwendungsprogramme
CN102945032A (zh) * 2012-11-06 2013-02-27 常州联力自动化科技有限公司 基于can总线的防爆无轨胶轮车安全保护装置的控制方法
US9604585B2 (en) * 2014-07-11 2017-03-28 Ford Global Technologies, Llc Failure management in a vehicle
JP7044061B2 (ja) * 2016-06-21 2022-03-30 日本電気株式会社 移動体、移動体制御システム、移動体制御方法、インターフェース装置、およびプログラム
JP6697964B2 (ja) * 2016-06-27 2020-05-27 株式会社クボタ コンバイン
US10776195B2 (en) * 2018-08-21 2020-09-15 Continental Teves Ag & Co. Ohg Apparatus for protecting signals
CN109606333B (zh) * 2018-11-26 2020-04-28 宋永端 一种基于BootLoader的多系统摩托车诊断仪

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3719283A1 (de) * 1987-06-10 1988-12-22 Bosch Gmbh Robert Verfahren zur lokalisierung defekter stationen in lokalen netzwerken und dazugehoeriger schnittstellencontroller
DE4438714A1 (de) 1994-10-29 1996-05-02 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs
GB9514268D0 (en) 1995-07-13 1995-09-13 Hoffmann La Roche Pyrimidine nucleoside
DE19529434B4 (de) 1995-08-10 2009-09-17 Continental Teves Ag & Co. Ohg Microprozessorsystem für sicherheitskritische Regelungen
DE19609242A1 (de) * 1996-03-09 1997-09-11 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung einer Antriebseinheit eines Fahrzeugs
DE19653429C2 (de) * 1996-12-20 1998-10-15 Siemens Ag Verfahren zur Überprüfung der Funktionsfähigkeit einer Recheneinheit
DE19949051A1 (de) 1999-10-11 2001-04-12 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung von Vorgängen in einem Fahrzeug
US6549972B1 (en) * 1999-11-22 2003-04-15 International Business Machines Corporation Method and system for providing control accesses between a device on a non-proprietary bus and a device on a proprietary bus

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10331873B4 (de) 2003-07-14 2022-09-01 Robert Bosch Gmbh Verfahren zur Überwachung verteilter Software
WO2005061296A1 (de) * 2003-12-20 2005-07-07 Daimlerchrysler Ag Verfahren und fahrfunktionssystem zum überführen von sicherheitsrelevanten fahrfunktionen eines fahrzeugs in den sicheren zustand
US7469179B2 (en) 2004-10-01 2008-12-23 Bayerische Motoren Werke Aktiengesellschaft Longitudinal dynamic control device for motor vehicles
DE102004047925B4 (de) * 2004-10-01 2016-09-15 Bayerische Motoren Werke Aktiengesellschaft Längsdynamiksteuervorrichtung für Kraftfahrzeuge
DE102007003146B4 (de) 2006-01-20 2020-06-18 Hitachi, Ltd. Elektronische Steuereinrichtung für Fahrzeuge und zugehöriges Diagnoseverfahren
EP2099667B2 (de) 2006-11-30 2016-06-29 Continental Teves AG & Co. oHG Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems
DE102006057743B4 (de) * 2006-12-07 2015-07-30 Continental Automotive Gmbh Verfahren zur Überwachung der Funktionssoftware von Steuergeräten in einem Steuergeräteverbund
DE102006057743A1 (de) * 2006-12-07 2008-06-19 Siemens Ag Verfahren zur Überwachung der Funktionssoftware von Steuergeräten in einem Steuergeräteverbund
US9091615B2 (en) 2006-12-07 2015-07-28 Continental Automotive Gmbh Method for monitoring the functional software of control devices in a control device system
EP2388460A1 (de) * 2010-05-17 2011-11-23 Caterpillar Motoren GmbH & Co. KG Common-Rail-System für einen Verbrennungsmotor mit mehreren Zylinderbänken und mit unabhängig gesteuerter Kraftstoffzufuhr zu jeder Bank
CN102985668B (zh) * 2010-05-17 2016-04-06 卡特彼勒发动机有限及两合公司 向各列的燃料供应被独立控制的用于多气缸列燃烧发动机的共轨燃料系统
CN102985668A (zh) * 2010-05-17 2013-03-20 卡特彼勒发动机有限及两合公司 向各列的燃料供应被独立控制的用于多气缸列燃烧发动机的共轨燃料系统
WO2011144312A1 (en) * 2010-05-17 2011-11-24 Caterpillar Motoren Gmbh & Co. Kg Common rail fuel system for a multi-cylinder bank combustion engine with independently controlled fuel supply to each bank
CN103958866A (zh) * 2011-12-08 2014-07-30 罗伯特·博世有限公司 用于检查由多燃料系统运行的内燃机的性能的方法和装置
WO2013083367A1 (de) * 2011-12-08 2013-06-13 Robert Bosch Gmbh Verfahren und vorrichtung zur überprüfung einer funktionsfähigkeit einer von einem multi-fuel-system betriebenen brennkraftmaschine
WO2015162332A1 (en) * 2014-04-23 2015-10-29 Wärtsilä Finland Oy Distributed control
CN106232967B (zh) * 2014-04-23 2019-03-12 瓦锡兰芬兰有限公司 控制发动机的控制装置和利用控制装置控制发动机的方法
CN106232967A (zh) * 2014-04-23 2016-12-14 瓦锡兰芬兰有限公司 分布式控制
US10384689B2 (en) 2016-06-20 2019-08-20 Robert Bosch Gmbh Method for operating a control unit
DE102016210984A1 (de) 2016-06-20 2017-12-21 Robert Bosch Gmbh Verfahren zum Betreiben eines Steuergeräts
WO2018184699A1 (en) * 2017-04-07 2018-10-11 Ecole Polytechnique Federale De Lausanne (Epfl) A controller and an agreement protocol for a real-time control system
WO2023213461A1 (de) * 2022-05-04 2023-11-09 Audi Ag Antriebssystem für ein fahrzeug

