DE102005003916A1 - Überwachen der Funktionssicherheit einer Brennkraftmaschine - Google Patents

Überwachen der Funktionssicherheit einer Brennkraftmaschine Download PDF

Info

Publication number
DE102005003916A1
DE102005003916A1 DE102005003916A DE102005003916A DE102005003916A1 DE 102005003916 A1 DE102005003916 A1 DE 102005003916A1 DE 102005003916 A DE102005003916 A DE 102005003916A DE 102005003916 A DE102005003916 A DE 102005003916A DE 102005003916 A1 DE102005003916 A1 DE 102005003916A1
Authority
DE
Germany
Prior art keywords
monitoring
module
computer
monitoring module
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102005003916A
Other languages
English (en)
Other versions
DE102005003916B4 (de
Inventor
Dirk Geyer
Marco Kick
Markus Kraus
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Vitesco Technologies GmbH
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102005003916A priority Critical patent/DE102005003916B4/de
Priority to US11/795,465 priority patent/US8392046B2/en
Priority to KR1020077019255A priority patent/KR101216455B1/ko
Priority to PCT/EP2005/057189 priority patent/WO2006079440A1/de
Publication of DE102005003916A1 publication Critical patent/DE102005003916A1/de
Application granted granted Critical
Publication of DE102005003916B4 publication Critical patent/DE102005003916B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/22Safety or indicating devices for abnormal conditions
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • F02D41/266Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Mechanical Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)

Abstract

Zur Steuerung der Brennkraftmaschine dient eine Mehrzahl von teilweise sicherheitsrelevanten Funktionsaggregaten (220). Jedes solche sicherheitsrelevante Funktionsaggregat enthält mindestens ein Funktionsmodul (340) und mindestens ein Überwachungsmodul (360). Das Überwachungsmodul ist vom zugehörigen Funktionsmodul separiert und überwacht die Funktion des Funktionsmoduls. Ferner weist das Steuergerät eine übergeordnete Überwachungs-Funktionsgruppe (600) auf. Das Überwachungsmodul hat einen Eintrittspunkt (520) zur Kommunikation mit der übergeordneten Überwachungs-Funktionsgruppe. Wird ein Fehler festgestellt, meldet das Überwachungsmodul diesen mittels des Eintrittspunkts an die übergeordnete Überwachungsmodulfunktionsgruppe.

Description

  • Die Überwachung sicherheitsrelevanter Eigenschaften von Anlagen, beispielsweise von Brennkraftmaschinen, wird heute durch eine Ebenenstruktur gewährleistet, die auf den sicherheitsrelevanten Funktionsumfang der Anlage im Steuergerät abgebildet ist. Ein Beispiel ist das EGAS (Elektronisches Gaspedal)-Überwachungskonzept entsprechend den Empfehlungen des EGAS-AK des VDA (Verein der Deutschen Automobilindustrie).
  • Schwierig ist ein derartiges rein ebenenbezogenes Konzept sowohl bei Software-Strukturen, deren Bereitstellung auf verschiedene Software-Lieferanten verteilt ist, als auch bei verteilten Hardware-Strukturen, beispielsweise bei parallelen oder redundanten Strukturen, in denen jeweils Teile der sicherheitsrelevanten Funktionen ausgeführt werden. Weiter sieht das EGAS-Überwachungskonzept eine unabhängige Hardware zur Überwachung von Prozessorfunktionen des funktionsausführenden Rechners vor. Danach muss, wenn unterschiedliche Funktionen von unterschiedlichen Steuergeräten ausgeführt werden, für jedes dieser Steuergeräte eine unabhängige Hardwareeinrichtung für die Überwachung vorgesehen werden, was einen erhöhten Aufwand darstellt.
  • Bisher konnte bei Softwarestrukturen die Synchronisation und die Problematik der Freigabe oder Umsetzung von Know-how, beispielsweise Schnittstellendefinitionen zur Definition der Überwachungsstruktur, nicht zufrieden stellend gelöst werden. Verteilte Hardware-Strukturen sind noch nicht verbreitet, werden aber im Zuge der so genannten AUTOSAR-Initiative (Automotive Open System Architecture) an Bedeutung gewinnen.
  • Die Gruppierung von Funktionen, beispielsweise Zündung oder Einspritzung, erfolgt derzeit in so genannten Aggregaten. So kann beispielsweise die gesamte Funktionalität, die mit der Erfassung und Diagnose des Fahrerwunsches über das Gaspedal befasst ist, in einer Gruppe namens DRRQ (driver request, Fahrer-Anforderung) organisatorisch zusammen gefasst werden. Diese Gruppe enthält auch die Diagnosen der Komponente Gaspedal. Da die Funktion der Fahrerwunscherfassung eine sicherheitsrelevante Funktion ist, gibt es bisher in einer Überwachungs-Funktionsgruppe ein Modul, das mit der Absicherung der Funktionen im Aggregat DRRQ befasst ist. Werden nun die Funktionen von DRRQ von einem anderen Hersteller als Produkt (black box) geliefert oder werden diese Funktionen in einem anderen Steuergerät (z.B. carbody controller) ausgeführt, ist die technische und organisatorische Synchronisation der Überwachung schwierig, wenn nicht gar unmöglich, weil etwa zeitliche Anforderungen, beispielsweise Echtzeitkriterien, vorliegen, die durch einen Datenaustausch zwischen Steuergeräten verletzt werden können.
    •
  • Die Aufgabe der vorliegenden Erfindung besteht darin, einen neuen Weg zu finden, mit dem sich sicherheitsrelevante Strukturen über herstellerseitig bestehende oder produktspezifische Einschränkungen bei Softwareentwicklung und Hardwareplattformen hinweg synchronisieren lassen.
  • Diese Aufgabe wird durch die Erfindungen mit den Merkmalen der unabhängigen Ansprüche gelöst. Vorteilhafte Weiterbildungen der Erfindungen sind in den Unteransprüchen gekennzeichnet. Der Wortlaut sämtlicher Ansprüche wird hiermit durch Bezugnahme zum Inhalt dieser Beschreibung gemacht.
  • Erfindungsgemäß wird eine Steuereinrichtung für eine Anlage, insbesondere eine Brennkraftmaschine, vorgeschlagen. Die Steuereinrichtung kann aus einer Mehrzahl von Mikroprozessoren, aus einer Mehrzahl von einzelnen Steuergeräten oder aus einem einzelnen Steuergerät gebildet sein. Im folgenden wird in der Regel kurz von "Steuergerät" gesprochen.
  • Das Steuergerät weist eine Mehrzahl von Funktionsaggregaten auf. Jedes sicherheitsrelevante Funktionsaggregat enthält mindestens ein Funktionsmodul und mindestens ein Überwachungsmodul. Das Überwachungsmodul ist vom Funktionsmodul separiert und überwacht die Funktion des Funktionsmoduls. Ferner weist das Steuergerät eine übergeordnete Überwachungs-Funktionsgruppe auf. Das Überwachungsmodul hat einen Eintrittspunkt zur Kommunikation mit der übergeordneten Überwachungs-Funktionsgruppe.
  • Die Module können in Hardware oder Software ausgeführt sein, etwa als einzelne Mikrocontroller. Ein Eintrittspunkt kann beispielsweise eine Schnittstelle oder eine programmtechnische Klasse darstellen oder enthalten, die beispielsweise für eine Parameterübergabe oder eine Übergabe im Sinne eines Übertragungsweges geeignet ist.
  • Im Ergebnis werden nach der vorbeschriebenen Struktur eigensichere Strukturen definiert. Es wird ein Großteil der Überwachung durch Module in den Funktions-Aggregaten selbst realisiert. Diese Überwachungsmodule kommunizieren mit der übergeordneten Überwachungs-Funktionsgruppe.
  • Die Vorteile der erfindungsgemäßen Struktur bestehen darin, dass nun eine Funktion als Produkt immer mit den dazugehörigen Überwachungsstrukturen ausgestattet ist. Mithin kann ein Anbieter einer Funktion viel Know-how geheim halten, da er selbst die Überwachungsstrukturen definiert. Es wird sichergestellt, dass die Überwachungsfunktion (übergeordnete Überwachungs-Funktionsgruppe) und die entsprechenden Funktionen bzw. Funktionsaggregate (z. B. DRRQ) stets aufeinander abgestimmt sind.
  • Auch bei verteilter Hardware werden die sicherheitsrelevanten Funktionen und die zugehörige Überwachung konsistent auf derselben Hardware ausgeführt. Dadurch gibt es kurze Signalwege zwischen Funktion und Überwachung. Dies erlaubt ein schnelles Antwortverhalten, also kurze Latenz und hohe Übertragungssicherheit. Wenn darüber hinaus Zugriffe der Überwachung auf die Hardware, beispielsweise A/D-Wandler oder Zeitgeber, nötig sind, ist dies direkt möglich. Damit entstehen signifikante Vorteile im Echtzeitverhalten.
  • Es gelingt durch die Definition von eigensicheren Funktionen diese organisatorisch und technisch optimiert einzusetzen. Mit anderen Worten, es lassen sich insbesondere Anpassungsverluste bei der Entwicklung und unsichtbare Interpretationslücken schon bei Schnittstellendefinitionen vermeiden, die bei herkömmlichen Ansätzen mit dem erforderlichen Know-how-Transfer verbunden sind.
  • Neben der Auslösung einer zentralen Fehlerbearbeitung bzw. Fehlerreaktion und deren Behandlung in der übergeordneten Überwachungs-Funktionsgruppe kann vorgesehen werden, eine Struktur von verteilten Fehlerreaktionen zu implementieren. Bisher wurde bei erkannten Fehlern im Motorsteuergerät die Fehlerreaktion für diese Einrichtung global ausgelöst, beispielsweise durch Abschalten von leistungsbestimmenden Endstufen mit der Folge eines abgeschalteten Motors oder Triebwerks. Vorteilhafterweise ist vorgesehen, beim Auftreten eines Fehlers in einem der verteilten Steuergeräte, beispielsweise im Pedalsteuergerät mit der Funktion DRRQ, die Fehlerinformation in der übergeordneten Überwachungs-Funktionsgruppe bzw. im Überwachungsmodul so auszuwerten, dass lediglich das jeweilige fehlerhafte Signal, beispielsweise der Pedalwert, auf einen sicheren Wert, z. B. Null, gesetzt wird und die Einrichtung ansonsten mit der verbleibenden Verfügbarkeit genutzt werden kann.
  • Weiterhin kann die Übertragung der sicherheitsrelevanten Signale, insbesondere bei verteilten Steuergeräten derart erfolgen, dass beispielsweise zunächst für den Übertragungsweg zwischen dem jeweiligen Überwachungsmodul und der übergeordneten Überwachungs-Funktionsgruppe ein Sender und ein Empfän ger definiert werden. Weiter kann eine sichere Übertragung derart definiert werden, dass für die Sicherheit des Inhalts einer Nachricht, eines Zeitstempels oder Messwertes beispielsweise immer das sendende Steuergerät die Verantwortung trägt. Entsprechend kann definiert werden, dass das empfangende Steuergerät den Übertragungsweg grundsätzlich absichern bzw. plausibilisieren muss. Danach ist also beispielsweise das eigenständige Aggregat DRRQ, das einen Dateninhalt sendet, betreuend für dessen inhaltliche Richtigkeit zuständig bzw. verantwortlich, beispielsweise durch eine geeignete Kodierung oder eine Integritätsprüfung. Die übergeordnete Überwachungs-Funktionsgruppe ist zuständig für den Betrieb der Übertragungsstrecke, beispielsweise für das Bereitstellen einer internen oder externen Datenbusverbindung, für die Signalisierung, für die Einhaltung eines Übertragungsablaufes, eines Zeitverhaltens oder für ähnliche Funktionalitäten.
  • Durch die erfindungsgemäße Definition von eigensicheren Funktionen wird damit sowohl die Herstellung von sicheren Funktionen oder Software als Produkt im Sinne des Produkthaftungsgesetzes als auch die Unterstützung von verteilten Hardwarezellen mit sicheren Eigenschaften, auch im Sinne eines sicheren Produktes, möglich.
  • Die Definition der eigensicheren Funktionen ermöglicht zusätzlich, beispielsweise eine Funktion samt ihrer Überwachungsstrukturen nicht nur flexibel innerhalb eines Systems zu platzieren oder zu verschieben, sondern es ist auch möglich, diese bei vernetzten Systemen sogar über eine sog. Hardwaregrenze hinaus dynamisch relokalisierbar zu halten, d. h. beispielsweise kann eine Motorsteuerungsfunktionalität in die Getriebesteuerungsfunktionalität nach z. B. lastdynamischen Kriterien einer Netzwerktopologie mit verteilten Ressourcen bereichsübergreifend verlagert werden.
  • Mithin erlaubt die Erfindung eine abgestimmte und sichere Entwicklung für eine Anordnung mit sicherheitsrelevanten Funktionen. Die Reifezeit wird verkürzt, die Kosten verringert.
  • Ein Ausführungsbeispiel der vorliegenden Erfindung weist die wesentlichen relevanten Funktionsgruppen einer EGAS-Motorsteuerung und deren Überwachung auf der Basis der Definition der eigensicheren Funktionen auf.
  • Die Steuereinrichtung kann sehr flexibel aufgebaut sein. Insbesondere können mindestens zwei sicherheitsrelevante Funktionsaggregate vorgesehen sein, die auf jeweils eigenständigen Hardware-Komponenten gerechnet werden. D, h. ganze Aggregate oder auch nur einzelne Funktionen können inklusive ihres Überwachungsmoduls über Hardwaregrenzen hinweg verschoben werden. Auf diese Weise ergibt sich eine verteilte Steuereinrichtung.
  • Zur Lösung der Aufgabe dient auch ein Verfahren. Im Folgenden werden die einzelnen Verfahrensschritte näher beschrieben. Die Schritte müssen nicht notwendigerweise in der angegebenen Reihenfolge durchgeführt werden, und das Verfahren kann auch weitere, nicht genannte Schritte aufweisen.
  • Zunächst wird eine Mehrzahl von Funktionsaggregaten zur Steuerung der Anlage ausgebildet, wobei die Funktionsaggregate derart ausgebildet werden, dass jedes Funktionsaggregat ein Funktionsmodul und ein Überwachungsmodul enthält. Die Funktionsaggregate werden derart ausgebildet, dass das Überwachungsmodul vom Funktionsmodul separiert ist. Ferner wird eine übergeordnete Überwachungs-Funktionsgruppe ausgebildet. Im Überwachungsmodul wird ein Eintrittspunkt zur Kommunikation mit der übergeordneten Überwachungs-Funktionsgruppe vorgesehen. Das Überwachen von Fehlern des Funktionsmoduls erfolgt durch das Überwachungsmodul. Ein festgestellter Fehler wird durch das Überwachungsmodul mittels des Eintrittspunkts an das übergeordnete Überwachungsmodul gemeldet.
  • Ferner gehört zum Umfang der Erfindung ein Computerprogramm, das bei Ablauf auf einem Computer oder auf einer Mehrzahl von Computern eines Computer-Netzwerks das erfindungsgemäße Verfahren in einer seiner Ausgestaltungen ausführt.
  • Weiterhin gehört zum Umfang der Erfindung ein Computerprogramm mit Programmcode-Mitteln, um das erfindungsgemäße Verfahren in einer seiner Ausgestaltungen durchzuführen, wenn das Programm auf einem Computer oder auf einer Mehrzahl von Computern eines Computer-Netzwerks ausgeführt wird. Insbesondere können die Programmcode-Mittel auf einem computerlesbaren Datenträger gespeichert sein.
  • Außerdem gehört zum Umfang der Erfindung ein Datenträger, auf dem eine Datenstruktur gespeichert ist, die nach einem Laden in einen Arbeits- und/oder Hauptspeicher eines Computers oder einer Mehrzahl von Computern eines Computer-Netzwerks das erfindungsgemäße Verfahren in einer seiner Ausgestaltungen ausführen kann.
  • Auch gehört zum Umfang der Erfindung ein Computerprogramm-Produkt mit auf einem maschinenlesbaren Träger gespeicherten Programmcode-Mitteln, um das erfindungsgemäße Verfahren in einer seiner Ausgestaltungen durchzuführen, wenn das Programm auf einem Computer oder auf einer Mehrzahl von Computern eines Computer-Netzwerks ausgeführt wird.
  • Dabei wird unter einem Computer-Programmprodukt das Programm als handelbares Produkt verstanden. Es kann grundsätzlich in beliebiger Form vorliegen, so zum Beispiel auf Papier oder einem computerlesbaren Datenträger und kann insbesondere über ein Datenübertragungsnetz verteilt werden.
  • Schließlich gehört zum Umfang der Erfindung ein moduliertes Datensignal, welches von einem Computersystem oder von einer Mehrzahl von Computern eines Computer-Netzwerks ausführbare Instruktionen zum Ausführen des erfindungsgemäßen Verfahrens in einer seiner Ausgestaltungen enthält. Als Computersystem kommen sowohl ein Stand-alone Computer in Betracht, als auch ein Netzwerk von Rechnern, beispielsweise ein hausinternes, geschlossenes Netz, oder auch Rechner, die über das Internet miteinander verbunden sind. Ferner kann das Computersystem durch eine Client-Server-Konstellation realisiert sein, wobei Teile der Erfindung auf dem Server, andere auf einem Client ablaufen.
  • Weitere Einzelheiten und Merkmale der Erfindung ergeben sich aus der nachfolgenden Beschreibung von bevorzugten Ausführungsbeispielen in Verbindung mit den Unteransprüchen. Hierbei können die jeweiligen Merkmale für sich alleine oder zu mehreren in Kombination miteinander verwirklicht sein. Die Erfindung ist nicht auf die Ausführungsbeispiele beschränkt.
    •
  • Die Ausführungsbeispiele sind in den Figuren schematisch dargestellt. Gleiche Bezugsziffern in den einzelnen Figuren bezeichnen dabei gleiche oder funktionsgleiche bzw. hinsichtlich ihrer Funktionen einander entsprechende Elemente. Im Einzelnen zeigt:
  • 1 eine schematische Darstellung einer elektronischen Motorsteuerung;
  • 2 einen Ausschnitt eines ersten Ebenen-Modells gemäß dem Stand der Technik;
  • 3 ein zweites Ebenen Modell gemäß einer ersten Ausführungsform der vorliegenden Erfindung; und
  • 4 ein Prinzipschema des Verfahrens zum Überwachen der Funktionssicherheit einer Anlage, insbesondere einer Brennkraftmaschine.
  • In 1 ist das Prinzipschema einer Motorsteuerung 100 dargestellt. Bei der Motorsteuerung 100 erfolgen der Signalfluss 102 von den verschiedenen Sensoren und Sollwertgebern (z. B. Fahrpedaleinstellung, Drosselklappenstellung, Luftmasse, Batteriespannung, Ansauglufttemperatur, Motortemperatur, Klopfintensität, Lambda-Sonden) und der Signalfluss 104 (z. B.
  • Kurbelwellendrehzahl, Nockenwellenstellung, Getriebestufe, Geschwindigkeit) über die Input/Output-Ports 106 und 108 und weiter von den Ports über die Verbindungen 110 und 112 zum Mikrocontroller 114 und seinen Komponenten. Im OTP-Block (One-Time Programmable-Block) 116 ist das Programm gespeichert, welches der Mikrocontroller 114 ausführen soll. Der Datenfluss zwischen Mikrocontroller 114 und OTP-Block 116 erfolgt über die Verbindung 118. Über die Verbindung 120 erfolgt der Datentransfer zwischen dem Mikrocontroller 114 und dem CAN-Bus 122. Der CAN-Bus 122 ermöglicht es, alle Geräte über ein einziges Kabel miteinander zu vernetzen. Der Datentransfer zwischen dem Mikrocontroller 114 und einem Diagnosesystem 124 erfolgt über die Verbindung 126.
  • Der Mikrocontroller 114 mit seinen Komponenten realisiert seine Funktionen auf der Grundlage des im OTP-Block 116 gespeicherten Programms. Nach der Verarbeitung der Signale von den Sensoren und Sollwertgebern 102, 104 im Mikrocontroller 114 erfolgt der weitere Signalfluss vom Mikrocontroller 114 über die Verbindungen 128, 130, 132, 134 und über die Input/Output-Ports 136, 138, 140, 142 zu den verschieden Aktoren 144 (z. B. Zündspulen und Zündkerzen), 146 (z. B. Drosselklappensteller), 148 (z. B. Einspritzventile) und 150 (z. B. Hauptrelais, Motordrehzahlmesser, Kraftstoffpumpenrelais, Heizung Lambda-Sonde, Nockenwellensteuerung, Tankentlüftung, Saugrohrumschaltung, Sekundärluft, Abgasrückführung).
  • Auf Grund einer steigenden Anzahl ihrer zahlreichen Ein- und Ausgangsgrößen sind diese Regelungen in Kraftfahrzeugen sehr komplex, sodass zur Realisierung dieser Aufgaben moderne Regelungssysteme auf der Basis von Mikrocontrollern 114 eingesetzt werden.
  • Da in modernen Fahrzeugen immer zahlreichere unterschiedliche Sensoren zum Einsatz kommen, deren Messdaten zeitnah berücksichtigt werden müssen, ist die Anzahl der Input-/Output-Ports 106, 108, 136, 138, 140, 142 einer Motorsteuerung 100 ständig vergrößert worden. Daher werden zunehmend Mikrocontroller 114 mit sehr hoher Rechenleistung eingesetzt, wobei die Funktionalitäten der Steuergerätesoftware modifizierbar sind, damit sie in effektiver Weise an die spezifischen Bedürfnisse der verschiedenen Benutzer angepasst werden können.
  • In 2 ist ein Bereich des Steuergeräts als ein Ebenenmodell 10 nach Stand der Technik schematisch dargestellt.
  • Das Ebenenmodell 10 weist eine Schicht 20 – die Überwachungs-Funktionsgruppe – auf, die Überwachungsfunktionen ausführt. Auf der Überwachungsschicht 20 nach oben aufbauend, ist eine Funktionsschicht 40 vorgesehen, die weitere Module bzw. Aggregate umfasst und die beiden vorgenannten Schichten 20 und 40 über Eintrittspunkte, wie beispielsweise Eintrittspunkt 60, verbindet. Dabei kann der Eintrittspunkt 60 beispielsweise eine Schnittstelle oder eine Klasse einer Programmiersprache darstellen oder enthalten, die beispielsweise für eine Parameterübergabe oder eine Übergabe im Sinne eines Übertragungsweges geeignet ist. Eine Mehrzahl von Übertragungswegen kann als ein Kanalbündel oder eine Netzwerkverbindung ausgebildet sein, auf dem bzw. der Übertragungsprotokolle eingesetzt werden können.
  • Die Funktionsschicht 40 trägt als Einrichtung sicherheitsrelevante Funktionen, die in der erfindungsgemäßen Ausführungsform beispielhaft ein DRRQ-Aggregat 80 und eine Mehrzahl an weiteren Aggregaten sind, insbesondere ein erstes Aggregat (AGGR_2) 151, sowie weitere Aggregate AGGR_x 152, AGGR_y 153 und AGGR_z 160.
  • In der Überwachungsschicht 20 sind eine Mehrzahl an (gestrichelt dargestellten) Modulen vorgesehen, beispielsweise ein Modul 180. Dabei trägt oder enthält die Schicht 20 die jeweiligen Überwachungsfunktionen des DRRQ-Aggregates 80 bzw. der sonstigen Aggregate 151, 152, 153 und 160.
  • 3 zeigt die erfindungsgemäße Ausführungsform gemäß einem Ebenenmodell 200. Im Vergleich zu dem Ebenenmodell 10 gemäß 2 ist das DRRQ-Aggregat 220 und ein aus einer Mehrzahl an Aggregaten ausgewähltes Aggregat AGGR_2 240 gekapselt aufgebaut, so dass die Module für die sicherheitsrelevante Funktion und die Überwachungsfunktion blockartig verbunden wurden. Dabei weist das Aggregat 220 einen internen Trennungsbereich 320 auf, der innerhalb des Aggregats eine Unterteilung zwischen der sicherheitsrelevanten Funktion 340 und der Überwachungsfunktion 360 vornimmt. Mithin werden im DRRQ-Aggregat 220 als ein eigenständiges Modul oberhalb des Trennungsbereiches 320, der beispielsweise als Schnittstellenbereich ausgebildet ist, ein Funktionsmodul 340 für sicherheitsrelevante Funktionen und unterhalb ein Überwachungsmodul 360 mit Überwachungsfunktionen ausgebildet.
  • Das Aggregat DRRQ 220 und die Mehrzahl der sonstigen Aggregate weisen weiter die Besonderheit auf, dass sich in der Ebene der jeweiligen Überwachungsfunktion jeweils ein Eintrittspunkt befindet, wobei hier exemplarisch der Eintrittspunkt 520 herausgegriffen wurde, mit dem die jeweilige Überwachungsfunktion des DRRQ-Aggregates 220 oder des Aggregates AGGR_2 240 (über den Eintrittspunkt 540) der übergeordneten Überwachungs-Funktionsgruppe 600 zugeführt wird. Mithin erfolgt die Einkopplung der Überwachungsfunktionen 360 in die übergeordnete Überwachungs-Funktionsgruppe 600 an wenigen genau definierten Punkten 520, 540.
  • Auf einem beispielshalber durch zwischen dem Eintrittspunkt 520 und der übergeordneten Überwachungs-Funktionsgruppe 600 gebildeten Übertragungsweg 700, der auch bidirektional vorgesehen werden kann, können neben der Übertragung z.B. von Fehlerinformationen oder gesicherten Ausgangsgrößen auch Funkti onsbefehle und Rückmeldungen zur Überwachung von Prozessorfunktionen übertragen werden. Vorteilhaft kann damit eine eigene Absicherungshardware eingespart werden, die die sicherheitsrelevante Funktion ausführt.
  • 4 verdeutlicht das Verfahren. Im ersten Schritt 400 wird eine Mehrzahl von sicherheitsrelevanten Funktionsaggregaten zur Steuerung der Anlage ausgebildet. Im nächsten Schritt 402 werden die Funktionsaggregate derart ausgebildet, dass jedes Funktionsaggregat ein Funktionsmodul und ein Überwachungsmodul enthält. Im nächsten Schritt 404 werden die Funktionsaggregate derart ausgebildet, dass das Überwachungsmodul 360 vom Funktionsmodul 340 separiert ist. Im nächsten Schritt 406 wird eine übergeordnete Überwachungs-Funktionsgruppe 600 ausgebildet. Im darauf folgenden Schritt 408 wird im Überwachungsmodul 360 ein Eintrittspunkt zur Kommunikation mit der übergeordneten Überwachungs-Funktionsgruppe 600 vorgesehen. Das Überwachen von Fehlern des Funktionsmoduls 340 erfolgt im nächsten Schritt 410 durch das Überwachungsmodul 360. Im nächsten Schritt 412 wird ein festgestellter Fehler durch das Überwachungsmodul 360 mittels des Eintrittspunkts an das übergeordnete Überwachungsmodul 600 gemeldet.

Claims (17)

  1. Steuereinrichtung für eine Anlage, insbesondere eine Brennkraftmaschine, a) mit einer Mehrzahl von sicherheitsrelevanten Funktionsaggregaten (220); b) wobei jedes sicherheitsrelevante Funktionsaggregat (220) mindestens ein Funktionsmodul (340) und mindestens ein Überwachungsmodul (360) enthält; c) wobei jedes Überwachungsmodul (360) vom zugehörigen Funktionsmodul (340) separiert ist und die Funktion des Funktionsmoduls überwacht; d) mit einer übergeordneten Überwachungs-Funktionsgruppe (600); e) wobei das Überwachungsmodul (360) einen Eintrittspunkt (520) aufweist zur Kommunikation mit der übergeordneten Überwachungs-Funktionsgruppe (600).
  2. Steuereinrichtung nach dem vorhergehenden Anspruch, dadurch gekennzeichnet dass es einen Übertragungsweg (700) zwischen jedem eigenständigen Überwachungsmodul (360) und der übergeordneten Überwachungs-Funktionsgruppe (600) aufweist, auf dem Fehlerinformationen, Funktionsbefehle und Rückmeldungen übertragen werden.
  3. Steuereinrichtung nach dem vorhergehenden Anspruch, gekennzeichnet durch eine Mehrzahl von Übertragungswegen, die ein Übertragungsnetzwerk bilden.
  4. Steuereinrichtung nach einem der beiden vorhergehenden Ansprüche, dadurch gekennzeichnet dass der Übertragungsweg (700) eine dynamisch auf- und abbaubare Übertragungsstrecke ist.
  5. Steuereinrichtung nach einem der drei vorhergehenden Ansprüche, dadurch gekennzeichnet dass der Übertragungsweg (700) einen Sender und einem Empfänger aufweist, wobei der Sender für den Inhalt der Übertragung zuständig ist und der Empfänger für den Übertragungsweg zuständig ist.
  6. Steuereinrichtung nach dem vorhergehenden Anspruch, dadurch gekennzeichnet dass der Sender als eigenständiges Überwachungsmodul (360) ausgebildet ist; und dass der Empfänger die übergeordnete Überwachungs-Funktionsgruppe (600) ist.
  7. Steuereinrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet dass die übergeordnete Überwachungsfunktionsgruppe (600) eine Struktur zur Fehlerbearbeitung aufweist.
  8. Steuereinrichtung nach dem vorhergehenden Anspruch, dadurch gekennzeichnet dass die Struktur zur Fehlerbearbeitung verteilt ist.
  9. Steuereinrichtung nach einem der vorhergehenden Ansprüche, gekennzeichnet durch mindestens zwei sicherheitsrelevante Funktionsaggregate (220), die auf jeweils eigenständigen Hardware-Komponenten gerechnet werden.
  10. Steuereinrichtung nach einem der vorhergehenden Ansprüche, gekennzeichnet durch mindestens zwei sicherheitsrelevante Funktionsmodule (340), die zusammen mit ihrem jeweiligen Überwachungsmodul (360) auf jeweils eigenständigen Hardware-Komponenten gerechnet werden.
  11. Verfahren zum Überwachen der Funktionssicherheit einer Anlage, insbesondere einer Brennkraftmaschine, mit folgenden Schritten: a) Ausbilden einer Mehrzahl von sicherheitsrelevanten Funktionsaggregaten (220) zur Steuerung der Anlage; b) wobei die Funktionsaggregate derart ausgebildet werden, dass jedes Funktionsaggregat (220) mindestens ein Funktionsmodul (340) und mindestens ein Überwachungsmodul (360) enthält; c) wobei die Funktionsaggregate derart ausgebildet werden, dass das jedes Überwachungsmodul (360) vom zugehörigen Funktionsmodul (340) separiert ist; d) Ausbilden einer übergeordneten Überwachungs-Funktionsgruppe (600); f) Ausbilden eines Eintrittspunkts (520) im Überwachungsmodul (360) zur Kommunikation mit der übergeordneten Überwachungs-Funktionsgruppe (600); g) Überwachen von Fehlern des Funktionsmoduls (340) mittels des Überwachungsmoduls (360); und h) Melden eines festgestellten Fehlers durch das Überwachungsmodul (360) mittels des Eintrittspunkts (520) an das übergeordnete Überwachungsmodul (600).
  12. Computerprogramm, dadurch gekennzeichnet, dass es bei Ablauf auf einem Mikrocontroller, Computer oder auf einer Mehrzahl von Computern eines Computer-Netzwerks oder auf einer Mehrzahl von Mikrocontrollern eines Mikrocontroller-Netzwerks das Verfahren nach dem Verfahrensanspruch ausführt.
  13. Computerprogramm mit Programmcode-Mitteln, um ein Verfahren gemäß dem Verfahrensanspruch durchzuführen, wenn das Computerprogramm auf einem Mikrocontroller, Computer oder auf einer Mehrzahl von Computern eines Computer-Netzwerks oder auf einer Mehrzahl von Mikrocontrollern eines Mikrocontroller-Netzwerks ausgeführt wird.
  14. Computerprogramm mit Programmcode-Mitteln gemäß dem vorhergehenden Anspruch, die auf einem computerlesbaren Datenträger gespeichert sind.
  15. Datenträger, auf dem eine Datenstruktur gespeichert ist, die nach einem Laden in einen Arbeits- und/oder Hauptspeicher eines Computers oder einer Mehrzahl von Computern eines Computer-Netzwerks das Verfahren nach dem Verfahrensanspruch ausführt.
  16. Computerprogramm-Produkt mit auf einem maschinenlesbaren Träger gespeicherten Programmcode-Mitteln, um alle Schritte gemäß dem Verfahrensanspruch durchzuführen, wenn das Programm auf einem Computer oder auf einer Mehrzahl von Computern eines Computer-Netzwerks ausgeführt wird.
  17. Moduliertes Datensignal, welches von einem Computersystem oder von einer Mehrzahl von Computern eines Computer-Netzwerks ausführbare Instruktionen zum Ausführen eines Verfahrens nach dem Verfahrensanspruch enthält.
DE102005003916A 2005-01-27 2005-01-27 Überwachen der Funktionssicherheit einer Brennkraftmaschine Expired - Fee Related DE102005003916B4 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102005003916A DE102005003916B4 (de) 2005-01-27 2005-01-27 Überwachen der Funktionssicherheit einer Brennkraftmaschine
US11/795,465 US8392046B2 (en) 2005-01-27 2005-12-28 Monitoring the functional reliability of an internal combustion engine
KR1020077019255A KR101216455B1 (ko) 2005-01-27 2005-12-28 내연기관의 기능 신뢰성 감시
PCT/EP2005/057189 WO2006079440A1 (de) 2005-01-27 2005-12-28 Überwachen der funktionssicherheit einer brennkraftmaschine

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102005003916A DE102005003916B4 (de) 2005-01-27 2005-01-27 Überwachen der Funktionssicherheit einer Brennkraftmaschine

Publications (2)

Publication Number Publication Date
DE102005003916A1 true DE102005003916A1 (de) 2006-08-24
DE102005003916B4 DE102005003916B4 (de) 2012-06-06

Family

ID=36013408

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102005003916A Expired - Fee Related DE102005003916B4 (de) 2005-01-27 2005-01-27 Überwachen der Funktionssicherheit einer Brennkraftmaschine

Country Status (4)

Country Link
US (1) US8392046B2 (de)
KR (1) KR101216455B1 (de)
DE (1) DE102005003916B4 (de)
WO (1) WO2006079440A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2934322A1 (fr) * 2008-07-28 2010-01-29 Bosch Gmbh Robert Procede et dispositif pour determiner un defaut dans un ensemble de pieces
WO2010128130A1 (de) * 2009-05-07 2010-11-11 Robert Bosch Gmbh Verfahren zum konfigurieren eines steuergeräts
WO2011113405A1 (de) * 2010-03-15 2011-09-22 Schaeffler Technologies Gmbh & Co. Kg Steuergeräteanordnung
US9725054B2 (en) 2013-09-02 2017-08-08 Robert Bosch Gmbh Method for monitoring a component in a motor vehicle

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009000265A1 (de) * 2009-01-16 2010-07-22 Robert Bosch Gmbh Verfahren zum Durchführen einer Anzahl Einspritzungen
KR101865364B1 (ko) 2017-04-05 2018-06-07 한국항공우주산업 주식회사 항공기 전자식 비행제어시스템 시험장치
KR102369169B1 (ko) 2020-05-12 2022-03-03 한국항공우주산업 주식회사 항공기 조종면 관성 모사 장치

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19841260A1 (de) * 1998-09-09 2000-03-16 Siemens Ag Verfahren zum Erkennen von Fehlerzuständen und fahrzeugeigenes Diagnosesystem
WO2003056427A2 (de) * 2001-12-21 2003-07-10 Robert Bosch Gmbh Verfahren und vorrichtung zur steuerung einer funktionseinheit eines kraftfahrzeugs

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3568157A (en) * 1963-12-31 1971-03-02 Bell Telephone Labor Inc Program controlled data processing system
FR2656439B1 (fr) * 1989-12-21 1994-09-02 Siemens Automotive Sa Procede et dispositif de memorisation de defauts de fonctionnement intermittents d'un systeme physique et de variables de contexte de ces defauts.
DE69428633T2 (de) 1993-06-17 2002-06-20 Denso Corp Fahrzeugsdiagnosesystem
JP3138709B2 (ja) * 1993-12-21 2001-02-26 アイシン・エィ・ダブリュ株式会社 車両用電子制御装置の自己故障診断方法及び装置
DE19841267C1 (de) * 1998-09-09 2000-03-02 Siemens Ag Verfahren zur Durchführung einer Fehlerdiagnose und fahrzeugeigenes Fehlerdiagnosesystem
DE50007910D1 (de) * 1999-04-21 2004-10-28 Siemens Ag Steuervorrichtung für stellantriebe einer brennkraftmaschine
US6353390B1 (en) * 1999-12-31 2002-03-05 Jeffrey Beri Method and system of configuring a boundary and tracking an object thereby
AT412196B (de) * 2000-03-17 2004-11-25 Keba Ag Verfahren zur zuordnung einer mobilen bedien- und/oder beobachtungseinrichtung zu einer maschine sowie bedien- und/oder beobachtungseinrichtung hierfür
DE10018859A1 (de) * 2000-04-14 2001-10-18 Bosch Gmbh Robert System und Verfahren zur Überwachung einer Einrichtung zum Messen, Steuern und Regeln
DE10032179A1 (de) * 2000-07-01 2002-01-17 Daimler Chrysler Ag Steuerungssystem für ein Fahrzeug und Verfahren zur Steuerung eines Fahrzeugs
JP2002347479A (ja) * 2001-05-29 2002-12-04 Denso Corp 車両統合制御システム
DE10392769D2 (de) * 2002-07-05 2005-08-04 Continental Teves Ag & Co Ohg Verfahren zum Überwachen der Funktionen und Erhöhen der Betreibssicherheit eines Sicherheitsrelevanten Regelungssystems
US6729844B2 (en) * 2002-08-14 2004-05-04 Harold Ray Bettencourt Controller for variable pitch fan system
JP2004207997A (ja) * 2002-12-25 2004-07-22 Matsushita Electric Ind Co Ltd ネットワーク接続装置、ネットワーク接続方法及び記憶媒体
JP4141926B2 (ja) * 2003-06-09 2008-08-27 梶原工業株式会社 調理装置
EP1616746B1 (de) * 2004-07-15 2010-02-24 Hitachi, Ltd. Fahrzeugsteuerungsystem
US8160779B2 (en) * 2006-04-03 2012-04-17 Thuyssenkrupp Presta AG Monitoring device for the function of an electronic control device, and method for this purpose
US7831352B2 (en) * 2007-03-16 2010-11-09 The Hartfiel Company Hydraulic actuator control system
US8050836B2 (en) * 2007-10-17 2011-11-01 GM Global Technology Operations LLC Method and system for determining initiation of a panic braking maneuver
JP4633134B2 (ja) * 2008-03-27 2011-02-16 ルネサスエレクトロニクス株式会社 マイクロコントローラ、制御システム及びマイクロコントローラの設計方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19841260A1 (de) * 1998-09-09 2000-03-16 Siemens Ag Verfahren zum Erkennen von Fehlerzuständen und fahrzeugeigenes Diagnosesystem
WO2003056427A2 (de) * 2001-12-21 2003-07-10 Robert Bosch Gmbh Verfahren und vorrichtung zur steuerung einer funktionseinheit eines kraftfahrzeugs

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2934322A1 (fr) * 2008-07-28 2010-01-29 Bosch Gmbh Robert Procede et dispositif pour determiner un defaut dans un ensemble de pieces
DE102008040796B4 (de) * 2008-07-28 2019-12-05 Robert Bosch Gmbh Verfahren zur Ermittlung eines Fehlers in einer Baugruppe
WO2010128130A1 (de) * 2009-05-07 2010-11-11 Robert Bosch Gmbh Verfahren zum konfigurieren eines steuergeräts
WO2011113405A1 (de) * 2010-03-15 2011-09-22 Schaeffler Technologies Gmbh & Co. Kg Steuergeräteanordnung
US9725054B2 (en) 2013-09-02 2017-08-08 Robert Bosch Gmbh Method for monitoring a component in a motor vehicle

Also Published As

Publication number Publication date
US8392046B2 (en) 2013-03-05
KR20070097122A (ko) 2007-10-02
US20080140279A1 (en) 2008-06-12
KR101216455B1 (ko) 2012-12-28
DE102005003916B4 (de) 2012-06-06
WO2006079440A1 (de) 2006-08-03

Similar Documents

Publication Publication Date Title
DE102012205731B4 (de) Elektronische fahrzeugsteuervorrichtung
DE102006017824B4 (de) Methode zum Konstruieren einer Diagnosefunktion
DE102005003916B4 (de) Überwachen der Funktionssicherheit einer Brennkraftmaschine
DE102007013967A1 (de) Softwaresystem einer elektronischen Steuereinheit für ein Fahrzeug und Entwurfsverfahren für dieses
WO2008040641A2 (de) Verfahren und vorrichtung zur fehlerverwaltung
EP1222378B1 (de) Vorrichtung und verfahren zur steuerung einer antriebseinheit
DE102006057743B4 (de) Verfahren zur Überwachung der Funktionssoftware von Steuergeräten in einem Steuergeräteverbund
DE10309891B4 (de) Elektronische Fahrzeugsteuervorrichtung mit einer Vielzahl von Mikrocomputern zum Implementieren einer Mikrocomputerüberwachungsfunktion
DE102011087988A1 (de) Verfahren und Vorrichtung zur Überprüfung einer Funktionsfähigkeit einer von einem Multi-Fuel-System betriebenen Brennkraftmaschine
WO2000063546A1 (de) Verfahren und vorrichtung zur überwachung eines rechenelements in einem kraftfahrzeug
DE102011088764A1 (de) Verfahren zum Betreiben eines Steuergeräts
EP1081362B1 (de) Verfahren zum gesteuerten Betrieb einer Brennkraftmaschine nach Fehlerdiagnose
DE102012221277A1 (de) Fahrzeugsteuervorrichtung
DE102009011157B4 (de) Vorrichtung zur Steuerung und Regelung eines Antriebssystems
DE102007063053A1 (de) Fehlercodespeicherverwaltungs-Architekturkonzept mit einem dedizierten Überwachungseinheitsmodul und einem Fehlerspeicherverwaltungs-Administratormodul für einen Hochleistungs-Dieselmotor
DE102017220100A1 (de) Verfahren zur Erkennung eines Brandes, insbesondere in einem Fahrzeug
EP2387660B1 (de) Verfahren zum durchführen einer anzahl einspritzungen
DE19921065A1 (de) Verfahren und Vorrichtung zum Betrieb einer Steuereinheit zur Steuerung von Betriebsabläufen in einem Fahrzeug
EP3132322B1 (de) Verfahren zur diagnose eines kraftfahrzeugsystems, diagnosegerät für ein kraftfahrzeugsystem, steuergerät für ein kraftfahrzeugsystem und kraftfahrzeug
DE19755311B4 (de) Verfahren und Vorrichtung zur Informationsübertragung in Kraftfahrzeugen
DE102016216728A1 (de) Fehlerdiagnose in einem Bordnetz
DE102009011429A1 (de) Vorrichtung und Verfahren zur Steuerung und Regelung eines Antriebssystems
DE102009011156B4 (de) Vorrichtung zur Steuerung und Regelung eines Antriebssystems
DE102013208700A1 (de) Kraftfahrzeug mit zumindest zwei Vortriebsaktoren und erhöhter Ausfallsicherheit, Betriebsverfahren und Mittel zu dessen Implementierung
DE102004002456B4 (de) Verfahren und Vorrichtung zur Motorsteuerung in einer Verbrennungskraftmaschine sowie Sensorelement

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8127 New person/name/address of the applicant

Owner name: CONTINENTAL AUTOMOTIVE GMBH, 30165 HANNOVER, DE

R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final

Effective date: 20120907

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee
R081 Change of applicant/patentee

Owner name: VITESCO TECHNOLOGIES GMBH, DE

Free format text: FORMER OWNER: CONTINENTAL AUTOMOTIVE GMBH, 30165 HANNOVER, DE