DE10220811B4 - Verfahren und Vorrichtung zur Überwachung der Funktionsweise eines Systems - Google Patents

Verfahren und Vorrichtung zur Überwachung der Funktionsweise eines Systems Download PDF

Info

Publication number
DE10220811B4
DE10220811B4 DE10220811.5A DE10220811A DE10220811B4 DE 10220811 B4 DE10220811 B4 DE 10220811B4 DE 10220811 A DE10220811 A DE 10220811A DE 10220811 B4 DE10220811 B4 DE 10220811B4
Authority
DE
Germany
Prior art keywords
monitoring
functional unit
function
functional
output signals
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE10220811.5A
Other languages
English (en)
Other versions
DE10220811A1 (de
Inventor
Diethard Loehr
Axel Strommer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE10220811.5A priority Critical patent/DE10220811B4/de
Priority to JP2002181990A priority patent/JP4727896B2/ja
Priority to IT2002MI001414A priority patent/ITMI20021414A1/it
Priority to FR0207921A priority patent/FR2826744B1/fr
Priority to US10/183,890 priority patent/US6901350B2/en
Publication of DE10220811A1 publication Critical patent/DE10220811A1/de
Application granted granted Critical
Publication of DE10220811B4 publication Critical patent/DE10220811B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/12Recording operating variables ; Monitoring of operating variables
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/0023Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/0092Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption with use of redundant elements for safety purposes
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L58/00Methods or circuit arrangements for monitoring or controlling batteries or fuel cells, specially adapted for electric vehicles
    • B60L58/10Methods or circuit arrangements for monitoring or controlling batteries or fuel cells, specially adapted for electric vehicles for monitoring or controlling batteries
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/36Arrangements for testing, measuring or monitoring the electrical condition of accumulators or electric batteries, e.g. capacity or state of charge [SoC]
    • G01R31/367Software therefor, e.g. for battery testing using modelling or look-up tables
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0208Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the configuration of the monitoring system
    • G05B23/0213Modular or universal configuration of the monitoring system, e.g. monitoring system having modules that may be combined to build monitoring program; monitoring system that can be applied to legacy systems; adaptable monitoring system; using different communication protocols
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0005Processor details or data handling, e.g. memory registers or chip architecture
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0006Digital architecture hierarchy
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/2406Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using essentially read only memories
    • F02D41/2409Addressing techniques specially adapted therefor
    • F02D41/2422Selective use of one or more tables
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/60Other road transportation technologies with climate change mitigation effect
    • Y02T10/70Energy storage systems for electromobility, e.g. batteries

Landscapes

  • Engineering & Computer Science (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Sustainable Development (AREA)
  • Sustainable Energy (AREA)
  • Power Engineering (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

Verfahren zur Überwachung der Funktionsweise eines Systems (1), indem Eingangssignale, Ausgangssignale und mindestens eine Funktionseinheit des Systems (1) überprüft werden, wobei das System (1) mindestens ein untergeordnetes Subsystem aufweist und/oder Bestandteil eines übergeordneten Systems (6) ist, und das System (1) hardwaremäßig realisierte Komponenten umfassend Sensoren (4), Aktoren (5) und/oder Funktionsrechner (2) aufweist, wobei eine bestimmungsgemäße Funktion des Systems (1) in Abhängigkeit von der Komplexität der Funktion hierarchisch unterteilt ist in mindestens eine Subsystemfunktion und diese wiederum in mindestens eine Funktionseinheit und das Verfahren strukturiert ist in: – eine erste Überwachungsschicht (Ü0), in der eine der Funktionseinheiten des Systems (1) unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen der Funktionseinheit überprüft wird; – eine der ersten Überwachungsschicht (Ü0) übergeordnete zweite Überwachungsschicht (Ü1), in der die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des der Funktionseinheit zugeordneten Subsystems überprüft wird; und – mindestens eine der zweiten Überwachungsschicht (Ü1) übergeordnete weitere Überwachungsschicht (Ü2... Ün), in der die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des Systems (1) überprüft wird.

Description

  • Stand der Technik
  • Die vorliegende Erfindung betrifft ein Verfahren zur Überwachung der Funktionsweise eines Systems, indem Eingangssignale, Ausgangssignale und mindestens eine Funktionseinheit des Systems überprüft werden. Das System weist mindestens ein untergeordnetes Subsystem auf und/oder ist Bestandteil eines übergeordneten Systems. Das System weist hardwaremäßig realisierte Komponenten umfassend Sensoren, Aktoren und/oder Funktionsrechner auf.
  • Die Erfindung betrifft außerdem ein Speicherelement für eine Vorrichtung zur Überwachung der Funktionsweise eines Systems. Auf dem Speicherelement ist ein Computerprogramm abgespeichert, das auf einem Rechengerät, insbesondere auf einem Mikroprozessor, ablauffähig ist. Das Speicherelement ist beispielsweise als ein Read-Only-Memory als ein Random-Access-Memory oder als ein Flash-Memory ausgebildet.
  • Des Weiteren betrifft die vorliegende Erfindung ein Computerprogramm, das auf einem Rechengerät, insbesondere auf einem Mikroprozessor, ablauffähig ist.
  • Schließlich betrifft die Erfindung eine Vorrichtung zur Überwachung der Funktionsweise eines Systems, das mindestens ein untergeordnetes Subsystem aufweist und/oder Bestandteil eines übergeordneten Systems ist. Das System weist hardwaremäßig realisierte Komponenten umfassend Sensoren, Aktoren und/oder Funktionsrechner auf. Die Vorrichtung weist Mittel zum überprüfen von Eingangssignalen, Ausgangssignalen und mindestens einer Funktionseinheit des Systems auf.
  • Unter dem Begriff System im Sinne der vorliegenden Erfindung wird beispielsweise ein beliebiges Steuergerät, insbesondere ein Kraftfahrzeug-Steuergerät, verstanden. Das System ist beispielsweise als ein Steuergerät für ein elektrisches Batteriemanagement (EBM) ausgebildet. Es umfasst Subsysteme, die beispielsweise als eine Rechnereinheit, als ein ASIC (Application Specific Integrated Circuit) oder als ein Stromsensor ausgebildet sind. Außerdem umfasst das System Einheiten, die beispielsweise als ein EBM-Algorithmus oder als eine Batterienachbildung ausgebildet sind, und Teile, die bspw. das Berechnen einer Generatorsollspannung oder beliebige mathematische oder trigonometrische Funktionen umfassen. Das EBM-Steuergerät ist Bestandteil eines übergeordneten Systems in Form des Kraftfahrzeugs. Außer dem EBM-Steuergerät sind in dem Kraftfahrzeug noch eine Vielzahl weiterer Systeme, z. B. Motorsteuergerät und Getriebesteuergerät, vorgesehen.
  • Zur Gewährleistung einer korrekten Funktionsweise eines Systems ist es aus dem Stand der Technik bekannt, auf die Überwachung von Eingangssignalen, Ausgangssignalen und Funkionseinheiten des Systems zurückzugreifen. Aus der DE 41 14 999 A1 ist ein Verfahren zur Überwachung der Funktionsweise eines Kraftsteuergeräts bekannt. In einem Mikrorechner des Steuergeräts wird die bestimmungsgemäße Funktion des Steuergeräts ausgeführt. Parallel dazu wird in einer Überwachungseinrichtung die gleiche bestimmungsgemäße Funktion zumindest teilweise ausgeführt. Die Ausgangssignale des Mikrorechners und der Überwachungseinrichtung werden miteinander verglichen und in Abhängigkeit von dem Ergebnis des Vergleichs festgestellt, ob das Steuergerät korrekt funktioniert oder nicht. Bei einer detektierten fehlerhaften Funktionsweise des Steuergeräts werden entsprechende Ersatzmaßnahmen ausgeführt. Das in dieser Druckschrift vorgeschlagene Überwachungsverfahren ist stark an der Hardware des zu überwachenden Systems orientiert und sehr unflexibel. Das in der Druckschrift vorgeschlagene Überwachungsverfahren kann nicht einfach in einem anderen Steuergerät mit einer anderen bestimmungsgemäßen Funktion ausgeführt werden. Vielmehr muss das in der Überwachungseinrichtung ablaufende Überwachungsverfahren komplett überarbeitet werden und an die geänderte Funktion des anderen Steuergeräts angepasst werden. Dies kann auch eine strukturelle Überarbeitung des Überwachungsverfahrens beinhalten
  • Aus der DE 44 38 714 A1 ist ein Verfahren zur Überwachung der Funktionsweise eines Steuergeräts bekannt. Ein Mikrorechner des Steuergeräts ist unterteilt in eine Funktionsebene, eine Überwachungsebene und eine Kontrollebene. In der Funktionsebene wird die bestimmungsgemäße Funktion des Steuergeräts ausgeführt. In der Überwachungsebene wird die ausgeführte Funktion bspw. mittels eines Schwellenvergleichs oder einer Plausibilitätsprüfung überprüft. In der Überwachungsebene wird nicht die (gesamte) bestimmungsgemäße Funktion des Steuergeräts ausgeführt, sondern es werden lediglich gezielte Überwachungsfunktionen ausgeführt. Um dennoch mit ausreichender Zuverlässigkeit eine fehlerhafte Funktionsweise des Systems detektieren zu können, ist die zusätzliche Kontrollebene vorgesehen, in der eine Überprüfung der hardwaremäßig realisierten Komponenten (z. B. der Speicherelemente oder des Mikroprozessors) des Systems getestet und mittels einer Frage-Antwort-Kommunikation eine korrekte Funktionsweise des Mikrorechners überprüft werden kann. Auch bei dem in dieser Druckschrift vorgeschlagenen Überwachungsverfahren ist es von Nachteil, dass sich die Struktur des Verfahrens an der Hardware des zu überwachenden Systems orientiert und sehr unflexibel ist. Um das Überwachungsverfahren auf ein anderes Steuergerät mit einer anderen bestimmungsgemäßen Funktion übertragen zu können, muss auch das in dieser Druckschrift vorgeschlagene Überwachungsverfahren erst komplett überarbeitet und an die neuen Hardware- und Softwarebedingungen angepasst werden. Das ist jedoch aufwendig und teuer.
  • Die Struktur der aus diesen beiden Druckschriften bekannten Verfahren zur Überwachung der Funktionsweise eines Systems ist allein an der Hardware des Systems orientiert und unabhängig von der Komplexität der Funktion, die von dem zu überwachenden System ausgeführt wird. Wenn das in diesen Druckschriften beschriebene Überwachungsverfahren zur Überwachung von Funktionen mit einer hohen Komplexität eingesetzt wird, wäre das Verfahren theoretisch genauso strukturiert wie in den Druckschriften angegeben. Durch die zunehmende Komplexität des von dem zu überwachenden System bestimmungsgemäß ausgeführten Funktion wird jedoch auch die Struktur des Überwachungsverfahrens komplexer und in zunehmendem Maße unübersichtlich. Die in den Druckschriften beschriebenen Überwachungskonzepte sind somit für komplexe Funktionen nicht geeignet. Insbesondere kann bei den bekannten Überwachungskonzepten im Fehlerfalle der auftretende Fehler nicht einer bestimmten Funktion des Systems zugeordnet werden. Dadurch wird sowohl die Fehlerdiagnose als auch die Auswahl einer geeigneten Ersatzfunktion deutlich erschwert.
  • Aus der WO 99/26820 A1 und der WO 97/33083 A1 sind jeweils Verfahren zur Überwachung von Steuersystemen eines Kraftfahrzeugs aufgrund von Eingangs- und Ausgangssignalen bekannt.
  • Der vorliegenden Erfindung liegt deshalb die Aufgabe zugrunde, ein allgemein gültiges Konzept zur Überwachung und Diagnose von Systemen zu schaffen, das ohne großen Aufwand auch auf andere Systeme übertragbar ist.
