DE10113917A1 - Verfahren und Vorrichtung zur Überwachung von Steuereinheiten - Google Patents
Verfahren und Vorrichtung zur Überwachung von SteuereinheitenInfo
- Publication number
- DE10113917A1 DE10113917A1 DE10113917A DE10113917A DE10113917A1 DE 10113917 A1 DE10113917 A1 DE 10113917A1 DE 10113917 A DE10113917 A DE 10113917A DE 10113917 A DE10113917 A DE 10113917A DE 10113917 A1 DE10113917 A1 DE 10113917A1
- Authority
- DE
- Germany
- Prior art keywords
- data
- control unit
- control
- programs
- level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/24—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
- F02D41/2406—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using essentially read only memories
- F02D41/2425—Particular ways of programming the data
- F02D41/2487—Methods for rewriting
- F02D41/2493—Resetting of data to a predefined set of values
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/24—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
- F02D41/26—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
- F02D41/266—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0421—Multiprocessor system
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24195—Compare data in channels at timed intervals, for equality
Abstract
Verfahren und Vorrichtung zur Überwachung von Daten und der Übertragung der Daten zwischen wenigstens einer ersten und einer zweiten Steuereinheit, wobei die wenigstens zwei Steuereinheiten eine erste Programmebene aufweisen, der Programme zugeordnet sind, die die Steuerfunktion berechnen sowie eine zweite Programmebene aufweisen, die Programme umfasst, welche die Funktionsfähigkeit der Programme der ersten Programmebene überwachen, wobei die erste Steuereinheit mit wenigstens einer Komponente verbunden ist, zur Erfassung von Daten, insbesondere Steuergrößen, wobei die durch die Komponenten erfassten Daten oder mit diesen ermittelte Daten von der ersten zur zweiten Steuereinheit gesichert über eine einzige Verbindung übertragen werden, wobei eine getrennte Absicherung der Daten und der Datenübertragung in der ersten und zweiten Programmebene derart erfolgt, dass Fehler der Daten und in der Datenübertragung erkannt werden.
Description
Die Erfindung betrifft ein Verfahren und eine Vorrichtung
zur Überwachung von Steuereinheiten. Ein derartiges Verfah
ren bzw. eine derartige Vorrichtung ist aus der
DE 44 38 714 A1 bekannt. Diese beschreibt eine eigensichere
Steuereinheit, beispielsweise in Verbindung mit Steuersyste
men zur Steuerung der Antriebseinheit eines Fahrzeugs. Ei
gensicherheit bedeutet dabei, dass bei Auftreten eines Feh
lers der Fehlerzustand auf das System begrenzt bleibt, in
dem der Fehler entstanden ist, und das System nach außen hin
immer in einem sicheren Zustand verbleibt. Dabei dürfen bei
spielsweise Einzelfehler nicht zur Leistungserhöhung der An
triebseinheit führen. Das in der bekannten Veröffentlichung
beschriebene Überwachungskonzept ist strukturell zweikana
lig, d. h. alle sicherheitsrelevanten Pfade sind durch redun
dante Kanäle abgesichert. Dies gilt auch für die sicher
heitsrelevanten Anteile der operativen Software, also bei
spielsweise der Software zur Erfüllung der Aufgabe der Steu
ereinheit. Diese die Steuergerätefunktionen realisierende
Software wird im Rahmen einer zweiten Programmebene durch
redundante Software überwacht, die die korrekte Bildung der
Steuersignalgrößen durch die operative Software quantitativ
überprüft. D. h. die Software der zweiten Ebene realisiert
eine Funktionsüberwachung der Software der ersten Ebene. Der
Ablauf und die Funktionsfähigkeit der Software dieser zwei
ten Ebene wird durch Kommunikation mit einem externen Über
wachungsmodul im Rahmen einer Frage-Antwort-Kommunikation
überwacht. Konkret enthält in der bekannten Ausführung die
erste Softwareebene die operative Software zur Durchführung
der Steuerfunktion sowie systemspezifische Überwachungsfunk
tionen der Eingangsgrößen und der Endstufen. Die zweite Ebe
ne besteht aus der Funktionsüberwachung. In der Funktions
überwachung wird mittels redundanter Funktionen die korrekte
Bildung der Ausgangsgrößen, insbesondere der leistungsbe
stimmenden Größen, überwacht. Außerdem bilden die Programme
der zweiten Ebene die Antwort auf eine ausgewählte, vom
Überwachungsmodul im Rahmen einer Ablaufkontrolle übermit
telten Fragen, mit deren Hilfe die korrekte Berechnung der
Überwachungsfunktionen überprüft wird und führen eine Rech
nerüberwachung mittels eines Tests der Überwachungsfunktio
nen durch Simulationsdaten durch. Die dritte Ebene schließ
lich enthält die Frage-Antwort-Kommunikation (auf der Basis
der übermittelten Frage und der gebildeten Antwort) mit dem
Überwachungsmodul, mit deren Hilfe die Funktionsweise der
Programme der zweiten Ebene überwacht wird. Dieser Ebene
sind ferner Überwachungsfunktionen zugeordnet, die Komponen
ten des Funktionsrechners wie Speicher, Analog-/Digital-
Wandler, usw. prüfen. Eine derartige Vorgehensweise ist aus
dem oben genannten Stand der Technik bekannt.
In modernen Steuersystemen werden in der Regel mehrere Steu
ereinheiten eingesetzt, die separate Bauelemente bilden oder
auch in einem Gerät baulich vereinigt sind. So sind bei
spielsweise bei modernen Fahrzeugsteuerung Steuergeräte zur
Steuerung der Antriebseinheit, zur Steuerung des Fahrverhaltens
(ABS, ASR, ESP), zur Steuerung eines automatischen Ge
triebes, zur Steuerung der Radbremsen, usw. vorhanden.
Üblicherweise werden in einem Sicherheitssystem eines Mehr
steuergerätekonzeptes Redundanzen vorgesehen. So sind bei
spielsweise einzelne Komponenten die Daten zur Weiterverar
beitung in den Steuergeräten bzw. Steuereinheiten liefern,
in einem solchern Sicherheitskonzept in der Regel mit allen
den Steuereinheiten direkt verbunden, die die von den Kom
pontenten gelieferten Daten benötigen bzw. weiterverarbei
ten. Dies können beispielsweise Sensoren sein, aber auch Ak
tuatoren, die eine Rückmeldung über Betriebszustände lie
fern.
Aufgabe der Erfindung ist es nun, für die Daten bzw. Infor
mation aus diesen Komponenten eine Übertragung an ein oder
mehrere Steuergeräte bzw. Steuereinheiten zu definieren, die
heutigen Sicherheitsstandards entspricht, um zu ermöglichen,
dass die die Daten liefernde Komponente nur an eine Steuer
einheit angebunden werden kann.
