DE102008009652A1 - Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor - Google Patents

Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor Download PDF

Info

Publication number
DE102008009652A1
DE102008009652A1 DE102008009652A DE102008009652A DE102008009652A1 DE 102008009652 A1 DE102008009652 A1 DE 102008009652A1 DE 102008009652 A DE102008009652 A DE 102008009652A DE 102008009652 A DE102008009652 A DE 102008009652A DE 102008009652 A1 DE102008009652 A1 DE 102008009652A1
Authority
DE
Germany
Prior art keywords
sensor
data processing
processing unit
monitoring
monitoring module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102008009652A
Other languages
English (en)
Inventor
Chengxuan Fu
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102008009652A priority Critical patent/DE102008009652A1/de
Priority to US12/277,648 priority patent/US20090210171A1/en
Priority to RU2009105393/28A priority patent/RU2494348C2/ru
Publication of DE102008009652A1 publication Critical patent/DE102008009652A1/de
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G01MEASURING; TESTING
    • G01DMEASURING NOT SPECIALLY ADAPTED FOR A SPECIFIC VARIABLE; ARRANGEMENTS FOR MEASURING TWO OR MORE VARIABLES NOT COVERED IN A SINGLE OTHER SUBCLASS; TARIFF METERING APPARATUS; MEASURING OR TESTING NOT OTHERWISE PROVIDED FOR
    • G01D3/00Indicating or recording apparatus with provision for the special purposes referred to in the subgroups
    • G01D3/08Indicating or recording apparatus with provision for the special purposes referred to in the subgroups with provision for safeguarding the apparatus, e.g. against abnormal operation, against breakdown
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T8/00Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
    • B60T8/32Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
    • B60T8/88Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
    • B60T8/885Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/413Plausibility monitoring, cross check, redundancy

Landscapes

  • Engineering & Computer Science (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Die vorliegende Erfindung betrifft eine Überwachungseinrichtung für einen Sensor (12) eines Kraftfahrzeugs, insbesondere eines Brennstoffzellen-Kraftfahrzeugs, mit: - einem ersten Sensorüberwachungsmodul (18) für eine Überwachung eines Betriebs des Sensors (12) auf Fehler; - einem zweiten Sensorüberwachungsmodul (20) ebenfalls für die Überwachung des Betriebs des Sensors (12) auf Fehler; - einem dritten Sensorüberwachungsmodul (30) für eine Überwachung eines Betriebs des zweiten Sensorüberwachungsmoduls (20); - einer ersten Datenverarbeitungseinheit (16), welche das erste Sensorüberwachungsmodul (18) aufweist und mit dem Sensor (12) koppelbar ist; - einer zweiten Datenverarbeitungseinheit (24), die mit der ersten Datenverarbeitungseinheit (16) gekoppelt ist, wobei die zweite Datenverarbeitungseinheit (24) derart ausgebildet ist, dass bei einem erkannten fehlerhaften Betrieb des Sensors (12) ein Fehlerreaktionssignal (26) ausgebbar ist.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung betrifft eine Überwachungseinrichtung für eine Überwachung eines Sensors, insbesondere eines Kraftfahrzeugsensors, ein Verfahren zum Überwachen eines Sensors, sowie einen Sensor mit einer Überwachungseinrichtung.
  • Stand der Technik
  • Z. B. bei Fahrzeugen mit elektronischen Motorfüllungssteuerungssystemen (EGAS) sollte ein 3-Ebenen-Konzept in Motorsteuergeräte implementiert sein. Der Kerngedanke des 3-Ebenen-Konzepts besteht in einer gegenseitigen Überwachung zwischen einem Funktionsrechner und einem separaten Überwachungsmodul (Watchdog). Der Funktionsrechner und das Überwachungsmodul kommunizieren über eine Frage-/Antwort-Kommunikation miteinander und besitzen getrennte Abschaltpfade, über welche entsprechende Leistungsendstufen bei Fehlerfällen abgeschaltet werden können und somit die Sicherheit des Fahrzeugs gewährleisten können.
  • Eine erste Ebene (Ebene 1) bezeichnet eine eigentliche Funktionssoftware, die zum Motorbetrieb notwendig ist. Die erste Ebene wird auf dem Funktionsrechner ausgeführt. In einer zweiten Ebene (Ebene 2), deren Funktionen ebenfalls auf dem Funktionsrechner ausgeführt werden, wird anhand eines gegenüber der Funktionssoftware vereinfachten Motormodells, ein zulässiger Wert, z. B. ein zulässiges Moment, mit einem Motor-Istwert, z. B. einem Motor-Istmoment verglichen. Diese Ebene wird in einem durch eine dritte Ebene (Ebene 3) abgesicherten Hardwarebereich durchgeführt. Bestandteil der dritten Ebene ist zum Beispiel ein Befehlstest, eine Programmablaufkontrolle, ein A/D-Wandler-Test sowie zyklische und vollständige Speichertests.
  • Bei aktuellen elektronischen Motorfüllungssteuerungssystemen befindet sich die gesamte Funktions- und Überwachungssoftware in einem Steuergerät. Diese sind z. B. aus der DE 44 38 714 A1 bekannt. Das 3-Ebenen-Konzept ist, im Vergleich zu einem 2-Rechner-Konzept, welches oft für ABS/ESP-Systeme verwendet wird, kostengünstiger.
  • Aus der DE 103 31 872 A1 ein Verfahren zum Überwachen eines Systems mit vernetzten Steuergeräten bekannt, wobei die Steuergeräte jeweils wenigstens ein Rechnerelement aufweisen und jeweils überwachungsrelevante Steuerungs- sowie Überwachungsvorgänge durchführen. Die Steuergeräte kommunizieren über ein Bussystem miteinander. Ferner offenbart diese Schrift ein Verfahren, bei dem eine Kommunikationskomponente eines Steuergeräte-übergreifenden Softwarerahmens Fehlerreaktionsanforderungen und Funktionsgrößen anderer Steuergeräte über das Bussystem einließt, den Modulen und Komponenten des Softwarerahmens zur Verfügung stellt und über das Bussystem an andere Steuergeräte wieder abgibt. Jedoch erfordert diese Verteilung der Steuerkomponenten auf die Steuergeräte einen hohen Aufwand, sodass lediglich eine langsame Reaktionszeit auf einen erkannten fehlerhaften Betrieb möglich ist.
  • Es ist eine Aufgabe der vorliegenden Erfindung, eine verbesserte, insbesondere eine kostengünstigere und zugleich schnelle Möglichkeit für eine zuverlässige Ausgabe eines Fehlerreaktionssignals bei einem erkannten aufgetretenen fehlerhaften Betrieb eines Sensors zu schaffen.
  • Offenbarung der Erfindung
  • Die Aufgabe der Erfindung wird durch eine Überwachungseinrichtung zum Überwachen eines Sensors, mit den Merkmalen des Anspruchs 1, einen Sensor, insbesondere einen Kraftfahrzeugsensor, mit den Merkmalen des Anspruchs 8, sowie durch ein Verfahren zum Überwachen eines Sensors mit den Schritten des Anspruchs 9 gelöst. Weitere Ausführungsformen der Erfindung ergeben sich aus den abhängigen Patentansprüchen.
  • Die vorliegende Erfindung schafft eine Überwachungseinrichtung zum Überwachen eines Sensors, wobei die Überwachungseinrichtung folgende Merkmale aufweist: ein erstes und ein zweites Sensorüberwachungsmodul für eine Überwachung eines Betriebs des Sensors auf Fehler, sowie ein drittes Sensorüberwachungsmodul für eine Überwachung eines Betriebs des zweiten Sensorüberwachungsmoduls. Ferner umfasst die Überwachungseinrichtung eine erste Datenverarbeitungseinheit, welche das erste Sensorüberwachungsmodul aufweist und mit dem Sensor koppel- bzw. verbindbar ist, und eine zweite Datenverarbeitungseinheit, die mit der ersten Datenverarbeitungseinheit gekoppelt bzw. verbunden ist, wobei die zweite Datenverarbeitungseinheit derart ausgebildet ist, dass bei einem erkannten fehlerhaften Betrieb des Sensors ein Fehlerreaktionssignal ausgebbar ist.
  • In Ausführungsformen der erfindungsgemäßen Überwachungseinrichtung ist die zweite Datenverarbeitungseinheit leistungsfähiger als die erste Datenverarbeitungseinheit ausgelegt. Ferner ist in Ausführungsformen der Erfindung die erste und/oder die zweite Datenverarbeitungseinheit über einen Signalbus mit dem Sensor gekoppelt ist.
  • Das zweite Sensorüberwachungsmodul ist bevorzugt als ein redundantes Sensorüberwachungsmodul ausgelegt, welches über ein zusätzliches Vorhandensein von identischen, funktional gleichen oder vergleichbaren Ressourcen eine korrekte Überwachung des Sensors sicherstellt. In Ausführungsformen der Erfindung können hierbei die Sensorüberwachungsmodule räumlich voneinander getrennt sein, wodurch ein Risiko minimiert wird, dass sie einer gemeinsamen Störung unterliegen. Ferner können die Sensorüberwachungsmodule unterschiedlich ausgelegt/aufgebaut sein, um zu vermeiden, dass ein systematischer Fehler die redundanten Sensorüberwachungsmodule ausfallen lässt. Dies kann in Ausführungsformen der Erfindung auch auf das dritte Sensorüberwachungsmodul angewendet werden.
  • Die vorliegende Erfindung basiert auf der Erkenntnis, dass derzeit immer mehr busfähige Sensoren mit entsprechenden Schnittstellen eingesetzt werden und zugleich auch ein Konzept der „verteilten" Überwachungskomponenten immer stärker implementiert wird. Erfindungsgemäß wird dabei ausgenutzt, dass oftmals einzelne Überwachungs- oder allgemeiner Datenverarbeitungskomponenten in diesem System eingesetzt werden, die bezüglich ihrer Leistungsfähigkeit (wie z. B. einer Verarbeitungsgeschwindigkeit und/oder einer Speicherkapazität) sehr groß dimensioniert sind und daher eine gewisse numerische Reserve in einem solchen Überwachungssystem für einen Sensor bereitstellen. Solche leistungsstarken Recheneinheiten werden dann bevorzugt als erfindungsgemäße zweite Datenverarbeitungseinheit eingesetzt, die aus einem erkannten fehlerhaften Betrieb des Sensors das Fehlerreaktionssignal ermitteln und ausgeben kann.
  • Meist ist zur Bereitstellung und bevorzugt auch zur Ausgabe eines solchen Signals noch eine Aufbereitung derart erforderlich, dass eine regelungstechische Charakteristik bei der Ausgabe des Fehlerreaktiosnsignals beachtet wird, die einen gewissen numerischen Berechnungsaufwand erfordert. Das Fehlerreaktionssignal kann dabei ein Signal zum Schließen eines Tanks oder zum Abschalten eines Motors sein, sodass beim Einsatz von Rechnerkomponenten mit einer hohen Leistungsfähigkeit ein sehr schnelles Ausgeben des entsprechenden korrekten Fehler reaktionssignals möglich ist. Würde dagegen nur eine Rechnerkomponente verwendet, die eine durchschnittlich hohe Leistungsfähigkeit aufweist, könnte das Fehlerreaktionssignal nicht mit der für manche Applikationen erforderlichen Geschwindigkeit bereitgestellt werden.
  • Gemäß einer Ausführungsform der vorliegenden Erfindung können das zweite und dritte Sensorüberwachungsmodul zusammen in der ersten oder in der zweiten Datenverarbeitungseinheit angeordnet sein. Dies bietet den Vorteil, dass das dritte Sensorüberwachungsmodul immer im gleichen Datenverarbeitungsbaustein läuft und somit auch das zweite Sensorüberwachungsmodul unmittelbar überwachen kann, sodass sichergestellt ist, dass das zweite Sensorüberwachungsmodul eine hohe Betriebszuverlässigkeit aufweist. Insbesondere kann somit sichergestellt werden, dass auch bei einer „verteilten" Überwachungsmodul-Architektur das zweite Sensorüberwachungsmodul immer korrekt durch das dritte Überwachungsmodul überwacht wird.
  • In einer Ausführungsform der Erfindung sind das zweite und das dritte Sensorüberwachungsmodul in der zweiten Datenverarbeitungseinheit angeordnet. Dies bietet den Vorteil, dass das zweite und dritte Sensorüberwachungsmodul in jedem Fall auf der leistungsfähigeren Rechnerkomponente ausgeführt werden, sodass eine effiziente und schnelle Überwachung des Sensors sichergestellt ist.
  • Ferner gibt es Ausführungsformen, bei welchen die zweite Datenverarbeitungseinheit über eine einzelne Datenleitung mit der ersten Datenverarbeitungseinheit gekoppelt ist. Dies bietet den Vorteil, dass eine Fehleranforderung, die beispielsweise vom ersten oder zweiten Sensorüberwachungsmodul bei fehlerhaftem Betrieb des Sensors ausgegeben wird, nicht über die Busleitung an die zweite Datenverarbeitungseinheit übertragen wird, sondern über die bevorzugt direkte einzelne Datenleitung übertragen werden kann. Dies bietet eine wesentlich schnellere Übertragungsmöglichkeit, da ein Zeitversatz durch eine Codierung eines Fehleranforderungssignals für die Busübertragung und eine Zuweisung eines entsprechenden Zeitschlitzes bzw. -fensters für die Busübertragung entfallen kann.
  • In einer weiteren Ausführungsform der vorliegenden Erfindung kann die zweite Datenverarbeitungseinheit mittels eines Signalbusses mit dem Sensor gekoppelt sein. Dies bietet den Vorteil, dass auch die zweite Datenverarbeitungseinheit unmittelbar den Zustand des Sensors (über den Signalbus) auslesen kann, sodass ein Zeitverzug beim Übertragen der ausgelesenen Daten nicht zu befürchten ist.
  • Speziell kann auch die zweite Datenverarbeitungseinheit ausgebildet sein, um das Fehlerreaktionssignal ansprechend auf einen vom zweiten Sensorüberwachungsmodul erkannten fehlerhaften Betrieb des Sensors auszugeben. Dies bietet den Vorteil, dass das ausgegebene Fehlerreaktionssignal auf einem durch das zweite Sensorüberwachungsmodul erkannten fehlerhaften Betrieb des Sensors basiert. Nachdem die Funktion des zweiten Sensorüberwachungsmoduls durch die Überwachung mittels des dritten Sensorüberwachungsmoduls abgesichert ist, kann entsprechend dieser Ausführungsform ein hochgradig zuverlässiges Fehlerreaktionssignal ausgegeben werden.
  • Auch kann das dritte Sensorüberwachungsmodul ausgebildet sein, um eine Überwachung der Hardware oder eine Überwachung eines Programmablaufs eines Programms der Datenverarbeitungseinheit durchzuführen, in welchem das zweite Sensorüberwachungsmodul angeordnet ist. Dies bietet eine besonders günstige Möglichkeit, die korrekte Funktion des zweiten Sensorüberwachungsmoduls mit sehr geringem Aufwand und/oder geringer Komplexität zu realisieren, d. h. auf einem niedrigem schaltungs- und/oder programmtechnischen Niveau sicherzustellen, und damit evtl. auftretende Fehler sicher zu erkennen.
  • Erfindungsgemäß ist ein Verfahren zum Überwachen eines Sensors vorgesehen, welcher mit einer ersten Datenverarbeitungseinheit gekoppelt ist, wobei das Verfahren folgende Schritte umfasst: Überwachen eines Betriebs des Sensors auf Fehler mit der ersten Datenverarbeitungseinheit, redundantes Überwachen des Betriebs des Sensors auf Fehler, Überwachen des Ausführens des Schritts des redundanten Überwachens auf Fehler, und Ausgeben eines Fehlerreaktionssig nals durch eine zweite Datenverarbeitungseinheit, wenn ein fehlerhafter Betrieb des Sensors erkannt wird.
  • In bevorzugten Ausführungsformen der Erfindung ist die zweite Datenverarbeitungseinheit hierbei wiederum leistungsfähiger als die erste Datenverarbeitungseinheit ausgebildet. Ferner ist es bevorzugt, dass der Sensor über einen Signalbus mit der ersten Datenverarbeitungseinheit gekoppelt ist.
  • Auch kann ein Computerprogramm zur Ausführung des vorstehend genannten Verfahrens vorgesehen sein, wenn das Computerprogramm auf einem Datenverarbeitungssystem ausgeführt wird. Hierdurch kann die Erfindung nicht nur als Ein- bzw. Vorrichtung, sondern auch als verfahrenstechnische Umsetzung der erfindungsgemäßen Idee implementiert werden.
  • Kurze Beschreibung der Zeichnungen
  • Die Erfindung wird im Folgenden anhand von Ausführungsbeispielen unter Bezugnahme auf die Zeichnung näher erläutert. Es zeigen:
  • 1 bis 4 jeweils ein Blockschaltbild eines Ausführungsbeispiels der vorliegenden Erfindung, und
  • 5 ein Ablaufdiagramm eines Ausführungsbeispiels der vorliegenden Erfindung als Verfahren.
  • Gleiche oder ähnliche Elemente können in den nachfolgenden Figuren durch gleiche oder ähnliche Bezugszeichen versehen sein. Ferner enthalten die Figuren der Zeichnung, deren Beschreibung sowie die Ansprüche zahlreiche Merkmale in Kombination. Einem Fachmann ist dabei klar, dass diese Merkmale auch einzeln betrachtet werden oder sie zu weiteren, hier nicht explizit beschriebenen Kombinationen zusammengefasst werden können.
  • Beschreibung von Ausführungsformen
  • 1 zeigt ein Blockschaltbild eines Ausführungsbeispiels der vorliegenden Erfindung. Hierbei ist in 1 eine Überwachungseinrichtung 10 dargestellt, die einen Sensor 12 aufweist, der über einen Signalbus 14 mit einer ersten Datenverarbeitungseinheit 16 gekoppelt bzw. verbunden ist. In der ersten Datenverarbeitungseinheit 16 ist ein erstes Sensorüberwachungsmodul 18 angeordnet, das einen Betrieb des Sensors 12 auf Fehlerfreiheit überwacht. Diesem ersten Sensorüberwachungsmodul 18 entspricht dabei ein Ebene-1-Modul einer herkömmlichen Sensorüberwachung.
  • Weiterhin ist in der ersten Datenverarbeitungseinheit 16 ein zweites Sensorüberwachungsmodul 20 angeordnet, das einem Ebene-2-Modul der herkömmlichen Sensorüberwachung entspricht. Dieses zweite Sensorüberwachungsmodul 20 kann dabei auch auf Daten des Sensors 12 zurückgreifen, die über den Signalbus 14 zur ersten Datenverarbeitungseinheit 16 übermittelt werden. Zugleich überwacht auch das zweite Sensorüberwachungsmodul 20 den Sensor 12 auf fehlerfreien Betrieb und kann, bei der Detektion eines Fehlerfalls im Sensor 12 eine entsprechende Fehleranforderung über ein Fehleranforderungssignal 22 an eine zweite Datenverarbeitungseinheit 24 übermitteln.
  • Die zweite Datenverarbeitungseinheit 24 entspricht dabei einem Rechnerelement, das eine größere numerische Leistungsfähigkeit als die erste Datenverarbeitungseinheit 16 aufweist. Beispielsweise ist die zweite Datenverarbeitungseinheit 24 ein zentraler Bordrechner eines Kraftfahrzeugs, wenn die Überwachungseinrichtung 10 zur Überwachung von Kraftfahrzeugsensoren (wie dem Sensor 12) verwendet werden soll. In dieser zweiten Datenverarbeitungseinheit 24 wird dann das Fehleranforderungssignal 22 in ein entsprechendes Fehlerreaktionssignal 26 umgesetzt, welches ausgegeben werden kann. Hierbei können z. B. noch geeignete Regelcharakteristiken berücksichtigt werden, deren Beachtung einen höheren numerischen Aufwand erfordern.
  • Auch kann die zweite Datenverarbeitungseinheit 24 mit der ersten Datenverarbeitungseinheit 16 über den gleichen Signalbus 14 oder einen zweiten Signalbus 28 gekoppelt bzw. verbunden sein, um eine Datenübertragung über einen zentralen Datenbus sicherzustellen. Um allerdings eine möglichst schnelle Reaktion für einen erkannten Fehlerfall im Sensor 12 sicherzustellen, bietet es sich an, das Fehleranforderungssignal 22 nicht über den Signalbus 14, sondern über die separate Fehleranforderungssignal-Leitung 22 zu führen, damit eine hohe Übertragungsgeschwindigkeit durch ein Entfallen einer Buscodierung für das entsprechende Signal möglich wird.
  • Damit ein robuster Betrieb und eine zuverlässige Fehlersignalanforderung erfolgt, wird gemäß dem in 1 dargestellten Ausführungsbeispiel der Erfindung der Betrieb des zweiten Sensorüberwachurtgsmoduls 20 von einem dritten Sensorüberwachungsmodul 30 überwacht. Dieses dritte Sensorüberwachungsmodul 30 kann dabei im Wesentlichen eine Überwachung einer korrekten Funktion der ersten Datenverarbeitungseinheit 16 sicherstellen, günstigerweise auf einer niedrigen schaltungstechnischen Stufe wie einem Hardwaretest, einem zyklischen RAM/ROM-Test, einer Befehlsablaufkontrolle oder einem Befehlssatztest. Hierdurch ist sichergestellt, dass das in die erste Datenverarbeitungseinheit 16 implementierte zweite Sensorüberwachungsmodul 20 mit höchster Wahrscheinlichkeit korrekt arbeitet. Das dritte Sensorüberwachungsmodul 30 stellt in diesem Zusammenhang sicher, dass das von dem zweiten Sensorüberwachungsmodul 20 gelieferte Fehleranforderungssignal 22 mit der geforderten hohen Sicherheit bei einem erkannten fehlerhaften Betrieb des Sensors 12 korrekt ausgegeben wird.
  • In 2 ist ein zweites Ausführungsbeispiel der vorliegenden Erfindung als Blockschaltbild dargestellt. Gegenüber dem in 1 dargestellten Ausführungsbeispiel sind jedoch das zweite und dritte Sensorüberwachungsmodul 20 bzw. 30 nicht in der ersten Datenverarbeitungseinheit 16 angeordnet, sondern in der zweiten Datenverarbeitungseinheit 24. Das zweite Sensorüberwachungsmodul 20 erhält die relevanten Sensordaten vom Sensor 12 wieder über den Signalbus 14, der nunmehr auch direkt zur zweiten Datenverarbeitungseinheit 24 geführt ist. Eine solche Anordnung des zweiten und dritten Sensorüberwachungsmoduls 20 bzw. 30 bietet den Vorteil, dass eine erste Datenverarbeitungseinheit 16 verwendet werden kann, die nicht so leistungsfähig ist, wie die erste Datenverarbeitungseinheit 16 im ersten Ausführungsbeispiel. Vielmehr kann die hohe Leistungsfähigkeit der zweiten Datenverarbeitungseinheit 24 verwendet werden, um auch das redundante zweite Sensorüberwachungsmodul 20 sowie das dritte Sensorüberwachungsmoduls 30 zu realisieren, wodurch sich eine hardwaretechnisch einfache Implementationsmöglichkeit auf Grund der meist bereits vorhandenen numerischen Reserve in der zweiten Danteverarbeitungseinheit 24 ergibt.
  • Die Ebene-2-Überwachungsmodule für vernetzte Sensoren können dabei in jedem Steuergerät untergebracht werden, welches z. B. über einen Kommunikationsbus mit den entsprechenden Sensoren gekoppelt bzw. verbunden ist. Z. B. in den 1 und 2 kann das zweite Sensorüberwachungsmodul 20 entweder in der ersten Datenverarbeitungseinheit 16 (z. B. einer ECU_A; ECU = z. B. Engine Control Unit) oder in der zweiten Datenverarbeitungseinheit 24 (z. B. einer ECU_B) eingebunden sein. Dies setzt aber voraus, dass busfähige Sensoren eingesetzt werden, wie zum Beispiel Wasserstoffkonzentrationssensoren mit CAN-Schnittstellen oder Winkelpositionssensoren mit SPI-Schnittstellen in Kraftfahrzeugen.
  • Die Fehlerreaktionssignale, die von den zweiten Sensorüberwachungsmodulen 20 in den beiden Ausführungsbeispielen veranlasst wurden, können direkt durch das Steuergerät bzw. die zweite Datenverarbeitungseinheit 24 ausgeführt werden, in welchem das zweite Sensorüberwachungsmodul 20 lokatiert ist. In 1 kann die Fehleranforderung von dem zweiten Sensorüberwachungsmodul 20 in der ersten Datenverarbeitungseinheit 16 (z. B. dem ECU_A) ausgeführt werden, wogegen diese Fehleranforderung, in der Form eines Fehlerreaktionssignals, gemäß dem in 2 dargestellten Ausführungsbeispiel in der zweiten Datenverarbeitungseinheit 24 (z. B. dem ECU_B) ausgeführt wird.
  • Die Fehlerreaktionen können aber auch über einen Bus an andere Steuergeräte weitergeleitet werden, wo die Fehlerreaktionen dann ausgeführt werden. In 1 kann das zweite Sensorüberwachungsmodul 20 in der ersten Datenverarbeitungseinheit 16 die Anforderung für die Fehlerreaktion über den zweiten Signalbus 28 an die zweite Datenverarbeitungseinheit 24 senden, in der die gewünschte Fehlerreaktion ausgeführt wird.
  • Die Fehleranforderungen sollen auch über diskrete Leitungen weitergeleitet werden können. In 1 kann die Fehlerreaktionsanforderung in Form eines diskreten Signals über die Leitung 22 von der ersten Datenverarbeitungseinheit 16 an die zweite Datenverarbeitungseinheit 24 geschickt werden. Zum Beispiel kann ein „HIGH"-Pegel auf der diskreten Leitung 22 auf einen normalen Betrieb hindeuten, wogegen ein „LOW"-Pegel auf einen fehlerhaften Zustand des Sensors 12 hindeutet. Alternativ kann auch ein PWM-Signal mit festen Frequenzen auf einen normalen Zustand des Sensors hindeuten, wogegen ein Pegel-Signal (also Frequenz = 0 Hz) auf einen fehlerhaften Zustand des Sensors hihdeutet.
  • Das empfangende Steuergerät, in diesem Fall die zweite Datenverarbeitungseinheit 24, evaluiert den Zustand auf der diskreten Leitung 22 und führt entsprechend die Fehlerreaktion aus. Die zugehörigen dritten Sensorüberwachungsmodule 30 für die entsprechenden zweiten Sensorüberwachungsmodule 20 sollen auf dem gleichen Steuergerät laufen, wie die zugehörigen zweiten Sensorüberwachungsmodule 20, die sie überwachen sollen. Zu den Funktionen der dritten Sensorüberwachungsmodule 30 gehören dabei z. B. (jedoch nicht abschließend) zyklische RAM/ROM-Tests, Programmablaufkontrolle und/oder Befehlssatztests.
  • 3 stellt ein Blockschaltbild eines Ausführungsbeispiels der vorliegenden Erfindung in einem Brennstoffzellenfahrzeug dar. Die Struktur der Überwachungseinrichtung entspricht dabei der in 2 dargestellten Struktur. Ein H2-Konzentrationssensor 12 sendet via den CAN-Bus 14 die aktuelle H2-Konzentration an die beiden Steuergeräte 16 bzw. 24. Das erste Steuergerät 16 (d. h. eine Tank-Kontrolleinheit) liest die H2-Konzentration ein und steuert Tankventile. Das zweite Sensorüberwachungsmodul 20, d. h. eine redundante H2-Konzentrationsüberwachung, läuft jedoch nicht im ersten Steuergerät, d. h. der Tankkontrolleinheit 16, sondern im zweiten Steuergerät 24, d. h. der Fahrzeug-Kontrolleinheit. Das zweite Sensorüberwachungsmodul 20 kann die Tankventile oder sogar das Hauptrelais bei einem Fehler abschalten.
  • In 4 ist ein Blockschaltbild eines weiteren Ausführungsbeispiels der vorliegenden Erfindung dargestellt, das einer Struktur gemäß der 1 entspricht. Hierbei ist eine beispielhafte Konfiguration in einem Elektro-Fahrzeug gezeigt. Eine Fahrzeug-Kontrolleinheit 16 überwacht eine Längsbeschleunigung des Fahrzeugs, indem ein von einem Beschleunigungssensor ausgegebenes Beschleunigungssignal über einen SPI-Bus 14 eingelesen wird. Falls die Beschleunigung zu groß bzw. größer als ein vom Fahrer und/oder anderen Systemen (wie z. B. ESP) gewünschten Wert ist, wird eine Anforderung zum Abschalten eines Elektromotors des Fahrzeugs über eine diskrete Leitung 22 an eine Elektromotor-Kontrolleinheit 24 gesendet, beispielsweise dadurch, dass eine Pegeländerung von „HIGH" auf „LOW" getriggert wird. „HIGH" bedeutet z. B. fehlerfrei und „LOW" bedeutet dann, dass der Elektromotor abgeschaltet werden sollte. Die Elektromotor-Kontrolleinheit 24 reagiert auf die Anforderung und schaltet den Elektromotor sofort (evtl. unter Beachtung einer etwaigen Regelcharakteristik für den entsprechenden Motor) über das Fehlerreaktionssignal 26 ab.
  • 5 zeigt ein Ablaufdiagramm eines Ausführungsbeispiels der vorliegenden Erfindung als Verfahren 50. Hierbei erfolgt in einem ersten Schritt 52 ein Überwachen eines Betriebs des Sensors 12 auf Fehler mit der ersten Datenverarbeitungseinheit 16. Parallel dazu oder, wie in 5 dargestellt, nachfolgend erfolgt ein redundantes Überwachen des Betriebs des Sensors 12 auf Fehler in einem zweiten Schritt 54. Das fehlerfreie Ausführen des zweiten Schritts, d. h. des Schritts des redundanten Überwachens, wird in einem dritten Schritt 56 überwacht. Schließlich erfolgt in einem vierten Schritt 58 ein Ausgeben eines Fehlerreaktionssignals 26 durch eine zweite Datenverarbeitungseinheit 24, die bevorzugt leistungsfähiger als die erste Datenverarbeitungseinheit 16 und mit dieser gekoppelt bzw. verbunden ist, wenn ein fehlerhafter Betrieb des Sensors erkannt wird.
  • Durch die vorstehend beschriebene Erfindung soll ein Ansatz vorgestellt werden, mit welchem eine verteilte Komponentenüberwachung und Funktionsüberwachung in Systemen mit vernetzten Sensoren möglich ist. Außerdem soll es möglich sein, Fehlerreaktionsanforderungen nicht über einen Signalbus, sondern über diskrete Leitungen an andere Steuergeräte weiterzuleiten.
  • Ein Vorteil der Erfindung ist, dass die Überwachungsmodule, insbesondere die zweiten und dritten Sensorüberwachungsmodule in jedem Steuergerät lokatiert werden können, welches durch den Signalbus mit den überwachten Sensoren gekoppelt ist. Zum Beispiel kann eine bestimmte Überwachung in einem Steuergerät mit Rechenleistungsreserven ablaufen. Ein weiterer Vorteil der Erfindung besteht darin, dass die Anforderung für Fehlerreaktionen über diskrete Leitungen schneller weitergeleitet werden können. Insbesondere bei Elektro-Fahrzeugen, bei denen sehr kurze Fehlerreaktionszeiten gefordert werden, ist dieser Ansatz von großem Vorteil.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • - DE 4438714 A1 [0004]
    • - DE 10331872 A1 [0005]

Claims (12)

  1. Überwachungseinrichtung für einen Sensor (12) eines Kraftfahrzeugs, insbesondere eines Brennstoffzellen-Kraftfahrzeugs, mit: – einem ersten Sensorüberwachungsmodul (18) für eine Überwachung eines Betriebs des Sensors (12) auf Fehler; – einem zweiten Sensorüberwachungsmodul (20) ebenfalls für die Überwachung des Betriebs des Sensors (12) auf Fehler; – einem dritten Sensorüberwachungsmodul (30) für eine Überwachung eines Betriebs des zweiten Sensorüberwachungsmoduls (20); – einer ersten Datenverarbeitungseinheit (16), welche das erste Sensorüberwachungsmodul (18) aufweist und mit dem Sensor (12) koppelbar ist; – einer zweiten Datenverarbeitungseinheit (24), die mit der ersten Datenverarbeitungseinheit (16) gekoppelt ist, wobei die zweite Datenverarbeitungseinheit (24) derart ausgebildet ist, dass bei einem erkannten fehlerhaften Betrieb des Sensors (12) ein Fehlerreaktionssignal (26) ausgebbar ist.
  2. Überwachungseinrichtung gemäß Anspruch 1, wobei das zweite und das dritte Sensorüberwachungsmodul (20, 30) zusammen in der ersten (16) oder zusammen in der zweiten Datenverarbeitungseinheit (24) angeordnet sind.
  3. Überwachungseinrichtung gemäß Anspruch 1 oder 2, wobei die erste (16) und/oder die zweite Datenverarbeitungseinheit (24) über einen Signalbus (14) mit dem Sensor (12) gekoppelt ist.
  4. Überwachungseinrichtung gemäß einem der Ansprüche 1 bis 3, wobei die zweite Datenverarbeitungseinheit (24) über eine einzelne, vom Signalbus (14) separate Datenleitung (22) mit der ersten Datenverarbeitungseinheit (16) gekoppelt ist.
  5. Überwachungseinrichtung gemäß einem der Ansprüche 1 bis 4, wobei die zweite Datenverarbeitungseinheit (24) leistungsfähiger als die erste Datenverarbeitungseinheit (16) ist, und die zweite Datenverarbeitungseinheit (24) bevorzugt ein Bordrechner des Kraftfahrzeugs ist.
  6. Überwachungseinrichtung gemäß einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass die zweite Datenverarbeitungseinheit (24) ausgebildet ist, um das Fehlerreaktionssignal (26) ansprechend auf einen vom zweiten Sensorüberwachungsmodul (20) erkannten fehlerhaften Betrieb des Sensors (12) auszugeben.
  7. Überwachungseinrichtung gemäß einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass das dritte Sensorüberwachungsmodul (30) ausgebildet ist, um eine Überwachung der Hardware oder eine Überwachung eines Programmablaufs eines Programms der Datenverarbeitungseinheit (16, 24) durchzuführen, in dem das zweite Sensorüberwachungsmodul (20) angeordnet ist.
  8. Sensor, insbesondere Kraftfahrzeugsensor, mit einer Überwachungseinrichtung nach einem der Ansprüche 1 bis 7.
  9. Verfahren zum Überwachen eines Sensors (12), welcher mit einer ersten Datenverarbeitungseinheit (16) gekoppelt ist, wobei das Verfahren folgende Schritte umfasst: – Überwachen (52) eines Betriebs des Sensors (12) auf Fehler durch die erste Datenverarbeitungseinheit (12); – redundantes Überwachen (54) des Betriebs des Sensors (12) auf Fehler; – Überwachen (56) des Ausführens des Schritts des redundanten Überwachens (54) auf Fehler; und – Ausgeben (58) eines Fehlerreaktionssignals durch eine zweite Datenverarbeitungseinheit (24), falls ein fehlerhafter Betrieb des Sensors (12) erkannt wird.
  10. Verfahren gemäß Anspruch 9, wobei die zweite Datenverarbeitungseinheit (24) leistungsfähiger als die erste Datenverarbeitungseinheit (16) ist.
  11. Verfahren gemäß Anspruch 9 oder 10, wobei der Sensor (12) über einen Signalbus (14) mit der ersten Datenverarbeitungseinheit (16) gekoppelt ist.
  12. Computerprogramm zur Durchführung eines Verfahrens gemäß einem der Ansprüche 9 bis 11, wenn das Computerprogramm auf einem Datenverarbeitungssystem ausgeführt wird.
DE102008009652A 2008-02-18 2008-02-18 Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor Ceased DE102008009652A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102008009652A DE102008009652A1 (de) 2008-02-18 2008-02-18 Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor
US12/277,648 US20090210171A1 (en) 2008-02-18 2008-11-25 Monitoring device and monitoring method for a sensor, and sensor
RU2009105393/28A RU2494348C2 (ru) 2008-02-18 2009-02-17 Устройство и способ контроля датчика, а также датчик

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102008009652A DE102008009652A1 (de) 2008-02-18 2008-02-18 Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor

Publications (1)

Publication Number Publication Date
DE102008009652A1 true DE102008009652A1 (de) 2009-08-27

Family

ID=40896500

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102008009652A Ceased DE102008009652A1 (de) 2008-02-18 2008-02-18 Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor

Country Status (3)

Country Link
US (1) US20090210171A1 (de)
DE (1) DE102008009652A1 (de)
RU (1) RU2494348C2 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015226067A1 (de) * 2015-12-18 2017-06-22 Bayerische Motoren Werke Aktiengesellschaft System zur Erhöhung der Zuverlässigkeit eines Energiemanagementsystems in einem Kraftfahrzeug und ein diesbezügliches Verfahren und Kraftfahrzeug
WO2019185368A1 (de) * 2018-03-27 2019-10-03 Robert Bosch Gmbh Sensoranordnung

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010002679B4 (de) * 2010-03-09 2023-01-05 Robert Bosch Gmbh Verfahren zur Versorgung mindestens eines Busteilnehmers
CN103010008B (zh) * 2011-09-27 2017-05-17 北京理工大学 一种通用新能源客车平台
FR2990506B1 (fr) * 2012-05-14 2014-04-25 Schneider Electric Ind Sas Detecteur a sortie astable
FR2999709B1 (fr) 2012-12-19 2018-11-30 Compagnie Generale Des Etablissements Michelin Detecteur de fuite d'hydrogene
FR2999811B1 (fr) 2012-12-19 2016-11-04 Michelin & Cie Systeme a pile a combustible equipe d'un detecteur de fuite d'hydrogene
CN113595753A (zh) * 2020-04-30 2021-11-02 北京达佳互联信息技术有限公司 通信方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4438714A1 (de) 1994-10-29 1996-05-02 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs
DE10331872A1 (de) 2003-07-14 2005-02-10 Robert Bosch Gmbh Verfahren zur Überwachung eines technischen Systems

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0522200B1 (de) * 1991-07-10 1998-05-13 Samsung Electronics Co., Ltd. Bewegliche Überwachungsvorrichtung
US5867726A (en) * 1995-05-02 1999-02-02 Hitachi, Ltd. Microcomputer
JP3566517B2 (ja) * 1997-11-11 2004-09-15 三菱電機株式会社 車両用エンジンの駆動制御装置
DE19950008A1 (de) * 1999-10-18 2001-04-26 Xcellsis Gmbh Verfahren und Anordnung zum Steuern des Schaltzustands einer Schaltverbindung zwischen den elektrischen Ausgängen einer in einer mobilen Vorrichtung angeordneten Brennstoffzelle und einem in der mobilen Vorrichtung angeordneten isolierten elektrischen Netz
JP4391724B2 (ja) * 2001-06-08 2009-12-24 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング 車両の駆動シーケンス制御の監視方法及びその装置
US20030034541A1 (en) * 2001-08-16 2003-02-20 Motorola, Inc. Structure and method for fabricating fault tolerant semiconductor structures with fault remediation utilizing the formation of a compliant substrate
US6704630B2 (en) * 2002-04-04 2004-03-09 Grazyna Balut Ostrom Thrust control malfunction accommodation system and method
US7272681B2 (en) * 2005-08-05 2007-09-18 Raytheon Company System having parallel data processors which generate redundant effector date to detect errors

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4438714A1 (de) 1994-10-29 1996-05-02 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs
DE10331872A1 (de) 2003-07-14 2005-02-10 Robert Bosch Gmbh Verfahren zur Überwachung eines technischen Systems

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015226067A1 (de) * 2015-12-18 2017-06-22 Bayerische Motoren Werke Aktiengesellschaft System zur Erhöhung der Zuverlässigkeit eines Energiemanagementsystems in einem Kraftfahrzeug und ein diesbezügliches Verfahren und Kraftfahrzeug
WO2019185368A1 (de) * 2018-03-27 2019-10-03 Robert Bosch Gmbh Sensoranordnung
CN111919244A (zh) * 2018-03-27 2020-11-10 罗伯特·博世有限公司 传感器组件
CN111919244B (zh) * 2018-03-27 2022-05-06 罗伯特·博世有限公司 传感器组件
US11940467B2 (en) 2018-03-27 2024-03-26 Robert Bosch Gmbh Sensor arrangement

Also Published As

Publication number Publication date
RU2009105393A (ru) 2010-08-27
RU2494348C2 (ru) 2013-09-27
US20090210171A1 (en) 2009-08-20

Similar Documents

Publication Publication Date Title
DE10243713B4 (de) Redundante Steuergeräteanordnung
DE10113917B4 (de) Verfahren und Vorrichtung zur Überwachung von Steuereinheiten
DE112018002176B4 (de) Anormalitätsbestimmungsvorrichtung, Anormalitätsbestimmungsverfahren und Anormalitätsbestimmungsprogramm
DE102008009652A1 (de) Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor
DE10152235B4 (de) Verfahren zum Erkennen von Fehlern bei der Datenübertragung innerhalb eines CAN-Controllers und ein CAN-Controller zur Durchführung dieses Verfahrens
EP1600831B1 (de) Verfahren und Vorrichtung zur Überwachung mehrerer Steuergeräte mittels einer Frage-Antwort-Kommunikation
EP3661819B1 (de) Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium
EP2099667B1 (de) Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems
EP2078253A2 (de) Verfahren und vorrichtung zur fehlerverwaltung
DE19500188B4 (de) Schaltungsanordnung für eine Bremsanlage
EP1860565A1 (de) Verfahren zur Funktionsprüfung eines Steuergeräts für ein Kraftfahrzeug
EP2239752B1 (de) Sichere Schalteinrichtung und modulares fehlersicheres Steuerungssystem
DE102019202527A1 (de) Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems
EP2237118B1 (de) Sicherheitssystem zur Sicherung einer fehlersicheren Steuerung elektrischer Anlagen und Sicherheitssteuerung damit
DE102013021231A1 (de) Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät
DE102012221277A1 (de) Fahrzeugsteuervorrichtung
DE102007063291A1 (de) Sicherheitssteuerung
DE102009001420A1 (de) Verfahren zur Fehlerbehandlung eines Rechnersystems
EP2013731B1 (de) Schaltungsanordnung und verfahren zum betrieb einer schaltungsanordnung
DE102007046706A1 (de) Steuervorrichtung für Fahrzeuge
EP1850229A1 (de) Vorrichtung und Verfahren zur Überwachung einer Funktionseinheit in einem Fahrzeug
WO2011113405A1 (de) Steuergeräteanordnung
EP2900530B1 (de) Steuerung einer parkbremse
DE102017218898A1 (de) Kontrollsystem für ein Batteriesystem
DE102010002468A1 (de) Verfahren zum Stillsetzen einer von einem Steuergerät betriebenen Funktionseinheit in einem Kraftfahrzeug

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R012 Request for examination validly filed

Effective date: 20141028

R016 Response to examination communication
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final