  • Zur Lösung dieser Aufgabe schlägt die vorliegende Erfindung ausgehend von dem Verfahren der eingangs genannten Art vor, dass eine bestimmungsgemäße Funktion des Systems in Abhängigkeit von der Komplexität der Funktion hierarchisch unterteilt ist in mindestens eine Subsystemfunktion und diese wiederum in mindestens eine Funktionseinheit und dass das Verfahren strukturiert ist in:
    eine erste Überwachungsschicht, in der eine der Funktionseinheiten des Systems unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen der Funktionseinheit überprüft wird;
    eine der ersten Überwachungsschicht übergeordnete zweite Überwachungsschicht, in der die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des der Funktionseinheit zugeordneten Subsystems überprüft wird; und
    mindestens eine der zweiten Überwachungsschicht übergeordnete weitere Überwachungsschicht, in der die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des Systems überprüft werden.
  • Vorteile der Erfindung
  • Das erfindungsgemäß vorgeschlagene Überwachungsverfahren ist modular aufgebaut und somit leicht erweiterbar und zur Überwachung verschiedenster unterschiedlich komplexer Systeme verwendbar. Die Struktur des erfindungsgemäßen Überwachungsverfahrens unterscheidet grundsätzlich nicht zwischen Hardware- und Softwarerealisierung der Funktionen des zu überwachenden Systems und ist somit universell einsetzbar. Die Struktur des erfindungsgemäßen Überwachungsverfahrens orientiert sich rein an den Funktionseinheiten des Systems und ist deshalb auch abhängig von der Komplexität der Funktion, die von dem zu überwachenden System bestimmungsgemäß ausgeführt wird (z. B. Steuerungs- oder Regelungsfunktionen).
  • Durch die Modularität und die Strukturierung des erfindungsgemäßen Überwachungsverfahrens ergibt sich insgesamt ein klarer, verständlicher Aufbau des Überwachungsverfahrens und letztlich eine größere Kundenakzeptanz. Außerdem können auftretende Fehler leichter und eindeutig bestimmten Überwachungsschichten und innerhalb der Überwachungsschichten sogar verschiedenen Funktionseinheiten zugeordnet werden. Das wird dadurch erreicht, dass Fehler von verschiedenen Funktionseinheiten der gleichen Überwachungsschicht voneinander entkoppelt sind. Dadurch kann die Suche nach der Ursache eines Fehlers erheblich vereinfacht und deutlich beschleunigt werden. Außerdem wird die Genauigkeit und Zuverlässigkeit einer Fehlersuche verbessert. Die vorliegende Erfindung betrifft also eine besonders vorteilhafte vertikale Strukturierung eines Überwachungsverfahrens für ein System.
  • Wie die Überwachung der Funktionen in den einzelnen Überwachungsschichten konkret zu erfolgen hat, wird durch das erfindungsgemäße Überwachungsverfahren in keiner Weise eingeschränkt. Die hardwaremäßig realisierten Komponenten können bspw. über einen Watch-Dog, einen Core-Test oder ein anderes Überwachungsmodul überwacht werden.
  • Die bestimmungsgemäße Funktion des zu überwachenden Systems ist in Abhängigkeit der Komplexität der Funktion in mehrere Funktionsschichten unterteilt. Ganz oben ist die eigentliche Systemfunktion vorgesehen. Die Systemfunktion ist bspw. eine elektronische Batteriemanagement(EBM)-Funktion. Die Systemfunktion ist unterteilt in mindestens eine Subsystemfunktion, die bspw. als die Funktion eines Mikrorechners oder eines Stromsensors ausgebildet ist. In den gewählten Beispielen sind die Systemfunktion und die Subsystemfunktion hardwaremäßig realisiert. Es ist jedoch durchaus denkbar, für diese Funktionen auch softwaremäßig realisierte Beispiele zu wählen.
  • Die Subsystemfunktion ist wiederum unterteilt in mindestens eine Funktionseinheit, die als eine Software-Funktionalität (z. B. Batterienachbildung, Ruhestrommanagement (RSM) oder dynamisches Energiemanagement (DYN)) oder als eine Hardware-Funktionalität (z. B. Strommessung, Spannungsmessung) ausgebildet ist. Je nach Komplexität der bestimmungsgemäßen Funktion des Systems lässt sich diese Unterteilung durch das Einfügen weiterer Funktionsschichten noch beliebig fortführen. So kann eine Funktionseinheit noch in mindestens eine Teilfunktion unterteilt werden, die bei dem Beispiel des dynamischen Energiemanagements als eine einfache mathematische oder trigonometrische Funktion oder als eine Generatorsollspannungsberechnung ausgebildet sein kann.
  • Ausgehend von der ersten Überwachungsschicht wächst die Komplexität der Überwachung von Schicht zu Schicht. In der ersten Überwachungsschicht wird eine Funktionseinheit des Systems anhand von Eingangssignale und/oder Ausgangssignalen der Betrachtungseinheit, also anhand der betrachteten Funktionseinheit, überwacht. In der zweiten Überwachungsschicht wird die Funktionseinheit zusätzlich anhand von Eingangssignale und/oder Ausgangssignalen von weiteren Funktionseinheiten innerhalb des Subsystems überwacht, dem die betrachtete Funktionseinheit zugeordnet ist. In der dritten Überwachungsschicht wird die Funktionseinheit des Systems zusätzlich anhand von Eingangssignalen und/oder Ausgangssignalen weiterer Subsysteme innerhalb des Systems überwacht.
  • Falls die Systemfunktion unterhalb der ersten Funktionsschicht noch weitere Funktionsschichten aufweist (z. B. Teilfunktionen unterhalb der Funktionseinheiten), wird in der ersten Überwachungsschicht eine Teilfunktion des Systems anhand von Eingangssignalen und/oder Ausgangssignalen der Betrachtungseinheit, also anhand der betrachteten Teilfunktion, überwacht. In der zweiten Überwachungsschicht wird die Teilfunktion des Systems zusätzlich anhand von Eingangssignale und/oder Ausgangssignalen von weiteren Teilfunktionen innerhalb der Funktionseinheit, der die betrachtete Teilfunktion zugeordnet ist, überwacht. In der dritten Überwachungsschicht wird die Teilfunktion zusätzlich anhand von Eingangssignale und/oder Ausgangssignalen von weiteren Funktionseinheiten innerhalb des Subsystems überwacht, dem die betrachtete Teilfunktion zugeordnet ist. In einer weiteren vierten Überwachungsschicht wird die Teilfunktion zusätzlich anhand von Eingangssignalen und/oder Ausgangssignalen weiterer Subsysteme innerhalb des Systems überwacht. Je komplexer also die Struktur der Funktion des Systems ist, desto komplexer ist auch die Struktur des erfindungsgemäßen Überwachungsverfahrens.
  • Gemäß einer vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass die Funktionseinheit überprüft wird, indem die Eingangssignale und/oder Ausgangssignale der Funktionseinheit, des Subsystems und/oder des Systems auf Überschreitung eines Maximalwertes oder Unterschreitung eines Minimalwertes überprüft werden und/oder indem der Gradient der Eingangssignale und/oder Ausgangssignale auf Überschreitung eines Maximalwertes oder Unterschreitung eines Minimalwertes überprüft wird.