Erfindungsgemäß wird somit ein Verfahren zur Überwachung von
Daten und der Übertragung der Daten zwischen wenigstens ei
ner ersten und einer zweiten Steuereinheit im Rahmen eines
Steuergeräteverbundes vorgeschlagen, wobei die wenigstens
zwei Steuereinheiten eine erste Programmebene aufweisen, der
Programme zugeordnet sind, die die Steuerfunktionen berech
nen, sowie eine zweite Programmebene aufweisen, die Program
me umfasst, welche die Funktionsfähigkeit der Programme der
ersten Programmebene überwachen, wobei die erste Steuerein
heit mit wenigstens einer Komponente verbunden ist, die zur
Erfassung von Daten, insbesondere Steuergrößen dient. Vorteilhafter
Weise werden die durch die Komponente erfassten
Daten oder mit diesen Daten ermittelten Daten von der ersten
zur zweiten Steuereinheit gesichert über eine einzige Ver
bindung übertragen, wobei eine getrennte Absicherung der Da
ten und der Datenübertragung in der ersten und zweiten Pro
grammebene derart erfolgt, das Fehler der Daten und in der
Datenübertragung erkannt werden.
Es werden also zur Aufrechterhaltung der Redundanz trotz An
bindung der wenigstens eine Komponente an nur ein Steuerge
rät zwei parallele Signalpfade definiert, wovon einer davon
mit speziellen Absicherungsmechanismen ausgestattet ist.
Vorteilhaft dabei ist, der minimale Hardwareaufwand bei der
Kopplung der Steuereinheiten, da durch die erfindungsgemäße
Absicherung in der ersten und zweiten Programmebene der Da
ten bzw. Datenübertragung eine einzige Verbindung zur Erzeu
gung von Redundanz ausreicht. Somit erfolgt zweckmäßiger
Weise die Realisierung eines Mehrsteuergerätebetriebes mit
minimaler Hardwareanbindung zwischen den Steuereinheiten
beispielsweise nur über einen CAN-Bus. Der CAN-Bus bzw. das
CAN-Bus-Protokoll mit den in der Beschreibung verwendeten
Eigenschaften ist in der "CAN Specification, Version 2.0,
Robert Bosch GmbH" von 1991 und in der Norm ISO/TC 22/SC 3 N
11898 von 1999 beschrieben.
Dabei können dann vorteilhafter Weise bestimmte, insbesonde
re auch leistungsbestimmende Elemente bzw. Komponenten
trotzdem nur an eine der wenigstens zwei Steuereinheiten an
gebunden sein. Die im Stand der Technik definierte Überwa
chung wird dann über diese erfindungsgemäße Anbindung hinweg
durchgeführt.
Dabei erfolgt die Absicherung in der ersten Programmebene
durch Auswertung der Statusinformation einer entsprechenden
CAN-Botschaft, die die Daten enthält. Die Absicherung in der
zweiten Programmebene der ersten Steuereinheit erfolgt durch
Hinzufügung einer Absicherungsinformation zum jeweiligen Da
tum und/oder durch Einsatz eines Botschaftszählers, wobei
dann die Konsistenz und Aktualität der Empfangsbotschaft
überprüft werden kann.
Vorteilhafter Weise wird dann bei Erkennen eines Fehlers der
Daten in der Datenübertragung bzw. eines Fehlers in den Da
ten selbst eine Fehlerreaktion angestossen, durch die im
zweiten Steuergerät bzw. der zweiten Steuereinheit ein si
cherer Zustand eingestellt werden kann. Zweckmäßigerweise
erfolgt die Fehlerreaktion derart, dass Fehler im ersten
Steuergerät bzw. der ersten Steuereinheit nicht zu unerkann
ter Leistungserhöhung in einem weiteren Steuergerät bzw. ei
ner weiteren Steuereinheit führen.
Weitere Vorteile und vorteilhafte Ausgestaltungen ergeben
sich aus der Beschreibung und den Ansprüchen.
Die Erfindung wird im weiteren anhand der in der Zeichnung
dargestellten Figuren offenbart.
Dabei zeigt Fig. 1 eine Steuereinheit mit dem Überwachungs
konzept gemäß der DE 44 38 714 A1.
In Fig. 2 ist ein Steuergeräteverbund dargestellt und die
erfindungsgemäße Erweiterung in Programmebene 1 und 2 zur
singulären Anbindung einer Komponente.
Fig. 3 zeigt anhand eines konkreten Beispiels mit Pe
dalsollwertvorgabe und Fahrgeschwindigkeitsregelung (FGR)
die Überwachungsfunktion sowie die Fehlerreaktion.
Fig. 1 zeigt ein Steuergerät 1 mit einer Steuereinheit 10
und einem Überwachungsmodul 11. Dieses Steuergerät 1 dient
in einem bevorzugten Ausführungsbeispiel zur Steuerung einer
Brennkraftmaschine. Das Steuergerät 1 umfasst dabei eine
Steuereinheit 10 sowie ein Überwachungsmodul 11, welchen den
Programmebenen 1, 2 und 3 zugeorndet werden. Ebenso kann das
Steuergerät 1 einen Rechner umfassen, der insgesamt die Pro
grammebenen 1 bis 3 umfasst, so dass das Überwachungsmodul
bzw. die zugehörige Ebene 3 in die Steuereinheit, also den
Funktionsrechner integriert ist.
Dabei sind der Ebene 1 die Funktionen zugeordnet, welche zur
Gewährleistung der Steuerfunktion, d. h. der eigentlichen
Steuerungsaufgaben, sowie systemspezifische Überwachungs
funktionen der Eingangsgrößen und Endstufen dienen. Ebenso
in Ebene 1 untergebracht ist die Funktionalität zur Daten
übertragung beispielsweise bei Verwendung eines CAN-
Bussystems. Dies ist in Fig. 1 durch 14 dargestellt. Den
Steuergeräten werden über Eingangssschaltungen 16 von nicht
dargestellten Messeinrichtungen, beispielsweise Sensoren
oder Aktuatoren Eingangsgrößen über die Eingangsleitungen 18
bis 22 zugeführt. Diese Eingangsgrößen liegen der Berechnung
der Steuerfunktionen zugrunde. Daher werden die Eingangsgrö
ßen den Programmen der Ebene 1 zur Verfügung gestellt. Die
Programme der ersten Ebene bilden auf der Basis der Ein
gangsgrößen Stellgrößen, die über die Ausgangsleitungen 24
und 26 an die jeweiligen Endstufen 28 und 30 ausgegeben wer
den. Im bevorzugten Ausführungsbeispiel handelt es sich beim
Steuergerät 1 um ein Steuergerät zur Steuerung einer Brenn
kraftmaschine, wobei die Endstufen 28 Endstufen zur Steue
rung von Einspritzventilen und Zündeinrichtungen usw. also
Motorelektronik bzw. Motronikendstufen darstellen. Die End
stufe 30 ist im bevorzugten Ausführungsbeispiel beispiels
weise eine Endstufe zur Betätigung einer elektrisch betätig
baren Drosselklappe der Brennkraftmaschine. Je nach Anwen
dungsfall steuert das Steuergerät bzw. die Steuereinheit 10
Endstufen zur Betätigung von Kupplungen eines automatischen
Getriebes, von Bremsenstelleinrichtungen, usw. an.
