DE102011011224A1 - Steuergeräteanordnung - Google Patents

Steuergeräteanordnung Download PDF

Info

Publication number
DE102011011224A1
DE102011011224A1 DE102011011224A DE102011011224A DE102011011224A1 DE 102011011224 A1 DE102011011224 A1 DE 102011011224A1 DE 102011011224 A DE102011011224 A DE 102011011224A DE 102011011224 A DE102011011224 A DE 102011011224A DE 102011011224 A1 DE102011011224 A1 DE 102011011224A1
Authority
DE
Germany
Prior art keywords
control device
level
subordinate
control unit
main processor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102011011224A
Other languages
English (en)
Inventor
Björn Stehle
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Schaeffler Technologies AG and Co KG
Original Assignee
Schaeffler Technologies AG and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Schaeffler Technologies AG and Co KG filed Critical Schaeffler Technologies AG and Co KG
Priority to DE102011011224A priority Critical patent/DE102011011224A1/de
Publication of DE102011011224A1 publication Critical patent/DE102011011224A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F16ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
    • F16HGEARING
    • F16H61/00Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing
    • F16H61/12Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F16ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
    • F16HGEARING
    • F16H61/00Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing
    • F16H61/12Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures
    • F16H2061/122Avoiding failures by using redundant parts
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F16ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
    • F16HGEARING
    • F16H61/00Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing
    • F16H61/12Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures
    • F16H2061/1256Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures characterised by the parts or units where malfunctioning was assumed or detected
    • F16H2061/126Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures characterised by the parts or units where malfunctioning was assumed or detected the failing part is the controller
    • F16H2061/1268Electric parts of the controller, e.g. a defect solenoid, wiring or microprocessor
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24008Safety integrity level, safety integrated systems SIL SIS
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/34Director, elements to supervisory
    • G05B2219/34482Redundancy, processors watch each other for correctness
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/34Director, elements to supervisory
    • G05B2219/34487Redundant diagnostic controllers watch redundant process controllers

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • General Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Die Erfindung betrifft eine Steuergeräteanordnung mit einem bezüglich einer Bearbeitungshierarchie übergeordneten und zumindest einem diesem untergeordneten Steuergerät mit jeweils einem Hauptprozessor und einem über drei Ebenen wirksamen Sicherheitskonzept, wobei eine übergeordnete, dritte Ebene als Prozess-Ablauf-Kontrolle vorgesehen ist, die eine zweite Ebene mit vorgegebenen Sicherheitsanforderungen auf Einhaltung dieser überwacht, und die zweite Ebene eine erste Ebene ohne vorgegebene Sicherheitsanforderungen auf Funktion überwacht. Zur Kostensenkung der Steuergeräteanordnung wird auf einen separaten Überwachungsrechner in dem zumindest einen untergeordneten Steuergerät verzichtet und die Prozess-Ablauf-Kontrolle des zumindest einen untergeordneten Steuergeräts im übergeordneten Steuergerät angeordnet.

Description

  • Die Erfindung betrifft eine Steuergeräteanordnung mit einem bezüglich einer Bearbeitungshierarchie übergeordneten und zumindest einem diesem untergeordneten Steuergerät mit jeweils einem Hauptprozessor und einem über drei Ebenen wirksamen Sicherheitskonzept, wobei eine übergeordnete, dritte Ebene als Prozess-Ablauf-Kontrolle vorgesehen ist, die eine zweite Ebene mit vorgegebenen Sicherheitsanforderungen auf Einhaltung dieser überwacht, und die zweite Ebene eine erste Ebene ohne vorgegebene Sicherheitsanforderungen auf Funktion überwacht.
  • Steuervorgänge insbesondere zur Steuerung von Kraftfahrzeugen sind sicherheitsrelevant und unterliegen strengen Sicherheitsanforderungen, die in der Regel nicht von einer einzigen Datenverarbeitungseinheit, beispielsweise von einem einzigen Mikroprozessor, erfüllt werden können. Es werden daher Anordnungen von Steuergeräten mit mehreren Mikroprozessoren vorgeschlagen, die sich gegenseitig überwachen. Derartige Steuergeräteanordnungen und die mit diesen durchgeführten Steuerverfahren können insbesondere für Steuerungsaufgaben in Kraftfahrzeugen verwendet werden, bei denen eine allgemeine Aufgabenstellung in dem übergeordneten Steuergerät und spezielle Aufgabenstellungen in zumindest einem, vorteilhafterweise in mehreren ähnlichen Steuergeräten, die beispielsweise direkt zugeordnete Aktoren oder Aktormodule steuern, abgearbeitet werden. Beispielsweise kann ein zentrales Getriebe- oder Kupplungssteuergerät vorgesehen sein, das einzelne Aktormodule mit untergeordneten Steuergeräten steuert und die jeweils einzelne Funktionen steuern, beispielsweise die Betätigung einer Reibungskupplung einer Doppelkupplung für ein Doppelkupplungsgetriebe, eine Gangbetätigung eines Teilantriebsstrangs eines Doppelkupplungsgetriebes, eine Teilfunktion, beispielsweise Schalten oder Wählen eines Getriebes wie Doppelkupplungsgetriebe und dergleichen. Weiterhin können Funktionen wie eine von einem elektronischen Fahrpedal gesteuerte Brennkraftmaschine, Bremsvorrichtungen und dergleichen von derartigen Steuergeräteanordnungen gesteuert werden.
  • Zur Erfüllung der beispielsweise aus den in den Sicherheitsnormen IEC 61508 und ISO 26262 geregelten Anforderungen hat sich ein Sicherheitskonzept als vorteilhaft erwiesen, bei dem drei Ebenen vorgesehen sind, auf denen jeweils Routinen zur Überwachung der einwandfreien Funktion eines Steuergeräts ablaufen. Hierzu besitzt ein eigensicher ausgelegtes Steuergerät jeweils einen ersten Mikroprozessor wie Hauptprozessor und einen zweiten Mikroprozessor in Form eines Überwachungsrechners. Die Durchführung der für die Steuerung eines Aktors mit entsprechender Betätigungsmechanik zur Ausübung der Betätigungsfunktion notwendigen Steuerungsroutinen wird dabei in eine erste Ebene mit nicht sicherheitsrelevanten Routinen und eine zweite Ebene mit sicherheitsrelevanten Routinen aufgeteilt, wobei die Prüfung der ersten Ebene durch den Hauptprozessor und die Prüfung der zweiten Ebene durch den Überwachungsrechner erfolgt. Tritt ein Fehler in diesen beiden Ebenen auf, werden das Steuergerät und damit der von diesem gesteuerte Aktor in einen definierten Sicherungszustand überführt. In der dritten Ebene überwacht der Überwachungsrechner in einer Prozess-Ablauf-Kontrolle die Funktion des Hauptprozessors durch Vergleich eines von diesem ausgegebenen Überwachungsbefehlssatzes mit einem von dem Hauptprozessor ausgegebenen Signalantwortsatz auf fehlerfreie Funktion. Tritt in der Ebene drei ein Fehler auf, wird das Steuergerät mit angeschlossenem Aktor in einen definierten Sicherzustand überführt.
  • In gleicher Weise wird das übergeordnete Steuergerät mit einem Hauptprozessor und einem Überwachungsrechner versehen und nach dem Sicherheitskonzept der drei Ebenen auf einwandfreie Funktion überwacht. In einer derartigen Steuergeräteanordnung sind für jedes Steuergerät zumindest zwei Mikroprozessoren in Form eines Hauptprozessors und eines Überwachungsrechners nötig. Dies führt zu hohen Kosten.
  • Aufgabe der Erfindung ist daher, eine Steuergeräteanordnung mit geringeren Herstellungskosten bei gleichwertiger Funktion vorzuschlagen.
  • Die Aufgabe wird durch eine Steuergeräteanordnung mit einem bezüglich einer Bearbeitungshierarchie übergeordneten und zumindest einem diesem untergeordneten Steuergerät mit jeweils einem Hauptprozessor und einem über drei Ebenen wirksamen Sicherheitskonzept gelöst, wobei eine übergeordnete, dritte Ebene als Prozess-Ablauf-Kontrolle vorgesehen ist, die eine zweite Ebene mit vorgegebenen Sicherheitsanforderungen auf Einhaltung dieser überwacht, die zweite Ebene eine erste Ebene ohne vorgegebene Sicherheitsanforderungen auf Funktion überwacht und die Prozess-Ablauf-Kontrolle des zumindest einen untergeordneten Steuergeräts im übergeordneten Steuergerät angeordnet ist. Durch die Auslagerung der Überwachungsfunktion des Hauptprozessors aus einem Steuergerät, vorzugsweise aus einem untergeordneten in das übergeordnete Steuergerät, beispielsweise in einen dort vorhandenen Mikroprozessor, kann auf die Überwachungsrechner in den übrigen Steuergeräten verzichtet werden. Insbesondere bei mehreren untergeordneten Steuergeräten kann dabei ein großes Kostenpotential und gegebenenfalls Bauraum durch verkleinerte Schaltungshardware gespart werden. Es versteht sich, dass ein für die Überwachungsroutine der dritten Ebene vorgesehener Mikroprozessor für die Steuergeräte auch in einem untergeordneten Steuergerät angeordnet sein kann, wenn auch eine Unterbringung dieses Mikroprozessors im übergeordneten Steuergerät insbesondere wegen der dann gleichen Ausbildung der untergeordneten Steuergeräte bevorzugt vorgesehen ist.
  • In der Regel können in den Steuergeräten zwei Arten von Betriebssystemen verwendet werden. Die dritte Ebene und die Erstellung der Überwachungsbefehlssätze samt der Schnittstellen zu den Ebenen zwei und eins können von einem allgemeinen Betriebssystem bereit gestellt werden, während die Berechnungsvorgänge zur Steuerung des Aktors eines untergeordneten Steuergeräts in einem anwendungsspezifischen und von dem allgemeinen Betriebssystem unabhängigen Betriebssystem implementiert sein können. Auf diese Weise kann ein übergeordnetes Steuergerät mit untergeordneten Steuergeräten betrieben werden, die jeweils eigene Betriebssysteme aufweisen und von verschiedenen Herstellern stammen können.
  • Nach dem erfinderischen Gedanken kann die Prozess-Ablauf-Kontrolle der dritten Ebene des zumindest einen untergeordneten Steuergeräts in dem Hauptprozessor des übergeordneten Steuergeräts untergebracht sein. Dabei wird die dritte Ebene des übergeordneten Steuergeräts in dem Überwachungsrechner und die dritte Ebene des zumindest einen untergeordneten Steuergeräts in dem Hauptprozessor des übergeordneten Steuergeräts abgearbeitet. Die dritte Ebene einschließlich der Erstellung des Überwachungsbefehlssatzes erfolgt beispielsweise in der zweiten Ebene des Sicherheitskonzepts des übergeordneten Steuergeräts. Die Sicherheitskriterien der Ebene drei des untergeordneten Steuergeräts können dabei als Anwendersoftware in dem Hauptprozessor hinterlegt werden und werden ihrerseits durch die dritte Ebene des Überwachungsrechners für die zweite Ebene im Hauptprozessor abgesichert. Hierdurch kann eine hierarchische Überwachungsstruktur vorgesehen werden. Hierdurch kann für die Ebene drei des Überwachungsrechners Standardsoftware verwendet werden. Spezifische Erweiterungen des Betriebssystems und des Überwachungssystems des Überwachungsrechners können entfallen, da die Überwachung der dritten Ebene der untergeordneten Steuergeräte nicht in den Überwachungsrechner des übergeordneten Steuergeräts eingreift.
  • Alternativ kann die Prozess-Ablauf-Kontrolle in Form der dritten Ebene des zumindest einen untergeordneten Steuergeräts in dem Überwachungsrechner untergebracht sein. Hierbei wird das Betriebssystem des Überwachungsrechners an das Betriebssystem der untergeordneten Steuergeräte angepasst, so dass sämtliche Überwachungsfunktionen der Hauptprozessoren aller Steuergeräte in dem zentralen Überwachungsrechner ablaufen. Hierzu werden zwischen dem Überwachungsrechner und den Hauptprozessoren bevorzugt einheitliche Software-Schnittstellen und zu den untergeordneten Steuergeräten mit ihren Hauptprozessoren bevorzugt auch einheitliche Hardware-Schnittstellen geschaffen.
  • Die Überprüfung der Hauptprozessoren in der dritten Ebene erfolgt vorteilhafterweise durch eine zweigeteilte Unterebene, in der im Rechenbereich der dritten Ebene für jedes Steuergerät ein Überprüfungsbefehlssatz generiert wird, der beispielsweise statische Befehle enthalten kann und auf Basis einer richtigen Reihenfolge und im richtigen Zeitraster dieser die Prozess-Ablauf-Kontrolle einleitet. Der Überprüfungsbefehlssatz wird auf den zweiten Teil der Unterebene übertragen, der die Ausführung des Überprüfungsbefehlssatzes einleitet und einen Befehlsantwortsatz aus der zweiten Ebene im Rechenbereich des Hauptprozessors erfasst und als Signalantwort des Überprüfungssatzes auf die dritte Ebene überträgt, wo diese ausgewertet wird, wodurch die Prozess-Ablauf-Kontrolle beendet wird und gegebenenfalls ein Funktionsfehler ausgegeben wird.
  • Die Übertragung der Überwachungssignale zwischen dem übergeordneten Steuergerät und dem zumindest einen untergeordneten Steuergerät erfolgt durch eine erste Signalleitung, vorzugsweise eine standardisierte Schnittstelle, beispielsweise CAN-Bus, Flexray oder dergleichen, die unter anderem zur Kommunikation zwischen der zweiten und dritten Ebene des Sicherheitskonzepts vorgesehen ist. Um bei einem erkannten Fehler auf den Aktor einwirken zu können und beispielsweise den Aktor in einen gesicherten Zustand überführen zu können, ist zwischen dem übergeordneten Steuergerät und dem zumindest einen untergeordneten Steuergerät zumindest eine redundante Signalleitung zur Überführung des untergeordneten Steuergeräts in einen sicheren Zustand in einem Fehlerfall vorgesehen.
  • In gleicher Weise kann bei einer Verletzung des Sicherheitskonzepts durch das übergeordnete Steuergerät das zumindest eine untergeordnete Steuergerät in einen sicheren Zustand überführt werden.
  • Gemäß einem vorteilhaften Ausführungsbeispiel kann die beschriebene Steuergeräteanwendung in besonders vorteilhafter Weise mit einem als Getriebesteuergerät und/oder Kupplungssteuergerät ausgebildeten übergeordneten Steuergerät und zumindest zwei mit jeweils einem untergeordneten Steuergerät versehenen Aktormodulen vorgesehen sein. Die Aktormodule können ein oder zwei Kupplungsaktoren für eine oder zwei Reibungskupplungen wie Doppelkupplung und/oder ein oder mehrere Getriebeaktormodule zur Betätigung eines Getriebes, beispielsweise eines Doppelkupplungsgetriebes sein.
  • Die Erfindung wird anhand der in den 1 bis 3 dargestellten Ausführungsbeispiele näher erläutert. Dabei zeigen:
  • 1 ein Flussdiagramm eines Sicherheitskonzepts einer Steuergeräteanordnung,
  • 2 eine systematisch dargestellte Steuergeräteanordnung mit einem Sicherheitskonzept, bei dem eine dritte Ebene des Sicherheitskonzepts eines untergeordneten Steuergeräts in dem Hauptprozessor eines übergeordneten Steuergeräts durchgeführt wird
    und
  • 3 eine systematisch dargestellte Steuergeräteanordnung mit einem Sicherheitskonzept, bei dem eine dritte Ebene des Sicherheitskonzepts eines untergeordneten Steuergeräts in dem Überwachungsrechner zur Überwachung des Hauptprozessors eines übergeordneten Steuergeräts durchgeführt wird.
  • 1 zeigt das Flussdiagramm 1 zur Durchführung eines Sicherheitskonzepts für eine aus einem übergeordneten und zumindest einem untergeordneten Steuergerät in einem übergeordneten Steuergerät, in dem eine dritte Ebene eines Überwachungskonzepts zur Überwachung der Hauptprozessoren der übergeordneten und untergeordneter Steuergeräte in einem Überwachungsrechner implementiert ist. Das Flussdiagramm 1 zeigt eine in dem Überwachungsrechner implementierte Routine.
  • Nach dem Start der Routine wird in der Verzweigung 2 geprüft, ob ein Fehler in dem Hauptprozessor des übergeordneten Steuergeräts vorliegt. Ist dies der Fall, werden in Block 3 alle untergeordneten Steuergeräte beziehungsweise die von diesen gesteuerten Aktoren in einen gesicherten Zustand gebracht. Beispielsweise werden Kupplungsaktoren so gesteuert, dass von Ihnen gesteuerte Reibungskupplungen geöffnet werden beziehungsweise Getriebeaktoren einen neutralen Gang einlegen.
  • Liegt kein Fehler im Hauptprozessor des übergeordneten Steuergeräts vor, wird in Feld 4 der Start der Unterroutine eingeleitet, die nacheinander oder parallel in der Verzweigung 5 die untergeordneten Steuergeräte auf Fehler in deren Hauptprozessor prüft. Wird in einem der untergeordneten Steuergeräte ein Fehler im Hauptprozessor festgestellt, wird dieses in den gesicherten Zustand gebracht beziehungsweise der Aktor zur Erzielung eines gesicherten Zustands des von diesem betätigten Funktionsbauteils wie Reibungskupplung, Getriebe und dergleichen entsprechend gesteuert. Zusätzlich können weitere zusammenwirkende Steuergeräte entsprechend behandelt werden. Beispielsweise kann bei einem defekten Steuergerät für eine Betätigung einer Teilfunktion eines Getriebes auch ein zweites Steuergerät zur Betätigung einer weiteren Teilfunktion in einem gesicherten Zustand betrieben werden. Nach Abarbeitung der Überprüfung aller untergeordneter Steuergeräte wird die Unterroutine in Feld 7 und die gesamte Routine zur Überwachung der Steuergeräteanordnung beendet und gegebenenfalls neu gestartet, um eine kontinuierliche Überwachung zu gewährleisten.
  • 2 zeigt in schematischer Darstellung die Steuergeräteanordnung 8 mit dem übergeordneten Steuergerät 9 und dem untergeordneten Steuergerät 10. Das übergeordnete Steuergerät 9 übernimmt die übergeordneten Funktionen, die beispielsweise mehreren untergeordneten Steuergeräten 10 gemeinsam sind, beispielsweise die Kommunikation mit anderen Funktionsträgern eines Kraftfahrzeugs, die Erfassung von Sensorsignalen, Parametrierungen und dergleichen. Die untergeordnete Steuereinheit 10 steuert beziehungsweise regelt den beispielsweise in demselben Gehäuse angeordneten Aktor, beispielsweise einen Elektromotor zur Betätigung eines Funktionsbauteils des Kraftfahrzeugs, beispielsweise eine Reibungskupplung, ein Getriebe und dergleichen. Hierzu weist jedes Steuergerät 9, 10 einen Hauptprozessor 11, 12 auf.
  • In der Steuergeräteanordnung 8 ist das Sicherheitskonzept 13 aktiv, das das übergeordnete Steuergerät 9 und das untergeordnete Steuergerät 10 drei Ebenen mit Überwachungsroutinen unterwirft. Die drei Ebenen des übergeordneten Steuergeräts 9 sind die erste Ebene 14, die zweite Ebene 15 und die dritte Ebene 16. Die erste Ebene 14 umfasst die Überwachung von in dem Hauptprozessor 11 ablaufenden, nicht sicherheitsrelevanten Softwareroutinen, die beispielsweise durch weitere Softwareroutinen des Hauptprozessors 11 auf Plausibilität beispielsweise in der zweiten Ebene 15 überprüft werden. In der zweiten Ebene 15 werden sicherheitsrelevante Softwareroutinen des Hauptprozessors 11 überprüft. Wird beispielsweise eine Kupplungskennlinie falsch berechnet, kann mittels eines Überwachungsmodells in der zweiten Ebene 15 der Fehler erfasst werden, in der Maßnahmen zum gesicherten Betrieb des untergeordneten Steuergeräts 10 bei einem Fehler in der zweiten Ebene 15 des Sicherheitskonzepts 13 im übergeordneten Steuergerät 9, nämlich im Hauptprozessor 11, eingeleitet werden.
  • Die dritte Ebene 16 zur Überwachung der einwandfreien Funktion des Hauptprozessors 11 ist in dem Überwachungsrechner 17 angeordnet, der zudem den Hauptprozessor mittels des Überwachungsbefehlssatzes 18 beispielsweise mittels statischer Befehle auf Einhaltung der Bearbeitungsreihenfolge und des einzuhaltenden Zeitrasters prüft. Hierzu wird der Überprüfungsbefehlssatz 18 in dem Hauptprozessor 11 ausgeführt und ein korrespondierender Befehlsantwortsatz 19 an die dritte Ebene 16 im Überwachungsrechner ausgegeben.
  • Zur Vermeidung eines weiteren Überwachungsrechners im untergeordneten Steuergerät 10 erfolgt die Aufteilung der ersten Ebene 20, der zweiten Ebene 21 und der dritten Ebene 22 des Sicherheitskonzepts 23 für das untergeordnete Steuergerät 10 beziehungsweise den Hauptprozessor 12 zwischen dem Hauptprozessor 11 des übergeordneten Steuergeräts 9 und dem Hauptprozessor 12 des untergeordneten Steuergeräts 10, wobei der Hauptprozessor 11 als Überwachungsrechner für den Hauptprozessor 12 eingesetzt wird. In dieser Funktion übernimmt er die Überwachungsfunktionen der dritten Ebene 22 des untergeordneten Steuergeräts 10 in dessen zweiter Ebene 15. Eine Fehlfunktion des Hauptprozessors 12 wird daher in einer Überwachung der zweiten Ebene 15 erkannt. Die Kommunikation der beiden Hauptprozessoren 11, 12 untereinander zum Austausch der Daten der Überwachung erfolgt mittels der Signalleitungen 24, 25, die redundant ausgelegt sind, so dass bei einer Fehlfunktion des Hauptprozessors 12 oder einer Unterbrechung einer Signalleitung, beispielsweise durch Kabelbruch, eine Steuerung des untergeordneten Steuergeräts 10 ausführbar bleibt.
  • Die Überwachungen des Hauptprozessors 12 bezüglich der zweiten Ebene 21 und der ersten Ebene 20 entsprechen weitgehend den Überwachungsfunktionen der ersten Ebene 14 und zweiten Ebene 15.
  • Im Unterschied zu der Steuergeräteanordnung 8 der 2 erfolgt in der Steuergeräteanordnung 8a der 3 die Überwachung der Hauptprozessoren 11a, 12a des übergeordneten Steuergeräts 9a und des untergeordneten Steuergeräts 10a im Überwachungsrechner 17a in einer einzigen dritten Ebene 16a. Dementsprechend sind die Signalleitungen 24a, 25a zwischen dem Hauptprozessor 12a und dem Überwachungsrechner 17a ausgebildet. Die beiden übrigen Ebenen 14a, 15a, 20a, 21a werden jeweils entsprechend 2 in den Hauptprozessoren 11a, 12a ausgeführt.
  • Bezugszeichenliste
    • 1
    Flussdiagramm
    2
    Verzweigung
    3
    Block
    4
    Feld
    5
    Verzweigung
    6
    Block
    7
    Feld
    8
    Steuergeräteanordnung
    8a
    Steuergeräteanordnung
    9
    übergeordnetes Steuergerät
    9a
    übergeordnetes Steuergerät
    10
    untergeordnetes Steuergerät
    10a
    untergeordnetes Steuergerät
    11
    Hauptprozessor
    11a
    Hauptprozessor
    12
    Hauptprozessor
    12a
    Hauptprozessor
    13
    Sicherheitskonzept
    14
    erste Ebene
    14a
    erste Ebene
    15
    zweite Ebene
    15a
    zweite Ebene
    16
    dritte Ebene
    16a
    dritte Ebene
    17
    Überwachungsrechner
    17a
    Überwachungsrechner
    18
    Überprüfungsbefehlssatz
    19
    Befehlsantwortsatz
    20
    erste Ebene
    20a
    erste Ebene
    21
    zweite Ebene
    21a
    zweite Ebene
    22
    dritte Ebene
    23
    Sicherheitskonzept
    24
    Signalleitung
    24a
    Signalleitung
    25
    Signalleitung
    25a
    Signalleitung
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • IEC 61508 [0003]
    • ISO 26262 [0003]

Claims (10)

  1. Steuergeräteanordnung (8, 8a) mit einem bezüglich einer Bearbeitungshierarchie übergeordneten Steuergerät (9, 9a) und zumindest einem diesem untergeordneten Steuergerät (10, 10a) mit jeweils einem Hauptprozessor (11, 11a, 12, 12a) und einem über drei Ebenen (14, 14a, 15, 15a, 16, 16a, 20, 20a, 21, 21a, 22) wirksamen Sicherheitskonzept (13, 23), wobei eine übergeordnete, dritte Ebene (16, 16a, 22) als Prozess-Ablauf-Kontrolle vorgesehen ist, die eine zweite Ebene (15, 15a, 21, 21a) mit vorgegebenen Sicherheitsanforderungen auf Einhaltung dieser überwacht, und die zweite Ebene (15, 15a, 21, 21a) eine erste Ebene (14, 14a, 20, 20a) ohne vorgegebene Sicherheitsanforderungen auf Funktion überwacht, dadurch gekennzeichnet, dass die Prozess-Ablauf-Kontrolle des zumindest einen untergeordneten Steuergeräts (10, 10a) im übergeordneten Steuergerät (9, 9a) angeordnet ist.
  2. Steuergeräteanordnung (8) nach Anspruch 1, dadurch gekennzeichnet, dass die Prozess-Ablauf-Kontrolle des zumindest einen untergeordneten Steuergeräts (10) in dem Hauptprozessor (11) des übergeordneten Steuergeräts (9) untergebracht ist.
  3. Steuergeräteanordnung (8, 8a) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das übergeordnete Steuergerät (9, 9a) einen den Hauptprozessor (11, 11a) überwachenden Überwachungsrechner (17, 17a) aufweist.
  4. Steuergeräteanordnung (8a) nach Anspruch 3, dadurch gekennzeichnet, dass die Prozess-Ablauf-Kontrolle des zumindest einen untergeordneten Steuergeräts (10a) in dem Überwachungsrechner (17a) untergebracht ist.
  5. Steuergeräteanordnung (8, 8a) nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass für jedes Steuergerät ein Überprüfungsbefehlssatz (18), mit dem die zweite Ebene (15, 15a, 21, 21a) überprüft wird, und ein Befehlsantwortsatz (19), der als Signalantwort des Überprüfungsbefehlssatzes (18) von der dritten Ebene (16, 16a, 22) ausgewertet wird, vorgesehen ist.
  6. Steuergeräteanordnung (8, 8a) nach Anspruch 5, dadurch gekennzeichnet, dass der Überprüfungsbefehlssatz (18) für die zweite Ebene (15, 15a, 21, 21a) des zumindest einen untergeordneten Steuergeräts (10, 10a) in dem Überwachungsrechner (17a) oder im Hauptprozessor (11) des übergeordneten Steuergeräts (9, 9a) untergebracht ist.
  7. Steuergeräteanordnung (8, 8a) nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass zwischen dem übergeordneten Steuergerät (9, 9a) und dem zumindest einen untergeordneten Steuergerät (10, 10a) eine erste Signalleitung (24, 24a, 25, 25a), vorzugsweise standardisierte Schnittstelle zur Kommunikation zwischen der zweiten und dritten Ebene (16a, 21, 21a, 22) des Sicherheitskonzepts (23) vorgesehen ist.
  8. Steuergeräteanordnung (8, 8a) nach Anspruch 7, dadurch gekennzeichnet, dass zwischen dem übergeordneten Steuergerät (9, 9a) und dem zumindest einen untergeordneten Steuergerät (10, 10a) zumindest eine redundante Signalleitung (24, 24a, 25, 25a) zur Überführung des untergeordneten Steuergeräts (10, 10a) in einen sicheren Zustand in einem Fehlerfall vorgesehen ist.
  9. Steuergeräteanordnung (8, 8a) nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass bei einer Verletzung des Sicherheitskonzepts (13) des übergeordneten Steuergeräts (9, 9a) das zumindest eine untergeordnete Steuergerät (10, 10a) in einen sicheren Zustand überführt wird.
  10. Steuergeräteanordnung (8, 8a) nach einem der Ansprüche 1 bis 9 mit einem als Getriebe- und/oder Kupplungssteuergerät ausgebildeten übergeordneten Steuergerät (9, 9a) und zumindest zwei mit jeweils einem untergeordneten Steuergerät (10, 10a) versehenen Aktormodulen.
DE102011011224A 2010-03-15 2011-02-15 Steuergeräteanordnung Withdrawn DE102011011224A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102011011224A DE102011011224A1 (de) 2010-03-15 2011-02-15 Steuergeräteanordnung

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102010011452.9 2010-03-15
DE102010011452 2010-03-15
DE102011011224A DE102011011224A1 (de) 2010-03-15 2011-02-15 Steuergeräteanordnung

Publications (1)

Publication Number Publication Date
DE102011011224A1 true DE102011011224A1 (de) 2011-09-15

Family

ID=44168258

Family Applications (2)

Application Number Title Priority Date Filing Date
DE112011100917T Withdrawn DE112011100917A5 (de) 2010-03-15 2011-02-15 Steuergeräteanordnung
DE102011011224A Withdrawn DE102011011224A1 (de) 2010-03-15 2011-02-15 Steuergeräteanordnung

Family Applications Before (1)

Application Number Title Priority Date Filing Date
DE112011100917T Withdrawn DE112011100917A5 (de) 2010-03-15 2011-02-15 Steuergeräteanordnung

Country Status (2)

Country Link
DE (2) DE112011100917A5 (de)
WO (1) WO2011113405A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2739883B1 (de) 2012-02-15 2015-09-02 GETRAG Getriebe- und Zahnradfabrik Hermann Hagenmeyer GmbH & Cie KG Verfahren und steuergerät für eine antriebsstrang-komponente
DE102016222060A1 (de) 2016-11-10 2018-05-17 Schaeffler Technologies AG & Co. KG Steuergerät für ein Aktorsystem zur Umrüstung zwischen einer niedrigen und einer höheren Funktionssicherheitsstufe sowie ein Steuergerätesystem zur Steuerung eines Aktorsystems

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005003916B4 (de) * 2005-01-27 2012-06-06 Continental Automotive Gmbh Überwachen der Funktionssicherheit einer Brennkraftmaschine
DE102007045509B4 (de) * 2007-09-24 2011-06-22 Continental Automotive GmbH, 30165 Fahrzeug-Steuereinheit mit einem Versorgungspannungsüberwachten Mikrocontroller sowie zugehöriges Verfahren

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
IEC 61508
ISO 26262

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2739883B1 (de) 2012-02-15 2015-09-02 GETRAG Getriebe- und Zahnradfabrik Hermann Hagenmeyer GmbH & Cie KG Verfahren und steuergerät für eine antriebsstrang-komponente
US9449436B2 (en) 2012-02-15 2016-09-20 Getrag Getriebe-Und Zahnradfabrik Hermann Hagenmeyer Gmbh & Cie Kg Method and control device for a drive train component
DE102016222060A1 (de) 2016-11-10 2018-05-17 Schaeffler Technologies AG & Co. KG Steuergerät für ein Aktorsystem zur Umrüstung zwischen einer niedrigen und einer höheren Funktionssicherheitsstufe sowie ein Steuergerätesystem zur Steuerung eines Aktorsystems

Also Published As

Publication number Publication date
DE112011100917A5 (de) 2013-01-17
WO2011113405A1 (de) 2011-09-22

Similar Documents

Publication Publication Date Title
DE19933086B4 (de) Verfahren und Vorrichtung zur gegenseitigen Überwachung von Steuereinheiten
EP2676200B1 (de) Halbleiterschaltkreis und verfahren in einem sicherheitskonzept zum einsatz in einem kraftfahrzeug
EP3661819B1 (de) Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium
EP1092177B1 (de) Regler bzw. triebwerksregler, triebwerk und verfahren zum regeln eines stell- oder antriebssystems bzw. eines triebwerks
DE19509150C2 (de) Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage
EP1989470B1 (de) Sicherheitskonzept für eine getriebestellvorrichtung
WO2008040641A2 (de) Verfahren und vorrichtung zur fehlerverwaltung
DE10331873A1 (de) Verfahren zur Überwachung verteilter Software
DE102008009652A1 (de) Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor
DE102005023296B4 (de) Zugbeeinflussungssystem
DE102005061393A1 (de) Verfahren zur Verteilung von Softwaremodulen
DE102014100970A1 (de) Verfahren und Vorrichtung zum sicheren Abschalten einer elektrischen Last
DE102011011224A1 (de) Steuergeräteanordnung
EP2237118B1 (de) Sicherheitssystem zur Sicherung einer fehlersicheren Steuerung elektrischer Anlagen und Sicherheitssteuerung damit
DE102012221277A1 (de) Fahrzeugsteuervorrichtung
DE10328059A1 (de) Verfahren und Vorrichtung zur Überwachung eines verteilten Systems
DE102019208729A1 (de) Verfahren zum Sicherstellen und Aufrechterhalten der Funktion eines sicherheitskritischen Gesamtsystems
EP2612059B1 (de) Vorrichtung und verfahren zur regelung eines doppelkupplungsgetriebes
DE102005007477B4 (de) Programmierbare Steuerung zur Maschinen-und/oder Anlagenautomatisierung mit Standard-Steuerungs- und Sicherheitsfunktionen und Kommunikation mit einer Sicherheits-EA sowie Verfahren zum Betrieb der programmierbaren Steuerung
EP2279480B1 (de) Verfahren und system zum überwachen eines sicherheitsbezogenen systems
DE102017123911A1 (de) Verfahren und Vorrichtung zum Überwachen der Reaktionszeit einer durch ein Sicherheitssystem bereitgestellten Sicherheitsfunktion
DE102017123910A1 (de) Verfahren und Vorrichtung zum Überwachen der Sicherheitsintegrität einer durch ein Sicherheitssystem bereitgestellten Sicherheitsfunktion
EP2013731B1 (de) Schaltungsanordnung und verfahren zum betrieb einer schaltungsanordnung
DE102019132428A1 (de) Funktionsorientierte Elektronik-Architektur
DE102011105617A1 (de) Kraftfahrzeug mit einer Vielzahl von Betriebskomponenten

Legal Events

Date Code Title Description
R081 Change of applicant/patentee

Owner name: SCHAEFFLER TECHNOLOGIES AG & CO. KG, DE

Free format text: FORMER OWNER: SCHAEFFLER TECHNOLOGIES GMBH & CO. KG, 91074 HERZOGENAURACH, DE

Effective date: 20120827

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20130903