DE102013113403B4 - System for controlling at least one power factor - Google Patents

System for controlling at least one power factor Download PDF

Info

Publication number
DE102013113403B4
DE102013113403B4 DE102013113403.3A DE102013113403A DE102013113403B4 DE 102013113403 B4 DE102013113403 B4 DE 102013113403B4 DE 102013113403 A DE102013113403 A DE 102013113403A DE 102013113403 B4 DE102013113403 B4 DE 102013113403B4
Authority
DE
Germany
Prior art keywords
signal
power factor
control unit
controlling
coding
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102013113403.3A
Other languages
German (de)
Other versions
DE102013113403A1 (en
Inventor
Michael Steindl
Martin Winkler
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
AVL Software and Functions GmbH
Original Assignee
AVL Software and Functions GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by AVL Software and Functions GmbH filed Critical AVL Software and Functions GmbH
Priority to DE102013113403.3A priority Critical patent/DE102013113403B4/en
Publication of DE102013113403A1 publication Critical patent/DE102013113403A1/en
Application granted granted Critical
Publication of DE102013113403B4 publication Critical patent/DE102013113403B4/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G08SIGNALLING
    • G08CTRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
    • G08C19/00Electric signal transmission systems

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

System (1) zur Steuerung zumindest eines Leistungsaktors (2), mit einem Steuergerät (3) sowie einer Überwachungseinrichtung (4), welche das Steuergerät (3), in regelmäßigen Zeitabständen, mit einem Testsignal beaufschlagt, wobei das Steuergerät (3) ein Hardwarestatussignal (A) auf das Testsignal (Q) an die Überwachungseinrichtung (4) sendet, dadurch gekennzeichnet, dass von der Überwachungseinrichtung (4) gemäß zumindest einer Codierungsvorschrift dieses Hardwarestatussignal (A), das Informationen über den Hardwarezustand des Steuergeräts (3) enthält, in ein Codierungssignal (HQ) transformiert wird, und dieses Codierungssignal (HQ) von der Überwachungseinheit verpackt und an den Leistungsaktor (2) in regelmäßigen Zeitabständen gesendet wird, und wobei das Codierungssignal (HQ) durch den Leistungsaktor (2) selbst entpackt und ausgewertet wird, wobei der Leistungsaktor (2) eine Ausführungseinheit (21) umfasst, welche im Falle eines Erkennens eines Fehlerzustandes ein Systemverhalten des Steuergeräts (3) und/oder ausführender Elemente des Leistungsaktors (2) degradiert steuert und/oder vorgibt.System (1) for controlling at least one power actuator (2), with a control device (3) and a monitoring device (4), which the control device (3), at regular intervals, applied to a test signal, wherein the control device (3) a hardware status signal (A) to the test signal (Q) to the monitoring device (4) sends, characterized in that of the monitoring device (4) according to at least one coding rule this hardware status signal (A) containing information about the hardware state of the control unit (3) in a coding signal (HQ) is transformed, and this coding signal (HQ) is packaged by the monitoring unit and sent to the power actuator (2) at regular intervals, and wherein the coding signal (HQ) is unpacked and evaluated by the power actuator (2) itself, wherein the power actuator (2) comprises an execution unit (21) which, in the case of detecting an error condition, an S the control device (3) and / or executive elements of the power actuator (2) are degraded controls and / or pretending.

Description

Die vorliegende Erfindung betrifft ein System zur Steuerung zumindest eines Leistungsaktors sowie ein Verfahren zur Steuerung zumindest eines Leistungsaktors gemäß den jeweiligen Oberbegriffen der Patentansprüche 1 und 9.The present invention relates to a system for controlling at least one power actuator and to a method for controlling at least one power actuator according to the respective preambles of claims 1 and 9.

Insbesondere umfasst das hier beschriebene System zur Steuerung zumindest eines Leistungsaktors zumindest ein Steuergerät sowie eine Überwachungseinrichtung, welche das Steuergerät, vorzugsweise in regelmäßigen Zeitabständen, mit einem Testsignal beaufschlagt, wobei das Steuergerät ein Hardwarestatussignal auf das Testsignal an die Überwachungseinrichtung sendet.In particular, the system described here for controlling at least one power actuator comprises at least one control device and a monitoring device, which applies a test signal to the control device, preferably at regular time intervals, wherein the control device sends a hardware status signal to the test signal to the monitoring device.

Derartige Systeme zur Steuerung von Leistungsaktoren sind jedoch bereits aus dem Stand der Technik wohl bekannt.However, such systems for controlling power actuators are already well known in the art.

Insbesondere sind auch solche Systeme bekannt, bei denen ein erster Mikrorechner Steuerdaten, die zur Steuerung des Kraftfahrzeuges benötigt werden, bestimmt. Eine Überwachungseinrichtung überprüft, ob der erste Mikrorechner korrekt arbeitet. Diese Überwachungseinrichtung kann entweder als Mikrorechner oder in der einfachsten Form als fest verdrahteter Baustein ausgeführt sein. Erkennt die Überwachungseinrichtung nun einen sicherheitskritischen Betriebszustand, so versetzt die sicherheitsrelevante Ausgangsgröße über ein entsprechendes Sicherheitssignal das System in einen sicheren Zustand. Dies bedeutet, dass zum Beispiel die Kraftstoffeinspritzung unterbunden und/oder die Drosselklappe geschlossen wird.In particular, such systems are also known in which a first microcomputer determines control data that is needed to control the motor vehicle. A monitoring device checks whether the first microcomputer is working correctly. This monitoring device can be designed either as a microcomputer or in the simplest form as a hardwired component. If the monitoring device now recognizes a safety-critical operating state, then the safety-relevant output variable sets the system into a safe state via a corresponding safety signal. This means that, for example, the fuel injection is inhibited and / or the throttle valve is closed.

Derartige aus dem Stand der Technik bekannte Systeme umfassen auch eine redundante, unabhängige Hardwareleitung zu den Leistungsaktoren. Solche Systeme zur Steuerung zumindest eines Leistungsaktors weisen daher zusätzliche Hardwareaufwände auf. Insbesondere sind nämlich oftmals in der Regel ein zusätzlicher digitaler Ausgang sowie Maßnahmen zur Spannungsfestigkeit, EMV sowie Bauraum auf einem PCB notwendig.Such prior art systems also include a redundant, independent hardware line to the power actuators. Such systems for controlling at least one power factor therefore have additional hardware costs. In particular, an additional digital output and measures for dielectric strength, EMC and installation space on a PCB are often necessary.

Neben dem oben beschriebenen Nachteil des zusätzlichen Hardwareaufwands weisen solche digitale Abschaltpfade eine sehr schlechte Diagnostizierbarkeit auf. Mit anderen Worten kann die Funktionsfähigkeit des Abschaltpfads nur eingeschränkt überprüft werden. Wird z. B. ein zyklischer Test der Funktionsfähigkeit des Abschaltpfades benötigt, ist weitere zusätzliche Hardware notwendig.Besides the disadvantage of the additional hardware overhead described above, such digital shutdown paths have a very poor diagnosability. In other words, the functionality of the Abschaltpfads be checked only limited. If z. B. requires a cyclical test of the functionality of the Abschaltpfades, additional additional hardware is necessary.

Ebenso sind aus dem Stand der Technik Systeme zur Steuerung zumindest eines Leistungsaktors bekannt, welche über die Abschaltung zum Beispiel eines CAN-Transceiver dem übergeordneten Steuergerät durch fehlende Kommunikation einen Fehler signalisiert. Eine derartige über die Abschaltung des CAN-Tranceivers eingeführte Fehlersignalisierung führt jedoch unter anderem zu einer sehr schlechten Fehlerdiagnostizierbarkeit. Dies liegt unter anderem auch daran, dass mit dem Abschalten der Kommunikation auch Verbindungen zu externen Mess- und Diagnosesystemen unterbrochen werden. Darüber hinaus weist eine derartige Abschaltung eine eingeschränkte Systemrobustheit sowie eine reduzierte Systemverfügbarkeit bis hin zum Komplettausfall des Systems als auch eine verminderte oder gar keine Reprogrammiermöglichkeit auf.Likewise, systems for controlling at least one power actuator are known from the prior art, which signals a failure to the higher-level control unit by switching off, for example, a CAN transceiver lacking communication. However, such error signaling introduced via the switching-off of the CAN tranceiver, inter alia, leads to a very poor fault diagnosis capability. Among other things, this is due to the fact that connections to external measuring and diagnostic systems are interrupted when the communication is switched off. In addition, such a shutdown has a limited system robustness and reduced system availability to the complete failure of the system as well as a reduced or no Reprogrammiermöglichkeit.

Außerdem ist bei dieser Art der Abschaltung eine Kommunikation erst nach erfolgtem Abschaltpfadtest möglich, was unter Umständen zu kritischen Hochlaufzeiten führt und/oder spezielle Mechanismen zur sicheren Programmierung erfordern kann.In addition, in this type of shutdown communication is possible only after a Abschaltpfadtest, which may lead to critical startup times and / or may require special mechanisms for secure programming.

Als zusätzlichen Nachteil bieten die oben genannten Abschaltpfade lediglich zwei Zustände, aktiviert oder deaktiviert. Eine gestufte Fehlerreaktion ist daher nicht möglich.As an additional disadvantage, the abovementioned shutdown paths only provide two states, activated or deactivated. A graded error reaction is therefore not possible.

Mariani, Riccardo; Fuhrmann Peter: Comparing fail-safe microcontroller architectures in light of IEC 61508, 22nd IEEE Int. Symp. on Defect and Fault-Tolerance in VLSI Systems, DFT '07, Rome, Sept. 2007. Cnf. Proceedings, pp. 123–131 beschreibt verschiedene Sicherheitsarchitekturen im Hinblick auf die IEC 61508 Norm. Es wird eine ”challenge-response architecture” beschrieben, bei der eine CPU-Einheit von einer Überwachungseinheit überwacht wird. Dabei sendet die Überwachungseinheit ein „challenge”-Signal und erhält daraufhin ein Antwortsignal. Im Fehlerfall wird ein Aktor über einen separaten Abschaltkanal in einen sicheren Zustand versetzt.Mariani, Riccardo; Fuhrmann Peter: Comparing fail-safe microcontroller architectures in light of IEC 61508, 22nd IEEE Int. Symp. On Defect and Fault Tolerance in VLSI Systems, DFT '07, Rome, Sept. 2007. Cnf. Proceedings, pp. 123-131 describes various security architectures with regard to the IEC 61508 standard. A "challenge-response architecture" is described in which a CPU unit is monitored by a monitoring unit. The monitoring unit sends a "challenge" signal and then receives a response signal. In the event of a fault, an actuator is put into a safe state via a separate shutdown channel.

Beckmann Guido: Funktionale Sicherheit mit Safety-over-Erthercat. openautomation Report 2/2013, ISBN 978-3-8007-3559-4. S. 22–23 beschreibt das sichere Protokoll Safety-over-Ethercat. Hier werden Standardinformationen und sichere Daten auf einem Kanal übertragen. Bei einer zyklischen Kommunikation wird ein Ethernet Telegramm übertragen.Beckmann Guido: Functional safety with Safety-over-Erthercat. openautomation Report 2/2013, ISBN 978-3-8007-3559-4. Pages 22-23 describe the safe protocol Safety-over-Ethercat. Here standard information and secure data are transmitted on one channel. For cyclic communication, an Ethernet telegram is transmitted.

Baumeister Markus: Using Decoupled Parallel Mode for Safety Applications. White Paper. Firmenschrift, freescale semiconductor, Document Number MPC564XLWP, REV 0. Tempe, Arizona, USA: Freescale Semiconductor, Inc., 2009 beschreibt Sicherheitsarchitekturen einer „dual core” Mikrocontrollereinheit. Unter anderem wir ein „intelligenter” Aktor beschrieben, der ohne separate Hardwareleitung als Abschaltpfad betrieben werden kann. Dabei liefert der erste Kern die Prozessdaten an den Aktor und der zweite Kern einen Prüfwert (CRC).Baumeister Markus: Using Decoupled Parallel Mode for Safety Applications. White paper. Freescale, Inc., Freescale Semiconductor, Inc., 2009 describes security architectures of a dual-core microcontroller unit. Among other things, we described a "smart" actuator that can be operated as a shutdown path without a separate hardware line. The first core supplies the process data to the actuator and the second core a test value (CRC).

Ausgehend hiervon ist es daher eine Aufgabe der vorliegenden Erfindung die oben genannten Probleme zu vermeiden und ein System zur Steuerung zumindest eines Leistungsaktors anzubieten, welche zum Einen verminderten Hardware-Aufwand benötigt (unmittelbar verbunden mit einer Kosteneinsparung) und zum anderen besonders einfach und gezielt nur von einem Fehlerzustand betroffene Teile des Leistungsaktors und/oder des Steuergeräts in Ihrer Leistung heruntergeregelt oder ganz abgeschaltet werden können. Proceeding from this, it is therefore an object of the present invention to avoid the above-mentioned problems and to offer a system for controlling at least one power factor, which on the one hand requires reduced hardware complexity (directly associated with a cost saving) and on the other hand particularly simple and targeted only by parts of the power actuator and / or the control unit affected by a fault condition can be reduced in their power or completely switched off.

Um nun ein System zur Steuerung zumindest eines Leistungsaktors anzugeben, welches zum einen besonders kostengünstig und einfach herstellbar ist und zum anderen umfassende Diagnosemöglichkeiten bietet, macht die vorliegende Erfindung unter anderem von der Idee Gebrauch, dass von der Überwachungseinrichtung gemäß zumindest einer Codierungsvorschrift ein Hardwarestatussignal, das Informationen über den Hardwarezustand des Steuerrechners enthält, in ein Codierungssignal transformiert wird und dieses Codierungssignal von der Überwachungseinheit verpackt und an den Leistungsaktor in regelmäßigen Zeitabständen (d. h. zyklisch) gesendet wird, und wobei das Codierungssignal durch den Leistungsaktor selbst entpackt und ausgewertet wird. Wird eine sicherheitsrelevante Beeinträchtigung des Hardwarezustands vom Überwachungsrechner an den Leistungsaktor gemeldet, wird vom Leistungsaktor eine entsprechende Reaktion eingeleitet.In order to provide a system for controlling at least one power factor, which on the one hand is particularly cost-effective and easy to produce and on the other offers comprehensive diagnostic options, the present invention makes use, inter alia, of the idea that of the monitoring device according to at least one coding rule, a hardware status signal Contains information about the hardware state of the control computer, is transformed into a coding signal and this coding signal is packaged by the monitoring unit and sent to the power actuator at regular intervals (ie cyclically), and the coding signal is unpacked and evaluated by the power actuator itself. If a safety-relevant impairment of the hardware status is reported by the monitoring computer to the power actuator, the power actuator initiates a corresponding reaction.

Der Leitungsaktor ist mit einer Ausführungseinheit ausgestattet, welche im Falle eines Erkennens eines Fehlerzustandes ein Systemverhalten des Steuergerätes und/oder ausführender Elemente des Leistungsaktors steuert und/oder vorgibt.The line actuator is equipped with an execution unit, which controls and / or prescribes a system behavior of the control device and / or executing elements of the power actuator in the event of detection of a fault condition.

„Codieren” heißt in diesem Zusammenhang, dass das Hardwarestatussignal hinsichtlich Datenintegrität und/oder -aktualität mit Mechanismen der Kommunikationsüberwachung ergänzt wird. Dies kann die Beaufschlagung und/oder die Charakterisierung des Hardwarestatussignals mit einem Botschaftszähler oder einer Prüfsumme umfassen.In this context, "coding" means that the hardware status signal is supplemented with mechanisms of communication monitoring with regard to data integrity and / or up-to-dateness. This may include applying and / or characterizing the hardware status signal with a message counter or a checksum.

Mit anderen Worten bietet also die vorliegende Erfindung und das hiermit angebotene System zur Steuerung zumindest eines Leistungsaktors einen insbesondere verminderten Hardware-Aufwand, da eine redundante unabhängige Hardware-Leitung ausgehend von der Überwachungseinrichtung hin zu einem Verbindungsknoten mit dem Leistungsaktor entfallen kann und somit nicht mehr unbedingt nötig ist, sowie eine erhöhte Busverfügbarkeit an.In other words, therefore, the present invention and the system offered hereby for controlling at least one power factor offers a particularly reduced hardware outlay, since a redundant independent hardware line from the monitoring device to a connection node with the power actuator can be dispensed with and thus no longer necessarily is necessary, as well as increased bus availability.

Die erhöhte Busverfügbarkeit kann zudem darin gesehen werden, als dass eine Abschaltung der CAN-Transceiver um den übergeordneten Steuergerät durch fehlende Kommunikation einen Fehler zu signalisieren, vollständig entfällt.The increased bus availability can also be seen in that a shutdown of the CAN transceiver in order to signal a fault to the higher-level control unit due to lack of communication, completely eliminated.

Zudem ist eine degradierte Fehlerreaktion möglich und es kann auch eine Taktunabhängigkeit der Überwachungseinheit aufgehoben werden (die temporale Überwachung erfolgt durch den Leistungsaktor).In addition, a degraded error response is possible and it can also be a clock independence of the monitoring unit are canceled (the temporal monitoring is done by the power factor).

Gemäß zumindest einer Ausführungsform umfasst das System zur Steuerung zumindest eines Leistungsaktors ein Steuergerät sowie eine Überwachungseinrichtung, welche das Steuergerät, vorzugsweise in regelmäßigen Zeitabständen, mit einem Testsignal beaufschlagt, wobei das Steuergerät ein Hardwarestatussignal auf das Testsignal an die Überwachungseinrichtung sendet. Die Überwachungseinheit ermittelt dadurch den sicherheitsrelevanten Hardware-Status des Steuergeräts.In accordance with at least one embodiment, the system for controlling at least one power actuator comprises a control device and a monitoring device, which applies a test signal to the control device, preferably at regular time intervals, wherein the control device sends a hardware status signal to the test signal to the monitoring device. The monitoring unit thereby determines the safety-relevant hardware status of the control unit.

Dabei wird von der Überwachungseinrichtung gemäß zumindest einer Codierungsvorschrift dieses Hardwarestatussignal, das Informationen über den Hardwarezustand des Steuergeräts enthält, in ein Codierungssignal transformiert, wobei dieses Codierungssignal von der Überwachungseinheit verpackt und an den Leistungsaktor in regelmäßigen Zeitabständen gesendet wird. Anschließend wird das Codierungssignal durch den Leistungsaktor selbst entpackt und ausgewertet. Wird eine sicherheitsrelevante Beeinträchtigung des Hardwarezustands vom Überwachungsrechner an den Leistungsaktor gemeldet, wird vom Leistungsaktor eine entsprechende Reaktion eingeleitet.In this case, the monitoring device transforms this hardware status signal, which contains information about the hardware state of the control device, into an encoding signal in accordance with at least one coding specification, this encoding signal being packaged by the monitoring unit and sent to the power factor at regular time intervals. Subsequently, the coding signal is unpacked and evaluated by the power actuator itself. If a safety-relevant impairment of the hardware status is reported by the monitoring computer to the power actuator, the power actuator initiates a corresponding reaction.

Insofern handelt es sich im Gegensatz zum Stand der Technik um ein System zur Steuerung zumindest eines Leistungsaktors, bei dem statt einer direkten Abschaltung des Leistungsaktors durch den Überwachungsrechner im Fehlerfall ausschließlich eine Bewertung des Hardwarezustands vorgenommen wird. Die Bewertung des Hardwarezustands des Steuergeräts wird durch den Leistungsaktor selbst vorgenommen. Eine Transformation des Hardwarestatussignals entsprechend und abhängig von einer Codierungsvorschrift in das Codierungssignal ist unter anderem auch deshalb besonders vorteilhaft, als dass das hier beschriebene Codierungssignal durch bereits im System vorhandene Bussysteme und/oder sonstige Halbleiterbauelemente transportiert werden kann, ohne dass auf dem Weg von der Überwachungseinheit hin zum Leistungsaktor dieses Codierungssignal aufgrund einer Korrumpierung oder eines unerlaubten Zugriffs verändert werden könnte.In this respect, it is in contrast to the prior art to a system for controlling at least one power factor, in which instead of a direct shutdown of the power actuator by the monitoring computer in case of failure exclusively an assessment of the hardware state is made. The evaluation of the hardware state of the controller is made by the power actuator itself. A transformation of the hardware status signal in accordance with and dependent on a coding rule in the coding signal is also particularly advantageous because the coding signal described here can be transported by bus systems already present in the system and / or other semiconductor components without being en route from the monitoring unit towards the power factor, this coding signal could be altered due to corruption or unauthorized access.

Selbst wenn das Codierungssignal unerlaubterweise verändert worden wäre, würde der Leistungsaktor aufgrund der in diesem hinterlegten Prüffunktion eine Manipulation des Codierungssignals unmittelbar feststellen und einen sicherheitsrelevanten Fehlerzustand ausgeben. Jedenfalls sorgt die hier beschriebene Codierungsvorschrift und das daraus entstehende Codierungssignal dafür, dass dieses besonders variable nicht nur über bereits aus dem Stand der Technik bekannte zusätzliche Hardware-Leitung transportiert werden kann, sondern auch stattdessen oder auch zusätzlich durch das Steuergerät hindurch und von dem Steuergerät weiter transportiert werden kann. Insofern bietet das hier beschriebene System eine ganz besonders flexible Steuerung des zumindest einen Leistungsaktorteils. Dabei sei insbesondere darauf hingewiesen, dass der Begriff „Leistungsaktor” jedes Leistungselement bezeichnet. Beispielsweise handelt es sich bei derartigen Leistungsaktoren um Endverbraucherstufen, wie zum Beispiel Motorelemente oder Drosselklappensteuerungen oder Steuerungen für solche Motorelemente etc. oder aber auch um weitere Steuergeräte handeln. Insbesondere kann der Leistungsaktor zumindest einen Mikrocontroller sowie eine Endverbraucherstufe umfassen.Even if the coding signal had been altered unauthorizedly, the power factor would immediately detect a manipulation of the coding signal due to the test function stored therein, and a output safety-relevant error state. In any case, the coding rule described here and the resulting coding signal ensures that this particularly variable can be transported not only over already known from the prior art additional hardware line, but also instead or in addition by the controller and on by the controller on can be transported. In this respect, the system described here offers a particularly flexible control of the at least one power actuator part. It should be noted in particular that the term "power factor" designates each power element. For example, such power actuators are end user stages, such as, for example, engine elements or throttle valve controls or controls for such engine elements, etc., or also other control devices. In particular, the power factor may include at least one microcontroller and one end user stage.

Der Leitungsaktor umfasst die Ausführungseinheit, welche im Falle eines Erkennens eines Fehlerzustandes ein Systemverhalten des Steuergeräts und/oder ausführende Elemente des Leistungsaktors steuert und/oder vorgibt. Insofern dient die hier beschriebene Ausführungseinheit, welche beispielweise in einem gemeinsamen Gehäuse mit weiteren Elementen des Leistungsaktors verbaut sein kann, die Möglichkeit einer möglichst zeitnahen Reaktion auf Systemausfälle und/oder Systemmanipulationen. Die Ausführungseinheit hat daher auch die Funktion einer „Alarmeinheit” zur Alarmierung eines Bedieners. Beispielweise kann ein Alarmsignal durch die Ausführungseinheit in bildlicher Form auf einen Bildschirm transportiert werden auf dem das fehlerhafte Steuergerät und/oder der fehlerhafte Leistungsaktor beziehungsweise jeweils Elemente davon optisch dargestellt werden können.The line actuator comprises the execution unit, which controls and / or prescribes a system behavior of the controller and / or executing elements of the power actuator in the event of detection of a fault condition. In this respect, the execution unit described here, which can be installed, for example, in a common housing with further elements of the power actuator, the possibility of a timely response to system failures and / or system manipulation. The execution unit therefore also has the function of an "alarm unit" to alert an operator. For example, an alarm signal can be transported by the execution unit in a pictorial form on a screen on which the faulty controller and / or the faulty power actuator or respectively elements thereof can be displayed optically.

Gemäß zumindest einer Ausführungsform umfasst das Systemverhalten ein Leistungsdrosseln der ausführenden Elemente und/oder ein vollständiges Abschalten von ausführenden Elementen des Leistungsaktors und/oder des Steuergeräts. Denkbar ist in diesem Zusammenhang, dass eine Kraftstoffeinspritzung eines oder mehrerer Zylinder eines Motors für ein Kraftfahrzeug defekt ist oder abweichend von einem Sollbetriebsbereich funktioniert. Wird dies über das Hardwarestatussignal an den Leistungsaktor gemeldet, kann der Leistungsaktor beispielsweise nur die funktionierenden Einspritzventile ansteuern.In accordance with at least one embodiment, the system behavior comprises a performance throttling of the executing elements and / or a complete deactivation of executing elements of the power actuator and / or the control device. It is conceivable in this connection that a fuel injection of one or more cylinders of an engine for a motor vehicle is defective or works differently from a desired operating range. If this is reported to the power actuator via the hardware status signal, the power actuator can, for example, only control the functioning injection valves.

Ein Abschalten von allen Einspritzventilen, d. h. ein vollständiges Abschalten des gesamten Motors, ist daher ganz vorteilhaft vermieden. Dies ist nämlich unter anderem dadurch realisierbar, als dass in der vorliegenden Erfindung die Überwachungseinheit lediglich eine Bewertung des Hardwarestatus des Systems vornimmt und an den Leistungsaktor sendet, und nicht wie im Stand der Technik stets beschrieben, die Überwachungseinheit selbst eine Systemreaktion einleitet. Die Leistungsaktoren können daher sich selbst aufgrund des signalisierten Hardwarezustandes in ihrer Leistung drosseln und/oder abschalten.A shutdown of all injectors, d. H. a complete shutdown of the entire engine is therefore avoided quite advantageous. This is because, among other things, this is achieved in that, in the present invention, the monitoring unit only makes an evaluation of the hardware status of the system and sends it to the power actuator, rather than always described in the prior art, the monitoring unit itself initiates a system reaction. Therefore, the power factors can throttle themselves and / or turn off their performance due to the signaled hardware state.

Auch ist eine Reduzierung der Leistung oder anders geartete Fehlerreaktion durch den Leistungsaktor in Elektro- und/oder Hybridfahrzeugen möglich.Also, a reduction in performance or other type of error reaction by the power actuator in electric and / or hybrid vehicles is possible.

Gemäß zumindest einer Ausführungsform wird nur eine bestimmte Auswahl einzelner Funktionen des Leistungsaktors, insbesondere im Falle des Vorhandenseins eines sicherheitsrelevanten Fehlerzustands abgeschaltet. Insofern kann mittels des hier beschriebenen Codierungssignals durch den Leistungsaktor selbst einzelne Funktionselemente von einem Betrieb ausgekoppelt oder in Ihrer Leistung heruntergefahren werden ohne das gesamte Steuergerät vom Netz genommen werden würde.In accordance with at least one embodiment, only a certain selection of individual functions of the power actuator is switched off, in particular in the event of the presence of a safety-relevant fault condition. In this respect, by means of the coding signal described here by the power actuator itself, individual functional elements can be decoupled from an operation or shut down in their performance without the entire control unit would be disconnected from the network.

Gemäß zumindest einer Ausführungsform wird im Falle eines Feststellens eines Fehlerzustandes zumindest ein Warnsignal von dem Leistungsaktor erzeugt. Das Warnsignal kann in bildlicher Form, beispielsweise auf einem Bildschirm dargestellt, und/oder in akustischer Form ausgeworfen werden.In accordance with at least one embodiment, in the event of a fault condition being detected, at least one warning signal is generated by the power actuator. The warning signal can be displayed in pictorial form, for example on a screen, and / or in acoustic form.

Gemäß zumindest einer Ausführungsform wird eine Prüffunktion von einem Prüfmodul des Leistungsaktors bereitgestellt, wobei das Prüfmodul das entpackte Codierungssignal mit der Prüffunktion vergleicht, und wobei die Prüffunktion zumindest ein Referenzsignal und/oder ein in einer Datenbank des Leistungsaktors hinterlegtes Referenzsignal umfasst. Denkbar ist nämlich, dass das entpackte Codierungssignal, welches dem Hardwareantwortsignal selbst entsprechen kann, durch dauerhaft in dem Leistungsaktor gespeicherte Soll-Referenz-Signale, welche für den einzelnen Betrieb vorgesehen und dazu auch geeignet sind, verglichen wird.In accordance with at least one embodiment, a test function is provided by a test module of the power actuator, wherein the test module compares the unpacked encoding signal with the test function, and wherein the test function comprises at least one reference signal and / or a reference signal stored in a database of the power actuator. It is namely conceivable that the unpacked coding signal, which can correspond to the hardware response signal itself, is compared by permanently stored in the power actuator reference reference signals which are provided for the individual operation and are also suitable.

Stimmen beide Signale überein, funktionieren das Steuergerät und/oder der Leistungsaktor selbst einwandfrei. Sind Abweichungen zu den dauerhaft in dem Leistungsaktor hinterlegten Referenzsignalen von dem Prüfmodul festgestellt worden, wird von diesem der sicherheitsrelevante Fehlerzustand erkannt und beispielsweise unmittelbar das oben beschriebene Warnsignal von dem Leistungsaktor erzeugt.If both signals agree, the controller and / or the power actuator itself will function properly. If deviations from the reference signals permanently stored in the power actuator have been detected by the test module, the safety-relevant fault condition is detected by the latter and, for example, the above-described warning signal is generated directly by the power actuator.

Gemäß zumindest einer Ausführungsform ist das Hardwarestatussignal und/oder das Codierungssignal eindeutig, insbesondere eineindeutig, einer Ausführungsfunktion dem Steuergerät zugeordnet. Insofern kann das Hardwarestatussignal auch in Abhängigkeit einer oder mehrerer Ausführungsfunktionen des Steuergeräts ausgestaltet sein. Beispielsweise ist denkbar, dass eine Ausführungsfunktion des Steuergeräts auf die Auswertung des Codierungssignals und dessen Entpackens in dem Leistungsaktor Einfluss hat. Insofern kann eine Prüffunktion auch abhängig von einer Ausführungsfunktion des Steuergeräts statisch oder dynamisch generiert werden.In accordance with at least one embodiment, the hardware status signal and / or the coding signal are unambiguously, in particular one-to-one, assigned to an execution function of the control unit. In this respect, the hardware status signal can also be dependent on one or more Be executed execution functions of the controller. For example, it is conceivable that an execution function of the control device has an influence on the evaluation of the coding signal and its unpacking in the power actuator. In this respect, a test function can also be generated statically or dynamically, depending on an execution function of the control device.

Gemäß zumindest einer Ausführungsform wird das Codierungssignal über eine Kommunikationsschnittstelle der Überwachungseinheit unter Verwendung zumindest eines Kommunikationsbusses der Überwachungseinheit und/oder des Steuergeräts an den Leistungsaktor weitergeleitet. Zwar weist in einer derartigen Ausführungsform das hier beschriebene System zur Steuerung zumindest eines Leistungsaktors eine zusätzliche Hardware-Komponente in Form des Kommunikationsbusses auf, jedoch bietet auch in einer derartigen scheinbar aufwändigeren Ausführungsform das hier beschriebene System immer noch die entscheidenden Vorteile der obig dargestellten gerichteten Fehlerreaktion und nicht notwendigen Kommunikationsabschaltung. Nach wie vor wird nämlich ein Auslösen einer Fehlerreaktion nicht durch die Überwachungseinheit vorgenommen, sondern differenziert und abgestimmt jeweils auf den jeweiligen Leistungsaktor von diesem selbst. Mit anderen Worten, wird der Leistungsaktor derart betrieben und ist derart ausgestaltet, dass dieser sich selbst überwachen kann.In accordance with at least one embodiment, the coding signal is forwarded to the power actuator via a communication interface of the monitoring unit using at least one communication bus of the monitoring unit and / or of the control unit. Although in such an embodiment the system described here for controlling at least one power actuator has an additional hardware component in the form of the communication bus, however, even in such a seemingly more elaborate embodiment, the system described here still provides the decisive advantages of the directional error response and unnecessary communication shutdown. As before, a triggering of an error reaction is not performed by the monitoring unit, but differentiated and tuned in each case to the respective power factor of the latter itself. In other words, the power actuator is operated in such a way and that it can monitor itself.

Gemäß zumindest einer Ausführungsform wird das Codierungssignal von der Überwachungseinheit zunächst an das Steuergerät und anschließend von dem Steuergerät an den Leistungsaktor gesendet. Eine derartige zur obiger Ausführungsform alternative Ausgestaltung des hier beschriebenen Systems zur Steuerung zumindest eines Leistungsaktors weist daher neben der obig beschriebenen Vorteile ebenso den Vorteil auf, dass eine zusätzliche Hardware-Komponente zum Transport des Codierungssignals eingespart werden kann. Im Weiteren wird ein Verfahren zur Steuerung zumindest eine Leistungsaktors beschrieben. Es sei darauf hingewiesen, dass für das hier beschriebene Verfahren alle Merkmale und Merkmalskombinationen wie im Zusammenhang mit dem obig beschriebenen System zur Steuerung zumindest eines Leistungsaktors offenbart sind und umgekehrt.According to at least one embodiment, the coding signal from the monitoring unit is first sent to the control unit and then from the control unit to the power actuator. Such an alternative embodiment to the above embodiment of the system described here for controlling at least one power factor therefore has the advantage, in addition to the advantages described above, that an additional hardware component for transporting the coding signal can be saved. In the following, a method for controlling at least one power actuator will be described. It should be noted that, for the method described here, all features and feature combinations as disclosed in connection with the system described above for controlling at least one power actuator are disclosed, and vice versa.

Das hier beschriebene Verfahren zur Steuerung zumindest eines Leistungsaktors umfasst ein Steuergerät sowie eine Überwachungseinrichtung, welche das Steuergerät vorzugsweise in regelmäßigen Zeitabständen mit einem Testsignal beaufschlagt, wobei das Steuergerät ein Hardwarestatussignal auf das Testsignal an die Überwachungseinrichtung sendet. Von der Überwachungseinheit wird dieses Hardwarestatussignal, das Informationen über den Hardwarezustand des Steuergeräts enthält, gemäß, insbesondere den Mechanismen der Prozessorüberwachung, bewertet, und diese Bewertung und/oder dieses Hardwarestatussignal mit zumindest einer Codierungsvorschrift in ein Codierungssignal transformiert, und dieses Codierungssignal wird von der Überwachungseinheit verpackt und an den Leistungsaktor in regelmäßigen Zeitabständen gesendet, wobei das Codierungssignal durch den Leistungsaktor selbst entpackt und ausgewertet wird.The method described here for controlling at least one power factor comprises a control device and a monitoring device which preferably applies a test signal to the control device at regular time intervals, wherein the control device sends a hardware status signal to the test signal to the monitoring device. The monitoring unit evaluates this hardware status signal containing information about the hardware state of the controller according to, in particular, the mechanisms of the processor monitoring, and transforms this rating and / or hardware status signal into at least one coding rule into a coding signal, and this coding signal is transmitted by the monitoring unit packaged and sent to the power actuator at regular intervals, the encoding signal being unpacked and evaluated by the power actuator itself.

Insofern weist das hier beschriebene Verfahren die gleichen Ausgestaltungsvorteile im Zusammenhang mit dem obig beschriebenen System zur Steuerung zumindest eines Leistungsaktors auf.In this respect, the method described here has the same design advantages in connection with the system described above for controlling at least one power factor.

Im Folgenden wird das hier beschriebene System zur Steuerung zumindest eines Leistungsaktors sowie das dazu korrespondierende Verfahren anhand von Ausführungsbeispielen und den dazugehörigen Figuren näher beschrieben.In the following, the system described here for controlling at least one power actuator as well as the method corresponding thereto will be described in greater detail on the basis of exemplary embodiments and the associated figures.

In den 1A und 1B ist ein erstes Ausführungsbeispiel eines hier beschriebenen Systems sowie ein dazu korrespondierendes Verfahren dargestellt.In the 1A and 1B shows a first embodiment of a system described here and a method corresponding thereto.

In den 2A und 2B ist ein zweites Ausführungsbeispiel eines hier beschriebenen Systems sowie ein dazu korrespondierendes Verfahren offenbart.In the 2A and 2 B a second embodiment of a system described herein and a corresponding method is disclosed.

In den Ausführungsbeispielen und in den Figuren sind gleiche oder gleichwirkenden Bestandteile jeweils mit den gleichen Bezugszeichen versehen. Die hier dargestellten Elemente sind nicht als maßstabsgerecht anzusehen, vielmehr können Einzelelemente zum besseren Verständnis übertrieben groß dargestellt sein. In der 1A ist schematisch ein erstes Ausführungsbeispiel eines hier beschriebenen Systems 1 zur Steuerung eines Leistungsaktors 2 dargestellt. Dabei umfasst das System 1 ein Steuergerät 3 sowie eine Überwachungseinrichtung 4, welche das Steuergerät 3 in regelmäßigen Zeitabständen, d. h. zyklisch, mit einem Testsignal Q beaufschlagt, wobei das Steuergerät 3 ein Hardwarestatussignal A auf das Testsignal Q an die Überwachungseinrichtung 4 sendet (durch Pfeile zwischen den Einheiten Steuergerät 3 und Überwachungseinheit 4 in der 1a dargestellt). In the exemplary embodiments and in the figures, identical or equivalent components are each provided with the same reference numerals. The elements shown here are not to be considered as true to scale, but individual elements may be shown exaggerated for better understanding. In the 1A is schematically a first embodiment of a system described here 1 for controlling a power factor 2 shown. This includes the system 1 a control unit 3 and a monitoring device 4 which the control unit 3 at regular intervals, ie cyclically, with a test signal Q applied, wherein the control unit 3 a hardware status signal A to the test signal Q to the monitoring device 4 sends (through arrows between the units control unit 3 and monitoring unit 4 in the 1a shown).

Dabei bewertet die Überwachungseinheit 4 dieses Hardwarestatussignal A gemäß zumindest den Mechanismen der Prozessorüberwachung und transformiert diese Bewertung gemäß zumindest einer Codierungsvorschrift in ein Codierungssignal HQ. Das Codierungssignal HQ ist bildlich durch den angedeuteten Briefumschlag schematisch dargestellt. Dabei wird dieses Codierungssignal HQ von der Überwachungseinheit 4 an den Leistungsaktor 2 in regelmäßigen Zeitabständen, d. h. zyklisch, gesendet, wobei das Codierungssignal HQ durch den Leistungsaktor 2 selbst entpackt wird und von dem Leistungsaktor 2 abhängig von einer Prüffunktion ein sicherheitsrelevanter Zustand erkannt wird. Mit anderen Worten wird das hier beschriebene Codierungssignal, welches auch als ein „versiegeltes Datenpacket” bezeichnet werden kann, zyklisch über eine geeignete Kommunikationsschnittstelle der Überwachungseinheit 4 (z. B. CAN, SPI) an die unabhängige Hardware-Einheit, welche in Form des Leistungsaktors 2 (zu Englisch: IPU) verwirklicht ist, weitergeleitet. Insbesondere ist dazu in der 1A dargestellt, das zur Weiterleitung des Codierungssignals HQ ein vorhandenes Bussystem benutzt wird. Mit anderen Worten nimmt das Codierungssignal HQ nicht den direkten Weg zunächst durch das Steuergerät 3 hindurch sondern wird über eine zusätzliche Hardware-Komponente hin zu einem Verbindungsknotenpunkt mit der Steuerkommandoleitung. Sowohl ein Steuerkommando CMD als auch das Codierungssignal HQ werden daher über ein und dieselbe Leitung oder in unterschiedlichen Leitungen, jedoch dann auch den gleichen Buseingang, an den Leistungsaktor 2 gesandt und dort von einer Ausführungseinheit 21, beispielsweise einem Mikrocontroller, entpackt.The monitoring unit evaluates this 4 this hardware status signal A according to at least the mechanisms of the processor monitoring and transforms this evaluation according to at least one coding rule in a coding signal HQ. The coding signal HQ is shown schematically by the indicated envelope. In this case, this coding signal HQ from the monitoring unit 4 to the power factor 2 in periodically, ie cyclically sent, the coding signal HQ through the power factor 2 itself is unpacked and from the power factor 2 depending on a test function, a safety-relevant condition is detected. In other words, the coding signal described here, which may also be referred to as a "sealed data packet", is cyclically transmitted via a suitable communication interface of the monitoring unit 4 (eg CAN, SPI) to the independent hardware unit, which is in the form of the power factor 2 (English: IPU) is realized, forwarded. In particular, in the 1A illustrated that an existing bus system is used to forward the coding signal HQ. In other words, the coding signal HQ does not take the direct route first through the controller 3 but rather becomes an interconnection node with the control command line via an additional hardware component. Both a control command CMD and the coding signal HQ are therefore sent to the power actuator via one and the same line or in different lines, but then also the same bus input 2 sent and there from an execution unit 21 , for example a microcontroller, unpacked.

Alternativ zur Ausführungsform gemäß der 1A ist in dem Ausführungsbeispiel gemäß der 1B gezeigt, dass das Codierungssignal HQ über eine separate Kommunikationsverbindung an den Leistungsaktor 2 gesendet wird. Mit anderen Worten können das Steuerkommando und das Codierungssignal über unterschiedliche Buseingänge in den Leistungsaktor 2 eingespeist werden. In jedem der Ausführungsbeispiele ist jedoch zu beachten, dass der Leistungsaktor 2, bzw. ein Mikrocontroller des Leistungsaktors 2, das eingehende „versiegelte” Datenpacket in Form des Codierungssignals HQ hinsichtlich Datenintegrität und Datenaktualität mit Mechanismen der Kommunikationsüberwachung insbesondere unter Einbeziehung der hier beschriebenen Prüffunktion überprüft.Alternatively to the embodiment according to the 1A is in the embodiment according to the 1B shown that the coding signal HQ via a separate communication link to the power actuator 2 is sent. In other words, the control command and the coding signal can be fed into the power actuator via different bus inputs 2 be fed. In each of the embodiments, however, it should be noted that the power factor 2 , or a microcontroller of the power actuator 2 , the incoming "sealed" data packets in the form of the coding signal HQ in terms of data integrity and data updated with mechanisms of communication monitoring in particular with the inclusion of the test function described here.

Basierend auf Gültigkeit des Paketes bzw. dem übermittelten Hardwarezustand des Steuergeräts 3 wird ein Systemverhalten vorgegeben. Das Systemverhalten kann von Art, Schwere und Ursache des Hardware-Fehlers abhängig gemacht werden. Informationen über das Systemverhalten können an die Überwachungseinrichtung 4 rückgemeldet werden (bidirektionale Verbindung). Insofern kann auch eine redundante Ausführungsform vorliegen, in der in jedem der Ausführungsbeispiele neben dem Verarbeiten des in den Leistungsaktor 2 eingehenden Codierungssignals, ein entsprechendes Steuersignal über Bussysteme an das Steuergerät und/oder an die Überwachungseinheit 4 zurück gesendet werden kann. Insbesondere ist vorstellbar, dass nämlich auch die Überwachungseinheit 4 zusätzlich zum Hardwarezustand des Steuergeräts 3 Steuersignale in das Datenpaket des Codierungssignals integrieren kann. Auf dem Steuergerät 3 können diese Steuersignale zum Beispiel zum Ausführen eines zyklischen Abschaltpfadtests genutzt werden. Die Zykluszeit der Nachrichten kann entsprechend der geforderten Fehltoleranzzeit daher auch eingestellt werden.Based on validity of the package or the transmitted hardware state of the controller 3 a system behavior is specified. The system behavior can be made dependent on the type, severity and cause of the hardware error. Information about the system behavior can be sent to the monitoring device 4 be confirmed (bidirectional connection). In this respect, a redundant embodiment may also be present in which, in each of the exemplary embodiments, in addition to the processing into the power actuator 2 incoming coding signal, a corresponding control signal via bus systems to the control unit and / or to the monitoring unit 4 can be sent back. In particular, it is conceivable that the monitoring unit 4 in addition to the hardware state of the controller 3 Can integrate control signals in the data packet of the coding signal. On the control unit 3 For example, these control signals may be used to perform a cyclic shutdown path test. The cycle time of the messages can therefore also be set according to the required error tolerance time.

Zudem ist in der 1A ebenso erkennbar, dass die Leistungsaktor 2 eine Ausführungseinheit 21 umfasst, welche im Falle eines Erkennens eines Fehlerzustandes ein Systemverhalten des Steuergeräts und/oder ausführende Elemente des Leistungsaktors steuert und/oder vorgibt.Moreover, in the 1A just as recognizable that the power factor 2 an execution unit 21 includes, which controls in the event of detection of a fault condition, a system behavior of the controller and / or executing elements of the power actuator and / or pretending.

Zudem umfasst der Leistungsaktor 2 ein Prüfmodul 22 zur Ausführung der Prüffunktion, wobei das Prüfmodul 22 das entpackte Codierungssignal HQ mit der Prüffunktion vergleicht, und wobei die Prüffunktion 22 zumindest ein Referenzsignal und/oder ein in der Datenbank des Leistungsaktors hinterlegtes Referenzsignal umfasst.In addition, the power factor includes 2 a test module 22 to perform the test function, the test module 22 comparing the extracted coding signal HQ with the test function, and wherein the test function 22 comprises at least one reference signal and / or a stored in the database of the Leistungsaktors reference signal.

In den 2A und 2B, welche einer grundsätzlichen zweiten Variante des hier beschriebenen Systems 1 zur Steuerung eines Leistungsaktors 2 entspricht, ist im Unterschied zu den Ausführungsbeispielen gemäß der 1A und 1B dargestellt, dass ausschließlich das Steuergerät 3 das Codierungssignal HQ, d. h. das „versiegelte Datenpacket,” an die Leistungsendstufe 2 weiterleitet. Insbesondere ist wiederum hinsichtlich der 2B erkennbar, dass dort das Codierungssignal HQ und das Steuersignal CMD in unterschiedliche Buseingänge in den Leistungsaktor 2 eingespeist werden. In den Ausführungsbeispielen der 2A und 2B leitet daher das Steuergerät 3 das Datenpacket über eine bereits vorhandene Kommunikationsschnittstelle an die unabhängigen Leistungsaktor 2 weiter (Gateway-Funktionalität). Dieser Leistungsaktor 2 kann entweder eine Steuergerät-interne intelligente Leistungsendstufe (Einspritzendstufe) oder ein unabhängiges ausführendes Steuergerät (Inverter) sein.In the 2A and 2 B which is a fundamental second variant of the system described here 1 for controlling a power factor 2 is in contrast to the embodiments according to the 1A and 1B shown that only the control unit 3 the coding signal HQ, ie the "sealed data packet," to the power output stage 2 forwards. In particular, again in terms of 2 B recognizable that there the coding signal HQ and the control signal CMD in different bus inputs in the Leistungsaktor 2 be fed. In the embodiments of the 2A and 2 B therefore directs the controller 3 the data packet over an existing communication interface to the independent power factor 2 continue (gateway functionality). This power factor 2 can be either a controller-internal intelligent power output stage (injection power amplifier) or an independent executive controller (inverter).

Die Überwachungseinheit 4 kann entweder ein Steuergerät-internes intelligentes Überwachungsmodul oder eine unabhängige ausführende Überwachungseinheit sein.The monitoring unit 4 can be either a controller-internal intelligent monitoring module or an independent executive monitoring unit.

In der Summe bietet jedoch jedes der Ausführungsbeispiele die Möglichkeit des Abschaltens und/oder Steuerns von einzelnen Leistungsaktoren 2 ohne das ganze Leistungsaktorgruppen oder das komplette Steuergerät gedrosselt und/oder vollkommen abgeschaltet werden müsste.In sum, however, each of the embodiments offers the possibility of turning off and / or controlling individual power actuators 2 without the whole Leistungsaktorgruppen or the entire control unit would have throttled and / or shut down completely.

Die Erfindung ist nicht durch die Beschreibung anhand der Ausführungsbeispiele beschränkt.The invention is not limited by the description with reference to the embodiments.

Vielmehr umfasst die Erfindung jedes neue Merkmal sowie jede Kombination von Merkmalen, was insbesondere jede Kombinationen der Patentansprüche beinhaltet, auch wenn dieses Merkmal oder dieses Kombination selbst nicht explizit in den Patentansprüchen oder in den Ausführungsbeispielen angegeben ist.Rather, the invention encompasses any novel feature as well as any combination of features, including in particular any combination of the claims, even if this feature or combination itself is not explicitly stated in the patent claims or in the embodiments.

BezugszeichenlisteLIST OF REFERENCE NUMBERS

11
Systemsystem
22
Leistungsaktorpower actuator
33
Steuergerätcontrol unit
44
Überwachungseinrichtungmonitoring device
2121
Ausführungseinheitexecution unit
2222
Prüfmodultest module
AA
HardwarestatussignalHardware status signal
HQHQ
Codierungssignalcoding signal

Claims (9)

System (1) zur Steuerung zumindest eines Leistungsaktors (2), mit einem Steuergerät (3) sowie einer Überwachungseinrichtung (4), welche das Steuergerät (3), in regelmäßigen Zeitabständen, mit einem Testsignal beaufschlagt, wobei das Steuergerät (3) ein Hardwarestatussignal (A) auf das Testsignal (Q) an die Überwachungseinrichtung (4) sendet, dadurch gekennzeichnet, dass von der Überwachungseinrichtung (4) gemäß zumindest einer Codierungsvorschrift dieses Hardwarestatussignal (A), das Informationen über den Hardwarezustand des Steuergeräts (3) enthält, in ein Codierungssignal (HQ) transformiert wird, und dieses Codierungssignal (HQ) von der Überwachungseinheit verpackt und an den Leistungsaktor (2) in regelmäßigen Zeitabständen gesendet wird, und wobei das Codierungssignal (HQ) durch den Leistungsaktor (2) selbst entpackt und ausgewertet wird, wobei der Leistungsaktor (2) eine Ausführungseinheit (21) umfasst, welche im Falle eines Erkennens eines Fehlerzustandes ein Systemverhalten des Steuergeräts (3) und/oder ausführender Elemente des Leistungsaktors (2) degradiert steuert und/oder vorgibt.System ( 1 ) for controlling at least one power factor ( 2 ), with a control unit ( 3 ) and a monitoring device ( 4 ), which the control unit ( 3 ), at regular intervals, subjected to a test signal, wherein the control unit ( 3 ) a hardware status signal (A) to the test signal (Q) to the monitoring device ( 4 ), characterized in that by the monitoring device ( 4 ) according to at least one coding specification of this hardware status signal (A), which contains information about the hardware state of the control unit ( 3 ), is transformed into a coding signal (HQ), and this coding signal (HQ) is packaged by the monitoring unit and sent to the power actuator (HQ). 2 ) is sent at regular intervals, and the coding signal (HQ) is sent by the power factor ( 2 ) itself is unpacked and evaluated, the power factor ( 2 ) an execution unit ( 21 ), which in case of recognition of a fault condition, a system behavior of the control unit ( 3 ) and / or executing elements of the performance factor ( 2 ) degrades controls and / or pretends. System (1) zur Steuerung zumindest eines Leistungsaktors (2) nach Anspruch 1, dadurch gekennzeichnet, dass das Systemverhalten ein Leistungsdrosseln der ausführenden Elemente und/oder ein vollständiges Abschalten von ausführenden Elementen des Leistungsaktors (2) und/oder des Steuergeräts (3) umfasst.System ( 1 ) for controlling at least one power factor ( 2 ) according to claim 1, characterized in that the system behavior is a performance throttling of the executing elements and / or a complete shutdown of executing elements of the power actuator ( 2 ) and / or the control unit ( 3 ). System (1) zur Steuerung zumindest eines Leistungsaktors (2) nach Anspruch 2, dadurch gekennzeichnet, dass nur eine bestimmte Auswahl an einzelnen Funktionen des Leistungsaktors (2) abgeschaltet werden.System ( 1 ) for controlling at least one power factor ( 2 ) according to claim 2, characterized in that only a certain selection of individual functions of the power factor ( 2 ) are switched off. System (1) zur Steuerung zumindest eines Leistungsaktors (2) nach zumindest einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass im Falle eines Feststellens eines Fehlerzustandes zumindest ein Warnsignal von dem Leistungsaktor (2) erzeugt wird.System ( 1 ) for controlling at least one power factor ( 2 ) according to at least one of the preceding claims, characterized in that in the case of a detection of a fault condition at least one warning signal from the power actuator ( 2 ) is produced. System (1) zur Steuerung zumindest eines Leistungsaktors (2) nach Anspruch 1, dadurch gekennzeichnet, dass eine Prüffunktion von einem Prüfmodul (22) des Leistungsaktors (2) bereitgestellt wird, wobei das Prüfmodul (22) das entpackte Codierungssignal (HQ) mit der Prüffunktion vergleicht, und wobei die Prüffunktion zumindest ein Referenzsignal und/oder ein in einer Datenbank des Leistungsaktors (2) hinterlegtes Referenzsignal umfasst.System ( 1 ) for controlling at least one power factor ( 2 ) according to claim 1, characterized in that a test function of a test module ( 22 ) of the power factor ( 2 ), the test module ( 22 ) compares the unpacked coding signal (HQ) with the test function, and wherein the test function at least one reference signal and / or in a database of the power factor ( 2 ) stored reference signal. System (1) zur Steuerung zumindest eines Leistungsaktors (2) nach Anspruch 1 oder 5, dadurch gekennzeichnet, dass das Hardwarestatussignal (A) und/oder das Codierungssignal (HQ) eindeutig, insbesondere eineindeutig, einer Ausführungsfunktion des Steuergeräts (3) zugeordnet ist.System ( 1 ) for controlling at least one power factor ( 2 ) according to claim 1 or 5, characterized in that the hardware status signal (A) and / or the coding signal (HQ) unambiguously, in particular one-to-one, an execution function of the control unit ( 3 ) assigned. System (1) zur Steuerung zumindest eines Leistungsaktors (2) nach Anspruch 1, 5 oder 6, dadurch gekennzeichnet, dass das Codierungssignal (HQ) über eine Kommunikationsschnittstelle der Überwachungseinheit unter Verwendung zumindest eines Kommunikationsbusses der Überwachungseinheit und/oder des Steuergeräts (3) an den Leistungsaktor (2) weitergeleitet wird.System ( 1 ) for controlling at least one power factor ( 2 ) according to claim 1, 5 or 6, characterized in that the coding signal (HQ) via a communication interface of the monitoring unit using at least one communication bus of the monitoring unit and / or the control unit ( 3 ) to the power factor ( 2 ) is forwarded. System (1) zur Steuerung zumindest eines Leistungsaktors (2) nach Anspruch 1 oder 5 bis 7, dadurch gekennzeichnet, dass das Codierungssignal (HQ) von der Überwachungseinheit zunächst an das Steuergerät (3) und anschließend von dem Steuergerät (3) an den Leistungsaktor gesendet wird.System ( 1 ) for controlling at least one power factor ( 2 ) according to claim 1 or 5 to 7, characterized in that the coding signal (HQ) from the monitoring unit first to the control unit ( 3 ) and then from the controller ( 3 ) is sent to the power factor. Verfahren zur Steuerung zumindest eines Leistungsaktors (2), mit einem Steuergerät (3) sowie einer Überwachungseinrichtung (4), welche das Steuergerät, in regelmäßigen Zeitabständen, mit einem Testsignal (Q) beaufschlagt, wobei das Steuergerät ein Hardwarestatussignal (A) auf das Testsignal (Q) an die Überwachungseinrichtung (4) sendet, dadurch gekennzeichnet, dass von der Überwachungseinrichtung (4) gemäß zumindest einer Codierungsvorschrift dieses Hardwarestatussignal (A), das Informationen über den Hardwarezustand des Steuergeräts (3) enthält, (A) in ein Codierungssignal (HQ) transformiert wird, und dieses Codierungssignal (HQ) von der Überwachungseinheit verpackt und an den Leistungsaktor (2) in regelmäßigen Zeitabständen gesendet wird, und wobei das Codierungssignal (HQ) durch den Leistungsaktor (2) selbst entpackt und ausgewertet wird, wobei der Leistungsaktor (2) eine Ausführungseinheit (21) umfasst, welche im Falle eines Erkennens eines Fehlerzustandes ein Systemverhalten des Steuergeräts (3) und/oder ausführender Elemente des Leistungsaktors (2) degradiert steuert und/oder vorgibt.Method for controlling at least one power factor ( 2 ), with a control unit ( 3 ) and a monitoring device ( 4 ), which the controller, at regular intervals, applied to a test signal (Q), wherein the control unit a hardware status signal (A) to the test signal (Q) to the monitoring device ( 4 ), characterized in that by the monitoring device ( 4 ) according to at least one coding specification of this hardware status signal (A), which contains information about the hardware state of the control unit ( 3 ), (A) is transformed into a coding signal (HQ), and this coding signal (HQ) is packaged by the monitoring unit and sent to the power actuator (HQ). 2 ) is sent at regular intervals, and the coding signal (HQ) is sent by the power factor ( 2 ) itself is unpacked and evaluated, the power factor ( 2 ) an execution unit ( 21 ), which in the case of detecting a fault condition a System behavior of the controller ( 3 ) and / or executing elements of the performance factor ( 2 ) degrades controls and / or pretends.
DE102013113403.3A 2013-12-03 2013-12-03 System for controlling at least one power factor Active DE102013113403B4 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102013113403.3A DE102013113403B4 (en) 2013-12-03 2013-12-03 System for controlling at least one power factor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102013113403.3A DE102013113403B4 (en) 2013-12-03 2013-12-03 System for controlling at least one power factor

Publications (2)

Publication Number Publication Date
DE102013113403A1 DE102013113403A1 (en) 2015-07-09
DE102013113403B4 true DE102013113403B4 (en) 2018-03-15

Family

ID=53443087

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102013113403.3A Active DE102013113403B4 (en) 2013-12-03 2013-12-03 System for controlling at least one power factor

Country Status (1)

Country Link
DE (1) DE102013113403B4 (en)

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
BAUMEISTER, Markus: Using Decoupled Parallel Mode for Safety Applications. White Paper. Firmenschrift, freescale semiconductor, Document Number: MPC564XLWP, REV 0. Tempe, Arizona, USA: Freescale Semiconductor, Inc., 2009.
BECKMANN, Guido: Funktionale Sicherheit mit Safety-over-Ethercat. openautomation Report 2/2013, ISBN 978-3-8007-3559-4, S. 22-23.
INFINEON: CIC61508 Safety Monitor. User's Manual, Release v2.2, Edition Nov 2012. München: Infineon Technologies AG, 2012.
MARIANI, Riccardo; FUHRMANN, Peter: Comparing fail-safe microcontroller architectures in light of IEC 61508. 22nd IEEE Int. Symp. on Defect and Fault-Tolerance in VLSI Systems, DFT '07, Rome, Sept. 2007. Conf. Proceedings, pp. 123-131.
SERCOS: Sercos III - plug and play - Sercos, der Automatisierungsbus. D-73079 Süßen: Sercos International e. V., 11/2013.

Also Published As

Publication number Publication date
DE102013113403A1 (en) 2015-07-09

Similar Documents

Publication Publication Date Title
EP2302472B1 (en) Control system for safety critical processes
EP1540428B1 (en) Redundant control unit arrangement
EP2720094B1 (en) Safety system
EP2720051B1 (en) Safety system
EP2981868B1 (en) Control and data transmission system, process device and method for redundant process control with decentralized redundancy
WO2010012536A1 (en) Safety switching arrangement for outputting a switching signal
DE102014110017A1 (en) Control and data transmission system, gateway module, I / O module and process control process
DE102008009652A1 (en) Monitoring device and monitoring method for a sensor, and sensor
EP3100121B1 (en) Method and apparatus for safely disconnecting an electrical load
DE102008032823A1 (en) Secure connecting device for summing-up of signals of emergency switch into common circuit signal to test functionality of switch, has evaluation device designed for localization to detect at which passive connections switches are attached
DE102006024378A1 (en) Electronic control device of an electric drive system, electronic drive unit of an electric drive system and electric drive system
EP3465898B1 (en) Soft starter, operating method, and switching system
EP1615087A2 (en) Control and regulation unit
EP2297619A1 (en) Monitoring system
EP2075655B1 (en) Safety control
EP2433184B1 (en) Control system for controlling a process
DE102013113403B4 (en) System for controlling at least one power factor
EP3475966B1 (en) Safety-oriented switching device
EP1264097A1 (en) Device for reliably generating signals
EP2013731B1 (en) Circuit arrangement, and method for the operation of a circuit arrangement
EP2767877B1 (en) Control and data transmission system for transmission of safety-related data via a field bus
DE102010038459A1 (en) Safety system, has safety module comprising system interface for direct contacting and communication with group protection unit, and load branch comprising another system interface for direct communication with safety module
EP1397729A1 (en) Device for reliable signal generation
EP3048498B1 (en) Method for reading diagnostic data from a safety control device
DE102010038456A1 (en) Method for safety-related monitoring of switching position of e.g. switching device in industrial automatic control engineering, involves outputting safety-related error signal such that actuator is transferred to safety-related state

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final