Der Inhalt der DE 44 38 714 A1 wird an dieser Stelle aus
drücklich als Ausgangspunkt bzw. Bestandteil dieser Erfin
dung bestimmt. Wie aus dieser eingangs genannten Offenle
gungsschrift DE 44 38 714 A1 bekannt, sind der zweiten Ebene
2 Programme 32 zugeordnet, welche die Funktionsfähigkeit der
Programme der ersten Ebene und somit die Funktionsfähigkeit
der Steuerfunktion überwachen.
Im bevorzugten Ausführungsbeispiel dieser Erfindung wird
dies auf der Basis von Ein- und Ausgangsgrößen durchgeführt.
Den Programmen der zweiten Programmebene bzw. Ebene II wer
den somit redundant die Eingangssignale der Leitungen 18 bis
22 zugeführt, sowie die Ausgangs- oder Zwischengrößen der
Programme der ersten Programmebene bzw. Ebene I über Leitun
gen 34 bis 38. Durch Vergleich dieser Größen bzw. daraus ab
geleiteter Größen stellen die Programme der zweiten Ebene
die Funktionsfähigkeit bzw. eine Fehlfunktion der Programme
der ersten Ebene fest. Zur Sicherstellung der Betriebssi
cherheit ist vorgesehen, dass wenigstens eine der Endstufen
im Beispiel der Steuereinheit 10 die Endstufe 30 über eine
Ausgangsleitung 40 durch die Programme der zweiten Ebene DII
im fehlerfreien Fall freigeschaltet wird, bzw. bei auftre
tendem Fehler abgeschaltet wird.
Die dritte Programmebene III umfasst Programme, welche die
Funktionsfähigkeit der Programme der Ebene II sowie von Kom
ponenten des Rechners überprüfen. Dabei kann die dritte Ebe
ne III wie in Fig. 1 dargestellt, über Funktionsrechner und
Überwachungsmodul 11 aufgeteilt sein oder auch komplett in
der Steuereinheit 10, also quasi mit integriertem Überwa
chungsmodul, enthalten sein.
Die Programme dieser Ebene II kommunizieren im dargestellten
Beispiel im Rahmen der Überwachung aber mit externen Bauele
menten, beim eingangs genannten Stand der Technik mit dem
Überwachungsmodul.
Die Ebene III umfasst Programme wie Speichertestprogramme 42,
Programme zur Ablaufkontrolle 44 und eventuell auch Pro
gramme zum Fremdgerätetest. Im eingangs genannten Stand der
Technik, welcher eine Einzelüberwachung eines Steuergerätes
beschreibt, stehen die Programme der Ablaufkontrolle der
Ebene III mit dem Überwachungsmodul in Verbindung. Durch
Frage-Antwort-Kommunikation 13, 14 mit Ablaufkontrolle 44
mit nachfolgendem Speichertest 42 wird dabei eine Funktions
überwachung sichergestellt. Zur redundanten Absicherung gibt
dann das Überwachungsmodul 11 bzw. die entsprechenden Pro
gramme 11a über Leitung 12 ein Erlaubnissignal an Endstufe
30 bzw. eine Freigabe an die Motronicendstufe 28.
Dieses Überwachungskonzept wird nun erfindungsgemäß in Fig.
2 erweitert. So besitzt das erste Steuergerät 200, bei
spielsweise das Sende- oder Mastersteuergerät eine Anbindung
an bestimmte Komponenten 210, welche das bzw. die Slavesteu
ergeräte, also die zweiten Steuergeräte 201 nicht besitzen.
Die Information dieser Komponente 210 werden an sinnvoller
Stelle für die zweiten Steuergeräte, also für die Empfangs-
oder Slavesteuergeräte 201 abgezweigt. Dabei ist wichtig,
das Fehler im Mastersteuergerät 200 nicht zu unerkannter
Leistungserhöhung im Slavesteuergerät 201 führen. Es gibt
also im Steuergeräteverbund 2, also im Mehrsteuergerätekon
zept ein Mastersteuergerät 200 an das Komponenten 210 ange
schlossen sind, die nur einmal vorhanden sind und nicht par
allel eingelesen werden sollen oder können, wie beispiels
weise ein Pedalwertgeber.
Es wird nun im Mastersteuergerät 200 aus der Funktionsüber
wachung 32a ein Datenpaket zusammengestellt. Die Funktions
überwachung stellt abgesicherte RAM-Informationen, also Da
ten aus dem Arbeitsspeicher 203a zur Verfügung. Aus diesen
wird dann die Sendebotschaft mit einer speziellen Absiche
rungsinformation und einem Botschaftszähler 204a zusammenge
stellt. Dies erfolgt in Programmebene II. Am Beispiel der
Verbindung über CAN-Bus wird nun die Sendebotschaft mit Ab
sicherungsinformation und Botschaftszähler in den Arbeits
speicherpuffer für die CAN-Botschaft 205a gelegt. Über die
CAN-Bedienung fürs Senden 206a und den Block CAN mit DPRAM
207a wird dann die Botschaft mit dementsprechendem Datenin
halt zum Empfangssteuergerät dem zweiten Steuergerät oder
Slavesteuergerät 201 über Verbindung 202, insbesondere den
CAN-Bus, übertragen. Die Funktionalitäten 205a, 206a und
207a sind dabei in Ebene I abgelegt.
In Ebene I des Empfangssteuergeräts 201 wird nun wiederrum
über Block 207b, DPRAM, die CAN-Bedienung fürs Empfangen
206b und den Arbeitsspeicherpuffer für die CAN-Botschaft
205b die CAN-Botschaft empfangen. Dabei wird die Empfangs
botschaft in Ebene IT ausgewertet und deren Aktualität an
hand des Botschaftszählers sowie deren Konsistenz anhand der
Absicherungsinformation in 204b geprüft. Die Daten gelangen
dann als abgesicherte Arbeitsspeicherinformationen über
Block 203b in die Funktionsüberwachung 32b. D. h. das Auswer
ten und die Prüfung erfolgt in Ebene II im Rahmen der Funk
tionsüberwachung.
In Fig. 3 wird dies anhand eines konkreten Beispiels noch
einmal dargestellt. D. h. die Erweiterung des Überwachungs
konzeptes der Fig. 1, dargestellt in Fig. 2, wird nun an
hand Fig. 3 im konkreten Beispiel eines Pedalwertgebers und
einer Fahrgeschwindigkeitsregelung FGR dargestellt. Dabei
werden die überwachungsrelevanten Signalpfade sowie die spe
ziellen Absicherungsmechanismen gezeigt. In Block 300 ist
die Übernahme aus dem CAN-Pufferspeicher für die Empfangs
botschaft dargestellt. Dabei können der Botschaftszähler vom
Master 304, ein Pedalsollwert vom Master 303 sowie die Fahr
geschwindigkeitsregelungszulässigkeit vom Master (FGR-
Zulässigkeit) 302 und die Absicherungsinformation 301 vom
Master extrahiert werden.
In Block 305 wird die Botschaftszählerdifferenz ausgewertet.
Das bedeutet, dass die Aktualität der Empfangsbotschaft
überprüft wird. In Block 306 wird die Absicherungsinformati
on kontrolliert. Diese kann wie hier dargestellt als
Checksumme oder Checkwert über 302 bis 304 dargestellt sein
oder auch als Checksummenwert über Teile der Gesamtinforma
tion beispielsweise nur 302 und 303 dargelegt sein.
Die Ergebnisse der Botschaftszählerauswertung, also die Prü
fung der Aktualität sowie die Konsitenzüberprüfung im Block
306 werden in Block 307 bewertet. Ein Beispiel für eine sol
che Auswertung ist beispielsweise eine Veroderung der Signa
le, wodurch, wenn ein Fehler durch "1" signalisiert wird,
lediglich bei Fehlerlosigkeit keine Inaktivwerte in 308 vor
gegeben werden. Liegt aus einem der Blöcke 305 oder 306 ein
Fehler symbolisiert durch eine "1" vor, werden durch die
Verorderung Inaktivwerte vorgegeben, wodurch eine Leistungs
erhöhung im Slavesteuergerät vermieden werden kann.
Diese Inaktivwerte in Block 308 sind beispielsweise die
Leerlaufvorgabe für den Pedalsollwert bzw. die Verneinung
der Zulässigkeit entsprechend der Fahrgeschwindigkeitsrege
lung. In Ebene I erfolgt die Leerlaufvorgabe für den Pe
dalsollwert bzw. Vorgabe eines Nullmoments im Rahmen der
Fahrgeschwindigkeitsregelung. Es werden somit zwei Signal
pfade definiert, einmal der Signalpfad der Funktion in Ebene
I als Bestandteil von CAN-Botschaften, wobei in diesem spe
ziellen Ausführungsbeispiel der Pedalsollwert und ein Fahr
geschwindigkeitsregelungssollmoment im Rahmen von CAN-
Botschaften übertragen werden. Dabei wird in Ebene I eine
Nachrichtenunterbrechung in der Funktion durch Auswertung
der Statusinformationen der CAN-Botschaften im CAN-DPRAM er
kannt und führt zu der genannten Fehlerreaktion in der Funk
tion der Leerlaufvorgabe für den Pedalsollwert sowie der
Nullmomentvorgabe im Rahmen der Fahrgeschwindigkeitsrege
lung.
Der zweite Signalpfad der Überwachung in Ebene II erfolgt
ebenfalls in der CAN-Botschaft, aber mit Botschaftszähler
und Absicherungsinformation. D. h. hier wird eine Nachrich
tenunterbrechung in der Funktionsüberwachung durch Auswer
tung des Botschaftszählers auf Veränderung erkannt. Im Si
gnalpfad II wird auch hier ein Pedalsollwert vorzugsweise
ein redundanter Pedalsollwert sowie die Zulässigkeit der
Fahrgeschwindigkeitsregelung FGR übertragen. Bei Erkennung
auf Fehler in der Überwachung erfolgt als Reaktion die Leer
laufvorgabe bezüglich des redundanten Pedalsollwertes sowie
die Einstufung der Fahrgeschwindigkeitsregelung als unzuläs
sig, wodurch das Slavesteuergerät in den sicheren Zustand
überführt wird.
Desweiteren wird nun die Auswirkung von Fehlern im Master
steuergerät 200 im Rahmen des Verhaltens des Slavesteuerge
rätes 201 betrachtet. Dabei wird in 1. bis 4. unterschieden
zwischen:
- 1. Fehlern, die Auswirkung auf den Pedalsollwert haben, der
vom Mastersteuergerät ans Slavesteuergerät übertragen wird:
Diese Fehler können sein:- - Unterspannung im Mastersteuergerät,
- - ADC-Fehler im Mastersteuergerät (ADC = Analog-Digital- Converter),
- - Fehlererkennung in der Pedalsollwertüberwachung im Master steuergerät in Ebene II
- - Leerlaufvorgabe in Ebene I für Master- und Slavesteuerge rät,
- - die Überwachung auf Leerlaufvorgabe in Ebene II für Master- und Slavesteuergerät
- - Drehzahlbegrenzung über Einspritzausblendung mit stromloser Drosselklappenendstufe (30) im Mastersteuergerät und Leer laufvorgabe im Slavesteuergerät.
- 2. Fehler die Auswirkungen auf die Fahrgeschwindigkeitsrege
lungsvorgabe haben, die vom Mastersteuergerät ans Slavesteu
ergerät übertragen wird:
- - Fahrgeschwindigkeitsregelungsbedienhebelfehler oder Bot schaftsfehler bei Fahrgeschwindigkeitsregelungssignalen über CAN,
- - Bremslichtschalterfehler,
- - andere Fehler, die zur FGR-Abschaltung in Ebene I führen, sowie
- - Fehlererkennung in der Überwachung der Eingangsinformatio nen für die FGR-Überwachung im Mastersteuergerät in Ebene II.
- - Kein FGR-Solimoment in Ebene I für Master- und Slavesteuer gerät,
- - keine FGR-Zulässigkeit in Ebene II in Master- und Slave steuergerät,
- - Normalbetrieb ohne Fahrgeschwindigkeitsregelung in Master- und Slavesteuergerät, wobei als Ausnahme die Fehler betrach tet werden, die zur FGR-Abschaltung führen. Diese werden durch andere Fehlerreaktionen im Mastersteuergerät beglei tet.
- 3. Speicherfehler, Arbeitsspeicher oder Festspeicherfehler
(RAM oder ROM im Mastersteuergerät) führen zu folgender Feh
lerreaktion im System:
- - der vom Fehler betroffene Speichertest wird in der Intiali sierung des Mastersteuergerätes wiederholt,
- - der Speichertest erkennt den Fehler und verhindert den Nor malbetrieb.
- - Die CAN-Anbindung im Mastersteuergerät wird nicht freigege ben.
- - Die CAN-Botschaften vom Mastersteuergerät werden nicht ge sendet.
- - Im Slavesteuergerät werden keine CAN-Botschaften vom Ma stersteuergerät empfangen.
- - Ebene I im Slavesteuergerät erkennt über die Statusinforma tionen in den Beschreibungsbytes (Descriptorbytes) der CAN- Botschaften auf Nachrichtenunterbrechung und gibt als Pe dalsollwert Leerlauf und als FGR-Sollmoment 0 vor.
- - Ebene II im Slavesteuergerät erkennt auf "Botschaftszähler steht" und gibt für die Überwachung als Pedalsollwert Leer lauf und für die FGR-Funktion "FGR nicht zulässig" vor.
- - Endstufenabschaltung im Mastersteuergerät.
- - Leerlaufbetrieb ohne Fahrgeschwindigkeitsregelung im Slave steuergerät, nach Endprellzeit sowie Drehzahlbegrenzung über Einspritzausblendung.
- 4. Befehls- oder Programmablaufskontrollfehler im Master
steuergerät führen zu folgenden möglichen Fehlerreaktionen
im Gerät:
- - Das Mastersteuergerät sendet keine Botschaften ans Slave steuergerät,
- - im Slavesteuergerät wird in Ebene I und II auf CAN- Nachrichtenunterbrechung erkannt und mit den genannten Inak tivvorgaben reagiert.