Also Published As

Publication number Publication date
US20020194551A1 (en) 2002-12-19
FR2822562B1 (fr) 2004-08-27
FR2822562A1 (fr) 2002-09-27
US6918064B2 (en) 2005-07-12
JP2002312033A (ja) 2002-10-25
DE10113917B4 (de) 2019-05-23

Similar Documents

Publication Publication Date Title
DE10113917A1 (de) Verfahren und Vorrichtung zur Überwachung von Steuereinheiten
DE19933086B4 (de) Verfahren und Vorrichtung zur gegenseitigen Überwachung von Steuereinheiten
EP2288523B2 (de) Überwachungseinrichtung zur überwachung von systemen eines fahrzeugs
DE10162853C1 (de) Kraftfahrzeugsteuersystem und Verfahren zur Kraftfahrzeugsteuerung
EP1040028B1 (de) Verfahren zur fehlererkennung von mikroprozessoren in steuergeräten eines kfz
DE69925000T2 (de) Fehlertolerantes elektronisches bremssystem
DE10065118A1 (de) System und Verfahren zur Steuerung und/oder Überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbundes
EP2823430A1 (de) Verfahren zur verbesserung der funktionalen sicherheit und steigerung der verfügbarkeit eines elektronischen regelungssystems sowie ein elektronisches regelungssystem
WO2004029737A1 (de) Redundante steuergeräteanordnung
EP2425304B1 (de) Steuersystem zum sicheren betreiben von mindestens einer funktionskomponente
EP1392546B1 (de) Vorrichtung zum steuern elektrischer systeme mit einem testmodul
DE102005014550A1 (de) Brake By-Wire Steuersystem
WO2008040641A2 (de) Verfahren und vorrichtung zur fehlerverwaltung
DE10301504B3 (de) Einsignalübertragung sicherer Prozessinformation
EP3473512B1 (de) Funktionsmodul, steuereinheit für ein betriebsassistenzsystem und arbeitsvorrichtung
DE10236080A1 (de) Verfahren und Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere in einem Fahrzeug
DE19937159A1 (de) Elektrisch gesteuertes Bremssystem
DE102008009652A1 (de) Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor
DE102016102282B4 (de) Verfahren und Vorrichtung zum Überwachen einer Datenverarbeitung und -übertragung in einer Sicherheitskette eines Sicherheitssystems
DE19735015B4 (de) Verfahren und Vorrichtung für Sicherheitsstrategien in Kraftfahrzeugen
DE102018218837B4 (de) Radgeschwindigkeitssensorsystem, ein das Radgeschwindigkeitssensorsystem enthaltendes Fahrzeug und Verfahren zum Verarbeiten von Radgeschwindigkeitssignalen
DE102022204597A1 (de) Steuerung und fehlerdiagnose von antriebsstrangkomponenten
WO2005001692A2 (de) Verfahren und vorrichtung zur überwachung eines verteilten systems
DE102016224580B3 (de) Prüfverfahren für einen Betätigungsschalter einer Funktionseinheit eines Kraftfahrzeugs
DE10063934A1 (de) Verfahren und Vorrichtung zur Überwachung und Abschaltung von Steuereinheiten in einem Netzwerk und Netzwerk

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
R084 Declaration of willingness to licence

Effective date: 20110527

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee