DE102009058331A1

DE102009058331A1 - Controller e.g. valve controller, for controlling e.g. physical parameter of motor vehicle, has evaluating unit adapting maximum operating duration to detected operating loads or testing and verifying acceptance of operating duration

Info

Publication number: DE102009058331A1
Application number: DE200910058331
Authority: DE
Inventors: Michael Brand; Hubert Stratmann; Thierry Dumont
Original assignee: Robert Bosch GmbH
Current assignee: Robert Bosch GmbH
Priority date: 2009-12-15
Filing date: 2009-12-15
Publication date: 2011-06-16

Abstract

The controller (1) has sensors (2) for detecting operating loads (4) and connected with an evaluation unit (3), where the sensors are selected from a group consisting of an ambient temperature sensor, ambient pressure sensor, vibration sensor and a humidity sensor. The evaluating unit adapts maximum operating duration to the detected operating loads or tests and verifies acceptance of the operating duration. The temperature sensor is arranged in a temperature critical area of a printed circuit board equipped with electronic components, and the evaluating unit adjusts maintenance time interval. Independent claims are also included for the following: (1) a method for updating maximum operating duration of a safety relevant controller (2) a method for calibrating total failure possibility of safety functions.

Description

Die Erfindung betrifft ein Steuergerät mit belastungsabhängiger Betriebslebensdauer und ein Verfahren zur Aktualisierung einer maximalen Betriebslebensdauer. Das Steuergerät weist eine berechnete maximale Betriebslebensdauer auf, die für Erwartungsprofile von zu erwartenden Standard-Belastungen ermittelt ist.The invention relates to a control unit with load-dependent operating life and a method for updating a maximum operating life. The control unit has a calculated maximum service life, which is determined for expected profiles of expected standard loads.

Aus der Druckschrift DE 103 10 116 A1 ist ein Verfahren zur Bestimmung von Wartungsintervallen für Kraftfahrzeugbaugruppen bekannt, die wenigstens eine Wartungseinheit umfassen. Jeder Wartungseinheit ist eine Schadenssumme zugeordnet, die beim Betrieb des Kraftfahrzeugs zunimmt. Aus den Betriebsdaten des Fahrzeugs oder aus einem Teil dieser Daten wird in einem gewählten Zeitintervall die auf eine Wartungseinheit wirkende Belastung bestimmt und abgeschätzt und in unterschiedliche Klassen eines Belastungsmusters eingeteilt. Aus einem anschließenden Vergleich der Belastungsmuster eines Zeitintervalls mit gespeicherten Daten des Ausfallverhaltens der Wartungseinheit wird die Zunahme der Schadenssumme für dieses Zeitintervall berechnet. Das Ende des Wartungsintervalls für eine Wartungseinheit ist dann erreicht, wenn die zugeordnete Schadenssumme einen bestimmten kritischen Schwellwert überschreitet.From the publication DE 103 10 116 A1 a method for determining maintenance intervals for motor vehicle assemblies is known, comprising at least one maintenance unit. Each maintenance unit is assigned a damage amount which increases during operation of the motor vehicle. From the operating data of the vehicle or from a part of this data, the load acting on a maintenance unit is determined and estimated in a selected time interval and divided into different classes of a load pattern. From a subsequent comparison of the load patterns of a time interval with stored data of the failure behavior of the maintenance unit, the increase in the amount of damage for this time interval is calculated. The end of the maintenance interval for a maintenance unit is reached when the assigned amount of damage exceeds a certain critical threshold.

Auch die Druckschrift G 85 04 729.5 offenbart eine Wartungs- und Kontrolleinrichtung zur Gewinnung flexibler Wartung- bzw. Inspektionszeitpunkte an elektrischen Schaltgeräten und Schaltgerätekombinationen. Dazu sind eine Mehrzahl von Sensoren vorgesehen, wobei ein Mikroprozessor die Signale der Sensoren auswertet und eine optische und/oder akustische Wartungsanzeigeeinrichtung der Überwachungs- und Kontrolleinrichtung mit entsprechenden Anzeigen versorgt.Also the publication G 85 04 729.5 discloses a maintenance and control device for obtaining flexible maintenance or inspection times on electrical switching devices and switchgear assemblies. For this purpose, a plurality of sensors are provided, wherein a microprocessor evaluates the signals of the sensors and supplies a visual and / or audible maintenance indicator of the monitoring and control device with corresponding displays.

Die bekannten Vorrichtungen haben den Nachteil, dass sie den Anforderungen, die an sicherheitsrelevante Steuergeräte gestellt werden, nicht genügen.The known devices have the disadvantage that they do not meet the requirements placed on safety-related control units.

Für derartige sicherheitsrelevante Steuergeräte oder Teilen davon sind maximale Lebensdauerwerte zu berechnen und dem Kunden zur Verfügung zu stellen, wie es zur Umsetzung der Sicherheitsnormen EN ISO 13849-1:2008 gefordert ist. Diese maximalen Werte für die Betriebslebensdauer werden auch MTTFd-Werte (mean time to failure dangerous) genannt und hängen bei elektronischen Bauteilen stark vom Temperaturprofil ab, bei dem das sicherheitsrelevante Steuergerät betrieben wird. Außerdem gibt es Abhängigkeiten von anderen physikalischen Umgebungsbedingungen, wie z. B. Vibrationsbelastung, Umgebungstemperatur, Umgebungsdruck oder Umgebungsfeuchtigkeit.For such safety-related control units or parts thereof, maximum lifetime values must be calculated and made available to the customer, as is necessary for the implementation of the safety standards EN ISO 13849-1: 2008 is required. These maximum values for the service life are also called MTTFd values (mean time to failure dangerous) and depend heavily on the temperature profile at which the safety-relevant control unit is operated in the case of electronic components. There are also dependencies on other physical environmental conditions, such as: As vibration load, ambient temperature, ambient pressure or ambient humidity.

Um den Anforderungen in den verschiedenen physikalischen Umgebungsbedingungen gerecht zu werden, müssen vom Steuergerätehersteller, verschiedene Standard-Profile oder Lastkollektive vorgegeben oder an den Steuergeräten selbst vermessen werden, um Lebensdaueraussagen machen zu können. Bezüglich der Vibrationsbelastung werden häufig Pauschalfaktoren angenommen, die nicht an die konkreten Belastungen in den sicherheitsrelevanten Steuergeräten angepasst sind.In order to meet the requirements in the various physical environmental conditions, the ECU manufacturer has to specify different standard profiles or load spectra or measure them on the control devices themselves in order to make life-time statements. With regard to the vibration load, all-inclusive factors are often assumed which are not adapted to the specific loads in the safety-related control devices.

Die Abhängigkeit der MTTFd-Werte für Steuergeräte kann an folgendem Beispiel gezeigt werden. Wenn das Steuergerät eine Temperatur von 60°C nie überschreitet, dann hat der Prozessorteil einen MTTFd-Wert von 175 Jahren. Wenn das Steuergerät 20% seiner Betriebszeit einer Temperatur von 85°C unterworfen ist, dann sinkt der MTTFd-Wert auf nur noch 94 Jahre. Somit werden die verschiedensten Temperaturprofile berechnet und der Hersteller kann adäquate Profile auswählen, damit entsprechend aussagekräftige Werte für die maximale Betriebslebensdauer vorgesehen werden. Ein Nachteil dieser Abschätzung ist, dass ein Großteil der Maschinen einem deutlich unkritischeren Profil ausgesetzt sein wird, dennoch muss der Maschinenhersteller von einem ungünstigsten Umgebungsprofil ausgehen. Wenn der Maschinenhersteller zu positive Umgebungsprofile annimmt, erhöht sich im Realbetrieb die Ausfallwahrscheinlichkeit unzulässig. Wenn die Maschinen des Herstellers große Umgebungsbedingungsvarianzen haben, ist die Wahl des ungünstigsten Umgebungsprofils jedoch erforderlich.The dependence of the MTTFd values for control units can be shown by the following example. If the controller never exceeds a temperature of 60 ° C, then the processor part has an MTTFd value of 175 years. When the controller is subjected to 20 ° C operating temperature of 85 ° C, the MTTFd value drops to just 94 years. Thus, the most varied temperature profiles are calculated and the manufacturer can select adequate profiles to provide meaningful values for the maximum service life. A disadvantage of this estimation is that a large part of the machines will be exposed to a much more uncritical profile, nevertheless the machine manufacturer has to assume a most unfavorable environmental profile. If the machine manufacturer assumes positive environmental profiles, the probability of failure increases in real operation inadmissibly. However, if the manufacturer's machines have large environmental variances then choosing the worst environmental profile is required.

Aufgabe der Erfindung ist es, ein Steuergerät mit belastungsabhängiger Betriebslebensdauer und ein Verfahren zur Aktualisierung einer maximalen Betriebslebensdauer anzugeben, die nicht nur auf Schätzungen und Erfahrenswerten beruht, sondern aktuelle Belastungsfälle in die maximale Betriebslebensdauer einbezieht.The object of the invention is to provide a control device with load-dependent operating life and a method for updating a maximum operating life, which is based not only on estimates and experiences, but includes current load cases in the maximum service life.

Diese Aufgabe wird mit dem Gegenstand der unabhängigen Ansprüche gelöst. Vorteilhafte Weiterbildungen der Erfindung ergeben sich aus den abhängigen Ansprüchen.This object is achieved with the subject matter of the independent claims. Advantageous developments of the invention will become apparent from the dependent claims.

Erfindungsgemäß wird ein Steuergerät mit belastungsabhängiger Betriebslebensdauer bereitgestellt. Das Steuergerät weist eine berechnete maximale Betriebslebensdauer auf, die für Erwartungsprofile von zu erwartenden Standard-Belastungen ermittelt ist. Das Steuergerät ist ein sicherheitsrelevantes Steuergerät und weist Sensoren zur Erfassung der Betriebsbelastungen auf. Die Sensoren sind mit einer Auswerteeinheit verbunden, welche die maximale Betriebslebensdauer den erfassten Betriebsbelastungen anpasst.According to the invention, a control device with load-dependent operating life is provided. The control unit has a calculated maximum service life, which is determined for expected profiles of expected standard loads. The control unit is a safety-relevant control unit and has sensors for detecting the operating loads. The sensors are connected to an evaluation unit, which adapts the maximum operating life to the recorded operating loads.

Bei diesem ersten Aspekt der Erfindung wird das Steuergerät für ein Temperatur- oder andere Belastungsprofile erprobt. Wenn die reale Temperaturbelastung oder andere Belastungen wesentlich höher als erwartet sind, kann die Ausfallwahrscheinlichkeit des Steuergerätes steigen, weil nicht sicher vorhergesagt werden kann, ob und wann Bauteile, die mit dem Steuergerät zusammenwirken die sogenannte Badewannenkurve für eine gesicherte Funktionswahrscheinlichkeit verlassen, das heißt, es müssen ermüdungsbedingte Ausfälle berücksichtigt werden. In this first aspect of the invention, the controller for a temperature or other load profiles is tested. If the real temperature load or other loads are significantly higher than expected, the failure probability of the controller may increase because it can not be predicted with certainty whether and when components that interact with the controller will leave, i.e., it will, the so-called bathtub curve for assured probability of functioning fatigue-related failures must be taken into account.

Ein derartig abgesichertes Steuergerät hat somit den Vorteil, dass durch Integration der erfassten Betriebsbelastungen die maximale Betriebslebensdauer ständig aktualisiert werden kann. Wird das Steuergerät bei extremen Umweltbedingungen eingesetzt, so vermindert sich automatisch die dann aktualisierte maximale Betriebslebensdauer, während sie sich bei verminderter Umgebungsbelastung durchaus auch erhöhen kann. Dazu wird vorzugsweise eine Auswerteeinheit eingeführt, mit der ein Umgebungsprofil zunächst als Erwartungsprofil ausgewählt werden kann, das aber dann mit den erfassten Umgebungsprofilwerten fortlaufend korrigiert wird.Such a hedged control unit thus has the advantage that the maximum operating life can be constantly updated by integrating the detected operating loads. If the control unit is used in extreme environmental conditions, then automatically reduces the then updated maximum operating life, while it can also increase at reduced environmental load. For this purpose, an evaluation unit is preferably introduced, with which an environmental profile can initially be selected as the expected profile, but which is then continuously corrected with the acquired environmental profile values.

Bei einem zweiten Aspekt der Erfindung wird unabhängig von einem Temperaturprofil, welches das Steuergerät erfährt, davon ausgegangen, dass sich die verwendeten Bauteile, die mit dem Steuergerät zusammenwirken, bezüglich der Ausfallwahrscheinlichkeit am Boden der sogenannten Badewannenkurve befinden, das heißt, dass keine Frühausfälle zu berücksichtigen sind.In a second aspect of the invention, regardless of a temperature profile experienced by the control unit, it is assumed that the components used which interact with the control unit are located at the bottom of the so-called bathtub curve with regard to the probability of failure, that is to say that no early failures have to be taken into account are.

Die Höhe der Ausfallwahrscheinlichkeit hängt jedoch von einem Temperaturprofil ab, das bedeutet, dass bei hohen Temperaturen statistisch mehr Bauteile ausfallen. Da es sich um einen statistischen Ausfall handelt, kann der Ausfall in der ersten Betriebsstunde oder überhaupt nicht passieren. Wenn somit hohe Temperaturen angenommen werden, ist es im Extremfall möglich, dass die Gesamtausfallwahrscheinlichkeit so hoch wird, dass eine Maschine überhaupt nicht mehr betrieben werden darf oder weitere Maßnahmen projektiert werden müssen wie beispielsweise eine Reduzierung der Ausfallwahrscheinlichkeit durch Reduzierung von sonstigen Komponenten im Sensor- oder Aktorbereich, zumal es um eine Gesamtwahrscheinlichkeit einer Maschine geht, die sich aus Einzelausfallwahrscheinlichkeiten zusammensetzt.However, the magnitude of the probability of failure depends on a temperature profile, which means that statistically more components fail at high temperatures. Since it is a statistical failure, the failure can happen in the first hour of operation or not at all. If high temperatures are thus assumed, it is possible in extreme cases that the total failure probability becomes so high that a machine may no longer be operated at all or further measures must be planned, such as a reduction in the probability of failure by reducing other components in the sensor or sensor Actuator area, especially as it is a total probability of a machine composed of individual default probabilities.

Bei diesem zweiten Aspekt der Erfindung geht es nicht primär um eine Abkürzung der erlaubten Betriebsdauer, sondern um eine Verifikation der Annahmen für den Betrieb, weil die Annahmen derart sicherheitsrelevant sind. Durch die Beobachtung, kann das Problem erkannt werden und Maßnahmen eingeleitet werden. Beispielsweise können Wartungsintervalle verkürzt werden, oder eine Kühlung verbessert werden, oder eine Korrektur eines Montagefehlers, der zu einer Behinderung der Wärmeabfuhr geführt hat, korrigiert werden. Auch systematische Fehler können erkannt werden, bevor sie zu sicherheitsrelevanten Unfällen führen.In this second aspect of the invention, it is not primarily an abbreviation of the allowed operating time, but a verification of the assumptions for the operation, because the assumptions are so safety-relevant. Through observation, the problem can be identified and action taken. For example, maintenance intervals can be shortened, or a cooling can be improved, or a correction of a mounting error, which has led to a hindrance of the heat dissipation, can be corrected. Even systematic errors can be detected before they lead to safety-related accidents.

In einer weiteren Ausführungsform weist die Auswerteeinheit eine Klassierungsstufe auf, in der erfasste Betriebsprofile oder Umgebungsprofile in Gruppen von Erwartungsprofilen klassifiziert sind. Mit einer derartigen Klassierungsfunktion wird von der Auswerteeinheit in definierten Zeitintervallen die aktuelle beispielsweise Temperatureiner in dem Steuergerät vorhandenen Platine erfasst und klassiert, d. h. in Gruppen eingeteilt, wie z. B. < 40°C, < 60°C, < 70°C, < 80°C, < 85°C und > 85°C. Eine derartige Klassierung kann in einen Permanentspeicher der Auswerteeinheit geschrieben werden, wobei unterschiedliche Temperaturgruppen, die Anzahl ihres Auftretens als Temperaturprofil für das Steuergerät hinzugefügt werden. Wenn die Klassierungsergebnisse grob von dem gewählten Umgebungserwartungsprofil abweichen, wird die Betriebszeit für das Steuergerät entsprechend reduziert, womit gleichzeitig eine Warnung verbunden sein kann, um den Benutzer darauf aufmerksam zu machen, dass ein Wert reduziert wurde.In a further embodiment, the evaluation unit has a classification stage, in which detected operating profiles or environmental profiles are classified into groups of expected profiles. With such a classification function, the current, for example temperature, of a board present in the control unit is detected and classified by the evaluation unit at defined time intervals, ie. H. divided into groups, such. <40 ° C, <60 ° C, <70 ° C, <80 ° C, <85 ° C and> 85 ° C. Such a classification can be written in a permanent memory of the evaluation unit, wherein different temperature groups, the number of their occurrence are added as a temperature profile for the control unit. If the classification results differ substantially from the selected environmental expectation profile, the operating time for the controller is correspondingly reduced, which may be accompanied by a warning to alert the user that a value has been reduced.

Dazu kann ein akustisches oder optisches Warn- oder Alarmsignal ausgegeben werden, wenn die aktualisierte maximale Betriebslebensdauer oder geänderte Wartungsintervalle kürzer sind als die vorausberechnete maximale Betriebslebensdauer bzw. die Wartungsintervalle. Außerdem können Untersuchungen der Abweichungen veranlasst werden, um systematische Fehler oder Montagefehler, die zu der Abweichung von einer angenommenen Betriebslebensdauer geführt haben, zu ermitteln und zu korrigieren. In einer weiteren Ausführungsform der Erfindung wird zur Temperaturüberwachung und Auswertung in dem sicherheitsrelevanten Steuergerät, wie einem Ventilsteuergerät mindestens eine mit elektronischen Bauelementen bestückte Platine mit einem Temperatursensor vorgesehen, wobei der Temperatursensor in einem temperaturkritischen Bereich, vorzugsweise in einem Bereich mit der höchsten zu erwartenden Temperatur der Platine angeordnet ist.For this purpose, an audible or visual warning or alarm signal may be issued if the updated maximum service life or changed service intervals are shorter than the pre-calculated maximum service life or intervals. In addition, examinations of the deviations can be made to detect and correct systematic errors or assembly errors that have led to the deviation from an assumed operating life. In a further embodiment of the invention, at least one printed circuit board equipped with electronic components is provided with a temperature sensor for temperature monitoring and evaluation in the safety-relevant control device, such as a valve control device, wherein the temperature sensor in a temperature-critical region, preferably in a region with the highest expected temperature Board is arranged.

Genau wie die Berücksichtigung des Temperaturprofils einer Platine können auch Profile anderer physikalischer Größen erfasst werden, wie vorzugsweise Vibrationen, Luftfeuchtigkeit, Außendruck oder Außentemperatur, wenn diese einen Einfluss auf die Lebensdauer des sicherheitsrelevanten Steuergerätes haben. Dazu kann das sicherheitsrelevante Steuergerät Vibrationssensoren wie Beschleunigungsmesser, Feuchtigkeitssensoren, Umgebungstemperatur- und/oder Umgebungsdrucksensoren aufweisen. Zu den sicherheitsrelevanten Steuergeräten gehören vorzugsweise Ventilsteuergeräte für hydraulische Anlagen.Just as the consideration of the temperature profile of a board and profiles of other physical quantities can be detected, such as preferably vibration, humidity, external pressure or outside temperature, if they have an impact on the life of the safety-related control unit. For this purpose, the safety-relevant control unit vibration sensors such as accelerometers, humidity sensors, ambient temperature and / or Have ambient pressure sensors. The safety-related control devices preferably include valve control devices for hydraulic systems.

Alternativ zum Vergleich der Klassierung der Temperaturen mit einem Erwartungsprofil kann aus einem IST-Temperaturprofil eine temperaturbelastungsabhängige virtuelle Betriebszeit TDOH (temperature dependent operating hours) eingeführt werden. Diese virtuelle Betriebszeit entwickelt sich bei tieferen Temperaturen analog zur zeitbasierten Betriebszeit, erhöht sich aber bei hohen Temperaturen über Gewichtungsfaktoren schneller als die rein zeitbasierte Betriebszeit. Wenn die TDOH sich einem Grenzwert nähert bzw. ihn überschreitet, ist die sicherheitsbezogene maximale Lebensdauer des sicherheitsrelevanten Steuergerätes erreicht und der Fahrzeugbediener kann gewarnt werden, um z. B. Informationen über Wartungs- und Austauschzeitpunkte zu bekommen.As an alternative to comparing the classification of the temperatures with an expected profile, a temperature-dependent virtual operating time TDOH (temperature-dependent operating hours) can be introduced from an actual temperature profile. This virtual operating time evolves at lower temperatures, analogous to time-based operating time, but increases faster at high temperatures via weighting factors than the purely time-based operating time. As the TDOH approaches or exceeds a threshold, the safety-related maximum life of the safety-related controller is reached and the vehicle operator can be alerted to operate e.g. B. to get information about maintenance and replacement times.

Ein Verfahren zur Aktualisierung einer maximalen Betriebslebensdauer eines sicherheitsrelevanten Steuergeräts weist nachfolgende Verfahrensschritte auf. Zunächst wird aufgrund von standardisierten Erwartungs-Belastungsprofilen eine maximale Betriebslebensdauer berechnet. Dann werden kontinuierlich die aktuellen Belastungen mittels Sensoren erfasst, dabei erfolgt ein Speichern, Klassifizieren und Auswerten der erfassten Daten. Danach wird die maximale Betriebsdauer anhand der erfassten Daten aktualisiert.A method for updating a maximum service life of a safety-relevant control device has the following method steps. First, a maximum operating life is calculated based on standardized expectation stress profiles. Then, the current loads are continuously recorded by means of sensors, thereby storing, classifying and evaluating the acquired data. Thereafter, the maximum operating time is updated based on the acquired data.

Ein derartiges Verfahren hat den Vorteil, dass eine notwendige Verkürzung der maximalen Betriebslebensdauer rechtzeitig festgestellt wird, bevor größere Ausfallraten auftreten können. Andererseits hat es den Vorteil, wenn die standardisierten Erwartungs-Belastungsprofile deutlich unterschritten werden, dass dann die maximale Betriebslebensdauer dieses Steuergerätes automatisch heraufgesetzt werden kann.Such a method has the advantage that a necessary shortening of the maximum service life is determined in good time before larger failure rates can occur. On the other hand, it has the advantage that the standardized expected load profiles are well below, that then the maximum operating life of this controller can be increased automatically.

Darüber hinaus ist es vorgesehen, bei diesem Verfahren ein akustisches oder optisches Warn- oder Alarmsignal auszugeben, wenn die aktualisierte maximale Betriebslebensdauer oder geänderte Wartungsintervalle kürzer sind als die voraus berechnete maximale Betriebslebensdauer bzw. die entsprechenden Wartungsintervalle kürzer werden. Außerdem erfolgt bei diesem Verfahren eine Klassierung nach Temperaturstufen der Betriebstemperatur oder nach Vibrationsbelastungsstufen durch gemessene Vibrationen oder nach Luftfeuchtigkeitsstufen, Außendruckstufen oder Außentemperaturstufen. Die erfassten Messdaten können in der Auswerteeinheit gewichtet werden, wie es bereits oben erwähnt ist. Außerdem ist es möglich, zeitliche Ableitungen der erfassten Messdaten in der Auswerteeinheit zu gewichten, indem der Temperaturgradient oder die zeitliche Änderung von Vibrationen und/oder die zeitliche Änderung von Luftfeuchtigkeitsstufen, Umgebungstemperaturstufen und/oder Umgebungsdruckstufen gewichtet und ausgewertet werden.In addition, it is intended to issue in this method an audible or visual warning or alarm signal when the updated maximum service life or changed maintenance intervals are shorter than the previously calculated maximum service life or the corresponding maintenance intervals are shorter. In addition, this method is classified according to temperature levels of the operating temperature or vibration load levels by measured vibrations or humidity levels, external pressure levels or outdoor temperature levels. The acquired measurement data can be weighted in the evaluation unit, as already mentioned above. In addition, it is possible to weight time derivatives of the acquired measurement data in the evaluation unit by weighting and evaluating the temperature gradient or the temporal change of vibrations and / or the temporal change of humidity levels, ambient temperature levels and / or ambient pressure levels.

Ein dritter Aspekt der Erfindung befasst sich mit der Gesamtausfallwahrscheinlichkeit und ihrer möglichen Korrektur, basierend auf einer gleichen Wahrscheinlichkeits-Datenbasis und unterstützt durch Feldbeobachtungen. Mit den sich aus dem angenommen Temperaturprofil ergebenden Ausfallwahrscheinlichkeitsdaten wird für eine Steuerungsfunktion die Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde ermittelt (Probability of Failure per Hour (PFH)). Er ist die gemeinsame Kennzahl aller einschlägigen Normen zur Beurteilung der Widerstandsfähigkeit gegenüber gefährlichen Ausfällen. Dabei werden die Ausfallwahrscheinlichkeiten alter für die Funktion erforderlicher Komponentenherangezogen. Diese Gesamtausfallwahrscheinlichkeit darf nicht höher sein, als die erlaubte bzw. geforderte Ausfallwahrscheinlichkeit für die Steuerungsfunktion abhängig von deren Kritizität.A third aspect of the invention is concerned with the overall failure probability and its possible correction, based on an equal probability database and supported by field observations. The failure probability data resulting from the assumed temperature profile is used to determine the probability of a dangerous failure per hour (Probability of Failure per Hour (PFH)) for a control function. It is the common measure of all relevant standards for assessing the resistance to dangerous failures. The default probabilities of old components required for the function are used here. This total failure probability may not be higher than the allowed or required probability of failure for the control function depending on its criticality.

Bei der Berechnung für eine Funktion werden nur die Teile der Steuerung berücksichtigt, die zu einer Funktion beitragen z. B. eine einzige Leistungsendstufe, obwohl auf der Steuerung ggf. 40 Endstufen für unterschiedlichste Funktionen vorhanden sind. Außerdem wird nur der Anteil der sich gefährlich auswirkenden Ausfälle berücksichtigt. Er ist normalerweise nicht höher als 50%, i. d. R. aber deutlich darunter, weil die Steuerung nach dem Prinzip Fail Safe entwickelt ist und die wahrscheinliche Ausfallrichtung nach Möglichkeit die sichere ist. Es gibt noch eine dritte Ausfallrichtung, nämlich die, wenn der Fehler sich nicht notwendigerweise sofort erkennbar auswirkt. Beispiele sind der Ausfall von Filtern oder EMV Kondensatoren.When calculating a function, only those parts of the control that contribute to a function are taken into account. B. a single power amplifier, although possibly 40 power amplifiers for various functions are available on the controller. In addition, only the proportion of dangerous failures is considered. It is usually not higher than 50%, i. d. R. but significantly lower, because the control is designed according to the principle Fail Safe and the probable direction of failure is the safe if possible. There is also a third direction of failure, namely, when the error does not necessarily have an immediately recognizable effect. Examples are the failure of filters or EMC capacitors.

Die Ausfallwahrscheinlichkeit in die gefährliche Richtung ist also i. d. R. viel kleiner als die Wahrscheinlichkeit, dass irgendeine Funktionsgruppe der Steuerung irgendwie erkennbar ausfällt. Wenn also die Ausfallwahrscheinlichkeit der Gesamtsteuerung in beliebiger aber erkennbarer Ausfallrichtung mitberechnet wird und zusätzlich eine Feldbeobachtung vorgenommen wird, kann viel schneller ermittelt werden, ob die Ausfallwahrscheinlichkeitsannahmen richtig waren und dann kann mit der Ausfallrate der Gesamtsteuerung die gefährliche Ausfallrate ”kalibriert” oder zumindest bestätigt, oder es können ggf. korrigierende Maßnahmen eingeleitet werden, wie z. B. Änderungsmaßnahmen in den Serviceintervallen.The probability of default in the dangerous direction is therefore i. d. R. is much smaller than the probability that any functional group of control will somehow fail. Thus, if the probability of failure of the overall control in any but recognizable failure direction is calculated and in addition a field observation is made, can be determined much faster if the default probability assumptions were correct and then with the failure rate of the overall control, the dangerous failure rate "calibrated" or at least confirmed, or if necessary, corrective measures can be initiated, such as: B. Change measures in the service intervals.

Beispielsweise kann die Wahrscheinlichkeit, dass eine Leistungsendstufe gefährlich ausfällt, so liegen, dass sie im statistischen Mittel mit 50% Wahrscheinlichkeit erst nach 250 Jahren ausfälllt. Die Wahrscheinlichkeit dass eine von 40 Endstufen irgendwie erkennbar ausfällt, liegt dagegen bei 2 Jahren. Wenn in einem Jahr 100 Steuerungen verbaut werden, aber in einem Jahr nur 2 ausfallen, nach den Statistikdaten oben aber schon 25 ausgefallen sein müssten, dann kann auch die Wahrscheinlichkeit eines gefährlichen Ausfalls grob über schlagen um Faktor 10 nach unten korrigiert werden. Das wäre nicht möglich, wenn nur die gefährlichen Ausfälle betrachtet werden, weil mit hoher Wahrscheinlichkeit nach 1 Jahr noch gar kein Ausfall passiert sein wird.For example, the likelihood that a power amp will be dangerous can be such that, statistically speaking, it will fail after 50 years with 50% probability. The probability that one of 40 power amplifiers Somehow recognizable fails, however, lies at 2 years. If 100 controllers are installed in one year but only 2 fail in one year, but according to the statistics above, 25 should have failed, then the probability of a dangerous failure can be roughly reduced by a factor of 10 downwards. That would not be possible if only the dangerous failures are considered, because with a high probability after 1 year still no failure will have happened.

Die Erfindung wird nun anhand der beigefügten Figuren näher erläutert.The invention will now be explained in more detail with reference to the accompanying figures.

1 zeigt schematisch ein Beispiel einer Klassierung einer physikalischen Größe für ein sicherheitsrelevantes Steuergerät; 1 schematically shows an example of a classification of a physical quantity for a safety-related control unit;

2 zeigt schematisch ein Beispiel der Berücksichtigung eines Temperaturgradienten zur Ermittelung von temperaturabhängigen Betriebsstunden. 2 shows schematically an example of the consideration of a temperature gradient for the determination of temperature-dependent operating hours.

1 zeigt schematisch ein Beispiel einer Klassierung einer physikalischen Größe für ein sicherheitsrelevantes Steuergerät. Am Beispiel des Temperaturverlaufs, der in einem sicherheitsrelevanten Ventilsteuergerät über 1000 Stunden ermittelt wurde, wobei aus dem derart gewonnenen IST-Temperaturprofil eine temperaturabhängige virtuelle Betriebszeit TDOH ermittelt wurde. Auf der Ordinate sind dazu die Betriebsstunden aufgetragen und auf der Abszisse die Temperatur in Klassierungsstufen 6 von < 40°C, < 60°C, < 70°C, < 80°C, < 85°C bis > 85°C. Dieses Temperaturprofil kann in den aufgetretenen Betriebstemperaturstufen 6 zusätzlich mit steigender Betriebstemperatur stärker gewichtet werden, nämlich die erste Temperaturstufe mit < 40°C wird mit dem Faktor 1, die zweite Temperaturstufe < 60°C mit dem Faktor 1,5, die dritte Temperaturstufe < 70°C wird mit dem Gewichtungsfaktor 2,5, die vierte Temperaturstufe < 80°C wird mit dem Faktor 4, die fünfte Temperaturstufe < 85°C wird mit dem Gewichtungsfaktor 6 und die höchste Temperaturstufe von > 85°C mit dem Faktor 10 multipliziert, so dass sich daraus ein TDOH(temperature dependent operating hours)-Wert von nahezu 1800 Stunden ergibt. 1 schematically shows an example of a classification of a physical quantity for a safety-related control unit. Using the example of the temperature profile, which was determined in a safety-related valve control unit over 1000 hours, from the thus obtained actual temperature profile, a temperature-dependent virtual operating time TDOH was determined. On the ordinate the operating hours are plotted and on the abscissa the temperature in classification stages 6 of <40 ° C, <60 ° C, <70 ° C, <80 ° C, <85 ° C to> 85 ° C. This temperature profile can in the occurred operating temperature levels 6 additionally weighted more strongly with increasing operating temperature, namely the first temperature stage with <40 ° C becomes with the factor 1, the second temperature level <60 ° C with the factor 1,5, the third temperature level <70 ° C with the weighting factor 2, 5, the fourth temperature stage <80 ° C is multiplied by a factor of 4, the fifth temperature stage <85 ° C with the weighting factor 6 and the highest temperature level of> 85 ° C by a factor of 10, resulting in a TDOH (temperature dependent operating hours) value of nearly 1800 hours.

Damit wird aus dem in 1 gezeigten IST-Temperaturprofil eine temperaturbelastungsabhängige virtuelle Betriebszeit (TDOH) ermittelt. Diese entwickelt sich aufgrund der Gewichtungsfaktoren bei tiefen Temperaturen analog zur zeitbasierten Betriebszeit und erhöht sich aber bei hohen Temperaturen über die Gewichtungsfaktoren schneller als die rein zeitbasierte Betriebszeit. Wenn die TDOH sich einem Grenzwert, wie beispielsweise der maximalen Betriebslebensdauer aus Standardisierten Erwartungsbelastungsfällen nähert bzw. ihn erreicht, ist die sicherheitsbezogene maximale Lebensdauer des Steuergerätes erreicht und der Fahrzeugbediener kann gewarnt werden.This will make the in 1 shown IST temperature profile determines a temperature load-dependent virtual operating time (TDOH). Due to the weighting factors at low temperatures, this develops analogously to the time-based operating time, but at high temperatures it increases faster over the weighting factors than the purely time-based operating time. As the TDOH approaches or reaches a threshold, such as the maximum operating life, from standardized expected load cases, the safety-related maximum life of the controller is reached and the vehicle operator can be warned.

Neben der Berücksichtigung des IST-Temperaturprofils kann auch noch der Temperaturgradient berücksichtigt werden. Dieses Prinzip wird in der nachfolgenden 2 dargestellt.In addition to the consideration of the actual temperature profile, the temperature gradient can also be taken into account. This principle is explained in the following 2 shown.

2 zeigt schematisch ein Beispiel der Berücksichtigung eines Temperaturgradienten zur Ermittlung von temperaturabhängigen Betriebsstunden. Dazu wird in dem Steuergerät 1 jeder Betriebstakt von einem Zähler 8 gezählt und mit einem Sensor 2 die Temperatur ermittelt und einer Betriebsbelastungseinheit 4 zugeführt. Zusätzlich wird nicht nur wie in 1 die Temperatur klassifiziert und über eine Gewichtung zusätzlich bewertet, sondern außerdem wird der zeitliche Temperaturgradient in der Betriebsbelastungseinheit 4 berechnet und ebenfalls bei dem jeweiligen Betriebstakt oder Betriebszyklus gewichtet, so dass über eine Integrationsstufe 5 in einer Auswerteeinheit 3 der TDOH-Wert ermittelt werden kann und Informationen zu Wartungs- und Austauschzeitpunkten sowie ein Überschreiten dieses Grenzwertes ein Warnsignal an den Maschinenbediener ausgeben kann. Gleichzeitig kann über eine Integration der Zeiten jedes Betriebstaktes mit Hilfe einer Integrationseinheit 7 in der Auswerteeinheit 3 die IST-Betriebszeit dem Anzeigegerät zugeführt werden. 2 shows schematically an example of the consideration of a temperature gradient for the determination of temperature-dependent operating hours. This is done in the control unit 1 every operating cycle of a counter 8th counted and with a sensor 2 the temperature is determined and an operating load unit 4 fed. In addition, not only as in 1 the temperature is classified and additionally weighted by a weighting, but also the temporal temperature gradient in the operating load unit becomes 4 and also weighted at the respective operating cycle or duty cycle, such that via an integration stage 5 in an evaluation unit 3 the TDOH value can be determined and information on maintenance and replacement times as well as exceeding this limit value can output a warning signal to the machine operator. At the same time, an integration of the times of each operating cycle with the help of an integration unit 7 in the evaluation unit 3 the actual operating time is supplied to the display device.

Somit kann für jede Maschine eine angemessene und optimale Betriebsdauer, in der beispielsweise die Umgebungsprofile besser angenommen werden als sie bei Einzelmaschinen sind, möglich werden, ohne die Annahmen der Sicherheitsbetrachtung zu verletzen oder das Steuergerät vorzeitig zu tauschen, obwohl das Steuergerät noch nicht eine Betriebsdauergrenze erreicht hat. Der Maschinenhersteller kann somit näher an die Grenzen der möglichen Einsatzdauer gehen. Er kann mit diesen Informationen auch Wartungs- und Austauschzeitpunkte dynamisch anpassen. Darüber hinaus wird die verbleibende virtuelle Betriebsdauergrenze elektronischer Komponenten dem Maschinenführer als abrufbarer Parameter angezeigt, so dass dieser mögliche Wartungen gezielt im Vorfeld planen und veranlassen kann.Thus, for each machine, an adequate and optimal operating time, in which, for example, the environmental profiles are better accepted than in single machines, may be possible without violating the assumptions of safety consideration or prematurely exchanging the controller, although the controller has not yet reached an operating time limit Has. The machine manufacturer can thus go closer to the limits of the possible duration of use. He can also use this information to dynamically adjust maintenance and replacement times. In addition, the remaining virtual operating time limit of electronic components is displayed to the operator as a retrievable parameter, so that this possible maintenance can plan and initiate targeted in advance.

BezugszeichenlisteLIST OF REFERENCE NUMBERS

11: Steuergerätcontrol unit
22: Sensorsensor
33: Auswerteeinheitevaluation
44: Betriebsbelastungoperating load
55: Integrationseinheitintegration unit
66: Klassierungsstufeclassification stage
77: Integrationseinheitintegration unit

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

DE 10310116 A1 [0002] DE 10310116 A1 [0002]
DE 8504729 U [0003] DE 8504729 U [0003]

Zitierte Nicht-PatentliteraturCited non-patent literature

EN ISO 13849-1:2008 [0005] EN ISO 13849-1: 2008 [0005]

Claims

Steuergerät mit belastungsabhängiger Betriebslebensdauer wobei das Steuergerät eine berechnete maximale Betriebslebensdauer für Erwartungsprofile von zu erwartenden Standard-Belastungen aufweist, dadurch gekennzeichnet, dass das Steuergerät (1) ein sicherheitsrelevantes Steuergerät (1) ist und Sensoren (2) zur Erfassung der Betriebsbelastungen aufweist, die mit einer Auswerteeinheit (3) verbunden sind, welche die maximale Betriebslebensdauer den erfassten Betriebsbelastungen (4) anpasst oder Annahmen einer Betriebslebensdauer überprüft und verifiziert.Control unit with load-dependent operating life, wherein the control unit has a calculated maximum service life for expected profiles of expected standard loads, characterized in that the control unit ( 1 ) a safety-related control device ( 1 ) and sensors ( 2 ) for detecting operating loads associated with an evaluation unit ( 3 ), which determine the maximum operating life of the recorded operating loads ( 4 ) or assumptions of an operating life are checked and verified.

Steuergerät nach Anspruch 1, dadurch gekennzeichnet, dass die Auswerteeinheit (3) eine Klassierungsstufe aufweist, in der erfasste Betriebsprofile oder Umgebungsprofile in Gruppen von Erwartungsprofilen klassifiziert sind.Control unit according to claim 1, characterized in that the evaluation unit ( 3 ) has a classification stage in which detected operational profiles or environment profiles are classified into groups of expectation profiles.

Steuergerät nach Anspruch 1 oder Anspruch 2, dadurch gekennzeichnet, dass das Steuergerät (1) mindestens eine mit elektronischen Bauelementen bestückte Platine mit einem Temperatursensor (2) aufweist.Control unit according to Claim 1 or Claim 2, characterized in that the control unit ( 1 ) at least one printed circuit board equipped with electronic components with a temperature sensor ( 2 ) having.

Steuergerät nach Anspruch 3, dadurch gekennzeichnet, dass der Temperatursensor (2) in einem temperaturkritischen Bereich der Platine angeordnet ist.Control device according to claim 3, characterized in that the temperature sensor ( 2 ) is arranged in a temperature-critical region of the board.

Steuergerät nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Auswerteeinheit Wartungsintervallzeiten anpasst.Control unit according to one of the preceding claims, characterized in that the evaluation unit adapts maintenance interval times.

Steuergerät nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Steuergerät (1) einen Vibrationssensor aufweist.Control device according to one of the preceding claims, characterized in that the control device ( 1 ) has a vibration sensor.

Steuergerät nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Steuergerät (1) einen Feuchtigkeitssensor aufweist.Control device according to one of the preceding claims, characterized in that the control device ( 1 ) has a humidity sensor.

Steuergerät nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Steuergerät (1) einen Umgebungstemperatur- und/oder einen Umgebungsdrucksensor aufweist.Control device according to one of the preceding claims, characterized in that the control device ( 1 ) has an ambient temperature and / or an ambient pressure sensor.

Verfahren zur Aktualisierung einer maximalen Betriebslebensdauer eines sicherheitsrelevanten Steuergeräts (1): – Berechnen einer maximalen Betriebslebensdauer aufgrund von standardisierten Erwartungs-Belastungsprofilen; – kontinuierliches Erfassen der aktuellen Belastungen mittels Sensoren (2); – Speichern Klassifizieren und Auswerten der erfassten Daten; – Aktualisieren der maximalen Betriebslebensdauer an Hand der erfassten Daten.Method for updating a maximum operating life of a safety-relevant control device ( 1 ): Calculating a maximum operating life based on standardized expectation stress profiles; - continuous recording of the current loads by means of sensors ( 2 ); - storing classifying and evaluating the acquired data; - Update the maximum operating life based on the collected data.

Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass ein akustisches oder optisches Warn- oder Alarmsignal ausgegeben wird, wenn die aktualisierte maximale Betriebslebensdauer oder geänderte Wartungsintervalle kürzer sind als die vorausberechnete maximale Betriebslebensdauer bzw. die Wartungsintervalle.A method according to claim 9, characterized in that an audible or visual warning or alarm signal is issued when the updated maximum service life or changed maintenance intervals are shorter than the predicted maximum service life or the maintenance intervals.

Verfahren nach Anspruch 9 oder Anspruch 10, dadurch gekennzeichnet, dass eine Klassierung (6) nach Temperaturstufen der Betriebstemperatur des Steuergerätes erfolgt.Method according to claim 9 or claim 10, characterized in that a classification ( 6 ) takes place according to temperature levels of the operating temperature of the control unit.

Verfahren nach einem der Ansprüche 9 bis 11, dadurch gekennzeichnet, dass eine Klassierung (6) nach Vibrationsbelastungsstufen erfolgt.Method according to one of claims 9 to 11, characterized in that a classification ( 6 ) takes place after vibration load levels.

Verfahren nach einem der Ansprüche 9 bis 12, dadurch gekennzeichnet, dass eine Klassierung (6) nach Luftfeuchtigkeitsstufen, Außendruckstufen oder Außentemperaturstufen erfolgt.Method according to one of claims 9 to 12, characterized in that a classification ( 6 ) according to humidity levels, external pressure levels or outside temperature levels.

Verfahren nach einem der Ansprüche 9 bis 13, dadurch gekennzeichnet, dass die erfassten Messdaten in der Auswerteeinheit (3) gewichtet werden.Method according to one of claims 9 to 13, characterized in that the acquired measurement data in the evaluation unit ( 3 ) are weighted.

Verfahren nach einem der Ansprüche 9 bis 14, dadurch gekennzeichnet, dass zeitliche Ableitungen der erfassten Messdaten in der Auswerteeinheit (3) gewichtet werden.Method according to one of claims 9 to 14, characterized in that temporal derivatives of the detected measurement data in the evaluation unit ( 3 ) are weighted.

Verfahren zur Kalibrierung von Gesamtausfallwahrscheinlichkeiten, das nachfolgende Schritte aufweist: – zusätzlich zur Berechnung von Ausfallwahrscheinlichkeiten von Sicherheitsfunktionen in eine gefährliche Richtung, – Ermitteln einer Gesamtausfallwahrscheinlichkeit der Steuerung auf gleicher Wahrscheinlichkeits-Datenbasis; – Durchführen einer Feldbeobachtung; und Kalibrieren und gegebenenfalls korrigieren der Ausfallwahrscheinlichkeitsdaten.A method of calibrating total failure probabilities, comprising the steps of: - in addition to calculating failure probabilities of safety functions in a dangerous direction, - Determining a total failure probability of the control on the same probability database; - performing a field observation; and Calibrate and, if necessary, correct the default probability data.

Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass Wahrscheinlichkeitsdaten-Annahmen unter Berücksichtigung der Feldbeobachtung zu korrekten Sicherheitswahrscheinlichkeiten führen.A method according to claim 16, characterized in that probability data assumptions lead to correct safety probabilities, taking into account the field observation.

Verfahren nach Anspruch 16 oder Anspruch 17 dadurch gekennzeichnet, dass vorbeugende Maßnahmen im Falle von sich erweisenden Fehlannahmen durchgeführt werden.A method according to claim 16 or claim 17, characterized in that preventive measures are carried out in the event of false assumptions.