DE102005031085A1 - Steuergerät für den Personenschutz - Google Patents

Steuergerät für den Personenschutz Download PDF

Info

Publication number
DE102005031085A1
DE102005031085A1 DE102005031085A DE102005031085A DE102005031085A1 DE 102005031085 A1 DE102005031085 A1 DE 102005031085A1 DE 102005031085 A DE102005031085 A DE 102005031085A DE 102005031085 A DE102005031085 A DE 102005031085A DE 102005031085 A1 DE102005031085 A1 DE 102005031085A1
Authority
DE
Germany
Prior art keywords
voltage
vzp
control unit
control device
ver
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102005031085A
Other languages
English (en)
Inventor
Hartmut Schumacher
Gernod Heilmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102005031085A priority Critical patent/DE102005031085A1/de
Priority to JP2008519883A priority patent/JP5015924B2/ja
Priority to CN200680024489XA priority patent/CN101218128B/zh
Priority to US11/988,261 priority patent/US7831361B2/en
Priority to PCT/EP2006/062485 priority patent/WO2007003469A2/de
Priority to EP06763211A priority patent/EP1901940A2/de
Publication of DE102005031085A1 publication Critical patent/DE102005031085A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J9/00Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting
    • H02J9/04Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting in which the distribution system is disconnected from the normal source and connected to a standby source
    • H02J9/06Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting in which the distribution system is disconnected from the normal source and connected to a standby source with automatic change-over, e.g. UPS systems
    • H02J9/061Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting in which the distribution system is disconnected from the normal source and connected to a standby source with automatic change-over, e.g. UPS systems for DC powered loads
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R21/00Arrangements or fittings on vehicles for protecting or preventing injuries to occupants or pedestrians in case of accidents or other traffic risks
    • B60R21/01Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents
    • B60R21/017Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents including arrangements for providing electric power to safety arrangements or their actuating means, e.g. to pyrotechnic fuses or electro-mechanic valves
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J7/00Circuit arrangements for charging or depolarising batteries or for supplying loads from batteries
    • H02J7/34Parallel operation in networks using both storage and other dc sources, e.g. providing buffering
    • H02J7/345Parallel operation in networks using both storage and other dc sources, e.g. providing buffering using capacitors as storage or buffering devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Business, Economics & Management (AREA)
  • Emergency Management (AREA)
  • Mechanical Engineering (AREA)
  • Secondary Cells (AREA)
  • Air Bags (AREA)
  • Dc-Dc Converters (AREA)
  • Charge And Discharge Circuits For Batteries Or The Like (AREA)

Abstract

Es wird ein Steuergerät (10) für den Personenschutz vorgeschlagen, wobei das Steuergerät (10) für den Personenschutz einen Verpolschutz (13) zwischen einer externen Batteriespannung (UB) und einer internen Spannung (VZP) aufweist, um einen Energieabfluss aus dem Steuergerät (10) zu verhindern. Das Steuergerät (10) weist weiterhin einen bidirektionalen Schaltwandler (12a, 12b) zwischen einer Energiereserve (CER) und der internen Spannung (VZP) auf, wobei der Schaltwandler (12a, 12b) in Abhängigkeit von der internen Spannung (VZP) seine Wandlerrichtung bestimmt, wobei das Steuergerät (10) derart konfiguriert ist, dass das Steuergerät (10) nach einem Ausschaltvorgang wenigstens einen Messwert (VER) aufnimmt und in Abhängigkeit von diesem Messwert ein Signal erzeugt, das ein Autarkieverhalten des Steuergeräts (10) charakterisiert.

Description

  • Die Erfindung geht aus von einem Steuergerät für den Personenschutz nach der Gattung des unabhängigen Patentanspruchs.
  • Aus DE 195 17 698 A1 ist ein Verfahren zur Ermittlung der Autarkiezeit bekannt. Dabei ist vorgesehen, dass nach einem Abschalten des sicherheitskritischen Systems das Ende der Autarkiezeit erfasst wird und dass nach Ablauf der Autarkiezeit eine noch verfügbare Auslösebereitschaftszeit ermittelt wird, während der das System von einer Hilfsspannungsquelle noch in Auslösebereitschaft gehalten werden könnte und dass beim Einschalten des sicherheitskritischen Systems aus der während der letzten Betriebszeit gültigen Autarkiezeit und der nach dem letzten Abschalten ermittelten noch verfügbaren Auslösebereitschaft die für die aktuelle Betriebszeit gültige Autarkiezeit ermittelt wird. Dabei wird insbesondere die Kapazität der Energiereserve bestimmt. Aber auch der ermittelte Stromverbrauch oder die ermittelte Versorgungsspannung kann hier verwendet werden.
    •
  • Vorteile der Erfindung
  • Das erfindungsgemäße Steuergerät für den Personenschutz mit den Merkmalen des unabhängigen Patentanspruchs hat demgegenüber den Vorteil, dass das Steuergerät bei einem Ausschaltvorgang wengistens einen Messwert beobachtet und in Abhängigkeit davon ein Signal erzeugt, wobei anhand dieses Signals eine Beurteilung durch das Steuergerät getroffen wird, wie es sich in einem Autarkiefall verhalten wird. Damit können frühzeitig Fehler erkannt werden und insgesamt eine sichere Funktion des Steuergeräts in einem Autarkiefall gewährleistet werden. Als Signal kommen beispielsweise Ansteuersignale oder Zähler oder Abspeicherungen oder Vergleichsergebnisse oder der Messwert selbst in Frage.
  • Das erfindungsgemäße Steuergerät stellt die Überwachung der Integrität des Versorgungssystems einschließlich der angeschlossenen externen Sensoren sicher, dass das System aus dem Steuergerät, den angeschlossenen Sensoren und den Personenschutzmitteln auch in einem realen Autarkiefall über eine gewünschte Zeit hinweg ohne Störungen wie etwa einem System Reset voll funktionsfähig bleiben wird.
  • Um dies zu erreichen, können wichtige Systemmerkmale erforderlich sein.
  • Ein Merkmal ist ein Verpolschutz zwischen der externen Batteriespannung UB und einer internen Spannung VZP, die im Normalfall von der Batteriespannung UB erzeugt wird, aber auch im Autarkiefalle aus der Energiereserve, beispielsweise durch einen DC/DC Abwärtswandler bereitgestellt werden kann.
  • Dieses Steuergerät schützt im Autarkiefall vor dem Abfluss von Energie in das Bordnetz, insbesondere falls dieses einen Kurzschluß nach Masse aufweist. Die Prüfung auf Integrität der Systemversorgung im Autarkiefall wird daher vorzugsweise bei jedem Ausschalten des Steuergeräts durch eine erste Messung der Batteriespannung UB und der internen Spannung VZP eingeleitet, sobald die Batteriespannung UB eine minimale Schwelle UBoff (zB. SV) unterschreitet. Vorraussetzung zur Durchführung der Messung ist eine geladene Energiereserve eines betriebsbereiten Systems. Diese Messung bestätigt die Sperrfähigkeit der Verpolschutzdiode, da die interne Spannung VZP höher sein muß als die Batteriespannung UB.
  • Ein zweites Merkmal ist ein bidirektionaler DC/DC-Schaltwandler, der unabhängig von einem Mikrocontroller μC im Falle einer zu niedrigen internen Spannung VZP, beim Unterschreiten der Schwelle VZP_min Energie aus der Energiereserve der Versorgungspannung VZP zuführt. Diese Unabhängigkeit ermöglicht es, zwischen einem dynamisch auftretenden Reset im System und einem Autarkiezustand zB. verursacht durch normales Ausschalten zu unterscheiden. Im folgenden wird je nach Betriebsweise der Schaltwandler auch Abwärtswandler genannt, wenn der Schaltwandler von der Energiereservenspannung auf die interne Spannung umsetzt, wobei der Schaltwandler im Normalbetrieb die Batteriespannung bzw. interne Spannung zum Aufladen der Energiereserve aufwärts wandelt.
  • Hat ein System seine Betriebsbereitschaft erreicht und signalisiert dies durch Löschen der Warninformation, beispielsweise durch das Ausschalten der Warnlampe, so ist dies gekennzeichnet durch eine geladene Energiereserve. Diese analoge Grösse wird über einen Spannungsteiler dem Mikrocontroller μC zur Überwachung zugeführt. Dieser wandelt diese Größe zunächt mit einem Analog-Digital-Wandler in eine digitale Grösse. Nach einem regulären Systemstart beginnt die Überwachung der Energiereservespannung auf Einhaltung eines Bandes nach einer Zeit, die entweder als fester Parameter der Software des Mikrocontrollers μC bekannt ist, oder zusäztlich in Abhängigkeit von der Batteriespannung festgelegt wird. Weiterhin wird eine erste Messung der Energiereservespannung beim Start des Systems unmittelbar nach einer RESET-Freigabe und Initialisierung des Mikrocontrollers μC durchgeführt.
  • Ist ein System durch einen Autarkiefall nach regulärer Nutzung der Energiereserve in den RESET gelaufen, so muß die Spannung an der Energiereserve einen minimalen Wert VERoff unterschritten haben, der nicht mehr ausreicht, um die notwendigen Systemspannungen richtig zu erzeugen. Ist dagegen ein System im betriebsbereiten Zustand bei voller Energiereserve durch eine Störung am RESET gestoppt und neu gestartet worden, so erkennt der Mikrocontroller μC aufgrund einer ersten Messung der Energiereservespannung VER, das diese bereits einen Wert sehr viel kleiner als VERoff besitzt und damit die Gründe für den Neustart („Warmstart") nicht ein Autarkiefall oder ein reguläres Ausschalten waren, sondern ein nicht zulässiger RESET z.B. verursacht durch eine Störung.
  • Ein weiteres Merkmal, das über die Autarkiegüte entscheidet, ist die Kenntnis, dass im Falle eine Falles die vollständig nutzbare Energie zu Verfügung steht. Dies ist nicht nur eine Frage der Kapazität und des Stromverbrauchs, sondern auch eine globale Eigenschaft des Systems, die sich darin ausdrückt, das die Energiereservespannung VER von einem Wert VERreg_max bis auf einen Wert VERoff genutzt werden kann.
  • Mit Erreichen der Betriebsbereitschaft des Systems, d.h. alle Initialisierungstests sind abgeschlossen und die Energiereservespannung ist im gültigen Überwachungsband (21–28)V oder 31–38V), wird ein Autarkie-Test-Marker in einen Speicher, beispielsweise einen EEPROM geschrieben („AUTARKIE PRÜFBAR"), um die Gültigkeit von Autarkietests vorzubereiten.
  • Die Steuergerätkomponenten, die zu diesem Merkmal gehören, sind die bereits bekannte Energiereservespannung-VER und Batterispannung-UB Erfassung sowie zusätzlich die der internen Spannung VZP durch den Mikrocontroller μC über einen Spannungsteiler.
  • Die Wiederholrate der Messung liegt systemabhängig zwischen 1–10ms üblicherweise 1ms. Außerdem ist die für die VZP-Spannungsregelung im Autarkiefall vorzugsweise eine Kapazität CVZP hierfür einsetzbar. Tritt der Autarkiefall gekennzeichnet durch UB < UBoff ein, so wird mit Unterschreitung von VZP < VZPth der DC/DC Schaltwandler unabhängig vom Mikrocontroller aktiviert und eine Spannung VZP = VZPreg zB. 6.3V an CVZP erzeugt die, die weitere Systemversorgung aus der Energiereserve ER übernimmt.
  • Mit zunehmender Entladung der Energiereserve nähert sich das Aufrechterhalten der Regelspannung VZPreg dem Ende.
  • Durch zyklisches Messen der Spannung VZP im selben Raster wie die Energieversorgungsspannung VER, beispielsweise 1–10ms, wird das Ende der stabilen Regelung an der internen Spannung VZP durch Erreichen von VZP = VZPreg_min (zB. 6.0V) bei VZPregoff = 5.8V erkannt. Die in diesem Messraster ebenfalls gemessene Spannung VER = VERoff zum Zeitpunkt VZPregoff wird nun als letzter noch sicher speicherbarer Messwert in das EEPROM geschrieben. Der Schreibvorgang für EEPROM's dauert ca. 1–10ms. Beim Neustart des Systems wird ebenfalls unmittelbar nach RESET-Freigabe und Initialisierung des Mikrocontrollers μC ein Vergleich der Spannung VERoff mit der vorgegebenen und für die Energiereserveberechnung als Voraussetzung angenommenen, unteren nutzbaren Energiereservespannung VERoff_soll, die als Parameter dem System bekannt ist, durchgeführt.
  • Ist VERoff < VERoff_soll so sind die geforderten Systemeigenschaften bei der letzten Autarkieanforderung, in der Regel ein normales Ausschalten des Steuergerätes vollständig erfüllt.
  • Ist dies nicht gegeben, so wird beispielsweise ein VERoff_FZ (Fehlerzäler für defekte VZP-Autarkie-Regelung) um 1 inkrementiert. Erreicht der Zählerstand den Wert n, beispielsweise 3, so wird die Systemwarnlampe vorzugsweise dauerhaft angesteuert. In einer weiteren Ausführung kann der VERoff_FZ-Fehlerzähler bei jedem entdeckten Fehler um 1 inkrementiert werden und und um 1 dekrementiert werden bei jedem nicht detektierten Fehler. Weiterhin könnte auch die Inkrementrier- und Dekrementier Stufung unterschiedlich gewählt werden.
  • Mit Erreichen der Betriebsbereitschaft des Systems, d.h. alle Initialisierungstests abgeschlossen und die Energiereservespannung im gültigen Überwachungsband (21–28)V oder 31–38V), wird vorzugsweise der von der letzten Autarkieanforderung mit gültiger Überwachung im EEPROM vorhandene Wert VERoff durch eine Kennung („KEIN MESSWERT") überschrieben, um den Test VERoff < VERoff_soll für den kommenden Autarkiefall vorzubereiten.
  • Auch dieses Merkmal ist ein komplexes Merkmal, das weit über die einfache Kenntnis von Einzelgrößen wie etwa der Energiereservekapazität hinausgeht.
  • Dieser Test kann beispielsweise dann erfolgreich bestanden werden, wenn
    • a) der DC/DC-Schaltwandler seine Funktion erfüllt
    • b) die Regelkapazität CVZP vorhanden ist, mit qualitativ guten Eigenschaften (ausreichender Kapazität, kleinem Innenwiderstand ESR), wodurch überhaupt eine gute Regelung von der internen Spannung VZP im Autarkiefall möglich ist.
    • c) Die Stabiltät der Regelspannung VZP über den gültigen VER Bereich erhalten bleibt ebenso wie die daraus sich versorgenden weiteren Spannungsregler zB. VZP→ VST1 Regler
    • e) Der Stromverbrauch an der internen Spannung VZP im erwarteten Rahmen liegt
  • Neben der Kapazitäts- und ESR-Messung der Energiereserve wird beispielsweise zusätzlich bei der hier beschriebenen Integritätsprüfung des Systems (Steuergeräts mit angeschlossenen Komponenten) im Autarkiefall die vorgegebene Autarkiezeit überprüft. Mit Erreichen der Betriebsbereitschaft des Systems, d.h. alle Initialisierungstests abgeschlossen und Energiereserve Spannung im gültigen Überwachungsband (21–28)V oder 31–38V) wird ein Autarkie Test-Marker in das EEPROM geschrieben („AUTARKIE PRÜFBAR"), um die Gültigkeit von Autarkietests vorzubereiten.
