DE102015203253A1 - Safety circuit unit - Google Patents

Abstract

Der hier vorgestellte Ansatz betrifft eine Sicherheitsschaltungseinheit (logic 1, logic 2) zum Überführen eines durch die Sicherheitsschaltungseinheit betriebenen Systems in einen Sicherheitszustand. Die Sicherheitsschaltungseinheit umfasst eine Steuereinheit (logic 1), die ausgebildet ist, um ein erstes Steuersignal (110, safe-req) an einen ersten Aktuator (act. 1) auszugeben, um diesen in einen ersten Sicherheitszustand zu bringen, wobei die Steuereinheit (logic 1) mit einer Spannung zwischen einem ersten Versorgungsspannungsanschluss (115) und einem Masseanschlusskontakt (200) mit elektrischer Energie versorgbar ist. Ferner umfasst die Sicherheitsschaltungseinheit (logic 1, logic 2) eine Überwachungseinheit (logic 2), die ausgebildet ist, um ansprechend auf eine erkannte Fehlfunktion in der Steuereinheit (logic 1) ein zweites Steuersignal (120, safe-req) an einen zweiten Aktuator (act. 2) auszugeben, um diesen in einen zweiten Sicherheitszustand zu bringen, wobei die Überwachungseinheit (logic 2) mit einer Spannung zwischen einem zweiten Versorgungsspannungsanschluss (215) und dem Masseanschlusskontakt (200) mit elektrischer Energie versorgbar ist, wobei der erste (115) und zweite (215) Versorgungsspanungsanschluss voneinander entkoppelt sind.The approach presented here relates to a safety circuit unit (logic 1, logic 2) for transferring a system operated by the safety circuit unit into a safety state. The safety circuit unit comprises a control unit (logic 1) which is designed to output a first control signal (110, safe-req) to a first actuator (act. 1) in order to bring it into a first safety state, the control unit (logic 1) with a voltage between a first supply voltage terminal (115) and a ground terminal contact (200) can be supplied with electrical energy. Furthermore, the safety circuit unit (logic 1, logic 2) comprises a monitoring unit (logic 2), which is designed in response to a detected malfunction in the control unit (logic 1), a second control signal (120, safe req) to a second actuator ( act. 2) to bring it into a second safety state, wherein the monitoring unit (logic 2) with a voltage between a second supply voltage terminal (215) and the ground terminal contact (200) can be supplied with electrical energy, wherein the first (115) and second (215) supply voltage terminals are decoupled from each other.

Description

Die vorliegende Erfindung bezieht sich auf eine Sicherheitsschaltungseinheit zum Überführen eines durch die Sicherheitsschaltungseinheit betriebenen Systems in einen Sicherheitszustand. The present invention relates to a safety circuit unit for transferring a system operated by the safety circuit unit to a safety state.

Moderne elektronische Schaltungen, insbesondere die in sicherheitskritischen Anwendungen wie sie in Fahrzeugen eingesetzt werden, müssen dahin gehend ausgelegt sein, dass auch beim Auftreten eines Fehlers ein gewisser gesicherter Zustand des durch die elektronische Schaltung betriebenen Systems erreicht wird, ohne dass es zu Gefährdungen von Personen oder Sachwerten kommt. Hierzu wird/werden meist eine zusätzliche Überwachungsschaltung und/oder zusätzliche redundante Aktoren verwendet, die eine (Haupt-)Steuereinheit überwachen und im Fehlerfall die Steuerung von einem oder mehreren Aktoren in einen bestimmten sicheren Betriebszustand vornehmen. Allerdings erfordert eine solche Absicherung einer elektronischen Schaltung meist einen hohen schaltungstechnischen Aufwand, wodurch derartige Absicherungskonzepte hohe Kosten verursachen. Modern electronic circuits, in particular those used in safety-critical applications such as those in vehicles, must be designed so that even when an error occurs, a certain secured state of the system operated by the electronic circuit is achieved, without endangering persons or objects Assets comes. For this purpose, an additional monitoring circuit and / or additional redundant actuators is usually used which monitor a (main) control unit and, in the event of a fault, carry out the control of one or more actuators in a certain safe operating state. However, such a hedge of an electronic circuit usually requires a high circuit complexity, which cause such hedging concepts high costs.

Vor diesem Hintergrund schafft die vorliegende Erfindung eine verbesserte Sicherheitsschaltungseinheit zum Überführen eines durch die Sicherheitsschaltungseinheit betriebenen Systems in einen Sicherheitszustand gemäß dem Hauptanspruch. Vorteilhafte Ausgestaltungen ergeben sich aus den Unteransprüchen und der nachfolgenden Beschreibung. Against this background, the present invention provides an improved safety circuit unit for transferring a system operated by the safety circuit unit into a safety state according to the main claim. Advantageous embodiments will become apparent from the dependent claims and the description below.

Der hier vorgestellte Ansatz schafft eine Sicherheitsschaltungseinheit zum Überführen eines durch die Sicherheitsschaltungseinheit betriebenen Systems in einen Sicherheitszustand, die dadurch gekennzeichnet ist, dass die Sicherheitsschaltungseinheit die folgenden Merkmale aufweist:
eine Steuereinheit, die ausgebildet ist, um ein erstes Steuersignal an einen ersten Aktuator auszugeben, um diesen in einen ersten Sicherheitszustand zu bringen, wobei die Steuereinheit mit einer Spannung zwischen einem ersten Versorgungsspannungsanschluss und einem Masseanschluss mit elektrischer Energie versorgbar ist; und
eine Überwachungseinheit, die ausgebildet ist, um ansprechend auf eine erkannte Fehlfunktion in der Steuereinheit ein zweites Steuersignal an einen zweiten Aktuator auszugeben, um diesen in einen zweiten Sicherheitszustand zu bringen, wobei die Überwachungseinheit mit einer Spannung zwischen einem zweiten Versorgungsspannungsanschluss und dem Masseanschluss mit elektrischer Energie versorgbar ist, wobei der erste und zweite Versorgungsspanungsanschluss voneinander entkoppelt sind. The approach presented here creates a safety circuit unit for transferring a system operated by the safety circuit unit into a safety state, which is characterized in that the safety circuit unit has the following features:
a control unit configured to output a first control signal to a first actuator in order to bring it into a first safety state, wherein the control unit can be supplied with a voltage between a first supply voltage connection and a ground connection with electrical energy; and
a monitoring unit configured to output a second control signal to a second actuator in response to a detected malfunction in the control unit to bring it into a second safety state, the monitoring unit having a voltage between a second supply voltage terminal and the ground terminal with electrical energy can be supplied, wherein the first and second supply voltage connection are decoupled from each other.

Unter einer Sicherheitsschaltungseinheit kann eine elektronische Schaltungsanordnung verstanden werden, die zur Steuerung von einem oder mehreren Aktuatoren verwendet wird. Unter einer Steuereinheit kann eine elektronische Schaltungskomponente verstanden werden, um ansprechend auf von einem oder mehreren Sensoren gelieferten Signal(en) entsprechende Aktuatoren anzusteuern. Unter einer Überwachungseinheit kann eine elektronische Schaltungskomponente verstanden werden, die eine korrekte Funktion der Steuereinheit überwacht, beispielsweise durch ein Aussenden eines Abfragesignals an die Steuereinheit und eine Auswertung eines von der Steuereinheit hierauf gelieferten Antwortsignals. Unter einem Sicherheitszustand kann eine Stellung, Position und/oder ein Zustand eines betreffenden Aktuators verstanden werden, sodass ein System (wie beispielsweise ein Fahrerassistenzsystem oder ein Personenschutzsystem eines Fahrzeugs), dessen Teil der Aktuator ist, in einen sicheren Betriebszustand gebracht ist. Ein solcher sicherer Betriebszustand kann beispielsweise ein Zustand sein, in dem das System in Ruhe ist und somit keine Gefahr von dem System auf Personen oder Sachwerte ausgeht. A safety circuit unit can be understood as an electronic circuit arrangement which is used to control one or more actuators. A control unit can be understood to mean an electronic circuit component in order to trigger corresponding actuators in response to the signal (s) supplied by one or more sensors. A monitoring unit can be understood to mean an electronic circuit component which monitors a correct function of the control unit, for example by sending an interrogation signal to the control unit and an evaluation of a response signal supplied by the control unit thereupon. A safety state can be understood to mean a position, position and / or state of an actuator in question, so that a system (such as a driver assistance system or a personal safety system of a vehicle), of which the actuator is part, is brought into a safe operating state. Such a safe operating state can be, for example, a state in which the system is at rest and thus no danger emanating from the system on persons or property.

Die Sicherheitsschaltungseinheit kann somit eine Vorrichtung oder ein elektrisches Gerät sein, die/das elektrische Signale, beispielsweise Sensorsignale verarbeitet und in Abhängigkeit davon Steuersignale ausgibt. Die Vorrichtung kann eine oder mehrere geeignete Schnittstelle aufweisen, die hard- und/oder softwaremäßig ausgebildet sein können. Bei einer hardwaremäßigen Ausbildung können die Schnittstellen beispielsweise Teil einer integrierten Schaltung sein, in der Funktionen der Vorrichtung umgesetzt sind. Die Schnittstellen können auch eigene, integrierte Schaltkreise sein oder zumindest teilweise aus diskreten Bauelementen bestehen. Bei einer softwaremäßigen Ausbildung können die Schnittstellen Softwaremodule sein, die beispielsweise auf einem Mikrocontroller neben anderen Softwaremodulen vorhanden sind. The safety circuit unit can thus be a device or an electrical device which processes electrical signals, for example sensor signals, and outputs control signals in dependence thereon. The device may have one or more suitable interfaces, which may be formed in hardware and / or software. For example, in a hardware configuration, the interfaces may be part of an integrated circuit in which functions of the device are implemented. The interfaces may also be their own integrated circuits or at least partially consist of discrete components. In a software training, the interfaces may be software modules that are present, for example, on a microcontroller in addition to other software modules.

Der hier vorgestellte Ansatz basiert auf der Erkenntnis, dass durch die Verwendung von unterschiedlichen Versorgungsspannungen über einen gemeinsamen Masseanschluss sehr effiziente Sicherheitsschaltungseinheit geschaffen werden kann, die mit einer geringen Anzahl von Komponenten eine sehr hohe Zuverlässigkeit bei der Sicherung der elektronischen Schaltung gegen einen Fehlerzustand aufweist. Auf diese Weise kann eine separate Entkopplungseinheit entfallen, die im Stand der Technik meist erforderlich ist, um eine Sicherung insbesondere gegen common-cause-Fehler zu realisieren. Der gemeinsame Masseanschluss kann beispielsweise als Massefläche ausgebildet sein. The approach presented here is based on the realization that the use of different supply voltages via a common ground connection can create a very efficient safety circuit unit which, with a small number of components, has a very high reliability in securing the electronic circuit against a fault condition. In this way, it is possible to dispense with a separate decoupling unit, which is usually required in the prior art, in order to realize a safeguard, in particular against common cause faults. The common ground terminal may be formed, for example, as a ground plane.

Günstig ist ferner eine Ausführungsform des hier vorgestellten Ansatzes, bei dem eine Energieversorgungskontrolleinheit vorgesehen ist, die ausgebildet ist, um eine Unterbrechung eines Masse- bzw. Versorgungsspannungskontaktes zwischen der Steuereinheit und dem Masse- bzw. Versorgungsspannungsanschluss und/oder eine Unterbrechung des Masse- bzw. Versorgungsspannungskontaktes zwischen der Überwachungseinheit und dem Masse- bzw. Versorgungsspannungsanschluss zu erkennen. Ansprechend auf ein solches Erkennen der Unterbrechung des Masse- bzw. Versorgungsspannungskontaktes wird durch die Steuereinheit bzw. die Überwachungseinheit ein Steuersignal ausgegeben, um einen Aktuator in einen Sicherheitszustand zu bringen. Eine solche Ausführungsform bietet den Vorteil, durch das Erkennen der Unterbrechung des Masse- bzw. Versorgungsspannungskontaktes sehr schnell einen unsicheren Zustand der Sicherheitsschaltungseinheit detektieren zu können. Also favorable is an embodiment of the approach presented here, in which a power supply control unit is provided which is formed to detect an interruption of a ground or supply voltage contact between the control unit and the ground or supply voltage terminal and / or an interruption of the ground or supply voltage contact between the monitoring unit and the ground or supply voltage terminal. In response to such detection of the interruption of the ground or supply voltage contact, a control signal is output by the control unit or the monitoring unit in order to bring an actuator into a safety state. Such an embodiment offers the advantage of being able to very quickly detect an unsafe state of the safety circuit unit by detecting the interruption of the ground or supply voltage contact.

Besonders einfach lässt sich eine solche vorstehend beschriebene Ausführungsform realisieren, wenn die Energieversorgungskontrolleinheit ausgebildet ist, um die Unterbrechung eines Massekontaktes zwischen der Steuereinheit und/oder der Überwachungseinheit einerseits und dem Masseanschlusskontakt andererseits auf der Basis einer Überwachung einer Spannung zwischen dem ersten Versorgungsspannungsanschluss und dem Masseanschlusskontakt und/oder dem zweiten Versorgungsspannungsanschluss und dem Masseanschlusskontakt und/oder auf der Basis einer Überwachung eines Stromflusses durch die Steuereinheit und/oder die Überwachungseinheit zu ermitteln. Aufgrund der breit verfügbaren und ausgereiften Ansätze zur Erkennung einer Unterbrechung einer elektrischen Leitung auf der Basis einer Spannungsauswertung oder Stromauswertung lässt sich diese Ausführungsform effizient und kostengünstig realisieren. Such an embodiment described above can be realized in a particularly simple manner if the power supply control unit is designed to interrupt a ground contact between the control unit and / or the monitoring unit on the one hand and the ground terminal contact on the other hand on the basis of monitoring a voltage between the first supply voltage terminal and the ground terminal contact and / or to determine the second supply voltage terminal and the ground terminal contact and / or on the basis of monitoring a current flow through the control unit and / or the monitoring unit. Due to the widely available and sophisticated approaches for detecting an interruption of an electrical line on the basis of a voltage evaluation or current evaluation, this embodiment can be realized efficiently and inexpensively.

Von Vorteil ist ferner eine Ausführungsform des hier vorgestellten Ansatzes, bei dem die Steuereinheit ausgebildet ist, um ansprechend auf einen erkannten Fehler in der Überwachungseinheit ein drittes Steuersignal an einen zweiten Aktuator auszugeben, um diesen in einen zweiten Sicherheitszustand zu bringen. Eine solche Ausführungsform des hier vorgestellten Ansatzes bietet den Vorteil einer zusätzlichen Überwachungsmöglichkeit der Überwachungseinheit durch die Steuereinheit, sodass in diesem Fall eine sehr zuverlässige Funktion der gesamten Sicherheitsschaltungseinheit gewährleistet werden kann. Another advantage is an embodiment of the approach presented here, in which the control unit is designed to output a third control signal to a second actuator in response to a detected fault in the monitoring unit in order to bring it into a second safety state. Such an embodiment of the approach presented here offers the advantage of additional monitoring capability of the monitoring unit by the control unit, so that in this case a very reliable function of the entire safety circuit unit can be ensured.

Gemäß einer weiteren Ausführungsform des hier vorgestellten Ansatzes kann die Steuereinheit ausgebildet sein, um den ersten Aktuator als ersten Sicherheitszustand in einen inaktiven Zustand zu bringen und die Überwachungseinheit ausgebildet sein, um den zweiten Aktuator als zweiten Sicherheitszustand in einen aktiven Zustand zu bringen. Alternativ oder zusätzlich kann die Steuereinheit ausgebildet sein, um den ersten Aktuator als ersten Sicherheitszustand in einen aktiven Zustand zu bringen und die Überwachungseinheit ausgebildet sein, um den zweiten Aktuator als zweiten Sicherheitszustand in einen inaktiven Zustand zu bringen. Eine solche Ausführungsform des hier vorgestellten Ansatzes bietet den Vorteil, dass durch die unterschiedlichen aktiven bzw. inaktiven Zustände des ersten und zweiten Aktuators eine hohe Sicherheit gegen common-cause-Fehler erreicht werden kann. According to a further embodiment of the approach presented here, the control unit can be designed to bring the first actuator into an inactive state as the first safety state, and the monitoring unit can be designed to bring the second actuator into an active state as a second safety state. Alternatively or additionally, the control unit can be designed to bring the first actuator into an active state as the first safety state and the monitoring unit can be designed to bring the second actuator into an inactive state as the second safety state. Such an embodiment of the approach presented here has the advantage that a high level of security against common cause errors can be achieved by the different active or inactive states of the first and second actuator.

Denkbar ist auch eine Ausführungsform des hier vorgestellten Ansatzes, bei der der erste und zweite Aktuator gleichartig aufgebaut sind, wobei die Überwachungseinheit ausgebildet ist, den zweiten Aktuator mit einem vom ersten Steuersignal unterschiedlichen zweiten Steuersignal anzusteuern. Eine solche Ausführungsform des hier vorgestellten Ansatzes bietet ebenfalls den Vorteil einer hohen Sicherheit des hier vorgestellten Ansatzes gegen bestimmte Fehlertypen, da die einzelnen Aktuatoren, die gleichartig aufgebaut sind, mit unterschiedlichen Parametern in den jeweiligen ersten bzw. zweiten Sicherheitszustand gebracht werden. Unter gleichartigen Aktuatoren können hierbei Aktuatoren verstanden werden, die Bauart-gleich sind oder funktionsgleich in Bezug auf ein empfangenes (gleiches) Steuersignal wirken würden. Also conceivable is an embodiment of the approach presented here, in which the first and second actuators are constructed identically, wherein the monitoring unit is designed to control the second actuator with a second control signal different from the first control signal. Such an embodiment of the approach presented here also offers the advantage of high security of the approach presented here against certain types of errors, since the individual actuators, which are of similar construction, are brought into the respective first and second safety state with different parameters. Actuators of the same type may here be understood to mean actuators which are identical in construction or would function in the same function with respect to a received (same) control signal.

Technisch sehr einfach und mit kostengünstig verfügbaren Mitteln lässt sich eine Ausführungsform des hier vorgestellten Ansatzes umsetzen, bei der die Überwachungseinheit ausgebildet ist, um die Fehlfunktion mittels einer Abfrage an die Steuereinheit über eine serielle Schnittstelle zu ermitteln. An embodiment of the approach presented here can be implemented in a very simple manner and with cost-effective means, in which the monitoring unit is designed to determine the malfunction by means of a query to the control unit via a serial interface.

Vorteilhaft ist ferner eine Ausführungsform des hier vorgestellten Ansatzes als Verfahren zur Sicherung einer elektronischen Schaltung gegen einen Fehlerzustand unter Verwendung einer Sicherheitsschaltungseinheit gemäß einer hier vorgestellten Variaten, wobei das Verfahren die folgenden Schritte aufweist:
Ausgeben eines ersten Steuersignals an einen ersten Aktuator, um diesen in einen ersten Sicherheitszustand zu bringen;
Erkennen einer Fehlfunktion in der Steuereinheit durch die Überwachungseinheit; und
Bereitstellen eines zweiten Steuersignals an einen zweiten Aktuator ansprechend auf die erkannte Fehlfunktion in der Steuereinheit, um den zweiten Aktuator in einen zweiten Sicherheitszustand zu bringen. Also advantageous is an embodiment of the approach presented here as a method for securing an electronic circuit against a fault condition using a safety circuit unit according to a variant presented here, the method having the following steps:
Outputting a first control signal to a first actuator to bring it into a first safety state;
Detecting a malfunction in the control unit by the monitoring unit; and
Providing a second control signal to a second actuator in response to the detected malfunction in the control unit to place the second actuator in a second safety state.

Durch eine solche Ausführungsform lassen sich die Vorteile der vorliegenden Erfindung technisch einfach umsetzen. By such an embodiment, the advantages of the present invention can be implemented technically simple.

Von Vorteil ist auch ein Computerprogrammprodukt mit Programmcode, der auf einem maschinenlesbaren Träger wie einem Halbleiterspeicher, einem Festplattenspeicher oder einem optischen Speicher gespeichert sein kann und zur Durchführung des Verfahrens nach einer der vorstehend beschriebenen Ausführungsformen verwendet wird, wenn das Programm auf einem Computer oder einer Vorrichtung ausgeführt wird. Also of advantage is a computer program product with program code which is stored on a machine-readable carrier such as a semiconductor memory, a hard disk memory or an optical memory may be stored and used to carry out the method according to one of the embodiments described above, when the program is executed on a computer or a device.

Die Erfindung wird anhand der beigefügten Zeichnungen beispielhaft näher erläutert. Es zeigen: The invention will be described by way of example with reference to the accompanying drawings. Show it:

1 ein schematisches Blockschaltbild einer Sicherheitsschaltungseinheit zur Sicherung einer elektronischen Schaltung gegen einen Fehlerzustand; 1 a schematic block diagram of a safety circuit unit for securing an electronic circuit against a fault condition;

2 ein schematisches Blockschaltbild einer zur Sicherung einer elektronischen Schaltung gegen einen Fehlerzustand gemäß einem Ausführungsbeispiel der vorliegenden Erfindung; 2 a schematic block diagram of a for securing an electronic circuit against a fault condition according to an embodiment of the present invention;

3 ein Blockschaltbild zur Erläuterung der Erkennung einer Unterbrechung eines Massekontaktes zur Steuereinheit und/oder zur Überwachungseinheit. 3 a block diagram for explaining the detection of an interruption of a ground contact to the control unit and / or the monitoring unit.

In der nachfolgenden Beschreibung bevorzugter Ausführungsbeispiele der vorliegenden Erfindung werden für die in den verschiedenen Figuren dargestellten und ähnlich wirkenden Elemente gleiche oder ähnliche Bezugszeichen verwendet, wobei auf eine wiederholte Beschreibung dieser Elemente verzichtet wird. In the following description of preferred embodiments of the present invention, the same or similar reference numerals are used for the elements shown in the various figures and similarly acting, wherein a repeated description of these elements is omitted.

Steigende Anforderungen an elektronische Steuergeräte bezüglich funktionaler Sicherheit führen zu aufwendigeren, und damit zu teureren Lösungen. Normen wie die IEC61508 oder ISO26262 sowie der Stand der Technik stellen hierbei einen wichtigen Aspekt für steigende Anforderungen an Funktionen und elektronische Steuergeräte. In einem sicherheitsrelevanten System kann der sichere Zustand durch Ein- und/oder Ausschalten von Aktuatoren herbeigeführt werden. Das Erreichen eines sicheren Zustandes durch bloßes Ausschalten auf der Ebene von elektronischen Steuergeräten (fail safe system) ist in vielen sicherheitsrelevanten Systemen nicht zielführend oder ausreichend. Oftmals ist es notwendig, dass der sichere Zustand auf der Ebene elektronischer Steuergeräte bedeutet, dass bestimmte Aktuatoren aus-, wiederum andere eingeschaltet werden. Increasing demands on electronic control units with regard to functional safety lead to more complex and thus more expensive solutions. Norms like that 61508 or ISO26262 As well as the state of the art, this represents an important aspect for increasing demands on functions and electronic control units. In a safety-relevant system, the safe state can be brought about by switching on and / or off actuators. The achievement of a safe state by merely switching off at the level of electronic control units (fail safe system) is not effective or sufficient in many safety-related systems. Often it is necessary that the safe state at the level of electronic control devices means that certain actuators are switched off and others switched on.

Die hier vorgestellte neue Lösung bzw. der hier vorgeschlagene Ansatz ist kostengünstiger, weniger komplex, sichererer und robuster als bisher bekannte Ansätze. Die neue Lösung wird über eine intelligente Kombination bzw. Verschaltung von bestehenden und im System notwendigerweise verbauten Standardkomponenten realisiert. Es sind keine Maßnahmen zur Entkopplung von Baugruppen notwendig. Mit der neuen Lösung brauchen keine besonderen Maßnahmen zur Beherrschung von Masseversätzen getroffen werden und sie ist ohne besondere Maßnahmen auch für den Betrieb mit niedrigeren Versorgungsspannungen geeignet. The presented here new solution or the approach proposed here is cheaper, less complex, safer and more robust than previously known approaches. The new solution is realized via an intelligent combination or interconnection of existing and necessarily installed standard components in the system. There are no measures required to decouple assemblies. With the new solution, no special measures for the control of mass offsets are required and it is suitable without special measures for operation with lower supply voltages.

Für den Fall, dass der sichere Zustand in einem sicherheitsrelevanten System derart definiert ist, dass mindestens ein Aktuator eingeschaltet sein braucht (fail operational system), bietet ein Ansatz eine aufwendige, nicht kostengünstige Lösung nach dem Stand der Technik. Dieser Ansatz bzw. die Lösung basiert im Wesentlichen den folgenden Gesichtspunkten:
Eine Zusatzelektronikeinheit mit entsprechender Ansteuerschaltung für die relevanten Aktuatoren (zweite Logikeinheit) kann vorgesehen werden. Ferner kann auch ein zusätzlicher Datenspeicher vorgesehen sein, der insbesondere Daten zur Fahr- und Fahrzeugsituation hält. Auch kann eine Zusatzelektronikeinheit (Überwachungseinheit) vorgesehen werden, die ein Überwachungsmodul der Elektronikeinheit mit Schnittstelle zur „Elektronikeinheit“ als weiterer WDC (WDC = engl. Watch Dog Controller = Überwachungseinheit) und Schnittstelle an diesem WDC aufweist. Auch sollte eine Einführung einer zweiten, weitestgehend unabhängigen Spannungsversorgung vorgesehen werden, auch auf der Ebene elektronischer Steuergeräte und zwar plus- und masseseitig. Hierdurch kann eine Entkopplung zwischen den zwei getrennt versorgten Einheiten „Elektronikeinheit“ und „Zusatzelektronikeinheit“ erfolgen, wobei zugleich eine Berücksichtigung und Beherrschung von Masseversätzen zwischen den zwei Einheiten „Elektronikeinheit“ und „Zusatzelektronikeinheit“ effizient umgesetzt werden kann. In the event that the safe state is defined in a safety-relevant system such that at least one actuator needs to be switched on (fail operational system), an approach offers a complex, non-cost-effective solution according to the prior art. This approach or solution is based essentially on the following aspects:
An additional electronics unit with corresponding control circuit for the relevant actuators (second logic unit) can be provided. Furthermore, an additional data memory may also be provided, which in particular holds data on the driving and vehicle situation. It is also possible to provide an additional electronic unit (monitoring unit) which has a monitoring module of the electronic unit with an interface to the "electronic unit" as another WDC (WDC = Watch Dog Controller) and interface to this WDC. Also, an introduction of a second, largely independent power supply should be provided, even at the level of electronic control devices and both plus and masses side. This allows a decoupling between the two separately supplied units "electronic unit" and "additional electronics unit" carried out, at the same time a consideration and mastering of mass offsets between the two units "electronic unit" and "additional electronic unit" can be efficiently implemented.

Für die detaillierte Erläuterung der Ausführungsbeispiele der hier vorgestellten Erfindung werden zunächst einige nachfolgend verwendete Begriffe eingeführt.
WDC: (engl. Watch Dog Controller = Überwachungseinheit) Bei dieser Einheit handelt es sich um eine Überwachungseinheit (z.B. zur Überwachung eines zeitlichen Ablaufs von Sicherheitsfunktionen auf einer Logikeinheit und/oder eine Einheit zur Überwachung der Versorgungspannungen einer Logikeinheit).
supp.: (von engl. Supply = Versorgung) bezeichnet hier eine Versorgungsspannung für die beschriebene Schaltung
logic 1: ein oder mehrere Rechnerkerne als Steuereinheit (beispielsweise aber nicht ausschließlich in der Form einer Logikschaltung, eines digitalen Signalprozessors, eines FPGAs und/oder eines Mikrocontrollers) mit entsprechender Peripherie zur Ausführung von Sicherheitsfunktionen (z.B. Einlesen von Sensorwerten, logische Verarbeitung, Ausgabe bzw. Anforderung des sicheren Zustandes durch ein Steuersignal an einen Aktuator).
logic 2: Überwachungseinheit (beispielsweise aber ebenfalls nicht ausschließlich in der Form einer Logikschaltung, eines digitalen Signalporzessors, eines FPGAs und/oder eines Mikrocontrollers) zur Realisierung einer Sicherheitsintegritätsfunktion im Sinne eines WDC (watch dog controller) zur Überwachung der Integrität der Einheit logic 1 (beispielsweise in Bezug auf Ablauf, Spannungsversorgungen, etc.).
logic 3: Zusatzelektronikeinheit (beispielsweise aber ebenfalls nicht ausschließlich in der Form einer Logikschaltung, eines digitalen Signalprozessors, eines FPGAs und/oder eines Mikrocontrollers) mit Ansteuerschaltung für Aktuatoren und Sicherheitsintegritätsfunktion im Sinne eines WDC (watch dog controller) zur Überwachung der Integrität von logic 1
sens.: ein oder mehrere Sensoren
act.: ein oder mehrere Aktuatoren (Ventil, Regler, Antriebseinheit, Motor, allgemein: Komponente, die eine Bewegung ausführen kann, um ein weiteren Element in einen andere Position zu bringen.)
integr.: Signalpfad nach oder von logic 1, zur Realisierung von Sicherheitsintegritätsfunktionen in logic 1.
safe-req: Anforderung des sicheren Zustandes (safe fail und/oder fail operation), d.h. Ein- und/oder Ausschaltanforderung
integr. fct.: Sicherheitsintegritätsfunktion (Kombination von Hardwarekomponenten zur Implementierung der Sicherheitsintegritätsfunktion oder Hardware- und Softwarekomponenten zur Implementierung der Sicherheitsintegritätsfunktion), Funktion oder Modul, die/das die Integrität (d.h. Fehlerfreiheit des Betriebs) von Komponenten und/oder Signalen prüft, die von einer Sicherheitsfunktion verwendet werden. Sicherheitsintegritätsfunktionen können wiederum den sicheren Zustand anfordern.
safety fct.: Sicherheitsfunktion; in sicherheitsrelevanten Systemen sind sogenannte Sicherheitsfunktionen notwendig, die das System vor gefährlichen Zuständen schützen und gegebenenfalls den sicheren Zustand herbeiführen. Unter einem sicheren Zustand kann ein Systemzustand bezeichnet werden, in dem das System ruht und keine Gefährdung von diesem System auf Personen und/oder Sachwerte ausgeht.
decoupling unit (in den Figuren auch mit du bezeichnet): Entkopplungseinheit zur Vermeidung gegenseitiger (beispielsweise elektrischer) Beeinflussung von „Iogic 1“ und „Iogic 3“ (beispielsweise über Schwankungen auf Versorgungsleitungen)
unit: Schaltungseinheit
comp: Komponente (Sensor, Logik oder Aktuator)
fail safe system: System zum Erreichen des sicheren Zustandes durch bloßes Ausschalten auf der Ebene von elektronischen Steuergeräten.
fail operational system: System, in dem der sichere Zustand in einem sicherheitsrelevanten System derart definiert ist, dass mindestens ein Aktuator eingeschaltet sein sollte. For the detailed explanation of the embodiments of the invention presented here, some terms used below are introduced.
WDC: (Watch Dog Controller) This unit is a monitoring unit (for example, to monitor the timing of safety functions on a logic unit and / or a unit monitoring the supply voltage of a logic unit).
Supp .: (from English supply = supply) refers to a supply voltage for the circuit described here
logic 1: one or more computer cores as a control unit (for example but not exclusively in the form of a logic circuit, a digital signal processor, an FPGA and / or a microcontroller) with corresponding peripherals for carrying out safety functions (eg reading sensor values, logical processing, output or Requesting the safe state by a control signal to an actuator).
logic 2: monitoring unit (for example but not exclusively in the form of a logic circuit, a digital signal processor, an FPGA and / or a microcontroller) for implementing a safety integrity function in the sense of a WDC (watch dog controller) for monitoring the integrity of the unit logic 1 (FIG. for example with respect to drain, power supplies, etc.).
logic 3: additional electronic unit (for example but not exclusively in the form of a logic circuit, a digital signal processor, an FPGA and / or a microcontroller) with actuation circuit for actuators and safety integrity function in the sense of a WDC (watch dog controller) for monitoring the integrity of logic 1
sens .: one or more sensors
act .: one or more actuators (valve, governor, drive unit, motor, general: component that can perform a movement to move another element to another position)
Integr .: signal path to or from logic 1, to implement safety integrity functions in logic 1.
safe-req: request of the safe state (safe fail and / or fail operation), ie on and / or off request
integr. fct .: safety integrity function (combination of hardware components to implement the safety integrity function or hardware and software components to implement the safety integrity function), function or module that verifies the integrity (ie, accuracy of operation) of components and / or signals that are used by a safety function be used. Safety integrity functions can in turn request the safe state.
safety fct .: safety function; Safety-related systems require so-called safety functions that protect the system from dangerous conditions and, if necessary, bring about the safe state. A safe state can be defined as a system state in which the system is at rest and there are no hazards to persons and / or property from this system.
decoupling unit (also denoted by du in the figures): decoupling unit for avoiding mutual (for example electrical) influencing of "Iogic 1" and "Iogic 3" (for example via fluctuations on supply lines)
unit: circuit unit
comp: component (sensor, logic or actuator)
fail safe system: system for achieving the safe state by merely switching off at the level of electronic control units.
fail operational system: A system in which the safe state is defined in a safety-relevant system in such a way that at least one actuator should be switched on.

In 1 ist zur allgemeinen Einführung in die Thematik des hier vorgestellten Ansatzes zunächst ein schematisches Blockschaltbild einer Sicherheitsschaltungseinheit zur Sicherung einer elektronischen Schaltung 100 gegen einen Fehlerzustand wiedergegeben. Die dabei wesentlichen Funktionen sind durch drei Funktionsblöcke „logic 1“, „logic 2“ und „logic 3“ dargestellt. Die Aufgabenteilung ist dabei wie folgt:
„logic 1“: Ausführung der Sicherheitsfunktionen und der Sicherheitsintegritätsfunktionen (meist ausgeführt als integrierter Mikrocontroller und Software und entsprechender Peripherie). Die Einheit „logic 1“ arbeitet hier als Steuereinheit zur Ansteuerung von zumindest einem Aktuator wie beispielsweise dem Aktuator act 1 durch Ausgabe des ersten Steuersignals 110. Hierzu wird zumindest ein Sensorsignal 112, beispielsweise vom Sensor sens, empfangen und verarbeitet. Die Steuereinheit logic 1 wird von einer ersten Versorgungsspannungsquelle logic supp. 1 über einen ersten Versorgungsspannungsanschluss 115 mit elektrischer Energie versorgt. Analog wird der Aktuator act. 1 von einer entsprechenden Aktuatorversorgungseinheit act. supp. 1 und der Sensor sens von einer entsprechenden Sensorversorgungseinheit sens supp. 1 mit elektrischer Energie versorgt. In der Einheit logic 1 wird die fehlerfreie Funktion der Einheiten sens und act. 1 mittels einer Sicherheitsfunktion integr fct. überwacht, wobei bei einem Auftreten eines Fehlers durch die Einheit logic 1 ein Steuersignal safe-reg abgegeben wird, um einen Aktuator act.1 in einen Sicherheitszustand zu bringen. Auch können die Energieversorgungseinheiten des Sensors sens. supp. 1 und act. supp. 1 entsprechende Fehlersignale integr. ausgeben, die in der Einheit logic 1 verarbeitet werden.
„logic 2“: Überwachungseinheit zur Überwachung von „logic 1“, d.h. Überwachungseinrichtung zur Überwachung der durch „logic 1“ dargestellten Sicherheitsfunktionen auf ordnungsgemäße Ausführung (meist ausgeführt als integrierter WDC mit Schnittstelle zum integrierten Mikrocontroller). Hierbei wird in der Überwachungseinheit logic 2 eine Abfrage bzw. eine Aufgabe an die Steuereinheit logic 1 gesendet (integr.) und die erhaltene Antwort (ebenfalls integr.) ausgewertet. Bei einer Abweichung von einem erwarteten Wert wird durch die Überwachungseinheit logic 2 ein Steuersignal safe-reg abgegeben, um einen Aktuator act. 2 in einen Sicherheitszustand zu bringen. Auch kann in der Überwachungseinheit logic 2 ein Fehlersignal von der Energieversorgungseinheit logic supp. 1 erhalten und ausgewertet werden.
„logic 3“: Logik- und Ansteuereinheit als Zusatzelektronikeinheit zur Aktivierung eines zweiten Aktuators akt. 2 im Falle eines sicherheitskritischen Fehlers (zur Erreichung des sicheren Zustandes), beispielsweise wenn der erste Aktuator in einem sicherheitskritischen Fehler deaktiviert wird. Die Zusatzelektronikeinheit und der zweite Aktuator werden hierbei von eigenen Energieversorgungseinheiten logic supp. 2 bzw. act. supp. 2 mit Energie versorgt. In 1 For a general introduction to the subject of the approach presented here, first a schematic block diagram of a safety circuit unit for securing an electronic circuit 100 played back against a fault condition. The essential functions are represented by three function blocks "logic 1", "logic 2" and "logic 3". The division of tasks is as follows:
"Logic 1": Execution of the safety functions and the safety integrity functions (usually executed as integrated microcontroller and software and corresponding peripherals). The unit "logic 1" operates here as a control unit for controlling at least one actuator such as the actuator act 1 by outputting the first control signal 110 , For this purpose, at least one sensor signal 112 , for example, from the sensor sens, received and processed. The control unit logic 1 is supplied by a first supply voltage source logic supp. 1 via a first supply voltage connection 115 supplied with electrical energy. Analogously, the actuator is act. 1 from a corresponding actuator supply unit act. supp. 1 and the sensor sens from a corresponding sensor sensor unit supp. 1 supplied with electrical energy. In the logic 1 unit, the error-free function of the units is sens and act. 1 by means of a safety function integr fct. monitored, wherein upon the occurrence of an error by the unit logic 1, a control signal safe-reg is delivered to bring an actuator act.1 in a safety state. Also, the power supply units of the sensor sens. supp. 1 and act. supp. 1 corresponding error signals integr. output, which are processed in the unit logic 1.
"Logic 2": Monitoring unit for monitoring "logic 1", ie monitoring device for monitoring the safety functions represented by "logic 1" for proper execution (usually implemented as integrated WDC with interface to the integrated microcontroller). In this case, in the monitoring unit logic 2, a query or a task is sent to the control unit logic 1 (integr.) And the response received (also integr.) Is evaluated. In the event of a deviation from an expected value, the control unit logic 2 outputs a control signal safe-reg in order to act on an actuator. 2 to bring to a safe state. Also, in the monitoring unit logic 2, an error signal from the power supply unit logic supp. 1 are received and evaluated.
"Logic 3": Logic and control unit as additional electronic unit for activation of a second actuator act. 2 in the event of a safety-critical fault (to achieve the safe state), for example if the first actuator is deactivated in a safety-critical fault. The additional electronics unit and the second actuator are in this case of own power supply units logic supp. 2 or act. supp. 2 powered.

Zum Erreichen des sicheren Zustandes wird der Aktuator „act 2“ mittels eines zweiten Steuersignals 120 angesteuert. Die Ansteuerung erfolgt
auf Grund eines durch die Sicherheitsfunktion „logic 1, safety fct.“ erkannten, sicherheitskritischen Fehlers oder
auf Grund eines durch die Sicherheitsintegritätsfunktion „logic 1, integr. fct.“ erkannten, sicherheitskritischen Fehlers oder
auf Grund eines durch die Sicherheitsintegritätsfunktion „logic 2, integr. fct.“ der Überwachungseinheit erkannten, sicherheitskritischen Fehlers von „logic supp. 1“ oder „logic 1“ oder
auf Grund eines durch die Sicherheitsintegritätsfunktion der Zusatzelektronikeinheit „logic 3, integr. fct.“ erkannten, sicherheitskritischen Fehlers von „logic 1“ oder „logic supp 1“. To achieve the safe state, the actuator "act 2" by means of a second control signal 120 driven. The control takes place
due to a safety - critical error or fault detected by the safety function "logic 1, safety fct
due to the safety integrity function "logic 1, integr. fct. ", safety-critical error or
due to a safety logic function "logic 2, integr. fct. "of the monitoring unit recognized safety-critical error of" logic supp. 1 "or" logic 1 "or
due to a through the safety integrity function of the additional electronic unit "logic 3, integr. fct. ", safety-critical error of" logic 1 "or" logic supp 1 ".

In jedem der unterschiedlichen Fälle kann der sichere Zustand direkt oder indirekt über die Signalpfade „integr“ von „logic 1“ über die „decoupling unit“ an die Zusatzelektronikeinheit „logic 3“ weitergegeben werden, die Zusatzelektronikeinheit „logic 3“ kann dann die Ansteuerung von „act 2“ veranlassen. In each of the different cases, the safe state can be passed directly or indirectly via the signal paths "integr" of "logic 1" on the "decoupling unit" to the additional electronics unit "logic 3", the additional electronic unit "logic 3" can then control the Initiate "act 2".

Ein wichtiger Aspekt bei der Ansteuerung der Aktuatoren spielen in diesem Zusammenhang die Sicherheitsintegritätsfunktionen: Zur Erreichung von in den vorstehend genannten Normen geforderten Sicherheitsintegritätslevel sind, mindestens zur Kostenreduktion, Sicherheitsintegritätsfunktionen auf der Ebene von elektronischen Steuergeräten notwendig oder sinnvoll. Damit unterliegen meist auch die von den Sicherheitsfunktionen zum Herbeiführen des sicheren Zustandes beanspruchten Aktuatoren act. 1 und act. 2 sowie deren Ansteuerschaltungen dem Anspruch, durch Sicherheitsintegritätsmaßnahmen geprüft zu werden. Im hier beschriebenen Beispiel sollten damit auch Signalpfade, die zur Sicherheitsintegritätsprüfung von „act. supp. 2“, „act. 2“, „logic supp. 2“ und „logic 3“ für „logic 1, integr. fct“ über die Entkopplungseinheit „decoupling unit“ (die in der 1 mit dem Bezugszeichen du versehen ist) geführt werden bzw. gesonderte Maßnahmen zur Verwendung durch „logic 1“ implementiert werden. An important aspect in the control of the actuators play in this context, the safety integrity functions: To achieve required in the standards mentioned above safety integrity level, safety integrity functions at the level of electronic control units are necessary or useful, at least for cost reduction. As a result, the actuators claimed by the safety functions to bring about the safe state are usually also subject to act. 1 and act. 2 and their drive circuits claim to be tested by safety integrity measures. In the example described here, signal paths that are used for the safety integrity check of "act. supp. 2 "," act. 2 "," logic supp. 2 "and" logic 3 "for" logic 1, integr. fct "via the decoupling unit" decoupling unit "(which in the 1 provided with the reference numeral du) or separate measures for use by "logic 1" are implemented.

Alternativ kann auch eine nicht sicherheitsrelevante Nutzung von Aktuatoren erfolgen. Hierbei können neben der Nutzung von Aktuatoren act. 1 und act. 2 für Sicherheitsfunktionen diese auch durch nicht sicherheitskritische Funktionen genutzt werden, sofern nicht zeitgleich eine Nutzung durch die Sicherheitsfunktionen vorliegt. Eine nicht sicherheitsrelevante Ansteuerung von „act. 2“ erfolgt auf dem Signalpfad von „logic 1“ über die „decoupling unit“ an „logic 3“, „logic 3“ kann dann wiederum die Ansteuerung an „act 2“ weitergeben. Dies wirkt sich nachteilig auf Kosten, Komplexität, Sicherheit und Robustheit des Systems aus. Alternatively, a non-safety-related use of actuators can take place. In addition to the use of actuators act. 1 and act. 2 for safety functions, these are also used by non-safety-critical functions, provided that they are not used at the same time by the safety functions. A non-safety-relevant activation of "act. 2 "takes place on the signal path from" logic 1 "via the" decoupling unit "to" logic 3 "," logic 3 "can in turn forward the control to" act 2 ". This adversely affects the cost, complexity, security and robustness of the system.

Vor diesem Hintergrund wird vorliegend ein neuer Ansatz vorgeschlagen. Steigende Anforderungen an elektronische Steuergeräte bezüglich funktionaler Sicherheit führten bisher zu aufwendigeren, und damit zu teureren Lösungen. Die hier vorgestellte neue Lösung ist kostengünstiger, weniger komplex, sichererer und robuster. Die neue Lösung wird über eine intelligente Kombination bzw. Verschaltung von bestehenden und im System notwendigerweise verbauten Standardkomponenten realisiert. Es sind keine Maßnahmen zur Entkopplung von Baugruppen notwendig. Mit der neuen Lösung müssen keine besonderen Maßnahmen zur Beherrschung von Masseversätzen getroffen werden und sie ist ohne besondere Maßnahmen auch für den Betrieb mit niedrigeren Versorgungsspannungen geeignet. Against this background, a new approach is proposed in the present case. Increasing demands on electronic control units with regard to functional safety have so far led to more expensive and thus more expensive solutions. The new solution presented here is cheaper, less complex, safer and more robust. The new solution is realized via an intelligent combination or interconnection of existing and necessarily installed standard components in the system. There are no measures required to decouple assemblies. With the new solution, no special measures for the control of mass offsets must be made and it is suitable without special measures for operation with lower supply voltages.

2 zeigt ein schematisches Blockschaltbild einer zur Sicherung einer elektronischen Schaltung gegen einen Fehlerzustand gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. Grundgedanke des Ansatzes gemäß der 1 ist die Implementierung einer der Zusatzelektronikeinheit „logic 3“ entsprechenden Schaltung, die zur Herbeiführung des sicheren Zustandes für „fail operation“ im Fehlerfall dienen soll (was in der 1 durch die Zusatzelektronikeinheit logic 3 implementiert ist). Um die notwendige und geforderte Sicherheitsintegrität der Schaltung 100 sicherzustellen, wurden folgende Maßnahmen zusätzlich eingeführt:
Es wurde eine unabhängige, d.h. andere Versorgung von „logic 3“ wie von „logic 1“ mit elektrischer Energie implementiert, hier ausgeführt als gemeinsame Masseversorgung über entsprechende (elektrisch leitfähig miteinander verbundene) Massekontaktanschlüsse 200 bei unterschiedlichen (also voneinander elektrisch getrennten) Plusversorgungen bzw. ersten (logic supp. 1) 115 und zweiten (logic supp. 2) 215 Versorgungsanschlüssen. Ferner wurde die Schaltung angepasst, damit einerseits notwendige Kommunikation zwischen der Steuereinheit „logic 1“ und der der Zusatzelektronikeinheit „logic 3“ entsprechenden Komponente der Überwachungseinheit „logic 2“ unter Berücksichtigung von Masseversätzen technisch überhaupt ermöglicht wird, und andererseits um common-cause-Fehler, die sich gleichermaßen auf „logic 1“ wie „logic 3“ auswirken, zu minimieren. Drittens kann eine Testmöglichkeit auf Funktionsfähigkeit der der Zusatzelektronikeinheit „logic 3“ entsprechenden Schaltungskomponente und den zweiten Aktuator „act. 2“ durch die Steuereinheit „logic 1“ realisiert sein. 2 shows a schematic block diagram of an electronic circuit for preventing an error condition according to an embodiment of the present invention. Basic idea of the approach according to the 1 is the implementation of a circuit corresponding to the additional electronic unit "logic 3", which is to serve to bring about the safe state for "fail operation" in the event of a fault (which is described in US Pat 1 implemented by the additional electronic unit logic 3). To the necessary and required safety integrity of the circuit 100 the following additional measures have been introduced:
An independent, ie different, supply of "logic 3" as well as "logic 1" with electrical energy has been implemented, here embodied as common ground supply via corresponding (electrically interconnected) ground contact terminals 200 at different (ie electrically isolated) plus supplies or first (logic supp. 1) 115 and second (logic supp. 2) 215 Supply terminals. Furthermore, the circuit has been adapted so that on the one hand necessary communication between the control unit "logic 1" and the additional electronic unit "logic 3" corresponding component of the monitoring unit "logic 2" taking into account mass offsets technically possible at all, and on the other hand common-cause error that affect both "logic 1" and "logic 3" in the same way. Thirdly, a test possibility for the functioning of the circuit component corresponding to the additional electronic unit "logic 3" and the second actuator "act. 2 "be realized by the control unit" logic 1 ".

Ein wichtiger Aspekt des hier vorgestellten Ansatzes ist die Wiederverwendung der Überwachungseinheit „logic 2“, die als WDC in den Systemen nach dem Stand der Technik meist schon vorhanden ist. Im ersten Schritt sollte die Überwachungseinheit „logic 2“ lediglich um die Funktion „fail safe operation“ erweitert werden, was technisch bedeutet, dass ein- oder mehrere Ausgänge der Überwachungseinheit „logic 2“ aktiviert, statt nur deaktiviert werden müssen. Um die gleichen Anforderungen an die hohe Sicherheitsintegrität bezüglich des Erreichens des sicheren Zustandes, nun dargestellt durch die Ansteuerung durch die Überwachungseinheit „logic 2“, gerecht zu werden, werden zusätzliche strukturelle Maßnahmen eingeführt bzw. Änderungen vorgenommen. Diese sind:
Die weitere, unabhängige Versorgung „logic supp. 2“ wird nun als (Energie-)Versorgungseinheit für die Überwachungseinheit „logic 2“ verwendet. Auch wäre die Kommunikation zwischen der Steuereinheit „logic 1“ und der Überwachungseinheit „logic 2“ aufgrund der unterschiedlichen Versorgungen bzw. Versorgungsspannungspotenziale) nun sehr aufwendig (z.B. über die Kommunikation auf der SPI-Schnittstelle), weshalb nun die Massen bzw. Masseanschlusskontakte der zwei separaten Versorgungen (elektrisch) zusammengeschaltet werden. Damit ist eine sehr einfache Kommunikation zwischen den zwei Logik- oder Kontrolleinheiten oder blöcken möglich (ohne eine separate Entkoplungseinheit „decoupling unit“). Besonders vorteilhaft ist eine solche Lösung, wenn die Steuereinheit „logic 1“ und/oder die Überwachungseinheit „logic 2“ auch im engeren Sinne als Logikschaltungen implementiert werden, da in diesem Fall die Vorteile der zusammengeschalteten Masseanschlusskontakte aufgrund der Vermeidung von gleitenden Spannungspegeln und der hierdurch evtl. verursachten Fehler. Allerdings wäre das System 100 jetzt unsicher für den Fall, dass eine Masseverbindung zwischen den einzelnen Einheiten wie der Steuereinheit „logic 1“ und/oder der Überwachungseinheit „logic 2“ einerseits dem (gemeinsamen) Masseanschlusskontakt 200 abreißen würde. Dieses Problem kann behoben oder zumindest gemildert werden, wenn eine zusätzliche Sicherheitsintegritätsmaßnahme zur Erkennung eines Masseabrisses von „logic supp. 1“ oder „logic supp. 1“ mit „logic 1“ eingeführt wird, beispielsweise mittels einfacher Umsetzung über das Rücklesen von Spannung und/oder Strom der zwei Masse. An important aspect of the approach presented here is the reuse of the monitoring unit "logic 2", which already exists as WDC in the systems according to the prior art is. In the first step, the "logic 2" monitoring unit should only be extended with the "fail safe operation" function, which means that one or more outputs of the "logic 2" monitoring unit must be activated instead of just deactivated. In order to meet the same requirements for the high safety integrity with regard to reaching the safe state, now represented by the control by the monitoring unit "logic 2", additional structural measures are introduced or changes made. These are:
The additional, independent supply "logic supp. 2 "is now used as the (energy) supply unit for the" logic 2 "monitoring unit. Also, the communication between the control unit "logic 1" and the monitoring unit "logic 2" due to the different supplies or supply voltage potentials would now be very expensive (eg via the communication on the SPI interface), which is why the masses or ground terminal contacts of the two separate supplies (electrical) are interconnected. This allows a very simple communication between the two logic or control units or blocks (without a separate decoupling unit). Such a solution is particularly advantageous if the logic unit "logic 1" and / or the monitoring unit "logic 2" are also implemented in the strict sense as logic circuits, since in this case the advantages of the interconnected ground terminal contacts due to the avoidance of sliding voltage levels and thereby possibly caused errors. However, the system would be 100 now uncertain in the event that a ground connection between the individual units such as the control unit "logic 1" and / or the monitoring unit "logic 2" on the one hand to the (common) ground terminal contact 200 would tear off. This problem can be remedied or at least mitigated if an additional safety integrity measure to detect a groundbreaking of "logic supp. 1 "or" logic supp. 1 "with" logic 1 "is introduced, for example by means of simple implementation on the read back of voltage and / or current of the two mass.

3 zeigt ein Blockschaltbild zur Erläuterung der Erkennung von einer Unterbrechung eines Massekontaktes zwischen der Steuereinheit „logic 1“ und der Überwachungseinheit „logic 2“. Hierbei wird ein besonders vorteilhaftes Versorgungsspannungskonzept vorgestellt, welches vorsieht, dass die elektronische Steuerung bzw. Schaltung 100 zwei plus- 300a bzw. 300b und zwei masseseitige 310a und 310b Versorgungen aufweist. Auf der Ebene der elektronischen Steuerung bzw. Schaltung mit der Steuereinheit „logic 1“ und der Überwachungseinheit „logic 2“ werden die zwei Massen jedoch zu einer einzigen Masse über den Massekontaktanschluss 200 zusammengeführt. Damit ist ein einfacherer, robusterer und kostengünstigerer Schaltungsaufbau möglich (u.a. Entfall der Entkopplungseinheit „decoupling unit“ aus 1). Die Verfügbarkeit der zwei Versorgungen kann durch die Signalpfade „integr“ über eine Sicherheitsintegritätsfunktion getestet werden, beispielsweise in der Komponente „logic comp. 1“. Dadurch kann ein Fehler (beispielsweise durch ein Abreißen des Massekontakts zur dem gemeinsamen Massekontaktanschluss 200 in einer Masseverbindung eindeutig identifiziert werden und damit entsprechende Maßnahmen ergriffen werden. Gleiches gilt auch für die Plusversorgung an den beiden Anschlüssen 300a und 300b. Der sichere Zustand ist bei einem Fehler in einer einzelnen Komponente herbeiführbar, wobei sogenannte schlafende Fehler durch die vorgesehenen Sicherheitsintegritätsfunktionen erkannt und bei Erkennung entsprechende Maßnahmen eingeleitet werden können. Die Zuordnung der Versorgung der Aktuatoren „act. supp. 1“ und „act. supp. 2“ zu den Aktuatoren „act. 1“ und „act. 2“ ist nur beispielhaft dargestellt, d.h. „act. 1“ kann auch durch „act. supp. 2“ und „act. 2“ durch „act. supp. 1“ versorgt werden. 3 shows a block diagram for explaining the detection of an interruption of a ground contact between the control unit "logic 1" and the monitoring unit "logic 2". Here, a particularly advantageous supply voltage concept is presented, which provides that the electronic control or circuit 100 two plus 300A respectively. 300b and two massesides 310a and 310b Supplies. However, at the level of the electronic control or circuit with the control unit "logic 1" and the monitoring unit "logic 2", the two masses become a single mass via the ground contact connection 200 merged. This makes a simpler, more robust and less expensive circuit design possible (including elimination of the decoupling unit "decoupling unit" 1 ). The availability of the two supplies can be tested by the signal paths "integr" via a safety integrity function, for example in the component "logic comp. 1". As a result, an error (for example, by tearing off the ground contact to the common ground contact terminal 200 be clearly identified in a ground connection and thus appropriate action is taken. The same applies to the plus supply at the two terminals 300A and 300b , The safe state can be brought about in the event of a fault in a single component, whereby so-called sleeping faults can be detected by the provided safety integrity functions and corresponding measures can be initiated upon detection. The allocation of the supply of actuators "act. supp. 1 "and" act. supp. 2 "to the actuators" act. 1 "and" act. 2 "is shown only as an example, ie" act. 1 "can also be replaced by" act. supp. 2 "and" act. 2 "by" act. supp. 1 "are supplied.

Ferner wird auch eine Dekomposition bzw. Redundanzen in dem hier vorgestellten Ansatz eingesetzt. Im Stand der Technik wird eine für das jeweilige System zu hohe Ausfallrate von Komponenten, z.B. Aktuatoren oder Sensoren, durch Dekomposition oder Redundanzen beherrscht. Gemäß 2 kann der sichere Zustand z.B. durch gleichzeitige, redundante Aktivierung beider Aktuatoren „act 1“ und „act 2“ erreicht werden. Ist die gewünschte Wirkung aufgrund des Ausfalls eines der zwei Aktuatoren nicht gegeben, so wird der sichere Zustand dennoch durch den jeweils anderen Aktuator herbeigeführt. Um die Wahrscheinlichkeit zu senken, dass beide Komponenten geleichzeitig ausfallen (common cause failure) können unterschiedliche Maßnahmen eingesetzt werden. Diese sind
Funktionale Maßnahmen,
Maßnahmen im Design und
Unterschiedliche Arbeitspunkte, Furthermore, a decomposition or redundancies in the approach presented here is used. In the prior art, a too high failure rate of components, eg actuators or sensors, for the respective system is dominated by decomposition or redundancies. According to 2 For example, the safe state can be achieved by simultaneous, redundant activation of both actuators "act 1" and "act 2". If the desired effect is not given due to the failure of one of the two actuators, the safe state is nevertheless brought about by the respective other actuator. To reduce the likelihood that both components fail at the same time (common cause failure), different measures can be used. These are
Functional measures,
Measures in the design and
Different working points,

Die Wirkung der Maßnahmen ist sowohl in nicht sicherheitskritischen Zuständen als auch im Betrieb des sicheren Zustandes der Aktuatoren „act 1“ und „act 2“ gegeben. Die Maßnahmen für die Komponente Aktuator werden am Beispiel eines elektrohydraulischen oder elektropneumatischen Ventils im Folgenden dargestellt. The effect of the measures is given both in non-safety-critical states and in the operation of the safe state of the actuators "act 1" and "act 2". The measures for the component actuator are shown below using the example of an electro-hydraulic or electropneumatic valve.

1. Funktionale Maßnahmen (Konzeptprinzip): 1. Functional measures (concept principle):

Jedes Ventil für sich erfüllt die Anforderung, bei Aktivierung den sicheren Zustand des Systems herzustellen. Each valve satisfies the requirement to establish the safe state of the system when activated.

Im Anforderungsfall wird in jedem Fall versucht, beide Ventile zu aktivieren. In the case of a request, it is always attempted to activate both valves.

2. Maßnahmen im Design verankert (Konstruktion): 2. Measures enshrined in design (construction):

Es erfolgt eine unterschiedliche Einbaulage der Ventile (z.B. Höhenversatz, nicht direkt nebeneinander). There is a different installation position of the valves (for example height offset, not directly next to one another).

Es werden unterschiedliche Ansteuerbaugruppe der Ventile (z.B. unterschiedlicher Typ Endstufentreiber / Auslegung Endstufentreiber unterschiedlich) verwendet. Different types of actuators of the valves are used (e.g., different type of output stage driver / differential stage driver design).

Es wird ein unterschiedlicher Arbeitspunkt der Ventile bezogen auf Nennstrom (z.B. zweites Ventil bekommt 90% Nominalstrom vom ersten Ventil) verwendet. A different operating point of the valves relative to rated current (e.g., second valve gets 90% nominal current from the first valve) is used.

Unter Berücksichtigung des geforderten zeitlichen Verhaltens, wird ein versetzter Einschaltzeitpunkt der Ventile gewählt. Taking into account the required temporal behavior, a staggered switch-on time of the valves is selected.

Unterschiedliche Temperatur der Ventile, bedingt durch Konstruktion Different temperature of the valves, due to construction

3. Technische Maßnahmen im Betrieb (Arbeitspunkte) 3. Technical measures during operation (working points)

Es werden unterschiedlich verteilte Betriebsdauer im nicht sicherheitskritischen Betrieb (z.B. zweites Ventil hat weniger als 80% vom ersten Ventil) verwendet. Different operating hours are used in non-safety critical operation (e.g., second valve has less than 80% of the first valve).

Es wird eine unterschiedliche Temperatur durch unterschiedliche verteilte Betriebsdauer im nicht sicherheitskritischen Betrieb verwendet. A different temperature is used by different distributed operating time in non-safety-critical operation.

Es erfolgt eine Prüfung der Integrität beider Komponenten (Ventile + Endstufen) mit höherer Wiederholrate. The integrity of both components (valves + output stages) is checked at a higher repetition rate.

Damit kann nun die geforderte Sicherheitsintegrität wieder hergestellt werden. Resultierend aus der nun gemeinsamen Masseversorgung und der nicht mehr notwendigen „decoupling unit“, ist eine wesentlich einfachere Testmöglichkeit von „act. 2“ und nun „logic 2“ möglich. Thus, the required safety integrity can now be restored. As a result of the now common ground supply and the no longer necessary "decoupling unit", a much simpler test option of "act. 2 "and now" logic 2 "possible.

Zusammenfassend ist anzumerken, dass ein wichtiger Aspekt des hier vorgeschlagenen Ansatzes darin gesehen werden kann, dass der neue Ansatz die Funktionsblöcke „logic 2“ und „logic 3“ zu einem einzigen neuen Funktionsblock „logic 2“ vereinigt. Dabei ist die neue Realisierung nicht ein bloßes Zusammenführen der zwei alten Funktionsblöcke. Der neue Ansatz nutzt gezielt Funktionselemente, die in „logic 2“ der alten Lösung in gleicher oder ähnlicher Weise notwendig sind, passt diese an, wo es notwendig ist und führt damit insgesamt zu einer kompakteren, kostengünstigeren und einfacheren Lösung. Weiterhin schafft die neue Lösung die Grundlage ohne wesentliche Mehrkosten höhere Sicherheitsstandards abzubilden als die bekannte Lösung. In summary it should be noted that an important aspect of the approach proposed here can be seen in the fact that the new approach combines the function blocks "logic 2" and "logic 3" into a single new function block "logic 2". The new implementation is not just a merge of the two old functional blocks. The new approach uses functional elements that are necessary in "logic 2" of the old solution in the same or a similar way, adapts these where necessary, and thus leads to a more compact, cost-effective and simpler solution. Furthermore, the new solution creates the basis without much additional cost higher security standards than the known solution.

Mit dem hier vorgestellten Ansatz lässt sich zumindest eine Vereinfachung im Aufbau der Sicherheitsschaltungseinheit erreichen. In dem in der 1 dargestellten Beispiel überwachen sowohl die Überwachungseinheit „logic 2“ als auch die Zusatzelektronikeinheit „logic 3“ die ordnungsgemäße Ausführung der durch „logic 3“ dargestellten Funktionen, ohne einen Mehrwert zur Sicherheit des Systems beizutragen. Die bestehende Überwachungsfunktion in der Überwachungseinheit „logic 2“ kann somit in der neuen Lösung als einzige Überwachungseinheit herangezogen werden. With the approach presented here, at least a simplification in the construction of the safety circuit unit can be achieved. In the in the 1 As shown, both the monitoring unit "logic 2" and the additional electronic unit "logic 3" monitor the proper execution of the functions represented by "logic 3" without adding any added value to the safety of the system. The existing monitoring function in the "logic 2" monitoring unit can therefore be used as the only monitoring unit in the new solution.

Die Überwachungseinheit „logic 2“ und die Zusatzelektronikeinheit „logic 3“ des Ausführungsbeispiels nach 1 benötigen zur Ausführung ihrer Funktionen (Überwachungsfunktion, Ansteuerfunktion der Aktuatoren für den sicheren Zustand) bestimmte Hardware-Komponenten. Diese Hardware-Komponenten werden durch die neue Funktion durch eine einzige Hardware-Komponente ersetzt (insbesondere da „logic 2“ als Standardbaugruppe oftmals bereits über eine hierzu notwendige Hardware-Konfiguration verfügt) The monitoring unit "logic 2" and the additional electronics unit "logic 3" of the embodiment according to 1 require certain hardware components to carry out their functions (monitoring function, actuation function of the actuators for the safe state). These hardware components are replaced by the new function by a single hardware component (especially since "logic 2" as a standard module often already has a hardware configuration required for this purpose)

Durch die zwei Funktionsblöcke „logic 2“ und „logic 3“ dargestellten Überwachungsfunktionen müssen auch zwei Schnittstellen (zur Übertragung der Signale „integr.“) zur Steuereinheit „logic 1“ implementiert werden. Damit kann in der hier vorgestellten Lösung auch eine Schnittstelle entfallen. The monitoring functions represented by two function blocks "logic 2" and "logic 3" must also implement two interfaces (for the transmission of the signals "integr.") To the control unit "logic 1". Thus, an interface can be omitted in the solution presented here.

Die Schnittstelle zwischen der Steuereinheit „logic 1“ und der Überwachungseinheit „logic 2“ sowohl in der neuen Lösung als auch in der alten Lösung ist eine serielle Schnittstelle (z.B. SPI). Bedingt durch den Charakter der seriellen Schnittstelle können einfache elektrische oder andere Fehler nicht dazu führen, dass die Überwachungsfunktion Fehler von der Steuereinheit „logic 1“ nicht mehr erkennen kann. Damit benötigt die Schnittstelle zwischen der Überwachungseinheit „logic 1“ und der Zusatzelektronikeinheit „logic 2“ nicht weiter eine Entkopplungseinheit „decoupling unit“. The interface between the "logic 1" control unit and the "logic 2" monitoring unit in both the new solution and the old solution is a serial interface (e.g., SPI). Due to the nature of the serial interface, simple electrical or other faults can not result in the monitoring function being unable to detect faults from the "logic 1" control unit. Thus, the interface between the monitoring unit "logic 1" and the additional electronic unit "logic 2" no longer requires a decoupling unit "decoupling unit".

Durch den Entfall der Entkopplungseinheit „decoupling unit“ kommen die Funktionsblöcke in dem hier vorgestellten Ansatz mit einer einzigen Masseversorgung aus. Damit entfallen z.B. Zusatzaufwendungen für die Beherrschung von Masseversätzen. Due to the omission of the decoupling unit, the function blocks in the approach presented here come out with a single ground supply. This eliminates e.g. Additional expenses for the control of mass offsets.

Der hier vorgestellte Ansatz bietet dabei einige Mehrwertpotenziale gegenüber dem in der 1 dargestellten Ansatz. Insbesondere kann, mitunter aufgrund der nicht mehr notwendigen Entkopplungseinheit „decoupling unit“, der zweite Aktuator „act. 2“ direkt von Sicherheitsfunktionen durch die Steuereinheit „logic 1“ angesteuert und damit verwendet werden, was eine Verbesserung beim zum Erreichen des sicheren Zustandes mit sich bringt. The approach presented here offers some added value potential compared to the one in the 1 presented approach. In particular, sometimes due to the no longer necessary decoupling unit "decoupling unit", the second actuator "act. 2 "are directly controlled by safety functions by the control unit" logic 1 "and thus used, which brings an improvement in achieving the safe state with it.

Ein Integritätstest des zweiten Aktuators „act. 2“ durch die Überwachungseinheit „logic 2“ ist durch den Entfall der Entkopplungseinheit „decoupling unit“ einfacher möglich. Auch ist eine Erweiterbarkeit des Systems einfacher möglich, z.B. kann der zweite Aktuator „act. 2“ aus zwei Aktuatoren statt einem einzigen bestehen. An integrity test of the second actuator "act. 2 "by the monitoring unit" logic 2 "is easier by eliminating the decoupling unit" decoupling unit "possible. Also, expandability of the system is more easily possible, e.g. can the second actuator "act. 2 "consist of two actuators instead of a single one.

Der hier vorgestellte neue Ansatz bietet dabei mehrere Vorteile, die sich im Wesentlichen wie folgt zusammenfassen lassen:
Die neue hier vorgeschlagene Lösung ist günstiger, da die Entkopplungseinheit „decoupling unit“ entfällt. The new approach presented here offers several advantages, which can essentially be summarized as follows:
The new solution proposed here is more favorable since the decoupling unit "decoupling unit" is omitted.

Die neue hier vorgeschlagene Lösung ist günstiger, da sie nur eine Überwachungseinheit benötigt, nicht jedoch eine zweite Überwachungseinheit. The new solution proposed here is more favorable since it requires only one monitoring unit, but not a second monitoring unit.

Die neue hier vorgeschlagene Lösung ist günstiger durch einfachere Realisierung mittels Verwendung von Standard-Baugruppen (WDC). The new solution proposed here is cheaper by simpler implementation using standard assemblies (WDC).

Die neue hier vorgeschlagene Lösung ist günstiger, durch die Verwendung eines einfacheren, modifizierten Spannungsversorgungskonzepts. The new solution proposed here is more favorable, through the use of a simpler, modified power supply concept.

Die neue hier vorgeschlagene Lösung ermöglicht, dass auf einfachere Art und Weise mehrere Aktuatoren zur Herbeiführung des sicheren Zustandes herangezogen werden können (da eine Entkopplungseinheit „decoupling unit“ entfallen kann) The new solution proposed here makes it possible to use a plurality of actuators to bring about the safe state in a simpler manner (since a decoupling unit can be dispensed with)

Die neue hier vorgeschlagene Lösung ist kostengünstig und geeignet für niedrigere aber auch hohe Anforderungen an funktionale Sicherheit (z.B. SIL2, ASIL-D). The new solution proposed here is inexpensive and suitable for lower but also high demands on functional safety (e.g., SIL2, ASIL-D).

Die neue hier vorgeschlagene Lösung bietet Potenzial für niedrigere Kosten, wenn die gleichen Aktuatoren neben der Nutzung für Sicherheitsfunktionen auch für nicht sicherheitsrelevante Funktionen genutzt werden sollen. The new solution proposed here offers the potential for lower costs if the same actuators are to be used not only for security functions but also for non-safety-related functions.

Die neue hier vorgeschlagene Lösung ist ohne besondere Maßnahmen auch für den Betrieb mit niedrigeren Versorgungsspannungen geeignet (durch Entfall der Entkopplungseinheit „decoupling unit“). The new solution proposed here is also suitable for operation with lower supply voltages without special measures (by omitting the decoupling unit "decoupling unit").

Die neue hier vorgeschlagene Lösung kommt ohne einen zusätzlichen Datenspeicher aus, der Daten zur Fahr- und Fahrzeugsituation hält. The new solution proposed here does not require an additional data memory that holds data on the driving and vehicle situation.

Zum Erreichen des sicheren Zustandes wird dabei der Aktuator „act 2“ und/oder „act 1“ angesteuert. Die Ansteuerung erfolgt

• a) auf Grund eines durch die Sicherheitsfunktion der Steuereinheit „logic 1, safety fct.“ erkannten, sicherheitskritischen Fehlers oder
• b) auf Grund eines durch Sicherheitsintegritätsfunktion der Steuereinheit „logic 1, integr. fct.“ erkannten, sicherheitskritischen Fehlers oder
• c) auf Grund eines durch die Sicherheitsintegritätsfunktion der Überwachungseinheit “logic 2, integr. fct.“ erkannten, sicherheitskritischen Fehlers von der Sicherheitsfunktion der Steuereinheit „logic 1, safety fct.“ oder
• d) auf Grund eines durch die Sicherheitsintegritätsfunktion der Überwachungseinheit „logic 2, integr. fct.“ erkannten, sicherheitskritischen Fehlers der Versorgungseinheit der Steuereinheit „logic supp. 1“
• e) auf Grund eines durch die Sicherheitsintegritätsfunktion der Steuereinheit „logic 1, integr. fct.“ erkannten, sicherheitskritischen Fehlers der Einheiten „logic supp. 2“, „logic 2, integr. fct.“, „act. supp. 2“ oder „act. 2 integr. fct“

To achieve the safe state while the actuator "act 2" and / or "act 1" is controlled. The control takes place

• a) due to a safety critical error detected by the safety function of the control unit "logic 1, safety fct." or
• b) due to a safety integrity function of the control unit "logic 1, integr. fct. ", safety-critical error or
• c) due to the safety integrity function of the monitoring unit "logic 2, integr. fct. ", safety-critical error from the safety function of the control unit" logic 1, safety fct. "or
• d) due to the safety integrity function of the monitoring unit "logic 2, integr. fct. "recognized, safety-critical error of the supply unit of the control unit" logic supp. 1"
• e) due to a through the safety integrity function of the control unit "logic 1, integr. fct. "recognized, safety-critical error of the units" logic supp. 2 "," logic 2, integr. fct. "," act. supp. 2 "or" act. 2 integr. fct "

In jedem der unterschiedlichen Fälle a)–d) kann die Anforderung des sicheren Zustandes direkt über die Signalpfade „integr“ von der Steuereinheit „logic 1“ an die Überwachungseinheit „logic 2“ erfolgen, die Überwachungseinheit „logic 2“ kann dann die Ansteuerung der Aktuatoren „act 2“ und/oder „act 1“ veranlassen. In each of the different cases a) -d), the request for the safe state can take place directly via the signal paths "integr" from the control unit "logic 1" to the monitoring unit "logic 2", the monitoring unit "logic 2" can then control the Actuators "act 2" and / or "act 1" cause.

Zusätzlich kann für den Fall a) und e) das Herbeiführen des sicheren Zustandes durch direkte Ausgabe eines entsprechenden Steuersignals an die Aktuatoren „act 2“ und/oder „act 1“ durch die Sicherheitsfunktion der Steuereinheit „logic 1, safety fct.“ erfolgen. In addition, for cases a) and e), the safe state can be achieved by directly outputting a corresponding control signal to the actuators "act 2" and / or "act 1" by the safety function of the control unit "logic 1, safety fct.".

Eine Einschaltung der Aktuatoren zum Herbeiführen des sicheren Zustandes erfolgt also ohne die Verwendung einer Entkopplungseinheit „decoupling unit“ und ohne einen zusätzlichen Datenspeicher. Weiterhin wird nur eine einzige externe Überwachungseinheit mit einer entsprechenden Sicherheitsintegritätsfunktion „logic 2, integr. fct.“ benötigt. Durch intelligente Verwendung von zwei Spannungsquellen unter Nutzung gezielter Sicherheitsintegritätsfunktionen ist ein kostengünstigerer und einfacherer Aufbau möglich. Die neue Lösung ist damit einerseits eine einfache Lösung zur Beherrschung von Einfachfehler und andererseits zur Erkennung und Beherrschung von sogenannten schlafenden Fehlern. Activation of the actuators to bring about the safe state thus takes place without the use of a decoupling unit "decoupling unit" and without an additional data memory. Furthermore, only a single external monitoring unit with a corresponding safety integrity function "logic 2, integr. fct. "needed. By intelligently using two voltage sources using targeted safety integrity features, a lower cost and simpler design is possible. On the one hand, the new solution is therefore a simple solution for the control of single errors and, on the other hand, for the detection and control of so-called sleeping errors.

Das Herbeiführen des sicheren Zustandes über die Aktivierung der Aktuatoren „act 2“ und/oder „act 1“ gilt für den Fall von fail operation Systemen. Die, zum Herbeiführen des sicheren Zustandes, optionale Deaktivierung von in 2 nicht dargestellten weiteren (fail safe) Aktuatoren kann durch Invertieren der Ansteuersignale an die Aktuatoren „act 2“ und/oder „act 1“ erfolgen. The activation of the safe state via the activation of the actuators "act 2" and / or "act 1" applies to the case of fail operation systems. The, to bring about the safe state, optional deactivation of in 2 not shown further (fail safe) actuators can be done by inverting the control signals to the actuators "act 2" and / or "act 1".

Die beschriebenen und in den Figuren gezeigten Ausführungsbeispiele sind nur beispielhaft gewählt. Unterschiedliche Ausführungsbeispiele können vollständig oder in Bezug auf einzelne Merkmale miteinander kombiniert werden. Auch kann ein Ausführungsbeispiel durch Merkmale eines weiteren Ausführungsbeispiels ergänzt werden. The embodiments described and shown in the figures are chosen only by way of example. Different embodiments may be combined together or in relation to individual features. Also, an embodiment can be supplemented by features of another embodiment.

Ferner können erfindungsgemäße Verfahrensschritte wiederholt sowie in einer anderen als in der beschriebenen Reihenfolge ausgeführt werden. Furthermore, method steps according to the invention can be repeated as well as carried out in a sequence other than that described.

Umfasst ein Ausführungsbeispiel eine „und/oder“ Verknüpfung zwischen einem ersten Merkmal und einem zweiten Merkmal, so kann dies so gelesen werden, dass das Ausführungsbeispiel gemäß einer Ausführungsform sowohl das erste Merkmal als auch das zweite Merkmal und gemäß einer weiteren Ausführungsform entweder nur das erste Merkmal oder nur das zweite Merkmal aufweist. If an exemplary embodiment comprises a "and / or" link between a first feature and a second feature, this can be read so that the embodiment according to one embodiment, both the first feature and the second feature and according to another embodiment, either only the first Feature or only the second feature.

BezugszeichenlisteLIST OF REFERENCE NUMBERS

100 100

elektronische Schaltung electronic switch

110 110

erstes Steuersignal first control signal

112 112

erstes Sensorsignal first sensor signal

115 115

Versorgungsspannungsanschluss Supply voltage connection

120 120

zweites Steuersignal second control signal

200 200

(gemeinsamer) Massekontaktanschluss (common) ground contact terminal

300a 300a

erster Versorgungsspannungsanschluss first supply voltage connection

300b 300b

zweiter Versorgungsspannungsanschluss second supply voltage connection

310a 310a

erste masseseitige Versorgung first mass-side supply

310b 310b

zweite masseseitige Versorgung second mass-side supply

400 400

Verfahren zur Sicherung einer elektronischen Schaltung gegen einen FehlerzustandMethod for securing an electronic circuit against a fault condition

410 410

Schritt des Ausgebens Step of spending

420 420

Schritt des Erkennens Step of cognition

430 430

Schritt des Bereitstellens Step of providing

supp. supp.

Energieversorgungseinheit Power supply unit

logic 1 logic 1

Steuereinheit control unit

logic 2 logic 2

Überwachungseinheit monitoring unit

logic 3 logic 3

Zusatzelektronikeinheit Additional electronics unit

sens. sens.

Sensor sensor

act. act.

Aktuator actuator

integr. integr.

Signalpfad zur Realisierung einer Sicherheitsintegritätsfunktion Signal path for implementing a safety integrity function

safe-req safe-req

Anforderungssignal für einen sicheren Zustand ( Request signal for a safe state (

integr. fct. integr. fct.

Sicherheitsintegritätsfunktion Safety Integrity Function

safety fct. safety fct.

Sicherheitsfunktion safety function

du you

Entkopplungseinheit (decoupling unit) Decoupling unit

unit unit

Schaltungseinheit circuit unit

comp comp

Komponente component

ground ground

Masse Dimensions

plus plus

Versorgungsspannungsanschlusskontakt Supply voltage connection contact

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte Nicht-PatentliteraturCited non-patent literature

• IEC61508 [0022] IEC61508 [0022]
• ISO26262 [0022] ISO26262 [0022]

Claims (7)

Sicherheitsschaltungseinheit (logic 1, logic 2), zum Überführen eines durch die Sicherheitsschaltungseinheit betriebenen Systems in einen Sicherheitszustand, dadurch gekennzeichnet, dass die Sicherheitsschaltungseinheit (logic 1, logic 2) die folgenden Merkmale aufweist: eine Steuereinheit (logic 1), die ausgebildet ist, um ein erstes Steuersignal (110, safe-req) an einen ersten Aktuator (act. 1) auszugeben, um diesen in einen ersten Sicherheitszustand zu bringen, wobei die Steuereinheit (logic 1) mit einer Spannung zwischen einem ersten Versorgungsspannungsanschluss (115) und einem Masseanschlusskontakt (200) mit elektrischer Energie versorgbar ist; und eine Überwachungseinheit (logic 2), die ausgebildet ist, um ansprechend auf eine erkannte Fehlfunktion in der Steuereinheit (logic 1) ein zweites Steuersignal (120, safe-req) an einen zweiten Aktuator (act. 2) auszugeben, um diesen in einen zweiten Sicherheitszustand zu bringen, wobei die Überwachungseinheit (logic 2) mit einer Spannung zwischen einem zweiten Versorgungsspannungsanschluss (215) und dem Masseanschlusskontakt (200) mit elektrischer Energie versorgbar ist, wobei der erste (115) und zweite (215) Versorgungsspanungsanschluss voneinander entkoppelt sind. A safety circuit unit (logic 1, logic 2) for transferring a system operated by the safety circuit unit into a safety state, characterized in that the safety circuit unit (logic 1, logic 2) has the following features: a control unit (logic 1) which is designed to a first control signal ( 110 , safe-req) to a first actuator (act. 1) to bring it into a first safety state, wherein the control unit (logic 1) with a voltage between a first supply voltage terminal ( 115 ) and a ground terminal contact ( 200 ) can be supplied with electrical energy; and a monitoring unit (logic 2) which is designed to generate a second control signal (logic 1) in response to a detected malfunction in the control unit (logic 1). 120 , safe-req) to a second actuator (act. 2) to bring this in a second security state, wherein the monitoring unit (logic 2) with a voltage between a second supply voltage terminal ( 215 ) and the ground terminal contact ( 200 ) is supplied with electrical energy, wherein the first ( 115 ) and second ( 215 ) Supply voltage connection are decoupled from each other. Sicherheitsschaltungseinheit (logic 1, logic 2) gemäß Anspruch 1, gekennzeichnet, durch eine Energieversorgungskontrolleinheit (logic comp. 1), die ausgebildet ist, um eine Unterbrechung eines Massekontaktes zwischen der Steuereinheit (logic 1) und/oder deren Energieversorgungseinheit (logic supp. 1) und dem Masseanschlusskontakt (200) und/oder einer Unterbrechung des Massenkontaktes zwischen der Überwachungseinheit (logic 2) und/oder deren Energieversorgungseinheit (logic supp. 2) und dem Masseanschlusskontakt (200) zu erkennen und ansprechend auf ein solches Erkennen der Unterbrechung des Massenkontaktes ein Fehlersignal (integr.) auszugeben. A safety circuit unit (logic 1, logic 2) according to claim 1, characterized by a power supply control unit (logic comp. 1) which is designed to interrupt an earth contact between the control unit (logic 1) and / or its power supply unit (logic supp ) and the ground terminal contact ( 200 ) and / or an interruption of the mass contact between the monitoring unit (logic 2) and / or its power supply unit (logic supp. 2) and the ground terminal contact ( 200 ) and to issue an error signal (integr.) in response to such detection of the interruption of the ground contact. Sicherheitsschaltungseinheit (logic 1, logic 2) gemäß Anspruch 2, dadurch gekennzeichnet, dass die Energieversorgungskontrolleinheit (logic comp. 1) ausgebildet ist, um die Unterbrechung des Massekontaktes zwischen der Steuereinheit (logic 1) und/oder deren Energieversorgungseinheit (logic supp. 1) und/oder der Überwachungseinheit (logic 2) und/oder deren Energieversorgungseinheit (logic supp. 2) einerseits und dem Masseanschlusskontakt (200) andererseits auf der Basis einer Überwachung einer Spannung zwischen dem ersten Versorgungsspannungsanschluss (115) und dem Masseanschlusskontakt (200) und/oder dem zweiten Versorgungsspannungsanschluss (215) und dem Masseanschlusskontakt (200) und/oder auf der Basis einer Überwachung eines Stromflusses durch die Steuereinheit (logic 1) und/oder die Überwachungseinheit (logic 2) zu ermitteln. Safety circuit unit (logic 1, logic 2) according to claim 2, characterized in that the power supply control unit (logic comp. 1) is designed to interrupt the ground contact between the control unit (logic 1) and / or its power supply unit (logic supp. and / or the monitoring unit (logic 2) and / or its power supply unit (logic supp. 2) on the one hand and the ground terminal contact ( 200 on the other hand on the basis of a monitoring of a voltage between the first supply voltage terminal ( 115 ) and the ground terminal contact ( 200 ) and / or the second supply voltage connection ( 215 ) and the ground terminal contact ( 200 ) and / or on the basis of a monitoring of a current flow through the control unit (logic 1) and / or the monitoring unit (logic 2) to determine. Sicherheitsschaltungseinheit (logic 1, logic 2) gemäß einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Steuereinheit (logic 1) ausgebildet ist, um ansprechend auf einen erkannten Fehler in der Überwachungseinheit (logic 2) ein drittes Steuersignal (220, safe-req) an einen zweiten Aktuator (act. 2) auszugeben, um diesen in einen zweiten Sicherheitszustand zu bringen. Safety circuit unit (logic 1, logic 2) according to one of the preceding claims, characterized in that the control unit (logic 1) is designed to generate a third control signal (logic 2) in response to a detected fault in the monitoring unit (logic 2). 220 , safe-req) to a second actuator (act. 2) to bring this in a second security state. Sicherheitsschaltungseinheit (logic 1, logic 2) gemäß einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Steuereinheit (logic 1) ausgebildet ist, um den ersten Aktuator (act. 1) als ersten Sicherheitszustand in einen inaktiven Zustand zu bringen und die Überwachungseinheit (logic 2) ausgebildet ist, um den zweiten Aktuator (act. 2) als zweiten Sicherheitszustand in einen aktiven Zustand zu bringen und/oder dass die Steuereinheit (logic 1) ausgebildet ist, um den ersten Aktuator (act. 1) als ersten Sicherheitszustand in einen aktiven Zustand zu bringen und die Überwachungseinheit (logic 2) ausgebildet ist, um den zweiten Aktuator (act. 2) als zweiten Sicherheitszustand in einen inaktiven Zustand zu bringen. Safety circuit unit (logic 1, logic 2) according to one of the preceding claims, characterized in that the control unit (logic 1) is formed to the first actuator (act. 1) to bring the first safety state to an inactive state, and the monitoring unit (logic 2) is designed to bring the second actuator (act 2) into an active state as a second safety state and / or that the control unit (logic 1) is designed to integrate the first actuator (act 1) into a first safety state to bring the active state and the monitoring unit (logic 2) is designed to bring the second actuator (act. 2) as the second security state in an inactive state. Sicherheitsschaltungseinheit (logic 1, logic 2) gemäß einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass der erste (act. 1) und zweite (act. 2) Aktuator gleichartig aufgebaut sind, wobei die Überwachungseinheit (logic 2) ausgebildet ist, den zweiten Aktuator (act. 2) mit einem vom ersten Steuersignal (110, safe-req) unterschiedlichen zweiten Steuersignal (120, safe-req) anzusteuern. Safety circuit unit (logic 1, logic 2) according to one of the preceding claims, characterized in that the first (act. 1) and second (act. 2) actuator are constructed similarly, wherein the monitoring unit (logic 2) is formed, the second actuator (act. 2) with one of the first control signal ( 110 , safe-req) different second control signal ( 120 , safe-req). Sicherheitsschaltungseinheit (logic 1, logic 2) gemäß einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Überwachungseinheit (logic 2) ausgebildet ist, um die Fehlfunktion mittels einer Abfrage (integr.) an die Steuereinheit (logic 1) über eine serielle Schnittstelle zu ermitteln. Safety circuit unit (logic 1, logic 2) according to one of the preceding claims, characterized in that the monitoring unit (logic 2) is designed to determine the malfunction by means of a query (integr.) To the control unit (logic 1) via a serial interface ,

Images