- - Das Mastersteuergerät sendet während der Reset- und Initia lisierungszeit keine bzw. keine gültigen, ansonsten fehler hafte Überwachungsbotschaften ans Slavesteuergerät,
- - Ebene II im Slavesteuergerät erkennt auf Botschaftsfehler und gibt die Inaktivwerte in Ebene I und II vor.
- - Das Mastersteuergerät sendet während der Reset- und Initia lisierungszeit keine Botschaften an das Slavesteuergerät, das mit Inaktivvorgaben reagiert.
- - Das Mastersteuergerät kann zwischen den zyklisch durchs Überwachungsmodul ausgelösten Resets gültige Botschaften ans Slavesteuergerät senden. Dies wird durch die bleibende Feh lerauswirkung, die erst nach Erkennung auf mehrmalig fehler freie Botschaft zurückgenommen wird, überbrückt. Damit ist im Slavesteuergerät dauerhaft die Inaktiv-Vorgabe in Ebene I und II gültig.
Somit kann im Mehrsteuergerätekonzept mit einem Masterste u
ergerät, an das Komponenten angeschlossen sind, die nur einmal
vorhanden sind und nicht parallel eingelesen werden kön
nen oder sollen, wie zum Beispiel der Pedalwertgeber, ein
Mehrsteuergerätebetrieb mit minimaler Hardwareanbindung zwi
schen den Steuergeräten beispielsweise nur über CAN reali
siert werden, bei Erzielung der notwendigen Sicherheitsst an
dards. Dabei können bestimmte, inbesondere auch leistungsbe
stimmende Elemente trotzdem nur an eines der beiden Steuer
geräte angebunden sein, wobei die definierte Überwachung ge
mäß dem Stand der Technik über diese Anbindung hinweg durch
geführt werden kann.
Claims (6)
1. Verfahren zur Überwachung von Daten und der Übertragung
der Daten zwischen wenigstens einer ersten und einer zweiten
Steuereinheit, wobei die wenigstens zwei Steuereinheiten ei
ne erste Programmebene aufweisen der Programme zugeordnet
sind, die die Steuerfunktion berechnen sowie eine zweite
Programmebene aufweisen, die Programme umfasst, welche die
Funktionsfähigkeit der Programme der ersten Programmebene
überwachen, wobei die erste Steuereinheit mit wenigstens ei
ner Komponente verbunden ist, die zur Erfassung von Daten,
insbesondere Steuergrößen, dient
dadurch gekennzeichnet, dass
die durch die Komponente erfassten Daten oder mit diesen er
mittelte Daten von der ersten zur zweiten Steuereinheit ge
sichert über eine einzige Verbindung übertragen werden, wo
bei eine getrennte Absicherung der Daten und der Datenüber
tragung in der ersten und zweiten Programmebene derart er
folgt, dass Fehler der Daten und in der Datenübertragung er
kannt werden.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass
die einzige Verbindung ein CAN-Bus ist.
3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass
die Absicherung in der ersten Programmebene durch Auswertung
der Statusinformation einer entsprechenden CAN-Botschaft,
die die Daten enthält auf dem CAN-Bus ist.
4. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass
die Absicherung in der zweiten Programmebene der ersten
Steuereinheit durch Hinzufügung einer Absicherungsinformati
on zum jeweiligen Datum und durch Einsatz eines Botschafts
zählers erfolgt.
5. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass
bei Erkennen eines Fehlers der Daten oder in der Datenüber
tragung, insbesondere eine Unterbrechung der Datenübertra
gung, eine Fehlerreaktion erfolgt, durch die im zweiten
Steuergerät ein sicherer Zustand eingestellt wird.
6. Vorrichtung mit wenigstens zwei Steuereinheiten zur Über
wachung von Daten und zur Übertragung der Daten zwischen we
nigstens der ersten und der zweiten Steuereinheit, wobei die
wenigstens zwei Steuereinheiten eine erste Programmebene
aufweisen der Programme zugeordnet sind, die die Steuerfunk
tion berechnen sowie eine zweite Programmebene aufweisen,
die Programme umfasst, welche die Funktionsfähigkeit der
Programme der ersten Programmebene überwachen, wobei die er
ste Steuereinheit mit wenigstens einer Komponente verbunden
ist, die zur Erfassung von Daten, insbesondere Steuergrößen,
dient
dadurch gekennzeichnet, dass
die durch die Komponente erfassten Daten oder mit diesen er
mittelte Daten von der ersten zur zweiten Steuereinheit ge
sichert über eine einzige Verbindung übertragen werden, wobei
Mittel enthalten sind, welche eine getrennte Absicherung
der Daten und der Datenübertragung in der ersten und zweiten
Programmebene derart durchführen, dass Fehler der Daten und
in der Datenübertragung erkannt werden.
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10113917.9A DE10113917B4 (de) | 2001-03-21 | 2001-03-21 | Verfahren und Vorrichtung zur Überwachung von Steuereinheiten |
FR0203450A FR2822562B1 (fr) | 2001-03-21 | 2002-03-20 | Procede et dispositif de surveillance d'unites de commande |
US10/101,820 US6918064B2 (en) | 2001-03-21 | 2002-03-20 | Method and device for monitoring control units |
JP2002080119A JP2002312033A (ja) | 2001-03-21 | 2002-03-22 | 制御ユニットの監視方法及びその装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10113917.9A DE10113917B4 (de) | 2001-03-21 | 2001-03-21 | Verfahren und Vorrichtung zur Überwachung von Steuereinheiten |
Publications (2)
Publication Number | Publication Date |
---|---|
DE10113917A1 true DE10113917A1 (de) | 2002-09-26 |
DE10113917B4 DE10113917B4 (de) | 2019-05-23 |
Family
ID=7678491
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10113917.9A Expired - Fee Related DE10113917B4 (de) | 2001-03-21 | 2001-03-21 | Verfahren und Vorrichtung zur Überwachung von Steuereinheiten |
Country Status (4)
Country | Link |
---|---|
US (1) | US6918064B2 (de) |
JP (1) | JP2002312033A (de) |
DE (1) | DE10113917B4 (de) |
FR (1) | FR2822562B1 (de) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005061296A1 (de) * | 2003-12-20 | 2005-07-07 | Daimlerchrysler Ag | Verfahren und fahrfunktionssystem zum überführen von sicherheitsrelevanten fahrfunktionen eines fahrzeugs in den sicheren zustand |
DE102006057743A1 (de) * | 2006-12-07 | 2008-06-19 | Siemens Ag | Verfahren zur Überwachung der Funktionssoftware von Steuergeräten in einem Steuergeräteverbund |
US7469179B2 (en) | 2004-10-01 | 2008-12-23 | Bayerische Motoren Werke Aktiengesellschaft | Longitudinal dynamic control device for motor vehicles |
EP2388460A1 (de) * | 2010-05-17 | 2011-11-23 | Caterpillar Motoren GmbH & Co. KG | Common-Rail-System für einen Verbrennungsmotor mit mehreren Zylinderbänken und mit unabhängig gesteuerter Kraftstoffzufuhr zu jeder Bank |
WO2013083367A1 (de) * | 2011-12-08 | 2013-06-13 | Robert Bosch Gmbh | Verfahren und vorrichtung zur überprüfung einer funktionsfähigkeit einer von einem multi-fuel-system betriebenen brennkraftmaschine |
WO2015162332A1 (en) * | 2014-04-23 | 2015-10-29 | Wärtsilä Finland Oy | Distributed control |
EP2099667B2 (de) † | 2006-11-30 | 2016-06-29 | Continental Teves AG & Co. oHG | Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems |
DE102016210984A1 (de) | 2016-06-20 | 2017-12-21 | Robert Bosch Gmbh | Verfahren zum Betreiben eines Steuergeräts |
WO2018184699A1 (en) * | 2017-04-07 | 2018-10-11 | Ecole Polytechnique Federale De Lausanne (Epfl) | A controller and an agreement protocol for a real-time control system |
DE102007003146B4 (de) | 2006-01-20 | 2020-06-18 | Hitachi, Ltd. | Elektronische Steuereinrichtung für Fahrzeuge und zugehöriges Diagnoseverfahren |
DE10331873B4 (de) | 2003-07-14 | 2022-09-01 | Robert Bosch Gmbh | Verfahren zur Überwachung verteilter Software |
WO2023213461A1 (de) * | 2022-05-04 | 2023-11-09 | Audi Ag | Antriebssystem für ein fahrzeug |
Families Citing this family (63)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10065118A1 (de) * | 2000-12-28 | 2002-07-04 | Bosch Gmbh Robert | System und Verfahren zur Steuerung und/oder Überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbundes |
KR100614433B1 (ko) * | 2001-05-14 | 2006-08-22 | 엔티티 도꼬모 인코퍼레이티드 | 애플리케이션 관리 서버, 이동 단말 및 애플리케이션 관리 방법 |
DE10331872A1 (de) * | 2003-07-14 | 2005-02-10 | Robert Bosch Gmbh | Verfahren zur Überwachung eines technischen Systems |
US7184864B2 (en) * | 2004-04-19 | 2007-02-27 | Haldex Brake Products Ltd. | Vehicle system control unit with auxiliary control capabilities |
WO2007042561A1 (de) * | 2005-10-12 | 2007-04-19 | Continental Teves Ag & Co. Ohg | Bremsanlage für kraftfahrzeuge |
DE102006037124A1 (de) * | 2006-08-09 | 2008-02-14 | Daimler Ag | Ansteuersystem für eine Antriebseinheit eines Kraftfahrzeuges |
US9432208B2 (en) | 2008-10-27 | 2016-08-30 | Lennox Industries Inc. | Device abstraction system and method for a distributed architecture heating, ventilation and air conditioning system |
US8564400B2 (en) | 2008-10-27 | 2013-10-22 | Lennox Industries, Inc. | Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network |
US9268345B2 (en) | 2008-10-27 | 2016-02-23 | Lennox Industries Inc. | System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network |
US8774210B2 (en) | 2008-10-27 | 2014-07-08 | Lennox Industries, Inc. | Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network |
US8655490B2 (en) | 2008-10-27 | 2014-02-18 | Lennox Industries, Inc. | System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network |
US8437877B2 (en) | 2008-10-27 | 2013-05-07 | Lennox Industries Inc. | System recovery in a heating, ventilation and air conditioning network |
US8788100B2 (en) | 2008-10-27 | 2014-07-22 | Lennox Industries Inc. | System and method for zoning a distributed-architecture heating, ventilation and air conditioning network |
US8600558B2 (en) | 2008-10-27 | 2013-12-03 | Lennox Industries Inc. | System recovery in a heating, ventilation and air conditioning network |
US8725298B2 (en) | 2008-10-27 | 2014-05-13 | Lennox Industries, Inc. | Alarm and diagnostics system and method for a distributed architecture heating, ventilation and conditioning network |
US8615326B2 (en) | 2008-10-27 | 2013-12-24 | Lennox Industries Inc. | System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network |
US9678486B2 (en) | 2008-10-27 | 2017-06-13 | Lennox Industries Inc. | Device abstraction system and method for a distributed-architecture heating, ventilation and air conditioning system |
US9325517B2 (en) | 2008-10-27 | 2016-04-26 | Lennox Industries Inc. | Device abstraction system and method for a distributed-architecture heating, ventilation and air conditioning system |
US8548630B2 (en) | 2008-10-27 | 2013-10-01 | Lennox Industries, Inc. | Alarm and diagnostics system and method for a distributed-architecture heating, ventilation and air conditioning network |
US9632490B2 (en) | 2008-10-27 | 2017-04-25 | Lennox Industries Inc. | System and method for zoning a distributed architecture heating, ventilation and air conditioning network |
US8452906B2 (en) | 2008-10-27 | 2013-05-28 | Lennox Industries, Inc. | Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network |
US8239066B2 (en) | 2008-10-27 | 2012-08-07 | Lennox Industries Inc. | System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network |
US8352080B2 (en) | 2008-10-27 | 2013-01-08 | Lennox Industries Inc. | Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network |
US8855825B2 (en) | 2008-10-27 | 2014-10-07 | Lennox Industries Inc. | Device abstraction system and method for a distributed-architecture heating, ventilation and air conditioning system |
US8352081B2 (en) | 2008-10-27 | 2013-01-08 | Lennox Industries Inc. | Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network |
US8977794B2 (en) | 2008-10-27 | 2015-03-10 | Lennox Industries, Inc. | Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network |
US8600559B2 (en) | 2008-10-27 | 2013-12-03 | Lennox Industries Inc. | Method of controlling equipment in a heating, ventilation and air conditioning network |
US9261888B2 (en) | 2008-10-27 | 2016-02-16 | Lennox Industries Inc. | System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network |
US8892797B2 (en) | 2008-10-27 | 2014-11-18 | Lennox Industries Inc. | Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network |
US8433446B2 (en) | 2008-10-27 | 2013-04-30 | Lennox Industries, Inc. | Alarm and diagnostics system and method for a distributed-architecture heating, ventilation and air conditioning network |
US8442693B2 (en) | 2008-10-27 | 2013-05-14 | Lennox Industries, Inc. | System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network |
US8463442B2 (en) | 2008-10-27 | 2013-06-11 | Lennox Industries, Inc. | Alarm and diagnostics system and method for a distributed architecture heating, ventilation and air conditioning network |
US8798796B2 (en) | 2008-10-27 | 2014-08-05 | Lennox Industries Inc. | General control techniques in a heating, ventilation and air conditioning network |
US8655491B2 (en) | 2008-10-27 | 2014-02-18 | Lennox Industries Inc. | Alarm and diagnostics system and method for a distributed architecture heating, ventilation and air conditioning network |
US8762666B2 (en) | 2008-10-27 | 2014-06-24 | Lennox Industries, Inc. | Backup and restoration of operation control data in a heating, ventilation and air conditioning network |
US8295981B2 (en) | 2008-10-27 | 2012-10-23 | Lennox Industries Inc. | Device commissioning in a heating, ventilation and air conditioning network |
US8994539B2 (en) | 2008-10-27 | 2015-03-31 | Lennox Industries, Inc. | Alarm and diagnostics system and method for a distributed-architecture heating, ventilation and air conditioning network |
US8452456B2 (en) | 2008-10-27 | 2013-05-28 | Lennox Industries Inc. | System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network |
US8694164B2 (en) | 2008-10-27 | 2014-04-08 | Lennox Industries, Inc. | Interactive user guidance interface for a heating, ventilation and air conditioning system |
US9377768B2 (en) | 2008-10-27 | 2016-06-28 | Lennox Industries Inc. | Memory recovery scheme and data structure in a heating, ventilation and air conditioning network |
US8874815B2 (en) | 2008-10-27 | 2014-10-28 | Lennox Industries, Inc. | Communication protocol system and method for a distributed architecture heating, ventilation and air conditioning network |
US8661165B2 (en) | 2008-10-27 | 2014-02-25 | Lennox Industries, Inc. | Device abstraction system and method for a distributed architecture heating, ventilation and air conditioning system |
US8560125B2 (en) | 2008-10-27 | 2013-10-15 | Lennox Industries | Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network |
US8255086B2 (en) | 2008-10-27 | 2012-08-28 | Lennox Industries Inc. | System recovery in a heating, ventilation and air conditioning network |
US8437878B2 (en) | 2008-10-27 | 2013-05-07 | Lennox Industries Inc. | Alarm and diagnostics system and method for a distributed architecture heating, ventilation and air conditioning network |
US9152155B2 (en) | 2008-10-27 | 2015-10-06 | Lennox Industries Inc. | Device abstraction system and method for a distributed-architecture heating, ventilation and air conditioning system |
US8744629B2 (en) | 2008-10-27 | 2014-06-03 | Lennox Industries Inc. | System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network |
US8463443B2 (en) | 2008-10-27 | 2013-06-11 | Lennox Industries, Inc. | Memory recovery scheme and data structure in a heating, ventilation and air conditioning network |
US8802981B2 (en) | 2008-10-27 | 2014-08-12 | Lennox Industries Inc. | Flush wall mount thermostat and in-set mounting plate for a heating, ventilation and air conditioning system |
US9651925B2 (en) | 2008-10-27 | 2017-05-16 | Lennox Industries Inc. | System and method for zoning a distributed-architecture heating, ventilation and air conditioning network |
US8543243B2 (en) | 2008-10-27 | 2013-09-24 | Lennox Industries, Inc. | System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network |
DE102008054589B3 (de) * | 2008-12-12 | 2010-08-19 | Thielert Aircraft Engines Gmbh | Motorsteuerungssystem für einen Flugdieselmotor |
USD648642S1 (en) | 2009-10-21 | 2011-11-15 | Lennox Industries Inc. | Thin cover plate for an electronic system controller |
USD648641S1 (en) | 2009-10-21 | 2011-11-15 | Lennox Industries Inc. | Thin cover plate for an electronic system controller |
US8260444B2 (en) | 2010-02-17 | 2012-09-04 | Lennox Industries Inc. | Auxiliary controller of a HVAC system |
EP2634401B1 (de) * | 2012-02-28 | 2014-11-05 | Caterpillar Motoren GmbH & Co. KG | Steuerungssystem und -verfahren für Zweistoffmotoren |
DE102012010537A1 (de) * | 2012-05-29 | 2013-12-05 | Robert Bosch Gmbh | Programmiervorlage für verteilteAnwendungsprogramme |
CN102945032A (zh) * | 2012-11-06 | 2013-02-27 | 常州联力自动化科技有限公司 | 基于can总线的防爆无轨胶轮车安全保护装置的控制方法 |
US9604585B2 (en) * | 2014-07-11 | 2017-03-28 | Ford Global Technologies, Llc | Failure management in a vehicle |
JP7044061B2 (ja) * | 2016-06-21 | 2022-03-30 | 日本電気株式会社 | 移動体、移動体制御システム、移動体制御方法、インターフェース装置、およびプログラム |
JP6697964B2 (ja) * | 2016-06-27 | 2020-05-27 | 株式会社クボタ | コンバイン |
US10776195B2 (en) * | 2018-08-21 | 2020-09-15 | Continental Teves Ag & Co. Ohg | Apparatus for protecting signals |
CN109606333B (zh) * | 2018-11-26 | 2020-04-28 | 宋永端 | 一种基于BootLoader的多系统摩托车诊断仪 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3719283A1 (de) * | 1987-06-10 | 1988-12-22 | Bosch Gmbh Robert | Verfahren zur lokalisierung defekter stationen in lokalen netzwerken und dazugehoeriger schnittstellencontroller |
DE4438714A1 (de) | 1994-10-29 | 1996-05-02 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs |
GB9514268D0 (en) | 1995-07-13 | 1995-09-13 | Hoffmann La Roche | Pyrimidine nucleoside |
DE19529434B4 (de) | 1995-08-10 | 2009-09-17 | Continental Teves Ag & Co. Ohg | Microprozessorsystem für sicherheitskritische Regelungen |
DE19609242A1 (de) * | 1996-03-09 | 1997-09-11 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Steuerung einer Antriebseinheit eines Fahrzeugs |
DE19653429C2 (de) * | 1996-12-20 | 1998-10-15 | Siemens Ag | Verfahren zur Überprüfung der Funktionsfähigkeit einer Recheneinheit |
DE19949051A1 (de) | 1999-10-11 | 2001-04-12 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Steuerung von Vorgängen in einem Fahrzeug |
US6549972B1 (en) * | 1999-11-22 | 2003-04-15 | International Business Machines Corporation | Method and system for providing control accesses between a device on a non-proprietary bus and a device on a proprietary bus |
-
2001
- 2001-03-21 DE DE10113917.9A patent/DE10113917B4/de not_active Expired - Fee Related
-
2002
- 2002-03-20 US US10/101,820 patent/US6918064B2/en not_active Expired - Lifetime
- 2002-03-20 FR FR0203450A patent/FR2822562B1/fr not_active Expired - Fee Related
- 2002-03-22 JP JP2002080119A patent/JP2002312033A/ja active Pending
Cited By (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10331873B4 (de) | 2003-07-14 | 2022-09-01 | Robert Bosch Gmbh | Verfahren zur Überwachung verteilter Software |
WO2005061296A1 (de) * | 2003-12-20 | 2005-07-07 | Daimlerchrysler Ag | Verfahren und fahrfunktionssystem zum überführen von sicherheitsrelevanten fahrfunktionen eines fahrzeugs in den sicheren zustand |
US7469179B2 (en) | 2004-10-01 | 2008-12-23 | Bayerische Motoren Werke Aktiengesellschaft | Longitudinal dynamic control device for motor vehicles |
DE102004047925B4 (de) * | 2004-10-01 | 2016-09-15 | Bayerische Motoren Werke Aktiengesellschaft | Längsdynamiksteuervorrichtung für Kraftfahrzeuge |
DE102007003146B4 (de) | 2006-01-20 | 2020-06-18 | Hitachi, Ltd. | Elektronische Steuereinrichtung für Fahrzeuge und zugehöriges Diagnoseverfahren |
EP2099667B2 (de) † | 2006-11-30 | 2016-06-29 | Continental Teves AG & Co. oHG | Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems |
DE102006057743B4 (de) * | 2006-12-07 | 2015-07-30 | Continental Automotive Gmbh | Verfahren zur Überwachung der Funktionssoftware von Steuergeräten in einem Steuergeräteverbund |
DE102006057743A1 (de) * | 2006-12-07 | 2008-06-19 | Siemens Ag | Verfahren zur Überwachung der Funktionssoftware von Steuergeräten in einem Steuergeräteverbund |
US9091615B2 (en) | 2006-12-07 | 2015-07-28 | Continental Automotive Gmbh | Method for monitoring the functional software of control devices in a control device system |
EP2388460A1 (de) * | 2010-05-17 | 2011-11-23 | Caterpillar Motoren GmbH & Co. KG | Common-Rail-System für einen Verbrennungsmotor mit mehreren Zylinderbänken und mit unabhängig gesteuerter Kraftstoffzufuhr zu jeder Bank |
CN102985668B (zh) * | 2010-05-17 | 2016-04-06 | 卡特彼勒发动机有限及两合公司 | 向各列的燃料供应被独立控制的用于多气缸列燃烧发动机的共轨燃料系统 |
CN102985668A (zh) * | 2010-05-17 | 2013-03-20 | 卡特彼勒发动机有限及两合公司 | 向各列的燃料供应被独立控制的用于多气缸列燃烧发动机的共轨燃料系统 |
WO2011144312A1 (en) * | 2010-05-17 | 2011-11-24 | Caterpillar Motoren Gmbh & Co. Kg | Common rail fuel system for a multi-cylinder bank combustion engine with independently controlled fuel supply to each bank |
CN103958866A (zh) * | 2011-12-08 | 2014-07-30 | 罗伯特·博世有限公司 | 用于检查由多燃料系统运行的内燃机的性能的方法和装置 |
WO2013083367A1 (de) * | 2011-12-08 | 2013-06-13 | Robert Bosch Gmbh | Verfahren und vorrichtung zur überprüfung einer funktionsfähigkeit einer von einem multi-fuel-system betriebenen brennkraftmaschine |
WO2015162332A1 (en) * | 2014-04-23 | 2015-10-29 | Wärtsilä Finland Oy | Distributed control |
CN106232967B (zh) * | 2014-04-23 | 2019-03-12 | 瓦锡兰芬兰有限公司 | 控制发动机的控制装置和利用控制装置控制发动机的方法 |
CN106232967A (zh) * | 2014-04-23 | 2016-12-14 | 瓦锡兰芬兰有限公司 | 分布式控制 |
US10384689B2 (en) | 2016-06-20 | 2019-08-20 | Robert Bosch Gmbh | Method for operating a control unit |
DE102016210984A1 (de) | 2016-06-20 | 2017-12-21 | Robert Bosch Gmbh | Verfahren zum Betreiben eines Steuergeräts |
WO2018184699A1 (en) * | 2017-04-07 | 2018-10-11 | Ecole Polytechnique Federale De Lausanne (Epfl) | A controller and an agreement protocol for a real-time control system |
WO2023213461A1 (de) * | 2022-05-04 | 2023-11-09 | Audi Ag | Antriebssystem für ein fahrzeug |
Also Published As
Publication number | Publication date |
---|---|
US20020194551A1 (en) | 2002-12-19 |
FR2822562B1 (fr) | 2004-08-27 |
FR2822562A1 (fr) | 2002-09-27 |
US6918064B2 (en) | 2005-07-12 |
JP2002312033A (ja) | 2002-10-25 |
DE10113917B4 (de) | 2019-05-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE10113917A1 (de) | Verfahren und Vorrichtung zur Überwachung von Steuereinheiten | |
DE19933086B4 (de) | Verfahren und Vorrichtung zur gegenseitigen Überwachung von Steuereinheiten | |
EP2288523B2 (de) | Überwachungseinrichtung zur überwachung von systemen eines fahrzeugs | |
DE10162853C1 (de) | Kraftfahrzeugsteuersystem und Verfahren zur Kraftfahrzeugsteuerung | |
EP1040028B1 (de) | Verfahren zur fehlererkennung von mikroprozessoren in steuergeräten eines kfz | |
DE69925000T2 (de) | Fehlertolerantes elektronisches bremssystem | |
DE10065118A1 (de) | System und Verfahren zur Steuerung und/oder Überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbundes | |
EP2823430A1 (de) | Verfahren zur verbesserung der funktionalen sicherheit und steigerung der verfügbarkeit eines elektronischen regelungssystems sowie ein elektronisches regelungssystem | |
WO2004029737A1 (de) | Redundante steuergeräteanordnung | |
EP2425304B1 (de) | Steuersystem zum sicheren betreiben von mindestens einer funktionskomponente | |
EP1392546B1 (de) | Vorrichtung zum steuern elektrischer systeme mit einem testmodul | |
DE102005014550A1 (de) | Brake By-Wire Steuersystem | |
WO2008040641A2 (de) | Verfahren und vorrichtung zur fehlerverwaltung | |
DE10301504B3 (de) | Einsignalübertragung sicherer Prozessinformation | |
EP3473512B1 (de) | Funktionsmodul, steuereinheit für ein betriebsassistenzsystem und arbeitsvorrichtung | |
DE10236080A1 (de) | Verfahren und Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere in einem Fahrzeug | |
DE19937159A1 (de) | Elektrisch gesteuertes Bremssystem | |
DE102008009652A1 (de) | Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor | |
DE102016102282B4 (de) | Verfahren und Vorrichtung zum Überwachen einer Datenverarbeitung und -übertragung in einer Sicherheitskette eines Sicherheitssystems | |
DE19735015B4 (de) | Verfahren und Vorrichtung für Sicherheitsstrategien in Kraftfahrzeugen | |
DE102018218837B4 (de) | Radgeschwindigkeitssensorsystem, ein das Radgeschwindigkeitssensorsystem enthaltendes Fahrzeug und Verfahren zum Verarbeiten von Radgeschwindigkeitssignalen | |
DE102022204597A1 (de) | Steuerung und fehlerdiagnose von antriebsstrangkomponenten | |
WO2005001692A2 (de) | Verfahren und vorrichtung zur überwachung eines verteilten systems | |
DE102016224580B3 (de) | Prüfverfahren für einen Betätigungsschalter einer Funktionseinheit eines Kraftfahrzeugs | |
DE10063934A1 (de) | Verfahren und Vorrichtung zur Überwachung und Abschaltung von Steuereinheiten in einem Netzwerk und Netzwerk |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8110 | Request for examination paragraph 44 | ||
R084 | Declaration of willingness to licence |
Effective date: 20110527 |
|
R016 | Response to examination communication | ||
R018 | Grant decision by examination section/examining division | ||
R020 | Patent grant now final | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |