DE10220812A1 - Verfahren und Vorrichtung zur Überwachung der Funktionsweise eines Systems - Google Patents

Verfahren und Vorrichtung zur Überwachung der Funktionsweise eines Systems

Info

Publication number
DE10220812A1
DE10220812A1 DE10220812A DE10220812A DE10220812A1 DE 10220812 A1 DE10220812 A1 DE 10220812A1 DE 10220812 A DE10220812 A DE 10220812A DE 10220812 A DE10220812 A DE 10220812A DE 10220812 A1 DE10220812 A1 DE 10220812A1
Authority
DE
Germany
Prior art keywords
monitoring
functions
functioning
function
üüi
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE10220812A
Other languages
English (en)
Inventor
Diethard Loehr
Axel Strommer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE10220812A priority Critical patent/DE10220812A1/de
Priority to JP2002181991A priority patent/JP2003099120A/ja
Priority to IT2002MI001412A priority patent/ITMI20021412A1/it
Priority to FR0207922A priority patent/FR2826745B1/fr
Priority to US10/183,828 priority patent/US6856940B2/en
Publication of DE10220812A1 publication Critical patent/DE10220812A1/de
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0286Modifications to the monitored process, e.g. stopping operation or adapting control
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T13/00Transmitting braking action from initiating means to ultimate brake actuator with power assistance or drive; Brake systems incorporating such transmitting means, e.g. air-pressure brake systems
    • B60T13/74Transmitting braking action from initiating means to ultimate brake actuator with power assistance or drive; Brake systems incorporating such transmitting means, e.g. air-pressure brake systems with electrical assistance or drive
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T8/00Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
    • B60T8/32Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
    • B60T8/88Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
    • B60T8/885Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/413Plausibility monitoring, cross check, redundancy

Landscapes

  • Engineering & Computer Science (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Überwachung der Funktionsweise eines Systems (1), in dem Eingangssignale, Ausgangssignale (7) und Funktionen des Systems (1) überprüft werden. Das System (1) weist untergeordnete Subsysteme auf oder ist Bestandteil eines übergeordneten Systems. Das System (1) weist hardwaremäßig realisierte Komponenten, umfassend Sensoren (3), Aktoren (8) und/oder Funktionsrechner, auf. Die Erfindung schlägt eine besonders flexible und auf verschiedene zu überwachende Systeme übertragbare Struktur für das Überwachungsverfahren vor, wobei das erfindungsgemäße Überwachungsverfahren DOLLAR A - in mehrere in den einzelnen Funktionen des Systems (1) vorgesehene dezentrale Überwachungsfunktionen (ÜF) zur Überwachung der Funktionsweise der einzelnen Funktionen (F_ij) und DOLLAR A - in mindestens eine übergeordnete funktionsübergreifende Überwachungsinstanz (ÜÜI) zur Koordination der Überwachungsfunktionen (ÜF) DOLLAR A strukturiert ist.

Description

    Stand der Technik
  • Die vorliegende Erfindung betrifft ein Verfahren zur Überwachung der Funktionsweise eines Systems, indem Eingangssignale, Ausgangssignale und Funktionen des Systems überprüft werden. Das System weist untergeordnete Subsysteme auf oder ist Bestandteil eines übergeordneten Systems. Das System weist hardwaremäßig realisierte Komponenten umfassend Sensoren, Aktoren und/oder Funktionsrechner auf.
  • Die Erfindung betrifft außerdem ein Speicherelement für eine Vorrichtung zur Überwachung der Funktionsweise eines Systems. Auf dem Speicherelement ist ein Computerprogramm abgespeichert, das auf einem Rechengerät, insbesondere auf einem Mikroprozessor, ablauffähig ist. Das Speicherelement ist bspw. als ein Read-Only-Memory, als ein Random-Access- Memory oder als ein Flash-Memory ausgebildet.
  • Die vorliegende Erfindung betrifft des Weiteren ein Computerprogramm, das auf einem Rechengerät, insbesondere auf einem Mikroprozessor ablauffähig ist.
  • Schließlich betrifft die Erfindung auch eine Vorrichtung zur Überwachung der Funktionsweise eines Systems, das untergeordnete Subsysteme aufweist oder Bestandteil eines übergeordneten Systems ist. Das System weist hardwaremäßig realisierte Komponenten umfassend Sensoren, Aktoren und/oder Funktionsrechner auf. Die Vorrichtung weist Mittel zum Überprüfen von Eingangssignalen, Ausgangssignalen und Funktionen des Systems auf.
  • Ein System im Sinne der vorliegenden Erfindung ist bspw. ein beliebiges Kraftfahrzeugsteuergerät, dessen bestimmungsgemäße Funktion es ist, eine oder mehrere Funktionen in dem Kraftfahrzeug zu steuern und/oder zu regeln. Die Funktionsweise des Steuergeräts kann anhand von Eingangssignalen (von Sensoren oder anderen Steuergeräten), Ausgangssignalen (für Aktoren oder andere Steuergeräte) und den Funktionen des Steuergeräts überprüft werden. Das Steuergerät kann untergeordnete Subsysteme, bspw. in Form von weiteren Steuergeräten, die einzelne Subfunktionen des Kraftfahrzeugs steuern und/oder regeln, aufweisen. Ein Beispiel für ein System mit untergeordneten Subsystemen ist eine elektrische Bremsanlage eines Kraftfahrzeugs. Ein übergeordnetes Steuergerät bestimmt, wie eine vorgebbare Bremskraft auf die einzelnen Bremszylinder der Räder verteilt wird. Untergeordnete Steuergeräte, die bspw. den Bremszylindern eines Rades zugeordnet sind, steuern bzw. regeln die Ansteuerung der Bremszylinder.
  • Zur Gewährleistung einer korrekten Funktionsweise eines Systems ist es aus dem Stand der Technik bekannt, auf die Überwachung von Eingangssignalen, Ausgangssignalen und Funktionen des Systems zurückzugreifen. Aus der DE 41 14 999 A1 ist ein Verfahren zur Überwachung der Funktionsweise eines Kraftsteuergeräts bekannt. In einem Mikrorechner des Steuergeräts wird die bestimmungsgemäße Funktion des Steuergeräts ausgeführt. Parallel dazu wird in einer Überwachungseinrichtung die gleiche bestimmungsgemäße Funktion zumindest teilweise ausgeführt. Die Ausgangssignale des Mikrorechners und der Überwachungseinrichtung werden miteinander verglichen und in Abhängigkeit von dem Ergebnis des Vergleichs festgestellt, ob das Steuergerät korrekt funktioniert oder nicht. Bei einer detektierten fehlerhaften Funktionsweise des Steuergeräts werden entsprechende Ersatzmaßnahmen ausgeführt. Das in dieser Druckschrift vorgeschlagene Überwachungsverfahren ist stark an der Hardware des zu überwachenden Systems orientiert und sehr unflexibel. Soll das vorgeschlagene Überwachungsverfahren bspw. in einem anderen Steuergerät mit einer anderen bestimmungsgemäßen Funktion ausgeführt werden, muss auch das in der Überwachungseinrichtung ablaufende Überwachungsverfahren komplett überarbeitet werden und an die geänderte Funktion des anderen Steuergeräts angepasst werden.
  • Aus der DE 44 38 714 A1 ist ein Verfahren zur Überwachung der Funktionsweise eines Steuergeräts bekannt. Ein Mikrorechner des Steuergeräts ist unterteilt in eine Funktionsebene, eine Überwachungsebene und eine Kontrollebene. In der Funktionsebene wird die bestimmungsgemäße Funktion des Steuergeräts ausgeführt. In der Überwachungsebene wird die ausgeführte Funktion bspw. mittels eines Schwellenvergleichs oder einer Plausibilitätsprüfung überprüft. In der Überwachungsebene wird also nicht die gesamte bestimmungsgemäße Funktion des Steuergeräts ausgeführt, sondern es werden lediglich Überwachungsfunktionen ausgeführt. Um dennoch mit ausreichender Zuverlässigkeit eine fehlerhafte Funktionsweise des Systems detektieren zu können, ist die zusätzliche Kontrollebene vorgesehen, in der eine Überprüfung der hardwaremäßig realisierten Komponenten (z. B. der Speicherelemente) des Systems getestet und mittels einer Frage-Antwort-Kommunikation eine korrekte Funktionsweise des Mikrorechners überprüft werden kann. Auch bei dem in dieser Druckschrift vorgeschlagenen Überwachungsverfahren ist es von Nachteil, dass die Struktur des Verfahrens an der Hardware des zu überwachenden Systems orientiert und sehr unflexibel ist. Um das Überwachungsverfahren auf ein anderes Steuergerät mit einer anderen bestimmungsgemäßen Funktion übertragen zu können, muss es erst komplett überarbeitet und an die neuen Hardware- und Softwarebedingungen angepasst werden. Das ist jedoch aufwendig und teuer.
  • Der vorliegenden Erfindung liegt deshalb die Aufgabe zugrunde, ein allgemein gültiges Konzept zur Überwachung und Diagnose von Systemen zu schaffen, das ohne großen Aufwand auch auf andere Systeme übertragbar ist.
  • Zur Lösung dieser Aufgabe schlägt die vorliegende Erfindung ausgehend von dem Überwachungsverfahren der eingangs genannten Art vor, dass das Überwachungsverfahren
    • - in mehrere in den einzelnen Funktionen des Systems vorgesehene dezentrale Überwachungsfunktionen zur Überwachung der Funktionsweise der einzelnen Funktionen und
    • - in mindestens eine übergeordnete funktionsübergreifende Überwachungsinstanz zur Koordination der Überwachungsfunktionen
    strukturiert ist. Vorteile der Erfindung
  • Jedes System im Sinne der vorliegenden Erfindung lässt sich durch die darin enthaltenen Funktionen vollständig beschreiben. Bei den einzelnen Funktionen wird nicht zwischen der Art der Realisierung (Hardware oder Software) unterschieden. Jeder zu überwachenden Funktion des Systems ist erfindungsgemäß eine Überwachungsfunktion zur Überwachung der Funktionsweise dieser Funktion zugeordnet. Zur Koordination der einzelnen Überwachungsfunktionen ist mindestens eine übergeordnete funktionsübergreifende Überwachungsinstanz vorgesehen. Die vorliegende Erfindung betrifft also eine besonders vorteilhafte horizontale Strukturierung des Überwachungsverfahrens für das zu überwachende System.
  • Als eine Funktion im Sinne der vorliegenden Erfindung wird eine Betrachtungseinheit mit mindestens einem Eingang und einem Ausgang bezeichnet. Jeder Eingangszustand der Funktion kann eindeutig einem Ausgangszustand zugeordnet werden. Die Funktion kann als Hardwareschaltung oder als Softwarekonstrukt realisiert sein.
  • Gemäß einer vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass die Überwachungsfunktionen in hierarchischen Strukturen geordnet sind. Jede Funktion stellt die Zuverlässigkeit der von ihr verwendeten Eingangssignale eigenständig sicher. Dadurch kann die Funktion - in Abhängigkeit davon, welcher hierarchischen Schicht sie zugeordnet ist - entweder nur auf die von ihr verwendeten Eingangssignale und eventuell auf Statusinformationen von vorgelagerten Funktionen zugreifen oder aber auch zusätzliche Informationen von übergeordneten Überwachungsschichten berücksichtigen. Gemäß dieser Weiterbildung wird also eine vertikale Strukturierung des Überwachungsverfahrens für das zu überwachende System vorgeschlagen.
  • Gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung wird vorgeschlagen, dass eine übergeordnete Überwachungsfunktion bei einer untergeordneten Überwachungsfunktion den Status der Eingangssignale abfragt.
  • Vorteilhafterweise werden im Falle einer fehlerhaften Funktionsweise des Systems Ersatzmaßnahmen ergriffen, wobei die Ersatzmaßnahmen für die jeweilige fehlerhafte Funktion frei konfigurierbar sind. Die Ersatzmaßnahmen können anstelle oder ergänzend zu der bestimmungsgemäßen Funktion der überwachten Funktion ausgeführt werden, sobald ein Fehler erkannt wird. Über eine Tabelle kann abhängig von der detektierten Fehlerart eine bestimmte Ersatzmaßnahme ausgewählt und dann aktiviert werden. Ersatzmaßnahmen, die aufgrund eines im Rahmen einer hochprioren Funktion detektierten Fehlers ausgelöst werden, werden noch vor einer Diagnose des Fehlers und einem Fehlereintrag angestoßen.
  • Vorzugsweise werden im Falle einer fehlerhaften Funktionsweise des Systems Ersatzmaßnahmen ergriffen, wobei die Ersatzmaßnahmen möglichst nah an der derjenigen Funktion ergriffen werden, die von der zugeordneten Überwachungsfunktion als fehlerhaft erkannt wurde. Dadurch kann sichergestellt werden, dass die ergriffenen Ersatzmaßnahmen möglichst nah an dem auftretenden Fehler ansetzen. Dies ist durch die erfindungsgemäße Strukturierung des Überwachungsverfahrens überhaupt erst möglich.
  • Gemäß einer anderen bevorzugten Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass die mindestens eine übergeordnete Überwachungsinstanz die Verwaltung eines Fehlerspeichers, insbesondere das Schreiben und Lesen von Einträgen in den Fehlerspeicher, koordiniert. Der Fehlerspeicher kann zum Auswerten der darin enthaltenen Informationen entweder während des Betriebs des Steuergeräts oder zu einem späteren Zeitpunkt ausgelesen werden. Die ausgewerteten Informationen können bei der Auslegung neuer Systeme berücksichtigt werden.
  • Gemäß einer weiteren bevorzugten Ausführungsform der vorliegenden Erfindung wird vorgeschlagen, dass die mindestens eine übergeordnete Überwachungsinstanz einen Status der Überwachung bei den einzelnen Überwachungsfunktionen anfordert oder abfragt. Dieser Status der Überwachung der einzelnen Überwachungsfunktionen wird von der mindestens einen übergeordneten Überwachungsinstanz vorzugsweise an eine externe Diagnosetestereinheit weitergeleitet.
  • Vorteilhafterweise stellt die mindestens eine übergeordnete Überwachungsinstanz eine Schnittstelle zum Anschluss einer Diagnosetestereinheit zum gezielten Ansteuern einzelner Komponenten des Systems zur Verfügung. Auf diese Weise können bspw. Aktoren des überwachten Systems gezielt angesteuert werden.
  • Die Überwachungsfunktionen erfassen vorzugsweise lokale Umweltdaten, die für die einzelnen Funktionen von Bedeutung sind, und reichen diese an die übergeordnete Überwachungsinstanz weiter. Lokale Umweltdaten sind für ein als Elektrisches Batterie Management (EBM)-Steuergerät ausgebildetes System bspw. eine Batteriespannung. Die Erfassung der lokalen Umweltdaten kann bspw. durch den Fehlerzähler ausgelöst werden. Zum Zeitpunkt einer ersten Inkrementierung des Zählers werden die lokalen Umweltdaten erfasst. Eine Dekrementierung des Zählers bewirkt ein Rücksetzen der lokalen Umweltdaten. Die auf diese Weise erfassten Umweltdaten werden erst beim Überschreiben des maximalen Zählerstands (z. B. beim Überschreiten eines vorgebbaren Schwellenwertes beim Übergang von einer Störung zu einem Fehler) an die übergeordnete Überwachungsinstanz weitergereicht. Umweltdaten sind Zusatzinformationen (Temperatur), die zusammen mit dem Fehler abgespeichert und für eine spätere Analyse des Fehlers herangezogen werden.
  • Vorzugsweise erfasst die mindestens eine übergeordnete Überwachungsinstanz ihrerseits globale Umweltdaten zentral. Von den untergeordneten Überwachungsfunktionen kommt die Information, dass ein Fehler vorliegt. Die übergeordnete Überwachungsinstanz speichert dann die aktuellen globalen Umweltdaten zusammen mit dem Fehler ab. In speziellen Fällen (wenn z. B. die globalen Daten keine Aussage über den Fehler ermöglichen) können lokale Umweltdaten von den untergeordneten Überwachungsfunktionen an die übergeordnete Überwachungsinstanz übertragen und zusammen mit dem Fehler abgespeichert werden. Globale Umweltdaten sind solche Daten, die nicht nur für spezielle Funktionen, sondern für mehrere Funktionen von Bedeutung sind. Ein Beispiel für globale Umweltdaten ist die Umgebungstemperatur oder die Temperatur einer Brennkraftmaschine eines Kraftfahrzeugs.
  • Als eine weitere Lösung der Aufgabe der vorliegenden Erfindung wird ausgehend von dem Verfahren der eingangs genannten Art vorgeschlagen, dass
    • - in mehreren in den einzelnen Funktionen des Systems vorgesehenen dezentralen Überwachungsfunktionen die Funktionsweise der einzelnen Funktionen überwacht wird und
    • - in mindestens einer übergeordneten funktionsübergreifenden Überwachungsinstanz die Überwachungsfunktionen koordiniert werden.
  • Von besonderer Bedeutung ist die Realisierung des erfindungsgemäßen Verfahrens in der Form eines Speicherelements, das für eine Vorrichtung zur Überwachung der Funktionsweise eines Systems vorgesehen ist. Dabei ist auf dem Speicherelement ein Computerprogramm abgespeichert, das auf einem Rechengerät, insbesondere auf einem Mikroprozessor, ablauffähig und zur Ausführung des erfindungsgemäßen Verfahrens geeignet ist. In diesem Fall wird also die Erfindung durch ein auf dem Speicherelement abgespeichertes Computerprogramm realisiert, so dass dieses mit dem Computerprogramm versehene Speicherelement in gleicher Weise die Erfindung darstellt, wie das Verfahren, zu dessen Ausführung das Computerprogramm geeignet ist. Als Speicherelement kann insbesondere ein elektrisches Speichermedium zur Anwendung kommen, bspw. ein Read-Only- Memory, ein Random-Access-Memory oder ein Flash-Memory.
  • Die vorliegende Erfindung betrifft auch ein Computerprogramm, das zur Ausführung des erfindungsgemäßen Verfahrens geeignet ist, wenn es auf einem Rechengerät, insbesondere auf einem Mikroprozessor, abläuft. Besonders bevorzugt ist dabei, wenn das Computerprogamm auf einem Speicherelement, insbesondere auf einem Read-Only-Memory, einem Random-Access-Memory oder einem Flash-Memory, abgespeichert ist.
  • Schließlich wird als noch eine weitere Lösung der Aufgabe der vorliegenden Erfindung ausgehend von der Überwachungsvorrichtung der eingangs genannten Art vorgeschlagen, dass die Vorrichtung umfasst:
    • - in den einzelnen Funktionen des Systems vorgesehene dezentrale Überwachungsfunktionen zur Überwachung der Funktionsweise der einzelnen Funktionen,
    • - mindestens eine übergeordnete funktionsübergreifende Überwachungsinstanz zur Koordination der Überwachungsfunktionen.
    Zeichnungen
  • Weitere Merkmale, Anwendungsmöglichkeiten und Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen der Erfindung, die in der Zeichnung dargestellt sind. Dabei bilden alle beschriebenen oder dargestellten Merkmale für sich oder in beliebiger Kombination den Gegenstand der Erfindung, unabhängig von ihrer Zusammenfassung in den Patentansprüchen oder deren Rückbeziehung sowie unabhängig von ihrer Formulierung bzw. Darstellung in der Beschreibung bzw. in der Zeichnung. Es zeigen:
  • Fig. 1 eine Struktur verschiedener Funktionen innerhalb eines mit Hilfe eines erfindungsgemäßen Überwachungsverfahrens zu überwachenden Systems;
  • Fig. 2 eine durch das erfindungsgemäße Überwachungsverfahren vorgegebene Funktionsstruktur innerhalb des zu überwachenden Systems;
  • Fig. 3 Strukturelement einer übergeordneten Überwachungsinstanz des erfindungsgemäßen Überwachungsverfahrens;
  • Fig. 4 eine Ausschnitt der übergeordneten Überwachungsinstanz aus Fig. 3; und
  • Fig. 5 ein System, auf dem das erfindungsgemäße Überwachungsverfahren ablaufen kann.
    • Beschreibung der Ausführungsbeispiele
  • Die vorliegende Erfindung betrifft eine besondere funktionsabhängige horizontale Struktur eines Überwachungsverfahrens zur Überwachung der Funktionsweise eines Systems. Das System ist bspw. als ein Kraftfahrzeugsteuergerät, insbesondere als ein elektrisches Batteriemanagement (EBM)-Steuergerät, ausgebildet. Das System umfasst Subsysteme, die z. B. aus einer Rechnereinheit oder als ein ASIC (Application Specific Integrated Circuit) ausgebildet sind. Des Weiteren umfasst das System Funktionen, die bspw. elektrische Batterie-Management-Funktionen, eine Batterienachbildung oder Ähnliches sind. Schließlich umfasst das System hardwaremäßig realisierte Komponenten, die bspw. als Aktoren oder Sensoren ausgebildet sind.
  • Eine Mindestanforderung an die Überwachung des Systems ist es, dass erkannt werden kann, wann sich das System nicht mehr wie spezifiziert erhält. Im Idealfall soll darüber hinaus sichergestellt werden können, dass sich das System auch beim Auftreten von Fehlern spezifiziert verhält. Dies setzt voraus, dass Redundanzen vorhanden sind, die aus Kostengründen in der Regel nur bei als sicherheitsrelevant eingestuften Systemen wirtschaftlich tragbar sind. Für Systeme im Bereich des elektrischen Batteriemanagements beschränkt sich die Überwachung des Systems daher zumeist darauf zu erkennen, wann sich das System nicht mehr wie spezifiziert verhält.
  • Unter "Spezifikation" versteht man in diesem Zusammenhang die Summe aller Anforderungen, die an das System gestellt werden. Anforderungen können z. B. sein: "Sicherheit bei Ausfall" (Fail-safe), "Fehlertoleranz" (Fault-tolerance), "Funktionale Sicherheit" (Functional-safety) oder auch "Steuergerät uneingeschränkt funktionsfähig für Betriebsspannungen zwischen 6 V und 20 V".
  • Da sich die Anforderungen für jedes System unterscheiden, zeichnet sich ein allgemein gültiges Überwachungsverfahren wie das erfindungsgemäße dadurch aus, dass es flexibel auf unterschiedliche Systeme mit verschiedenen Anforderungen anwendbar ist. Dies erfordert eine entsprechende Funktionsstruktur, die es erlaubt, die Überwachungskomponenten für verschiedene Systeme - auch wenn diese hinsichtlich der Sicherheit unterschiedlichen Anforderungen genügen - verwenden zu können.
  • Das Überwachungsverfahren läuft parallel zu dem eigentlichen Steuerungs- oder Regelungsprozess des Systems ab und darf diesen, z. B. durch Verbrauch von Rechenkapazität, nicht in seiner Funktion einschränken. Auf Ergebnisse der Überwachung (Fehler) kann das System unmittelbar reagieren. Zusätzlich können die Fehler in einem Fehlerspeicher dauerhaft abgespeichert und zu einer Fehleranalyse herangezogen werden.
  • Unter Diagnose fällt z. B. die Möglichkeit, abgespeicherte Fehler einer Analyse zuzuführen. Dazu kann eine geeignete Schnittstelle erforderlich sein. Über diese Schnittstelle kann ein geeigneter Diagnosetester an das System angeschlossen werden, so dass ein Datenfluss von dem Diagnosetester in das System und aus dem System in den Diagnosetester möglich ist.
  • Die Diagnose von Fehlern ist derjenige Bestandteil der Überwachung, der in der Regel in einer Werkstatt über den Diagnosetester abrufbar ist. Es ist jedoch auch denkbar, dass die Diagnosefunktionen in das Steuergerät integriert sind und während des bestimmungsgemäßen Betriebs des Steuergeräts aufgerufen werden.
  • Die Diagnose bietet die Möglichkeit:
    • - den Fehlerspeicher auszulesen und zu löschen,
    • - Ausgangsgrößen ausgewählter Funktionen auszulesen (z. B. Sensorsignale),
    • - Eingangsgrößen ausgewählter Funktionen in ihrem Wert zu ändern (z. B. zur Ansteuerung eines Aktuators) und
    • - steuergerätespezifische Daten zu speichern (z. B. Seriennummer).
  • Zusätzlich fällt unter die Diagnose die Berechnung von sog. Historiendaten, also von Datenreihen, die über längere Zeiträume gesammelt und zur Analyse des Systemverhaltens benötigt werden (entwicklungsunterstützende Daten). Die Historiendaten sind für die Funktion des Systems nicht erforderlich.
  • In Fig. 1 ist eine Struktur eines als EBM-Steuergerät ausgebildeten Systems 1 dargestellt. Jedes System 1 lässt sich durch seine Funktionen F_ij vollständig beschreiben. Der Informationsfluss zwischen den Funktionen F_ij ist durch Linien dargestellt; durchgezogene Linien für die Überwachung niederpriorer Funktionen und gestrichelte Linien für die Überwachung von allen übrigen (hochprioren) Funktionen. Bei den Funktionen F_ij muss auf dieser Ebene nicht zwischen der Art der Realisierung (Hardware oder Software) unterschieden werden. Alle Funktionen F_ij weisen die gleiche Funktionsstruktur auf, die später anhand von Fig. 2 näher erläutert wird.
  • Bei dem in Fig. 1 dargestellten System 1 sind die Funktionen F_ij derart angeordnet, dass die Signalverarbeitung von links nach rechts erfolgt. Das Steuergerät 1 erhält Eingangssignale 2 von Sensoren 3. Am Beispiel eines EBM-Steuergeräts ist eine Eingangsgröße 2 bspw. die Batteriespannung. Der Sensor 3 wäre dann als ein Spannungsmessgerät zum Erfassen der Batteriespannung ausgebildet. In Signalaufbereitungsfunktionen F_11, F_12 werden die Eingangssignale 2 in ein für einen Mikroprozessor 4 des Steuergeräts 1 nutzbares Format umgesetzt. Am Beispiel des EBM-Steuergeräts ist bspw. ein Spannungsteiler vorgesehen, der die Batteriespannung auf einen für den Mikroprozessor 4 geeigneten Pegel teilt. Die Eingangsgröße für den Mikroprozessor 4 ist mit dem Bezugszeichen 5 bezeichnet. Die Eingangsgrößen 5 werden durch den Mikroprozessor 4 entsprechend den Anforderungen an das Steuergerät 1 zu geeigneten Ausgangsgrößen 6 weiterverarbeitet. Zur Verarbeitung der Eingangsgrößen 5 zu den Ausgangsgrößen 6 sind in dem Mikroprozessor 4 verschiedene Funktionen F_21, F_22, F_23, F_24, F_25, F_26 und F_27 vorgesehen. Am Beispiel des EBM-Steuergeräts dient die von dem Mikroprozessor 4 eingelesene Spannung als Eingangsgröße für einen Algorithmus, dessen Ergebnis zum Beschreiben eines Ausgangsports des Mikrorechners verwendet wird. Die Ausgangsgröße 6 des Mikroprozessors 4 muss in den meisten Fällen noch eine Signalaufbereitung in Form einer Signalaufbereitungsfunktion F_41, F_42 und F_43 durchlaufen, bevor damit ein geeignetes Ausgangssignal 7 zur Verfügung steht. Am Beispiel des EBM-Steuergeräts umfasst die Signalaufbereitung bspw. eine Verstärkung der Ausgangsgrößen 6 des Mikroprozessors 4, um bspw. einen Aktuator 8 in Form eines Generatorreglers anzusteuern.
  • Alle Überwachungskomponenten (Überwachungsfunktionen ÜF) innerhalb des Steuergeräts 1 bzw. innerhalb der Funktionen F_ij des Steuergeräts 1, sind in Fig. 1 als schraffierte Bereiche der Funktionen F_ij mit einer Kommunikationsverbindung zu einer übergeordneten Überwachungsinstanz (ÜÜI) dargestellt. Die vorliegende Erfindung sieht vor, dass die Überwachungsfunktionalität unmittelbar den einzelnen Funktionen F_ij des Steuergeräts 1 zugeordnet wird. Die Überwachungsfunktionen ÜF sind über das gesamte System verteilt. Am Beispiel des EBM- Steuergeräts kann bei der Funktion "Spannungsmessung" die Spannungsinformation in dem Mikroprozessor direkt an der Funktion, rein aufgrund der Funktionseingangsgrößen, auf eine minimale und maximale Spannung hin überprüft werden. Diese Überwachungsfunktion ist in die Funktion "Spannungsmessung" integriert. Ob und inwiefern eine Funktion F_ij überwacht werden muss, ist individuell für jede Funktion festzulegen. Die Aufteilung des Überwachungsverfahrens auf mehrere Überwachungsfunktionen, die jeweils einer zu überwachenden Funktion F_fj zugeordnet sind, stellt einen wichtigen Teil der vorliegenden Erfindung dar.
  • Das Steuergerät 1 umfasst eine rechnerexterne, redundante Überwachungseinheit in Form eines Überwachungsmoduls ÜM, durch das die Funktion des Mikroprozessors 4 auf Korrektheit überprüft wird. Diese Überprüfung ist besonders wichtig, da der Mikroprozessor 4 sowohl für die Ausführung der überwiegenden Anzahl der Funktionen F_ij des Steuergeräts 1 und somit auch für die Ausführung der Überwachungsfunktionen ÜF verantwortlich ist.
  • Jede Überwachungsfunktion ÜF liefert einen Status an eine zentrale Stelle, die sog. übergeordnete Überwachungsinstanz ÜÜI. An dieser zentralen Stelle stehen die Statusinformationen aller überwachten Funktionen F_ij zur Verfügung. Dadurch ergibt sich die Möglichkeit einer umfassenderen Überwachung als dies unmittelbar an einer Überwachungsfunktion ÜF möglich wäre.
  • Die übergeordnete Überwachungsinstanz ÜÜI berücksichtigt nicht nur den Status einer Funktion F_ij, sondern kann diesen Status auch in Bezug zu Statusinformationen anderer Funktionen F_ij setzen. Am Beispiel des EBM-Steuergeräts erfolgt die Überwachung der Ausgänge eines Treiberbausteins durch die Auswertung des Ergebnisses der Eigendiagnose dieses Bausteins. Bei Unterschreiten einer Mindestspannung, die bspw. durch eine Unterspannungsüberwachung erkennbar ist, versagt die Bausteineigendiagnose jedoch und liefert einen unbegründeten Fehlereintrag. Dieser Fehlereintrag darf somit nicht berücksichtigt werden, sofern unmittelbar vor Auftreten des Bausteinfehlers ein Unterspannungsfehler entdeckt worden ist. Diese Informationsverknüpfung erfolgt durch die übergeordnete Überwachungsinstanz ÜÜI.
  • Zusätzlich stellt die übergeordnete Überwachungsinstanz ÜÜI Strukturen bereit, die zur Fehlerbehandlung für alle erkennbaren Fehler genutzt werden können. Darunter fällt unter anderem die Fehlerstatuserkennung, die Zusammenstellung der erforderlichen Informationen zu den Fehlern und der Abspeichermechanismus der Fehler von einem flüchtigen in einen nicht flüchtigen Speicher NVM.
  • Nachfolgend werden die einzelnen Komponenten dieser Steuergerätestruktur im Detail betrachtet. Angefangen wird mit den einzelnen Funktionen eines Steuergeräts, die anhand der Fig. 2 beschrieben werden. Dort ist die durch das erfindungsgemäße Überwachungskonzept vorgegebene Funktionsstruktur dargestellt, mit der jede beliebige Funktion F_ij eines Steuergeräts 1 beschrieben werden kann. Der Vorteil einer solchen einheitlichen Funktionsstruktur besteht in der einfachen Austauschbarkeit von Funktionen F_ij samt zugeordneter Überwachungsfunktion ÜF innerhalb des Systems 1. Das System 1 ist also modular aus den verschiedenen Funktionen F_ij aufgebaut.
  • Jede Funktion F_ij enthält eine Kernfunktionalität 10. Darunter ist die bestimmungsgemäße Aufgabe der Funktion F_ij zu verstehen. Die Kernfunktionalität 10 kann Informationen senden und empfangen und auf diese Weise Informationen mit anderen Funktionen F_ij (nicht dargestellt) auszutauschen, was durch den Doppelpfeil im oberen Bereich des Funktionsblocks 10 verdeutlicht ist. Darüber hinaus ist eine Servicefunktionalität 11 vorgesehen, welche eine Schnittstelle zwischen der Kernfunktionalität 10 und einem Diagnosetester bildet. Über diese Schnittstelle können
    • - die eigentlichen Ausgangsgrößen der Kernfunktionalität 10, aber auch
    • - bestimmte, im Normalbetrieb nicht ausgegebene, interne Größen der Funktion F_ij ausgelesen werden. Zusätzlich können
    • - die Ausgangsgrößen ausgewählter Funktionen F_ij durch den Diagnosetester beeinflusst werden.
  • Als drittes Strukturelement ist die Überwachungsfunktionalität ÜF in der Funktion F_ij enthalten. Durch die Überwachungsfunktionalität ÜF werden entweder die Eingangsgrößen oder die Ausgangsgrößen der Kernfunktionalität oder beide auf bestimmte Kriterien hin überwacht. Diese Kriterien müssen für jede Funktion F_ij individuell festgelegt werden. Bevor ein Fehler festgelegt werden, müssen die folgenden Schritte durchlaufen werden:
    • - Vor Einleitung der Überwachung einer Funktion F_ij müssen zunächst bestimmte Eingangsbedingungen für die Prüfung erfüllt sein. Eingangsbedingungen sind diejenigen Bedingungen, unter denen die Überwachung nur durchgeführt werden darf, um unbegründete Fehlerdetektionen und Fehlereinträge zu vermeiden. Soll bspw. ein schaltbarer Sensorpfad überwacht werden, ist eine Eingangsbedingung, dass der Sensor zum Zeitpunkt der Prüfung aktiv geschaltet sein muss.
    • - Weiterhin müssen die Prüfbedingungen festgelegt werden und
    • - muss die Dauer festgelegt werden, während der eine Störung als aktiv erkannt werden muss, bevor ein Fehler detektiert bzw. eingetragen wird.
  • Die Servicefunktionalität 11 und die Überwachungsfunktionalität ÜF können Informationen mit der übergeordneten Überwachungsinstanz ÜÜI austauschen, was durch die Doppelpfeile im oberen Teil der Funktionsblöcke 11 und ÜF verdeutlicht ist.
  • Das Statussignal der Überwachungsfunktion ÜF, das bspw. eine Aussage darüber liefert, ob in der Funktion F_ij ein Fehler aufgetreten ist oder nicht, kann von einer der nachgeschalteten Funktionen F_ij über die übergeordnete Überwachungsinstanz ÜÜI abgefragt werden. Die Ausprägung der Überwachungsfunktion ÜF richtet sich nach der Priorität, die der Kernfunktion 10 innerhalb des Systems 1 zugeordnet ist. Die Priorität hängt davon ab, ob die Funktion F_ij das System 1 im Fehlerfall in einen Zustand versetzen kann, der über einem vorgebbaren Grenzrisiko liegt. Das Grenzrisiko muss für jedes System 1 individuell festgelegt werden.
  • Bei einem detektierten Fehler müssen evtl. geeignete Gegenmaßnahmen, sog. Ersatzfunktionalität EF, ausgeführt werden. Am Beispiel des EBM-Steuergeräts kann der Algorithmus zur Berechnung von nicht messbaren Batteriegrößen die Fehlerinformation erhalten, dass eine oder mehrere seiner Eingangsgrößen unplausibel sind. Daraufhin verwendet der Algorithmus vorbestimmte Ersatzwerte. In diesem Fall besteht die Ersatzfunktionalität also darin, im Falle eines Fehlers Ersatzwerte zu verwenden.
  • Die auszuführende Ersatzfunktionalität wird in Abhängigkeit von dem Ergebnis der Überwachungsfunktion ÜF aus einer Liste 12 ausgewählt. Von der Liste 12 wird dann zu der entsprechenden Ersatzfunktionalität EFA . . . EFZ verzweigt und diese ausgeführt.
  • Nachfolgend wird die übergeordnete Überwachungsinstanz ÜÜI anhand von Fig. 3 näher erläutert. Die übergeordnete Überwachungsinstanz ÜÜI erfüllt mehrere Aufgaben. Eine der Hauptaufgaben ist das Erfassen und Archivieren aller erkennbaren Fehler des Steuergeräts 1 für eine spätere Fehleranalyse.
  • Die zentrale Einheit zum Zusammenstellen aller erforderlichen Daten, die einem bestimmten Fehler zugeordnet werden, ist ein Fehlerpfadmanager FPM. Jeder erkennbare Fehler muss eindeutig identifizierbar sein, z. B. über eine Fehlernummer. Der Typ des Fehlers muss erfasst werden, bestimmte Zusatzinformationen zur Beurteilung des Fehlers müssen zum Fehler abgespeichert und bestimmte fehlerspezifische Abläufe bekannt sein. Diese Informationen werden von dem Fehlerpfadmanager FPM für jeden Fehler in einem Fehlerpfad zusammengestellt und stets aktualisiert.
  • Ein Fehlerstatusmanager FSM ermittelt, ob ein Fehler aufgetreten ist und wenn ja, von welchem Typ der Fehler ist. Alle Statusinformationen der erkennbaren Fehler sind dem Fehlerstatusmanager FSM bekannt. Eine Statusänderung führt durch den Fehlerpfadmanager FPM zur Übernahme der Statusinformationen in den entsprechenden Fehlerpfad.
  • Jedem Fehler werden bestimmte Zusatzinformationen, sog. Umweltdaten UD, zugeordnet. Umweltdaten UD sind ausgewählte Zustandsgrößen des Systems 1, z. B. die Temperatur oder die Geschwindigkeit, die von einem Umweltdatenmanager UDM immer in aktueller Form bereitgestellt werden und von dem Fehlerpfadmanager FPM zeitrichtig zum Fehlereintritt in dem Fehlerpfad abgelegt werden. Dabei kann zwischen Umweltdaten UD unterschieden werden, die mit jedem Fehler abgespeichert werden, und Umweltdaten UD, die nur mit ausgewählten Fehlern abgespeichert werden.
  • Die auf diese Weise zusammengestellten Fehlerpfade werden in einem Speicher flüchtig gespeichert und nur zu geeigneten Systemzuständen in einen nicht flüchtigen Speicher (Non-volatile Memory, NVM) geschrieben. Der Fehlerspeicher ist bspw. als ein EEPROM (Electronically Erasable and Programmable Read Only Memory) ausgebildet. Um unnötig viele Speicherzugriffe auf den nicht flüchtigen Speicher NVM zu vermeiden, erfolgen die Zugriffe auf den Speicher NVM nur dann, wenn diese auch wirklich erforderlich sind. Diese Koordination ist die Aufgabe eines Fehlerspeichermanagers FM, der den Datenfluss zu dem und von dem Speicher NVM steuert.
  • Um die archivierten Daten einer Analyse zuführen zu können, stellt der Fehlerpfadmanager FPM eine geeignete Schnittstelle 20 zur Verfügung. Diese Schnittstelle 20 basiert bspw. auf einem KWP-2000-Protokoll (ISO/DIS 14230- 4) und erlaubt einen geeigneten Diagnosetester 21 anzusteuern. So ist ein Datenfluss zwischen dem Steuergerät 1 und dem Diagnosetester 21 möglich. Zusätzlich zum Auslesen und Löschen des Fehlerspeichers NVM bietet diese Schnittstelle 20 auch noch die Möglichkeit, Ausgangsgrößen ausgewählter Funktionen (z. B. Sensorgrößen) auszulesen, Eingangsgrößen ausgewählter Funktionen in ihrem Wert zu ändern (z. B. zur Ansteuerung eines Aktuators) und steuergerätspezifische Daten zu speichern (z. B. die Seriennummer).
  • Eine weitere Schnittstelle 22 dient abhängig von den erkannten Fehlern dazu, globale Statusinformationen anderen Steuergeräten zur Verfügung zu stellen. Dies dient z. B. zur Ansteuerung von Anzeigen am Armaturenbrett und zur Ausgabe von Fehlern an den Fahrer eines Kraftfahrzeugs.
  • Eine weitere Aufgabe der übergeordneten Überwachungsinstanz ÜÜI ist der sog. globale Service 23. Darunter werden solche Funktionen verstanden, die ausschließlich zur Analyse des Systemverhaltens dienen und nicht für den bestimmungsgemäßen Betrieb des Steuergeräts 1 benötigt werden. Darunter fallen alle Historiendaten, wie z. B. der mittlere Ruhestrom des Steuergeräts 1 über die gesamte Steuergerätelebensdauer.
  • In Fig. 4 ist eine zusätzliche Funktionalität der übergeordneten Überwachungsinstanz ÜÜI in Form eines Fehlerpfadmanager (FPM)-Validators dargestellt. Der FPM- Validator dient zur Erkennung und Vermeidung von Folgefehlern. Der Validator verhindert, dass in dem Fehlerspeicher NVM Fehlereinträge abgelegt werden, die als Ursache einen anderen Fehler haben (Folgefehlererkennung). Am Beispiel des EBM-Steuergeräts erfolgt die Überwachung der Ausgänge eines Treiberbausteins durch die Auswertung des Ergebnisses der Eigendiagnose dieses Bausteins. Beim Unterschreiten einer Mindestspannung, was durch eine Unterspannungsüberwachung erkennbar ist, versagt die Bausteineigendiagnose jedoch und liefert einen unbegründeten Fehlereintrag. Dieser Fehlereintrag darf nicht berücksichtigt werden, da er auf einem anderen als dem erkannten Fehler beruht. Ein Fehlereintrag darf somit nicht berücksichtigt werden, falls unmittelbar vor Auftreten des Bausteinfehlers ein Unterspannungsfehler detektiert worden ist. Diese Informationsverknüpfung leistet der FPM-Validator.
  • In Fig. 5 ist ein als Steuergerät ausgebildetes System 1 dargestellt, dessen Funktionsweise anhand des erfindungsgemäßen Verfahrens überwacht werden kann. Das Steuergerät 1 umfasst ein Speicherelement 30, das vorzugsweise als eine elektrisches Speichermedium, insbesondere als ein Erasable and Programmable Read-Only- Memory (EPROM), ausgebildet ist. Auf dem Speicherelement 30 ist ein Computerprogramm abgespeichert, das zur Ausführung des erfindungsgemäßen Überwachungsverfahrens geeignet ist, wenn es auf einem Rechengerät 31 des Steuergeräts 1 abläuft. Das Rechengerät 31 ist insbesondere als ein Mikroprozessor ausgebildet. Zur Ausführung des Computerprogramms auf dem Rechengerät 31 wird das Programm entweder als ganzes oder befehlsweise aus dem Speicherelement 30 an das Rechengerät 31 übertragen.
  • In dem Computerprogramm ist insbesondere die erfindungsgemäße Strukturierung des Überwachungsverfahrens derart implementiert, dass jeder zu überwachenden Funktion des Systems eine Überwachungsfunktion zugeordnet und eine übergeordnete Überwachungsinstanz zur Koordination der Überwachungsfunktionen vorgesehen ist.

Claims (16)

1. Verfahren zur Überwachung der Funktionsweise eines Systems (1), indem Eingangssignale (2), Ausgangssignale (7) und Funktionen des Systems (1) überprüft werden, wobei das System (1) untergeordnete Subsysteme aufweist oder Bestandteil eines übergeordneten Systems ist, und das System (1) hardwaremäßig realisierte Komponenten umfassend Sensoren (3), Aktoren (8) und/oder Funktionsrechner aufweist, dadurch gekennzeichnet, dass das Überwachungsverfahren
in mehrere in den einzelnen Funktionen (F_ij) des Systems (1) vorgesehene dezentrale Überwachungsfunktionen (ÜF) zur Überwachung der Funktionsweise der einzelnen Funktionen (F_ij) und
in mindestens eine übergeordnete funktionsübergreifende Überwachungsinstanz (ÜÜI) zur Koordination der Überwachungsfunktionen (ÜF)
strukturiert ist.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Überwachungsfunktionen (ÜF) in hierarchischen Strukturen geordnet sind.
3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass eine übergeordnete Überwachungsfunktion (ÜF) bei einer untergeordneten Überwachungsfunktion (ÜF) den Status der Eingangssignale (2) abfragt.
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass im Falle einer fehlerhaften Funktionsweise des Systems (1) Ersatzmaßnahmen ergriffen werden, wobei die Ersatzmaßnahmen für die jeweilige fehlerhafte Funktion frei konfigurierbar sind.
5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass im Falle einer fehlerhaften Funktionsweise des Systems (1) Ersatzmaßnahmen ergriffen werden, wobei die Ersatzmaßnahmen möglichst nah an derjenigen Funktion (F_ij) ergriffen werden, die von der zugeordneten Überwachungsfunktion (ÜF) als fehlerhaft erkannt wurde.
6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass die mindestens eine übergeordnete Überwachungsinstanz (ÜÜI) die Verwaltung eines Fehlerspeichers (NVM), insbesondere das Schreiben und Lesen von Einträgen in den Fehlerspeicher (NVM), koordiniert.
7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die mindestens eine übergeordnete Überwachungsinstanz (ÜÜI) einen Status der Überwachung bei den einzelnen Überwachungsfunktionen (ÜF) anfordert oder abfragt.
8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass die mindestens eine übergeordnete Überwachungsinstanz (ÜÜI) einen Status der Überwachung der einzelnen Überwachungsfunktionen (ÜF) an eine Diagnosetestereinheit (21) weiterleitet.
9. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass die mindestens eine übergeordnete Überwachungsinstanz (ÜÜI) eine Schnittstelle zum Anschluss einer Diagnosetestereinheit (21) zum gezielten Ansteuern einzelner Komponenten (3, 8) des Systems (1) zur Verfügung stellt.
10. Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass die Überwachungsfunktionen (ÜF) lokale Umweltdaten, die für die einzelnen Funktionen (FÄJ) von Bedeutung sind, lokal erfassen und an die übergeordnete Überwachungsinstanz (ÜÜI) weiterreichen.
11. Verfahren nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, dass die mindestens eine übergeordnete Überwachungsinstanz (ÜÜI) globale Umweltdaten zentral erfasst und einem detektierten Fehler zusammen mit diesem in einem Fehlerspeicher (NVM) abgelegt werden.
12. Verfahren zur Überwachung der Funktionsweise eines Systems (1), indem Eingangssignale (2), Ausgangssignale (7) und Funktionen des Systems (1) überprüft werden, wobei das System (1) untergeordnete Subsysteme aufweist oder Bestandteil eines übergeordneten Systems ist, und das System (1) hardwaremäßig realisierte Komponenten umfassend Sensoren (3), Aktoren (8) und/oder Funktionsrechner aufweist, dadurch gekennzeichnet, dass
in mehreren in den einzelnen Funktionen (F_ij) des Systems (1) vorgesehenen dezentralen Überwachungsfunktionen (ÜF) die Funktionsweise der einzelnen Funktionen (Fu) überwacht wird und
in mindestens einer übergeordneten funktionsübergreifenden Überwachungsinstanz (ÜÜI) die Überwachungsfunktionen (ÜF) koordiniert werden.
13. Speicherelement, insbesondere Read-Only-Memory, Random-Access-Memory oder Flash-Memory, für eine Vorrichtung zur Überwachung der Funktionsweise eines Systems (1), auf dem ein Computerprogramm abgespeichert ist, das auf einem Rechengerät, insbesondere auf einem Mikroprozessor, ablauffähig und zur Ausführung eines Verfahrens nach einem der Ansprüche 1 bis 12 geeignet ist.
14. Computerprogramm, das auf einem Rechengerät, insbesondere auf einem Mikroprozessor, ablauffähig ist, dadurch gekennzeichnet, dass das Computerprogramm zur Ausführung eines Verfahrens nach einem der Ansprüche 1 bis 12 geeignet ist, wenn es auf dem Rechengerät abläuft.
15. Computerprogramm nach Anspruch 14, dadurch gekennzeichnet, dass das Computerprogramm auf einem Speicherelement, insbesondere auf einem Read-Only-Memory, einem Random-Access-Memory oder einem Flash-Memory, abgespeichert ist.
16. Vorrichtung zur Überwachung der Funktionsweise eines Systems (1), das untergeordnete Subsysteme aufweist oder Bestandteil eines übergeordneten Systems ist und das hardwaremäßig realisierte Komponenten umfassend Sensoren (3), Aktoren (8) und/oder Funktionsrechner aufweist, wobei die Vorrichtung Mittel zum Überprüfen von Eingangssignalen (2), Ausgangssignalen (7) und Funktionen des Systems (1) aufweist, dadurch gekennzeichnet, dass die Vorrichtung umfasst:
in den einzelnen Funktionen (F_ij) des Systems (1) vorgesehene dezentrale Überwachungsfunktionen (ÜF) zur Überwachung der Funktionsweise der einzelnen Funktionen (F_ij) und
mindestens eine übergeordnete funktionsübergreifende Überwachungsinstanz (ÜÜI) zur Koordination der Überwachungsfunktionen (ÜF).
DE10220812A 2001-06-27 2002-05-10 Verfahren und Vorrichtung zur Überwachung der Funktionsweise eines Systems Ceased DE10220812A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE10220812A DE10220812A1 (de) 2001-06-27 2002-05-10 Verfahren und Vorrichtung zur Überwachung der Funktionsweise eines Systems
JP2002181991A JP2003099120A (ja) 2001-06-27 2002-06-21 システムの機能性の監視方法,その監視装置,メモリ素子,コンピュータプログラム
IT2002MI001412A ITMI20021412A1 (it) 2001-06-27 2002-06-26 Procedimento e dispositivo per sorvegliare il funzionamento di un sistema
FR0207922A FR2826745B1 (fr) 2001-06-27 2002-06-26 Procede et dispositif de surveillance du fonctionnement d'un systeme
US10/183,828 US6856940B2 (en) 2001-06-27 2002-06-27 Method and device for monitoring the functioning of a system

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10130655 2001-06-27
DE10220812A DE10220812A1 (de) 2001-06-27 2002-05-10 Verfahren und Vorrichtung zur Überwachung der Funktionsweise eines Systems

Publications (1)

Publication Number Publication Date
DE10220812A1 true DE10220812A1 (de) 2003-01-16

Family

ID=7689424

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10220812A Ceased DE10220812A1 (de) 2001-06-27 2002-05-10 Verfahren und Vorrichtung zur Überwachung der Funktionsweise eines Systems

Country Status (1)

Country Link
DE (1) DE10220812A1 (de)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1860565A1 (de) * 2006-05-26 2007-11-28 Bayerische Motoren Werke Aktiengesellschaft Verfahren zur Funktionsprüfung eines Steuergeräts für ein Kraftfahrzeug
WO2016041756A1 (de) * 2014-09-17 2016-03-24 Knorr-Bremse Systeme Für Schienenfahrzeuge Verfahren zur überwachung und diagnose von komponenten eines schienenfahrzeugs, mit erweiterbarer auswertungssoftware
DE10302054B4 (de) 2003-01-21 2018-10-25 Robert Bosch Gmbh Verfahren zum Betreiben einer Brennkraftmaschine
CN110753907A (zh) * 2017-03-17 2020-02-04 罗伯特·博世有限公司 传感器***的处理控制
DE102009011157B4 (de) 2009-02-25 2021-11-04 Iav Gmbh Ingenieurgesellschaft Auto Und Verkehr Vorrichtung zur Steuerung und Regelung eines Antriebssystems

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10302054B4 (de) 2003-01-21 2018-10-25 Robert Bosch Gmbh Verfahren zum Betreiben einer Brennkraftmaschine
EP1860565A1 (de) * 2006-05-26 2007-11-28 Bayerische Motoren Werke Aktiengesellschaft Verfahren zur Funktionsprüfung eines Steuergeräts für ein Kraftfahrzeug
DE102009011157B4 (de) 2009-02-25 2021-11-04 Iav Gmbh Ingenieurgesellschaft Auto Und Verkehr Vorrichtung zur Steuerung und Regelung eines Antriebssystems
WO2016041756A1 (de) * 2014-09-17 2016-03-24 Knorr-Bremse Systeme Für Schienenfahrzeuge Verfahren zur überwachung und diagnose von komponenten eines schienenfahrzeugs, mit erweiterbarer auswertungssoftware
US10435050B2 (en) 2014-09-17 2019-10-08 Knorr-Bremse Systeme Für Schienenfahrzeuge Method for monitoring and diagnosing components of a rail vehicle by means of an extensible evaluation software
EP3194229B1 (de) 2014-09-17 2020-10-14 KNORR-BREMSE Systeme für Schienenfahrzeuge GmbH Verfahren zur überwachung und diagnose von komponenten eines schienenfahrzeugs, mit erweiterbarer auswertungssoftware
CN110753907A (zh) * 2017-03-17 2020-02-04 罗伯特·博世有限公司 传感器***的处理控制
CN110753907B (zh) * 2017-03-17 2024-06-04 罗伯特·博世有限公司 传感器***的处理控制

Similar Documents

Publication Publication Date Title
DE10341786B4 (de) Elektronische Fahrzeugsteuervorrichtung
EP1259941B1 (de) Verfahren und vorrichtung zur ermittlung der verbleibenden betriebsdauer eines produktes
DE3829949C2 (de)
DE102017107284A1 (de) Verfahren und steuergerät zum überwachen eines bordnetzes eines fahrzeugs
DE4122016A1 (de) Antiblockierregelsystem
DE69307405T2 (de) Schaltung für die gegenseitige Überwachung von Computergeräten
EP0525574A2 (de) System zur Ansteuerung sicherheitsrelevanter Systeme
DE19607429B4 (de) Fehlertolerante Steuerungseinrichtung für ein physikalisches System, insbesondere Fahrdynamikregeleinrichtung für ein Kraftfahrzeug
WO2000067080A1 (de) Regler bzw. triebwerksregler, triebwerk und verfahren zum regeln eines stell- oder antriebssystems bzw. eines triebwerks
EP3140816A1 (de) Verfahren zur diagnose eines zustands in einem fahrzeug und diagnose-testgerät
DE10220812A1 (de) Verfahren und Vorrichtung zur Überwachung der Funktionsweise eines Systems
EP1081362B1 (de) Verfahren zum gesteuerten Betrieb einer Brennkraftmaschine nach Fehlerdiagnose
DE102018209108A1 (de) Schnelle Fehleranalyse für technische Vorrichtungen mit maschinellem Lernen
DE10307343B4 (de) On-Board-Diagnosevorrichtung und On-Board-Diagnoseverfahren für Kraftfahrzeuge
WO2020249169A1 (de) Verfahren zum sicherstellen und aufrechterhalten der funktion eines sicherheitskritischen gesamtsystems
DE102012016269A1 (de) Elektrische Maschine mit einer Überwachungseinrichtung
EP1894101A1 (de) Verfahren und vorrichtung zum überwachen eines unerlaubten speicherzugriffs einer rechenvorrichtung, insbesondere in einem kraftfahrzeug
DE102017204400A1 (de) Verfahren zum Betrieb eines Sensors und Verfahren und Vorrichtung zum Analysieren von Daten eines Sensors
DE102019007542A1 (de) Verfahren zur Nutzungsfreigabe eines Wasserstofftanksystems
DE10220811B4 (de) Verfahren und Vorrichtung zur Überwachung der Funktionsweise eines Systems
EP1960854A1 (de) Diagnoseverfahren und diagnosevorrichtung zur funktionsorientierten diagnose eines systems mit vernetzten komponenten
DE102006020793A1 (de) Schaltungsanordnung und Verfahren zum Betrieb einer Schaltungsanordnung
DE102019218074B4 (de) Steuerung eines Fahrerassistenzsystems eines Kraftfahrzeugs
DE4230615C2 (de) Verfahren zur sicheren Abspeicherung von Daten in nichtflüchtigen, überschreibbaren Speichern und Anlage zur Durchführung des Verfahrens
DE102018219700B4 (de) Steuervorrichtung

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
8125 Change of the main classification

Ipc: G05B 19/048 AFI20051017BHDE

R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final