  • Gemäß einer bevorzugten Ausführungsform der Erfindung wird vorgeschlagen, dass die Funktionseinheiten des zu überwachenden Systems in sicherheitsrelevante Funktionsnetze, deren fehlerhafte Funktionsweise ein Sicherheitsrisiko darstellt, das oberhalb eines vorgebbaren Grenzrisikos liegt, und in weitere Funktionsnetze unterteilt wird, deren fehlerhafte Funktionsweise ein Sicherheitsrisiko darstellt, das kleiner oder gleich dem Grenzrisiko ist.
  • Bei sicherheitsrelevanten Funktionsnetzen ist eine genügend schnelle und genügend sichere Reaktion, z. B. die Einleitung einer Ersatzfunktion oder eine geeignete Abschaltstrategie, erforderlich, um die Sicherheit des Systems zu gewährleisten. Bei den weiteren Funktionsnetzen ist genügend Zeit vorhanden, um entsprechend zu reagieren, bzw. ergibt sich beim Scheitern der Ersatzfunktionen kein die Sicherheit des Systems gefährdender Zustand.
  • Gemäß einer weiteren bevorzugten Ausführungsform der Erfindung wird vorgeschlagen, dass bei einer fehlerhaften Funktionsweise eines Funktionsnetzes Ersatzmaßnahmen in Abhängigkeit davon gewählt werden, ob eine Funktionseinheit eines sicherheitsrelevanten Funktionsnetzes oder eines weiteren Funktionsnetzes eine fehlerhafte Funktionsweise aufweist.
  • Die Ersatzmaßnahmen umfassen vorzugsweise einen Notbetrieb und/oder eine Notabschaltung einer betroffenen hardwaremäßig realisierten Komponente, einer betroffenen Funktion und/oder des betroffenen Systems.
  • Das erfindungsgemäße Verfahren wird vorteilhafterweise auf alle Funktionseinheiten des Systems angewandt. Das bedeutet, dass jede Funktionseinheit des Systems durch ein Überwachungsverfahren überprüft wird, das in der beschriebenen Weise strukturiert ist. Auf diese Weise kann eine zuverlässige Aussage über die Funktionsweise des gesamten Systems getroffen werden.
  • Vorzugsweise wird eine ordnungsgemäße Funktionsweise des Systems festgestellt, wenn alle Funktionseinheiten des Systems ordnungsgemäß funktionieren. Sobald also eine der überprüften Funktionseinheiten nicht ordnungsgemäß funktioniert, wird das gesamte System als fehlerhaft erkannt. Im Fehlerfall wird eine geeignete Ersatzmaßnahme ausgewählt und ausgeführt. Die Ersatzmaßnahme kann zusätzlich zu oder anstelle der Funktion der fehlerhaften Betrachtungseinheit (Funktionseinheit) ausgeführt werden.
  • Von besonderer Bedeutung ist die Realisierung des erfindungsgemäßen Verfahrens in der Form eines Speicherelements, das für eine Vorrichtung zur Überwachung der Funktionsweise eines Systems vorgesehen ist. Dabei ist auf dem Speicherelement ein Computerprogramm abgespeichert, das auf einem Rechengerät, insbesondere auf eine Mikroprozessor, ablauffähig und zur Ausführung des erfindungsgemäßen Verfahrens geeignet ist. In diesem Fall wird also die Erfindung durch ein auf dem Speicherelement abgespeichertes Computerprogramm realisiert, so dass dieses mit dem Computerprogramm versehene Speicherelement in gleicher Weise die Erfindung darstellt, wie das Verfahren, zu dessen Ausführung das Computerprogramm geeignet ist. Als Speicherelement kann insbesondere ein elektrisches Speichermedium zur Anwendung kommen, beispielsweise ein Read-Only-Memory, ein Random-Access-Memory oder ein Flash-Memory.
  • Als noch eine weitere Lösung der Aufgabe der vorliegenden Erfindung wird ausgehend von dem Computerprogramm der eingangs genannten Art vorgeschlagen, dass das Computerprogramm zur Ausführung des erfindungsgemäßen Verfahrens geeignet ist, wenn es auf dem Rechengerät abläuft. Besonders bevorzugt ist dabei, wenn das Computerprogramm auf einem Speicherelement, insbesondere auf einem Read-Only-Memory, einem Random-Access-Memory oder einem Flash-Memory, abgespeichert ist.
  • Schließlich wird als noch eine weitere Lösung der Aufgabe der vorliegenden Erfindung ausgehend von der Vorrichtung der eingangs genannten Art vorgeschlagen, dass eine bestimmungsgemäße Funktion des Systems in Abhängigkeit von der Komplexität der Funktion hierarchisch unterteilt ist in mindestens eine Subsystemfunktion und diese wiederum in mindestens eine Funktionseinheit und dass die Vorrichtung umfasst:
    • – Mittel einer ersten Überwachungsschicht, welche eine der Funktionseinheiten des Systems unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen der Funktionseinheit überprüfen;
    • – Mittel einer der ersten Überwachungsschicht übergeordneten zweiten Überwachungsschicht, welche die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des der Funktionseinheit zugeordneten Subsystems überprüfen; und
    • – Mittel mindestens einer der zweiten Überwachungsschicht übergeordneten weiteren Überwachungsschicht, welche die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des Systems überprüfen.
  • Die Mittel der verschiedenen Schichten können hardwaremäßig oder softwaremäßig realisiert sein. Sie umfassen beispielsweise einen Watch-Dog, einen Core-Test oder ein anderes Überwachungsmodul. Denkbar wäre auch, dass die Mittel Vergleicher umfassen, um die verschiedenen Eingangssignale und/oder die Ausgangssignale auf Überschreitung eines Maximalwertes oder Unterschreitung eines Minimalwertes hin zu überprüfen. Zusätzlich können die Mittel Gradientenbildungsmittel umfassen, wobei die Vergleicher dann den Gradienten der Eingangssignale und/oder Ausgangssignale auf Überschreitung eines Maximalwertes oder Unterschreitung eines Minimalwertes hin überprüfen.
  • Zeichnungen
  • Weitere Merkmale, Anwendungsmöglichkeiten und Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen der Erfindung, die in der Zeichnung dargestellt sind. Dabei bilden alle beschriebenen oder dargestellten Merkmale für sich oder in beliebiger Kombination den Gegenstand der Erfindung, unabhängig von ihrer Zusammenfassung in den Patentansprüchen oder deren Rückbeziehung sowie unabhängig von ihrer Formulierung bzw. Darstellung in der Beschreibung bzw. in der Zeichnung. Es zeigen:
  • 1 eine Struktur eines Systems, das mittels des erfindungsgemäßen Überwachungsverfahrens überwacht wird;
  • 2 eine Struktur eines erfindungsgemäßen Überwachungsverfahrens gemäß einer ersten bevorzugten Ausführungsform;
  • 3 eine Struktur eines erfindungsgemäßen Überwachungsverfahrens gemäß einer zweiten bevorzugten Ausführungsform;
  • 4 ein Funktionsdiagramm für eine erste Überwachungsebene des erfindungsgemäßen Verfahrens;
  • 5 ein Funktionsdiagramm für eine zweite Überwachungsebene des erfindungsgemäßen Verfahrens;
  • 6 ein Funktionsdiagramm für eine dritte Überwachungsebene des erfindungsgemäßen Verfahrens;
  • 7 ein Funktionsdiagramm für eine vierte Überwachungsebene des erfindungsgemäßen Verfahrens; und
  • 8 ein Steuergerät zur Ausführung des erfindungsgemäßen Überwachungsverfahrens.
  • Beschreibung der Ausführungsbeispiele
  • Die vorliegende Erfindung betrifft ein Überwachungsverfahren zur Überwachung der Funktionsweise eines beliebigen Systems, wobei das Überwachungsverfahren in Abhängigkeit von der Komplexität der bestimmungsgemäßen Funktion des zu überwachenden Systems vertikal strukturiert ist. Die bestimmungsgemäße Funktion des Systems ist bspw. eine Steuerungs- oder Regelungsfunktion. Die erfindungsgemäß vorgeschlagene Strukturierung ist unabhängig von der Hardware des Systems und äußerst flexibel.
  • Die bestimmungsgemäße Funktion des zu überwachenden Systems 1 wird in ihre Elemente zerlegt betrachtet. Als ein Funktionselement wird die kleinste Einheit der Funktion des Systems 1 bezeichnet, die – falls erforderlich – durch eine Überwachungsfunktion ÜF überwacht wird. Die Überwachung muss jedoch nicht in den kleinsten Einheiten erfolgen, sondern kann auch an Modulen, die aus mehreren Funktionselementen bestehen, erfolgen.
  • In 1 ist ein übergeordnetes System in Form eines Kraftfahrzeugs mit A bezeichnet. Das übergeordnete System A umfasst verschiedene Systeme, u. a. ein elektrisches Batteriemanagement(EBM)-Steuergerät, das mit AA bezeichnet ist. Außer dem EBM-Steuergerät AA ist noch ein weiteres System AB Bestandteil des Kraftfahrzeugs A. Das weitere System AB ist bpsw. als ein Motor- oder als ein Getriebesteuergerät ausgebildet. Das EBM-Steuergerät AA ist in zwei Subsysteme AAA und AAB unterteilt, die bspw. als ein Rechengerät 2 (vgl. 8) oder als ein Speicherelement 3 ausgebildet sind. Das weitere System AB ist unterteilt in Subsysteme ABA und ABB.
  • Die Subsysteme AAA, AAB sind wiederum unterteilt in mehrere Einheiten AAAA, AAAB, AABA, AABB. Gleiches gilt für die Subsysteme ABA und ABB des weiteren Systems AB. Die Einheiten AAAA, AAAB, AABA, AABB sind bspw. als Ruhestrommanagement (RSM) oder als dynamisches Energiemanagement (DYN) ausgebildet.
  • Die Einheiten AAAA, AAAB, AABA, AABB sind ihrerseits unterteilt in verschiedene Teile. Die Einheit AAAA ist in die Teile AAAAA, AAAAB und AAAAC und die Einheit AAAB in die Teile AAABA, AAABB und AAABC unterteilt. Ebenso ist die Einheit AABA in die Teile AABAA, AABAB und AABAC und die Einheit AABB in die Teile AABBA, AABBB und AABBC unterteilt. Gleiches gilt für die Einheiten ABAA, ABAB, ABBA und ABBB der Subsysteme ABA und ABB des weiteren Systems AB. Die Einheiten umfassen bspw. eine Generatorspannungsberechnung.
  • Die bestimmungsgemäße Funktion des zu überwachenden Systems AA ist also in Abhängigkeit der Komplexität der Funktion in mehrere Funktionsschichten unterteilt. Ganz oben ist die eigentliche Systemfunktion (in dem System AA) vorgesehen. Die Systemfunktion ist bspw. eine elektronische Batteriemanagement(EBM)-Funktion. Die Systemfunktion ist unterteilt in mindestens eine Subsystemfunktion (in den Subsystemen AAA und AAB), die bspw. als die Funktion eines Mikrorechners oder eines Stromsensors ausgebildet ist. Die Subsystemfunktionen sind wiederum unterteilt in jeweils mindestens eine Funktionseinheit (in den Einheiten AAAA, AAAB, AABA und AABB), die bspw. als eine Software-Funktionalität (Batterienachbildung, Ruhestrommanagement oder dynamisches Strommanagement) ausgebildet ist. Je nach Komplexität der Funktion des Systems lässt sich diese Unterteilung noch beliebig fortsetzen. So kann eine Funktionseinheit noch in mindestens eine Teilfunktion unterteilt werden (in den Teilen AAAAA, AAAAB, AAAAC, AAABA, AAABB, AAABC, AABAA, AABAB, AABAC, AABBA, AABBB und AABBC), die bei dem Beispiel des dynamischen Strommanagements als eine einfache trigonometrische Funktion oder als eine Generatorsollspannungsberechnung ausgebildet ist.
  • In dieser funktionellen Strukturierung der bestimmungsgemäßen Funktion des Systems AA, AB setzt das erfindungsgemäße Verfahren an. In 2 ist ein Schichtenmodell mit verschiedenen Überwachungsschichten eines erfindungsgemäßen Überwachungsverfahrens gemäß einer ersten bevorzugten Ausführungsform dargestellt. Ausgehend von einer (unteren) ersten Überwachungsschicht Ü0 wächst die Komplexität der Überwachung von Schicht zu Schicht. Die Betrachtung des erfindungsgemäßen Verfahrens geht von einer bestimmten Einheit des Systems AA aus; im vorliegenden Fall ist dies die Teilfunktion AAABA (vgl. 4). In der ersten Überwachungsschicht Ü0 wird die Teilfunktion AAABA anhand von Eingangssignalen 6 und/oder Ausgangssignalen 8 dieser Teilfunktion AAABA durch eine dieser Teilfunktion AAABA zugeordnete Überwachungsfunktion ÜF AAABA überprüft.
  • In einer der ersten Überwachungsschicht Ü0 übergeordneten zweiten Überwachungsschicht Ü1 (vgl. 5) wird die Teilfunktion AAABA zusätzlich anhand von Eingangssignalen 8 und/oder Ausgangssignalen 9 von einer weiteren Teilfunktion AAABB derjenigen Funktionseinheit AAAB überprüft, der die betrachtete Teilfunktion AAABA zugeordnet ist. Die weitere Teilfunktion AAABB ist Teil der gleichen Funktionseinheit AAAB wie die betrachtete Teilfunktion AAABA.
  • In einer der zweiten Überwachungsschicht Ü1 übergeordneten dritten Überwachungsschicht Ü2 (vgl. 6) wird die Teilfunktion AAABA zusätzlich anhand von Eingangssignalen 10 und/oder Ausgangssignalen 11 von einer anderen Funktionseinheit AAAA als derjenigen Funktionseinheit AAAB überprüft, der die betrachtete Teilfunktion AAABA zugeordnet ist. Die Funktionseinheit AAAA ist Teil des Subsystems AAA, dem auch die betrachtete Teilfunktion AAABA zugeordnet ist.
  • In einer der dritten Überwachungsschicht Ü2 übergeordneten vierten Überwachungsschicht Ü3 (vgl. 7) wird die Teilfunktion AAABA zusätzlich anhand von Eingangssignalen 12 und/oder Ausgangssignalen 13 von einem anderen Subsystem AAB als demjenigen Subsystem AAA überprüft, dem die betrachtete Teilfunktion AAABA zugeordnet ist. Das Subsystem AAB ist Teil des Systems AA, dem auch die betrachtete Teilfunktion AAABA zugeordnet ist.
  • Überwachungsabläufe, die von mehreren Überwachungsfunktion ÜF durchlaufen werden, können an zentraler Stelle für diese Überwachungsfunktionen ÜF bereitgestellt werden. Dadurch stehen diese Überwachungsabläufe für z. B. einen Fehlerspeichereintrag allen Überwachungsfunktionen ÜF zur Verfügung. Die einzelnen Überwachungsfunktionen ÜF prüfen bestimmte Grundfunktionalitäten (z. B. Betriebsüberspannungserkennung) der Funktionseinheiten und können ohne großen Aufwand für andere Überwachungsfunktionen ÜF wiederverwendet werden. Denkbar wäre beispielsweise, dass ein Kommunikationsprotokoll einer Überwachungsfunktion ÜF, über das die verschiedenen Überwachungsfunktionen ÜF miteinander Daten austauschen, für andere Überwachungsfunktionen ÜF wiederverwendet wird.
  • Das erfindungsgemäße Überwachungsverfahren kann auf beliebigen Systemen 1 eingesetzt werden. Eventuell auftretende Fehler sind von den verschiedenen Funktionseinheiten der gleichen Überwachungsschicht entkoppelt. Bei der Suche nach den Ursachen von Fehlern können die Fehlerquellen dadurch einfacher ermittelt werden. Das erfindungsgemäße Überwachungsverfahren ermöglicht eine leichtere, eindeutige Zuordnung von Fehlern zu den einzelnen Überwachungsschichten und damit zu den Funktionenseinheiten des Systems 1. Da in jeder Überwachungsschicht lediglich Eingangssignale und/oder Ausgangssignale überwacht werden, stehen insgesamt weniger Fehlerquellen aufgrund der Überwachungen im Vergleich zum Stand der Technik zur Verfügung, die letztlich auch einfacher und genauer ermittelt werden können.
  • Die Mindestanforderung an die Überwachung eines Systems 1 ist, dass erkannt werden kann, wann sich das System 1 nicht mehr spezifiziert verhält. Im Idealfall soll darüber hinaus sichergestellt werden können, dass sich das System 1 auch beim Auftreten von Fehlern spezifiziert verhält. Dies setzt voraus, dass Redundanzen vorhanden sind, die aus Kostengründen in der Regel nur bei als sicherheitsrelevant eingestuften Systemen realisiert werden. Bei allen übrigen Systemen 1 beschränkt sich die Überwachung daher zumeist darauf, zu erkennen, wann sich das System 1 nicht mehr wie spezifiziert verhält.
  • Unter Spezifikation versteht man in diesem Zusammenhang die Summe aller Anforderungen, die an ein System gestellt werden. Anforderungen können z. B. „Sicherheit bei Ausfall” (fail-safe) „Fehlertoleranz” (fault-tolerance), „funktionelle Sicherheit” (functional safety) oder auch „Steuergerät uneingeschränkt funktionsfähig für Betriebsspannungen zwischen 6 Volt und 20 Volt” sein. Da sich diese Anforderungen für jedes System unterscheiden, zeichnet sich ein allgemein gültiges Überwachungskonzept dadurch aus, dass es flexibel auf unterschiedliche Systeme mit verschiedenen Anforderungen anwendbar ist. Dies erfordert eine entsprechende Funktionsstruktur, die es erlaubt, die Überwachungskomponenten für verschiedene Systeme verwenden zu können, auch wenn diese (hinsichtlich der Sicherheit) unterschiedlichen Anforderungen genügen.
  • Die Überwachung des Systems 1 läuft parallel zu der bestimmungsgemäßen Funktion des Systems 1 und darf diese, z. B. durch Verbrauch von Rechenkapazität, nicht in seiner Ausführung einschränken. Auf die Ergebnisse der Überwachung (u. U. Fehler) kann das System 1 unmittelbar reagieren. Zusätzlich können Fehler dauerhaft abgespeichert und sofort oder später für eine Fehleranalyse herangezogen werden.
  • Die Diagnose ist derjenige Bestandteil der Überwachung, der üblicherweise in einer Werkstatt über einen entsprechenden Diagnosetester abrufbar ist. Darunter fällt z. B. die Möglichkeit, abgespeicherte Fehler einer Analyse zuführen zu können. Dazu ist eine geeignete Schnittstelle erforderlich. Diese Schnittstelle basiert auf einem standardisierten Protokoll und erlaubt es, einen geeigneten Diagnosetester anzusteuern. So ist ein bidirektionaler Datenfluss zwischen dem Steuergerät und dem Diagnosetester möglich.
  • Die Diagnose bieten die Möglichkeit:
    • a) einen Fehlerspeicher auszulesen und zu löschen,
    • b) Ausgangssignale ausgewählter Funktionen auszulesen (z. B. Sensorgrößen),
    • c) Eingangssignale ausgewählter Funktionen in ihrem Wert zu ändern (z. B. zur Ansteuerung eines Aktors) und
    • d) steuergerätespezifische Daten zu speichern (z. B. eine Seriennummer).
  • Zusätzlich fällt unter die Diagnose die Berechnung von sogenannten Historiendaten, also von Datenreihen, die über längere Zeiträume hinweg gesammelt und zur Analyse des Systemverhaltens benötigt werden (entwicklungsunterstützende Daten). Die Historiendaten sind nicht für die Funktion des Systems erforderlich.
  • Erfindungsgemäß sind die Komponenten des Systems 1 in einer besonderen Weise klassifiziert (vgl. 1). Dabei wird nicht zwischen der Art, in der die Komponente realisiert ist (Hardware oder Software), unterschieden. Vielmehr sind die Komponenten des Systems 1 allein in Abhängigkeit von ihrer Funktionalität klassifiziert.
  • In 3 ist ein Schichtenmodell mit verschiedenen Überwachungsschichten eines erfindungsgemäßen Überwachungsverfahrens gemäß einer zweiten bevorzugten Ausführungsform dargestellt. Ausgehend von einer (unteren) ersten Überwachungsschicht Ü0 wächst die Komplexität der Überwachung von Schicht zu Schicht. Die Betrachtung des erfindungsgemäßen Verfahrens geht von einer bestimmten Einheit des Systems AA aus; im vorliegenden Fall ist dies eine der Funktionseinheiten AAAA, AAAB, AABA, AABB.
  • Bei diesem Schichtenmodell wird in der ersten Überwachungsschicht Ü0 die betrachtete Funktionseinheit AAAA, AAAB, AABA oder AABB unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen dieser Funktionseinheit durch eine dieser Funktionseinheit zugeordnete Überwachungsfunktion ÜF überprüft. In einer der ersten Überwachungsschicht Ü0 übergeordneten zweiten Überwachungsschicht Ü1 wird die betrachtete Funktionseinheit AAAA, AAAB, AABA oder AABB zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen desjenigen Subsystems AAA oder AAB überprüft, dem die betrachtete Funktionseinheit zugeordnet ist. In einer der zweiten Überwachungsschicht Ü1 übergeordneten dritten Überwachungsschicht Ü2 wird die betrachtete Funktionseinheit AAAA, AAAB, AABA oder AABB zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen desjenigen Systems AA überwacht, dem die betrachtete Funktionseinheit zugeordnet ist und dessen Funktionsfähigkeit überprüft werden soll. Wenn alle überwachten Funktionseinheiten AAAA, AAAB, AABA und AABB des Systems AA als ordnungsgemäß funktionierend erkannt wurden, wird daraus abgeleitet, dass das System AA insgesamt in Ordnung ist.
  • In 8 ist ein als Steuergerät ausgebildetes System 1 dargestellt, dessen Funktionsweise anhand des erfindungsgemäßen Verfahrens überwacht werden kann. Das Steuergerät 1 umfasst ein Speicherelement 3, das vorzugsweise als eine elektrisches Speichermedium, insbesondere als ein Erasable and Programmable Read-Only-Memory (EPROM), ausgebildet ist. Auf dem Speicherelement 3 ist ein Computerprogramm abgespeichert, das zur Ausführung des erfindungsgemäßen Überwachungsverfahrens geeignet ist, wenn es auf einem Rechengerät 2 des Steuergeräts 1 abläuft. Das Rechengerät 2 ist insbesondere als ein Mikroprozessor ausgebildet. Zur Ausführung des Computerprogramms auf dem Rechengerät 2 wird das Programm entweder als ganzes oder befehlsweise aus dem Speicherelement 3 an das Rechengerät 2 übertragen.
  • In dem Computerprogramm ist insbesondere die erfindungsgemäße vertikale Strukturierung des Überwachungsverfahrens derart implementiert, dass das Verfahren in Abhängigkeit von der Komplexität des Systems 1 in mehrere Überwachungsschichten Ü0, Ü1, Ü2... Ün unterteilt ist.
  • Das Steuergerät 1 erhält Eingangssignale von Sensoren 4 und gibt Ausgangssignale an Aktoren 5 aus. Die Ausgangssignale werden im Rahmen der Abarbeitung eines Steuer- und/oder Regelprogramms in dem Mikroprozessor 2 in Erfüllung der bestimmungsgemäßen Funktion des Steuergeräts 1 erzeugt. Das Steuer- und/oder Regelprogramm kann ebenfalls in dem Speicherelement 3 des Steuergeräts 1 abgespeichert sein und zur Abarbeitung als ganzes oder befehlsweise in den Mikroprozessor 1 geladen werden. Das Steuer- und/oder Regelprogramm und das Computerprogramm zur Ausführung des erfindungsgemäßen Überwachungsverfahrens können zu einem gemeinsamen Programm zusammengefasst sein.