  • Mit der folgenden normalen Abschaltung des Systems oder einem echten Autarkiefall, gekennzeichnet durch UB < UBoff wird ein Autarkiezeitzähler gestartet. Erreicht der Zähler den vorgegebenen und dem System als Parameter bekannten Wert AUTARKIEZEIT_min so wird die Energiereservespannung VER = VERzündung gemessen. Dieser Messwert muss über einer Grenze VERzündung_min liegen, welche so gewählt ist, dass auch eine Zündung der Rückhaltemittel unter den geforderten Strombedingungen möglich ist.
  • Erreicht die Spannung VER den Wert VERzündung_min, so wird die abgelaufene Autarkiezeit = AUTARKIEzeitzähler in einem EEPROM gespeichert.
  • Beim Neustart des Systems wird ebenfalls unmittelbar nach RESET Freigabe und Initialisierung der Autarkie Test-Marker aus dem EEPROM ausgelesen und bewertet. Steht er auf „AUTARKIE PRÜFBAR", so wird die gespeicherte Autarkiezeit bewertet. Ist AUTARKIEzeit < AUTARKIEzeit_min wird ein AUTARKIEzeit_Fehlerzähler in einem nichtflüchtigen Speicher (EEPROM) um 1 inkrementiert.
  • Erreicht der Zählerstand den Wert n, beispielsweise gleich 3, so wird die Systemwarnlampe dauerhaft angesteuert. Das Signal im Sinne von Anspruch 1 ist demnach hier die Ansteuerung der Systemwarnlampe.
  • In einer weiteren Ausführung kann der AUTARKIEZEIT_Fehlerzähler bei jedem entdeckten Fehler um 1 inkrementiert werden und um 1 dekrementiert werden bei jedem nicht detektierten Fehler. Weiterhin könnte auch die Inkrementrier- und Dekrementier Stufung gleich oder unterschiedlich gewählt werden. Hier ist der Fehlerzähler das Signal im Sinne von Anspruch 1.
  • Ein noch weiterführendes Merkmal einer Prüfung der Autarkie auf Integrität ist die Prüfung der Kommunikationsfähigkeit zu den externen Sensoren. Mit der folgenden normalen Abschaltung des Systems oder einem echten Autarkiefall, gekennzeichnet durch UB < UBoff wird die Kommunikation bis zum Erreichen der Grenze VER < VERzündung_min in Echtzeit zyklisch fortgeführt und geprüft.
  • Tritt ein Kommunikationsfehler ein, so wird dieser in einem nichtflüchtigen Speicher (EEPROM) gespeichert. Zur Filterung kann ein Kommunikations_Fehlerzähler (KOMM_FZ) verwendet werden, der bei jedem Auftreten eines Kommunikationsfehlers um 1 inkrementiert wird. Beim Neustart des Systems wird ebenfalls unmittelbar nach RESET-Freigabe und Initialisierung der Autarkie Test-Marker aus dem EEPROM ausgelesen und bewertet. Steht er auf „AUTARKIE PRÜFBAR" so wird der gespeicherte KOMM_FZ bewertet.
  • Erreicht der Zählerstand den Wert m, beispielsweise gleich 3, so wird die Systemwarnlampe dauerhaft angesteuert, falls nicht, kann auch dekrementieret werden.
  • In eine weiteren Ausführung kann für jeden angeschlossenen externen Sensor ein eigener Kommunikations_Fehlerzähler eingeführt werden. Zur Unterscheidung, ob Kommunikationsfehler im Normalzustand des Systems oder in Autarkie auftreten, können unterschiedliche Kommunikationsfehlerzähler abgelegt werden. Dies ermöglicht insbesondere, dass Fehler oder die Funktion von an das Steuergerät angeschlossenen Sensoren, also sogenannten Satelliten oder Assistenten, erkannt werden. Denn auch diese Sensoren sollen bei einem Fehlen der Batteriespannung aus der Energiereserve mit Energie versorgt werden, ohne in dieser kritischen Phase durch Kommunikationsfehler unbrauchbar zu werden.
  • Das erfindungsgemäße Steuergerät ist damit sicherer, da es im Falle des Abrisses oder des Einbruches der Batteriespannung für eine bestimmte Zeit noch voll funktionsfähig ist. Weiterhin ist damit das Steuergerät intelligenter, da es in der Lage ist, verschiedene Fehler, wie den Einbruch der Batteriespannung oder ein Reset, zu unterscheiden. Außerdem wird beim erfindungsgemäßen Steuergerät der reale Fall ohne Batterieversorgung bei der Überwachung der Energiereserve simuliert.
  • Weiterhin ist es von Vorteil, dass das Steuergerät genau dann einen Fehler des Steuergeräts erkennt, wenn die interne Spannung einen zu niedrigen Wert anzeigt und die Batteriespannung normal ist. In diesem Fall wird durch das Steuergerät ein Fehlersignal erzeugt, in Abhängigkeit dessen dann beispielsweise eine optische oder akustische Warnung ausgegeben wird, dass das Steuergerät einen Defekt aufweist.
  • Weiterhin ist es von Vorteil, dass das Steuergerät neben der Messung von Kapazität und oder ESR der Energiereserve diese zusätzlich anhand von abgegebener Energie an eine interne Spannung (VZP) beurteilt. Damit werden Parameter, die den idealen Fall für die Autarkie simulieren, gemessen, und somit kann eine bessere Aussage über die Autarkiefähigkeit des Steuergeräts gemacht werden.
  • Es ist von Vorteil, dass das Steuergerät nach Ablauf der Autarkiezeit weitere Parameter überwacht, bis an die Grenze der Speicherbarkeit der Ergebnisse, um festzustellen, ob das Steuergerät auch weiterhin keine Autarkieschwächen zeigt, die entdeckt werden müssen, um Abhilfe zu schaffen zB. durch Wechsel defekter Komponenten.
  • Darüber hinaus ist es von Vorteil, dass das Steuergerät bei Erreichen eines vorgegebenen Zustands, beispielsweise einen eingeschwungenen Zustand nach dem Einschalten einen MARKER in einem nichtflüchtigen Speicher setzt und damit die Standardvoraussetzungen für die zu beobachtenden Parameter eines regulären Autarkiefall oder meistens einer normalen Abschaltung festlegt.
  • Schließlich ist es auch von Vorteil, dass das Steuergerät in Abhängigkeit von der Energiereserve Daten in eine Speicher schreibt. Damit stehen für eine nachträgliche Analyse Daten über die Spannung, die Kapazität und den Innenwiderstand der Energiereserve, sowie der Energiereservespannung nach Ende der spezifizierten Autarkiezeit und der kleinsten nutzbaren Energiereservespannung zu Verfügung. Dies erleichtert den Nachweis der Funktionsfähigkeit des Steuergeräts.
  • Zeichnung
  • Ausführungsbeispiele der Erfindung sind in der Zeichnung dargestellt und werden in der nachfolgenden Beschreibung näher erläutert.
  • Es zeigen
  • 1 ein Blockschaltbild des Steuergeräts,
  • 2 ein Flussdiagramm Airbag betriebsbereit
  • 3 ein Flussdiagramm Airbag in der Initialisierung
  • 4a ein Blockschaltbild des Schaltwandlers
  • 4b ein Schaltbild einer Autarkieerkennungsschaltung.
  • Beschreibung
  • Bisherige sicherheitsrelevante Systeme, insbesondere Steuergeräte für den Personenschutz, überwachen die Kapazität einer Energiereserve, insbesondere einen Elektrolytkondensator, wobei dieser Kondensator für die Bereitstellung von Energie zur Versorgung des Steuergeräts im Autarkiefall und/oder zur Zündung von Rückhaltemitteln eingesetzt wird.
  • Mit der Überwachung der Energiereserve ist keinesfalls sicher gestellt, dass das Steuergerät nach Unterbrechung der Spannungsversorgung sicher für eine bestimmte Zeit voll funktionsfähig bleibt. Dies betrifft insbesondere die alleinige Messung der Kapazität des Kondensators. Auch der bekannte Abwärtswandlertest (Downconvertertest), bei dem man zum Test aus der Energiereserve Strom zu einer Eigenversorgung des Steuergeräts entnimmt, prüft zwar die Fähigkeit, mit einem Schaltregler Energie aus der Energiereserve für einen Testbefehl zu entnehmen und der verpolgeschützten Airbagspannung zuzuführen, das stellt aber nicht den realen Fall dar.
  • Real ist der Zustand, bei dem die Versorgung des Steuergeräts und der von diesen gespeisten Satelliten nicht nur die Batteriespannungsquelle via Verpolschutzdiode erfolgt, sondern aus dem Personenschutzsystem selbst heraus, und zwar durch die Autarkieenergie.
  • Dieser Zustand ist gekennzeichnet durch einen Abriss oder zu niedrige Versorgungsspannungen, beispielsweise wegen einem Crash, und muss daher eigenständig vom Steuergerät erkannt werden. Auch beim klassischen Ausschalten des Systems durch den Zündschlüssel wird dieses Erkennungsverfahren zur Autarkie durchlaufen. Die Beobachtung und Bewertung dieses Vorgangs, der mit einem echten Batterieabriss wie er bei einem Crashfall auftritt übereinstimmen kann, stellt auch die Verfügbarkeit des Personenschutzsystems sicher.
  • Jeder reale Ausschaltvorgang des Steuergeräts für den Personenschutz durch Unterbrechung oder Einbruch der Batteriespannung wird dazu benutzt, die reale Wirkungsweise des Versorgungssystems durch den zentralen Mikroprozessor im Steuergerät zu beobachten und auszuwerten. Das erfindungsgemäße Steuergerät weist eine Vielzahl von Vorteilen auf:
    Die im Steuergerät benötigte Überwachung der verpolgeschützten Spannung muss rechtzeitig an einer definierten, niedrigst möglichen Grenze einen Schaltwandler aktivieren, der die Spannung der Energiereserve auf einen benötigten Wert abwärts wandelt. Es muss dabei vermieden werden, dass das Steuergerät trotz voller Energiereserve und einem erfolgreichen Abwärtswandlertest, also der Umsetzung der Spannung des Energiereservekondensators auf die Spannung, die im Steuergerät benötigt wird, durch Reset in der Digitalversorgung oder durch Kommunikationsabbruch der Satelliten zum Stillstand kommt.
  • Damit ist dann sicher gestellt, dass die Autarkieerkennung anhand der internen Spannung VZP durchgeführt wird. Weiterhin ist sicher gestellt, dass der Schaltwandler rechtzeitig aktiviert wurde und der vom Steuergerät geforderte Strom bereitgestellt werden kann. Vorteilhaft ist hier, dass bei dieser Vorgehensweise die Regelung der Spannung VZP durch den Abwärtswandler VER→VZP, durch den Mikrocontroller μC über die eigenständige Erfassung der inneren Spannung VZP und ergänzend durch die Bandüberwachung der Ausgangsspannungen, welche aus VZP abgeleitetet werden wie etwa der SV Analog/Digitalspannung, möglich ist.
  • Durch Prüfung der Kommunikation zu den Satellitensensoren über die gesamte zugesicherte Autarkiezeit hinweg, kann das System nachweisbar auch im Crashfall mit Versorgungsunterbrechung die Auswertung der Satellitensensoren sicherstellen. Durch Prüfung der Spannung der Energiereserve nach Ablauf der zugesicherten Autarkiezeit ohne Zündung von Rückhaltemitteln wird sichergestellt, dass der Wirkungsgrad der Spannungsversorgung sowie der Strombedarf in den zulässigen Toleranzen liegt. Damit wird auch ein unzulässig hoher Strom beim Steuergerät oder den Satelliten, wie er bei Defekten vorhanden sein kann, erkannt. Das erfindungsgemäße Steuergerät ermöglicht es, jede Art von Resetvorgängen, deren Ursache nicht ein Einbruch oder eine Unterbrechung der Versorgungsspannung ist, wie sie durch elektrische Störungen, elektromagnetische Einstrahlungen, Feuchte u.s.w. auftreten können, zu erkennen. Dies ist daher möglich, weil ein sogenanntes Warmreset ohne Abbau des Energiespeichers der Autarkieeinrichtung erfolgt.
  • Es werden folgende Abkürzungen verwendet:
    • FZ
    = Fehlerzähler
    UB_off
    = Spannungsschwelle der Batteriespannung bei der sicher keine Versorgung mehr möglich ist
    VERreg_min
    = Minimale Regelspannung der geladenen Energiereserve
    VERreg_max
    = Maximale Regelspannung der geladenen Energiereserve
    VER_zündung_min
    = Minimale Energiereservespannung nach Ablauf der Soll Autarkiezeit
    VERoff_max
    = Max. Wert der Energiereservespannung die beim Unterschreiten zum Zusammenbruch der Regelspannung VZR_reg führt
    VZPreg_min
    = Minimale Regelspannung von VZP im Autarkiefall
    VZPreg_max
    = Maximale Regelspannung von VZP im Autarkiefall
    VZPreg_off
    = Minimale Spannung an VZP nach Verlassen des Regelbandes die noch eine sichere Fehlerbehandlung erlaubt darunter tritt Steuergeräte RESET ein
    VER_off
    = Aktuelle Energiereservespannung wenn VZP = VZPreg_off
    AUTARKIEzeit_min
    = Mindestzeit der Eigenversorgung des Steuergerätes wobei VER>VER_zündung_min ist
    KOMM_FZ
    = Kommunikationsfehlerzähler zu externen Sensoren etc.
    MW
    = Messwert
  • 1 zeigt ein erstes Blockschaltbild des erfindungsgemäßen Steuergeräts. Das Steuergerät 10 weist in seinem Gehäuse einen Mikroprozessor oder Mikrocontroller μC auf, der über einen Datenschnittstelle, beispielsweise eine SPI-Leitung SPI1, mit einem Schnittstellenbaustein PAS_IF verbunden ist. Der Schnittstellenbaustein PAS_IF dient als Anschluss für externe Sensoren 11. Solche externen Sensoren 11 sind beispielsweise ausgelagerte Beschleunigungssensoren, beispielsweise im Bereich der Fronthaube, oder auch Seitenaufprallsensoren, die Beschleunigungssensoren und/oder Drucksensoren sein können, und auch Gewichtssensoren und Insassenpositionserkennungssensoren. Über eine zweiten Datenschnittstelle, beispielsweise eine SPI-Leitung SPI2 ist der Mikroprozessor μC mit einer Zündendstufe FLIC verbunden. Die Zündendstufe FLIC wird dazu benutzt, um Zündkreise für Rückhaltemittel RHS zu zünden. Die Rückhaltemittel RHS befinden sich außerhalb des Steuergeräts 10. Dabei handelt es sich um Airbags, Gurtstraffer und/oder Überrollbügel.
  • Der Schaltwandler 12 besteht aus einer unabhängigen Vergleichseinrichtung 12a, welche die innere Spannung VZP auf die Schwelle VZPth (zB. 5.2V) vergleicht und im Falle des Unterschreitens den Schaltwandler 12b VZP↔VER in den Abwärtswandelmode schaltet (Autarkie). Der Schaltwandler 12 dient dazu die Energie eines Energiereservekondensators CER zu Energieversorgung des Steuergeräts 10 anstatt der fehlenden oder unzureichenden Spannung UB zu verwenden und als geregelte Spannung VZP = VZPreg (zB. 6.3V) an CVZP zur Verfügung zu stellen. Die Versorgung des Steuergerätes 10 erfolgt aus VZP. Diese kann direkt genutzt werden wie beim PAS_IF oder auch über weitere Spannungswandler 14, die die Digital- und Anlaogversorgung SV, 3.3V, 1.8V aller Bausteine generieren.
  • Der Mikroprozessor μC überwacht über eine Pegelanpassungsschaltung 16 (im einfachsten Fall unbhängige Spannungsteiler in Sonderfällen auch Spannungsteiler mit Pegelbegrenzung und Störfilterung) die Spannungen UB, VZP und VER über einen Mehrkanal-Analog-Digital-Wandler für die hier diskutierte Aufgabe.
  • Die Batteriespannung UB wird normalerweise zur Versorgung des Steuergeräts 10 verwendet. Über die Verpolschutzdiode 13 mit der Anode an UB, kann die interne Spannung VZP verpolgeschützt aus der Batteriespannung gebildet oder im Autarkiefalle geschützt gegen einen Kurzschluß in der Batteriezuführung nach Masse durch den Schaltregler 12 aus CER an CVZP geregelt werden.
  • Die Energiereserve CER wird im Normalfall auch zur Bereitstellung des Zündstroms für den FLIC verwendet. Hierzu ist die Anode einer Verpolschutzdiode 17 mit CER verbunden und diese wiederum mit dem Schaltwandlerausgang 12. Die Kathode der Diode 17 ist verbunden mit dem FLIC. Viele Einzelheiten, die für die eigentliche Funktion des Steuergeräts 10 notwendig sind, sind hier der Einfachheit halber nicht dargestellt, da der Gegenstand hier sich allein mit der Energieversorgung beschäftigt.
  • Durch die Überwachung der internen Spannung VZP und der Batteriespannung UB kann der Mikroprozessor μC im Normalbetrieb das Vorhandensein der Verpolschutzdiode in Flussrichtung erkennen.
  • Unterschreitet die durch den Mikroprozessor μC überwachte Spannung UB einen untereren Grenzwert UBoff (zB. SV) über mehrere aufeinanderfolgende Messungen mit der Abtastrate von 1–10ms, so muß der Autarkiefall eintreten, weil dadurch auch die interne Spannung VZP unter die Schwelle VZP_th (zB. 5.2V) der Vergleichseinrichtung 12a fällt.
  • Der Mikroporzessor μC hat nun erkannt, dass ein Autarkiefall aus UB Versorgungssicht vorliegt und das System nur dann funktionsfähig bleibt, wenn auch die Hardware gegeben durch die Vergleichseinrichtung 12a dies erkennt, den Schaltwandler VZP↔VER rechtzeitig in den Abwärtswandelmode schaltet und Energie der Energiereserve CER entnehmen kann, um eine ausreichend hohe Regelspannung an VZP zu bilden.
  • Folgende Integritätsprüfungen des Autarkiezustandes werden nun durchgeführt:
    Die Bewertung erfolgt aber nur, wenn vorher das System seinen normalen Betriebszustand erreichen konnte, aus energetischer Sicht dadurch gekennzeichnet, dass sich die Energiereservespannung VER in einem wohldefinierten Überwachungsband zB. 21–28V oder 31–38V etc. befand. Dieser Umstand wird durch einen Autarkie-Test-Marker gekennzeichnet. Hierzu wird in die Zelle Autarkie Test Marker des nichtflüchtigen Speichers 15 „AUTARKIE PRÜFBAR" geschrieben.
  • a)
  • Der Mikroprozessor μC startet einen Autarkiezeitzähler aufgrund der Bedingung UB < UBoff. Diese Bedingung muss während der gesamten Prüfung gültig sein.
  • Die Messung der Spannung UB erfolgt mit einer Wiederholrate von beispielsweise 1–10ms.
  • Erreicht der Autarkiezeitzähler den zugesicherten und dem System als Parameter bekannten Wert AUTARKIEzeit_min, so wird die Energiereservespannung VER = VERzündung gemessen. Dieser Messwert muss über einer Grenze VERzündung_min liegen (zB. 15V), welche so gewählt ist, dass auch eine Zündung der Rückhaltemittel unter den geforderten Strombedingungen möglich ist.
  • Der Wert VERzündung wird zur späteren Bewertung in der Initialisierungsphase in einen nichtflüchtigen Speicher 15 (EEPROM), der mit dem μC über einen Datenschnittstelle, beispielsweise eine serielle SPI-Leitung (SPI2) verbunden ist, geschrieben. Als Erweiterung kann auch der Zählerstand des AUTARKIEzeitzählers beim Erreichen der Spannung VER = VERzündung_min in einen nichtflüchtigen Speichers 15 geschrieben werden.
  • Beim Neustart des Systems wird dann unmittelbar nach RESET Freigabe und Initialisierung der Autarkiezeit Test-Marker durch den Mikroprozessor μC aus dem EEPROM ausgelesen und bewertet. Steht er auf „AUTARKIE PRÜFBAR" so wird die gespeicherte Autarkiezeit bewertet. Ist AUTARKIEzeit < AUTARKIEzeit_min, wird ein AUTARKIEzeit_Fehlerzähler (AUTARKIEzeit_FZ) in dem nichtflüchtigen Speicher 15 (EEPROM) um 1 inkrementiert.
  • Erreicht der Zählerstand den Wert n (zB. = 3) so wird die Systemwarnlampe dauerhaft angesteuert, bzw. eine Fehlerinformation als das Signal an einen standardisierten Fahrzeugbus wie etwa CAN über einen Tranceiver 19 abgegeben.
  • In einer weiteren Ausführung kann der AUTARKIEZEIT_Fehlerzähler bei jedem entdeckten Fehler um 1 inkrementiert werden und um 1 dekrementiert werden bei jedem nicht detektierten Fehler. Weiterhin könnte auch die Inkrementrier- und Dekrementier-Stufung gleich oder unterschiedlich gewählt werden. Ebenso wird die Energiereservespannung VERzündung bewertet. Ist VERzündung < VERzündung_min, wird ein Fehlerzähler über nicht ausreichende Spannung (VERzündung_FZ) inkrementiert. Erreicht der Zählerstand den Wert m (zB. = 3) so wird die Systemwarnlampe dauerhaft angesteuert, bzw. eine Fehlerinformation an einen standardisierten Fahrzeugbus wie etwa CAN über einen Tranceiver 19 abgegeben.
  • In einer weiteren Ausführung kann der VERzündung_FZ bei jedem entdeckten Fehler um 1 inkrementiert werden und um 1 dekrementiert werden bei jedem nicht detektierten Fehler. Weiterhin könnte auch die Inkrementrier- und Dekrementier-Stufung gleich oder unterschiedlich gewählt werden.
  • Hat das System seinen normalen Betriebszustand erreicht, aus energetischer Sicht gekennzeichnet durch die Energiereservespannung VER in einem wohldefinierten Überwachungsband zB. 21–28V oder 31–38V etc., werden der AUTARKIEzeit und VER_zündung im nichtflüchtigen Speicher 15 auf „KEIN MESSWERT " geschrieben. Damit ist das System bereit die im Vorstehenden beschriebene Prüfung für die nächste zu beobachtende Autarkie durchzuführen.
  • In einer weiteren Ausführung kann die Bedingung UB < UBoff wenn sie während der ganzen Autarkiezeit-Messung nicht eingehalten wurde, genutzt werden, um die Messung abzubrechen, da die Voraussetzung für Autarkie nicht durchgängig gegeben waren. Durch Beschreiben des Autarkiezeit Test-Markers im Speicher 15 mit „Autarkiezeit nicht prüfbar" wird ein Meßabruch gekennzeichnet.
  • b)
  • Ausgelöst durch den Autarkiezustand UB < UBoff wird die Kommunikation zu den externen Sensoren (Beschleunigung, Druck etc.) 11 über das 1-n Kanal Interface bis zum Erreichen der Grenze VER < VERzündung_min in Echtzeit zyklisch fortgeführt und geprüft.
  • Tritt ein Kommunikationsfehler ein, so wird dieser in einen nichtflüchtigen Speicher 15 (EEPROM) geschrieben. Zur Filterung kann ein Kommunikations_Fehlerzähler (KOMM_FZ) im nichtflüchtigen Speicher 15 gebildet werden, der bei jedem Auftreten eines Kommunikationsfehlers um 1 inkrementiert wird.
  • In eine weiteren Ausführung kann für jeden angeschlossenen externen Sensor ein eigener Kommunikations_Fehlerzähler eingeführt werden.
  • Zur Unterscheidung ob Kommunikationsfehler im Normalzustand des Systems oder in Autarkie auftreten, können unterschiedliche Kommunikationsfehlerzähler abgelegt (gespeichert) werden. Dies ermöglicht insbesondere, dass Fehler oder die Funktion von an das Steuergerät angeschlossenen Sensoren, also sogenannten Satelliten oder Assistenten, erkannt werden. Denn auch diese Sensoren sollen bei einem Fehlen der Batteriespannung aus der Energiereserve mit Energie versorgt werden, ohne in dieser kritischen Phase durch Kommunikationsfehler unbrauchbar zu werden. Beim Neustart des Systems wird dann unmittelbar nach RESET Freigabe und Initialisierung der Autarkiezeit Test-Marker durch den Mikroprozessor μC aus dem EEPROM ausgelesen und bewertet. Steht er auf „AUTARKIE PRÜFBAR" so wird der gespeicherte Kommunikationsfehler (in Autarkie) bewertet. Ist KOMM_FZ > zB. 3 so wird die Systemwarnlampe dauerhaft angesteuert, bzw. eine Fehlerinformation an einen standardisierten Fahrzeugbus wie etwa CAN über einen Tranceiver 19 abgegeben. In einer weiteren Ausführung kann der Kommunikations_Fehlerzähler nach einer Bewertung ohne Warnung wieder dekrementiert werden.
  • c)
  • Ausgelöst durch den Autarkiezustand UB < UBmin, wird mit Unterschreitung von VZP < VZPth der DC/DC Schaltwandler 12 Mikroprozessor μC unabhängig aktiviert und eine Spannung VZP = VZPreg zB. 6.3V an CVZP erzeugt, die die weitere Systemversorgung aus ER übernimmt. Mit zunehmender Entladung der Energiereserve nähert sich das Aufrechterhalten der Regelspannung VZPreg dem Ende.
  • Durch zyklisches Messen der Spannung VZP im selben Raster wie VER zB. 1–10ms über die Pegelanpassungsschaltung 16 wird das Ende der stabilen Regelung an VZP durch Erreichen von VZP = VZPreg_off zB. 5.8V vom Mikroprozessor μC erkannt. Die in diesem Messraster ebenfalls gemessene Spannung VER = VERoff zum Zeitpunkt VZPreg_off wird nun als letzter noch sicher speicherbarer Messwert in den nichtflüchtigen Specher 15 (EEPROM) geschrieben. Der Schreibvorgang für EEPROM's dauert ca. 1–10ms.
  • Beim Neustart des Systems wird dann unmittelbar nach RESET Freigabe und Initialisierung der Autarkie Test-Marker durch den Mikroprozessor μC aus dem nichtflüchtigen Speicher 15 (EEPROM) ausgelesen und bewertet. Steht er auf „AUTARKIE NICHT PRÜFBAR" so erfolgt keine Prüfung der Speicherzelle VERoff und keine Fehlerbehandlung.
  • Der Mikroprozessor μC setzt seinen weiteren Programmablauf zur Erreichung der Betriebsbereitschaft fort. Steht er auf „AUTARKIE PRÜFBAR", so wird der Inhalt der Speicherzelle VERoff aus 15 ausgelesen und mit der vorgegebenen und für die Energiereserveberechnung als Voraussetzung angenommenen, unteren nutzbaren Energiereservespannung VERoff_soll, der als Parameter dem System bekannt ist, verglichen.
  • Ist VERoff < VERoff_soll, so sind die geforderten Systemeigenschaften bei der letzten Autarkieanforderung, in der Regel ein normales Ausschalten des Steuergerätes vollständig erfüllt.
  • Ist dies nicht gegeben, so wird ein Fehlerzähler der die fehlerhafte VZP Regelung markiert (VERoff_FZ) um 1 inkrementiert. Erreicht der Zählerstand den Wert p (zB. = 3), so wird die Systemwarnlampe dauerhaft angesteuert oder eine CAN-Botschaft mit dieser Fehlerinformation abgegeben. In einer weiteren Ausführung kann der VERoff_FZ bei jedem entdeckten Fehler um 1 inkrementiert werden und und um 1 dekrementiert werden bei jedem nicht detektierten Fehler. Weiterhin könnte auch die Inkrementrier- und Dekrementier Stufung unterschiedlich gewählt werden.
  • Hat das System seinen normalen Betriebszustand erreicht, aus energetischer Sicht gekennzeichnet durch die Energiereservespannung VER in einem wohldefinierten Überwachungsband zB. 21–28V oder 31–38V etc. wird der Wert VERoff im nichtflüchtigen Speicher 15 auf „KEIN MESSWERT " geschrieben. Damit ist das System bereit, die im Vorstehenden beschriebene Prüfung für die nächste zu beobachtende Autarkie durchzuführen.
  • Auch dieses Merkmal ist ein komplexes Merkmal, das weit über die einfache Kenntnis von Einzelgrößen wie etwa der Energiereserve Kapazität hinausgeht.
  • Dieser Test kann beispielsweise dann erfolgreich bestanden werden wenn
    • 1) der DC/DC Schaltwandler seine Funktion erfüllt
    • 2) die Regelkapazität CVZP vorhanden ist mit qualitativ guten Eigenschaften (ausreichender Kapazität, kleinem ESR), wodurch überhaupt eine gute Regelung von VZP im Autarkiefall möglich ist.
    • 3) Die Stabiltät der Regelspannung VZP über den gültigen VER Bereich erhalten bleibt ebenso wie die daraus sich versorgenden weiteren Spannungsregler zB. VZP→ VST1 Regler
    • 4) Der Stromverbrauch an VZP im erwarteten Rahmen liegt
  • d)
  • Im folgenden wird die Erkennung von Reset Störungen beim Übergang in den Autarkiezustand oder anderen Vorgängen betrachtet, die dynamische Störungen in der RESET Struktur eines Systems verursachen könnten (Feuchte, EMV etc.).
  • Beim Neustart des Systems wird nach Reset Freigabe und Initialisierung der Autarkie Test-Marker durch den μC aus dem nichtflüchtigen Speicher 15 ausgelesen und bewertet. Steht er auf „AUTARKIE PRÜFBAR", so wird der aktuelle Messwert der Energiereservespannung VER mit dem Systemparameter VERoff_min verglichen.
  • Ist VER > VERoff_min, so ist ein ungewollter dynamischer RESET aufgetreten in einem ansonsten betriebsbereiten System. Dieses Fehlverhalten wird in einem Warmreset Fehlerzähler (WARMreset_FZ) des nichtflüchtigen Speichers 15 mitgezählt. Erreicht der Fehlerzähler den Wert q zB. q = 3, so wird eine Warnlampe dauerhaft angesteuert bzw. eine CAN Botschaft (Information über aufgetretenen Fehler) abgegeben.
  • Im weiteren kann beim Ausbleiben eines Fehlers dieser Art, im Start der Fehlerzähler WARMreset_FZ dekrementiert werden.
  • 2 erläutert in einem Flussdiagramm den prinzipiellen Ablauf in einem Steuergerät ausgehend vom betriebsbereiten Zustand.
  • An der Einsprungstelle A (200) beginnt jede ms der zyklische Verfahrensdurchlauf. Im Verfahrensschritt 201 werden die aktuellen Größen UB, VZP, VER gemessen.
  • Im Verfahrensschritt 202 wird die Batteriespannung auf Einhaltung eines bestimmten Bandes geprüft. Liegen unzulässige Versorgungsspannungen vor wird im Verfahrensschritt 2002 die Warnlampe angesteuert (der Hinweis mZ, mit Zeitsteuerung sagt aus, daß entsprechend den Wünschen eine dauernde oder zeitlich anders geartete Lampenansteuerung erfolgt) und das Verfahren in B (205) fortgesetzt.
  • Ist die Versorgungsspannung im regulären Versorgungsband (202 ist wahr), wird das Verfahren im Schritt 203 fortgesetzt. Ist VZP < UB wahr, so ist die Batterie Verpolschutzdiode 13 in 1 in Durchlassrichtung gegeben, und es folgt Verfahrensschritt 204, in dem wegen Fehlerfreiheit der Fehlerzäler (Battdiode_FZ) dekrementiert wird, falls er größer 1 ist.
  • Es folgt die Fortsetzung des Verfahrens in B (205). Ist die Bedingung in Verfahrensschritt 203 nicht erfüllt, folgt Verfahrensschritt 2003. Hier wird der zugeordnete Fehlerzähler Battdiode_FZ inkrementiert. Es folgt Verfahrensschritt 2013. Ist der Battdiode_FZ > 10 dh., es liegt ein gefilterter sicherer Fehler der Verpolschutzdiode 13 in 1 vor, so folgt Verfahrensschritt 2014 mit Warnlampe an und Fortsetzung des Verfahrens in B (205).
  • Im Verfahrensschritt 206 wird die Energiereservespannung auf Einhaltung eines bestimmten Bandes geprüft. Liegen unzulässige Energiereservespannungen vor, so sind die Gründe in 2006 genannt und das Verfahren wird in 2007 fortgesetzt.
  • Ist 206 wahr, wird bestätigt, daß das Steuergerät betriebsbereit ist. Es folgt Verfahrensschritt 207, in dem der Inhalt der Speicherzelle Autarkie Test – Marker zB. Zelle 2 (15 in 1) geprüft wird. Ist der Inhalt „AUTARKIE NICHT PRÜFBAR" wahr, wird das Verfahren im Schritt 208 fortgesetzt. Hier werden in Schreibvorgängen die angegebenen Zellen mit Default-Zelleninhalten vorbelegt. Das Verfahren ist damit bereit zur Prüfung eines kommenden Autarkiefalls auf Integrität, in der Regel eine normale Ausschaltung des Systems durch Drehen des Schlüsselschalters in Stellung o.
  • Über die Einsprungstelle 209 folgt Verfahrensschritt 210. Ist 207 nicht wahr, wird das Verfahren in C (209) fortgesetzt, da bereits eine Vorbelegung der Speicherzellen erfolgte. Es folgt dann der Verfahrenschritt 210, der die weiteren Verfahrenschritte in der 1ms Ebene enthält, die aber nichts mit der hier behandelten Erfindung zu tun haben. Nach deren Bearbeitung folgt der erneute Verfahrensdurchlauf in A (200) genau im 1ms (zB, 1ms–10ms) Zyklus.
  • Die Fortsetzung des Verfahrens im Verfahrensschritt 2007, nachdem die Energiereservespannung nicht im Zielband liegt, prüft die Steuergeräteversorgungsspannung. Ist Verfahrensschritt 2007 wahr, d.h. UB ist zu klein oder nicht vorhanden, folgt Verfahrensschritt 2017, hier wird geprüft, ob die Höhe der Energiereservespannung für eine Zündung über Diode 17 und dem Zündkreis FLIC (FLICS) in 1 nicht ausreicht oder doch. Ist Verfahrensschritt 2017 wahr, folgt Verfahrensschritt 2117. Hier wird der aktuelle Stand des flüchtigen μC_RAM Autarkiezeitzähler in den nichtflüchtigen EEPROM Speicher (15 in 1) zB. in Zelle 4 geschrieben, sofern dies noch nicht geschehen ist.
  • Es folgt Verfahrensschritt 2118, in dem geprüft wird, ob die VZP Regelspannung in Autarkie im gültigen Band liegt. Ist Verfahrensschritt 2118 wahr, folgt Verfahrenschritt 2218, der die weiteren Verfahrenschritte in der 1ms Ebene enthält, die aber nichts mit der hier behandelten Erfindung zu tun haben. Nach deren Bearbeitung erfolgt der erneute Verfahrensdurchlauf ab A (200) genau im 1ms (zB, 1ms–10ms) Zyklus.
  • Ist Verfahrensschritt 2118 falsch, folgt Verfahrensschritt 2119, in dem geprüft wird, ob VZP kleiner ist als eine untere Grenze, die den Zusammenbruch der VZP-Regelung kennzeichnet. Ist dieser Schritt wahr, folgt Verfahrensschritt 2120, in dem der aktuelle VER-Messwert, welcher nun der Grenze VERoff entspricht, in einen nichtflüchtigen EEPROM Speicher (15, 1) durch den Mikroprozessor μC zB. in Zelle 5 geschrieben wird, sofern dies noch nicht geschehen ist.
  • Es folgt der Verfahrenschritt 2121, der die weiteren Verfahrenschritte in der 1ms Ebene enthält, die aber nichts mit der hier behandelten Erfindung zu tun haben. Nach deren Bearbeitung erfolgt der erneute Verfahrensdurchlauf ab A (200) genau im 1ms (zB, 1ms–10ms) Zyklus.
  • Ist der Verfahrensschritt 2119 falsch, dh. ist die VZP-Spannung während der Autarkie zu groß, kann dies ebenfalls einer Fehlerbehandlung im Verfahrensschritt 2219 zugeführt werden.
  • Es folgen die weiteren Verfahrenschritte in der 1ms Ebene, die aber nichts mit der hier behandelten Erfindung zu tun haben. Nach deren Bearbeitung erfolgt der erneute Verfahrensdurchlauf ab A (200) genau im 1ms (zB, 1ms–10ms) Zyklus.
  • Ist Verfahrensschritt 2017 nicht wahr, dh. die Energiereservespannung ist bereits unter die Fähigkeitsgrenze zur Zündung gefallen, folgt Verfahrensschritt 2018.
  • Hier wird die aktuelle Autarkiezeit = Zählerstand des μC-RAM AUTARKIEzeitzählers gegen den im System bekannten unteren Grenzwert AUTARKIEZEIT_min geprüft. Ist exakt der Gleichstand erreicht folgt Verfahrensschritt 2028. Hier wird der aktuell vorliegende Messwert der Energiereservespannung genannt VERzündung in das EEPROM durch den Mikroprozessor μC in Zelle zB. Zelle 3 geschrieben. Damit ist Energiereservespannung nach Ablauf der geforderten Autarkiezeit ohne Bewertung festgehalten.
  • Es folgt der Verfahrenschritt 2128, der die weiteren Verfahrenschritte in der 1ms Ebene enthält, die aber nichts mit der hier behandelten Erfindung zu tun haben. Nach deren Bearbeitung erfolgt der erneute Verfahrensdurchlauf ab A (200) genau im 1ms (zB, 1ms–10ms) Zyklus.
  • Ist die Bedingung in Verfahrensschritt 2018 nicht erfüllt, dh. die Autarkiezeit ist ungleich AUTARKIEZEIT_min, folgt Verfahrensschritt 2019. Hier wird der μC RAM Zähler zB. in RAM Zelle 1 für die Autarkiezeit um 1ms inkrementiert. Es folgt Verfahrensschritt 2020 hier wird nach aufgetretenen Kommunikationsfehlern zu externen Sensoren etc. gefragt. Ist ein Fehler aufgetreten, so wird in Verfahrensschritt 2120 ein Kommunikationsfehlerzäler in einem nichtflüchtigen Speicher (15, 1) zB. in Zelle 6 inkrementiert.
  • Es folgt der Verfahrenschritt 2121, der die weiteren Verfahrenschritte in der 1ms Ebene enthält, die aber nichts mit der hier behandelten Erfindung zu tun haben. Nach deren Bearbeitung erfolgt der erneute Verfahrensdurchlauf ab A (200) genau im 1ms (zB, 1ms –10ms) Zyklus.
  • Ist im Verfahrensschritt 2020 die Bedingung nicht erfüllt, dh. es liegen keine Kommunikationsfehler vor, folgt Verfahrensschritt 2021, der die weiteren Verfahrenschritte in der 1ms Ebene enthält, die aber nichts mit der hier behandelten Erfindung zu tun haben. Nach deren Bearbeitung erfolgt der erneute Verfahrensdurchlauf ab A (200) genau im 1ms (zB, 1ms–10ms) Zyklus.
  • Ist Verfahrensschritt 2007 nicht erfüllt, kann mit UB nicht die Abschaltung erkannt werden, und es folgt 2008. Hier werden weitere Programmteile zur Überwachung der Energiereservespannung und falls notwendig deren Fehlerbehandlung durchgeführt. Darauf folgt Verfahrensschritt 2009, der die weiteren Verfahrenschritte in der 1ms Ebene enthält, die aber nichts mit der hier behandelten Erfindung zu tun haben. Nach deren Bearbeitung erfolgt der erneute Verfahrensdurchlauf ab A (200) genau im 1ms (zB, 1ms–10ms) Zyklus.
  • 3 erläutert in einem Flussdiagramm den prinzipiellen Ablauf in einem Steuergerät ausgehend vom Initialisierungszustand.
  • Im Verfahrensschritt 300 wird der Autarkie Test Marker die EEPROM (15, 1) Zelle zB. 2 durch den Mikroprozessor μC gelesen. Ist der Inhalt „AUTARKIE PRÜFBAR" vorhanden, so wird Verfahrensschritt 301 ausgeführt. Ist dieser Inhalt nicht vorhanden, werden im Verfahrensschritt 3000 weitere Aufgaben in der Initialisierungsphase ausgeführt, die nichts mit der hier behandelten Erfindung zu tun haben.
  • Im Verfahrensschritt 301 wird geprüft, ob die aktuelle VER Spannung kleiner ist als der dem System für den „GUT Fall" als Parameter bekannte Wert VERoff_max. Hierdurch wird festgestellt, ob eine reguläre Autarkie vorausgegangen ist. Ist die Bedingung im Verfahrensschritt 301 erfüllt, so lag kein fehlerhafter dynamischer WARMreset vor. Es folgt Verfahrensschritt 302. Hier wird ein Fehlerzähler, der WARMreset Fehler zählt, dekrementiert, falls er größer 1 ist.
  • Ist die Bedingung in Verfahrensschritt 301 nicht erfüllt, so folgt Verfahrensschritt 3001. Hier wird der aufgetretene WARMreset Fehler in einem nichtflüchtigen Speicher gezählt zB in Zelle 10.
  • Es folgt Verfahrensschritt 3100, in dem weitere Aufgaben in der Initialisierungsphase ausgeführt werden, die nichts mit der hier behandelten Erfindung zu tun haben.
  • In Verfahrensschritt 303 werden aus dem nichtflüchtigen Speicher die Inhalte der Zellen ZE3 (= VERzündung falls AUTARKIEzeit = AUTARKIEzeit_min) und ZE4 (= AUTARKIEzeit falls VER=VERzündung_min) durch den Mikroprozessor μC ausgelesen.
  • Es folgt in Verfahrensschritt 304 eine Bewertung von VERzündung. Ist VERzündung kleiner als ein dem System bekannter Parameter VERzündung_min, dh. fehlerhaft, so folgt Verfahrensschritt 305. Hier wird ein bereits etablierter Fehlerzähler zB. EEPROM Zelle 7 für zu niedrige VERzündung (= VERzündung_FZ) inkrementiert.
  • Es folgt in Verfahrensschritt 306 die Prüfung dieses Fehlerzählers auf eine erlaubte Filtergrenze zB. 3. Ist diese überschritten, so folgt in Verfahrensschritt 3006 die Ansteuerung der Warnlampe wegen zu geringer VER Spannung nach geforderter Autarkiezeit.
  • Es folgt Verfahrensschritt 3106 Fortsetzung in A. Ist Verfahrensschritt 304 nicht erfüllt, dh. es liegt keine fehlerhafte Spannung VERzündung nach einer Mindestautarkiezeit vor, folgt Verfahrensschritt 3004. Hier wird der Fehlerzähler VERzündung_FZ in EEPROM zB. ZE7 dekrementiert zur Erhöhung der Robustheit und das Verfahren in A fortgesetzt.
  • In Verfahrensschritt 307 werden aus dem nichtflüchtigen Speicher die Inhalte der Zellen ZE4 (= AUTARKIEzeit für VER=VERzündung_min) durch den Mikroprozessor μC ausgelesen. Es folgt in Verfahrensschritt 308 eine Bewertung der möglichen Autarkiezeit. Ist die AUTARKIEzeit kleiner als ein dem System bekannter Parameter AUTARKIEzeit_min, dh. fehlerhaft, so folgt Verfahrensschritt 309. Hier wird ein bereits etablierter Fehlerzähler in EEPROM zB. Zelle 8 für zu niedrige Autarkiezeit (= AUTARKIEzeit_FZ) inkrementiert.
  • Ist Verfahrensschritt 308 nicht erfüllt, dh. es liegt kein Autarkiefehler vor, folgt in Verfahrensschritt 3008 ein Dekrementieren der bisher aufgelaufenen Autarkiezeit-Fehlern zur Steigerung der Robustheit und eine Fortsetzung des Verfahrens in A.
  • Es folgt in Verfahrensschritt 310 die Prüfung dieses Fehlerzählers auf eine erlaubte Filtergrenze zB. 3. Ist diese überschritten, so folgt in Verfahrensschritt 3010 die Ansteuerung der Warnlampe wegen zu geringer Autarkiezeit bei geforderter minmaler Energiereservespannung VERzündung_min. Es folgt Verfahrensschritt 3110 Fortsetzung in B.
  • Ist Verfahrensschritt 310 nicht erfüllt, dh. es liegt kein gefilterter Autarkiezeitfehler vor, folgt Verfahrensschritt 311. In Verfahrensschritt 311 werden aus dem nichtflüchtigen Speicher die Inhalte der Zellen ZE5 (= VERoff ER Spannung bei instabiler VZP-Regelung) durch den Mikroprozessor μC ausgelesen.
  • Es folgt in Verfahrensschritt 312 eine Bewertung der VERoff Spannung. Ist die VERoff_Spannung größer als ein dem System bekannter Parameter VERoff_max, dh. fehlerhaft, so folgt Verfahrensschritt 313. Hier wird ein bereits etablierter Fehlerzähler für zu hohe Energiereservespannung beim Eintreten der Instabilität der VZP Regelung (= VERoff_FZ) inkrementiert. Es folgt in Verfahrensschritt 314 die Prüfung dieses Fehlerzählers auf eine erlaubte Filtergrenze zB. 3. Ist diese überschritten, so folgt in Verfahrensschritt 3014 die Ansteuerung der Warnlampe wegen zu hoher VERoff Spannung bei VZP Instabilität. Es folgt Verfahrensschritt 3114 Fortsetzung in C.
  • Ist Verfahrensschritt 312 nicht erfüllt dh. die ER Spannung kann bis zu ausreichend tiefen Werten genutzt werden, ohne Regelschwierigkeiten an VZP, folgt in Verfahrensschritt 3012 das dekrementieren des Fehlerzählers VERoff_FZ falls > 1 und die Fortsetzung in C. Ist Verfahrensschritt 314 nicht erfüllt, dh. es liegt kein gefilterter Autarkiezeitfehler vor, folgt Verfahrensschritt 315. In Verfahrensschritt 315 werden aus dem nichtflüchtigen Speicher die Inhalte der Zellen ZE6 (= KOMM_FZ, Kommunikationsfehlerzähler zu externen Sensoren) durch den Mikroprozessor μC ausgelesen. Es folgt in Verfahrensschritt 316 die Prüfung dieses Fehlerzählers auf eine erlaubte Filtergrenze zB. 3. Ist diese überschritten, so folgt in Verfahrensschritt 317 die Ansteuerung der Warnlampe wegen zu hoher VERoff Spannung bei VZP Instabilität.
  • Es folgt Verfahrensschritt 318, in dem weitere Aufgaben in der Initialisierungsphase ausgeführt werden, die nichts mit der hier behandelten Erfindung zu tun haben.
  • Ist in Verfahrensschritt 316 der KOMM_FZ unter der Filtergrenze, so folgt Verfahrensschritt 3016, in dem der Fehlerzähler zur Erhöhung der Robustheit dekrementiert wird. Es folgt Verfahrensschritt 3116, in dem weitere Aufgaben in der Initialisierungsphase ausgeführt werden, die nichts mit der hier behandelten Erfindung zu tun haben.
  • 4a zeigt eine Ausführung der Blöcke 12a und 12b unf 14 aus 1 in einem integrierten Baustein. Für den bidirektionalen Schaltwandler VZP ↔ VER wird die externe Spule L1 und eine Regelkapazität Cer für den Aufwärtswandelbetrieb VZP → VER benötigt und eine Regelkapazität Cvzp für den Abwärtswandelbetrieb VER → VZP im Autarkiefall. Für die Erzeugung der Analog/Digital-Systemspannungen wird aus VZP durch einen Abwärtswandler VZP → VST1 VST1 erzeugt. Hierzu ist die Spule L2 und die Regelkapazität Cvst1 notwendig.
  • Aus VST1 wird durch einen Linearregler VST2 (3.3V) erzeugt. Hierzu ist die Regelkapazität Cvst2 notwendig. Aus VST2 wird durch einen Linearregler VST3 (1.8V) erzeugt. Hierzu ist die Regelkapazität Cvst3 notwendig. Die Steuerung der Abwärts- und Aufwärtswandelrichtung des bidirektionalen Schaltwandlers VZP ↔ VER wird durch eine Autarkieerkennungsschaltung durchgeführt. Im einfachsten Fall handelt es sich um eine Schaltung gemäß 4b.
  • Die Spannung VZP ist auf einer Seite mit dem Widerstand 400 verbunden. Dieser ist verbunden mit dem Widerstand 402, dem Widerstand 401 und dem positiven Eingang eines Komparators 404. Der Widerstand 401 ist auf der anderen Seite mit Masse verbunden. Der Widerstand 402 ist auf der anderen Seite mit dem Kollektor eines NPN-Transistors 403 verbunden. Der Emitter von 403 ist auf Masse verbunden. Die Basis des Transistors 403 ist mit dem Kollektor des Transistors 405 verbunden und mit einer Seite des Widerstands 406. Der Emitter des Transistors 405 ist auf Masse verbunden. Die Basis ist mit der einen Seite des Widerstands 408 verbunden. Die andere Seite des Widerstands 408 ist mit dem Ausgang des Komparators 404 verbunden. Die andere Seite des Widerstands 406 ist mit der IC-internen Spannung VINT verbunden. Der negative Eingang des Komparators 404 ist mit einer Referenzspannung 40 verbunden. Die positive Versorgung des Komparators 404 ist mit VINT verbunden, die negative Versorgung des Komparators 404 ist mit Masse verbunden. Der Ausgang des Komparators 404 ist zusätzlich mit dem Widerstand 407 einseitig verbunden. Die andere Seite des Widerstands 407 ist mit VINT verbunden.
  • Ist die Spannung VZP größer als eine Schwellspannung VZPth, beispielsweise 5.2V, so ist die Spannung am positiven Eingang des Komparators 404 größer als am negativen Eingang und der Ausgang des Komparators 404 wird durch den Widerstand 407 auf ungefähr VINT = High Ausgangspegel gelegt. Dies fuhrt im Schaltwandler zum Aufwärtswandelbetrieb VZP → VER.
  • Fällt die Spannung an VZP unter VZPth, beispielsweise SV, so ist die Spannung am positiven Eingang des Komparators 404 kleiner als am negativen Eingang. Der Ausgang des Komparators 404 wird auf Masse gelegt. Dadurch wird auch der Transistor 405 über den Widerstand 408 ausgeschaltet, d.h. er sperrt.
  • Nun kann die Basis des Transistors 403 über den Widerstand 406 mit Strom versorgt werden. Der Transistor T2 leitet und schaltet den Widerstand 403 parallel zum Widerstand 401 des Eingangsspannungsteilers. Dadurch sinkt die Eingangsspannung am positiven Eingang des Komparators 404, dem Mittelpunkt des Eingangsspannungsteilers weiter ab. Das heißt, die gebildete Hysterese stabilisiert den neuen Schaltzustand des Komparators 404. Seine Ausgangsspannung bleibt auf ca. 0V. Das System ist im Autarkiezustand. Der Low-Pegel am Ausgang des Komparators 404 signalisiert dem Schaltwandler den Abwärtswandelbetrieb von VER → VZP.
    •

Claims (8)

  1. Steuergerät für den Personenschutz mit einem Verpolschutz (13) zwischen einer externen Batteriespannung (UB) und einer internen Spannung (VZP), um einen Energieabfluss aus dem Steuergerät (10) zu verhindern, mit einem bidirektionalen Schaltwandler (12a, 12b) zwischen einer Energiereserve (CER) und der internen Spannung (VZP), wobei der Schaltwandler (12a, 12b) in Abhängigkeit von der internen Spannung (VZP) seine Wandlerrichtung bestimmt, wobei das Steuergerät (10) derart konfiguriert ist, dass das Steuergerät (10) nach einem Ausschaltvorgang wenigstens einen Messwert (VER) aufnimmt und in Abhängigkeit von diesem Messwert ein Signal erzeugt, dass ein Autarkieverhalten des Steuergerät (10) charakterisiert.
  2. Steuergerät nach Anspruch 1, dadurch gekennzeichnet, dass das Steuergerät (10) in Abhängigkeit von dem Messwert und/oder dem Signal eine Ausgabe ansteuert.
  3. Steuergerät nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das Steuergerät (10) in Abhängigkeit von dem Messwert und/oder dem Signal eine Abspeicherung vornimmt.
  4. Steuergerät nach Anspruch 1, 2 oder 3, dadurch gekennzeichnet, dass das Steuergerät (10) in Abhängigkeit von dem Messwert und/oder dem Signal wenigstens einen Zähler verändert.
  5. Steuergerät nach Anspruch 1, dadurch gekennzeichnet, dass der wenigstens eine Messwert eine Energiereservespannung (VER) ist, wobei das Steuergerät (10) derart konfiguriert ist, dass das Steuergerät (10) nach dem Ausschaltvorgang für eine vorgegebene Zeit zur Aufnahme des Messwerts die Energiereservespannung (VER) misst.
  6. Steuergerät nach Anspruch 1, dadurch gekennzeichnet, dass der wenigstens eine Messwert ein Fehlerzähler für die Kommunikation des Steuergeräts (10) mit wenigstens einem an das Steuergerät angeschlossenen Sensor (11) ist,
  7. Steuergerät nach Anspruch 1, dadurch gekennzeichnet, dass der wenigstens eine Messwert eine Autarkiezeit ist, die das Steuergerät (10) derart ermittelt, dass es eine Zeit nach dem Ausschaltvorgang misst, bis zu der die Energieversorgungsspannung (VER) auf einen vorgegebenen Wert abgesunken ist, der noch ein Auslösen von Personenschutzmitteln ermöglicht.
  8. Steuergerät nach Anspruch 1, dadurch gekennzeichnet, dass der wenigstens eine Messwert die Energiereservespannung (VER) ist, wobei das Steuergerät (10) die Energiereservespannung (VER) nach einem Einschaltvorgang nach dem Ausschaltvorgang misst und zur Erzeugung des Signals einen Speichereintrag berücksichtigt, der vor dem Ausschaltvorgang vorgenommen wurde.
DE102005031085A 2005-07-04 2005-07-04 Steuergerät für den Personenschutz Withdrawn DE102005031085A1 (de)

Priority Applications (6)

Application Number Priority Date Filing Date Title
DE102005031085A DE102005031085A1 (de) 2005-07-04 2005-07-04 Steuergerät für den Personenschutz
JP2008519883A JP5015924B2 (ja) 2005-07-04 2006-05-22 乗員保護手段のための制御機器
CN200680024489XA CN101218128B (zh) 2005-07-04 2006-05-22 用于乘员保护的控制装置
US11/988,261 US7831361B2 (en) 2005-07-04 2006-05-22 Control unit for personal protection
PCT/EP2006/062485 WO2007003469A2 (de) 2005-07-04 2006-05-22 Steuergerät für den personenschutz
EP06763211A EP1901940A2 (de) 2005-07-04 2006-05-22 Steuergerät für den personenschutz

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102005031085A DE102005031085A1 (de) 2005-07-04 2005-07-04 Steuergerät für den Personenschutz

Publications (1)

Publication Number Publication Date
DE102005031085A1 true DE102005031085A1 (de) 2007-01-18

Family

ID=37563307

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102005031085A Withdrawn DE102005031085A1 (de) 2005-07-04 2005-07-04 Steuergerät für den Personenschutz

Country Status (6)

Country Link
US (1) US7831361B2 (de)
EP (1) EP1901940A2 (de)
JP (1) JP5015924B2 (de)
CN (1) CN101218128B (de)
DE (1) DE102005031085A1 (de)
WO (1) WO2007003469A2 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008003080A1 (de) 2008-01-03 2009-07-09 Robert Bosch Gmbh Steuergerät und Verfahren zur Ansteuerung von Personenschutzmitteln für ein Fahrzeug

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008012896A1 (de) 2008-03-06 2009-09-10 Robert Bosch Gmbh Steuergerät und Verfahren zur Ansteuerung von Personenschutzmitteln für ein Fahrzeug
DE102012201711A1 (de) * 2012-02-06 2013-08-08 Robert Bosch Gmbh Empfangsanordnung für ein Steuergerät in einem Fahrzeug und Verfahren zum Erzeugen eines Synchronisationspulses
EP2657091B1 (de) * 2012-04-23 2019-06-12 Autoliv Development AB Antriebsanordnung
EP2682309B1 (de) * 2012-07-02 2015-11-18 Autoliv Development AB Stromversorgungsanordnung
CN108708636B (zh) 2012-12-24 2021-05-14 麦格纳覆盖件有限公司 机动车辆关闭装置的电子闩锁中的碰撞管理***和方法
ITTO20121145A1 (it) * 2012-12-24 2014-06-25 Magna Closures Spa Sorgente di energia di riserva per sistemi automobilistici e relativo metodo di controllo
DE102016209653A1 (de) * 2016-06-02 2017-12-07 Robert Bosch Gmbh Energieversorgungsvorrichtung für ein Personenschutzsystem
DE102017218564A1 (de) * 2017-10-18 2019-04-18 Robert Bosch Gmbh Verfahren und Steuergerät zum Laden eines Personenschutzmittel-Energiespeichers zum Betreiben eines Personenschutzmittels eines Fahrzeugs

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01274628A (ja) * 1988-04-25 1989-11-02 Nippon Denso Co Ltd 乗員保護装置の異常判定装置
DE3921305A1 (de) * 1989-06-29 1991-01-10 Bosch Gmbh Robert Spannungsversorgungseinrichtung fuer ein elektronisches geraet
EP0615887A1 (de) * 1993-03-18 1994-09-21 Delco Electronics Corporation Ergänzende, aufblasbare Rückhaltevorrichtung
DE4432957C1 (de) * 1994-09-16 1996-04-04 Bosch Gmbh Robert Schaltmittel
DE19542085B4 (de) * 1994-12-30 2007-07-05 Robert Bosch Gmbh Sicherheitseinrichtung für Fahrzeuginsassen
DE19517698C2 (de) * 1995-05-13 1999-04-22 Telefunken Microelectron Verfahren zur Festlegung der Autarkiezeit eines sicherheitskritischen Systems in einem Fahrzeug zur Personenbeförderung nach dem Abschalten einer Versorgungsspannungsquelle
DE19921146A1 (de) * 1999-03-11 2000-10-05 Daimler Chrysler Ag Stromversorgungsanordnung mit einem Energiespeicher
DE10305357B4 (de) * 2003-02-10 2005-12-22 Siemens Ag Vorrichtung zur Energieversorgung eines mit sicherheitsrelevanten Komponenten ausgestatteten Zweispannungs-Bordnetzes

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008003080A1 (de) 2008-01-03 2009-07-09 Robert Bosch Gmbh Steuergerät und Verfahren zur Ansteuerung von Personenschutzmitteln für ein Fahrzeug
WO2009083335A1 (de) 2008-01-03 2009-07-09 Robert Bosch Gmbh Steuergerät und verfahren zur ansteuerung von personenschutzmitteln für ein fahrzeug
US8525367B2 (en) 2008-01-03 2013-09-03 Robert Bosch Gmbh Control unit and method for controlling passenger-protection means for a vehicle
DE102008003080B4 (de) 2008-01-03 2020-07-30 Robert Bosch Gmbh Steuergerät und Verfahren zur Ansteuerung von Personenschutzmitteln für ein Fahrzeug

Also Published As

Publication number Publication date
US7831361B2 (en) 2010-11-09
WO2007003469A2 (de) 2007-01-11
US20090212544A1 (en) 2009-08-27
EP1901940A2 (de) 2008-03-26
CN101218128A (zh) 2008-07-09
WO2007003469A3 (de) 2007-09-07
CN101218128B (zh) 2010-09-29
JP5015924B2 (ja) 2012-09-05
JP2008544924A (ja) 2008-12-11

Similar Documents

Publication Publication Date Title
DE102005031085A1 (de) Steuergerät für den Personenschutz
DE19644858C2 (de) Energiespeicherschutzvorrichtung für ein Fahrzeuginsassenschutzsystem
EP2797776B1 (de) Verfahren und vorrichtung zur überwachung einer energiereserve und sicherungsvorrichtung für ein fahrzeug
EP0781216A1 (de) Elektronische sicherheitseinrichtung für fahrzeuginsassen
WO1991000636A1 (de) Insassen-sicherheitseinrichtung für fahrzeuge
DE4432301A1 (de) Elektronisches Steuergerät für Rückhaltesysteme
EP2766595B1 (de) Verfahren zur überprüfung einer versorgungsschaltung und zugehörige versorgungsschaltung für mindestens einen zündkreis
DE19732677A1 (de) Anordnung und Verfahren zum Testen einer Schaltungsvorrichtung, die zum Steuern eines Insassenschutzmittels eines Kraftfahrzeugs vorgesehen ist
DE102019219427A1 (de) Verfahren zum Überwachen eines Energiespeichers in einem Kraftfahrzeug
DE8717831U1 (de) Einrichtung zur Überprüfung einer Kapazität
EP3132271B1 (de) Verfahren und vorrichtung zum ermitteln eines innenwiderstandes eines versorgungsnetzes zur energieversorgung einer personenschutzeinrichtung eines fahrzeugs
DE102005025616B4 (de) Verfahren zur Überwachung und/oder Steuerung oder Regelung der Spannung einzelner Zellen in einem Zellstapel
DE3922506A1 (de) Insassen-sicherheitssystem fuer fahrzeuge
WO1991000637A1 (de) Spannungsversorgungseinrichtung für ein elektronisches gerät
DE4447174A1 (de) Elektronische Sicherheitseinrichtung für Fahrzeuginsassen
DE102019213654A1 (de) Verfahren und Steuergerät zum Überprüfen einer Funktionsfähigkeit einer Autarkieversorgungseinheit eines Steuergerätes eines Personenschutzmittels für ein Fahrzeug
EP0732793B1 (de) Schaltungsvorrichtung, insbesondere für sicherheitskritische Systeme in Fahrzeugen zur Personenbeförderung
DE102010031596B4 (de) Steuergerät und Verfahren zur Ansteuerung von Personenschutzmitteln für ein Fahrzeug
DE102005058719A1 (de) Schaltungsanordnung zur Überprüfung eines Energiespeichers, insbesondere eines Autarkiekondensators eines sicherheitskritischen Systems in einem Fahrzeug
EP2394865B1 (de) Verfahren und Vorrichtung zur Diagnose einer Funktionsfähigkeit einer Energieversorgungseinrichtung
DE102019220536A1 (de) Verfahren, Computerprogramm, elektronisches Speichermedium und Vorrichtung zur Erkennung des Abrisses einer Energiereserveeinrichtung
DE102018110932B4 (de) Verfahren zur betriebssicheren Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein Fahrzeuginsassenrückhaltesystem
DE102018110926B4 (de) Verfahren zur betriebssicheren Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein sicherheitsrelevantes System
DE102018110937B4 (de) Verfahren zur betriebssicheren vereinfachten Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für Fußgängeraufprallschutzsysteme
DE10109637B4 (de) Verfahren zum Betrieb einer Insassensicherheitseinrichtung

Legal Events

Date Code Title Description
8139 Disposal/non-payment of the annual fee
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20110201