DE102011011224A1 - Control unit system - Google Patents

Control unit system Download PDF

Info

Publication number
DE102011011224A1
DE102011011224A1 DE102011011224A DE102011011224A DE102011011224A1 DE 102011011224 A1 DE102011011224 A1 DE 102011011224A1 DE 102011011224 A DE102011011224 A DE 102011011224A DE 102011011224 A DE102011011224 A DE 102011011224A DE 102011011224 A1 DE102011011224 A1 DE 102011011224A1
Authority
DE
Germany
Prior art keywords
control device
level
subordinate
control unit
main processor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102011011224A
Other languages
German (de)
Inventor
Björn Stehle
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Schaeffler Technologies AG and Co KG
Original Assignee
Schaeffler Technologies AG and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Schaeffler Technologies AG and Co KG filed Critical Schaeffler Technologies AG and Co KG
Priority to DE102011011224A priority Critical patent/DE102011011224A1/en
Publication of DE102011011224A1 publication Critical patent/DE102011011224A1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F16ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
    • F16HGEARING
    • F16H61/00Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing
    • F16H61/12Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F16ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
    • F16HGEARING
    • F16H61/00Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing
    • F16H61/12Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures
    • F16H2061/122Avoiding failures by using redundant parts
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F16ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
    • F16HGEARING
    • F16H61/00Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing
    • F16H61/12Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures
    • F16H2061/1256Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures characterised by the parts or units where malfunctioning was assumed or detected
    • F16H2061/126Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures characterised by the parts or units where malfunctioning was assumed or detected the failing part is the controller
    • F16H2061/1268Electric parts of the controller, e.g. a defect solenoid, wiring or microprocessor
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24008Safety integrity level, safety integrated systems SIL SIS
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/34Director, elements to supervisory
    • G05B2219/34482Redundancy, processors watch each other for correctness
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/34Director, elements to supervisory
    • G05B2219/34487Redundant diagnostic controllers watch redundant process controllers

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • General Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Die Erfindung betrifft eine Steuergeräteanordnung mit einem bezüglich einer Bearbeitungshierarchie übergeordneten und zumindest einem diesem untergeordneten Steuergerät mit jeweils einem Hauptprozessor und einem über drei Ebenen wirksamen Sicherheitskonzept, wobei eine übergeordnete, dritte Ebene als Prozess-Ablauf-Kontrolle vorgesehen ist, die eine zweite Ebene mit vorgegebenen Sicherheitsanforderungen auf Einhaltung dieser überwacht, und die zweite Ebene eine erste Ebene ohne vorgegebene Sicherheitsanforderungen auf Funktion überwacht. Zur Kostensenkung der Steuergeräteanordnung wird auf einen separaten Überwachungsrechner in dem zumindest einen untergeordneten Steuergerät verzichtet und die Prozess-Ablauf-Kontrolle des zumindest einen untergeordneten Steuergeräts im übergeordneten Steuergerät angeordnet.The invention relates to a control device arrangement with respect to a processing hierarchy parent and at least one subordinate control unit, each with a main processor and an effective over three levels security concept, with a higher, third level is provided as a process flow control, the second level with predetermined Security requirements are monitored for compliance, and the second level monitors a first level with no given security requirements on function. In order to reduce the cost of the control device arrangement, a separate monitoring computer in the at least one subordinate control device is dispensed with, and the process flow control of the at least one subordinate control device is arranged in the higher-level control device.

Description

Die Erfindung betrifft eine Steuergeräteanordnung mit einem bezüglich einer Bearbeitungshierarchie übergeordneten und zumindest einem diesem untergeordneten Steuergerät mit jeweils einem Hauptprozessor und einem über drei Ebenen wirksamen Sicherheitskonzept, wobei eine übergeordnete, dritte Ebene als Prozess-Ablauf-Kontrolle vorgesehen ist, die eine zweite Ebene mit vorgegebenen Sicherheitsanforderungen auf Einhaltung dieser überwacht, und die zweite Ebene eine erste Ebene ohne vorgegebene Sicherheitsanforderungen auf Funktion überwacht.The invention relates to a control device arrangement with respect to a processing hierarchy parent and at least one subordinate control unit, each with a main processor and an effective over three levels security concept, with a higher, third level is provided as a process flow control, the second level with predetermined Security requirements are monitored for compliance, and the second level monitors a first level with no given security requirements on function.

Steuervorgänge insbesondere zur Steuerung von Kraftfahrzeugen sind sicherheitsrelevant und unterliegen strengen Sicherheitsanforderungen, die in der Regel nicht von einer einzigen Datenverarbeitungseinheit, beispielsweise von einem einzigen Mikroprozessor, erfüllt werden können. Es werden daher Anordnungen von Steuergeräten mit mehreren Mikroprozessoren vorgeschlagen, die sich gegenseitig überwachen. Derartige Steuergeräteanordnungen und die mit diesen durchgeführten Steuerverfahren können insbesondere für Steuerungsaufgaben in Kraftfahrzeugen verwendet werden, bei denen eine allgemeine Aufgabenstellung in dem übergeordneten Steuergerät und spezielle Aufgabenstellungen in zumindest einem, vorteilhafterweise in mehreren ähnlichen Steuergeräten, die beispielsweise direkt zugeordnete Aktoren oder Aktormodule steuern, abgearbeitet werden. Beispielsweise kann ein zentrales Getriebe- oder Kupplungssteuergerät vorgesehen sein, das einzelne Aktormodule mit untergeordneten Steuergeräten steuert und die jeweils einzelne Funktionen steuern, beispielsweise die Betätigung einer Reibungskupplung einer Doppelkupplung für ein Doppelkupplungsgetriebe, eine Gangbetätigung eines Teilantriebsstrangs eines Doppelkupplungsgetriebes, eine Teilfunktion, beispielsweise Schalten oder Wählen eines Getriebes wie Doppelkupplungsgetriebe und dergleichen. Weiterhin können Funktionen wie eine von einem elektronischen Fahrpedal gesteuerte Brennkraftmaschine, Bremsvorrichtungen und dergleichen von derartigen Steuergeräteanordnungen gesteuert werden.Control operations, particularly for the control of motor vehicles, are safety-relevant and subject to strict safety requirements, which as a rule can not be met by a single data processing unit, for example by a single microprocessor. There are therefore proposed arrangements of controllers with multiple microprocessors, which monitor each other. Such control device arrangements and the control methods implemented therewith can be used in particular for control tasks in motor vehicles, in which a general task in the higher-level control unit and special tasks in at least one, advantageously in several similar control devices that control, for example, directly associated actuators or actuator modules, are processed , For example, a central transmission or clutch control device may be provided which controls individual actuator modules with subordinate control devices and each control individual functions, such as the operation of a friction clutch of a dual clutch for a dual clutch transmission, a gear actuation of a partial drive train of a dual clutch transmission, a subfunction, such as switching or dialing a transmission such as dual clutch transmission and the like. Furthermore, functions such as an engine controlled by an electronic accelerator pedal, brake devices, and the like may be controlled by such controller assemblies.

Zur Erfüllung der beispielsweise aus den in den Sicherheitsnormen IEC 61508 und ISO 26262 geregelten Anforderungen hat sich ein Sicherheitskonzept als vorteilhaft erwiesen, bei dem drei Ebenen vorgesehen sind, auf denen jeweils Routinen zur Überwachung der einwandfreien Funktion eines Steuergeräts ablaufen. Hierzu besitzt ein eigensicher ausgelegtes Steuergerät jeweils einen ersten Mikroprozessor wie Hauptprozessor und einen zweiten Mikroprozessor in Form eines Überwachungsrechners. Die Durchführung der für die Steuerung eines Aktors mit entsprechender Betätigungsmechanik zur Ausübung der Betätigungsfunktion notwendigen Steuerungsroutinen wird dabei in eine erste Ebene mit nicht sicherheitsrelevanten Routinen und eine zweite Ebene mit sicherheitsrelevanten Routinen aufgeteilt, wobei die Prüfung der ersten Ebene durch den Hauptprozessor und die Prüfung der zweiten Ebene durch den Überwachungsrechner erfolgt. Tritt ein Fehler in diesen beiden Ebenen auf, werden das Steuergerät und damit der von diesem gesteuerte Aktor in einen definierten Sicherungszustand überführt. In der dritten Ebene überwacht der Überwachungsrechner in einer Prozess-Ablauf-Kontrolle die Funktion des Hauptprozessors durch Vergleich eines von diesem ausgegebenen Überwachungsbefehlssatzes mit einem von dem Hauptprozessor ausgegebenen Signalantwortsatz auf fehlerfreie Funktion. Tritt in der Ebene drei ein Fehler auf, wird das Steuergerät mit angeschlossenem Aktor in einen definierten Sicherzustand überführt.To meet the example of those in the safety standards IEC 61508 and ISO 26262 Regulated requirements, a security concept has proven to be advantageous in which three levels are provided, run on each of which routines for monitoring the proper functioning of a control unit. For this purpose, an intrinsically safe control unit each has a first microprocessor such as the main processor and a second microprocessor in the form of a monitoring computer. The implementation of the necessary for the control of an actuator with appropriate operating mechanism for performing the actuation function control routines is divided into a first level with non-safety-related routines and a second level with safety-related routines, the first level test by the main processor and the test of the second Level is done by the monitoring computer. If an error occurs in these two levels, the control unit and thus the actuator controlled by it are transferred to a defined backup state. At the third level, in a process flow control, the supervisor monitors the operation of the main processor by comparing a supervisor command set issued therefrom with a signal prompt output by the main processor for error-free operation. If an error occurs in level three, the control unit with connected actuator is transferred to a defined safe state.

In gleicher Weise wird das übergeordnete Steuergerät mit einem Hauptprozessor und einem Überwachungsrechner versehen und nach dem Sicherheitskonzept der drei Ebenen auf einwandfreie Funktion überwacht. In einer derartigen Steuergeräteanordnung sind für jedes Steuergerät zumindest zwei Mikroprozessoren in Form eines Hauptprozessors und eines Überwachungsrechners nötig. Dies führt zu hohen Kosten.In the same way, the higher-level control unit is provided with a main processor and a monitoring computer and monitored according to the security concept of the three levels for proper function. In such a control device arrangement, at least two microprocessors in the form of a main processor and a monitoring computer are required for each control device. This leads to high costs.

Aufgabe der Erfindung ist daher, eine Steuergeräteanordnung mit geringeren Herstellungskosten bei gleichwertiger Funktion vorzuschlagen.The object of the invention is therefore to propose a control device arrangement with lower production costs for equivalent function.

Die Aufgabe wird durch eine Steuergeräteanordnung mit einem bezüglich einer Bearbeitungshierarchie übergeordneten und zumindest einem diesem untergeordneten Steuergerät mit jeweils einem Hauptprozessor und einem über drei Ebenen wirksamen Sicherheitskonzept gelöst, wobei eine übergeordnete, dritte Ebene als Prozess-Ablauf-Kontrolle vorgesehen ist, die eine zweite Ebene mit vorgegebenen Sicherheitsanforderungen auf Einhaltung dieser überwacht, die zweite Ebene eine erste Ebene ohne vorgegebene Sicherheitsanforderungen auf Funktion überwacht und die Prozess-Ablauf-Kontrolle des zumindest einen untergeordneten Steuergeräts im übergeordneten Steuergerät angeordnet ist. Durch die Auslagerung der Überwachungsfunktion des Hauptprozessors aus einem Steuergerät, vorzugsweise aus einem untergeordneten in das übergeordnete Steuergerät, beispielsweise in einen dort vorhandenen Mikroprozessor, kann auf die Überwachungsrechner in den übrigen Steuergeräten verzichtet werden. Insbesondere bei mehreren untergeordneten Steuergeräten kann dabei ein großes Kostenpotential und gegebenenfalls Bauraum durch verkleinerte Schaltungshardware gespart werden. Es versteht sich, dass ein für die Überwachungsroutine der dritten Ebene vorgesehener Mikroprozessor für die Steuergeräte auch in einem untergeordneten Steuergerät angeordnet sein kann, wenn auch eine Unterbringung dieses Mikroprozessors im übergeordneten Steuergerät insbesondere wegen der dann gleichen Ausbildung der untergeordneten Steuergeräte bevorzugt vorgesehen ist.The object is achieved by a control device arrangement having a higher-level control hierarchy and at least one lower-level control device each having a main processor and an over three-level security concept, wherein a higher, third level is provided as a process flow control, the second level monitored with predetermined security requirements for compliance with this, the second level monitors a first level without predetermined security requirements on function and the process flow control of at least one subordinate control device is arranged in the parent control unit. By outsourcing the monitoring function of the main processor from a control unit, preferably from a subordinate to the higher-level control unit, for example, in a microprocessor existing there, can be dispensed with the monitoring computer in the other control units. In particular, in the case of a plurality of subordinate control devices, a large cost potential and possibly installation space can be saved by means of reduced circuit hardware. It will be appreciated that a microprocessor dedicated to the third level monitoring routine for the Control devices can also be arranged in a subordinate control device, although an accommodation of this microprocessor in the higher-level control device is provided in particular because of the then same design of the subordinate control devices.

In der Regel können in den Steuergeräten zwei Arten von Betriebssystemen verwendet werden. Die dritte Ebene und die Erstellung der Überwachungsbefehlssätze samt der Schnittstellen zu den Ebenen zwei und eins können von einem allgemeinen Betriebssystem bereit gestellt werden, während die Berechnungsvorgänge zur Steuerung des Aktors eines untergeordneten Steuergeräts in einem anwendungsspezifischen und von dem allgemeinen Betriebssystem unabhängigen Betriebssystem implementiert sein können. Auf diese Weise kann ein übergeordnetes Steuergerät mit untergeordneten Steuergeräten betrieben werden, die jeweils eigene Betriebssysteme aufweisen und von verschiedenen Herstellern stammen können.Typically, two types of operating systems can be used in the controllers. The third level and the creation of the monitoring command sets, including the interfaces to levels two and one, may be provided by a general operating system, while the computing operations for controlling the actuator of a subordinate controller may be implemented in an application specific operating system independent of the general operating system. In this way, a higher-level control unit can be operated with subordinate control units, which each have their own operating systems and can come from different manufacturers.

Nach dem erfinderischen Gedanken kann die Prozess-Ablauf-Kontrolle der dritten Ebene des zumindest einen untergeordneten Steuergeräts in dem Hauptprozessor des übergeordneten Steuergeräts untergebracht sein. Dabei wird die dritte Ebene des übergeordneten Steuergeräts in dem Überwachungsrechner und die dritte Ebene des zumindest einen untergeordneten Steuergeräts in dem Hauptprozessor des übergeordneten Steuergeräts abgearbeitet. Die dritte Ebene einschließlich der Erstellung des Überwachungsbefehlssatzes erfolgt beispielsweise in der zweiten Ebene des Sicherheitskonzepts des übergeordneten Steuergeräts. Die Sicherheitskriterien der Ebene drei des untergeordneten Steuergeräts können dabei als Anwendersoftware in dem Hauptprozessor hinterlegt werden und werden ihrerseits durch die dritte Ebene des Überwachungsrechners für die zweite Ebene im Hauptprozessor abgesichert. Hierdurch kann eine hierarchische Überwachungsstruktur vorgesehen werden. Hierdurch kann für die Ebene drei des Überwachungsrechners Standardsoftware verwendet werden. Spezifische Erweiterungen des Betriebssystems und des Überwachungssystems des Überwachungsrechners können entfallen, da die Überwachung der dritten Ebene der untergeordneten Steuergeräte nicht in den Überwachungsrechner des übergeordneten Steuergeräts eingreift.According to the inventive concept, the process flow control of the third level of the at least one subordinate control device can be accommodated in the main processor of the superordinate control device. In this case, the third level of the higher-level control device in the monitoring computer and the third level of the at least one lower-level control device in the main processor of the higher-level control device are processed. The third level, including the creation of the monitoring command set, takes place, for example, in the second level of the security concept of the higher-level control device. The security criteria of level three of the subordinate control unit can be deposited as user software in the main processor and are in turn secured by the third level of the monitoring computer for the second level in the main processor. As a result, a hierarchical monitoring structure can be provided. As a result, standard software can be used for level three of the monitoring computer. Specific extensions of the operating system and the monitoring system of the monitoring computer can be omitted since the monitoring of the third level of the subordinate control devices does not interfere with the monitoring computer of the parent control device.

Alternativ kann die Prozess-Ablauf-Kontrolle in Form der dritten Ebene des zumindest einen untergeordneten Steuergeräts in dem Überwachungsrechner untergebracht sein. Hierbei wird das Betriebssystem des Überwachungsrechners an das Betriebssystem der untergeordneten Steuergeräte angepasst, so dass sämtliche Überwachungsfunktionen der Hauptprozessoren aller Steuergeräte in dem zentralen Überwachungsrechner ablaufen. Hierzu werden zwischen dem Überwachungsrechner und den Hauptprozessoren bevorzugt einheitliche Software-Schnittstellen und zu den untergeordneten Steuergeräten mit ihren Hauptprozessoren bevorzugt auch einheitliche Hardware-Schnittstellen geschaffen.Alternatively, the process flow control in the form of the third level of the at least one subordinate control device can be accommodated in the monitoring computer. Here, the operating system of the monitoring computer is adapted to the operating system of the subordinate control units, so that all monitoring functions of the main processors of all control units in the central monitoring computer run. For this purpose, preferably uniform software interfaces are created between the monitoring computer and the main processors, and preferably also uniform hardware interfaces to the subordinate control devices with their main processors.

Die Überprüfung der Hauptprozessoren in der dritten Ebene erfolgt vorteilhafterweise durch eine zweigeteilte Unterebene, in der im Rechenbereich der dritten Ebene für jedes Steuergerät ein Überprüfungsbefehlssatz generiert wird, der beispielsweise statische Befehle enthalten kann und auf Basis einer richtigen Reihenfolge und im richtigen Zeitraster dieser die Prozess-Ablauf-Kontrolle einleitet. Der Überprüfungsbefehlssatz wird auf den zweiten Teil der Unterebene übertragen, der die Ausführung des Überprüfungsbefehlssatzes einleitet und einen Befehlsantwortsatz aus der zweiten Ebene im Rechenbereich des Hauptprozessors erfasst und als Signalantwort des Überprüfungssatzes auf die dritte Ebene überträgt, wo diese ausgewertet wird, wodurch die Prozess-Ablauf-Kontrolle beendet wird und gegebenenfalls ein Funktionsfehler ausgegeben wird.The checking of the main processors in the third level is advantageously carried out by a two-part sublevel, in which in the computing area of the third level for each control unit, a check command set is generated, which may contain static commands and based on a correct order and in the correct time frame of these the process Sequence control initiates. The check command set is transferred to the second part of the sublevel, which initiates execution of the check command set and acquires a second level command reply set in the main processor arithmetic area and transfers it to the third level as the signal reply of the check set, where it is evaluated, thereby completing the process flow Control is ended and, if necessary, a malfunction is output.

Die Übertragung der Überwachungssignale zwischen dem übergeordneten Steuergerät und dem zumindest einen untergeordneten Steuergerät erfolgt durch eine erste Signalleitung, vorzugsweise eine standardisierte Schnittstelle, beispielsweise CAN-Bus, Flexray oder dergleichen, die unter anderem zur Kommunikation zwischen der zweiten und dritten Ebene des Sicherheitskonzepts vorgesehen ist. Um bei einem erkannten Fehler auf den Aktor einwirken zu können und beispielsweise den Aktor in einen gesicherten Zustand überführen zu können, ist zwischen dem übergeordneten Steuergerät und dem zumindest einen untergeordneten Steuergerät zumindest eine redundante Signalleitung zur Überführung des untergeordneten Steuergeräts in einen sicheren Zustand in einem Fehlerfall vorgesehen.The transmission of the monitoring signals between the higher-level control unit and the at least one subordinate control unit is effected by a first signal line, preferably a standardized interface, for example CAN bus, Flexray or the like, which is provided inter alia for communication between the second and third level of the security concept. In order to be able to act on the actuator in the event of a detected fault and to be able to transfer the actuator to a secured state, for example, at least one redundant signal line for transferring the subordinate control device to a safe state in the event of a fault is present between the higher-level control device and the at least one subordinate control device intended.

In gleicher Weise kann bei einer Verletzung des Sicherheitskonzepts durch das übergeordnete Steuergerät das zumindest eine untergeordnete Steuergerät in einen sicheren Zustand überführt werden.In the same way, if the safety concept is violated by the higher-level control device, the at least one subordinate control device can be transferred to a safe state.

Gemäß einem vorteilhaften Ausführungsbeispiel kann die beschriebene Steuergeräteanwendung in besonders vorteilhafter Weise mit einem als Getriebesteuergerät und/oder Kupplungssteuergerät ausgebildeten übergeordneten Steuergerät und zumindest zwei mit jeweils einem untergeordneten Steuergerät versehenen Aktormodulen vorgesehen sein. Die Aktormodule können ein oder zwei Kupplungsaktoren für eine oder zwei Reibungskupplungen wie Doppelkupplung und/oder ein oder mehrere Getriebeaktormodule zur Betätigung eines Getriebes, beispielsweise eines Doppelkupplungsgetriebes sein.According to an advantageous embodiment, the control unit application described may be provided in a particularly advantageous manner with a designed as a transmission control unit and / or clutch control unit higher-level control device and at least two provided with a respective subordinate control unit actuator modules. The actuator modules may have one or two clutch actuators for one or two friction clutches such as a dual clutch and / or one or more transmission actuator modules for actuating a Transmission, for example, a dual-clutch transmission.

Die Erfindung wird anhand der in den 1 bis 3 dargestellten Ausführungsbeispiele näher erläutert. Dabei zeigen:The invention is based on the in the 1 to 3 illustrated embodiments explained in more detail. Showing:

1 ein Flussdiagramm eines Sicherheitskonzepts einer Steuergeräteanordnung, 1 a flow chart of a security concept of a control device arrangement,

2 eine systematisch dargestellte Steuergeräteanordnung mit einem Sicherheitskonzept, bei dem eine dritte Ebene des Sicherheitskonzepts eines untergeordneten Steuergeräts in dem Hauptprozessor eines übergeordneten Steuergeräts durchgeführt wird
und 2 a systematically illustrated control device arrangement with a security concept in which a third level of the security concept of a subordinate control device is carried out in the main processor of a higher-level control device
and

3 eine systematisch dargestellte Steuergeräteanordnung mit einem Sicherheitskonzept, bei dem eine dritte Ebene des Sicherheitskonzepts eines untergeordneten Steuergeräts in dem Überwachungsrechner zur Überwachung des Hauptprozessors eines übergeordneten Steuergeräts durchgeführt wird. 3 a systematically illustrated control device arrangement with a security concept, in which a third level of the security concept of a subordinate control device in the monitoring computer for monitoring the main processor of a higher-level control device is performed.

1 zeigt das Flussdiagramm 1 zur Durchführung eines Sicherheitskonzepts für eine aus einem übergeordneten und zumindest einem untergeordneten Steuergerät in einem übergeordneten Steuergerät, in dem eine dritte Ebene eines Überwachungskonzepts zur Überwachung der Hauptprozessoren der übergeordneten und untergeordneter Steuergeräte in einem Überwachungsrechner implementiert ist. Das Flussdiagramm 1 zeigt eine in dem Überwachungsrechner implementierte Routine. 1 shows the flowchart 1 for implementing a security concept for one of a higher-level and at least one lower-level control device in a higher-level control device, in which a third level of a monitoring concept for monitoring the main processors of the higher-level and lower-level control devices is implemented in a monitoring computer. The flowchart 1 shows a routine implemented in the monitoring computer.

Nach dem Start der Routine wird in der Verzweigung 2 geprüft, ob ein Fehler in dem Hauptprozessor des übergeordneten Steuergeräts vorliegt. Ist dies der Fall, werden in Block 3 alle untergeordneten Steuergeräte beziehungsweise die von diesen gesteuerten Aktoren in einen gesicherten Zustand gebracht. Beispielsweise werden Kupplungsaktoren so gesteuert, dass von Ihnen gesteuerte Reibungskupplungen geöffnet werden beziehungsweise Getriebeaktoren einen neutralen Gang einlegen.After the start of the routine will be in the branch 2 checked if there is an error in the main processor of the parent controller. If this is the case, be in block 3 all subordinate control units or controlled by these actuators in a secure state. For example, clutch actuators are controlled so that you open controlled friction clutches or insert gearbox neutral gear.

Liegt kein Fehler im Hauptprozessor des übergeordneten Steuergeräts vor, wird in Feld 4 der Start der Unterroutine eingeleitet, die nacheinander oder parallel in der Verzweigung 5 die untergeordneten Steuergeräte auf Fehler in deren Hauptprozessor prüft. Wird in einem der untergeordneten Steuergeräte ein Fehler im Hauptprozessor festgestellt, wird dieses in den gesicherten Zustand gebracht beziehungsweise der Aktor zur Erzielung eines gesicherten Zustands des von diesem betätigten Funktionsbauteils wie Reibungskupplung, Getriebe und dergleichen entsprechend gesteuert. Zusätzlich können weitere zusammenwirkende Steuergeräte entsprechend behandelt werden. Beispielsweise kann bei einem defekten Steuergerät für eine Betätigung einer Teilfunktion eines Getriebes auch ein zweites Steuergerät zur Betätigung einer weiteren Teilfunktion in einem gesicherten Zustand betrieben werden. Nach Abarbeitung der Überprüfung aller untergeordneter Steuergeräte wird die Unterroutine in Feld 7 und die gesamte Routine zur Überwachung der Steuergeräteanordnung beendet und gegebenenfalls neu gestartet, um eine kontinuierliche Überwachung zu gewährleisten.If there is no error in the main processor of the higher-level control unit, it will be displayed in the field 4 the start of the subroutine is initiated, one after the other or in parallel in the branch 5 checks the slave ECUs for errors in their main processor. If a fault in the main processor is detected in one of the subordinate control devices, the latter is brought into the secured state or the actuator is correspondingly controlled in order to achieve a secure state of the functional component actuated by it, such as friction clutch, transmission and the like. In addition, further cooperating control devices can be treated accordingly. For example, in the case of a defective control unit for actuating a partial function of a transmission, a second control unit for actuating a further partial function can also be operated in a secured state. After the review of all subordinate ECUs has been completed, the subroutine will be fielded 7 and terminate and eventually restart the entire routine for monitoring the controller assembly to ensure continuous monitoring.

2 zeigt in schematischer Darstellung die Steuergeräteanordnung 8 mit dem übergeordneten Steuergerät 9 und dem untergeordneten Steuergerät 10. Das übergeordnete Steuergerät 9 übernimmt die übergeordneten Funktionen, die beispielsweise mehreren untergeordneten Steuergeräten 10 gemeinsam sind, beispielsweise die Kommunikation mit anderen Funktionsträgern eines Kraftfahrzeugs, die Erfassung von Sensorsignalen, Parametrierungen und dergleichen. Die untergeordnete Steuereinheit 10 steuert beziehungsweise regelt den beispielsweise in demselben Gehäuse angeordneten Aktor, beispielsweise einen Elektromotor zur Betätigung eines Funktionsbauteils des Kraftfahrzeugs, beispielsweise eine Reibungskupplung, ein Getriebe und dergleichen. Hierzu weist jedes Steuergerät 9, 10 einen Hauptprozessor 11, 12 auf. 2 shows a schematic representation of the controller arrangement 8th with the higher-level control unit 9 and the slave controller 10 , The higher-level control unit 9 takes over the superordinate functions, for example, several subordinate control units 10 are common, for example, the communication with other function vehicles of a motor vehicle, the detection of sensor signals, parameterizations and the like. The subordinate control unit 10 controls or regulates the example arranged in the same housing actuator, for example, an electric motor for actuating a functional component of the motor vehicle, for example, a friction clutch, a transmission and the like. For this purpose, each control unit 9 . 10 a main processor 11 . 12 on.

In der Steuergeräteanordnung 8 ist das Sicherheitskonzept 13 aktiv, das das übergeordnete Steuergerät 9 und das untergeordnete Steuergerät 10 drei Ebenen mit Überwachungsroutinen unterwirft. Die drei Ebenen des übergeordneten Steuergeräts 9 sind die erste Ebene 14, die zweite Ebene 15 und die dritte Ebene 16. Die erste Ebene 14 umfasst die Überwachung von in dem Hauptprozessor 11 ablaufenden, nicht sicherheitsrelevanten Softwareroutinen, die beispielsweise durch weitere Softwareroutinen des Hauptprozessors 11 auf Plausibilität beispielsweise in der zweiten Ebene 15 überprüft werden. In der zweiten Ebene 15 werden sicherheitsrelevante Softwareroutinen des Hauptprozessors 11 überprüft. Wird beispielsweise eine Kupplungskennlinie falsch berechnet, kann mittels eines Überwachungsmodells in der zweiten Ebene 15 der Fehler erfasst werden, in der Maßnahmen zum gesicherten Betrieb des untergeordneten Steuergeräts 10 bei einem Fehler in der zweiten Ebene 15 des Sicherheitskonzepts 13 im übergeordneten Steuergerät 9, nämlich im Hauptprozessor 11, eingeleitet werden.In the control unit arrangement 8th is the security concept 13 active, which is the parent controller 9 and the slave controller 10 three levels with monitoring routines. The three levels of the parent controller 9 are the first level 14 , the second level 15 and the third level 16 , The first level 14 includes monitoring in the main processor 11 running, non-security software routines, for example, by further software routines of the main processor 11 for plausibility, for example in the second level 15 be checked. In the second level 15 become security-relevant software routines of the main processor 11 checked. If, for example, a clutch characteristic is calculated incorrectly, it can be determined by means of a monitoring model in the second level 15 the errors are detected in the measures for the secure operation of the subordinate control unit 10 in case of an error in the second level 15 the security concept 13 in the higher-level control unit 9 namely in the main processor 11 , be initiated.

Die dritte Ebene 16 zur Überwachung der einwandfreien Funktion des Hauptprozessors 11 ist in dem Überwachungsrechner 17 angeordnet, der zudem den Hauptprozessor mittels des Überwachungsbefehlssatzes 18 beispielsweise mittels statischer Befehle auf Einhaltung der Bearbeitungsreihenfolge und des einzuhaltenden Zeitrasters prüft. Hierzu wird der Überprüfungsbefehlssatz 18 in dem Hauptprozessor 11 ausgeführt und ein korrespondierender Befehlsantwortsatz 19 an die dritte Ebene 16 im Überwachungsrechner ausgegeben.The third level 16 to monitor the proper functioning of the main processor 11 is in the monitoring computer 17 in addition, the main processor by means of the supervisory command set 18 For example, by means of static commands for compliance with the processing order and the time grid to be checked. To do this, the verification instruction set becomes 18 in the main processor 11 executed and a corresponding command response phrase 19 to the third level 16 output in the monitoring computer.

Zur Vermeidung eines weiteren Überwachungsrechners im untergeordneten Steuergerät 10 erfolgt die Aufteilung der ersten Ebene 20, der zweiten Ebene 21 und der dritten Ebene 22 des Sicherheitskonzepts 23 für das untergeordnete Steuergerät 10 beziehungsweise den Hauptprozessor 12 zwischen dem Hauptprozessor 11 des übergeordneten Steuergeräts 9 und dem Hauptprozessor 12 des untergeordneten Steuergeräts 10, wobei der Hauptprozessor 11 als Überwachungsrechner für den Hauptprozessor 12 eingesetzt wird. In dieser Funktion übernimmt er die Überwachungsfunktionen der dritten Ebene 22 des untergeordneten Steuergeräts 10 in dessen zweiter Ebene 15. Eine Fehlfunktion des Hauptprozessors 12 wird daher in einer Überwachung der zweiten Ebene 15 erkannt. Die Kommunikation der beiden Hauptprozessoren 11, 12 untereinander zum Austausch der Daten der Überwachung erfolgt mittels der Signalleitungen 24, 25, die redundant ausgelegt sind, so dass bei einer Fehlfunktion des Hauptprozessors 12 oder einer Unterbrechung einer Signalleitung, beispielsweise durch Kabelbruch, eine Steuerung des untergeordneten Steuergeräts 10 ausführbar bleibt.To avoid another monitoring computer in the subordinate control unit 10 the division of the first level takes place 20 , the second level 21 and the third level 22 the security concept 23 for the subordinate control unit 10 or the main processor 12 between the main processor 11 of the higher-level control unit 9 and the main processor 12 the subordinate control unit 10 , where the main processor 11 as a monitoring processor for the main processor 12 is used. In this function, he assumes the third-level monitoring functions 22 the subordinate control unit 10 in its second level 15 , A malfunction of the main processor 12 is therefore in a second level monitoring 15 recognized. The communication of the two main processors 11 . 12 with each other to exchange the data of the monitoring by means of the signal lines 24 . 25 that are designed redundantly, so that in case of malfunction of the main processor 12 or an interruption of a signal line, for example due to cable breakage, a control of the subordinate control device 10 executable remains.

Die Überwachungen des Hauptprozessors 12 bezüglich der zweiten Ebene 21 und der ersten Ebene 20 entsprechen weitgehend den Überwachungsfunktionen der ersten Ebene 14 und zweiten Ebene 15.The monitors of the main processor 12 regarding the second level 21 and the first level 20 are largely the same as the first-level monitoring functions 14 and second level 15 ,

Im Unterschied zu der Steuergeräteanordnung 8 der 2 erfolgt in der Steuergeräteanordnung 8a der 3 die Überwachung der Hauptprozessoren 11a, 12a des übergeordneten Steuergeräts 9a und des untergeordneten Steuergeräts 10a im Überwachungsrechner 17a in einer einzigen dritten Ebene 16a. Dementsprechend sind die Signalleitungen 24a, 25a zwischen dem Hauptprozessor 12a und dem Überwachungsrechner 17a ausgebildet. Die beiden übrigen Ebenen 14a, 15a, 20a, 21a werden jeweils entsprechend 2 in den Hauptprozessoren 11a, 12a ausgeführt.Unlike the control unit arrangement 8th of the 2 takes place in the control unit arrangement 8a of the 3 the monitoring of the main processors 11a . 12a of the higher-level control unit 9a and the subordinate controller 10a in the monitoring computer 17a in a single third level 16a , Accordingly, the signal lines 24a . 25a between the main processor 12a and the monitoring computer 17a educated. The two remaining levels 14a . 15a . 20a . 21a will be respectively appropriate 2 in the main processors 11a . 12a executed.

BezugszeichenlisteLIST OF REFERENCE NUMBERS

11
Flussdiagrammflow chart
22
Verzweigungbranch
33
Blockblock
44
Feldfield
55
Verzweigungbranch
66
Blockblock
77
Feldfield
88th
SteuergeräteanordnungControl unit system
8a8a
SteuergeräteanordnungControl unit system
99
übergeordnetes Steuergeräthigher-level control unit
9a9a
übergeordnetes Steuergeräthigher-level control unit
1010
untergeordnetes Steuergerätsubordinate control unit
10a10a
untergeordnetes Steuergerätsubordinate control unit
1111
Hauptprozessormain processor
11a11a
Hauptprozessormain processor
1212
Hauptprozessormain processor
12a12a
Hauptprozessormain processor
1313
Sicherheitskonzeptsecurity concept
1414
erste Ebenefirst floor
14a14a
erste Ebenefirst floor
1515
zweite Ebenesecond level
15a15a
zweite Ebenesecond level
1616
dritte EbeneThird level
16a16a
dritte EbeneThird level
1717
Überwachungsrechnermonitoring computer
17a17a
Überwachungsrechnermonitoring computer
1818
ÜberprüfungsbefehlssatzVerification command set
1919
BefehlsantwortsatzCommand Response rate
2020
erste Ebenefirst floor
20a20a
erste Ebenefirst floor
2121
zweite Ebenesecond level
21a21a
zweite Ebenesecond level
2222
dritte EbeneThird level
2323
Sicherheitskonzeptsecurity concept
2424
Signalleitungsignal line
24a24a
Signalleitungsignal line
2525
Signalleitungsignal line
25a25a
Signalleitungsignal line

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte Nicht-PatentliteraturCited non-patent literature

  • IEC 61508 [0003] IEC 61508 [0003]
  • ISO 26262 [0003] ISO 26262 [0003]

Claims (10)

Steuergeräteanordnung (8, 8a) mit einem bezüglich einer Bearbeitungshierarchie übergeordneten Steuergerät (9, 9a) und zumindest einem diesem untergeordneten Steuergerät (10, 10a) mit jeweils einem Hauptprozessor (11, 11a, 12, 12a) und einem über drei Ebenen (14, 14a, 15, 15a, 16, 16a, 20, 20a, 21, 21a, 22) wirksamen Sicherheitskonzept (13, 23), wobei eine übergeordnete, dritte Ebene (16, 16a, 22) als Prozess-Ablauf-Kontrolle vorgesehen ist, die eine zweite Ebene (15, 15a, 21, 21a) mit vorgegebenen Sicherheitsanforderungen auf Einhaltung dieser überwacht, und die zweite Ebene (15, 15a, 21, 21a) eine erste Ebene (14, 14a, 20, 20a) ohne vorgegebene Sicherheitsanforderungen auf Funktion überwacht, dadurch gekennzeichnet, dass die Prozess-Ablauf-Kontrolle des zumindest einen untergeordneten Steuergeräts (10, 10a) im übergeordneten Steuergerät (9, 9a) angeordnet ist.Control device arrangement ( 8th . 8a ) with a higher-level control device with respect to a processing hierarchy ( 9 . 9a ) and at least one subordinate control unit ( 10 . 10a ) each with a main processor ( 11 . 11a . 12 . 12a ) and one over three levels ( 14 . 14a . 15 . 15a . 16 . 16a . 20 . 20a . 21 . 21a . 22 ) effective security concept ( 13 . 23 ), with a higher, third level ( 16 . 16a . 22 ) is provided as process flow control, which is a second level ( 15 . 15a . 21 . 21a ) with given safety requirements to comply with these, and the second level ( 15 . 15a . 21 . 21a ) a first level ( 14 . 14a . 20 . 20a ) is monitored for function without predetermined safety requirements, characterized in that the process flow control of the at least one subordinate control device ( 10 . 10a ) in the higher-level control device ( 9 . 9a ) is arranged. Steuergeräteanordnung (8) nach Anspruch 1, dadurch gekennzeichnet, dass die Prozess-Ablauf-Kontrolle des zumindest einen untergeordneten Steuergeräts (10) in dem Hauptprozessor (11) des übergeordneten Steuergeräts (9) untergebracht ist.Control device arrangement ( 8th ) according to claim 1, characterized in that the process flow control of the at least one subordinate control device ( 10 ) in the main processor ( 11 ) of the higher-level control device ( 9 ) is housed. Steuergeräteanordnung (8, 8a) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das übergeordnete Steuergerät (9, 9a) einen den Hauptprozessor (11, 11a) überwachenden Überwachungsrechner (17, 17a) aufweist.Control device arrangement ( 8th . 8a ) according to claim 1 or 2, characterized in that the higher-level control device ( 9 . 9a ) a the main processor ( 11 . 11a ) monitoring monitoring computer ( 17 . 17a ) having. Steuergeräteanordnung (8a) nach Anspruch 3, dadurch gekennzeichnet, dass die Prozess-Ablauf-Kontrolle des zumindest einen untergeordneten Steuergeräts (10a) in dem Überwachungsrechner (17a) untergebracht ist.Control device arrangement ( 8a ) according to claim 3, characterized in that the process flow control of the at least one subordinate control device ( 10a ) in the monitoring computer ( 17a ) is housed. Steuergeräteanordnung (8, 8a) nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass für jedes Steuergerät ein Überprüfungsbefehlssatz (18), mit dem die zweite Ebene (15, 15a, 21, 21a) überprüft wird, und ein Befehlsantwortsatz (19), der als Signalantwort des Überprüfungsbefehlssatzes (18) von der dritten Ebene (16, 16a, 22) ausgewertet wird, vorgesehen ist.Control device arrangement ( 8th . 8a ) according to one of claims 1 to 4, characterized in that for each control device a check instruction set ( 18 ), with which the second level ( 15 . 15a . 21 . 21a ) and a command response phrase ( 19 ), which is used as the signal response of the check instruction set ( 18 ) from the third level ( 16 . 16a . 22 ) is evaluated. Steuergeräteanordnung (8, 8a) nach Anspruch 5, dadurch gekennzeichnet, dass der Überprüfungsbefehlssatz (18) für die zweite Ebene (15, 15a, 21, 21a) des zumindest einen untergeordneten Steuergeräts (10, 10a) in dem Überwachungsrechner (17a) oder im Hauptprozessor (11) des übergeordneten Steuergeräts (9, 9a) untergebracht ist.Control device arrangement ( 8th . 8a ) according to claim 5, characterized in that the check instruction set ( 18 ) for the second level ( 15 . 15a . 21 . 21a ) of the at least one subordinate control device ( 10 . 10a ) in the monitoring computer ( 17a ) or in the main processor ( 11 ) of the higher-level control device ( 9 . 9a ) is housed. Steuergeräteanordnung (8, 8a) nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass zwischen dem übergeordneten Steuergerät (9, 9a) und dem zumindest einen untergeordneten Steuergerät (10, 10a) eine erste Signalleitung (24, 24a, 25, 25a), vorzugsweise standardisierte Schnittstelle zur Kommunikation zwischen der zweiten und dritten Ebene (16a, 21, 21a, 22) des Sicherheitskonzepts (23) vorgesehen ist.Control device arrangement ( 8th . 8a ) according to one of claims 1 to 6, characterized in that between the higher-level control unit ( 9 . 9a ) and the at least one subordinate control device ( 10 . 10a ) a first signal line ( 24 . 24a . 25 . 25a ), preferably a standardized interface for communication between the second and third level ( 16a . 21 . 21a . 22 ) of the security concept ( 23 ) is provided. Steuergeräteanordnung (8, 8a) nach Anspruch 7, dadurch gekennzeichnet, dass zwischen dem übergeordneten Steuergerät (9, 9a) und dem zumindest einen untergeordneten Steuergerät (10, 10a) zumindest eine redundante Signalleitung (24, 24a, 25, 25a) zur Überführung des untergeordneten Steuergeräts (10, 10a) in einen sicheren Zustand in einem Fehlerfall vorgesehen ist.Control device arrangement ( 8th . 8a ) according to claim 7, characterized in that between the higher-level control unit ( 9 . 9a ) and the at least one subordinate control device ( 10 . 10a ) at least one redundant signal line ( 24 . 24a . 25 . 25a ) for transferring the subordinate control device ( 10 . 10a ) is provided in a safe state in case of failure. Steuergeräteanordnung (8, 8a) nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass bei einer Verletzung des Sicherheitskonzepts (13) des übergeordneten Steuergeräts (9, 9a) das zumindest eine untergeordnete Steuergerät (10, 10a) in einen sicheren Zustand überführt wird.Control device arrangement ( 8th . 8a ) according to one of claims 1 to 8, characterized in that in case of a breach of the security concept ( 13 ) of the higher-level control device ( 9 . 9a ) the at least one subordinate control device ( 10 . 10a ) is transferred to a safe state. Steuergeräteanordnung (8, 8a) nach einem der Ansprüche 1 bis 9 mit einem als Getriebe- und/oder Kupplungssteuergerät ausgebildeten übergeordneten Steuergerät (9, 9a) und zumindest zwei mit jeweils einem untergeordneten Steuergerät (10, 10a) versehenen Aktormodulen.Control device arrangement ( 8th . 8a ) according to one of claims 1 to 9 with a trained as a transmission and / or clutch control unit higher-level control device ( 9 . 9a ) and at least two, each with a subordinate control device ( 10 . 10a ) provided Aktormodulen.
DE102011011224A 2010-03-15 2011-02-15 Control unit system Withdrawn DE102011011224A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102011011224A DE102011011224A1 (en) 2010-03-15 2011-02-15 Control unit system

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102010011452 2010-03-15
DE102010011452.9 2010-03-15
DE102011011224A DE102011011224A1 (en) 2010-03-15 2011-02-15 Control unit system

Publications (1)

Publication Number Publication Date
DE102011011224A1 true DE102011011224A1 (en) 2011-09-15

Family

ID=44168258

Family Applications (2)

Application Number Title Priority Date Filing Date
DE112011100917T Withdrawn DE112011100917A5 (en) 2010-03-15 2011-02-15 Control unit system
DE102011011224A Withdrawn DE102011011224A1 (en) 2010-03-15 2011-02-15 Control unit system

Family Applications Before (1)

Application Number Title Priority Date Filing Date
DE112011100917T Withdrawn DE112011100917A5 (en) 2010-03-15 2011-02-15 Control unit system

Country Status (2)

Country Link
DE (2) DE112011100917A5 (en)
WO (1) WO2011113405A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2739883B1 (en) 2012-02-15 2015-09-02 GETRAG Getriebe- und Zahnradfabrik Hermann Hagenmeyer GmbH & Cie KG Method and control unit for a drive train component
DE102016222060A1 (en) 2016-11-10 2018-05-17 Schaeffler Technologies AG & Co. KG Control unit for an actuator system for conversion between a low and a higher functional safety level and a control unit system for controlling an actuator system

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005003916B4 (en) * 2005-01-27 2012-06-06 Continental Automotive Gmbh Monitoring the functional safety of an internal combustion engine
DE102007045509B4 (en) * 2007-09-24 2011-06-22 Continental Automotive GmbH, 30165 Vehicle control unit with a supply voltage monitored microcontroller and associated method

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
IEC 61508
ISO 26262

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2739883B1 (en) 2012-02-15 2015-09-02 GETRAG Getriebe- und Zahnradfabrik Hermann Hagenmeyer GmbH & Cie KG Method and control unit for a drive train component
US9449436B2 (en) 2012-02-15 2016-09-20 Getrag Getriebe-Und Zahnradfabrik Hermann Hagenmeyer Gmbh & Cie Kg Method and control device for a drive train component
DE102016222060A1 (en) 2016-11-10 2018-05-17 Schaeffler Technologies AG & Co. KG Control unit for an actuator system for conversion between a low and a higher functional safety level and a control unit system for controlling an actuator system

Also Published As

Publication number Publication date
DE112011100917A5 (en) 2013-01-17
WO2011113405A1 (en) 2011-09-22

Similar Documents

Publication Publication Date Title
DE19933086B4 (en) Method and device for mutual monitoring of control units
EP2676200B1 (en) Semiconductor circuit and method in a safety concept for use in a motor vehicle
EP3661819B1 (en) Control system for a motor vehicle, motor vehicle, method for controlling a motor vehicle, computer program product, and computer-readable medium
EP1092177B1 (en) Controller or engine controller, engine and method for adjusting a control or drive system or an engine
DE19509150C2 (en) Method for controlling and regulating vehicle brake systems and vehicle brake system
EP1989470B1 (en) Safety concept for a transmission actuator device
EP2078253A2 (en) Method and device for error management
DE102008009652A1 (en) Monitoring device and monitoring method for a sensor, and sensor
DE102005023296B4 (en) Train Control System
DE102005061393A1 (en) Software module distributing method for control device of motor vehicle, involves classifying and allocating software modules to control devices based on security-relevant classification features
DE102014100970A1 (en) Method and device for safely switching off an electrical load
EP2745205B1 (en) Method for operating a control network, and control network
DE102011011224A1 (en) Control unit system
EP2237118B1 (en) Safety system for ensuring error-free control of electrical devices and safety device
DE102012221277A1 (en) Device for controlling operation and movement of hybrid vehicle, has signal comparison modules comparing output signals of sensors with each other to determine whether abnormality of sensors or micro-processing units is present
DE10328059A1 (en) Method and device for monitoring a distributed system
DE102019208729A1 (en) Procedure for ensuring and maintaining the function of a safety-critical overall system
EP2612059B1 (en) Device and method for controlling a dual-clutch transmission
DE102005007477B4 (en) Programmable control for machine and / or plant automation with standard control and safety functions and communication with a safety I / O and method for operating the programmable controller
EP2279480B1 (en) Method and system for monitoring a security-related system
DE102017123911A1 (en) Method and apparatus for monitoring the response time of a security function provided by a security system
DE102017123910A1 (en) Method and apparatus for monitoring the security integrity of a security function provided by a security system
EP2013731B1 (en) Circuit arrangement, and method for the operation of a circuit arrangement
DE102019132428A1 (en) Function-oriented electronics architecture
DE102011105617A1 (en) Motor vehicle with a variety of operating components

Legal Events

Date Code Title Description
R081 Change of applicant/patentee

Owner name: SCHAEFFLER TECHNOLOGIES AG & CO. KG, DE

Free format text: FORMER OWNER: SCHAEFFLER TECHNOLOGIES GMBH & CO. KG, 91074 HERZOGENAURACH, DE

Effective date: 20120827

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20130903