DE19545645A1 - Sicherheitskonzept für Steuereinheiten - Google Patents

Sicherheitskonzept für Steuereinheiten

Info

Publication number
DE19545645A1
DE19545645A1 DE1995145645 DE19545645A DE19545645A1 DE 19545645 A1 DE19545645 A1 DE 19545645A1 DE 1995145645 DE1995145645 DE 1995145645 DE 19545645 A DE19545645 A DE 19545645A DE 19545645 A1 DE19545645 A1 DE 19545645A1
Authority
DE
Germany
Prior art keywords
control unit
control
result
parameter
control units
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE1995145645
Other languages
English (en)
Inventor
Norbert Goeres
Peter Saeger
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Mannesmann VDO AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mannesmann VDO AG filed Critical Mannesmann VDO AG
Priority to DE1995145645 priority Critical patent/DE19545645A1/de
Publication of DE19545645A1 publication Critical patent/DE19545645A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T8/00Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
    • B60T8/32Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
    • B60T8/88Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
    • B60T8/885Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60KARRANGEMENT OR MOUNTING OF PROPULSION UNITS OR OF TRANSMISSIONS IN VEHICLES; ARRANGEMENT OR MOUNTING OF PLURAL DIVERSE PRIME-MOVERS IN VEHICLES; AUXILIARY DRIVES FOR VEHICLES; INSTRUMENTATION OR DASHBOARDS FOR VEHICLES; ARRANGEMENTS IN CONNECTION WITH COOLING, AIR INTAKE, GAS EXHAUST OR FUEL SUPPLY OF PROPULSION UNITS IN VEHICLES
    • B60K28/00Safety devices for propulsion-unit control, specially adapted for, or arranged in, vehicles, e.g. preventing fuel supply or ignition in the event of potentially dangerous conditions
    • B60K28/10Safety devices for propulsion-unit control, specially adapted for, or arranged in, vehicles, e.g. preventing fuel supply or ignition in the event of potentially dangerous conditions responsive to conditions relating to the vehicle 
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • F02D41/266Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/406Test-mode; Self-diagnosis

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Transportation (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Safety Devices In Control Systems (AREA)

Description

Die Erfindung betrifft ein Verfahren zum Betreiben eines Steuersystemes, insbesondere in einem Kraftfahrzeug, bei dem zumindest zwei Steuereinheiten über eine signalübertragende Leitung Daten austauschen, wobei wenigstens eine Steuereinheit erfaßte Betriebsgrößen in Steuersignale umsetzt, und ein entsprechendes Steuersystem gemäß dem Oberbegriff der unabhängigen Patentansprüche.
Es sind Steuereinheiten beispielsweise für in Kraftfahrzeugen angeordnete Brennkraftmaschinen bekannt, die in Abhängigkeit von Umgebungsgrößen den Betrieb der Brennkraftmaschine regeln. Diese Regelung führt zu normalen Betriebszuständen der Brennkraftmaschine, wobei sich jedoch aufgrund von Defekten der Steuereinheit oder deren Peripherie auch anormale Betriebszustände einstellen können. Daraus können kritische oder sogar gefährliche Fahrzustände des Kraftfahrzeuges resultieren.
Ein elektronisches Steuergerät für eine Brennkraftmaschine ist beispielsweise aus der DE 39 26 377 A1 bekannt. Bei diesem Steuergerät werden erfaßte Betriebsgrößen in Steuersignale, beispielsweise für die Ansteuerung von Stellwerken oder zur Bildung von Sollwerten, umgesetzt. Zur weitestgehenden Vermeidung von anormalen Betriebszuständen ist einem Hauptrechner ein Nebenrechner zugeordnet, der den Hauptrechner überwacht und bei Ausfall desselben Notfunktionen ausübt. Zur Überwachung der beiden Rechner sind diesen zusätzlich noch je eine Sicherheitsschaltung (Watchdog) zugeordnet, von denen erkannt wird, ob die Rechner fehlerfrei oder fehlerhaft arbeiten. Weiterhin sind die beiden Rechner über eine Datenaustauschleitung verbunden, über die Signale bezüglich der Funktionstüchtigkeit der Rechner übertragen werden.
Ein solches Steuergerät hat den Nachteil, daß für eine einzige Funktion (z. B. Steuerung einer Brennkraftmaschine) zwei Rechner einschließlich ihrer Sicherheitsschaltungen benötigt werden, was aufgrund eines hohen Fertigungs- und Prüfaufwandes kostenintensiv ist, einen hohen Bauraum und hohe Entwicklungs- und Materialkosten erfordert. Darüber hinaus sind Verfügbarkeitseinbußen durch eine Ausfallwahrscheinlichkeit aufgrund der vielen Bauteile gegeben, was ein weiteres Sicherheitsrisiko darstellt.
Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren zum Betreiben eines Steuersystemes und ein Steuersystem selbst bereitzustellen, das den Anforderungen nach hoher Funktionssicherheit genügt und die genannten Nachteile vermeidet.
Diese Aufgabe ist durch die im Kennzeichen der unabhängigen Patentansprüche angegebenen Merkmale gelöst.
Durch die Lösung, daß den Steuereinheiten ein vorgebbarer Parameter zugeführt wird und aus diesem Parameter nach einem Prüfalgorithmus von zumindest einer Steuereinheit jeweils ein Ergebnis berechnet wird, wobei in Abhängigkeit des Ergebnisses entschieden wird, ob die jeweilige Steuereinheit fehlerfrei arbeitet oder nicht, sind die Vorteile gegeben, daß zum einen zuverlässig festgestellt wird, ob eine Steuereinheit fehlerfrei arbeitet oder nicht und zum anderen wird der Bauteileaufwand verringert, was sich insbesondere bei der Serienproduktion von Steuersystemen hinsichtlich der Kosten vorteilhaft auswirkt und aufgrund weniger Bauteile Verfügbarkeitseinbußen minimiert werden, da Nebenrechner mit den selben Aufgaben der Hauptrechner und/oder Sicherheitsschaltungen entfallen können. Der Prüfalgorithmus kann beispielsweise in einem Programm in einer Steuereinheit abgelegt werden.
In Weiterbildung der Erfindung ist es zur weiteren Vereinfachung vorgesehen, daß eine erste Steuereinheit (d. h., eine beliebige Steuereinheit) den vorgebbaren Parameter erzeugt und zumindest beide Steuereinheiten (bei Vorhandensein von mehr als zwei Steuereinheiten mehrere oder alle Steuereinheiten) ein Ergebnis berechnen. Damit kann zumindest ein Teil aller Steuereinheiten oder auch alle Steuereinheiten überwacht werden, so daß diese Steuereinheiten die ihnen übertragenen Steuer-, Regel- oder Überwachungsaufgaben wahrnehmen und parallel dazu in Abhängigkeit des vorgebbaren Parameters den Prüfalgorithmus ausführen. Dies hat insbesondere dann den Vorteil, wenn mehr als zwei Steuereinheiten vorhanden sind, so daß die üblicherweise den Steuereinheiten zugeordneten Sicherheitseinrichtungen oder zusätzliche Steuereinrichtungen, die eine Redundanz ermöglichen sollen, entfallen können.
In Weiterbildung der Erfindung werden die berechneten Ergebnisse an die erzeugende Steuereinheit rückgemeldet, wobei in Abhängigkeit des rückgemeldeten Ergebnisses ermittelt wird, ob die rückmeldende Steuereinheit fehlerfrei arbeitet oder nicht. Dies hat den Vorteil, daß beispielsweise untergeordnete Steuereinheiten, die Nebenfunktionen erfüllen, von einer übergeordneten Steuereinheit, die eine Hauptfunktion erfüllt, überwacht werden, wobei dann, wenn das rückgemeldete Ergebnis nicht mit einem vorgebbaren Ergebnis übereinstimmt, entschieden wird, daß die rückmeldende Steuereinheit nicht fehlerfrei arbeitet. In einer besonders einfachen Ausgestaltung wird sämtlichen Steuereinheiten der gleiche Parameter vorgegeben und anhand des vorgegebenen Parameters nach einem einheitlichen Prüfalgorithmus das Ergebnis berechnet, so daß für den fehlerfreien Fall sämtliche Ergebnisse gleich sein oder zumindest innerhalb eines bestimmten Wertebereiches liegen müssen. Dabei ist es denkbar, daß sowohl die den vorgebbaren Parameter erzeugende Steuereinheit als auch die übrigen Steuereinheiten den Prüfalgorithmus durchführen und das Ergebnis berechnen.
In Weiterbildung der Erfindung wird der Empfang des vorgebbaren Parameters, insbesondere an die erzeugende Steuereinheit, rückgemeldet. Dies hat den Vorteil, daß schon dann, wenn eine Steuereinheit einen Parameter nicht erhalten hat, festgestellt werden kann, daß von dieser Steuereinheit kein Ergebnis oder ein falsch berechnetes Ergebnis zu erwarten ist, so daß geeignete Maßnahmen ergriffen werden können und die Datenübertragung (insbesondere des Parameters von der erzeugenden Steuereinheit an die andere Steuereinheit) zumindest überprüft werden kann. In Abhängigkeit der Funktion der jeweiligen Steuereinheit kann für diesen Fall entschieden werden, ob die Funktion der Steuereinheit weiterhin durchgeführt werden soll oder ob diese Steuereinheit in einen Notbetrieb umgeschaltet oder sogar ganz abgeschaltet werden soll.
In Weiterbildung der Erfindung wird der Empfang des vorgebbaren Parameters von den Steuereinheiten, insbesondere innerhalb eines vorgegebenen Zeitraumes, überwacht, und dann, wenn kein Parameter empfangen worden ist, zumindest die Berechnung des Ergebnisses unterbleibt. Dies hat den Vorteil, daß die Steuereinheit den Empfang des vorgebbaren Parameters erwartet und diesen Empfang überprüft. Auch hier kann in Abhängigkeit der Wertigkeit der Funktion der Steuereinheit entschieden werden, ob lediglich die Berechnung des Ergebnisses unterbleibt und die Steuereinheit ansonsten ihre Funktion ausführt oder ob auch der Betrieb der Steuereinheit zumindest eingeschränkt wird oder gänzlich unterbleibt. Ergänzend dazu kann auch vorgesehen werden, daß für den Fall, daß kein Parameter empfangen worden ist, automatisch eine entsprechende Meldung an die Steuereinheit, die den vorgebbaren Parameter ausgesendet hat, ausgesendet wird. Sollte festgestellt werden, daß die erzeugende Steuereinheit einen Parameter ausgesendet hat, wird davon ausgegangen, daß die Übertragung unterblieben ist, die Funktionen der einzelnen Steuereinheiten jedoch weiter ausgeführt werden sollen, weil kein Fehler vorliegt. Wird hingegen festgestellt, daß von der erzeugenden Steuereinheit kein Parameter ausgesendet worden ist, wird entschieden, daß in dieser Steuereinheit ein Fehler vorliegt, weshalb der Betrieb dieser Steuereinheit eingeschränkt wird oder gänzlich unterbleibt.
In Weiterbildung der Erfindung wird der Vorgang nach Anspruch 1 wiederholt durchgeführt. Diese laufende (zyklische) Durchführung der gegenseitigen Überwachung der Steuereinheiten hat den Vorteil, daß die Überwachung ständig und fortlaufend während des Betriebes der Steuereinheiten durchgeführt wird, so daß zu jedem Zeitpunkt sichergestellt ist, daß Zustände, die ein Sicherheitsrisiko darstellen würden, vermieden werden.
In Weiterbildung der Erfindung ist der vorgebbare Parameter eine Zufallszahl, insbesondere eine binär codierte Zufallszahl. Dies hat den Vorteil, daß jeweils in Abhängigkeit der vorgegebenen Zufallszahlen auch die Ergebnisse unterschiedlich sein müssen, so daß damit die Sicherheit erhöht wird. Eine binär codierte Zufallszahl hat den Vorteil, daß diese schnell übertragbar und mit dieser der Prüfalgorithmus schnell durchführbar ist. Die binär codierte Zufallszahl kann beispielsweise bei der Datenübertragung einer Übertragungseinheit (Datenwort) vorangestellt werden, worauf dann Betriebsparameter oder Steuerdaten folgen, so daß immer erst der Prüfalgorithmus berechnet wird und dann der Steuereinheit die Betriebsparameter bzw. Steuerdaten zugeführt werden.
In Weiterbildung der Erfindung nimmt für den Fall, daß das Ergebnis einer Steuereinheit von dem Ergebnis zumindest der weiteren Steuereinheit abweicht, das Steuersystem einen sicheren Zustand ein. War bei dem bisher Beschriebenen vorgesehen, daß bei Abweichung eines Ergebnisses einer Steuereinheit die betreffende Steuereinheit einen sicheren Betrieb (Notbetrieb oder gänzliche Abschaltung des Betriebes der Steuereinheit) einnimmt, so ist nun vorgesehen, daß bei Auftreten eines Fehlers in wenigstens einer Steuereinheit das gesamte System einen sicheren Zustand einnimmt. Dies ist insbesondere dann von Vorteil, wenn sich mehrere Steuereinheiten mit gleichwertigen Funktionen gegenseitig überwachen und aus dem fehlerhaften Arbeiten einer einzelnen Steuereinheit ein Sicherheitsrisiko erwachsen könnte, was beispielsweise zu einer Gefährdung einer Person, einer Anlage oder von beiden führen könnte.
Ein Steuersystem, insbesondere zur Durchführung des Verfahrens, ist im folgenden erläutert und in den Figuren gezeigt.
Es zeigen:
Fig. 1 eine erste Ausführung eines Steuersystemes,
Fig. 2 eine weitere Ausführung eines Steuersystemes,
Fig. 3 ein Ablaufschema,
Fig. 4 eine Ergänzung des Ablaufschemas.
Fig. 1 zeigt eine erste Ausführung eines Steuersystemes, bei dem es sich insbesondere um ein in einem Kraftfahrzeug angeordnetes Steuersystem handelt, mit dem der Betrieb des Kraftfahrzeuges und seiner Komponenten (wie beispielsweise Antrieb, Bremsen) gesteuert bzw. geregelt wird. Dieses Steuersystem weist zwei Steuereinheiten auf, bei denen es sich um eine erste Steuereinheit 1 und eine zweite Steuereinheit 2 handelt. Die erste Steuereinheit 1, die beispielsweise die Regelung einer Brennkraftmaschine (Motormanagement) eines Kraftfahrzeuges übernimmt, weist eine Eingabeeinheit 1.1 auf, womit z. B. Sensoren bezeichnet sind, die Betriebsparameter (wie beispielsweise Druck, Temperatur, Leistungsanforderung) der Brennkraftmaschine erfassen. Über eine Ausgabeeinheit 1.2, unter der Aktuatoren beispielsweise für die Einspritzung, zu verstehen sind, wird der Betrieb der Brennkraftmaschine geregelt. Die erfaßten Betriebsparameter werden von einer Recheneinheit 1.3 unter Zuhilfenahme einer Speichereinheit 4 Steuerparameter berechnet, die dann an die Ausgabeeinheit 1.2 ausgegeben werden. Das gleiche gilt für die zweite Steuereinheit 2, bei der es sich beispielsweise um ein ABS-Steuergerät handelt, das eine eigene Eingabeeinheit 2.1 und eine eigene Ausgabeeinheit 2.2 aufweisen kann aber nicht muß. Die beiden Steuereinheiten 1 und 2 sind über eine Signalleitung 10 zum Datenaustausch miteinander verbunden, wodurch beispielsweise die zweite Steuereinheit 2 auch in den Betrieb der ersten Steuereinheit 1 eingreifen kann oder umgekehrt. Über die Signalleitung 10 wird erfindungsgemäß den Steuereinheiten 1 und 2 von einer Einrichtung 5 zur Erzeugung des vorgebbaren Parameters der erzeugte Parameter vorgegeben und das Ergebnis beispielsweise von den Recheneinheiten 1.3 und 2.3 berechnet. Ein Ablaufschema ist dann bezüglich der Fig. 3 erläutert.
Fig. 2 zeigt eine weitere Ausführung des erfindungsgemäßen Steuersystemes. Neben den in Fig. 1 gezeigten und schon beschriebenen Komponenten ist eine weitere Steuereinheit 3 vorgesehen, wobei die Steuereinheiten 1, 2 und 3 über Schnittstellen 1.5, 2.5 und 3.5 an einer Datenleitung 11 (BUS) angeschlossen sind und untereinander Daten austauschen können. An der Datenleitung 11 können selbstverständlich mehr als drei Steuereinheiten angeschlossen sein. In Fig. 2 ist gezeigt, daß die Steuereinheiten 1 und 2 Eingabeeinheiten 1.1 und 2.1 sowie Ausgabeeinheiten 1.2 und 2.2 aufweisen. Dabei kann die Steuereinheit 3 auf die von den Steuereinheiten 1 und/oder 2 aufgenommenen Betriebsparameter oder berechnete Steuerparameter zurückgreifen. Es ist auch denkbar, daß eine Steuereinheit lediglich eine Eingabeeinheit und eine andere Steuereinheit lediglich eine Ausgabeeinheit aufweist.
Der Steuereinheit 1 ist noch eine Stromversorgung 6 zugeordnet, bei der es sich beispielsweise um eine Notstromversorgung handelt, auf die unter Umständen die weiteren Steuereinheiten über die Datenleitung 11 zugreifen können. Weiterhin ist ergänzend vorgesehen, daß wenigstens eine Steuereinheit (Steuereinheit 1) einen weiteren Dateneingang 12 aufweist, so daß beispielsweise dann, wenn es sich bei der ersten Steuereinheit 1 um eine übergeordnete Steuereinheit und bei den Steuereinheiten 2 und 3 um untergeordnete Steuereinheiten handelt, die übergeordnete Steuereinheit 1 mit weiteren nebengeordneten bzw. übergeordneten Steuereinheiten verbunden werden kann.
Bei der in Fig. 2 gezeigten Steuereinheit 1 handelt es sich beispielsweise um eine Steuereinheit zur Regelung des Betriebes einer Brennkraftmaschine, während die Steuereinheit 2 eine ABS-Steuereinheit ist, die beispielsweise zur Verhinderung des Durchdrehens von Rädern des Kraftfahrzeuges in den Betrieb der Steuereinheit 1 über die Datenleitung 11 eingreifen kann. Bei der Steuereinheit 3 handelt es sich beispielsweise um eine Abstands-Steuereinheit, die den Abstand zu einem vorausfahrenden Fahrzeug erfaßt, und bei zu geringem Abstand entweder in die Regelung der Steuereinheit 1 eingreift (Verlangsamung des Fahrzeuges durch Verringerung der Leistungsanforderung) oder aber in die Funktionsweise der zweiten Steuereinheit 2 eingreift, so daß das Fahrzeug gebremst wird. Die Abstandserfassung kann in geeigneter Weise mittels der Eingabeeinheit 3.1 erfaßt werden.
Fig. 3 zeigt ein Ablaufschema des erfindungsgemäßen Verfahrens. Nach Einschalten des Steuersystemes (beispielsweise Einschalten der Zündung, Start mit der Bezugsziffer 20) erfolgt eine Zahlerzeugung 21, wobei eine Zufallszahl erzeugt wird. Über eine Zahlübermittlung 22 wird den Steuereinheiten 1, 2, 3 und gegebenenfalls weitere Steuereinheiten die erzeugte Zufallszahl übermittelt, und dann mittels der Prüfalgorithmen 23.1, 23.2 usw., die gleichartig und in den jeweiligen Speichereinheiten der Steuereinheiten abgespeichert sein können, berechnet. Die berechneten Ergebnisse werden an die erzeugende Steuereinheit (beispielsweise Steuereinheit 1) zurückgemeldet, in der eine Ergebnisabfrage 24 stattfindet. Waren alle Ergebnisse korrekt bzw. gleich, findet ein normaler Ablauf 25 der Steuereinheiten statt, d. h., daß für diesen Zyklus aus den erfaßten Betriebsparametern entsprechende Steuerparameter berechnet und ausgegeben werden. Danach erfolgt ein Sprung zu dem Punkt 31, von dem aus ein neuer Zyklus mit einer neuen Zufallszahl beginnt. Wurde bei der Ergebnisabfrage 24 festgestellt, daß das Ergebnis einer Steuereinheit oder die Ergebnisse mehrerer Steuereinheiten nicht korrekt oder unterschiedlich sind, wird in einer Sicherheitsabfrage 26 ermittelt, ob der Betrieb des gesamten Steuersystemes oder einzelner Steuereinheiten eingeschränkt werden muß oder nicht. Ist dies nicht der Fall, weil beispielsweise gerade im Zeitpunkt der Überprüfung die dritte Steuereinheit 3 (Abstands-Steuereinheit) ausgeschaltet ist, kann der normale Ablauf 25 durchgeführt werden, da die abgeschaltete Steuereinheit 3 kein Sicherheitsrisiko darstellt. Danach erfolgt ebenfalls der Sprung zu dem Punkt 31, nach dem eine erneute Zahlerzeugung 21 durchgeführt werden kann.
Wird jedoch bei der Sicherheitsabfrage 26 festgestellt, daß die fehlerhaft arbeitende Steuereinheit ein Sicherheitsrisiko darstellt, erfolgt während dieses Zyklus ein Ausschluß 27 der fehlerhaft arbeitenden Steuereinheit, dem sich ein normaler Ablauf 28 aller übrigen Steuereinheiten mit Ausnahme der defekten Steuereinheit anschließt. Danach erfolgt wiederum eine Abzweigung zu dem Punkt 31. Bei dem Ausschluß 27 der defekten Steuereinheit kann noch berücksichtigt werden, ob diese defekte Steuereinheit nur für diesen einen Zyklus ausgeschlossen bleiben soll oder ob dies auch für weitere Zyklen gilt. So ist es denkbar, die defekte Steuereinheit erst dann abzuschalten oder deren Betrieb einzuschränken, wenn mehrere Zyklen lang ein von den übrigen Ergebnissen abweichendes Ergebnis registriert worden ist. Es ist auch denkbar, daß die Zahl der abweichenden Ergebnisse einer Steuereinheit gespeichert wird und erst bei Überschreiten eines vorgebbaren Grenzwertes diese Steuereinheit abschaltet oder deren Betrieb eingeschränkt wird und gegebenenfalls zusätzlich eine Warnmeldung beispielsweise an den Fahrer des Kraftfahrzeuges ausgegeben wird.
Fig. 4 zeigt eine Ergänzung des Ablaufschemas, die beispielhaft für die zweite Steuereinheit 2 dargestellt ist. Wurde von der Zahlübermittlung 22 die Zufallszahl über den Punkt 30 an die jeweiligen Steuereinheiten übermittelt, kann nach der Zahlübermittlung 22 eine Abfrage 32 von der jeweiligen Steuereinheit durchgeführt werden, ob die Zahl übermittelt bzw. empfangen wurde oder nicht. Ist dies innerhalb eines vorgebbaren Zeitraumes erfolgt, wird der Prüfalgorithmus 23.2 durchgeführt und dessen Ergebnis an die Ergebnisabfrage 24 übermittelt. Sollte keine Zufallszahl innerhalb des Zeitraumes empfangen worden sein, kann beispielsweise wieder der Ausschluß 27 dieser jedoch in diesem Fall nicht defekten Steuereinheit 2 erfolgen und gleichzeitig eine Meldung 33 an die erzeugende Steuereinheit (Steuereinheit 1) übertragen werden. Danach wird wieder zu Punkt 31 verzweigt. Hier ist es denkbar, daß dann, wenn bei der Abfrage 32 keine Zufallszahl als übermittelt erkannt worden ist, die normale Funktion dieser Steuereinheit durchgeführt und die Meldung 33 direkt an die erste Steuereinheit 1 übertragen wird. Dies hat den Vorteil, daß nicht direkt bei Ausbleiben einer Zufallszahl auf einen Defekt erkannt wird, sondern daß ein Zyklus abgewartet wird, ob bei diesem darauffolgenden Zyklus wieder die Zufallszahl ordnungsgemäß übertragen und empfangen wird.
Bei der Zahlerzeugung kann auch eine Zahlenfolge erzeugt werden, die sich dann zyklisch wiederholt, so daß die empfangende Steuereinheit eine bestimmte Zahl innerhalb dieser Zahlenfolge, die in ihr gespeichert ist, erwartet und dadurch eine zusätzliche Sicherheit gegeben ist.

Claims (10)

1. Verfahren zum Betreiben eines Steuersystemes, insbesondere in einem Kraftfahrzeug, bei dem zumindest zwei Steuereinheiten untereinander Daten austauschen, wobei wenigstens eine Steuereinheit erfaßte Betriebsgrößen in Steuersignale umsetzt, dadurch gekennzeichnet, daß den Steuereinheiten ein vorgebbarer Parameter zugeführt wird und aus diesem Parameter nach einem Prüfalgorithmus von zumindest einer Steuereinheit jeweils ein Ergebnis berechnet wird, wobei in Abhängigkeit des Ergebnisses entschieden wird, ob die jeweilige Steuereinheit fehlerfrei arbeitet oder nicht.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß eine erste Steuereinheit den vorgebbaren Parameter erzeugt und zumindest beide Steuereinheiten ein Ergebnis berechnen.
3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, daß die berechneten Ergebnisse an die erzeugende Steuereinheit rückgemeldet werden, wobei in Abhängigkeit des rückgemeldeten Ergebnisses ermittelt wird, ob die rückmeldende Steuereinheit fehlerfrei arbeitet oder nicht.
4. Verfahren nach Anspruch 1, 2 oder 3, dadurch gekennzeichnet, daß der Empfang des vorgebbaren Parameters, insbesondere an die erzeugende Steuereinheit, rückgemeldet wird.
5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß der Empfang des vorgebbaren Parameters von den Steuereinheiten, insbesondere innerhalb eines vorgegebenen Zeitraumes, überwacht wird, und dann, wenn kein Parameter empfangen worden ist, zumindest die Berechnung unterbleibt.
6. Verfahren nach einem der Ansprüche 2 bis 5, dadurch gekennzeichnet, daß der Vorgang nach Anspruch 1 wiederholt durchgeführt wird.
7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß der vorgebbare Parameter eine Zufallszahl, insbesondere eine binär codierte Zufallszahl, ist.
8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß für den Fall, daß das Ergebnis einer Steuereinheit von dem Ergebnis zumindest der weiteren Steuereinheit abweicht, das Steuersystem einen sicheren Zustand einnimmt.
9. Steuersystem, insbesondere in einem Kraftfahrzeug, mit zumindest zwei Steuereinheiten, die über eine signalübertragende Leitung miteinander verbunden sind, wobei wenigstens eine Steuereinheit eine Eingabeeinheit zur Erfassung von Betriebsgrößen und/oder eine Ausgabeeinheit zur Ausgabe von Steuersignalen aufweist, insbesondere zur Durchführung des Verfahrens nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die Steuereinheiten zum Berechnen eines Ergebnisses in Abhängigkeit eines vorgebbaren Parameters ausgebildet sind, wobei in Abhängigkeit des jeweiligen Ergebnisses entschieden wird, ob die jeweilige Steuereinheit fehlerfrei arbeitet oder nicht.
10. Steuersystem nach Anspruch 9, dadurch gekennzeichnet, daß die erste Steuereinheit zur Steuerung bzw. Regelung einer Brennkraftmaschine eines Kraftfahrzeuges ausgebildet ist und die zumindest weiteren Steuereinheiten zur Unterstützung der Steuerung bzw. Regelung der Brennkraftmaschine und/oder zur Beeinflussung des Fahrverhaltens (z. B. Bremsen) des Kraftfahrzeuges ausgebildet sind.
DE1995145645 1995-12-07 1995-12-07 Sicherheitskonzept für Steuereinheiten Withdrawn DE19545645A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE1995145645 DE19545645A1 (de) 1995-12-07 1995-12-07 Sicherheitskonzept für Steuereinheiten

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE1995145645 DE19545645A1 (de) 1995-12-07 1995-12-07 Sicherheitskonzept für Steuereinheiten

Publications (1)

Publication Number Publication Date
DE19545645A1 true DE19545645A1 (de) 1997-06-12

Family

ID=7779436

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1995145645 Withdrawn DE19545645A1 (de) 1995-12-07 1995-12-07 Sicherheitskonzept für Steuereinheiten

Country Status (1)

Country Link
DE (1) DE19545645A1 (de)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10200242A1 (de) * 2002-01-05 2003-07-24 Bosch Gmbh Robert Verfahren zur Funktionsüberwachung eines Steuergeräts
DE19934513B4 (de) * 1999-07-22 2006-05-24 Siemens Ag Steuerungsverfahren für eine technische Anlage
EP1561912A3 (de) * 2004-02-06 2010-09-08 Hitachi, Ltd. Steuergerät und -verfahren für einen variablen Ventiltrieb
EP2236798A1 (de) * 2009-03-24 2010-10-06 Robert Bosch GmbH Verfahren und Vorrichtung zur Diagnose eines variablen Ventiltriebs einer Brennkraftmaschine
DE102011081453A1 (de) * 2011-08-24 2013-02-28 Continental Teves Ag & Co. Ohg Geräuschkompensiertes elektronisch geregeltes Bremssystem

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19934513B4 (de) * 1999-07-22 2006-05-24 Siemens Ag Steuerungsverfahren für eine technische Anlage
DE10200242A1 (de) * 2002-01-05 2003-07-24 Bosch Gmbh Robert Verfahren zur Funktionsüberwachung eines Steuergeräts
US6928346B2 (en) 2002-01-05 2005-08-09 Robert Bosch Gmbh Method for monitoring the functioning of a control unit
DE10200242B4 (de) * 2002-01-05 2006-01-05 Robert Bosch Gmbh Verfahren zur Funktionsüberwachung eines Steuergeräts
EP1561912A3 (de) * 2004-02-06 2010-09-08 Hitachi, Ltd. Steuergerät und -verfahren für einen variablen Ventiltrieb
EP2236798A1 (de) * 2009-03-24 2010-10-06 Robert Bosch GmbH Verfahren und Vorrichtung zur Diagnose eines variablen Ventiltriebs einer Brennkraftmaschine
DE102011081453A1 (de) * 2011-08-24 2013-02-28 Continental Teves Ag & Co. Ohg Geräuschkompensiertes elektronisch geregeltes Bremssystem

Similar Documents

Publication Publication Date Title
EP0512240B1 (de) System zur Steuerung eines Kraftfahrzeuges
EP1600831B1 (de) Verfahren und Vorrichtung zur Überwachung mehrerer Steuergeräte mittels einer Frage-Antwort-Kommunikation
DE19927635A1 (de) Sicherheitsbezogenes Automatisierungsbussystem
DE102006017302B4 (de) Verfahren und System zur Kontrolle einer Signalübertragung eines elektrischen Pedals
EP3709166B1 (de) Verfahren und system zur sicheren signalmanipulation für den test integrierter sicherheitsfunktionalitäten
DE19509150C2 (de) Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage
WO2008040641A2 (de) Verfahren und vorrichtung zur fehlerverwaltung
DE19500188B4 (de) Schaltungsanordnung für eine Bremsanlage
EP0886823B1 (de) Verfahren zur überprüfung der funktionsfähigkeit einer recheneinheit
DE4431901B4 (de) Vorrichtung zur Störerfassung in einem Antischlupf-Bremssteuersystem für Kraftfahrzeuge
DE102006057743B4 (de) Verfahren zur Überwachung der Funktionssoftware von Steuergeräten in einem Steuergeräteverbund
EP1053153B1 (de) Verfahren zur behandlung von fehlern in einem elektronischen bremssystem und zugehörige vorrichtung
EP0734549B1 (de) Verfahren zum überwachen wenigstens einer sicherheitsrelevanten funktion eines gerätes
DE10142511B4 (de) Fehlerbehandlung von Softwaremodulen
DE19545645A1 (de) Sicherheitskonzept für Steuereinheiten
DE102012221277A1 (de) Fahrzeugsteuervorrichtung
WO1995016944A1 (de) Vorrichtung zum überwachen wenigstens einer sicherheitsrelevanten funktion eines gerätes
DE102004023084B3 (de) Verfahren zur Spannungsüberwachung bei einer Fahrzeug-Steuergeräteanordnung
DE102014000746B4 (de) Verfahren zum Betrieb eines Hochspannungsnetzes eines Kraftfahrzeugs und Kraftfahrzeug
WO2005001692A2 (de) Verfahren und vorrichtung zur überwachung eines verteilten systems
DE102006020793A1 (de) Schaltungsanordnung und Verfahren zum Betrieb einer Schaltungsanordnung
DE112016006679T5 (de) Steuerungsvorrichtung und Recovery-Verarbeitungsverfahren für Steuerungsvorrichtung
WO2008064616A1 (de) Verfahren und diagnosesystem zur diagnose eines technischen systems
DE10040246A1 (de) Verfahren und Vorrichtung zur Ansteuerung wenigstens eines Verbrauchers
DE10160348A1 (de) Verfahren und System zur Informationsübertragung in Kraftahrzeugen

Legal Events

Date Code Title Description
8127 New person/name/address of the applicant

Owner name: MANNESMANN VDO AG, 60326 FRANKFURT, DE

8110 Request for examination paragraph 44
8127 New person/name/address of the applicant

Owner name: SIEMENS AG, 80333 MUENCHEN, DE

8127 New person/name/address of the applicant

Owner name: CONTINENTAL AUTOMOTIVE GMBH, 30165 HANNOVER, DE

8139 Disposal/non-payment of the annual fee