Claims (11)

  1. Verfahren zur Überwachung der Funktionsweise eines Systems (1), indem Eingangssignale, Ausgangssignale und mindestens eine Funktionseinheit des Systems (1) überprüft werden, wobei das System (1) mindestens ein untergeordnetes Subsystem aufweist und/oder Bestandteil eines übergeordneten Systems (6) ist, und das System (1) hardwaremäßig realisierte Komponenten umfassend Sensoren (4), Aktoren (5) und/oder Funktionsrechner (2) aufweist, wobei eine bestimmungsgemäße Funktion des Systems (1) in Abhängigkeit von der Komplexität der Funktion hierarchisch unterteilt ist in mindestens eine Subsystemfunktion und diese wiederum in mindestens eine Funktionseinheit und das Verfahren strukturiert ist in: – eine erste Überwachungsschicht (Ü0), in der eine der Funktionseinheiten des Systems (1) unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen der Funktionseinheit überprüft wird; – eine der ersten Überwachungsschicht (Ü0) übergeordnete zweite Überwachungsschicht (Ü1), in der die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des der Funktionseinheit zugeordneten Subsystems überprüft wird; und – mindestens eine der zweiten Überwachungsschicht (Ü1) übergeordnete weitere Überwachungsschicht (Ü2... Ün), in der die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des Systems (1) überprüft wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Funktionseinheit überprüft wird, indem die Eingangssignale und/oder Ausgangssignale der Funktionseinheit, des Subsystems und/oder des Systems auf Überschreitung eines Maximalwertes oder Unterschreitung eines Minimalwertes überprüft werden und/oder indem der Gradient der Eingangssignale und/oder Ausgangssignale auf Überschreitung eines Maximalwertes oder Unterschreitung eines Minimalwertes überprüft wird.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Funktionseinheiten des zu überwachenden Systems (1) in sicherheitsrelevante Funktionsnetze, deren fehlerhafte Funktionsweise ein Sicherheitsrisiko darstellt, das oberhalb eines vorgebbaren Grenzrisikos liegt, und in weitere Funktionsnetze unterteilt wird, deren fehlerhafte Funktionsweise ein Sicherheitsrisiko darstellt, das kleiner oder gleich dem Grenzrisiko ist.
  4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass bei einer fehlerhaften Funktionsweise eines Funktionsnetzes Ersatzmaßnahmen in Abhängigkeit davon gewählt werden, ob eine Funktionseinheit eines sicherheitsrelevanten Funktionsnetzes oder eines weiteren Funktionsnetzes eine fehlerhafte Funktionsweise aufweist.
  5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass die Ersatzmaßnahmen einen Notbetrieb und/oder eine Notabschaltung umfassen.
  6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass das Verfahren auf alle Funktionseinheiten des Systems (1) angewandt wird.
  7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass eine ordnungsgemäße Funktionsweise des Systems (1) festgestellt wird, wenn alle Funktionseinheiten des Systems ordnungsgemäß funktionieren.
  8. Speicherelement (3) für eine Vorrichtung zur Überwachung der Funktionsweise eines Systems (1), auf dem ein Computerprogramm abgespeichert ist, das auf einem Rechengerät (2) ablauffähig und zur Ausführung eines Verfahrens nach einem der Ansprüche 1 bis 7 geeignet ist.
  9. Computerprogramm, das auf einem Rechengerät (2) ablauffähig ist, wobei das Computerprogramm zur Ausführung eines Verfahrens nach einem der Ansprüche 1 bis 7 geeignet ist, wenn es auf dem Rechengerät (2) abläuft.
  10. Computerprogramm nach Anspruch 9, dadurch gekennzeichnet, dass das Computerprogramm auf einem Speicherelement (3), insbesondere auf einem Read-Only-Memory, einem Random-Access-Memory oder einem Flash-Memory, abgespeichert ist.
  11. Vorrichtung zur Überwachung der Funktionsweise eines Systems (1), das mindestens ein untergeordnetes Subsystem aufweist und/oder Bestandteil eines übergeordneten Systems (6) ist und das hardwaremäßig realisierte Komponenten umfassend Sensoren (4), Aktoren (5) und/oder Funktionsrechner (2) aufweist, und wobei die Vorrichtung Mittel zum Überprüfen von Eingangssignalen, Ausgangssignalen und mindestens einer Funktionseinheit des Systems (1) aufweist, wobei eine bestimmungsgemäße Funktion des Systems (1) in Abhängigkeit von der Komplexität der Funktion hierarchisch unterteilt ist in mindestens eine Subsystemfunktion und diese wiederum in mindestens eine Funktionseinheit und die Vorrichtung umfasst: – Mittel einer ersten Überwachungsschicht (Ü0), welche eine der Funktionseinheiten des Systems (1) unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen der Funktionseinheit überprüfen; – Mittel einer der ersten Überwachungsschicht (Ü0) übergeordneten zweiten Überwachungsschicht (Ü1), welche die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des der Funktionseinheit zugeordneten Subsystems überprüfen; und – Mittel mindestens einer der zweiten Überwachungsschicht (Ü1) übergeordneten weiteren Überwachungsschicht (Ü2... Ün), welche die Funktionseinheit zusätzlich unter Berücksichtigung von Eingangssignalen und/oder Ausgangssignalen des Systems (1) überprüfen.
DE10220811.5A 2001-06-27 2002-05-10 Verfahren und Vorrichtung zur Überwachung der Funktionsweise eines Systems Expired - Fee Related DE10220811B4 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE10220811.5A DE10220811B4 (de) 2001-06-27 2002-05-10 Verfahren und Vorrichtung zur Überwachung der Funktionsweise eines Systems
JP2002181990A JP4727896B2 (ja) 2001-06-27 2002-06-21 システムの機能性の監視方法,その監視装置,メモリ素子,コンピュータプログラム
IT2002MI001414A ITMI20021414A1 (it) 2001-06-27 2002-06-26 Procedimento e dispositivo per sorvegliare il funzionamento di un sistema
FR0207921A FR2826744B1 (fr) 2001-06-27 2002-06-26 Procede et dispositif de surveillance du fonctionnement d'un systeme
US10/183,890 US6901350B2 (en) 2001-06-27 2002-06-27 Method and device for monitoring the functioning of a system

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE10131298.9 2001-06-27
DE10131298 2001-06-27
DE10220811.5A DE10220811B4 (de) 2001-06-27 2002-05-10 Verfahren und Vorrichtung zur Überwachung der Funktionsweise eines Systems

Publications (2)

Publication Number Publication Date
DE10220811A1 DE10220811A1 (de) 2003-01-16
DE10220811B4 true DE10220811B4 (de) 2016-09-15

Family

ID=7689844

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10220811.5A Expired - Fee Related DE10220811B4 (de) 2001-06-27 2002-05-10 Verfahren und Vorrichtung zur Überwachung der Funktionsweise eines Systems

Country Status (1)

Country Link
DE (1) DE10220811B4 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019201491A1 (de) 2019-02-06 2020-08-06 Robert Bosch Gmbh Messdatenauswertung für fahrdynamische Systeme mit Absicherung der beabsichtigten Funktion

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005040917A1 (de) 2005-08-30 2007-03-08 Robert Bosch Gmbh Datenverarbeitungssystem und Betriebsverfahren dafür

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4114999A1 (de) * 1991-05-08 1992-11-12 Bosch Gmbh Robert System zur steuerung eines kraftfahrzeuges
DE4438714A1 (de) * 1994-10-29 1996-05-02 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs
WO1997033083A1 (de) * 1996-03-09 1997-09-12 Robert Bosch Gmbh Verfahren und vorrichtung zur steuerung einer antriebseinheit eines fahrzeugs
WO1999026820A1 (de) * 1997-11-22 1999-06-03 Continental Teves Ag & Co. Ohg Elektromechanisches bremssystem

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4114999A1 (de) * 1991-05-08 1992-11-12 Bosch Gmbh Robert System zur steuerung eines kraftfahrzeuges
DE4438714A1 (de) * 1994-10-29 1996-05-02 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs
WO1997033083A1 (de) * 1996-03-09 1997-09-12 Robert Bosch Gmbh Verfahren und vorrichtung zur steuerung einer antriebseinheit eines fahrzeugs
WO1999026820A1 (de) * 1997-11-22 1999-06-03 Continental Teves Ag & Co. Ohg Elektromechanisches bremssystem

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019201491A1 (de) 2019-02-06 2020-08-06 Robert Bosch Gmbh Messdatenauswertung für fahrdynamische Systeme mit Absicherung der beabsichtigten Funktion
WO2020160901A1 (de) 2019-02-06 2020-08-13 Robert Bosch Gmbh Messdatenauswertung für fahrdynamische systeme mit absicherung der beabsichtigten funktion
US12017644B2 (en) 2019-02-06 2024-06-25 Robert Bosch Gmbh Measurement data evaluation for vehicle-dynamics systems having protection of the intended function

Also Published As

Publication number Publication date
DE10220811A1 (de) 2003-01-16

Similar Documents

Publication Publication Date Title
EP1597643B1 (de) Vorrichtung und verfahren zur modellbasierten on-board-diagnose
EP1092177B1 (de) Regler bzw. triebwerksregler, triebwerk und verfahren zum regeln eines stell- oder antriebssystems bzw. eines triebwerks
EP3709166B1 (de) Verfahren und system zur sicheren signalmanipulation für den test integrierter sicherheitsfunktionalitäten
DE10331873A1 (de) Verfahren zur Überwachung verteilter Software
WO2018134023A1 (de) Redundante prozessorarchitektur
DE102008009652A1 (de) Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor
WO2008014940A1 (de) Steuergerät und verfahren zur steuerung von funktionen
DE102018217118B4 (de) Verfahren zum Erstellen einer Fehlerdiagnose eines Antriebsstrangs eines elektrisch betriebenen Kraftfahrzeugs und Kraftfahrzeug
DE102012104322B4 (de) Verfahren und Vorrichtung zum Überprüfen von wenigstens zwei Recheneinheiten
EP2203795B1 (de) Fahrzeug-steuereinheit mit einem versorgungspannungsüberwachten mikrocontroller sowie zugehöriges verfahren
DE102008034150A1 (de) Sicherheitsüberwachung mit Hilfe von Verbindungsleitungen zwischen Steuergeräten eines Kraftfahrzeugs
DE102005016801B4 (de) Verfahren und Rechnereinheit zur Fehlererkennung und Fehlerprotokollierung in einem Speicher
DE10220811B4 (de) Verfahren und Vorrichtung zur Überwachung der Funktionsweise eines Systems
DE10007008B4 (de) Verfahren zur Überwachung einer Datenverarbeitungseinrichtung
EP1649373A2 (de) Verfahren und vorrichtung zur berwachung eines verteilten s ystems
DE10307344B4 (de) Vorrichtung und Verfahren zur dezentralen On-Board-Diagnose für Kraftfahrzeuge
EP2013731B1 (de) Schaltungsanordnung und verfahren zum betrieb einer schaltungsanordnung
EP1894101A1 (de) Verfahren und vorrichtung zum überwachen eines unerlaubten speicherzugriffs einer rechenvorrichtung, insbesondere in einem kraftfahrzeug
DE10220812A1 (de) Verfahren und Vorrichtung zur Überwachung der Funktionsweise eines Systems
DE102019218074B4 (de) Steuerung eines Fahrerassistenzsystems eines Kraftfahrzeugs
DE102011011224A1 (de) Steuergeräteanordnung
WO2022002913A1 (de) Elektronische steuereinheit
DE102004037687B4 (de) Zusicherungen in physikalischen Modellbeschreibungen für Funktionen und ihre Verwendung bei der Erzeugung von Code für Mikroprozessor basierte Steuergeräte
DE102019000715A1 (de) Verfahren zum Betreiben eines Systems, welches zumindest ein elektrisches Gerät und/oder zumindest einen Sensor umfasst, sowie Vorrichtung
WO2021219276A1 (de) Verfahren, vorrichtung, computerprogramm und computerlesbares speichermedium zum erzeugen einer graphen-datenbank zur ermittlung eines zu überprüfenden bauteils eines mechatronischen systems

Legal Events

Date Code Title Description
8120 Willingness to grant licences paragraph 23
8110 Request for examination paragraph 44
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G05D0024020000

Ipc: G05B0023020000

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee