DE102005030770B4 - Schaltungsanordnung und Verfahren zum Steuern einer Sicherheitseinrichtung für ein Fahrzeug - Google Patents

Schaltungsanordnung und Verfahren zum Steuern einer Sicherheitseinrichtung für ein Fahrzeug Download PDF

Info

Publication number
DE102005030770B4
DE102005030770B4 DE102005030770A DE102005030770A DE102005030770B4 DE 102005030770 B4 DE102005030770 B4 DE 102005030770B4 DE 102005030770 A DE102005030770 A DE 102005030770A DE 102005030770 A DE102005030770 A DE 102005030770A DE 102005030770 B4 DE102005030770 B4 DE 102005030770B4
Authority
DE
Germany
Prior art keywords
control unit
signal
switching means
control
safety device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE102005030770A
Other languages
English (en)
Other versions
DE102005030770A1 (de
Inventor
Guido Dipl.-Ing. Wetzel
Reinhard Dipl.-Ing.(FH) Helldörfer
Andreas Dipl.-Ing.(FH) Bernitt
Hermann Dipl.-Ing.(FH) Kemmetter
Heinz Dipl.-Ing.(FH) Bader
Horst Dipl.-Ing. Schlagenhaufer
Helmut Dipl.-Ing. Steurer
Mario Dr. Götz
Günter Dipl.-Ing. Fendt (FH)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Conti Temic Microelectronic GmbH
Original Assignee
Conti Temic Microelectronic GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Conti Temic Microelectronic GmbH filed Critical Conti Temic Microelectronic GmbH
Priority to DE102005030770A priority Critical patent/DE102005030770B4/de
Publication of DE102005030770A1 publication Critical patent/DE102005030770A1/de
Application granted granted Critical
Publication of DE102005030770B4 publication Critical patent/DE102005030770B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R21/00Arrangements or fittings on vehicles for protecting or preventing injuries to occupants or pedestrians in case of accidents or other traffic risks
    • B60R21/01Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents
    • B60R21/017Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents including arrangements for providing electric power to safety arrangements or their actuating means, e.g. to pyrotechnic fuses or electro-mechanic valves
    • B60R21/0173Diagnostic or recording means therefor

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Air Bags (AREA)

Abstract

Schaltungsanordnung zum Steuern einer Sicherheitseinrichtung (2) für ein Fahrzeug mit:
a) mindestens einem ersten Schaltmittel (4.1, 4.2) und mindestens einem zweiten Schaltmittel (6) zum Aktivieren von mindestens einem Aktuator (7) der Sicherheitseinrichtung (2),
b) einer ersten Steuereinheit (3) zum Steuern des mindestens einen ersten Schaltmittels (4.1, 4.2) abhängig von mindestens einem Eingangssignal (1.2, 3.2) der Sicherheitseinrichtung (2), und
c) einer zweiten Steuereinheit (5) zum Steuern des mindestens einen zweiten Schaltmittels (6) abhängig von mindestens einem Eingangssignal (1.2, 3.2) der Sicherheitseinrichtung (2),
d) die erste Steuereinheit (3) zum Erzeugen mindestens eines ersten Steuersignals (4.0.1) für das erste Schaltmittel (4.1, 4.2) sowie von mindestens einem ersten Freigabesignal (6.0.1) für das mindestens eine zweite Schaltmittel (6) unabhängig von der zweiten Steuereinheit (5) ausgebildet ist und
e) die zweite Steuereinheit (5) zum Erzeugen mindestens eines zweiten Steuersignals (6.0.2) für das zweite Schaltmittel (6) sowie von mindestens einem zweiten Freigabesignal...

Description

  • Die Erfindung betrifft eine Schaltungsanordnung zum Steuern einer Sicherheitseinrichtung für ein Fahrzeug gemäß dem Oberbegriff von Anspruch 1 und ein entsprechendes Verfahren.
  • Im Bereich der Automobiltechnik werden zunehmend komplexe Sicherheitseinrichtungen bzw. Insassenschutzsysteme wie beispielsweise Airbag- und Gurtstraffersysteme sowie Überrollsensoren eingesetzt. Zum Überprüfen der korrekten Funktion von derartigen Sicherheitseinrichtungen werden in der Regel gesonderte Überwachungseinrichtungen wie beispielsweise Mikroprozessoren oder spezielle Logikschaltungen in Form von ASICs (Application Specific Integrated Circuits) eingesetzt.
  • Aus der DE 44 24 020 A1 ist eine festverdrahtete Logik (Ablaufsteuerung) bekannt, welche die Funktion eines unabhängigen Überwachungsrechners für eine Sicherheitseinrichtung erfüllt. Die Ablaufsteuerung überwacht die Anlaufphase bzw. den Eigendiagnoseablauf einer Auslösevorrichtung einer Fahrzeug-Sicherheitseinrichtung. Die Endstufen der Auslösevorrichtung werden für eine mögliche Aktivierung der Sicherheitseinrichtung erst freigegeben, wenn der Überwachungsrechner eine ordnungsgemäße Funktion eines Mikroprozessors der Sicherheitseinrichtung festgestellt hat. Dadurch wird bereits eine hohe Sicherheit vor Fehlfunktionen erzielt.
  • Allerdings hängt die Ausfallsicherheit dieser Sicherheitseinrichtung im Betrieb nach der Eigendiagnose alleine von dem Mikroprozessor ab, der als Steuereinheit im Crashfall eine Auslösentscheidung basierend auf Eingangssignalen trifft, die von Sensoren stammen. Im Falle eines während des Betriebs auftretenden Fehlers im Mikroprozessor oder einer Störung kann es daher bei den bekannten Sicherheitsvorrichtungen zu einer unerwünschten Auslösung der Sicherheitseinrichtung kommen.
  • Aus der DE 39 24 595 A1 sowie DE 198 24 432 A1 sind daher Schaltungsanordnung gemäß dem Oberbegriff von Anspruch 1 zu entnehmen, bei denen zwei Steuereinheiten wechselseitig eine Freigabe für den Auslösepfad des anderen Steuergeräts vornehmen.
  • Aufgabe der vorliegenden Erfindung ist es, eine Schaltungsanordnung und ein Verfahren zum Steuern einer Sicherheitseinrichtung für ein Fahrzeug vorzuschlagen, bei denen die Gefahr einer unerwünschten Auslösung der Sicherheitseinrichtung aufgrund von Fehlern, Ausfällen oder Störungen einer Steuereinheit im laufenden Betrieb der Sicherheitseinrichtung reduziert ist.
  • Diese Aufgabe wird durch eine Schaltungsanordnung zum Steuern einer Sicherheitseinrichtung für ein Fahrzeug mit den Merkmalen von Anspruch 1 und ein entsprechendes Verfahren gelöst. Bevorzugte Ausgestaltungen der Erfindung ergeben sich aus den abhängigen Ansprüchen.
  • Ein wesentlicher Gedanke der Erfindung besteht darin, zusätzlich zu der üblichen Steuereinheit, die maßgeblich die Sicherheitseinrichtung und insbesondere das Aktivieren von Aktuatoren der Sicherheitseinrichtung steuert, eine weitere Steuereinheit vorzusehen, die eine Art parallele Steuerung implementiert. Dadurch wird eine redundante Steuerung der Sicherheitseinrichtung geschaffen, die einen wesentlich besseren Schutz vor einer unerwünschten Auslösung im Fehlerfall bietet als bekannte Sicherheitseinrichtungen mit nur einer Steuereinheit. Zur Realisierung des Schutzes erzeugen beide Steuereinheiten parallel Steuer- und Freigabesignale für Schaltmittel. Diese Signale werden zum Aktivieren der Schaltmittel miteinander logisch verknüpft. Die logischen Verknüpfungen verhindern hierbei, dass es bei aufgrund von Störungen oder Fehlern in einer oder beiden Steuereinheiten erzeugten Signalen zu einer Aktivierung eines Aktuators der Sicherheitseinrichtung kommen kann.
  • Zumindest eine der Steuereinheiten ist ausgebildet, um zu Prüfzwecken während einer Prüfphase mindestens ein Testansteuersignal zu erzeugen, welches mindestens ein Test-Eingangssignal für die erste und/oder zweite Steuereinheit generiert, wobei während der Testphase eine Auslösung unterdrückt ist.
  • Zudem sind die Steuereinheiten ausgebildet, um das mindestens eine Ansteuersignal der ersten Steuereinheitfür den mindestens einen Sensorzu überwachen und das mindestens eine zweite Freigabesignal und/oder das mindestens eine Steuersignal zu deaktivieren, falls sie nach einer Prüfphase im Normalbetrieb der Vorrichtung das mindestens eine Ansteuersignal detektiert, um einen Aktivierungspfad für den mindestens einen Aktuator zu sperren.
  • Die Erfindung betrifft konkret eine Schaltungsanordnung zum Steuern einer Sicherheitseinrichtung für ein Fahrzeug mit mindestens einem ersten Schaltmittel und mindestens einem zweiten Schaltmittel zum Aktivieren von mindestens einem Aktuator der Sicherheitseinrichtung, einer ersten Steuereinheit zum Steuern des mindestens einen ersten Schaltmittels abhängig von mindestens einem Eingangssignal der Sicherheitseinrichtung, und einer zweiten Steuereinheit zum Steuern des mindestens einen zweiten Schaltmittels abhängig von mindestens einem Eingangssignal der Sicherheitseinrichtung. Die erste Steuereinheit ist zum Erzeugen von mindestens einem ersten Freigabesignal für das mindestens eine zweite Schaltmittel unabhängig von der zweiten Steuereinheit und die zweite Steuereinheit zum Erzeugen von mindestens einem zweiten Freigabesignal für das mindestens eine erste Schaltmittel unabhängig von der ersten Steuereinheit ausgebildet. Eine erste logische Verknüpfung ist zum Bilden eines Aktivierungssignals für das mindestens eine erste Schaltmittel abhängig von einem Steuersignal der ersten Steuereinheit und vom zweiten Freigabesignal und eine zweite logische Verknüpfung ist zum Bilden eines Aktivierungssignals für das mindestens eine zweite Schaltmittel abhängig von einem Steuersignal der zweiten Steuereinheit und vom ersten Freigabesignal vorgesehen. Zur Aktivierung der entsprechenden Schaltmittel werden also zeitgleich mindestens zwei Freigabesignale von zwei unabhängigen Steuereinheiten benötigt. Unabhängig bedeutet hier, dass jede Steuereinheit für sich eigenständig funktionsfähig ist und keine Steuersignale von der jeweils anderen Steuereinheit benötigt, um ihre Freigabe- und Steuersignale zu erzeugen. Durch diese unabhängige Verarbeitung von einem oder mehreren Eingangssignalen wird die Wahrscheinlichkeit wesentlich verringert, dass es bei einer Fehlfunktion von zumindest einer der beiden Steuereinheiten zu einer unerwünschten Aktivierung eines Aktuators der Sicherheitseinrichtung kommt.
  • Vorzugsweise umfassen die erste und zweite logische Verknüpfung jeweils eine logische UND-Funktion. Eine UND-Funktion ist beispielsweise mit einem einzelnen Transistor realisierbar und daher kostengünstig zu implementieren.
  • Insbesondere ist das mindestens eine Eingangssignal der ersten Steuereinheit und der zweiten Steuereinheit mindestens ein Sensorsignal und die zweite Steuereinheit ist ausgebildet, um das mindestens eine zweite Freigabesignal für das mindestens eine erste Schaltmittel abhängig von dem mindestens einen Sensorsignal zu erzeugen. Eine Freigabe erfolgt hier also erst nach Detektion eines Sensorsignals. Hierdurch wird eine besonders hohe Sicherheit vor unerwünschten Aktivierungen eines Aktuators der Sicherheitseinrichtung erzielt. Das Sensorsignal kann beispielsweise von einem Beschleunigungs-, Druck- oder sonstigen für Sicherheitsbelange im Fahrzeug eingesetzten Sensor stammen. Beispielsweise wird hierdurch in einem Airbag-Insassenschutzsystem ein Freigabesignal erst erzeugt werden, wenn ein Beschleunigungssensorsignal auftritt.
  • Die erste Steuereinheit ist in einer bevorzugten Ausführungsform ausgebildet, um zu Prüfzwecken mindestens ein Ansteuersignal für mindestens einen Sensor zu erzeugen, der das mindestens eine Eingangssignal für die erste und/oder zweite Steuereinheit generiert. Der mindestens eine Sensor kann bei dieser Ausführungsform also gezielt stimuliert werden, um ein Ausgangssignal zu liefern, das als Eingangssignal von der ersten und/oder zweiten Steuereinheit verarbeitet werden kann. Dadurch ist es möglich, das Verhalten und insbesondere die korrekte Funktion der beiden Steuereinheiten zu überprüfen.
  • Insbesondere ist die zweite Steuereinheit ausgebildet, um das mindestens eine Ansteuersignal der ersten Steuereinheit für den mindestens einen Sensor zu überwachen und das mindestens eine zweite Freigabesignal und/oder das mindestens eine Steuersignal zu deaktivieren, falls sie nach einer Prüfphase der Vorrichtung das mindestens eine Ansteuersignal detektiert, um einen Aktivierungspfad für den mindestens einen Aktuator zu sperren. Im laufenden Betrieb der Vorrichtung zum Steuern der Sicherheitseinrichtung können durch die erste Steuereinheit Funktionstests durchgeführt werden. Hierbei ist sicherzustellen, dass ein Aktuator auf keinen Fall durch die Funktionstests aktiviert wird. Dies wird hier dadurch gewährleistet, dass die zweite Steuereinheit das mindestens eine Ansteuersignal der ersten Steuereinheit überwacht und ggf. den Aktivierungspfad für den mindestens einen Aktuator sperrt.
  • Während einer Prüfphase der Vorrichtung muss umgekehrt gewährleistet sein, dass der Aktivierungspfad teilweise freigegeben ist, um möglichst Tests des Pfades durchführen zu können. Hierzu ist die zweite Steuereinheit vorzugsweise ausgebildet, um das mindestens eine Ansteuersignal der ersten Steuereinheit für den mindestens einen Sensor zu überwachen und das mindestens eine zweite Freigabesignal zu deaktivieren, falls sie während einer Prüfphase der Vorrichtung das mindestens eine Ansteuersignal detektiert, um einen Aktivierungspfad für den mindestens einen Aktuator teilweise freizugeben.
  • In einer besonders bevorzugten Ausgestaltung ist die zweite Steuereinheit zur Funktionsüberprüfung der ersten Steuereinheit ausgebildet. Die zweite Steuereinheit kann beispielsweise eine Überwachungseinheit wie eingangs erwähnt bilden, welche die erste Steuereinheit in ihrer Funktion überwacht. Derartige Überwachungseinheiten sind in vielen Sicherheitseinrichtungen wie Insassenschutzsystemen vorgesehen, um zumindest während einer Initialisierungsphase eines Steuergeräts die zentrale Steuereinheit zu überprüfen.
  • Weiterhin kann in der zweiten Steuereinheit ferner ein Basisalgorithmus zum Aktivieren eines oder mehrerer Aktuatoren der Sicherheitseinrichtung abhängig vom mindestens einen Eingangssignal implementiert sein. Denkbar wäre beispielsweise, dass eine bereits vorhandene Überwachungseinheit, die als Mikroprozessor ausgebildet ist, zur zweiten Steuereinheit weiter ausgebildet wird, indem ihre Betriebssoftware um Funktionen zum Steuern der Sicherheitseinrichtung erweitert wird. Hierzu sind keine umfangreichen Änderungen der Hardware erforderlich, da sich die Anpassungen vor allem auf die Software beschränken.
  • Um zu bewerkstelligen, dass die beiden Steuereinheiten möglichst synchron die Schaltmittel ansteuern, sind die erste und zweite Steuereinheit vorzugsweise ausgebildet, um sich insbesondere während einer Initialisierungshase der Sicherheitseinrichtung ereignisgesteuert zueinander zu synchronisieren. In diesem Fall ist keine Befehlsübertragung zwischen den beiden Steuereinheiten zum Synchronisieren erforderlich. Statt dessen kann alleine anhand von Ereignissen synchronisiert werden, die z. B. Signalflanken von bestimmten Test-, Prüf- oder Statussignalen sein können.
  • Insbesondere ist die erste Steuereinheit ausgebildet, um zum ereignisgesteuerten Synchronisieren mindestens einen Sensor anzusteuern, der das mindestens eine Eingangssignal für die erste und zweite Steuereinheit erzeugt. Es werden also ein oder mehrere Sensoren von der ersten Steuereinheit derart stimuliert, dass sie Ausgangssignale liefern, die den Ausgangssignalen ähneln oder entsprechen, die auch im normalen Betriebsfall auftreten können. Anhand dieser Ausgangssignale kann dann die Synchronisation erfolgen.
  • Beispielsweise kann die erste Steuereinheit ausgebildet sein, um zum ereignisgesteuerten Synchronisieren ein Signal zum Ansteuern des mindestens einen Sensors und der zweiten Steuereinheit zu erzeugen, die Zeitdauer bis zum Empfang eines Statussignals zu messen und sich entsprechend der gemessenen Zeitdauer mit der zweiten Steuereinheit zu synchronisieren.
  • Die zweite Steuereinheit ist vorzugsweise ausgebildet, um während einer ereignisgesteuerten Synchronisation das Steuersignal zum Bilden des Aktivierungssignals für das mindestens zweite Schaltmittel und/oder das zweite Freigabesignal zu deaktivieren. Hierdurch wird vermieden, dass beim Ablauf eines Synchronisationsvorgangs beispielsweise aufgrund eines fehlerhaften Steuer- und/oder Freigabesignals der ersten Steuereinheit eine Aktivierung eines oder gar mehrerer Aktuatoren der Sicherheitseinrichtung erfolgt.
  • Um eine besonders hohe Ausfall- und Fehlersicherheit zu erzielen, sind die erste und zweite Steuereinheit gesonderte Bauelemente, d. h. „physikalisch" getrennte Einheiten, beispielsweise zwei Mikrokontroller oder -prozessoren mit jeweils eigenem Gehäuse.
  • Ebenso können zum Erhöhen der Ausfall- und Fehlersicherheit das mindestens eine erste Schaltmittel als ein erstes Bauelement und das mindestens eine zweite Schaltmittel als ein zweites gesondertes Bauelement ausgebildet sein.
  • In einer bevorzugten Ausführungsform ist das mindestens eine erste Schaltmittel ein Transistor und das erste Bauelement ein ASIC, das eine Ansteuerlogik für das mindestens eine erste Schaltmittel aufweist. Als Transistor kann beispielsweise ein Leistungs-MOSFET eingesetzt werden, über dessen Laststrecke die für die Zündung einer Airbag-Zündpille erforderlichen hohen Ströme fliessen können.
  • Weiterhin können die erste und zweite Steuereinheit ausgebildet sein, um das mindestens eine erste Freigabesignal bzw. das mindestens eine zweite Freigabesignal für eine bestimmte Zeitdauer und/oder unmittelbar oder zeitlich versetzt nach Detektion eines Eingangssignals zu erzeugen.
  • Um eine Aktivierung eines Aktuators der Sicherheitseinrichtung während einer Test- oder Prüfphase zu vermeiden, sind die erste und zweite Steuereinheit vorzugsweise derart ausgebildet, dass eine Prüfung von einem oder mehreren das mindestens eine Eingangssignal erzeugenden Sensoren nur bei gesperrtem mindestens einem ersten oder zweiten Schaltmittel erfolgen kann. Wesentlich ist hier, dass wenigstens eines der Schaltmittel gesperrt ist, um ein Durchschalten eines Aktivierungspfades für den Aktuator zu verhindern.
  • In einer bevorzugten Ausführungsform der Erfindung ist in der ersten Steuereinheit ein Basisalgorithmus zur Funktionsüberprüfung der zweiten Steuereinheit implementiert. Dadurch kann die Ausfall-Sicherheit der gesamten Vorrichtung weiter verbessert werden, da nicht nur ein Ausfall der ersten, sondern auch ein Ausfall der zweiten Steuereinheit beispielsweise während einer Prüfphase detektiert werden kann.
  • Die Erfindung betrifft ferner ein Verfahren zum Steuern einer Sicherheitseinrichtung für ein Fahrzeug, bei dem eine erste und eine zweite Steuereinheit der Sicherheitseinrichtung jeweils mindestens ein Eingangssignal empfangen und abhängig vom empfangenen mindestens einen Eingangssignal mindestens ein erstes Schaltmittel und mindestens ein zweites Schaltmittel zum Aktivieren von mindestens einem Aktuator der Sicherheitseinrichtung steuern. Die erste Steuereinheit erzeugt mindestens ein erstes Freigabesignal für das mindestens eine zweite Schaltmittel unabhängig von der zweiten Steuereinheit und die zweite Steuereinheit erzeugt mindestens ein zweites Freigabesignal für das mindestens eine erste Schaltmittel unabhängig von der ersten Steuereinheit. Durch eine erste logische Verknüpfung wird ein Aktivierungssignal für das mindestens eine erste Schaltmittel abhängig von mindestens einem Steuersignal der ersten Steuereinheit und vom mindestens einen zweiten Freigabesignal und durch eine zweite logische Verknüpfung wird ein Aktivierungssignal für das mindestens eine zweite Schaltmittel abhängig von mindestens einem Steuersignal der zweiten Steuereinheit und vom mindestens einen ersten Freigabesignal gebildet.
  • Vorzugsweise synchronisieren sich die erste und zweite Steuereinheit ereignisgesteuert insbesondere während einer Initialisierungs- oder Prüfphase der Sicherheitseinrichtung zueinander.
  • Die erste Steuereinheit steuert zum ereignisgesteuerten Synchronisieren beispielsweise mindestens einen Sensor an, der das mindestens eine Eingangssignal für die erste und zweite Steuereinheit erzeugt.
  • In einer bevorzugten Ausführungsform erzeugt die erste Steuereinheit zum ereignisgesteuerten Synchronisieren ein Signal zum Ansteuern des mindestens einen Sensors und der zweiten Steuereinheit, misst die Zeitdauer bis zum Empfang eines Statussignals und synchronisiert sich entsprechend der gemessenen Zeitdauer mit der zweiten Steuereinheit.
  • Um ein Aktivieren des mindestens einen Aktuators der Vorrichtung insbesondere während dem Synchronisieren zu verhindern, kann die zweite Steuereinheit während einer ereignisgesteuerten Synchronisation das Steuersignal zum Bilden des Aktivierungssignals für das mindestens eine zweite Schaltmittel und/oder das zweite Freigabesignal deaktivieren.
  • Die erste und zweite Steuereinheit können das mindestens eine erste Freigabesignal bzw. das mindestens eine zweite Freigabesignal für eine bestimmte Zeitdauer und/oder unmittelbar oder zeitlich versetzt nach Detektion eines Eingangssignals erzeugen.
  • Insbesondere führen die erste und zweite Steuereinheit eine Prüfung von einem oder mehreren das mindestens eine Eingangssignal erzeugenden Sensoren nur bei gesperrtem mindestens einem ersten oder zweiten Schaltmittel durch.
  • Weitere Vorteile und Anwendungsmöglichkeiten der vorliegenden Erfindung ergeben sich aus der nachfolgenden Beschreibung in Verbindung mit dem in den Zeichnungen dargestellten Ausführungsbeispielen.
  • In der Beschreibung, in den Ansprüchen, in der Zusammenfassung und in den dazugehörenden Zeichnungen werden die in der hinten angeführten Liste der Bezugszeichen verwendeten Begriffe und zugeordneten Bezugszeichen verwendet.
  • Die Zeichnungen zeigen in
  • 1 ein erstes Ausführungsbeispiel einer Schaltungsanordnung gemäß der Erfindung;
  • 2 ein Ausführungsbeispiel eines Ablaufs eines Prüfverfahrens, bei dem eine ereignisgesteuerte Synchronisation von Steuer- und Überwachungseinheit gemäß der Erfindung erfolgt;
  • 3 eine zweites Ausführungsbeispiel einer Schaltungsanordnung gemäß der Erfindung; und
  • 4 ein Ausführungsbeispiel eines UND-Gatters für den Einsatz in einer Schaltungsanordnung gemäß der Erfindung.
  • 1 zeigt eine Schaltungsanordnung, die in einem Steuergerät 1 einer Fahrzeugsicherheitseinrichtung wie beispielsweise einem Airbag-Insassenschutzsystem eingesetzt wird. Die Schaltungsanordnung umfasst eine Sicherheitseinrichtung 2, eine Steuereinheit 3 (erste Steuereinheit, Master-μP), eine Überwachungseinheit 5 (zweite Steuereinheit, Slave-μP) und ein Netzteil 8. An das Steuergerät 1 sind ein oder mehrere Sensoren 10, 1.1 angeschlossen, die beispielsweise Beschleunigungssensoren sind (zentraler Beschleunigungssensor 10 und Satellitensensoren 1.1) und Eingangssignale für die erste und zweite Steuereinheit 3 bzw. 5 liefern.
  • Eine Steuereinheit ist vorzugsweise als ein Mikroprozessor mit einem Auslösealgorithmus oder als ein ASIC ausgebildet, das eine Ablaufsteuerung und/oder eine einfache Auswerte- oder Signalverarbeitungseinheit implementiert hat.
  • Das Netzteil 8 erzeugt aus einer Bordspannung eine Zündspannung, die zum Zünden eines Aktuators 7 dient, der an das Steuergerät 1, genauer gesagt an die Sicherheitseinrichtung 2 angeschlossen ist. Die Zündspannung wird einem Kondensator 8.1 (Energiespeicher) eines Aktivierungspfades (dicke Linie) der Sicherheitseinrichtung 2 zugeführt, um diesen zu laden. Die im Kondensator 8.1 gespeicherte Energie kann im Bedarfsfall über ein zweites Schaltmittel 6 einer Ansteuerung 4 des Aktuators 7 der Sicherheitseinrichtung 2 zugeführt werden.
  • Der Aktivierungspfad der Sicherheitseinrichtung 2 umfasst neben dem Energiespeicher 8.1 und dem zweiten Schaltmittel 6 erste Schaltmittel 4.1 und 4.2, die hier Teil der Ansteuerung 4 sind. Die ersten Schaltmittel 4.1 und 4.2 können aus Sicherheitsgründen redundant ausgeführt sein und beispielsweise in einem ASIC zusammen mit einer Ansteuerlogik integriert sein. Der Aktuator 7, der beispielsweise ein Zündmittel zum Aufblasen eines Airbags oder zum Auslösen eines Gurtstrammers oder automatischen Überrollschutzbügels sein kann, ist an die Ansteuerung 4 angeschlossen und zwischen die beiden ersten Schaltmitteln 4.1 und 4.2 geschaltet.
  • Die Schaltmittel 6, 4.1, 4.2 und der Aktuator 7 sind in Reihe geschaltet. Eine Zündung des Aktivierungspfades der Sicherheitseinrichtung 2 im Falle eines Unfalles, beispielsweise eines Frontalzusammenstosses oder eines Überrollvorganges, erfolgt daher durch das gleichzeitige Schließen aller sich im Aktivierungspfad der Sicherheitseinrichtung 2 befindlichen Schaltmittel 4.1, 4.2 und 6. In diesem Fall entlädt sich der Kondensator 8.1 über den Aktivierungspfad, d. h. über die Schaltmittel 6, 4.1 und 4.2 und den Aktuator 7 auf Masse. Beim Entladungsvorgang fließt ein so hoher elektrischer Strom über den Aktuator 7, dass dieser aktiviert wird, z. B. im Falle einer Zündpille eine Zündung erfolgt.
  • Zum Aktivieren werden sowohl Aktivierungs- als auch Freigabesignale benötigt, die von der Steuer- und der Überwachungseinheit 3 bzw. 5 generiert werden. Die ersten Schaltmittel 4.1 und 4.2 der Ansteuerung 4 werden maßgeblich von der Steuereinheit 3 und das zweite Schaltmittel 6 wird maßgeblich von der Überwachungseinheit 5 mittels Aktivierungssignalen aktiviert. Weiterhin werden zur Aktivierung der entsprechenden Schaltmittel 4.1, 4.2, 6 jeweils zeitgleich zu den Aktivierungssignalen mindestens zwei Freigabesignale benötigt, die jeweils von der Steuereinheit 3 bzw. der Überwachungseinheit 5 unabhängig voneinander erzeugt werden. Hierbei sei angemerkt, dass die Steuereinheit 3 und die Überwachungseinheit 5 jeweils für sich eigenständig funktionsfähig sind, vor allem im SW-Programmablauf bzw. im Programmablauf des Algorithmus zur Aktivierungsentscheidung. Insbesondere ist in der Überwachungseinheit 5 ein Basisalgorithmus implementiert, der ebenfalls wie der in der Steuereinheit 3 implementierte Algorithmus zur Aktivierung des Aktuators 7 anhand von Eingangssignalen 1.2 und 3.2 der Sensoren 1.1 bzw. 10 eingerichtet ist. Die unabhängigen Eingangssignale 3.2 und 1.2 von den unabhängigen Sensoren 10 bzw. 1.1 werden also sowohl von der Steuereinheit 3 als auch der Überwachungseinheit 5 verarbeitet, so dass von beiden Einheiten 3 und 5 unabhängig voneinander Steuer- und Freigabesignale parallel erzeugt werden.
  • Im folgenden wird nun die Erzeugung von Steuersignalen und Freigabesignalen durch die Steuer- und Überwachungseinheit 3 bzw. 5 und deren Zusammenwirken beim Aktivieren des Aktuators 7 erläutert.
  • Die Steuereinheit 3 erzeugt abhängig von den Eingangssignalen 1.2 und/oder 3.2 insgesamt drei Steuersignale, ein Master-Steuersignal und zwei Slave-Steuersignale für die beiden ersten Schaltmittel 4.1 und 4.2, sowie ein erstes Freigabesignal (Master-Steuerleitung 6.0.1 für das zweite Schaltmittel 6), das mit einem Steuersignal (Slave-Steuerleitung 6.0.2 für das zweite Schaltmittel 6) der Überwachungseinheit 5 logisch verknüpft wird. Das Master-Steuersignal der Steuereinheit 3 wird über eine Master-Steuerleitung 4.0.1 einem UND-Gatter 11 zugeführt, das es mit einem zweiten, über eine Slave-Steuerleitung 4.0.2 von der Überwachungseinheit 5 empfangenen Freigabesignal logisch verknüpft. Das Ausgangssignal des UND-Gatters 11 steuert zwei weitere UND-Gatter 13 und 14, die jeweils über eine Steuerleitung 4.1.1 bzw. 4.2.1 Schaltsignale für die Schaltmittel 4.1 bzw. 4.2 von der Steuereinheit 3 empfangen. Aufgrund der logischen Verknüpfung durch die UND-Gatter 13 und 14 werden die ersten Schaltmittel 4.1 und 4.2 nur aktiviert, d. h. geschlossen, wenn jeweils beide Eingangssignale jedes der UND-Gatter 13 und 14 logisch HIGH sind. Dies ist dann der Fall, wenn die Steuerleitungen 4.1.1 und 4.2.1 logische HIGH-Signale führen und gleichzeitig das Ausgangssignal des UND-Gatters 11 logisch HIGH ist. Letzteres ist wiederum der Fall, wenn die Master-Steuerleitung 4.0.1 und die Slave-Steuerleitung 4.0.2 jeweils ein logisches HIGH-Signal führen. Dadurch fließt also eine Entscheidung der Überwachungseinheit 5 in die Aktivierungsentscheidung der Steuereinheit 3 für die Schaltmittel 4.1 und 4.2 mit ein. Die UND-Gatter 13 und 14 sind zusammen mit den ersten Schaltmitteln 4.1 und 4.2 in der Ansteuerung 4 enthalten, beispielsweise auf einem ASIC integriert.
  • Die Überwachungseinheit 5 erzeugt abhängig von den Eingangssignalen 1.2 und/oder 3.2 ein Steuersignal für das zweite Schaltmittel 6. Dieses Master-Steuersignal wird über die Slave-Steuerleitung 6.0.2 einem UND-Gatter 12 zugeführt, das dieses Signal mit dem ersten, über die Master-Steuerleitung 6.0.1 zugeführten Freigabesignal der Steuereinheit 3 logisch verknüpft. Nur wenn beide Signale logisch HIGH sind, wird auch das Ausgangssignal des UND-Gatters 12 logisch HIGH und schließt das zweite Schaltmittel 6. In die Aktivierungsentscheidung der Überwachungseinheit 5 für das zweite Schaltmittel 6 fließt also eine Entscheidung der Steuereinheit 3 mit ein.
  • Aus Sicherheitsgründen wird hier das von den ersten Schaltmitteln 4.1 und 4.2 unabhängige und physikalisch getrennte zweite Schaltmittel 6 maßgeblich von der Überwachungseinheit 5 aktiviert (das erste Freigabesignal von der Steuereinheit 3 kann allerdings die Aktivierung verhindern), damit eine Fail-Safe-Funktion erzielt wird. Eine derartige Fail-Safe-Funktion bedeutet, dass es bei einem Fehler oder Ausfalls im Steuergerät 1, insbesondere bei einer oder mehreren der Einheiten 3, 4 oder 5, zu keiner Aktivierung des Aktuators 7 kommen darf. Ein Ausfall soll „sicher" derart erfolgen, dass die gesamte Sicherheitseinrichtung nicht fehlerhaft auslösen kann. Die Fail-Safe-Funktion ist hinsichtlich einer ungewollten Auslösung im Fehlerfall von wesentlicher Bedeutung, insbesondere im Falle eines beliebigen Fehlers wie beispielsweise im ASIC 4, das die ersten Schaltmittel 4.1, 4.2 enthält, oder auch eines beliebigen Fehlers in der Steuereinheit 3. Durch die entkoppelten bzw. physikalisch unabhängigen Pfade im Aktivierungspfad als auch durch die entkoppelten bzw. physikalisch getrennten Pfade in der Generierung von Ansteuersignalen für die ersten Schaltmittel 4.1 und 4.2 einerseits und 6 andererseits soll sicher vermieden werden, dass es zu einer unerwünschten Fehlauslösung der Sicherheitseinrichtung kommen kann.
  • Insbesondere beinhaltet der der Fail-Safe-Funktion zugrunde liegende Sicherheitsgedanke auch den Fall, dass die Steuereinheit 3 nicht die Möglichkeit besitzt, mittels einer Schnittstellenkommunikation oder mittels einer Port-Verbindung zur Befehlsübertragung an die Überwachungseinheit 5 eine Befehlssequenz zu senden, damit mit Hilfe der oder durch einen Umweg über die Überwachungseinheit 5 indirekt eine fehlerhafte Aktivierung des zweiten Schaltmittels 6 und/oder aller sich im Aktivierungspfad befindlichen Schaltmittel 4.1, 4.2 und 6 von der Steuereinheit 3 initiiert werden kann.
  • Das zweite Schaltmittel 6 kann im Aktivierungspfad der Sicherheitseinrichtung 2 maßgeblich von der Überwachungseinheit 5 aktiviert werden. Ferner besteht zwischen den physikalisch getrennten Einheiten 5 und 3 keine Möglichkeit, dass von der Steuereinheit 3 über die Überwachungseinheit 5 eine Aktivierung des zweiten Schaltmittels 6 ausschließlich und unabhängig von der jeweils anderen Einheit initiiert werden kann. Daher implementiert neben der Steuereinheit 3 auch die Überwachungseinheit 5 einen Basis-Algorithmus, damit z. B. im Falle eines Crashs oder Überrollvorgangs eine Auslöseanforderung der Fahrzeug-Sicherheitseinrichtung 1 abhängig von einem oder mehreren Eingangsignalen 1.2 und 3.2 von den Sensoren 1.1 und 10 umgesetzt werden kann, indem sowohl die ersten Schaltmittel 4.1 und 4.2, die der Steuereinheit 3 zugeordnet sind, als auch das zweite Schaltmittel 6, das der Überwachungseinheit 5 zugeordnet ist, gleichzeitig geschlossen werden können und den Aktivierungspfad zum Aktivieren des Aktuators 7 freischalten.
  • Falls die Überwachungseinheit 5 als spezielle Logikschaltung in Form eines ASICs oder eines Low-Cost-Mikroprozessor ausgebildet ist, sind in der Regel die Möglichkeiten einer individuellen Prüfung mit fein abgestuften Auswertemöglichkeiten zum Teil begrenzt, so dass gewisse Überwachungsfunktionen der Steuereinheit 3 zugeordnet werden sollten. Diese Aufgabentrennung, insbesondere bei zeitkritischen Prüfungen der Schaltmittel 6, 4.1, 4.2 der Sicherheitseinrichtung 2, bei denen teilweise sowohl die Überwachungseinheit 5 als auch die Steuereinheit 3 beteiligt sind, erfordert, dass zwischen den beiden Einheiten 3, 5 eine gewisse Synchronisation besteht, damit der zeitliche Ablauf der Prüfung mit den daraus resultierenden zeitlich kurzzeitig anstehenden Ergebnissen und Statusinformationen (Statusleitung 8.2) ausgewertet werden kann. Das daher zu lösende Synchronisationsproblem, wie es im folgenden anhand von 2 beschrieben wird, tritt insbesondere für den Fall auf, dass die Steuereinheit 3 eine Prüf- oder Überwachungsfunktion wahrnimmt, bei der die Prüfung von der Überwachungseinheit 5 initiiert wird, insbesondere die Prüfung des zweiten Schaltmittels 6, da die Steuereinheit 3, infolge der fehlenden Möglichkeit zur Initialisierung der Prüfung den exakten Prüfzeitpunkt (Schließvorgang des zweiten Schaltmittels 6) nicht selbst festlegt.
  • Weiterhin kann das Synchronisationsproblem dadurch gelöst werden, dass die beschriebene Prüfung des zweiten Schaltmittels 6 in die Prüf- oder Arbeitsequenz zeitlich derart integriert wird, dass eine Synchronisation der beiden Einheiten 3 und 5 durch eine vorangegangene unabhängige Prüfung erfolgen kann, bei der sowohl die Steuereinheit 3 als auch die Überwachungseinheit 5 beteiligt sind bzw. sowohl die Steuereinheit 3 als auch die Überwachungseinheit 5 das Initialisierungssignal 3.1' zur Prüfung oder das Ergebnis daraus in Form eines Ausgangssignals 3.2' erfassen können.
  • Wie in der 1 dargestellt und in der Beschreibung zur 2 näher erläutert wird hier die Prüfung des Sensors 10 verwendet. Zur Initialisierung der Prüfung wird in der Initialisierungsphase des Steuergeräts 1 der Fahrzeug-Sicherheitseinrichtung ein Steuersignal zur Initialisierung der Sensorprüfung mittels der Steuerleitung 3.1 von der Steuereinheit 3 an den zu überprüfenden Sensor 10 übertragen. Mittels der Prüfimpulsgenerierung über die Steuerleitung 3.1 zur Prüfung des Sensors 10 besteht über die Überwachungseinheit 5 die Möglichkeit, eine Schließung des weiteren Schaltmittels 6 zu generieren, so dass durch die Überwachung des Status oder des Pegels der Prüfimpulsgenerierung durch die Überwachungseinheit 5 eine logische Differenzierung vorgenommen werden kann, indem die Überwachungseinheit 5
    • – sofern sie nach der erfolgten Selbsttestphase der Schaltungsanordnung ein Ansteuersignal 3.1 erkennt, mindestens für eines der der Überwachungseinheit 5 zugänglichen Schaltmittel 6, 4.1, 4.2 ein Sperrsignal erzeugt, und/oder eine vorgesehene Freigabe nicht erteilt, und/oder ein bereits erteiltes Freigabesignal 6.0.2, 4.0.2 zurücknimmt, bzw.
    • – sofern sie während der Selbsttestphase der Schaltungsanordnung ein Ansteuersignal 3.1 erkennt, mindestens für eines der der Überwachungseinheit 5 zugänglichen Schaltmittel 6, 4.1, 4.2 ein Freigabesignal 6.0.2, 4.0.2 erzeugt.
  • 2 zeigt einen Prüfablauf, bei dem die Synchronisation der Steuereinheit 3 (Master-μP) und der Überwachungseinheit 5 (Slave-μP) zueinander während der kritischen sequentiell durchzuführenden Schalterprüfungen der Sicherheitseinrichtung nicht mittels einer direkten Befehlsübermittlung per Datenkommunikation erfolgt, sondern stattdessen ereignisgesteuert gemäß der Erfindung erfolgt, insbesondere anhand von Ereignissen, die während der Initialisierungsphase auftreten.
  • In den Prüfablauf ist sowohl die Steuereinheit 3 (Master-μP) als auch die Überwachungseinheit 5 (Slave-μP) eingebunden. Hierbei wird von der Steuereinheit 3 (Master-μP) mittels der Steuerleitung 3.1 ein Steuersignal 3.1' zur Initialisierung der Sensorprüfung erzeugt. Daraufhin erscheint am Ausgang 3.2 (BA-Ausgang) des Sensors 10 ein Ausgangssignal 3.2'. Die Initialisierung der Prüfung kann hierbei, wie in 2 gezeigt, sowohl flankengetriggert als auch ereignisgetriggert erfolgen. Die Steuerleitung 3.1, genauer gesagt das darüber gesendete Initialisierungssignal 3.1' zur Sensorprüfung wird der Überwachungseinheit 5 (Slave-μP) am Eingang zugeführt, worauf diese das empfange Initialisierungssignal als Synchronisationssignal 16 verwendet, um nach einer Verzögerungszeit Δt 9 das erste Schaltmittel 6 für Prüfzwecke für einen definierten Zeitbereich 17 von z. B. × μsec zu schließen. Das von der Überwachungseinheit 5 initiierte Schließen des ersten Schaltmittels 6 bewirkt eine auswertbare Änderung, d. h. ein auswertbares Ergebnissignal 8.2' mit einer Zeitdauer 18 von z. B. ebenfalls etwa × μsec, insbesondere eine Potentialänderung, die als Status-Information 8.2' der Steuereinheit 3 zur Auswertung zugeführt wird. Hierzu pollt die Steuereinheit 3, beispielsweise über einen sogenannten Capture-Input-Eingang, in einem vorgegebenen Toleranzbereich 9.1 von z. B. einigen ms nach der Status-Information 8.2'' an ihrem Capture-Input-Eingang und entscheidet anhand vom erfassten Signal, ob die Prüfung korrekt oder fehlerhaft verlaufen ist. Beispielsweise wird bewertet, ob die erwartete Statusinformation 8.2'' im Toleranzbereich 9.1 mit der richtigen zeitlichen Länge 19, d. h. Impulsdauer, erscheint ist. Eine Übereinstimmung wird als Kriterium einer korrekten Schalterprüfung als auch einer zeitlichen Übereinstimmung der Arbeitssequenzen/Arbeitsfrequenzen der beiden an der Prüfung beteiligten Einheiten 3 und 5 gewertet. Eine exakte Synchronisation zwischen den an der Prüfung des ersten Schaltmittels 6 beteiligten Einheiten 3 und 5 ist u. a. auch deswegen erforderlich, da aus Gründen der Sicherheit die Prüfzeit beispielsweise im 100 μsec-Bereich bzw. die Schließzeit des ersten Schaltmittels 6 sehr gering zu halten ist, da die Schließzeit geringer gewählt ist als die kritische Zeit, die zur Aktivierung des Prüfmittels (Aktuator 7) benötigt wird.
  • Mittels dieser ereignisgesteuerten bzw. von Ereignissen während der Initialisierungsphase gesteuerten Synchronisation der Steuereinheit 3 zur Überwachungseinheit 5 und/oder umgekehrt, insbesondere während der kritischen sequentiell durchzuführenden Schaltmittelprüfungen der Sicherheitseinrichtung 2, wird eine Möglichkeit geschaffen, bei der die Synchronisation der Steuereinheit 3 zur Überwachungseinheit 5 nicht mittels einer direkten Befehlsübermittlung per Datenkommunikation erfolgen muss, sondern unabhängig von einer Kommunikation und/oder Befehlsübertragung der Steuereinheit 3 zur Überwachungseinheit 5 und/oder umgekehrt auf Basis einer Schnittstelle und/oder einer Port-Verbindung stattfindet.
  • 3 zeigt eine Darstellung eines Steuergerätes der erfindungsgemäßen Fahrzeug-Sicherheitseinrichtung, ähnlich zu der in 1 dargestellten Anordnung, bei der eine Verriegelungsfunktion durch Hardware implementiert ist. Da durch die Prüfimpulsgenerierung zur Prüfung der Sensoren 10 über den Überwachungsrechner 5 indirekt die Möglichkeit besteht, eine Schließung des ersten Schaltmittels 6 zu generieren, kann die Prüfung der Sensoren 10 in der Initialisierungsphase bzw. während des aktiven Betriebes der Fahrzeug-Sicherheitseinrichtung 1 nur dann aktiviert werden, wenn sich die zweiten Schaltmittel 4.1, 4.2 der Sicherheitseinrichtung 2 in einem verriegelten Zustand befinden. Die Verriegelung der Schaltmittel 4.1 und 4.2 der Sicherheitseinrichtung 2 kann hierbei entweder über Software-Routinen erfolgen oder auch unabhängig von den Software-Routinen durch eine Hardware-Schaltung erfolgen. Die Hardware-Schaltung kann z. B. durch eine Logik- oder Auswahlschaltung wie beispielsweise ein Flip-Flop mit Q- und invertiertem Q-Ausgang 5.1 implementiert sein. Das Flip-Flop 5.1 sorgt dafür, dass eine gleichzeitige Aktivierung der Prüfimpulsgenerierung als auch der Aktivierung der Endstufenschalter 4.1, 4.2 der Sicherheitseinrichtung 2 ausgeschlossen ist.
  • Nach einem Systemstart, der nach Freigeben eines LOW-aktiven System-Resetsignals 15 erfolgt, führt der Q-Ausgang des Flip-Flops 5.1 ein LOW-Signal. Der Q-Ausgang ist über die Leitung 4.0.2 mit einem Eingang des UND-Gatters 11 verbunden. Dadurch sind die zweiten Schaltmittel 4.1 und 4.2 gesperrt. Da der Q-Quer-Ausgang zu diesem Zeitpunkt ein HIGH-Signal führt, kann die Steuereinheit 3 ein Steuersignal zur Initialisierung der Sensorprüfung an den dafür entsprechenden Eingang des Sensors 10 anlegen. Nach Abschluss dieser Prüfungssequenz kann die Überwachungseinheit 5 (Slave-μP) über den Set-Eingang das Flip-Flop 5.1 zum Wechseln der Ausgangssignale am Q- und am Q-Quer-Ausgang veranlassen. Dadurch können ab diesem Zeitpunkt die Schaltmittel 4.1, 4.2 im Bedarfsfall aktiviert werden; die Initialisierung der Sensorprüfung durch das Steuersignal der Steuereinheit 3 ist dadurch jedoch nicht mehr gegeben.
  • 4 zeigt eine Implementierung der Funktion eines UND-Gliedes für die UND-Gatter 1114 der in den 1 und 3 dargestellten Schaltungsanordnungen, die einen geringen schaltungstechnischen Aufwand erfordert. Das in 4 oben dargestellte UND-Gatter kann mit Hilfe eines einzigen pnp-Bipolartransistors, der eine logische UND-Funktion nachbildet, implementiert werden. Bei dieser Schaltung wird der Ausgang des UND-Gliedes durch den Kollektor des Transistors gebildet. Ein HIGH-Signal am Ausgang wird dann erzeugt, wenn die Steuereinheit 3 ein HIGH-Signal am Emitter des Transistors und zeitgleich die Überwachungseinheit 5 ein LOW-Signal an der Transistor-Basis generiert.
    • 1
    Steuergerät
    1.1
    Satellitensensor
    1.2
    Signalausgang des Satellitensensors 1.1
    2
    Sicherheitseinrichtung
    3
    Steuereinheit
    3.1
    Steuerleitung zur Initialisierung der Sensorprüfung
    3.1'
    Initialisierungssignal für Sensorprüfung
    3.2
    Signalausgang des Sensors 10
    3.2'
    Beschleunigungssensorausgangssignal
    4
    ASIC
    4.0.1
    Master-Steuerleitung für die Schaltmittel 4.1 und 4.2
    4.0.2
    Slave-Steuerleitung für die Schaltmittel 4.1 und 4.2
    4.0.3
    Steuerleitung für die Schaltmittel 4.1 und 4.2
    4.1
    erstes Schaltmittel des Aktivierungspfades
    4.1.1
    Steuerleitung für das Schaltmittel 4.1
    4.2
    erstes Schaltmittel des Aktivierungspfades
    4.2.1
    Steuerleitung für das Schaltmittel 4.2
    5
    Überwachungseinheit
    5.1
    Set-Reset-Flip-Flop
    6
    zweites Schaltmittel des Aktivierungspfades
    6'
    Steuersignal für zweites Schaltmittel 6
    6.0.1
    Master-Steuerleitung für das zweite Schaltmittel 6
    6.0.2
    Slave-Steuerleitung für das zweite Schaltmittel 6
    6.0.3
    Steuerleitung für das zweite Schaltmittel 6
    7
    Zündmittel
    8
    Netzteil
    8.1
    Kondensator
    8.2
    Status-Leitung
    8.2'
    Statussignal
    8.2''
    Statussignal am Eingang der Steuereinheit 3
    9
    Verzögerungszeit Δt
    9.1
    Toleranzbereich
    10
    Sensor
    11–14
    UND-Gatter
    15
    System-Reset
    16
    Synchronisationssignal für Überwachungseinheit 5
    17
    Signaldauer des Steuersignals 6'
    18
    Signaldauer des Statussignals 8.2'
    19
    Signaldauer des Statussignals 8.2''

Claims (19)

  1. Schaltungsanordnung zum Steuern einer Sicherheitseinrichtung (2) für ein Fahrzeug mit: a) mindestens einem ersten Schaltmittel (4.1, 4.2) und mindestens einem zweiten Schaltmittel (6) zum Aktivieren von mindestens einem Aktuator (7) der Sicherheitseinrichtung (2), b) einer ersten Steuereinheit (3) zum Steuern des mindestens einen ersten Schaltmittels (4.1, 4.2) abhängig von mindestens einem Eingangssignal (1.2, 3.2) der Sicherheitseinrichtung (2), und c) einer zweiten Steuereinheit (5) zum Steuern des mindestens einen zweiten Schaltmittels (6) abhängig von mindestens einem Eingangssignal (1.2, 3.2) der Sicherheitseinrichtung (2), d) die erste Steuereinheit (3) zum Erzeugen mindestens eines ersten Steuersignals (4.0.1) für das erste Schaltmittel (4.1, 4.2) sowie von mindestens einem ersten Freigabesignal (6.0.1) für das mindestens eine zweite Schaltmittel (6) unabhängig von der zweiten Steuereinheit (5) ausgebildet ist und e) die zweite Steuereinheit (5) zum Erzeugen mindestens eines zweiten Steuersignals (6.0.2) für das zweite Schaltmittel (6) sowie von mindestens einem zweiten Freigabesignal (4.0.2) für das mindestens eine erste Schaltmittel (4.1, 4.2) unabhängig von der ersten Steuereinheit (3) ausgebildet sind, und f) eine erste logische Verknüpfung (11) zum Bilden eines ersten Aktivierungssignals (4.0.3) für das mindestens eine erste Schaltmittel (4.1, 4.2) abhängig von dem mindestens einen ersten Steuersignal (4.0.1) der ersten Steuereinheit (3) und vom mindestens einen zweiten Freigabesignal (4.0.2) und g) eine zweite logische Verknüpfung (12) zum Bilden eines Aktivierungssignals (6.0.3) für das mindestens eine zweite Schaltmittel (6) abhängig von mindestens einem zweiten Steuersignal (6.0.2) der zweiten Steuereinheit (5) und vom mindestens einen ersten Freigabesignal (6.0.1) der ersten Steuereinheit (3) vorgesehen sind. h) dadurch gekennzeichnet, dass zumindest eine der Steuereinheiten (3) ausgebildet ist, um zu Prüfzwecken während einer Prüfphase mindestens ein Testansteuersignal (3.1) zu erzeugen, welches mindestens ein Test-Eingangssignal (1.2, 3.2) für die erste und/oder zweite Steuereinheit (3, 5) generiert, i) wobei während der Testphase eine Auslösung unterdrückt ist und j) zumindest eine der Steuereinheiten (5) ausgebildet ist, um das mindestens eine Ansteuersignal (3.1) der ersten Steuereinheit (3) für den mindestens einen Sensor (1.1, 10) zu überwachen und das mindestens eine zweite Freigabesignal (4.0.2) und/oder das mindestens eine Steuersignal (6.0.2) zu deaktivieren, falls sie nach einer Prüfphase im Normalbetrieb der Vorrichtung das mindestens eine Ansteuersignal (3.1) detektiert, um einen Aktivierungspfad für den mindestens einen Aktuator (7) zu sperren.
  2. Schaltungsanordnung nach Anspruch 1, dadurch gekennzeichnet, dass zumindest eine der Steuereinheiten (5) ausgebildet ist, um das mindestens eine Ansteuersignal (3.1) der ersten Steuereinheit (3) für den mindestens einen Sensor (1.1, 10) zu überwachen und das mindestens eine zweite Freigabesignal (4.0.2) zu deaktivieren, falls sie während einer Prüfphase der Vorrichtung das mindestens eine Ansteuersignal (3.1) detektiert, um einen Aktivierungspfad für den mindestens einen Aktuator (7) teilweise freizugeben.
  3. Schaltungsanordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste und zweite Steuereinheit (3, 5) ausgebildet sind, um sich ereignisgesteuert insbesondere während einer Initialisierungs- oder Prüfphase der Sicherheitseinrichtung (2) zueinander zu synchronisieren.
  4. Schaltungsanordnung nach Anspruch 3, dadurch gekennzeichnet, dass die erste Steuereinheit (3) ausgebildet ist, um zum ereignisgesteuerten Synchronisieren mindestens einen Sensor (1.1, 10) anzusteuern, der das mindestens eine Eingangssignal (1.2, 3.2) für die erste und/oder zweite Steuereinheit (3, 5) erzeugt.
  5. Schaltungsanordnung nach Anspruch 4, dadurch gekennzeichnet, dass die erste Steuereinheit (3) ferner ausgebildet ist, um zum ereignisgesteuerten Synchronisieren ein Signal zum Ansteuern des mindestens einen Sensors (1.1, 10) und der zweiten Steuereinheit (5) zu erzeugen, die Zeitdauer (9) bis zum Empfang eines Statussignals (8.2) zu messen und sich entsprechend der gemessenen Zeitdauer (9) mit der zweiten Steuereinheit (5) zu synchronisieren.
  6. Schaltungsanordnung nach einem der Ansprüche 3 bis 5, dadurch gekennzeichnet, dass die zweite Steuereinheit (5) ausgebildet ist, um während einer ereignisgesteuerten Synchronisation das Steuersignal (6.0.2) zum Bilden des Aktivierungssignals (6.0.3) für das mindestens zweite Schaltmittel (6) und/oder das zweite Freigabesignal (4.0.2) zu deaktivieren.
  7. Schaltungsanordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste und zweite Steuereinheit (3, 5) gesonderte Bauelemente sind.
  8. Schaltungsanordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das mindestens eine erste Schaltmittel (4.1, 4.2) als ein erstes Bauelement (4) und das mindestens eine zweite Schaltmittel (6) als ein zweites gesondertes Bauelement ausgebildet ist.
  9. Schaltungsanordnung nach Anspruch 8, dadurch gekennzeichnet, dass das mindestens eine erste Schaltmittel (4.1, 4.2) ein Transistor und das erste Bauelement ein ASIC ist, das eine Ansteuerlogik (13, 14) für das mindestens eine erste Schaltmittel (4.1, 4.2) aufweist.
  10. Schaltungsanordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste und zweite Steuereinheit (3, 5) ausgebildet sind, um das mindestens eine erste Freigabesignal (6.0.1) bzw. das mindestens eine zweite Freigabesignal (4.0.2) für eine bestimmte Zeitdauer und/oder unmittelbar oder zeitlich versetzt nach Detektion eines Eingangssignals (3.2) zu erzeugen.
  11. Schaltungsanordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste und zweite Steuereinheit (3, 5) derart ausgebildet sind, dass eine Prüfung von einem oder mehreren das mindestens eine Eingangssignal (1.1, 10) erzeugenden Sensoren nur bei gesperrtem mindestens einem ersten oder zweiten Schaltmittel (4.1, 4.2, 6) erfolgen kann.
  12. Schaltungsanordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass in der ersten Steuereinheit (3) ein Basisalgorithmus zur Funktionsüberprüfung der zweiten Steuereinheit (5) implementiert ist.
  13. Verfahren zum Steuern einer Sicherheitseinrichtung (2) für ein Fahrzeug mit einer Schaltungsanordnung nach einem der vorangehenden Ansprüche, bei dem eine erste und eine zweite Steuereinheit (3, 5) der Sicherheitseinrichtung jeweils mindestens ein Eingangssignal (1.2, 3.2) empfangen und abhängig vom empfangenen mindestens einen Eingangssignal (1.2, 3.2) mindestens ein erstes Schaltmittel (4.1, 4.2) und mindestens ein zweites Schaltmittel (6) zum Aktivieren von mindestens einem Aktuator (7) der Sicherheitseinrichtung (2) steuern, dadurch gekennzeichnet, dass die erste Steuereinheit (3) mindestens ein erstes Freigabesignal (6.0.1) für das mindestens eine zweite Schaltmittel (6) unabhängig von der zweiten Steuereinheit (5) und die zweite Steuereinheit (5) mindestens ein zweites Freigabesignal (4.0.2) für das mindestens eine erste Schaltmittel (4.1, 4.2) unabhängig von der ersten Steuereinheit (3) erzeugen, und dass durch eine erste logische Verknüpfung (11) ein Aktivierungssignal (4.0.3) für das mindestens eine erste Schaltmittel (4.1, 4.2) abhängig von mindestens einem Steuersignal (4.0.1) der ersten Steuereinheit (3) und vom mindestens einen zweiten Freigabesignal (4.0.2) und durch eine zweite logische Verknüpfung (12) ein Aktivierungssignal (6.0.3) für das mindestens eine zweite Schaltmittel (6) abhängig von mindestens einem Steuersignal (6.0.2) der zweiten Steuereinheit (5) und vom mindestens einen ersten Freigabesignal (6.0.1) gebildet werden.
  14. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dass sich die erste und zweite Steuereinheit (3, 5) ereignisgesteuert insbesondere während einer Initialisierungs- oder Prüfphase der Sicherheitseinrichtung (2) zueinander synchronisieren.
  15. Verfahren nach Anspruch 14, dadurch gekennzeichnet, dass die erste Steuereinheit (3) zum ereignisgesteuerten Synchronisieren mindestens einen Sensor (1.1, 10) ansteuert, der das mindestens eine Eingangssignal (1.2, 3.2) für die erste und zweite Steuereinheit (3, 5) erzeugt.
  16. Verfahren nach Anspruch 15, dadurch gekennzeichnet, dass die erste Steuereinheit (3) zum ereignisgesteuerten Synchronisieren ein Signal zum Ansteuern des mindestens einen Sensors (1.1, 10) und der zweiten Steuereinheit (5) erzeugt, die Zeitdauer (9) bis zum Empfang eines Statussignals (8.2) misst und sich entsprechend der gemessenen Zeitdauer (9) mit der zweiten Steuereinheit (5) synchronisiert.
  17. Verfahren nach einem der Ansprüche 13 bis 16, dadurch gekennzeichnet, dass die zweite Steuereinheit (5) während einer ereignisgesteuerten Synchronisation das Steuersignal (6.0.2) zum Bilden des Aktivierungssignals (6.0.3) für das mindestens eine zweite Schaltmittel (6) und/oder das zweite Freigabesignal (4.0.2) deaktiviert.
  18. Verfahren nach einem der Ansprüche 13 bis 17, dadurch gekennzeichnet, dass die erste und zweite Steuereinheit (3, 5) das mindestens eine erste Freigabesignal (6.0.1) bzw. das mindestens eine zweite Freigabesignal (4.0.2) für eine bestimmte Zeitdauer und/oder unmittelbar oder zeitlich versetzt nach Detektion eines Eingangssignals (3.2) erzeugen.
  19. Verfahren nach einem der Ansprüche 13 bis 18, dadurch gekennzeichnet, dass die erste und zweite Steuereinheit (3, 5) eine Prüfung von einem oder mehreren das mindestens eine Eingangssignal (1.1, 10) erzeugenden Sensoren nur bei gesperrtem mindestens einem ersten oder zweiten Schaltmittel (4.1, 4.2, 6) durchführen.
DE102005030770A 2004-07-27 2005-07-01 Schaltungsanordnung und Verfahren zum Steuern einer Sicherheitseinrichtung für ein Fahrzeug Expired - Fee Related DE102005030770B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102005030770A DE102005030770B4 (de) 2004-07-27 2005-07-01 Schaltungsanordnung und Verfahren zum Steuern einer Sicherheitseinrichtung für ein Fahrzeug

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102004036292.0 2004-07-27
DE102004036292 2004-07-27
DE102005030770A DE102005030770B4 (de) 2004-07-27 2005-07-01 Schaltungsanordnung und Verfahren zum Steuern einer Sicherheitseinrichtung für ein Fahrzeug

Publications (2)

Publication Number Publication Date
DE102005030770A1 DE102005030770A1 (de) 2006-03-23
DE102005030770B4 true DE102005030770B4 (de) 2008-07-10

Family

ID=36001743

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102005030770A Expired - Fee Related DE102005030770B4 (de) 2004-07-27 2005-07-01 Schaltungsanordnung und Verfahren zum Steuern einer Sicherheitseinrichtung für ein Fahrzeug

Country Status (1)

Country Link
DE (1) DE102005030770B4 (de)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5089693B2 (ja) * 2006-08-02 2012-12-05 オートリブ ディベロップメント エービー 制御装置および機能制御方法
DE102009054106A1 (de) * 2009-11-20 2011-05-26 Bayerische Motoren Werke Aktiengesellschaft Verfahren und Vorrichtung zur Erfassung von Daten in einem redundanten System
ES2781853T3 (es) * 2015-03-23 2020-09-08 Siemens Ag Instalación de quemador con un dispositivo de seguridad
DE102018110937B4 (de) 2017-05-12 2023-02-16 Elmos Semiconductor Se Verfahren zur betriebssicheren vereinfachten Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für Fußgängeraufprallschutzsysteme
DE102017110423B4 (de) * 2017-05-12 2019-12-12 Elmos Semiconductor Aktiengesellschaft Verfahren zur betriebssicheren Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein Fußgängeraufprallschutzsystem
DE102018110934B4 (de) 2017-05-12 2023-02-02 Elmos Semiconductor Se Verfahren zur betriebssicheren vereinfachten Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein Fahrzeuginsassenrückhaltesystem
DE102018110932B4 (de) 2017-05-12 2023-02-02 Elmos Semiconductor Se Verfahren zur betriebssicheren Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein Fahrzeuginsassenrückhaltesystem
DE102018110926B4 (de) 2017-05-12 2023-02-02 Elmos Semiconductor Se Verfahren zur betriebssicheren Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein sicherheitsrelevantes System
DE102019101732B4 (de) * 2019-01-24 2021-02-11 Elmos Semiconductor Se Vorrichtung mit Überprüfungsfähigkeit einer Airbag Zündstufe im Betrieb
DE102019101735B4 (de) * 2019-01-24 2021-02-11 Elmos Semiconductor Se Verfahren zur Überprüfung einer Airbag Zündstufe im Betrieb
US20220118930A1 (en) 2019-01-24 2022-04-21 Elmos Semiconductor Se Method and device for controlling the electrical voltage for a safety-relevant load
KR20210114532A (ko) 2019-01-24 2021-09-23 엘모스 세미컨덕터 에스이 차량에 있어서 보호 기능을 개시하기 위한 장치
DE102019101739B4 (de) * 2019-01-24 2021-02-11 Elmos Semiconductor Se Vorrichtung mit Überprüfungsfähigkeit einer Airbag Zündstufe im Betrieb

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3639065A1 (de) * 1986-11-14 1988-05-19 Bosch Gmbh Robert Verfahren und vorrichtung zur ueberwachung rechnergesteuerter stellglieder
DE3924595A1 (de) * 1989-07-25 1991-01-31 Becker Autoradio Steueranordnung fuer ein rueckhaltesystem in kraftfahrzeugen
DE4424020A1 (de) * 1994-07-08 1996-01-11 Telefunken Microelectron Prüfverfahren für eine passive Sicherheitseinrichtung in Kraftfahrzeugen
DE19828432A1 (de) * 1998-06-25 2000-01-13 Siemens Ag Vorrichtung zum Auslösen eines Insassenschutzmittels eines Kraftfahrzeugs sowie Verfahren zum Betreiben einer Insassenschutzmittelvorrichtung eines Kraftfahrzeugs

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3639065A1 (de) * 1986-11-14 1988-05-19 Bosch Gmbh Robert Verfahren und vorrichtung zur ueberwachung rechnergesteuerter stellglieder
DE3924595A1 (de) * 1989-07-25 1991-01-31 Becker Autoradio Steueranordnung fuer ein rueckhaltesystem in kraftfahrzeugen
DE4424020A1 (de) * 1994-07-08 1996-01-11 Telefunken Microelectron Prüfverfahren für eine passive Sicherheitseinrichtung in Kraftfahrzeugen
DE19828432A1 (de) * 1998-06-25 2000-01-13 Siemens Ag Vorrichtung zum Auslösen eines Insassenschutzmittels eines Kraftfahrzeugs sowie Verfahren zum Betreiben einer Insassenschutzmittelvorrichtung eines Kraftfahrzeugs

Also Published As

Publication number Publication date
DE102005030770A1 (de) 2006-03-23

Similar Documents

Publication Publication Date Title
DE102005030770B4 (de) Schaltungsanordnung und Verfahren zum Steuern einer Sicherheitseinrichtung für ein Fahrzeug
EP0693401B1 (de) Datenübertragungsverfahren in einem für den Einsatz in Kraftfahrzeugen geeigneten Datenverarbeitungssystem
EP0479792B1 (de) Insassen-sicherheitssystem
DE102012204176B4 (de) System und Verfahren zur Bitfehlerratenüberwachung
DE102018107452B4 (de) ISO 26262 konformes Verfahren zur Prüfung einer Bewertungsvorrichtung für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems
DE102018107449B4 (de) ISO 26262 konformes Verfahren zur Prüfung einer Bewertungsvorrichtung für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems
DE102018107448A1 (de) ISO 26262 konforme Vorrichtung zur Prüfung einer Bewertungsvorrichtung mit mehreren Bewertungsteilvorrichtungen für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems
DE102018107446A1 (de) ISO 26262 konforme Vorrichtung zur Prüfung einer Bewertungsvorrichtung mit einer Einspeisevorrichtung und mehreren Bewertungsteilvorrichtungen für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems
EP0684163B1 (de) Verfahren zur Aktivierung einer Endstufe für Sicherheitseinrichtungen eines Kraftfahrzeuges
DE19828432A1 (de) Vorrichtung zum Auslösen eines Insassenschutzmittels eines Kraftfahrzeugs sowie Verfahren zum Betreiben einer Insassenschutzmittelvorrichtung eines Kraftfahrzeugs
DE112009001956B4 (de) Zuverlässiger Selbsttest für Bewegungssensormodule
EP2610103A1 (de) Verfahren und Vorrichtung zur Steuerung eines Aktuators und Insassenschutzsystem
EP1046109B1 (de) Verfahren und vorrichtung zur synchronisation und überprüfung von prozessor und überwachungsschaltung
DE102004036291B4 (de) Schaltungsanordnung und Verfahren zum Steuern einer Sicherheitseinrichtung für ein Fahrzeug
EP2559602B1 (de) Verfahren und Vorrichtung zum Sperren der Traktion eines stillstehenden Schienenfahrzeugs
EP2190697B1 (de) Steuergerät und verfahren zur ansteuerung von personenschutzmitteln
EP1561165B1 (de) Steuereinheit zur auslösung eines insassenschutzmittels in einem kraftfahrzeug und verfahren zur überwachung der ordnungsgemässen funktion einer vorzugsweise solchen steuereinheit
DE10011410A1 (de) Vorrichtung zur sicheren Signalerzeugung
DE112004000083B4 (de) Schaltungsanordnung zum Überwachen einer Kraftfahrzeug-Sicherheitseinrichtung
DE102015119611B4 (de) Verbesserung der Diagnostizierbarkeit von Fail-operational Systemen
EP1621420B1 (de) Anordung zum Sichern und Entsichern eines Kraftfahrzeugs
DE102018110926B4 (de) Verfahren zur betriebssicheren Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein sicherheitsrelevantes System
EP1815259B1 (de) Verfahren zum betrieb eines steuerger[ts f]r ein fahrzeug, insbesondere für eine sicherheitseinrichtung eines fahrzeugs
DE10032216A1 (de) Sicherheitssystem in einem Kraftfahrzeug und Verfahren
DE19835223C2 (de) Schaltungsanordnung zur Prüfung von Zündeinrichtungen durch Prüfströme

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
8364 No opposition during term of opposition
R084 Declaration of willingness to licence
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee