DE102005003916A1 - Überwachen der Funktionssicherheit einer Brennkraftmaschine - Google Patents
Überwachen der Funktionssicherheit einer Brennkraftmaschine Download PDFInfo
- Publication number
- DE102005003916A1 DE102005003916A1 DE102005003916A DE102005003916A DE102005003916A1 DE 102005003916 A1 DE102005003916 A1 DE 102005003916A1 DE 102005003916 A DE102005003916 A DE 102005003916A DE 102005003916 A DE102005003916 A DE 102005003916A DE 102005003916 A1 DE102005003916 A1 DE 102005003916A1
- Authority
- DE
- Germany
- Prior art keywords
- monitoring
- module
- computer
- monitoring module
- control device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/24—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
- F02D41/26—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/22—Safety or indicating devices for abnormal conditions
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/24—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
- F02D41/26—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
- F02D41/266—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Chemical & Material Sciences (AREA)
- Combustion & Propulsion (AREA)
- Mechanical Engineering (AREA)
- Computer Hardware Design (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Combined Controls Of Internal Combustion Engines (AREA)
Abstract
Zur Steuerung der Brennkraftmaschine dient eine Mehrzahl von teilweise sicherheitsrelevanten Funktionsaggregaten (220). Jedes solche sicherheitsrelevante Funktionsaggregat enthält mindestens ein Funktionsmodul (340) und mindestens ein Überwachungsmodul (360). Das Überwachungsmodul ist vom zugehörigen Funktionsmodul separiert und überwacht die Funktion des Funktionsmoduls. Ferner weist das Steuergerät eine übergeordnete Überwachungs-Funktionsgruppe (600) auf. Das Überwachungsmodul hat einen Eintrittspunkt (520) zur Kommunikation mit der übergeordneten Überwachungs-Funktionsgruppe. Wird ein Fehler festgestellt, meldet das Überwachungsmodul diesen mittels des Eintrittspunkts an die übergeordnete Überwachungsmodulfunktionsgruppe.
Description
- Die Überwachung sicherheitsrelevanter Eigenschaften von Anlagen, beispielsweise von Brennkraftmaschinen, wird heute durch eine Ebenenstruktur gewährleistet, die auf den sicherheitsrelevanten Funktionsumfang der Anlage im Steuergerät abgebildet ist. Ein Beispiel ist das EGAS (Elektronisches Gaspedal)-Überwachungskonzept entsprechend den Empfehlungen des EGAS-AK des VDA (Verein der Deutschen Automobilindustrie).
- Schwierig ist ein derartiges rein ebenenbezogenes Konzept sowohl bei Software-Strukturen, deren Bereitstellung auf verschiedene Software-Lieferanten verteilt ist, als auch bei verteilten Hardware-Strukturen, beispielsweise bei parallelen oder redundanten Strukturen, in denen jeweils Teile der sicherheitsrelevanten Funktionen ausgeführt werden. Weiter sieht das EGAS-Überwachungskonzept eine unabhängige Hardware zur Überwachung von Prozessorfunktionen des funktionsausführenden Rechners vor. Danach muss, wenn unterschiedliche Funktionen von unterschiedlichen Steuergeräten ausgeführt werden, für jedes dieser Steuergeräte eine unabhängige Hardwareeinrichtung für die Überwachung vorgesehen werden, was einen erhöhten Aufwand darstellt.
- Bisher konnte bei Softwarestrukturen die Synchronisation und die Problematik der Freigabe oder Umsetzung von Know-how, beispielsweise Schnittstellendefinitionen zur Definition der Überwachungsstruktur, nicht zufrieden stellend gelöst werden. Verteilte Hardware-Strukturen sind noch nicht verbreitet, werden aber im Zuge der so genannten AUTOSAR-Initiative (Automotive Open System Architecture) an Bedeutung gewinnen.
- Die Gruppierung von Funktionen, beispielsweise Zündung oder Einspritzung, erfolgt derzeit in so genannten Aggregaten. So kann beispielsweise die gesamte Funktionalität, die mit der Erfassung und Diagnose des Fahrerwunsches über das Gaspedal befasst ist, in einer Gruppe namens DRRQ (driver request, Fahrer-Anforderung) organisatorisch zusammen gefasst werden. Diese Gruppe enthält auch die Diagnosen der Komponente Gaspedal. Da die Funktion der Fahrerwunscherfassung eine sicherheitsrelevante Funktion ist, gibt es bisher in einer Überwachungs-Funktionsgruppe ein Modul, das mit der Absicherung der Funktionen im Aggregat DRRQ befasst ist. Werden nun die Funktionen von DRRQ von einem anderen Hersteller als Produkt (black box) geliefert oder werden diese Funktionen in einem anderen Steuergerät (z.B. carbody controller) ausgeführt, ist die technische und organisatorische Synchronisation der Überwachung schwierig, wenn nicht gar unmöglich, weil etwa zeitliche Anforderungen, beispielsweise Echtzeitkriterien, vorliegen, die durch einen Datenaustausch zwischen Steuergeräten verletzt werden können.
- Die Aufgabe der vorliegenden Erfindung besteht darin, einen neuen Weg zu finden, mit dem sich sicherheitsrelevante Strukturen über herstellerseitig bestehende oder produktspezifische Einschränkungen bei Softwareentwicklung und Hardwareplattformen hinweg synchronisieren lassen.
- Diese Aufgabe wird durch die Erfindungen mit den Merkmalen der unabhängigen Ansprüche gelöst. Vorteilhafte Weiterbildungen der Erfindungen sind in den Unteransprüchen gekennzeichnet. Der Wortlaut sämtlicher Ansprüche wird hiermit durch Bezugnahme zum Inhalt dieser Beschreibung gemacht.
- Erfindungsgemäß wird eine Steuereinrichtung für eine Anlage, insbesondere eine Brennkraftmaschine, vorgeschlagen. Die Steuereinrichtung kann aus einer Mehrzahl von Mikroprozessoren, aus einer Mehrzahl von einzelnen Steuergeräten oder aus einem einzelnen Steuergerät gebildet sein. Im folgenden wird in der Regel kurz von "Steuergerät" gesprochen.
- Das Steuergerät weist eine Mehrzahl von Funktionsaggregaten auf. Jedes sicherheitsrelevante Funktionsaggregat enthält mindestens ein Funktionsmodul und mindestens ein Überwachungsmodul. Das Überwachungsmodul ist vom Funktionsmodul separiert und überwacht die Funktion des Funktionsmoduls. Ferner weist das Steuergerät eine übergeordnete Überwachungs-Funktionsgruppe auf. Das Überwachungsmodul hat einen Eintrittspunkt zur Kommunikation mit der übergeordneten Überwachungs-Funktionsgruppe.
- Die Module können in Hardware oder Software ausgeführt sein, etwa als einzelne Mikrocontroller. Ein Eintrittspunkt kann beispielsweise eine Schnittstelle oder eine programmtechnische Klasse darstellen oder enthalten, die beispielsweise für eine Parameterübergabe oder eine Übergabe im Sinne eines Übertragungsweges geeignet ist.
- Im Ergebnis werden nach der vorbeschriebenen Struktur eigensichere Strukturen definiert. Es wird ein Großteil der Überwachung durch Module in den Funktions-Aggregaten selbst realisiert. Diese Überwachungsmodule kommunizieren mit der übergeordneten Überwachungs-Funktionsgruppe.
- Die Vorteile der erfindungsgemäßen Struktur bestehen darin, dass nun eine Funktion als Produkt immer mit den dazugehörigen Überwachungsstrukturen ausgestattet ist. Mithin kann ein Anbieter einer Funktion viel Know-how geheim halten, da er selbst die Überwachungsstrukturen definiert. Es wird sichergestellt, dass die Überwachungsfunktion (übergeordnete Überwachungs-Funktionsgruppe) und die entsprechenden Funktionen bzw. Funktionsaggregate (z. B. DRRQ) stets aufeinander abgestimmt sind.
- Auch bei verteilter Hardware werden die sicherheitsrelevanten Funktionen und die zugehörige Überwachung konsistent auf derselben Hardware ausgeführt. Dadurch gibt es kurze Signalwege zwischen Funktion und Überwachung. Dies erlaubt ein schnelles Antwortverhalten, also kurze Latenz und hohe Übertragungssicherheit. Wenn darüber hinaus Zugriffe der Überwachung auf die Hardware, beispielsweise A/D-Wandler oder Zeitgeber, nötig sind, ist dies direkt möglich. Damit entstehen signifikante Vorteile im Echtzeitverhalten.
- Es gelingt durch die Definition von eigensicheren Funktionen diese organisatorisch und technisch optimiert einzusetzen. Mit anderen Worten, es lassen sich insbesondere Anpassungsverluste bei der Entwicklung und unsichtbare Interpretationslücken schon bei Schnittstellendefinitionen vermeiden, die bei herkömmlichen Ansätzen mit dem erforderlichen Know-how-Transfer verbunden sind.
- Neben der Auslösung einer zentralen Fehlerbearbeitung bzw. Fehlerreaktion und deren Behandlung in der übergeordneten Überwachungs-Funktionsgruppe kann vorgesehen werden, eine Struktur von verteilten Fehlerreaktionen zu implementieren. Bisher wurde bei erkannten Fehlern im Motorsteuergerät die Fehlerreaktion für diese Einrichtung global ausgelöst, beispielsweise durch Abschalten von leistungsbestimmenden Endstufen mit der Folge eines abgeschalteten Motors oder Triebwerks. Vorteilhafterweise ist vorgesehen, beim Auftreten eines Fehlers in einem der verteilten Steuergeräte, beispielsweise im Pedalsteuergerät mit der Funktion DRRQ, die Fehlerinformation in der übergeordneten Überwachungs-Funktionsgruppe bzw. im Überwachungsmodul so auszuwerten, dass lediglich das jeweilige fehlerhafte Signal, beispielsweise der Pedalwert, auf einen sicheren Wert, z. B. Null, gesetzt wird und die Einrichtung ansonsten mit der verbleibenden Verfügbarkeit genutzt werden kann.
- Weiterhin kann die Übertragung der sicherheitsrelevanten Signale, insbesondere bei verteilten Steuergeräten derart erfolgen, dass beispielsweise zunächst für den Übertragungsweg zwischen dem jeweiligen Überwachungsmodul und der übergeordneten Überwachungs-Funktionsgruppe ein Sender und ein Empfän ger definiert werden. Weiter kann eine sichere Übertragung derart definiert werden, dass für die Sicherheit des Inhalts einer Nachricht, eines Zeitstempels oder Messwertes beispielsweise immer das sendende Steuergerät die Verantwortung trägt. Entsprechend kann definiert werden, dass das empfangende Steuergerät den Übertragungsweg grundsätzlich absichern bzw. plausibilisieren muss. Danach ist also beispielsweise das eigenständige Aggregat DRRQ, das einen Dateninhalt sendet, betreuend für dessen inhaltliche Richtigkeit zuständig bzw. verantwortlich, beispielsweise durch eine geeignete Kodierung oder eine Integritätsprüfung. Die übergeordnete Überwachungs-Funktionsgruppe ist zuständig für den Betrieb der Übertragungsstrecke, beispielsweise für das Bereitstellen einer internen oder externen Datenbusverbindung, für die Signalisierung, für die Einhaltung eines Übertragungsablaufes, eines Zeitverhaltens oder für ähnliche Funktionalitäten.
- Durch die erfindungsgemäße Definition von eigensicheren Funktionen wird damit sowohl die Herstellung von sicheren Funktionen oder Software als Produkt im Sinne des Produkthaftungsgesetzes als auch die Unterstützung von verteilten Hardwarezellen mit sicheren Eigenschaften, auch im Sinne eines sicheren Produktes, möglich.
- Die Definition der eigensicheren Funktionen ermöglicht zusätzlich, beispielsweise eine Funktion samt ihrer Überwachungsstrukturen nicht nur flexibel innerhalb eines Systems zu platzieren oder zu verschieben, sondern es ist auch möglich, diese bei vernetzten Systemen sogar über eine sog. Hardwaregrenze hinaus dynamisch relokalisierbar zu halten, d. h. beispielsweise kann eine Motorsteuerungsfunktionalität in die Getriebesteuerungsfunktionalität nach z. B. lastdynamischen Kriterien einer Netzwerktopologie mit verteilten Ressourcen bereichsübergreifend verlagert werden.
- Mithin erlaubt die Erfindung eine abgestimmte und sichere Entwicklung für eine Anordnung mit sicherheitsrelevanten Funktionen. Die Reifezeit wird verkürzt, die Kosten verringert.
- Ein Ausführungsbeispiel der vorliegenden Erfindung weist die wesentlichen relevanten Funktionsgruppen einer EGAS-Motorsteuerung und deren Überwachung auf der Basis der Definition der eigensicheren Funktionen auf.
- Die Steuereinrichtung kann sehr flexibel aufgebaut sein. Insbesondere können mindestens zwei sicherheitsrelevante Funktionsaggregate vorgesehen sein, die auf jeweils eigenständigen Hardware-Komponenten gerechnet werden. D, h. ganze Aggregate oder auch nur einzelne Funktionen können inklusive ihres Überwachungsmoduls über Hardwaregrenzen hinweg verschoben werden. Auf diese Weise ergibt sich eine verteilte Steuereinrichtung.
- Zur Lösung der Aufgabe dient auch ein Verfahren. Im Folgenden werden die einzelnen Verfahrensschritte näher beschrieben. Die Schritte müssen nicht notwendigerweise in der angegebenen Reihenfolge durchgeführt werden, und das Verfahren kann auch weitere, nicht genannte Schritte aufweisen.
- Zunächst wird eine Mehrzahl von Funktionsaggregaten zur Steuerung der Anlage ausgebildet, wobei die Funktionsaggregate derart ausgebildet werden, dass jedes Funktionsaggregat ein Funktionsmodul und ein Überwachungsmodul enthält. Die Funktionsaggregate werden derart ausgebildet, dass das Überwachungsmodul vom Funktionsmodul separiert ist. Ferner wird eine übergeordnete Überwachungs-Funktionsgruppe ausgebildet. Im Überwachungsmodul wird ein Eintrittspunkt zur Kommunikation mit der übergeordneten Überwachungs-Funktionsgruppe vorgesehen. Das Überwachen von Fehlern des Funktionsmoduls erfolgt durch das Überwachungsmodul. Ein festgestellter Fehler wird durch das Überwachungsmodul mittels des Eintrittspunkts an das übergeordnete Überwachungsmodul gemeldet.
- Ferner gehört zum Umfang der Erfindung ein Computerprogramm, das bei Ablauf auf einem Computer oder auf einer Mehrzahl von Computern eines Computer-Netzwerks das erfindungsgemäße Verfahren in einer seiner Ausgestaltungen ausführt.
- Weiterhin gehört zum Umfang der Erfindung ein Computerprogramm mit Programmcode-Mitteln, um das erfindungsgemäße Verfahren in einer seiner Ausgestaltungen durchzuführen, wenn das Programm auf einem Computer oder auf einer Mehrzahl von Computern eines Computer-Netzwerks ausgeführt wird. Insbesondere können die Programmcode-Mittel auf einem computerlesbaren Datenträger gespeichert sein.
- Außerdem gehört zum Umfang der Erfindung ein Datenträger, auf dem eine Datenstruktur gespeichert ist, die nach einem Laden in einen Arbeits- und/oder Hauptspeicher eines Computers oder einer Mehrzahl von Computern eines Computer-Netzwerks das erfindungsgemäße Verfahren in einer seiner Ausgestaltungen ausführen kann.
- Auch gehört zum Umfang der Erfindung ein Computerprogramm-Produkt mit auf einem maschinenlesbaren Träger gespeicherten Programmcode-Mitteln, um das erfindungsgemäße Verfahren in einer seiner Ausgestaltungen durchzuführen, wenn das Programm auf einem Computer oder auf einer Mehrzahl von Computern eines Computer-Netzwerks ausgeführt wird.
- Dabei wird unter einem Computer-Programmprodukt das Programm als handelbares Produkt verstanden. Es kann grundsätzlich in beliebiger Form vorliegen, so zum Beispiel auf Papier oder einem computerlesbaren Datenträger und kann insbesondere über ein Datenübertragungsnetz verteilt werden.
- Schließlich gehört zum Umfang der Erfindung ein moduliertes Datensignal, welches von einem Computersystem oder von einer Mehrzahl von Computern eines Computer-Netzwerks ausführbare Instruktionen zum Ausführen des erfindungsgemäßen Verfahrens in einer seiner Ausgestaltungen enthält. Als Computersystem kommen sowohl ein Stand-alone Computer in Betracht, als auch ein Netzwerk von Rechnern, beispielsweise ein hausinternes, geschlossenes Netz, oder auch Rechner, die über das Internet miteinander verbunden sind. Ferner kann das Computersystem durch eine Client-Server-Konstellation realisiert sein, wobei Teile der Erfindung auf dem Server, andere auf einem Client ablaufen.
- Weitere Einzelheiten und Merkmale der Erfindung ergeben sich aus der nachfolgenden Beschreibung von bevorzugten Ausführungsbeispielen in Verbindung mit den Unteransprüchen. Hierbei können die jeweiligen Merkmale für sich alleine oder zu mehreren in Kombination miteinander verwirklicht sein. Die Erfindung ist nicht auf die Ausführungsbeispiele beschränkt.
- Die Ausführungsbeispiele sind in den Figuren schematisch dargestellt. Gleiche Bezugsziffern in den einzelnen Figuren bezeichnen dabei gleiche oder funktionsgleiche bzw. hinsichtlich ihrer Funktionen einander entsprechende Elemente. Im Einzelnen zeigt:
-
1 eine schematische Darstellung einer elektronischen Motorsteuerung; -
2 einen Ausschnitt eines ersten Ebenen-Modells gemäß dem Stand der Technik; -
3 ein zweites Ebenen Modell gemäß einer ersten Ausführungsform der vorliegenden Erfindung; und -
4 ein Prinzipschema des Verfahrens zum Überwachen der Funktionssicherheit einer Anlage, insbesondere einer Brennkraftmaschine. - In
1 ist das Prinzipschema einer Motorsteuerung100 dargestellt. Bei der Motorsteuerung100 erfolgen der Signalfluss102 von den verschiedenen Sensoren und Sollwertgebern (z. B. Fahrpedaleinstellung, Drosselklappenstellung, Luftmasse, Batteriespannung, Ansauglufttemperatur, Motortemperatur, Klopfintensität, Lambda-Sonden) und der Signalfluss104 (z. B. - Kurbelwellendrehzahl, Nockenwellenstellung, Getriebestufe, Geschwindigkeit) über die Input/Output-Ports
106 und108 und weiter von den Ports über die Verbindungen110 und112 zum Mikrocontroller114 und seinen Komponenten. Im OTP-Block (One-Time Programmable-Block)116 ist das Programm gespeichert, welches der Mikrocontroller114 ausführen soll. Der Datenfluss zwischen Mikrocontroller114 und OTP-Block116 erfolgt über die Verbindung118 . Über die Verbindung120 erfolgt der Datentransfer zwischen dem Mikrocontroller114 und dem CAN-Bus122 . Der CAN-Bus122 ermöglicht es, alle Geräte über ein einziges Kabel miteinander zu vernetzen. Der Datentransfer zwischen dem Mikrocontroller114 und einem Diagnosesystem124 erfolgt über die Verbindung126 . - Der Mikrocontroller
114 mit seinen Komponenten realisiert seine Funktionen auf der Grundlage des im OTP-Block116 gespeicherten Programms. Nach der Verarbeitung der Signale von den Sensoren und Sollwertgebern102 ,104 im Mikrocontroller114 erfolgt der weitere Signalfluss vom Mikrocontroller114 über die Verbindungen128 ,130 ,132 ,134 und über die Input/Output-Ports136 ,138 ,140 ,142 zu den verschieden Aktoren144 (z. B. Zündspulen und Zündkerzen),146 (z. B. Drosselklappensteller),148 (z. B. Einspritzventile) und 150 (z. B. Hauptrelais, Motordrehzahlmesser, Kraftstoffpumpenrelais, Heizung Lambda-Sonde, Nockenwellensteuerung, Tankentlüftung, Saugrohrumschaltung, Sekundärluft, Abgasrückführung). - Auf Grund einer steigenden Anzahl ihrer zahlreichen Ein- und Ausgangsgrößen sind diese Regelungen in Kraftfahrzeugen sehr komplex, sodass zur Realisierung dieser Aufgaben moderne Regelungssysteme auf der Basis von Mikrocontrollern
114 eingesetzt werden. - Da in modernen Fahrzeugen immer zahlreichere unterschiedliche Sensoren zum Einsatz kommen, deren Messdaten zeitnah berücksichtigt werden müssen, ist die Anzahl der Input-/Output-Ports
106 ,108 ,136 ,138 ,140 ,142 einer Motorsteuerung100 ständig vergrößert worden. Daher werden zunehmend Mikrocontroller114 mit sehr hoher Rechenleistung eingesetzt, wobei die Funktionalitäten der Steuergerätesoftware modifizierbar sind, damit sie in effektiver Weise an die spezifischen Bedürfnisse der verschiedenen Benutzer angepasst werden können. - In
2 ist ein Bereich des Steuergeräts als ein Ebenenmodell10 nach Stand der Technik schematisch dargestellt. - Das Ebenenmodell
10 weist eine Schicht20 – die Überwachungs-Funktionsgruppe – auf, die Überwachungsfunktionen ausführt. Auf der Überwachungsschicht20 nach oben aufbauend, ist eine Funktionsschicht40 vorgesehen, die weitere Module bzw. Aggregate umfasst und die beiden vorgenannten Schichten20 und40 über Eintrittspunkte, wie beispielsweise Eintrittspunkt60 , verbindet. Dabei kann der Eintrittspunkt60 beispielsweise eine Schnittstelle oder eine Klasse einer Programmiersprache darstellen oder enthalten, die beispielsweise für eine Parameterübergabe oder eine Übergabe im Sinne eines Übertragungsweges geeignet ist. Eine Mehrzahl von Übertragungswegen kann als ein Kanalbündel oder eine Netzwerkverbindung ausgebildet sein, auf dem bzw. der Übertragungsprotokolle eingesetzt werden können. - Die Funktionsschicht
40 trägt als Einrichtung sicherheitsrelevante Funktionen, die in der erfindungsgemäßen Ausführungsform beispielhaft ein DRRQ-Aggregat80 und eine Mehrzahl an weiteren Aggregaten sind, insbesondere ein erstes Aggregat (AGGR_2)151 , sowie weitere Aggregate AGGR_x152 , AGGR_y153 und AGGR_z160 . - In der Überwachungsschicht
20 sind eine Mehrzahl an (gestrichelt dargestellten) Modulen vorgesehen, beispielsweise ein Modul180 . Dabei trägt oder enthält die Schicht20 die jeweiligen Überwachungsfunktionen des DRRQ-Aggregates80 bzw. der sonstigen Aggregate151 ,152 ,153 und160 . -
3 zeigt die erfindungsgemäße Ausführungsform gemäß einem Ebenenmodell200 . Im Vergleich zu dem Ebenenmodell10 gemäß2 ist das DRRQ-Aggregat220 und ein aus einer Mehrzahl an Aggregaten ausgewähltes Aggregat AGGR_2240 gekapselt aufgebaut, so dass die Module für die sicherheitsrelevante Funktion und die Überwachungsfunktion blockartig verbunden wurden. Dabei weist das Aggregat220 einen internen Trennungsbereich320 auf, der innerhalb des Aggregats eine Unterteilung zwischen der sicherheitsrelevanten Funktion340 und der Überwachungsfunktion360 vornimmt. Mithin werden im DRRQ-Aggregat220 als ein eigenständiges Modul oberhalb des Trennungsbereiches320 , der beispielsweise als Schnittstellenbereich ausgebildet ist, ein Funktionsmodul340 für sicherheitsrelevante Funktionen und unterhalb ein Überwachungsmodul360 mit Überwachungsfunktionen ausgebildet. - Das Aggregat DRRQ
220 und die Mehrzahl der sonstigen Aggregate weisen weiter die Besonderheit auf, dass sich in der Ebene der jeweiligen Überwachungsfunktion jeweils ein Eintrittspunkt befindet, wobei hier exemplarisch der Eintrittspunkt520 herausgegriffen wurde, mit dem die jeweilige Überwachungsfunktion des DRRQ-Aggregates220 oder des Aggregates AGGR_2240 (über den Eintrittspunkt540 ) der übergeordneten Überwachungs-Funktionsgruppe600 zugeführt wird. Mithin erfolgt die Einkopplung der Überwachungsfunktionen360 in die übergeordnete Überwachungs-Funktionsgruppe600 an wenigen genau definierten Punkten520 ,540 . - Auf einem beispielshalber durch zwischen dem Eintrittspunkt
520 und der übergeordneten Überwachungs-Funktionsgruppe600 gebildeten Übertragungsweg700 , der auch bidirektional vorgesehen werden kann, können neben der Übertragung z.B. von Fehlerinformationen oder gesicherten Ausgangsgrößen auch Funkti onsbefehle und Rückmeldungen zur Überwachung von Prozessorfunktionen übertragen werden. Vorteilhaft kann damit eine eigene Absicherungshardware eingespart werden, die die sicherheitsrelevante Funktion ausführt. -
4 verdeutlicht das Verfahren. Im ersten Schritt400 wird eine Mehrzahl von sicherheitsrelevanten Funktionsaggregaten zur Steuerung der Anlage ausgebildet. Im nächsten Schritt402 werden die Funktionsaggregate derart ausgebildet, dass jedes Funktionsaggregat ein Funktionsmodul und ein Überwachungsmodul enthält. Im nächsten Schritt404 werden die Funktionsaggregate derart ausgebildet, dass das Überwachungsmodul360 vom Funktionsmodul340 separiert ist. Im nächsten Schritt406 wird eine übergeordnete Überwachungs-Funktionsgruppe600 ausgebildet. Im darauf folgenden Schritt408 wird im Überwachungsmodul360 ein Eintrittspunkt zur Kommunikation mit der übergeordneten Überwachungs-Funktionsgruppe600 vorgesehen. Das Überwachen von Fehlern des Funktionsmoduls340 erfolgt im nächsten Schritt410 durch das Überwachungsmodul360 . Im nächsten Schritt412 wird ein festgestellter Fehler durch das Überwachungsmodul360 mittels des Eintrittspunkts an das übergeordnete Überwachungsmodul600 gemeldet.
Claims (17)
- Steuereinrichtung für eine Anlage, insbesondere eine Brennkraftmaschine, a) mit einer Mehrzahl von sicherheitsrelevanten Funktionsaggregaten (
220 ); b) wobei jedes sicherheitsrelevante Funktionsaggregat (220 ) mindestens ein Funktionsmodul (340 ) und mindestens ein Überwachungsmodul (360 ) enthält; c) wobei jedes Überwachungsmodul (360 ) vom zugehörigen Funktionsmodul (340 ) separiert ist und die Funktion des Funktionsmoduls überwacht; d) mit einer übergeordneten Überwachungs-Funktionsgruppe (600 ); e) wobei das Überwachungsmodul (360 ) einen Eintrittspunkt (520 ) aufweist zur Kommunikation mit der übergeordneten Überwachungs-Funktionsgruppe (600 ). - Steuereinrichtung nach dem vorhergehenden Anspruch, dadurch gekennzeichnet dass es einen Übertragungsweg (
700 ) zwischen jedem eigenständigen Überwachungsmodul (360 ) und der übergeordneten Überwachungs-Funktionsgruppe (600 ) aufweist, auf dem Fehlerinformationen, Funktionsbefehle und Rückmeldungen übertragen werden. - Steuereinrichtung nach dem vorhergehenden Anspruch, gekennzeichnet durch eine Mehrzahl von Übertragungswegen, die ein Übertragungsnetzwerk bilden.
- Steuereinrichtung nach einem der beiden vorhergehenden Ansprüche, dadurch gekennzeichnet dass der Übertragungsweg (
700 ) eine dynamisch auf- und abbaubare Übertragungsstrecke ist. - Steuereinrichtung nach einem der drei vorhergehenden Ansprüche, dadurch gekennzeichnet dass der Übertragungsweg (
700 ) einen Sender und einem Empfänger aufweist, wobei der Sender für den Inhalt der Übertragung zuständig ist und der Empfänger für den Übertragungsweg zuständig ist. - Steuereinrichtung nach dem vorhergehenden Anspruch, dadurch gekennzeichnet dass der Sender als eigenständiges Überwachungsmodul (
360 ) ausgebildet ist; und dass der Empfänger die übergeordnete Überwachungs-Funktionsgruppe (600 ) ist. - Steuereinrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet dass die übergeordnete Überwachungsfunktionsgruppe (
600 ) eine Struktur zur Fehlerbearbeitung aufweist. - Steuereinrichtung nach dem vorhergehenden Anspruch, dadurch gekennzeichnet dass die Struktur zur Fehlerbearbeitung verteilt ist.
- Steuereinrichtung nach einem der vorhergehenden Ansprüche, gekennzeichnet durch mindestens zwei sicherheitsrelevante Funktionsaggregate (
220 ), die auf jeweils eigenständigen Hardware-Komponenten gerechnet werden. - Steuereinrichtung nach einem der vorhergehenden Ansprüche, gekennzeichnet durch mindestens zwei sicherheitsrelevante Funktionsmodule (
340 ), die zusammen mit ihrem jeweiligen Überwachungsmodul (360 ) auf jeweils eigenständigen Hardware-Komponenten gerechnet werden. - Verfahren zum Überwachen der Funktionssicherheit einer Anlage, insbesondere einer Brennkraftmaschine, mit folgenden Schritten: a) Ausbilden einer Mehrzahl von sicherheitsrelevanten Funktionsaggregaten (
220 ) zur Steuerung der Anlage; b) wobei die Funktionsaggregate derart ausgebildet werden, dass jedes Funktionsaggregat (220 ) mindestens ein Funktionsmodul (340 ) und mindestens ein Überwachungsmodul (360 ) enthält; c) wobei die Funktionsaggregate derart ausgebildet werden, dass das jedes Überwachungsmodul (360 ) vom zugehörigen Funktionsmodul (340 ) separiert ist; d) Ausbilden einer übergeordneten Überwachungs-Funktionsgruppe (600 ); f) Ausbilden eines Eintrittspunkts (520 ) im Überwachungsmodul (360 ) zur Kommunikation mit der übergeordneten Überwachungs-Funktionsgruppe (600 ); g) Überwachen von Fehlern des Funktionsmoduls (340 ) mittels des Überwachungsmoduls (360 ); und h) Melden eines festgestellten Fehlers durch das Überwachungsmodul (360 ) mittels des Eintrittspunkts (520 ) an das übergeordnete Überwachungsmodul (600 ). - Computerprogramm, dadurch gekennzeichnet, dass es bei Ablauf auf einem Mikrocontroller, Computer oder auf einer Mehrzahl von Computern eines Computer-Netzwerks oder auf einer Mehrzahl von Mikrocontrollern eines Mikrocontroller-Netzwerks das Verfahren nach dem Verfahrensanspruch ausführt.
- Computerprogramm mit Programmcode-Mitteln, um ein Verfahren gemäß dem Verfahrensanspruch durchzuführen, wenn das Computerprogramm auf einem Mikrocontroller, Computer oder auf einer Mehrzahl von Computern eines Computer-Netzwerks oder auf einer Mehrzahl von Mikrocontrollern eines Mikrocontroller-Netzwerks ausgeführt wird.
- Computerprogramm mit Programmcode-Mitteln gemäß dem vorhergehenden Anspruch, die auf einem computerlesbaren Datenträger gespeichert sind.
- Datenträger, auf dem eine Datenstruktur gespeichert ist, die nach einem Laden in einen Arbeits- und/oder Hauptspeicher eines Computers oder einer Mehrzahl von Computern eines Computer-Netzwerks das Verfahren nach dem Verfahrensanspruch ausführt.
- Computerprogramm-Produkt mit auf einem maschinenlesbaren Träger gespeicherten Programmcode-Mitteln, um alle Schritte gemäß dem Verfahrensanspruch durchzuführen, wenn das Programm auf einem Computer oder auf einer Mehrzahl von Computern eines Computer-Netzwerks ausgeführt wird.
- Moduliertes Datensignal, welches von einem Computersystem oder von einer Mehrzahl von Computern eines Computer-Netzwerks ausführbare Instruktionen zum Ausführen eines Verfahrens nach dem Verfahrensanspruch enthält.
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102005003916A DE102005003916B4 (de) | 2005-01-27 | 2005-01-27 | Überwachen der Funktionssicherheit einer Brennkraftmaschine |
US11/795,465 US8392046B2 (en) | 2005-01-27 | 2005-12-28 | Monitoring the functional reliability of an internal combustion engine |
KR1020077019255A KR101216455B1 (ko) | 2005-01-27 | 2005-12-28 | 내연기관의 기능 신뢰성 감시 |
PCT/EP2005/057189 WO2006079440A1 (de) | 2005-01-27 | 2005-12-28 | Überwachen der funktionssicherheit einer brennkraftmaschine |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102005003916A DE102005003916B4 (de) | 2005-01-27 | 2005-01-27 | Überwachen der Funktionssicherheit einer Brennkraftmaschine |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102005003916A1 true DE102005003916A1 (de) | 2006-08-24 |
DE102005003916B4 DE102005003916B4 (de) | 2012-06-06 |
Family
ID=36013408
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102005003916A Expired - Fee Related DE102005003916B4 (de) | 2005-01-27 | 2005-01-27 | Überwachen der Funktionssicherheit einer Brennkraftmaschine |
Country Status (4)
Country | Link |
---|---|
US (1) | US8392046B2 (de) |
KR (1) | KR101216455B1 (de) |
DE (1) | DE102005003916B4 (de) |
WO (1) | WO2006079440A1 (de) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2934322A1 (fr) * | 2008-07-28 | 2010-01-29 | Bosch Gmbh Robert | Procede et dispositif pour determiner un defaut dans un ensemble de pieces |
WO2010128130A1 (de) * | 2009-05-07 | 2010-11-11 | Robert Bosch Gmbh | Verfahren zum konfigurieren eines steuergeräts |
WO2011113405A1 (de) * | 2010-03-15 | 2011-09-22 | Schaeffler Technologies Gmbh & Co. Kg | Steuergeräteanordnung |
US9725054B2 (en) | 2013-09-02 | 2017-08-08 | Robert Bosch Gmbh | Method for monitoring a component in a motor vehicle |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102009000265A1 (de) * | 2009-01-16 | 2010-07-22 | Robert Bosch Gmbh | Verfahren zum Durchführen einer Anzahl Einspritzungen |
KR101865364B1 (ko) | 2017-04-05 | 2018-06-07 | 한국항공우주산업 주식회사 | 항공기 전자식 비행제어시스템 시험장치 |
KR102369169B1 (ko) | 2020-05-12 | 2022-03-03 | 한국항공우주산업 주식회사 | 항공기 조종면 관성 모사 장치 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19841260A1 (de) * | 1998-09-09 | 2000-03-16 | Siemens Ag | Verfahren zum Erkennen von Fehlerzuständen und fahrzeugeigenes Diagnosesystem |
WO2003056427A2 (de) * | 2001-12-21 | 2003-07-10 | Robert Bosch Gmbh | Verfahren und vorrichtung zur steuerung einer funktionseinheit eines kraftfahrzeugs |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US3568157A (en) * | 1963-12-31 | 1971-03-02 | Bell Telephone Labor Inc | Program controlled data processing system |
FR2656439B1 (fr) * | 1989-12-21 | 1994-09-02 | Siemens Automotive Sa | Procede et dispositif de memorisation de defauts de fonctionnement intermittents d'un systeme physique et de variables de contexte de ces defauts. |
DE69428633T2 (de) | 1993-06-17 | 2002-06-20 | Denso Corp | Fahrzeugsdiagnosesystem |
JP3138709B2 (ja) * | 1993-12-21 | 2001-02-26 | アイシン・エィ・ダブリュ株式会社 | 車両用電子制御装置の自己故障診断方法及び装置 |
DE19841267C1 (de) * | 1998-09-09 | 2000-03-02 | Siemens Ag | Verfahren zur Durchführung einer Fehlerdiagnose und fahrzeugeigenes Fehlerdiagnosesystem |
DE50007910D1 (de) * | 1999-04-21 | 2004-10-28 | Siemens Ag | Steuervorrichtung für stellantriebe einer brennkraftmaschine |
US6353390B1 (en) * | 1999-12-31 | 2002-03-05 | Jeffrey Beri | Method and system of configuring a boundary and tracking an object thereby |
AT412196B (de) * | 2000-03-17 | 2004-11-25 | Keba Ag | Verfahren zur zuordnung einer mobilen bedien- und/oder beobachtungseinrichtung zu einer maschine sowie bedien- und/oder beobachtungseinrichtung hierfür |
DE10018859A1 (de) * | 2000-04-14 | 2001-10-18 | Bosch Gmbh Robert | System und Verfahren zur Überwachung einer Einrichtung zum Messen, Steuern und Regeln |
DE10032179A1 (de) * | 2000-07-01 | 2002-01-17 | Daimler Chrysler Ag | Steuerungssystem für ein Fahrzeug und Verfahren zur Steuerung eines Fahrzeugs |
JP2002347479A (ja) * | 2001-05-29 | 2002-12-04 | Denso Corp | 車両統合制御システム |
DE10392769D2 (de) * | 2002-07-05 | 2005-08-04 | Continental Teves Ag & Co Ohg | Verfahren zum Überwachen der Funktionen und Erhöhen der Betreibssicherheit eines Sicherheitsrelevanten Regelungssystems |
US6729844B2 (en) * | 2002-08-14 | 2004-05-04 | Harold Ray Bettencourt | Controller for variable pitch fan system |
JP2004207997A (ja) * | 2002-12-25 | 2004-07-22 | Matsushita Electric Ind Co Ltd | ネットワーク接続装置、ネットワーク接続方法及び記憶媒体 |
JP4141926B2 (ja) * | 2003-06-09 | 2008-08-27 | 梶原工業株式会社 | 調理装置 |
EP1616746B1 (de) * | 2004-07-15 | 2010-02-24 | Hitachi, Ltd. | Fahrzeugsteuerungsystem |
US8160779B2 (en) * | 2006-04-03 | 2012-04-17 | Thuyssenkrupp Presta AG | Monitoring device for the function of an electronic control device, and method for this purpose |
US7831352B2 (en) * | 2007-03-16 | 2010-11-09 | The Hartfiel Company | Hydraulic actuator control system |
US8050836B2 (en) * | 2007-10-17 | 2011-11-01 | GM Global Technology Operations LLC | Method and system for determining initiation of a panic braking maneuver |
JP4633134B2 (ja) * | 2008-03-27 | 2011-02-16 | ルネサスエレクトロニクス株式会社 | マイクロコントローラ、制御システム及びマイクロコントローラの設計方法 |
-
2005
- 2005-01-27 DE DE102005003916A patent/DE102005003916B4/de not_active Expired - Fee Related
- 2005-12-28 US US11/795,465 patent/US8392046B2/en active Active
- 2005-12-28 KR KR1020077019255A patent/KR101216455B1/ko active IP Right Grant
- 2005-12-28 WO PCT/EP2005/057189 patent/WO2006079440A1/de not_active Application Discontinuation
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19841260A1 (de) * | 1998-09-09 | 2000-03-16 | Siemens Ag | Verfahren zum Erkennen von Fehlerzuständen und fahrzeugeigenes Diagnosesystem |
WO2003056427A2 (de) * | 2001-12-21 | 2003-07-10 | Robert Bosch Gmbh | Verfahren und vorrichtung zur steuerung einer funktionseinheit eines kraftfahrzeugs |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2934322A1 (fr) * | 2008-07-28 | 2010-01-29 | Bosch Gmbh Robert | Procede et dispositif pour determiner un defaut dans un ensemble de pieces |
DE102008040796B4 (de) * | 2008-07-28 | 2019-12-05 | Robert Bosch Gmbh | Verfahren zur Ermittlung eines Fehlers in einer Baugruppe |
WO2010128130A1 (de) * | 2009-05-07 | 2010-11-11 | Robert Bosch Gmbh | Verfahren zum konfigurieren eines steuergeräts |
WO2011113405A1 (de) * | 2010-03-15 | 2011-09-22 | Schaeffler Technologies Gmbh & Co. Kg | Steuergeräteanordnung |
US9725054B2 (en) | 2013-09-02 | 2017-08-08 | Robert Bosch Gmbh | Method for monitoring a component in a motor vehicle |
Also Published As
Publication number | Publication date |
---|---|
US8392046B2 (en) | 2013-03-05 |
KR20070097122A (ko) | 2007-10-02 |
US20080140279A1 (en) | 2008-06-12 |
KR101216455B1 (ko) | 2012-12-28 |
DE102005003916B4 (de) | 2012-06-06 |
WO2006079440A1 (de) | 2006-08-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102012205731B4 (de) | Elektronische fahrzeugsteuervorrichtung | |
DE102006017824B4 (de) | Methode zum Konstruieren einer Diagnosefunktion | |
DE102005003916B4 (de) | Überwachen der Funktionssicherheit einer Brennkraftmaschine | |
DE102007013967A1 (de) | Softwaresystem einer elektronischen Steuereinheit für ein Fahrzeug und Entwurfsverfahren für dieses | |
WO2008040641A2 (de) | Verfahren und vorrichtung zur fehlerverwaltung | |
EP1222378B1 (de) | Vorrichtung und verfahren zur steuerung einer antriebseinheit | |
DE102006057743B4 (de) | Verfahren zur Überwachung der Funktionssoftware von Steuergeräten in einem Steuergeräteverbund | |
DE10309891B4 (de) | Elektronische Fahrzeugsteuervorrichtung mit einer Vielzahl von Mikrocomputern zum Implementieren einer Mikrocomputerüberwachungsfunktion | |
DE102011087988A1 (de) | Verfahren und Vorrichtung zur Überprüfung einer Funktionsfähigkeit einer von einem Multi-Fuel-System betriebenen Brennkraftmaschine | |
WO2000063546A1 (de) | Verfahren und vorrichtung zur überwachung eines rechenelements in einem kraftfahrzeug | |
DE102011088764A1 (de) | Verfahren zum Betreiben eines Steuergeräts | |
EP1081362B1 (de) | Verfahren zum gesteuerten Betrieb einer Brennkraftmaschine nach Fehlerdiagnose | |
DE102012221277A1 (de) | Fahrzeugsteuervorrichtung | |
DE102009011157B4 (de) | Vorrichtung zur Steuerung und Regelung eines Antriebssystems | |
DE102007063053A1 (de) | Fehlercodespeicherverwaltungs-Architekturkonzept mit einem dedizierten Überwachungseinheitsmodul und einem Fehlerspeicherverwaltungs-Administratormodul für einen Hochleistungs-Dieselmotor | |
DE102017220100A1 (de) | Verfahren zur Erkennung eines Brandes, insbesondere in einem Fahrzeug | |
EP2387660B1 (de) | Verfahren zum durchführen einer anzahl einspritzungen | |
DE19921065A1 (de) | Verfahren und Vorrichtung zum Betrieb einer Steuereinheit zur Steuerung von Betriebsabläufen in einem Fahrzeug | |
EP3132322B1 (de) | Verfahren zur diagnose eines kraftfahrzeugsystems, diagnosegerät für ein kraftfahrzeugsystem, steuergerät für ein kraftfahrzeugsystem und kraftfahrzeug | |
DE19755311B4 (de) | Verfahren und Vorrichtung zur Informationsübertragung in Kraftfahrzeugen | |
DE102016216728A1 (de) | Fehlerdiagnose in einem Bordnetz | |
DE102009011429A1 (de) | Vorrichtung und Verfahren zur Steuerung und Regelung eines Antriebssystems | |
DE102009011156B4 (de) | Vorrichtung zur Steuerung und Regelung eines Antriebssystems | |
DE102013208700A1 (de) | Kraftfahrzeug mit zumindest zwei Vortriebsaktoren und erhöhter Ausfallsicherheit, Betriebsverfahren und Mittel zu dessen Implementierung | |
DE102004002456B4 (de) | Verfahren und Vorrichtung zur Motorsteuerung in einer Verbrennungskraftmaschine sowie Sensorelement |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8127 | New person/name/address of the applicant |
Owner name: CONTINENTAL AUTOMOTIVE GMBH, 30165 HANNOVER, DE |
|
R016 | Response to examination communication | ||
R016 | Response to examination communication | ||
R018 | Grant decision by examination section/examining division | ||
R020 | Patent grant now final |
Effective date: 20120907 |
|
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee | ||
R081 | Change of applicant/patentee |
Owner name: VITESCO TECHNOLOGIES GMBH, DE Free format text: FORMER OWNER: CONTINENTAL AUTOMOTIVE GMBH, 30165 HANNOVER, DE |