WO2007003469A2 - Steuergerät für den personenschutz - Google Patents

Steuergerät für den personenschutz Download PDF

Info

Publication number
WO2007003469A2
WO2007003469A2 PCT/EP2006/062485 EP2006062485W WO2007003469A2 WO 2007003469 A2 WO2007003469 A2 WO 2007003469A2 EP 2006062485 W EP2006062485 W EP 2006062485W WO 2007003469 A2 WO2007003469 A2 WO 2007003469A2
Authority
WO
WIPO (PCT)
Prior art keywords
voltage
control unit
vzp
ver
measured value
Prior art date
Application number
PCT/EP2006/062485
Other languages
English (en)
French (fr)
Other versions
WO2007003469A3 (de
Inventor
Hartmut Schumacher
Gernod Heilmann
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Priority to JP2008519883A priority Critical patent/JP5015924B2/ja
Priority to US11/988,261 priority patent/US7831361B2/en
Priority to EP06763211A priority patent/EP1901940A2/de
Priority to CN200680024489XA priority patent/CN101218128B/zh
Publication of WO2007003469A2 publication Critical patent/WO2007003469A2/de
Publication of WO2007003469A3 publication Critical patent/WO2007003469A3/de

Links

Classifications

    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J9/00Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting
    • H02J9/04Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting in which the distribution system is disconnected from the normal source and connected to a standby source
    • H02J9/06Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting in which the distribution system is disconnected from the normal source and connected to a standby source with automatic change-over, e.g. UPS systems
    • H02J9/061Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting in which the distribution system is disconnected from the normal source and connected to a standby source with automatic change-over, e.g. UPS systems for DC powered loads
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R21/00Arrangements or fittings on vehicles for protecting or preventing injuries to occupants or pedestrians in case of accidents or other traffic risks
    • B60R21/01Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents
    • B60R21/017Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents including arrangements for providing electric power to safety arrangements or their actuating means, e.g. to pyrotechnic fuses or electro-mechanic valves
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J7/00Circuit arrangements for charging or depolarising batteries or for supplying loads from batteries
    • H02J7/34Parallel operation in networks using both storage and other dc sources, e.g. providing buffering
    • H02J7/345Parallel operation in networks using both storage and other dc sources, e.g. providing buffering using capacitors as storage or buffering devices

Definitions

  • the invention relates to a control device for personal protection according to the preamble of the independent claim.
  • the erf ⁇ ndungssiee control unit for personal protection with the features of the independent claim has the advantage that the control unit at least one measured value observed at a turn-off and depending on a signal generated, based on this signal an assessment is made by the control unit, as it is to behave in a carcass fall. This error can be detected early and overall safe operation of the controller in one Autarkiefall be guaranteed.
  • a signal for example, control signals or counters or accumulations or comparison results or the measured value itself come into question.
  • the control unit ensures the monitoring of the integrity of the supply system including the connected external sensors that the system of the control unit, the connected sensors and the personal protection means remain fully functional for a desired time without disturbances such as a system reset in a real autarky event becomes.
  • a feature is a polarity reversal protection between the external battery voltage UB and an internal voltage VZP, which is normally generated by the battery voltage UB, but can also be provided in the autarkiefalle from the energy reserve, for example by a DC / DC down converter.
  • this control unit protects against the outflow of energy into the electrical system, in particular if it has a short circuit to ground.
  • the check for integrity of the system supply in Autarkiefall is therefore preferably at each switching off the controller by a first measurement of the battery voltage UB and the internal
  • Voltage VZP is initiated when the battery voltage UB falls below a minimum threshold U-Boff (e.g., 5V). Prerequisite for carrying out the measurement is a charged energy reserve of an operational system. This measurement confirms the blocking capability of the polarity reversal protection diode, since the internal voltage VZP must be higher than the battery voltage UB.
  • U-Boff e.g. 5V
  • a second feature is a bidirectional DC / DC switching converter which, independently of a microcontroller .mu.C, supplies energy from the energy reserve to the supply voltage VZP in the case of an excessively low internal voltage VZP when the threshold VZP falls below rn.
  • This independence makes it possible to differentiate between a dynamically occurring reset in the system and an autarchic state, eg caused by normal switch-off.
  • depending on the mode of operation of the switching converter is also called down converter when the switching converter from the energy reserve voltage to the internal voltage converts, the switching converter in normal operation the Battery voltage or internal voltage for charging the energy reserve upwards.
  • a system If a system has reached its operational readiness and signals this by deleting the warning information, for example by switching off the warning lamp, this is characterized by a charged energy reserve.
  • This analogue variable is supplied to the microcontroller ⁇ C for monitoring via a voltage divider. This converts this size first with an analog-to-digital converter in a digital size.
  • the monitoring of the energy reserve voltage begins after a period of time, which is either known as a fixed parameter of the software of the microcontroller ⁇ C, or additionally determined as a function of the battery voltage.
  • a first measurement of the energy reserve voltage at the start of the system immediately after a RESET enable and initialization of the microcontroller ⁇ C is performed.
  • the microcontroller ⁇ C recognizes, on the basis of a first measurement of the energy reserve voltage VER, that it already has a value much lower than VERoff and thus the reasons for the restart ("warm start") was not an autarkic fall or a regular shutdown, but an inadmissible RESET, eg caused by a fault.
  • Another feature that decides on self-sufficiency is the knowledge that in case of one case the fully usable energy is available. This is not only a question of capacity and power consumption, but also a global property of the system, which expresses that the energy reserve voltage VER can be used from a value VERreg max to a value VERoff.
  • an autarchy test marker is placed in a memory, for example - A -
  • control unit components which belong to this feature are the already known energy reserve voltage-VER and battery voltage-UB detection as well as additionally the internal voltage VZP by the microcontroller ⁇ C via a voltage divider.
  • the repetition rate of the measurement is system dependent between 1 - 10ms usually lms.
  • a capacitor CyZP can be used for this purpose. If the autarkic fall marks out
  • the DC / DC switching converter will be activated independently of the microcontroller and a drop below VZP ⁇ VZPth
  • Voltage VZP VZPreg e.g. 6.3V to CtyzP generates the, which takes over further system supply from the energy reserve ER. With increasing discharge of the energy reserve, the maintenance of the control voltage VZPreg approaches the end.
  • VZP VZPreg_min (e.g., 6.0V)
  • VZPregoff 5.8V detected.
  • the voltage VER VERoff measured at time VZPregoff, which is also measured in this measuring grid, is now written to the EEPROM as the last, still safely storable measured value.
  • the writing process for EEPROMs takes about 1-lOms.
  • a VERoff FZ fault counter for defective VZP autarky control
  • the counter reading reaches the value n,
  • the system warning lamp is preferably permanently activated.
  • the VERoff FZ Fault Counter may be incremented by 1 for each detected error and decremented by 1 for each undetected error.
  • the incrementing and decrementing steps could also be chosen differently.
  • the specified autarchy time is additionally checked in the case of the integrity check of the system (control unit with connected components) described here in the case of autarchy, for example.
  • an autarky test marker is written to the EEPROM ("AUTARKIE TESTABLE") to verify the validity of autarky tests prepare.
  • AUTARKIE TESTABLE an autarky test marker is written to the EEPROM ("AUTARKIE TESTABLE") to verify the validity of autarky tests prepare.
  • the elapsed autarky time AUTARKY time counter is stored in an EEPROM.
  • test markers are also read out of the EEPROM and evaluated immediately after the RESET release and initialization of the autarchy. If it is set to "AUTARKIE TESTABLE", the stored autarchy time is evaluated .. If AUTARKYtime ⁇ AUTARKYtime min, an AUTARKYtime_ error counter in a non-volatile memory (EEPROM) is incremented by 1. If the counter reading reaches the value n, for example 3, the system warning lamp is activated Accordingly, the signal in the sense of claim 1 is here the activation of the system warning lamp.
  • the AUTARKIEZEIT_error counter may be incremented by 1 for each detected error and decremented by 1 for each undetected error. Furthermore, the incrementing and decrementing steps could also be selected the same or different.
  • the error counter is the signal in the sense of claim 1.
  • a communication error occurs, it is stored in a non-volatile memory (EEPROM).
  • EEPROM non-volatile memory
  • a communication error counter (COMM FZ)
  • test markers are also read out of the EEPROM and evaluated immediately after the RESET enable and initialization of the autarky. If it stands up, AUTARKIE PRÜFBAR "then the stored KOMM FZ is evaluated.
  • the system warning lamp is permanently activated; if not, it can also be decremented.
  • each connected external sensor has its own
  • Communication error counters are introduced. To distinguish whether communication errors occur in the normal state of the system or in autarky, different communication error counter can be stored. This makes it possible in particular for errors or the function of sensors connected to the control unit, that is to say so-called satellites or assistants, to be detected. Because even these sensors are to be supplied with energy in the absence of battery voltage from the energy reserve, without becoming unusable in this critical phase by communication errors.
  • the erf ⁇ ndungsdorfe control unit is thus safer, since it is still fully functional in the case of demolition or break-in of the battery voltage for a certain time. Furthermore, this makes the controller smarter, as it is able to differentiate various errors, such as battery break-in or reset.
  • the real case without battery supply is simulated during the monitoring of the energy reserve.
  • the controller recognizes a fault of the controller if and only if the internal voltage is too low and the battery voltage is normal.
  • an error signal is generated by the control unit, as a function of which, for example, an optical or acoustic warning is issued that the control unit has a defect.
  • control unit in addition to the measurement of capacitance and / or ESR of the energy reserve, the control unit also assesses this based on emitted energy to an internal voltage (VZP).
  • VZP internal voltage
  • control unit after the autarky time has elapsed, monitors further parameters, up to the limit of the storability of the results, in order to determine whether the control unit continues to show any autarchy weaknesses that have to be detected in order to remedy the situation. by changing defective components.
  • control unit on reaching a predetermined state, for example, a steady state after switching on a
  • MARKER sets in a non-volatile memory and thus sets the standard requirements for the observed parameters of a regular Autarkiefall or usually a normal shutdown.
  • control unit writes data in memory as a function of the energy reserve. This provides data on the voltage, the capacitance and the internal resistance of the energy reserve as well as the energy reserve voltage after the end of the specified autarky time and the smallest usable energy reserve voltage for a subsequent analysis. This facilitates the proof of the functionality of the control unit.
  • FIG. 1 is a block diagram of the control unit
  • Figure 2 is a flow chart airbag ready
  • Figure 3 is a flow chart airbag in the initialization
  • FIG. 4a is a block diagram of the switching converter
  • FIG. 4b is a circuit diagram of an autarkic detection circuit.
  • Previous safety-relevant systems in particular control devices for personal protection, monitor the capacity of an energy reserve, in particular an electrolytic capacitor, this capacitor being used for the provision of energy for supplying the control device in the event of autarky and / or for the ignition of restraint means.
  • Real is the state in which the supply of the controller and the satellites powered by these not only the battery voltage source via polarity reversal diode, but from the personal protection system itself, by the self-sufficiency.
  • Crash case can match, also ensures the availability of the personal protection system.
  • the control device has a number of advantages: The monitoring of the reverse polarity protected voltage required in the control unit must activate a switching converter in good time at a defined, lowest possible limit, which converts the voltage of the energy reserve down to a required value. It must be avoided that the control unit, despite full power reserve and a successful Abundwandlertest, ie the implementation of the voltage of the energy reserve capacitor to the voltage that is required in the control unit, comes to a halt by reset in the digital supply or by communication abatement of the satellites.
  • VZP is carried out. Furthermore, it is ensured that the switching converter has been activated in good time and that the current required by the control unit can be provided.
  • the advantage here is that in this approach, the regulation of the voltage VZP by the down converter VER-> VZP, by the microcontroller ⁇ C on the independent detection of the internal voltage VZP and additionally by the band monitoring of the output voltages, which are derived from VZP such the 5V analog / digital voltage is possible.
  • the system can demonstrably ensure the evaluation of the satellite sensors even in the event of a crash with supply interruption.
  • the voltage of the energy reserve after the end of the guaranteed autarchic time without ignition of restraints, it is ensured that the efficiency of the power supply and the power consumption is within the permissible tolerances.
  • This also an unacceptably high current at the controller or the satellite, as it may be present in case of defects, is detected.
  • the control unit according to the invention makes it possible to detect any type of reset operations, the cause of which is not a break in or an interruption of the supply voltage, as may occur due to electrical interference, electromagnetic radiation, humidity, etc. This is therefore possible because a so-called warm reset without degradation of the energy storage of self-sufficient device.
  • VERoff max Max. Value of the energy reserve voltage which leads to the breakdown of the control voltage VZR reg when falling below
  • VZPreg min Minimum control voltage of VZP in autarkic fall
  • VZPreg max Maximum control voltage of VZP in autarkic fall
  • VZPreg off Minimum voltage on VZP after leaving the control band which still allows a safe error handling.
  • COMM FZ communication error counter to external sensors etc.
  • MW measured value
  • FIG. 1 shows a first block diagram of the control device according to the invention.
  • the control unit 10 has in its housing a microprocessor or microcontroller ⁇ C, which is connected via a data interface, such as an SPI line SPIl, with an interface module PAS IF.
  • the interface module PAS IF serves as a connection for external sensors 11.
  • external sensors 11 are for example outsourced acceleration sensors, for example in the area of the front hood, or else
  • Side impact sensors which may be acceleration sensors and / or pressure sensors, and also weight sensors and occupant position detection sensors.
  • the microprocessor ⁇ C Via a second data interface, for example an SPI line SPI2, the microprocessor ⁇ C is connected to an ignition output stage FLIC.
  • the ignition output stage FLIC is used to ignite ignition circuit for RHS.
  • the retaining means RHS are located outside the control unit 10. These are airbags, belt tensioners and / or roll bars.
  • the switching converter 12 consists of an independent comparator 12a, which compares the internal voltage VZP to the threshold VZPth (eg 5.2V) and in case of stepping down the switching converter 12b VZP ⁇ -> VER in the Ab lakeitmode switches (self-sufficiency).
  • the supply of the control unit 10 is made from VZP. This can be used directly as with the PAS IF or via other voltage transformers 14, which generate the digital and analogue supply 5V, 3.3V, 1.8V of all modules.
  • the microprocessor ⁇ C monitored via a level adjustment circuit 16 (in the simplest case independent voltage divider in special cases, voltage divider with level limiting and Störfilterung) the voltages UB, VZP and VER via a multi-channel analog-to-digital converter for the task discussed here.
  • a level adjustment circuit 16 in the simplest case independent voltage divider in special cases, voltage divider with level limiting and Störfilterung
  • the battery voltage UB is normally used to supply the controller 10.
  • the energy reserve CgR is also normally used to provide the ignition current for the FLIC.
  • the anode of a polarity reversal protection diode 17 is connected to CgR and this in turn to the switching converter output 12.
  • the cathode of the diode 17 is connected to the FLIC.
  • the microprocessor ⁇ C can detect the presence of the polarity reversal protection diode in the flow direction in normal operation.
  • the microprocessor ⁇ C has now recognized that a autarkiefall from UB supply view is present and the system only remains functional, even if the hardware given by the comparator 12a detects this, the switching converter VZP ⁇ - -> VER switches in time in the Aboniaingmode and energy of Energy reserve CJTR can be taken to form a sufficiently high control voltage at VZP.
  • the evaluation takes place only if previously the system could reach its normal operating state, characterized from an energy point of view in that the energy reserve voltage VER in a well-defined monitoring band e.g. 21 -28V or 31-38V etc. was. This circumstance is indicated by an autarchy test marker.
  • the microprocessor ⁇ C starts an autarchy counter based on the condition UB ⁇ UBoff. This condition must be valid throughout the test.
  • the measurement of the voltage UB takes place with a repetition rate of, for example, 1-10 ms.
  • the energy reserve voltage VER ignition is measured. This reading must be above a limit of ignition min (e.g., 15V) which is chosen so that ignition of the restraint is possible under the required current conditions.
  • the Ignition value is written to a non-volatile memory 15 (EEPROM), which is connected to the ⁇ C via a data interface, such as a serial SPI line (SPI2), for later evaluation in the initialization phase.
  • EEPROM non-volatile memory 15
  • SPI2 serial SPI line
  • the system warning lamp is permanently activated, or error information is output as the signal to a standardized vehicle bus such as CAN via a transceiver 19.
  • the Ignition_ FZ can be incremented by 1 for each detected error and decremented by 1 for each undetected error. Furthermore, the incrementing and decrementing steps could also be chosen to be the same or different.
  • the system is ready to perform the test described above for the next autarchy to be observed.
  • the condition UB ⁇ UBoff if not complied with throughout the autarky time measurement, may be used to abort the measurement, since the requirement for autarky was not consistent.
  • a communication error occurs, it is written to a nonvolatile memory 15 (EEPROM).
  • EEPROM a nonvolatile memory 15
  • a communication error counter may be formed in the nonvolatile memory 15, which is incremented by 1 each time a communication error occurs.
  • a separate communication error counter can be introduced for each connected external sensor.
  • different communication error counter can be stored (stored). This makes it possible in particular for errors or the function of sensors connected to the control unit, that is to say so-called satellites or assistants, to be detected. Because even these sensors are to be supplied with energy in the absence of battery voltage from the energy reserve, without becoming unusable in this critical phase by communication errors.
  • test markers are then read out of the EEPROM and evaluated by the microprocessor .mu.C immediately after the RESET release and initialization of the autarchy time.
  • AUTARKIE PRÜFBAR "then the stored communication error (in self-sufficiency) is evaluated. If KOMM FZ> eg 3 the system warning light is permanently driven, or an error information to a standardized vehicle bus such as CAN via a Tranceiver 19 delivered.
  • the communication error counter can be decremented again after a judgment without warning.
  • VZP VZPreg eg. 6.3V to CA / ZP generated, which takes over the further system supply from ER.
  • VZPreg VZPreg eg. 6.3V to CA / ZP generated
  • VZP VZPreg_off eg. 5.8V detected by the microprocessor ⁇ C.
  • the voltage VER VERoff also measured in this measuring grid at the time VZPreg off, is now written to the non-volatile memory 15 (EEPROM) as the last safe storable measured value.
  • the writing process for EEPROMs takes about 1-lOms.
  • test markers are then read out of the nonvolatile memory 15 (EEPROM) and evaluated by the microprocessor .mu.C immediately after the RESET release and initialization of the autarchy. If it rises, AUTARKIE CAN NOT BE TESTED ", then the memory cell VERoff is not checked and no error handling is performed.
  • EEPROM nonvolatile memory 15
  • the microprocessor ⁇ C continues its further program sequence for achieving operational readiness. If it is "AUTARKY TESTABLE", the content of the memory cell VERoff is read out of 15 and compared with the lower usable energy reserve voltage VERoff soll, which is known as a parameter to the system, and assumed as the prerequisite for the energy reserve calculation.
  • the VERoff FZ can be incremented by 1 for each detected error and decremented by 1 for each undetected error. Furthermore, the incrementing and decrementing steps could also be chosen differently.
  • this feature is a complex feature that goes far beyond simple knowledge of individual quantities such as energy reserve capacity. For example, this test can be successfully passed if
  • the detection of reset disturbances is considered in the transition to the autarky state or other processes that could cause dynamic disturbances in the RESET structure of a system (humidity, EMC, etc.).
  • Figure 2 illustrates in a flowchart the basic sequence in a control unit, starting from the ready state.
  • method step 201 the current variables UB, VZP, VER are measured.
  • the battery voltage is set to a certain
  • the warning lamp is activated in method step 2002 (the indication mZ, with time control indicates that a permanent or different type of lamp control takes place according to the wishes) and the method continues in B (205).
  • step 203 If the supply voltage in the regular supply band (202 is true), the process continues in step 203. If VZP ⁇ UB is true, the battery reverse polarity protection diode 13 is given in the forward direction in Figure 1, and it follows step 204, in which the error counter (Battdiode FZ) is decremented for freedom from error, if it is greater than 1.
  • step 2003 follows.
  • the associated error counter Battdiode FZ is incremented. It follows process step 2013. Is the Battdiode FZ> 10 d. h., there is a filtered safe error of the polarity reversal protection diode 13 in Figure 1, so follows process step 2014 with warning lamp on and continuation of the procedure in B (205).
  • step 206 the energy reserve voltage is checked for compliance with a specific band. If there are inadmissible energy reserve voltages, the reasons are given in 2006 and the procedure will be continued in 2007. If 206 is true, it is confirmed that the controller is ready for operation. It follows method step 207, in which the contents of the memory cell autarky test - markers, for example. Cell 2 (15 in Figure 1) is checked. If the content is NOT AUTHENTICALLY TRUE, the process continues in step 208.
  • the specified cells are preempted with default cell contents, which is thus ready for testing for an upcoming autarkic case for integrity, typically a normal shutdown of the system by turning the key switch in position o.
  • Step 209 is followed by the entry point 209. If 207 is not true, the method continues in C (209), since the memory cells have already been pre-assigned.
  • process step 210 contains the further process steps in the lms Humne, but which have nothing to do with the invention dealt with here.
  • the process is re-run in A (200) exactly in the lms (e.g., lms-10ms) cycle.
  • process step 2007 The continuation of the process in process step 2007, after the power reserve voltage is not in the target range, tests the controller supply voltage. If process step 2007 is true, i. UB is too small or not available, follows process step 2017, here it is checked whether the amount of energy reserve voltage for ignition via diode 17 and the ignition circuit FLIC (FLICS) in Figure 1 is insufficient or not. If method step 2017 is true, method step 2117 follows.
  • the current state of the volatile ⁇ C RAM self-suffix counter is stored in the nonvolatile EEPROM memory (15 in FIG. 1), for example. written in cell 4, if not already done.
  • method step 2118 contains the further method steps in the lms plane, but which have nothing to do with the invention dealt with here.
  • the process is re-run from A (200) exactly in the lms (e.g., lms - 10ms) cycle.
  • step 2119 follows, in which it is checked whether VZP is less than a lower limit which characterizes the breakdown of the VZP control. If this step is true, step 2120 follows, in which the current VER measured value, which now corresponds to the limit VERoff, is converted to a nonvolatile state EEPROM memory (15, Figure 1) by the microprocessor ⁇ C eg. is written in cell 5, if not already done.
  • step 2121 which contains the further process steps in the lms level, but have nothing to do with the invention treated here.
  • the process is re-run from A (200) exactly in the lms (e.g., lms - 10ms) cycle.
  • step 2119 is false, i. H. If the VZP voltage is too high during autarky, this may also be supplied to error handling in step 2219.
  • step 2018 follows.
  • step 2028 the currently present measured value of the energy reserve voltage is called ignition in the EEPROM by the microprocessor ⁇ C in cell, for example. Cell 3 written. This energy reserve voltage is held after evaluation of the required autarky time without evaluation.
  • step 2128 which contains the further process steps in the lms level, but have nothing to do with the invention treated here.
  • the process is re-run from A (200) exactly in the lms (e.g., lms - 10ms) cycle.
  • process step 2019 follows.
  • the ⁇ C RAM counter is, for example. in RAM cell 1 for autarky time incremented by 1 ms. This is followed by process step 2020.
  • a communication error counter in a non-volatile memory (15, FIG. 1), for example. incremented in cell 6.
  • step 2121 which contains the further process steps in the lms level, but have nothing to do with the invention treated here.
  • the process is re-run from A (200) exactly in the lms (e.g., lms - 10ms) cycle.
  • step 2020 If, in step 2020, the condition is not met, i. H. There are no communication errors, followed by step 2021, which contains the further process steps in the lms level, but have nothing to do with the invention dealt with here.
  • step 2021 After processing, the process is re-run from A (200) exactly in the lms (e.g., lms - 10ms) cycle.
  • process step 2007 If process step 2007 is not fulfilled, the shutdown can not be detected with UB, and it follows in 2008. Further program parts for monitoring the energy reserve voltage and, if necessary, their error handling are carried out here. This is followed by process step 2009, which contains the further process steps in the lms level, but which have nothing to do with the invention dealt with here. After processing, the process is re-run from A (200) exactly in the lms (e.g., lms - 10ms) cycle.
  • FIG. 3 explains in a flow chart the basic sequence in a control unit starting from the initialization state.
  • the autarky test marker becomes the EEPROM
  • step 301 Cell eg 2 read by the microprocessor ⁇ C. If the content "AUTARKIE PRÜFBAR" is present, then method step 301 is carried out If this content is not present, further tasks are carried out in method step 3000 in the initialization phase, which have nothing to do with the invention dealt with here.
  • method step 301 it is checked whether the current VER voltage is smaller than the value VERoff max known to the system for the "GOOD case" parameter as a parameter, thereby ascertaining whether a regular autarky has preceded There was no erroneous dynamic WARM reset, followed by step 302.
  • an error counter that counts WARMreset errors is decremented if it is greater than one.
  • method step 3001 follows.
  • the occurred WARMreset error is counted in a nonvolatile memory, e.g. in cell 10.
  • step 303 the nonvolatile memory becomes the contents of the cells
  • step 304 an evaluation of ignition follows. Ignition is less than a parameter known to the system Ignition min, d. H. if faulty, then method step 305 follows.
  • step 306 the check of this error counter follows an allowable limit, e.g. 3. If this is exceeded, then follows in step 3006, the control of the warning lamp because of too low VER voltage after required Autarkiezeit.
  • an allowable limit e.g. 3. If this is exceeded, then follows in step 3006, the control of the warning lamp because of too low VER voltage after required Autarkiezeit.
  • process step 3106 Continued in A. If process step 304 is not met, d. H. there is no faulty ignition voltage after a minimum autarky time, method step 3004 follows.
  • EEPROM eg ZE7 decrements to increase the robustness and the procedure in A continues.
  • process step 308 an evaluation of the possible autarchy time follows. If the AUTARKIE time is less than a parameter AUTARKIE time min known to the system, ie faulty, method step 309 follows.
  • step 308 If method step 308 is not fulfilled, i. H. there is no autarkic error, in step 3008 a decrementing of the autarchy time hitherto accumulated follows
  • process step 310 the check of this error counter follows an allowable filter limit, e.g. 3. If this is exceeded, then in method step 3010, the warning lamp is actuated because the autarky time is too short and the minimum energy reserve voltage required is min. It follows process step 3110 Continued in B.
  • an allowable filter limit e.g. 3.
  • step 311 follows.
  • method step 312 This is followed in method step 312 by an evaluation of the VERoff voltage. If the VERoff voltage is greater than a parameter known to the system VERoff max, d. H. faulty, then method step 313 follows. Here an already established error counter becomes too high
  • method step 312 If method step 312 is not fulfilled, ie the ER voltage can be used up to sufficiently low values, without control problems at VZP, then in method step 3012 the error counter VERoff FZ is decremented if> 1 and the continuation in C. If method step 314 is not fulfilled, ie there is no filtered autarky time error, method step 315 follows.
  • method step 316 the check of this error counter follows an allowed filter limit, for example 3. If this is exceeded, in method step 317 the warning lamp is triggered because of excessive VERoff voltage in the case of VZP instability.
  • method step 3016 follows in which the error counter is decremented to increase the robustness. This is followed by method step 3116, in which further tasks are carried out in the initialization phase, which have nothing to do with the invention dealt with here.
  • FIG. 4a shows an embodiment of the blocks 12a and 12b and 14 from FIG. 1 in an integrated module.
  • the bidirectional switching converter VZP ⁇ -> VER the external coil Ll and a control capacity Cer are required for the up-converting operation VZP-> VER, and a control capacity Cvzp for the down-converting operation VER-> VZP in the autarkic case.
  • VZP is generated by a down-converter VZP-> VST1 VSTl.
  • the coil L2 and the control capacity Cvstl necessary.
  • From VSTl is generated by a linear regulator VST2 (3.3V). For this the control capacity Cvst2 is necessary. From VST2 is generated by a linear regulator VST3 (1.8V). For this the control capacity Cvst3 is necessary.
  • the control of the downward and upward conversion direction of the bi-directional switching converter VZP ⁇ -> VER is performed by an auto-detection circuit. In the simplest case, it is a circuit according to Figure 4b.
  • the voltage VZP is connected to the resistor 400 on one side. This is connected to the resistor 402, the resistor 401 and the positive input of a comparator 404.
  • the resistor 401 is connected to ground on the other side.
  • the resistor 402 is on the other side with the collector of an NPN transistor 403 connected.
  • the emitter of 403 is connected to ground.
  • the base of transistor 403 is connected to the collector of transistor 405 and to one side of resistor 406.
  • the emitter of transistor 405 is connected to ground.
  • the base is connected to one side of the resistor 408.
  • the other side of the resistor 408 is connected to the output of the comparator 404.
  • the 406 is connected to the IC internal voltage VINT.
  • the negative input of the comparator 404 is connected to a reference voltage 40.
  • the positive supply of the comparator 404 is connected to VINT, the negative supply of the comparator 404 is connected to ground.
  • the output of the comparator 404 is additionally connected on one side to the resistor 407. The other side of resistor 407 is connected to VINT.
  • VZP is greater than a threshold voltage VZPth, for example, 5.2V
  • VZPth for example, 5.2V
  • Comparator 404 is grounded. This also turns off transistor 405 through resistor 408, i. he locks.
  • Transistor T2 conducts and switches resistor 403 in parallel with resistor 401 of the input voltage divider.
  • the input voltage at the positive input of the comparator 404 the center of the input voltage divider continues to drop. That is, the hysteresis formed stabilizes the new switching state of the comparator 404. Its output voltage remains at approximately 0V. The system is in self-sufficient condition.
  • the low level at the output of the comparator 404 signals the switching converter the

Landscapes

  • Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mechanical Engineering (AREA)
  • Business, Economics & Management (AREA)
  • Emergency Management (AREA)
  • Secondary Cells (AREA)
  • Air Bags (AREA)
  • Charge And Discharge Circuits For Batteries Or The Like (AREA)
  • Dc-Dc Converters (AREA)

Abstract

Es wird ein Steuergerät (10) für den Personenschutz vorgeschlagen, wobei das Steuergerät (10) für den Personenschutz einen Verpolschutz (13) zwischen einer externen Batteriespannung (UB) und einer internen Spannung (VZP) aufweist, um einen Energieabfluss aus dem Steuergerät (10) zu verhindern. Das Steuergerät (10) weist weiterhin einen bidirektionalen Schaltwandler (12a, 12b) zwischen einer Energiereserve (CER) und der internen Spannung (VZP) auf , wobei der Schaltwandler (12a, 12b) in Abhängigkeit von der internen Spannung (VZP) seine Wandlerrichtung bestimmt, wobei das Steuergerät (10) derart konfiguriert ist, dass das Steuergerät (10) nach einem Ausschaltvorgang wenigstens einen Messwert (VER) aufnimmt und in Abhängigkeit von diesem Messwert ein Signal erzeugt, dass ein Autarkieverhalten des Steuergerät (10) charakterisiert.

Description

Steuergerät für den Personenschutz
Stand der Technik
Die Erfindung geht aus von einem Steuergerät für den Personenschutz nach der Gattung des unabhängigen Patentanspruchs.
Aus DE 195 17 698 Al ist ein Verfahren zur Ermittlung der Autarkiezeit bekannt. Dabei ist vorgesehen, dass nach einem Abschalten des sicherheitskritischen Systems das Ende der Autarkiezeit erfasst wird und dass nach Ablauf der Autarkiezeit eine noch verfügbare Auslösebereitschaftszeit ermittelt wird, während der das System von einer Hilfsspan- nungsquelle noch in Auslösebereitschaft gehalten werden könnte und dass beim Einschalten des sicherheitskritischen Systems aus der während der letzten Betriebszeit gültigen Autarkiezeit und der nach dem letzten Abschalten ermittelten noch verfügbaren Auslösebereitschaft die für die aktuelle Betriebszeit gültige Autarkiezeit ermittelt wird. Dabei wird insbesondere die Kapazität der Energiereserve bestimmt. Aber auch der ermittelte
Stromverbrauch oder die ermittelte Versorgungsspannung kann hier verwendet werden.
Vorteile der Erfindung
Das erfϊndungsgemäße Steuergerät für den Personenschutz mit den Merkmalen des unabhängigen Patentanspruchs hat demgegenüber den Vorteil, dass das Steuergerät bei einem Ausschaltvorgang wenigstens einen Messwert beobachtet und in Abhängigkeit davon ein Signal erzeugt, wobei anhand dieses Signals eine Beurteilung durch das Steuergerät getroffen wird, wie es sich in einem Autarkiefall verhalten wird. Damit können frühzeitig Fehler erkannt werden und insgesamt eine sichere Funktion des Steuergeräts in einem Autarkiefall gewährleistet werden. Als Signal kommen beispielsweise Ansteuersignale oder Zähler oder Abspeicherungen oder Vergleichsergebnisse oder der Messwert selbst in Frage.
Das erfindungsgemäße Steuergerät stellt die Überwachung der Integrität des Versorgungssystems einschließlich der angeschlossenen externen Sensoren sicher, dass das System aus dem Steuergerät, den angeschlossenen Sensoren und den Personenschutzmitteln auch in einem realen Autarkiefall über eine gewünschte Zeit hinweg ohne Störungen wie etwa einem System Reset voll funktionsfähig bleiben wird.
Um dies zu erreichen, können wichtige Systemmerkmale erforderlich sein. Ein Merkmal ist ein Verpolschutz zwischen der externen Batteriespannung UB und einer internen Spannung VZP, die im Normalfall von der Batteriespannung UB erzeugt wird, aber auch im Autarkiefalle aus der Energiereserve, beispielsweise durch einen DC/DC Abwärtswandler bereitgestellt werden kann.
Dieses Steuergerät schützt im Autarkiefall vor dem Abfluss von Energie in das Bordnetz, insbesondere falls dieses einen Kurzschluss nach Masse aufweist. Die Prüfung auf Integrität der Systemversorgung im Autarkiefall wird daher vorzugsweise bei jedem Ausschal- ten des Steuergeräts durch eine erste Messung der Batteriespannung UB und der internen
Spannung VZP eingeleitet, sobald die Batteriespannung UB eine minimale Schwelle U- Boff (z.B. 5V) unterschreitet. Vorraussetzung zur Durchführung der Messung ist eine geladene Energiereserve eines betriebsbereiten Systems. Diese Messung bestätigt die Sperrfähigkeit der Verpolschutzdiode, da die interne Spannung VZP höher sein muss als die Batteriespannung UB .
Ein zweites Merkmal ist ein bidirektionaler DC/DC-Schaltwandler, der unabhängig von einem MikroController μC im Falle einer zu niedrigen internen Spannung VZP, beim Unterschreiten der Schwelle VZP rnin Energie aus der Energiereserve der Versorgungs- Spannung VZP zuführt. Diese Unabhängigkeit ermöglicht es, zwischen einem dynamisch auftretenden Reset im System und einem Autarkiezustand z.B. verursacht durch normales Ausschalten zu unterscheiden. Im folgenden wird je nach Betriebsweise der Schaltwandler auch Abwärtswandler genannt, wenn der Schaltwandler von der Energiereservenspannung auf die interne Spannung umsetzt, wobei der Schaltwandler im Normalbetrieb die Batteriespannung bzw. interne Spannung zum Aufladen der Energiereserve aufwärts wandelt.
Hat ein System seine Betriebsbereitschaft erreicht und signalisiert dies durch Löschen der Warninformation, beispielsweise durch das Ausschalten der Warnlampe, so ist dies gekennzeichnet durch eine geladene Energiereserve. Diese analoge Größe wird über einen Spannungsteiler dem MikroController μC zur Überwachung zugeführt. Dieser wandelt diese Größe zunächst mit einem Analog-Digital- Wandler in eine digitale Größe. Nach einem regulären Systemstart beginnt die Überwachung der Energiereservespannung auf Einhaltung eines Bandes nach einer Zeit, die entweder als fester Parameter der Software des MikroControllers μC bekannt ist, oder zusätzlich in Abhängigkeit von der Batteriespannung festgelegt wird. Weiterhin wird eine erste Messung der Energiereservespannung beim Start des Systems unmittelbar nach einer RESET-Freigabe und Initialisierung des MikroControllers μC durchgeführt.
Ist ein System durch einen Autarkiefall nach regulärer Nutzung der Energiereserve in den RESET gelaufen, so muss die Spannung an der Energiereserve einen minimalen Wert VERoff unterschritten haben, der nicht mehr ausreicht, um die notwendigen Systemspannungen richtig zu erzeugen. Ist dagegen ein System im betriebsbereiten Zustand bei voller Energiereserve durch eine Störung am RESET gestoppt und neu gestartet worden, so erkennt der MikroController μC aufgrund einer ersten Messung der Energiereservespannung VER, das diese bereits einen Wert sehr viel kleiner als VERoff besitzt und damit die Gründe für den Neustart („Warmstart") nicht ein Autarkiefall oder ein reguläres Ausschalten waren, sondern ein nicht zulässiger RESET z.B. verursacht durch eine Stö- rung.
Ein weiteres Merkmal, das über die Autarkiegüte entscheidet, ist die Kenntnis, dass im Falle eine Falles die vollständig nutzbare Energie zu Verfügung steht. Dies ist nicht nur eine Frage der Kapazität und des Stromverbrauchs, sondern auch eine globale Eigen- schaft des Systems, die sich darin ausdrückt, das die Energiereservespannung VER von einem Wert VERreg max bis auf einen Wert VERoff genutzt werden kann.
Mit Erreichen der Betriebsbereitschaft des Systems, d.h. alle Initialisierungstests sind abgeschlossen und die Energiereservespannung ist im gültigen Überwachungsband (21- 28)V oder 31-38V), wird ein Autarkie-Test -Marker in einen Speicher, beispielsweise ei- - A -
nen EEPROM geschrieben (,AUTARKIE PRÜFBAR"), um die Gültigkeit von Autarkietests vorzubereiten.
Die Steuergerätkomponenten, die zu diesem Merkmal gehören, sind die bereits bekannte Energiereservespannung- VER und Batteriespannung-UB Erfassung sowie zusätzlich die der internen Spannung VZP durch den MikroController μC über einen Spannungsteiler.
Die Wiederholrate der Messung liegt systemabhängig zwischen 1 - 10ms üblicherweise lms. Außerdem ist die für die VZP-Spannungsregelung im Autarkiefall vorzugsweise ei- ne Kapazität CyZP hierfür einsetzbar. Tritt der Autarkiefall gekennzeichnet durch
UB<UBoff ein, so wird mit Unterschreitung von VZP< VZPth der DC/DC Schaltwandler unabhängig vom MikroController aktiviert und eine
Spannung VZP=VZPreg z.B. 6.3V an CtyzP erzeugt die, die weitere Systemversorgung aus der Energiereserve ER übernimmt. Mit zunehmender Entladung der Energiereserve nähert sich das Aufrechterhalten der Regelspannung VZPreg dem Ende.
Durch zyklisches Messen der Spannung VZP im selben Raster wie die Energieversorgungsspannung VER, beispielsweise 1 -10ms, wird das Ende der stabilen Regelung an der internen Spannung VZP durch Erreichen von VZP=VZPreg_min (z.B. 6.0V) bei
VZPregoff=5.8V erkannt. Die in diesem Messraster ebenfalls gemessene Spannung VER= VERoff zum Zeitpunkt VZPregoff, wird nun als letzter noch sicher speicherbarer Messwert in das EEPROM geschrieben. Der Schreibvorgang für EEPROM 's dauert ca. 1-lOms. Beim Neustart des Systems wird ebenfalls unmittelbar nach RESET-Freigabe und Initialisierung des MikroControllers μC ein Vergleich der Spannung VERoff mit der vorgegebenen und für die Energiereserveberechnung als Voraussetzung angenommenen, unteren nutzbaren Energiereservespannung VERoff soll, die als Parameter dem System bekannt ist, durchgeführt.
Ist VERoff < VERoff soll so sind die geforderten Systemeigenschaften bei der letzten
Autarkieanforderung , in der Regel ein normales Ausschalten des Steuergerätes vollständig erfüllt.
Ist dies nicht gegeben, so wird beispielsweise ein VERoff FZ (Fehlerzähler für defekte VZP-Autarkie-Regelung) um 1 inkrementiert. Erreicht der Zählerstand den Wert n, bei- spielsweise 3, so wird die Systemwarnlampe vorzugsweise dauerhaft angesteuert. In einer weiteren Ausführung kann der VERoff FZ -Fehlerzähler bei jedem entdeckten Fehler um 1 inkrementiert werden und um 1 dekrementiert werden bei jedem nicht detektierten Fehler. Weiterhin könnte auch die Inkrementrier- und Dekrementier Stufung unterschiedlich gewählt werden.
Mit Erreichen der Betriebsbereitschaft des Systems, d.h. alle Initialisierungstests abgeschlossen und die Energiereservespannung im gültigen Überwachungsband (21-28)V o- der 31-38V), wird vorzugsweise der von der letzten Autarkieanforderung mit gültiger Überwachung im EEPROM vorhandene Wert VERoff durch eine Kennung ( „KEIN
MESSWERT") überschrieben, um den Test VERoff<VERoff soll für den kommenden Autarkiefall vorzubereiten.
Auch dieses Merkmal ist ein komplexes Merkmal, das weit über die einfache Kenntnis von Einzelgrößen wie etwa der Energiereservekapazität hinausgeht.
Dieser Test kann beispielsweise dann erfolgreich bestanden werden, wenn a) der DC/DC-Schaltwandler seine Funktion erfüllt b) die Regelkapazität CyZP vorhanden ist, mit qualitativ guten Eigenschaften (ausreichender Kapazität, kleinem Innenwiderstand ESR), wodurch überhaupt eine gute Regelung von der internen Spannung VZP im Autarkiefall möglich ist. c) Die Stabilität der Regelspannung VZP über den gültigen VER Bereich erhalten bleibt ebenso wie die daraus sich versorgenden weiteren Spannungsregler z.B. VZP-> VSTl Regler e) Der Stromverbrauch an der internen Spannung VZP im erwarteten Rahmen liegt
Neben der Kapazitäts- und ESR-Messung der Energiereserve wird beispielsweise zusätzlich bei der hier beschriebenen Integritätsprüfung des Systems (Steuergeräts mit ange- schlossenen Komponenten) im Autarkiefall die vorgegebene Autarkiezeit überprüft.
Mit Erreichen der Betriebsbereitschaft des Systems, d.h. alle Initialisierungstests abgeschlossen und Energiereserve Spannung im gültigen Überwachungsband (21-28)V oder 31-38V) wird ein Autarkie Test -Marker in das EEPROM geschrieben („AUTARKIE PRÜFBAR"), um die Gültigkeit von Autarkietests vorzubereiten. Mit der folgenden normalen Abschaltung des Systems oder einem echten Autarkiefall, gekennzeichnet durch UB<UBoff wird ein Autarkiezeitzähler gestartet. Erreicht der Zähler den vorgegebenen und dem System als Parameter bekannten Wert AUTARKIEZEIT min so wird die Energiereservespannung VER=VERzündung gemessen. Dieser Messwert muss über einer Grenze VERzündung min liegen, welche so gewählt ist, dass auch eine Zündung der Rückhaltemittel unter den geforderten Strombedingungen möglich ist.
Erreicht die Spannung VER den Wert VERzündung min, so wird die abgelaufene Autarkiezeit = AUTARKIEzeitzähler in einem EEPROM gespeichert. Beim Neustart des Systems wird ebenfalls unmittelbar nach RESET Freigabe und Initialisierung der Autarkie Test-Marker aus dem EEPROM ausgelesen und bewertet. Steht er auf „AUTARKIE PRÜFBAR", so wird die gespeicherte Autarkiezeit bewertet. Ist AUTARKIEzeit < AUTARKIEzeit min wird ein AUTARKIEzeit_ Fehlerzähler in einem nichtflüchtigen Speicher (EEPROM) um 1 inkrementiert. Erreicht der Zählerstand den Wert n, beispielsweise gleich 3, so wird die Systemwarnlampe dauerhaft angesteuert. Das Signal im Sinne von Anspruch 1 ist demnach hier die Ansteuerung der Systemwarnlampe.
In einer weiteren Ausführung kann der AUTARKIEZEIT_ Fehlerzähler bei jedem entdeckten Fehler um 1 inkrementiert werden und um 1 dekrementiert werden bei jedem nicht detektierten Fehler. Weiterhin könnte auch die Inkrementrier- und Dekrementier Stufung gleich oder unterschiedlich gewählt werden. Hier ist der Fehlerzähler das Signal im Sinne von Anspruch 1.
Ein noch weiterführendes Merkmal einer Prüfung der Autarkie auf Integrität ist die Prüfung der Kommunikationsfähigkeit zu den externen Sensoren. Mit der folgenden normalen Abschaltung des Systems oder einem echten Autarkiefall, gekennzeichnet durch UB<UBoff, wird die Kommunikation bis zum Erreichen der Grenze
VER<VERzündung_min in Echtzeit zyklisch fortgeführt und geprüft.
Tritt ein Kommunikationsfehler ein, so wird dieser in einem nichtflüchtigen Speicher (EEPROM) gespeichert. Zur Filterung kann ein Kommunikations Fehlerzähler (KOMM FZ) verwendet werden, der bei jedem Auftreten eines Kommunikationsfehlers um 1 inkrementiert wird. Beim Neustart des Systems wird ebenfalls unmittelbar nach RESET-Freigabe und Initialisierung der Autarkie Test-Marker aus dem EEPROM ausgelesen und bewertet. Steht er auf ,AUTARKIE PRÜFBAR" so wird der gespeicherte KOMM FZ bewertet.
Erreicht der Zählerstand den Wert m, beispielsweise gleich 3, so wird die Systemwarnlampe dauerhaft angesteuert, falls nicht, kann auch dekrementiert werden.
In eine weiteren Ausführung kann für jeden angeschlossenen externen Sensor ein eigener
Kommunikations Fehlerzähler eingeführt werden. Zur Unterscheidung, ob Kommunikationsfehler im Normalzustand des Systems oder in Autarkie auftreten, können unterschiedliche Kommunikationsfehlerzähler abgelegt werden. Dies ermöglicht insbesondere, dass Fehler oder die Funktion von an das Steuergerät angeschlossenen Sensoren, also so genannten Satelliten oder Assistenten, erkannt werden. Denn auch diese Sensoren sollen bei einem Fehlen der Batteriespannung aus der Energiereserve mit Energie versorgt werden, ohne in dieser kritischen Phase durch Kommunikationsfehler unbrauchbar zu werden.
Das erfϊndungsgemäße Steuergerät ist damit sicherer, da es im Falle des Abrisses oder des Einbruches der Batteriespannung für eine bestimmte Zeit noch voll funktionsfähig ist. Weiterhin ist damit das Steuergerät intelligenter, da es in der Lage ist, verschiedene Fehler, wie den Einbruch der Batteriespannung oder ein Reset, zu unterscheiden. Außerdem wird beim erfindungsgemäßen Steuergerät der reale Fall ohne Batterieversorgung bei der Überwachung der Energiereserve simuliert.
Weiterhin ist es von Vorteil, dass das Steuergerät genau dann einen Fehler des Steuergeräts erkennt, wenn die interne Spannung einen zu niedrigen Wert anzeigt und die Batteriespannung normal ist. In diesem Fall wird durch das Steuergerät ein Fehlersignal er- zeugt, in Abhängigkeit dessen dann beispielsweise eine optische oder akustische Warnung ausgegeben wird, dass das Steuergerät einen Defekt aufweist.
Weiterhin ist es von Vorteil, dass das Steuergerät neben der Messung von Kapazität und oder ESR der Energiereserve diese zusätzlich anhand von abgegebener Energie an eine interne Spannung (VZP) beurteilt. Damit werden Parameter, die den idealen Fall für die Autarkie simulieren, gemessen, und somit kann eine bessere Aussage über die Autarkiefähigkeit des Steuergeräts gemacht werden.
Es ist von Vorteil, dass das Steuergerät nach Ablauf der Autarkiezeit weitere Parameter überwacht, bis an die Grenze der Speicherbarkeit der Ergebnisse, um festzustellen, ob das Steuergerät auch weiterhin keine Autarkieschwächen zeigt, die entdeckt werden müssen, um Abhilfe zu schaffen z.B. durch Wechsel defekter Komponenten.
Darüber hinaus ist es von Vorteil, dass das Steuergerät bei Erreichen eines vorgegebenen Zustande, beispielsweise einen eingeschwungenen Zustand nach dem Einschalten einen
MARKER in einem nichtflüchtigen Speicher setzt und damit die Standardvoraussetzungen für die zu beobachtenden Parameter eines regulären Autarkiefall oder meistens einer normalen Abschaltung festlegt.
Schließlich ist es auch von Vorteil, dass das Steuergerät in Abhängigkeit von der Energiereserve Daten in eine Speicher schreibt. Damit stehen für eine nachträgliche Analyse Daten über die Spannung , die Kapazität und den Innenwiderstand der Energiereserve , sowie der Energiereservespannung nach Ende der spezifizierten Autarkiezeit und der kleinsten nutzbaren Energiereservespannung zu Verfügung. Dies erleichtert den Nach- weis der Funktionsfähigkeit des Steuergeräts.
Zeichnung
Ausführungsbeispiele der Erfindung sind in der Zeichnung dargestellt und werden in der nachfolgenden Beschreibung näher erläutert.
Es zeigen
Figur 1 ein Blockschaltbild des Steuergeräts,
Figur 2 ein Flussdiagramm Airbag betriebsbereit Figur 3 ein Flussdiagramm Airbag in der Initialisierung
Figur 4a ein Blockschaltbild des Schaltwandlers
Figur 4b ein Schaltbild einer Autarkieerkennungsschaltung.
Beschreibung Bisherige sicherheitsrelevante Systeme, insbesondere Steuergeräte für den Personenschutz, überwachen die Kapazität einer Energiereserve, insbesondere einen Elektrolytkondensator, wobei dieser Kondensator für die Bereitstellung von Energie zur Versorgung des Steuergeräts im Autarkiefall und/oder zur Zündung von Rückhaltemitteln einge- setzt wird.
Mit der Überwachung der Energiereserve ist keinesfalls sicher gestellt, dass das Steuergerät nach Unterbrechung der Spannungsversorgung sicher für eine bestimmte Zeit voll funktionsfähig bleibt. Dies betrifft insbesondere die alleinige Messung der Kapazität des Kondensators. Auch der bekannte Abwärtswandlertest (Downconvertertest), bei dem man zum Test aus der Energiereserve Strom zu einer Eigenversorgung des Steuergeräts entnimmt, prüft zwar die Fähigkeit, mit einem Schaltregler Energie aus der Energiereserve für einen Testbefehl zu entnehmen und der verpolgeschützten Airbagspannung zuzuführen, das stellt aber nicht den realen Fall dar.
Real ist der Zustand, bei dem die Versorgung des Steuergeräts und der von diesen gespeisten Satelliten nicht nur die Batteriespannungsquelle via Verpolschutzdiode erfolgt, sondern aus dem Personenschutzsystem selbst heraus, und zwar durch die Autarkieenergie.
Dieser Zustand ist gekennzeichnet durch einen Abriss oder zu niedrige Versorgungsspannungen, beispielsweise wegen einem Crash, und muss daher eigenständig vom Steuergerät erkannt werden. Auch beim klassischen Ausschalten des Systems durch den Zündschlüssel wird dieses Erkennungsverfahren zur Autarkie durchlaufen. Die Beobachtung und Bewertung dieses Vorgangs, der mit einem echten Batterieabriss wie er bei einem
Crashfall auftritt übereinstimmen kann, stellt auch die Verfügbarkeit des Personenschutzsystems sicher.
Jeder reale Ausschaltvorgang des Steuergeräts für den Personenschutz durch Unterbre- chung oder Einbruch der Batteriespannung wird dazu benutzt, die reale Wirkungsweise des Versorgungssystems durch den zentralen Mikroprozessor im Steuergerät zu beobachten und auszuwerten. Das erfindungsgemäße Steuergerät weist eine Vielzahl von Vorteilen auf: Die im Steuergerät benötigte Überwachung der verpolgeschützten Spannung muss rechtzeitig an einer definierten, niedrigst möglichen Grenze einen Schaltwandler aktivieren, der die Spannung der Energiereserve auf einen benötigten Wert abwärts wandelt. Es muss dabei vermieden werden, dass das Steuergerät trotz voller Energiereserve und einem er- folgreichen Abwärtswandlertest, also der Umsetzung der Spannung des Energiereservekondensators auf die Spannung, die im Steuergerät benötigt wird, durch Reset in der Digitalversorgung oder durch Kommunikationsabbruch der Satelliten zum Stillstand kommt.
Damit ist dann sicher gestellt, dass die Autarkieerkennung anhand der internen Spannung
VZP durchgeführt wird. Weiterhin ist sicher gestellt, dass der Schaltwandler rechtzeitig aktiviert wurde und der vom Steuergerät geforderte Strom bereitgestellt werden kann. Vorteilhaft ist hier, dass bei dieser Vorgehensweise die Regelung der Spannung VZP durch den Abwärtswandler VER->VZP, durch den MikroController μC über die eigen- ständige Erfassung der inneren Spannung VZP und ergänzend durch die Bandüberwachung der Ausgangsspannungen, welche aus VZP abgeleitetet werden wie etwa der 5V Analog/Digitalspannung, möglich ist.
Durch Prüfung der Kommunikation zu den Satellitensensoren über die gesamte zugesi- cherte Autarkiezeit hinweg, kann das System nachweisbar auch im Crashfall mit Versorgungsunterbrechung die Auswertung der Satellitensensoren sicherstellen. Durch Prüfung der Spannung der Energiereserve nach Ablauf der zugesicherten Autarkiezeit ohne Zündung von Rückhaltemitteln wird sichergestellt, dass der Wirkungsgrad der Spannungsversorgung sowie der Strombedarf in den zulässigen Toleranzen liegt. Damit wird auch ein unzulässig hoher Strom beim Steuergerät oder den Satelliten, wie er bei Defekten vorhanden sein kann, erkannt. Das erfindungsgemäße Steuergerät ermöglicht es, jede Art von Resetvorgängen, deren Ursache nicht ein Einbruch oder eine Unterbrechung der Versorgungsspannung ist, wie sie durch elektrische Störungen, elektromagnetische Einstrahlungen, Feuchte usw. auftreten können, zu erkennen. Dies ist daher möglich, weil ein so genanntes Warmreset ohne Abbau des Energiespeichers der Autarkieeinrichtung erfolgt.
Es werden folgende Abkürzungen verwendet:
FZ= Fehlerzähler UB off = Spannungsschwelle der Batteriespannung bei der sicher keine Versorgung mehr möglich ist
VERreg min = Minimale Regelspannung der geladenen Energiereserve VERreg max = Maximale Regelspannung der geladenen Energiereserve VER zündung min = Minimale Energiereservespannung nach Ablauf der Soll Autarkiezeit
VERoff max = Max. Wert der Energiereservespannung die beim Unterschreiten zum Zusammenbruch der Regelspannung VZR reg führt VZPreg min = Minimale Regelspannung von VZP im Autarkiefall VZPreg max = Maximale Regelspannung von VZP im Autarkiefall
VZPreg off = Minimale Spannung an VZP nach Verlassen des Regelbandes die noch eine sichere Fehlerbehandlung erlaubt darunter tritt Steuergeräte RESET ein VER off = Aktuelle Energiereservespannung wenn VZP = VZPreg off AUTARKIEzeit min = Mindestzeit der Eigenversorgung des Steuergerätes wobei
VER>VER_zündung_min ist
KOMM FZ = Kommunikationsfehlerzähler zu externen Sensoren etc. MW = Messwert
Figur 1 zeigt ein erstes Blockschaltbild des erfindungsgemäßen Steuergeräts. Das Steuergerät 10 weist in seinem Gehäuse einen Mikroprozessor oder MikroController μC auf, der über einen Datenschnittstelle, beispielsweise eine SPI-Leitung SPIl, mit einem Schnittstellenbaustein PAS IF verbunden ist. Der Schnittstellenbaustein PAS IF dient als An- schluss für externe Sensoren 11. Solche externen Sensoren 11 sind beispielsweise ausge- lagerte Beschleunigungssensoren, beispielsweise im Bereich der Fronthaube, oder auch
Seitenaufprallsensoren, die Beschleunigungssensoren und/oder Drucksensoren sein können, und auch Gewichtssensoren und Insassenpositionserkennungssensoren. Über eine zweiten Datenschnittstelle, beispielsweise eine SPI-Leitung SPI2 ist der Mikroprozessor μC mit einer Zündendstufe FLIC verbunden. Die Zündendstufe FLIC wird dazu benutzt, um Zündkreise für Rückhaltemittel RHS zu zünden. Die Rückhaltemittel RHS befinden sich außerhalb des Steuergeräts 10. Dabei handelt es sich um Airbags, Gurtstraffer und/oder Überrollbügel.
Der Schaltwandler 12 besteht aus einer unabhängigen Vergleichseinrichtung 12a , welche die innere Spannung VZP auf die Schwelle VZPth (z.B. 5.2V) vergleicht und im Falle des Unter schreitens den Schaltwandler 12b VZP <-->VER in den Abwärtswandelmode schaltet (Autarkie). Der Schaltwandler 12 dient dazu die Energie eines Energiereservekondensators CER ZU Energieversorgung des Steuergeräts 10 anstatt der fehlenden oder unzureichenden Spannung UB zu verwenden und als geregelte Spannung VZP=VZPreg (z.B. 6.3V) an CyZP 7^ Verfügung zu stellen. Die Versorgung des Steuergerätes 10 erfolgt aus VZP. Diese kann direkt genutzt werden wie beim PAS IF oder auch über weitere Spannungswandler 14 , die die Digital- und Analogversorgung 5V, 3.3V, 1.8V aller Bausteine generieren.
Der Mikroprozessor μC überwacht über eine Pegelanpassungsschaltung 16 (im einfachsten Fall unabhängige Spannungsteiler in Sonderfällen auch Spannungsteiler mit Pegelbegrenzung und Störfilterung) die Spannungen UB, VZP und VER über einen Mehrkanal- Analog-Digital- Wandler für die hier diskutierte Aufgabe.
Die Batteriespannung UB wird normalerweise zur Versorgung des Steuergeräts 10 verwendet. Über die Verpolschutzdiode 13 mit der Anode an UB, kann die interne Spannung VZP verpolgeschützt aus der Batteriespannung gebildet oder im Autarkiefalle geschützt gegen einen Kurzschluss in der Batteriezuführung nach Masse durch den Schaltregler 12 aus CgR an CyZP geregelt werden.
Die Energiereserve CgR wird im Normalfall auch zur Bereitstellung des Zündstroms für den FLIC verwendet. Hierzu ist die Anode einer Verpolschutzdiode 17 mit CgR verbunden und diese wiederum mit dem Schaltwandlerausgang 12. Die Kathode der Diode 17 ist verbunden mit dem FLIC . Viele Einzelheiten, die für die eigentliche Funktion des Steu- ergeräts 10 notwendig sind, sind hier der Einfachheit halber nicht dargestellt, da der Gegenstand hier sich allein mit der Energieversorgung beschäftigt.
Durch die Überwachung der internen Spannung VZP und der Batteriespannung UB kann der Mikroprozessor μC im Normalbetrieb das Vorhandensein der Verpolschutzdiode in Flussrichtung erkennen.
Unterschreitet die durch den Mikroprozessor μC überwachte Spannung UB einen unteren Grenzwert UBoff (z.B. 5V) über mehrere aufeinander folgende Messungen mit der Abtastrate von 1-lOms, so muss der Autarkiefall eintreten, weil dadurch auch die interne Spannung VZP unter die Schwelle VZPJh (z.B. 5.2V) der Vergleichseinrichtung 12a fällt.
Der Mikroprozessor μC hat nun erkannt, dass ein Autarkiefall aus UB Versorgungssicht vorliegt und das System nur dann funktionsfähig bleibt, wenn auch die Hardware gegeben durch die Vergleichseinrichtung 12a dies erkennt, den Schaltwandler VZP <- -> VER rechtzeitig in den Abwärtswandelmode schaltet und Energie der Energiereserve CJTR entnehmen kann, um eine ausreichend hohe Regelspannung an VZP zu bilden.
Folgende Integritätsprüfungen des Autarkiezustandes werden nun durchgeführt:
Die Bewertung erfolgt aber nur, wenn vorher das System seinen normalen Betriebszustand erreichen konnte, aus energetischer Sicht dadurch gekennzeichnet, dass sich die Energiereservespannung VER in einem wohldefinierten Überwachungsband z.B. 21 -28V oder 31-38V etc. befand. Dieser Umstand wird durch einen Autarkie-Test-Marker ge- kennzeichnet. Hierzu wird in die Zelle Autarkie Test Marker des nichtflüchtigen Speichers 15 ,AUTARKIE PRÜFBAR" geschrieben.
a)
Der Mikroprozessor μC startet einen Autarkiezeitzähler aufgrund der Bedingung UB<UBoff. Diese Bedingung muss während der gesamten Prüfung gültig sein.
Die Messung der Spannung UB erfolgt mit einer Wiederholrate von beispielsweise 1- 10ms.
Erreicht der Autarkiezeitzähler den zugesicherten und dem System als Parameter bekann- ten Wert AUTARKIEzeit min, so wird die Energiereservespannung VER=VERzündung gemessen. Dieser Messwert muss über einer Grenze VERzündung min liegen (z.B. 15V), welche so gewählt ist, dass auch eine Zündung der Rückhaltemittel unter den geforderten Strombedingungen möglich ist.
Der Wert VERzündung wird zur späteren Bewertung in der Initialisierungsphase in einen nichtflüchtigen Speicher 15 (EEPROM), der mit dem μC über einen Datenschnittstelle, beispielsweise eine serielle SPI-Leitung (SPI2) verbunden ist, geschrieben. Als Erweiterung kann auch der Zählerstand des AUTARKIEzeitzählers beim Erreichen der Spannung VER=VERzündung_min in einen nichtflüchtigen Speichers 15 geschrieben werden. Beim Neustart des Systems wird dann unmittelbar nach RESET Freigabe und Initialisierung der Autarkiezeit Test-Marker durch den Mikroprozessor μC aus dem EEPROM ausgelesen und bewertet. Steht er auf ,AUTARKIE PRÜFBAR" so wird die gespeicherte Autarkiezeit bewertet. Ist AUTARKIEzeit < AUTARKIEzeit min, wird ein AUTAR- KIEzeit_ Fehlerzähler (AUTARKIEzeit FZ) in dem nichtflüchtigen Speicher 15
(EEPROM) um 1 inkrementiert.
Erreicht der Zählerstand den Wert n (zB.=3) so wird die Systemwarnlampe dauerhaft angesteuert, bzw. eine Fehlerinformation als das Signal an einen standardisierten Fahrzeug- bus wie etwa CAN über einen Tranceiver 19 abgegeben.
In einer weiteren Ausführung kann der AUTARKIEZEIT_ Fehlerzähler bei jedem entdeckten Fehler um 1 inkrementiert werden und um 1 dekrementiert werden bei jedem nicht detektierten Fehler. Weiterhin könnte auch die Inkrementrier- und Dekrementier- Stufung gleich oder unterschiedlich gewählt werden. Ebenso wird die Energiereservespannung VERzündung bewertet. Ist VERzündung < VERzündung min, wird ein Fehlerzähler über nicht ausreichende Spannung (VERzündung FZ) inkrementiert. Erreicht der Zählerstand den Wert m (zB.=3) so wird die Systemwarnlampe dauerhaft angesteuert, bzw. eine Fehlerinformation an einen standardisierten Fahrzeugbus wie etwa CAN über einen Tranceiver 19 abgegeben.
In einer weiteren Ausführung kann der VERzündung_ FZ bei jedem entdeckten Fehler um 1 inkrementiert werden und um 1 dekrementiert werden bei jedem nicht detektierten Fehler. Weiterhin könnte auch die Inkrementrier- und Dekrementier-Stufung gleich oder unterschiedlich gewählt werden.
Hat das System seinen normalen Betriebszustand erreicht, aus energetischer Sicht gekennzeichnet durch die Energiereservespannung VER in einem wohldefinierten Überwachungsband zB. 21-28V oder 31-38V etc., werden der AUTARKIEzeit und VER zündung im nichtflüchtigen Speicher 15 auf „KEIN MESSWERT " geschrieben.
Damit ist das System bereit die im Vorstehenden beschriebene Prüfung für die nächste zu beobachtende Autarkie durchzuführen. In einer weiteren Ausführung kann die Bedingung UB<UBoff, wenn sie während der ganzen Autarkiezeit-Messung nicht eingehalten wurde, genutzt werden, um die Messung abzubrechen, da die Voraussetzung für Autarkie nicht durchgängig gegeben waren. Durch Beschreiben des Autarkiezeit Test-Markers im Speicher 15 mit , Autarkiezeit nicht prüfbar" wird ein Messabruch gekennzeichnet.
b)
Ausgelöst durch den Autarkiezustand UB<UBoff, wird die Kommunikation zu den externen Sensoren (Beschleunigung, Druck etc.) 11 über das 1-n Kanal Interface bis zum Erreichen der Grenze VER<VERzündung_min in Echtzeit zyklisch fortgeführt und geprüft.
Tritt ein Kommunikationsfehler ein, so wird dieser in einen nichtflüchtigen Speicher 15 (EEPROM) geschrieben. Zur Filterung kann ein Kommunikations Fehlerzähler (KOMM FZ )im nichtflüchtigen Speicher 15 gebildet werden, der bei jedem Auftreten eines Kommunikationsfehlers um 1 inkrementiert wird.
In eine weiteren Ausführung kann für jeden angeschlossenen externen Sensor ein eigener Kommunikations Fehlerzähler eingeführt werden.
Zur Unterscheidung ob Kommunikationsfehler im Normalzustand des Systems oder in Autarkie auftreten, können unterschiedliche Kommunikationsfehlerzähler abgelegt (gespeichert) werden. Dies ermöglicht insbesondere, dass Fehler oder die Funktion von an das Steuergerät angeschlossenen Sensoren, also so genannten Satelliten oder Assistenten, erkannt werden. Denn auch diese Sensoren sollen bei einem Fehlen der Batteriespannung aus der Energiereserve mit Energie versorgt werden, ohne in dieser kritischen Phase durch Kommunikationsfehler unbrauchbar zu werden. Beim Neustart des Systems wird dann unmittelbar nach RESET Freigabe und Initialisierung der Autarkiezeit Test-Marker durch den Mikroprozessor μC aus dem EEPROM ausgelesen und bewertet. Steht er auf ,AUTARKIE PRÜFBAR" so wird der gespeicherte Kommunikationsfehler (in Autarkie) bewertet. Ist KOMM FZ > zB. 3 so wird die Systemwarnlampe dauerhaft angesteuert, bzw. eine Fehlerinformation an einen standardisierten Fahrzeugbus wie etwa CAN über einen Tranceiver 19 abgegeben.
In einer weiteren Ausführung kann der Kommunikations Fehlerzähler nach einer Bewer- tung ohne Warnung wieder dekrementiert werden. C)
Ausgelöst durch den Autarkiezustand UB<UBmin, wird mit Unterschreitung von VZP< VZPth der DC/DC Schaltwandler 12 Mikroprozessor μC unabhängig aktiviert und eine Spannung VZP=VZPreg zB. 6.3V an CA/ZP erzeugt, die die weitere Systemversorgung aus ER übernimmt. Mit zunehmender Entladung der Energiereserve nähert sich das Aufrechterhalten der Regelspannung VZPreg dem Ende.
Durch zyklisches Messen der Spannung VZP im selben Raster wie VER zB. 1 -10ms über die Pegelanpassungsschaltung 16 wird das Ende der stabilen Regelung an VZP durch Erreichen von VZP=VZPreg_off zB. 5.8V vom Mikroprozessor μC erkannt. Die in diesem Messraster ebenfalls gemessene Spannung VER=VERoff zum Zeitpunkt VZPreg off, wird nun als letzter noch sicher speicherbarer Messwert in den nichtflüchtigen Speicher 15 (EEPROM) geschrieben. Der Schreibvorgang für EEPROM 's dauert ca. 1-lOms.
Beim Neustart des Systems wird dann unmittelbar nach RESET Freigabe und Initialisierung der Autarkie Test-Marker durch den Mikroprozessor μC aus dem nichtflüchtigen Speicher 15 (EEPROM) ausgelesen und bewertet. Steht er auf ,AUTARKIE NICHT PRÜFBAR" so erfolgt keine Prüfung der Speicherzelle VERoff und keine Fehlerbehandlung.
Der Mikroprozessor μC setzt seinen weiteren Programmablauf zur Erreichung der Betriebsbereitschaft fort. Steht er auf ,AUTARKIE PRÜFBAR", so wird der Inhalt der Speicherzelle VERoff aus 15 ausgelesen und mit der vorgegebenen und für die Energiereserveberechnung als Voraussetzung angenommenen, unteren nutzbaren Energiereservespannung VERoff soll, der als Parameter dem System bekannt ist, verglichen.
Ist VERoff < VERoff soll, so sind die geforderten Systemeigenschaften bei der letzten Autarkieanforderung , in der Regel ein normales Ausschalten des Steuergerätes vollständig erfüllt.
Ist dies nicht gegeben, so wird ein Fehlerzähler der die fehlerhafte VZP Regelung markiert (VERoff FZ) um 1 inkrementiert. Erreicht der Zählerstand den Wert p (zB.=3), so wird die Systemwarnlampe dauerhaft angesteuert oder eine CAN-Botschaft mit dieser Fehlerinformation abgegeben . In einer weiteren Ausführung kann der VERoff FZ bei jedem entdeckten Fehler um 1 inkrementiert werden und um 1 dekrementiert werden bei jedem nicht detektierten Fehler. Weiterhin könnte auch die Inkrementrier- und Dekre- mentier Stufung unterschiedlich gewählt werden.
Hat das System seinen normalen Betriebszustand erreicht, aus energetischer Sicht gekennzeichnet durch die Energiereservespannung VER in einem wohldefinierten Überwachungsband zB. 21-28V oder 31-38V etc. wird der Wert VERoff im nichtflüchtigen Speicher 15 auf ,JCEIN MESSWERT " geschrieben. Damit ist das System bereit, die im Vorstehenden beschriebene Prüfung für die nächste zu beobachtende Autarkie durchzuführen.
Auch dieses Merkmal ist ein komplexes Merkmal, das weit über die einfache Kenntnis von Einzelgrößen wie etwa der Energiereserve Kapazität hinausgeht. Dieser Test kann beispielsweise dann erfolgreich bestanden werden wenn
1) der OCfDC Schaltwandler seine Funktion erfüllt
2) die Regelkapazität CyZP vorhanden ist mit qualitativ guten Eigenschaften (ausreichender Kapazität, kleinem ESR), wodurch überhaupt eine gute Regelung von VZP im Autarkiefall möglich ist. 3) Die Stabilität der Regelspannung VZP über den gültigen VER Bereich erhalten bleibt ebenso wie die daraus sich versorgenden weiteren Spannungsregler zB. VZP -> VSTl Regler 4) Der Stromverbrauch an VZP im erwarteten Rahmen liegt
d)
Im folgenden wird die Erkennung von Reset Störungen beim Übergang in den Autarkiezustand oder anderen Vorgängen betrachtet, die dynamische Störungen in der RESET Struktur eines Systems verursachen könnten (Feuchte, EMV etc.).
Beim Neustart des Systems wird nach Reset Freigabe und Initialisierung der Autarkie
Test-Marker durch den μC aus dem nichtflüchtigen Speicher 15 ausgelesen und bewertet. Steht er auf ,AUTARKIE PRÜFBAR", so wird der aktuelle Messwert der Energiereservespannung VER mit dem Systemparameter VERoff min verglichen. Ist VER>VERoff_min, so ist ein ungewollter dynamischer RESET aufgetreten in einem ansonsten betriebsbereiten System. Dieses Fehlverhalten wird in einem Warmreset Feh- lerzähler (WARMreset FZ) des nichtflüchtigen Speichers 15 mitgezählt. Erreicht der Fehlerzähler den Wert q zB. q=3, so wird eine Warnlampe dauerhaft angesteuert bzw. eine CAN Botschaft (Information über aufgetretenen Fehler) abgegeben.
Im weiteren kann beim Ausbleiben eines Fehlers dieser Art, im Start der Fehlerzähler
WARMreset FZ dekrementiert werden.
Figur 2 erläutert in einem Flussdiagramm den prinzipiellen Ablauf in einem Steuergerät ausgehend vom betriebsbereiten Zustand.
An der Einsprungstelle A (200) beginnt jede ms der zyklische Verfahrensdurchlauf.
Im Verfahrensschritt 201 werden die aktuellen Größen UB, VZP, VER gemessen.
Im Verfahrensschritt 202 wird die Batteriespannung auf Einhaltung eines bestimmten
Bandes geprüft. Liegen unzulässige Versorgungsspannungen vor wird im Verfahrens- schritt 2002 die Warnlampe angesteuert (der Hinweis mZ, mit Zeitsteuerung sagt aus, dass entsprechend den Wünschen eine dauernde oder zeitlich anders geartete Lampenan- steuerung erfolgt) und das Verfahren in B (205) fortgesetzt.
Ist die Versorgungsspannung im regulären Versorgungsband (202 ist wahr), wird das Verfahren im Schritt 203 fortgesetzt. Ist VZP < UB wahr, so ist die Batterie Verpol- schutzdiode 13 in Figur 1 in Durchlassrichtung gegeben, und es folgt Verfahrensschritt 204, in dem wegen Fehlerfreiheit der Fehlerzähler (Battdiode FZ) dekrementiert wird, falls er größer 1 ist.
Es folgt die Fortsetzung des Verfahrens in B (205). Ist die Bedingung in Verfahrensschritt
203 nicht erfüllt, folgt Verfahrensschritt 2003. Hier wird der zugeordnete Fehlerzähler Battdiode FZ inkrementiert. Es folgt Verfahrensschritt 2013. Ist der Battdiode FZ >10 d. h., es liegt ein gefilterter sicherer Fehler der Verpolschutzdiode 13 in Figur 1 vor, so folgt Verfahrensschritt 2014 mit Warnlampe an und Fortsetzung des Verfahrens in B (205).
Im Verfahrensschritt 206 wird die Energiereservespannung auf Einhaltung eines bestimmten Bandes geprüft. Liegen unzulässige Energiereservespannungen vor, so sind die Gründe in 2006 genannt und das Verfahren wird in 2007 fortgesetzt. Ist 206 wahr, wird bestätigt, dass das Steuergerät betriebsbereit ist. Es folgt Verfahrensschritt 207, in dem der Inhalt der Speicherzelle Autarkie Test - Marker zB. Zelle 2 (15 in Figur 1) geprüft wird. Ist der Inhalt ,AUTARKIE NICHT PRÜFBAR" wahr, wird das Verfahren im Schritt 208 fortgesetzt. Hier werden in Schreibvorgängen die angegebenen Zellen mit Default-Zelleninhalten vorbelegt. Das Verfahren ist damit bereit zur Prüfung eines kommenden Autarkiefalls auf Integrität, in der Regel eine normale Ausschaltung des Systems durch Drehen des Schlüsselschalters in Stellung o.
Über die Einsprungstelle 209 folgt Verfahrensschritt 210. Ist 207 nicht wahr, wird das Verfahren in C (209) fortgesetzt, da bereits eine Vorbelegung der Speicherzellen erfolgte.
Es folgt dann der Verfahrenschritt 210, der die weiteren Verfahrenschritte in der lms E- bene enthält, die aber nichts mit der hier behandelten Erfindung zu tun haben. Nach deren Bearbeitung folgt der erneute Verfahrensdurchlauf in A (200) genau im lms (z.B., lms - 10ms) Zyklus.
Die Fortsetzung des Verfahrens im Verfahrensschritt 2007, nachdem die Energiereservespannung nicht im Zielband liegt, prüft die Steuergeräteversorgungsspannung. Ist Verfahrensschritt 2007 wahr, d.h. UB ist zu klein oder nicht vorhanden, folgt Verfahrensschritt 2017, hier wird geprüft, ob die Höhe der Energiereservespannung für eine Zündung über Diode 17 und dem Zündkreis FLIC (FLICS) in Figur 1 nicht ausreicht oder doch. Ist Verfahrensschritt 2017 wahr, folgt Verfahrensschritt 2117. Hier wird der aktuelle Stand des flüchtigen μC RAM Autarkiezeitzähler in den nichtflüchtigen EEPROM Speicher (15 in Figur 1) zB. in Zelle 4 geschrieben, sofern dies noch nicht geschehen ist.
Es folgt Verfahrensschritt 2118, in dem geprüft wird, ob die VZP Regelspannung in
Autarkie im gültigen Band liegt. Ist Verfahrensschritt 2118 wahr, folgt Verfahrenschritt 2218, der die weiteren Verfahrenschritte in der lms Ebene enthält, die aber nichts mit der hier behandelten Erfindung zu tun haben. Nach deren Bearbeitung erfolgt der erneute Verfahrensdurchlauf ab A (200) genau im lms (z.B., lms - 10ms) Zyklus.
Ist Verfahrensschritt 2118 falsch, folgt Verfahrensschritt 2119, in dem geprüft wird, ob VZP kleiner ist als eine untere Grenze, die den Zusammenbruch der VZP-Regelung kennzeichnet. Ist dieser Schritt wahr, folgt Verfahrensschritt 2120, in dem der aktuelle VER-Messwert, welcher nun der Grenze VERoff entspricht, in einen nichtflüchtigen EEPROM Speicher (15, Figur 1) durch den Mikroprozessor μC zB. in Zelle 5 geschrieben wird, sofern dies noch nicht geschehen ist.
Es folgt der Verfahrenschritt 2121, der die weiteren Verfahrenschritte in der lms Ebene enthält, die aber nichts mit der hier behandelten Erfindung zu tun haben. Nach deren Bearbeitung erfolgt der erneute Verfahrensdurchlauf ab A (200) genau im lms (z.B., lms - 10ms) Zyklus.
Ist der Verfahrensschritt 2119 falsch, d. h. ist die VZP-Spannung während der Autarkie zu groß, kann dies ebenfalls einer Fehlerbehandlung im Verfahrensschritt 2219 zugeführt werden.
Es folgen die weiteren Verfahrenschritte in der lms Ebene, die aber nichts mit der hier behandelten Erfindung zu tun haben. Nach deren Bearbeitung erfolgt der erneute Verfah- rensdurchlauf ab A (200) genau im lms (z.B., lms - 10ms) Zyklus.
Ist Verfahrensschritt 2017 nicht wahr, d. h. die Energiereservespannung ist bereits unter die Fähigkeitsgrenze zur Zündung gefallen, folgt Verfahrensschritt 2018.
Hier wird die aktuelle Autarkiezeπ=Zählerstand des μC-RAM AUTARKIEzeitzählers gegen den im System bekannten unteren Grenzwert AUTARKIEZEIT min geprüft. Ist exakt der Gleichstand erreicht folgt Verfahrensschritt 2028. Hier wird der aktuell vorliegende Messwert der Energiereservespannung genannt VERzündung in das EEPROM durch den Mikroprozessor μC in Zelle zB. Zelle 3 geschrieben. Damit ist Energiereserve- Spannung nach Ablauf der geforderten Autarkiezeit ohne Bewertung festgehalten.
Es folgt der Verfahrenschritt 2128, der die weiteren Verfahrenschritte in der lms Ebene enthält, die aber nichts mit der hier behandelten Erfindung zu tun haben. Nach deren Bearbeitung erfolgt der erneute Verfahrensdurchlauf ab A (200) genau im lms (z.B., lms - 10ms) Zyklus.
Ist die Bedingung in Verfahrensschritt 2018 nicht erfüllt, d. h. die Autarkiezeit ist ungleich AUTARKIEZEIT min, folgt Verfahrensschritt 2019. Hier wird der μC RAM Zähler zB. in RAM Zelle 1 für die Autarkiezeit um 1 ms inkrementiert. Es folgt Verfah- rensschritt 2020 hier wird nach aufgetretenen Kommunikationsfehlern zu externen Senso- ren etc. gefragt. Ist ein Fehler aufgetreten, so wird in Verfahrensschritt 2120 ein Kommunikationsfehlerzähler in einem nichtflüchtigen Speicher (15, Figur 1) zB. in Zelle 6 inkrementiert.
Es folgt der Verfahrenschritt 2121, der die weiteren Verfahrenschritte in der lms Ebene enthält, die aber nichts mit der hier behandelten Erfindung zu tun haben. Nach deren Bearbeitung erfolgt der erneute Verfahrensdurchlauf ab A (200) genau im lms (z.B., lms - 10ms) Zyklus.
Ist im Verfahrensschritt 2020 die Bedingung nicht erfüllt, d. h. es liegen keine Kommunikationsfehler vor, folgt Verfahrensschritt 2021, der die weiteren Verfahrenschritte in der lms Ebene enthält, die aber nichts mit der hier behandelten Erfindung zu tun haben. Nach deren Bearbeitung erfolgt der erneute Verfahrensdurchlauf ab A (200) genau im lms (z.B., lms - 10ms) Zyklus.
Ist Verfahrensschritt 2007 nicht erfüllt, kann mit UB nicht die Abschaltung erkannt werden, und es folgt 2008. Hier werden weitere Programmteile zur Überwachung der Energiereservespannung und falls notwendig deren Fehlerbehandlung durchgeführt. Darauf folgt Verfahrensschritt 2009, der die weiteren Verfahrenschritte in der lms Ebene enthält, die aber nichts mit der hier behandelten Erfindung zu tun haben. Nach deren Bearbeitung erfolgt der erneute Verfahrensdurchlauf ab A (200) genau im lms (z.B., lms - 10ms) Zyklus.
Figur 3 erläutert in einem Flussdiagramm den prinzipiellen Ablauf in einem Steuergerät ausgehend vom Initialisierungszustand.
Im Verfahrensschritt 300 wird der Autarkie Test Marker die EEPROM
(15, FIGUR 1) Zelle z.B. 2 durch den Mikroprozessor μC gelesen. Ist der Inhalt ,AUTARKIE PRÜFBAR" vorhanden, so wird Verfahrensschritt 301 ausgeführt. Ist dieser Inhalt nicht vorhanden, werden im Verfahrensschritt 3000 weitere Aufgaben in der Initialisierungsphase ausgeführt, die nichts mit der hier behandelten Erfindung zu tun haben. Im Verfahrensschritt 301 wird geprüft, ob die aktuelle VER Spannung kleiner ist als der dem System für den „GUT Fall" als Parameter bekannte Wert VERoff max. Hierdurch wird festgestellt, ob eine reguläre Autarkie vorausgegangen ist. Ist die Bedingung im Verfahrensschritt 301 erfüllt, so lag kein fehlerhafter dynamischer WARMreset vor. Es folgt Verfahrensschritt 302. Hier wird ein Fehlerzähler, der WARMreset Fehler zählt, dekre- mentiert, falls er größer 1 ist.
Ist die Bedingung in Verfahrensschritt 301 nicht erfüllt, so folgt Verfahrensschritt 3001. Hier wird der aufgetretene WARMreset Fehler in einem nichtflüchtigen Speicher gezählt z.B. in Zelle 10.
Es folgt Verfahrensschritt 3100, in dem weitere Aufgaben in der Initialisierungsphase ausgeführt werden, die nichts mit der hier behandelten Erfindung zu tun haben.
In Verfahrensschritt 303 werden aus dem nichtflüchtigen Speicher die Inhalte der Zellen
ZE3 (=VERzündung falls AUTARKIEzeit = AUTARKIEzeit min) und ZE4 (= AU- TARKIEzeit falls VER=VERzündung_min) durch den Mikroprozessor μC ausgelesen.
Es folgt in Verfahrensschritt 304 eine Bewertung von VERzündung. Ist VERzündung kleiner als ein dem System bekannter Parameter VERzündung min, d. h. fehlerhaft, so folgt Verfahrensschritt 305. Hier wird ein bereits etablierter Fehlerzähler z.B. EEPROM Zelle 7 für zu niedrige VERzündung (= VERzündung FZ) inkrementiert.
Es folgt in Verfahrensschritt 306 die Prüfung dieses Fehlerzählers auf eine erlaubte FiI- tergrenze z.B. 3. Ist diese überschritten, so folgt in Verfahrensschritt 3006 die Ansteuerung der Warnlampe wegen zu geringer VER Spannung nach geforderter Autarkiezeit.
Es folgt Verfahrensschritt 3106 Fortsetzung in A. Ist Verfahrensschritt 304 nicht erfüllt, d. h. es liegt keine fehlerhafte Spannung VERzündung nach einer Mindestautarkiezeit vor, folgt Verfahrensschritt 3004. Hier wird der Fehlerzähler VERzündung FZ in
EEPROM z.B. ZE7 dekrementiert zur Erhöhung der Robustheit und das Verfahren in A fortgesetzt. In Verfahrensschritt 307 werden aus dem nichtflüchtigen Speicher die Inhalte der Zellen ZE4 (= AUTARKIEzeit für VER=VERzündung_min) durch den Mikroprozessor μC ausgelesen. Es folgt in Verfahrensschritt 308 eine Bewertung der möglichen Autarkiezeit. Ist die AUTARKIEzeit kleiner als ein dem System bekannter Parameter AUTARKIE- zeit min, d. h. fehlerhaft, so folgt Verfahrensschritt 309. Hier wird ein bereits etablierter
Fehlerzähler in EEPROM z.B. Zelle 8 für zu niedrige Autarkiezeit (= AUTARKIE- zeit FZ) inkrementiert.
Ist Verfahrensschritt 308 nicht erfüllt, d. h. es liegt kein Autarkiefehler vor, folgt in Verfahrensschritt 3008 ein Dekrementieren der bisher aufgelaufenen Autarkiezeit-
Fehlern zur Steigerung der Robustheit und eine Fortsetzung des Verfahrens in A.
Es folgt in Verfahrensschritt 310 die Prüfung dieses Fehlerzählers auf eine erlaubte Filtergrenze z.B. 3. Ist diese überschritten, so folgt in Verfahrensschritt 3010 die Ansteue- rung der Warnlampe wegen zu geringer Autarkiezeit bei geforderter minimaler Energiereservespannung VERzündung min. Es folgt Verfahrensschritt 3110 Fortsetzung in B .
Ist Verfahrensschritt 310 nicht erfüllt, d. h. es liegt kein gefilterter Autarkiezeitfehler vor, folgt Verfahrensschritt 311. In Verfahrensschritt 311 werden aus dem nichtflüchtigen Speicher die Inhalte der Zellen ZE5 (= VERoff ER Spannung bei instabiler VZP-
Regelung) durch den Mikroprozessor μC ausgelesen.
Es folgt in Verfahrensschritt 312 eine Bewertung der VERoff Spannung. Ist die VERoff- Spannung größer als ein dem System bekannter Parameter VERoff max, d. h. fehlerhaft, so folgt Verfahrensschritt 313. Hier wird ein bereits etablierter Fehlerzähler für zu hohe
Energiereservespannung beim Eintreten der Instabilität der VZP Regelung (= VE- Roff FZ) inkrementiert. Es folgt in Verfahrensschritt 314 die Prüfung dieses Fehlerzählers auf eine erlaubte Filtergrenze z.B. 3. Ist diese überschritten, so folgt in Verfahrensschritt 3014 die Ansteuerung der Warnlampe wegen zu hoher VERoff Spannung bei VZP Instabilität. Es folgt Verfahrensschritt 3114 Fortsetzung in C.
Ist Verfahrensschritt 312 nicht erfüllt d. h. die ER Spannung kann bis zu ausreichend tiefen Werten genutzt werden, ohne Regelschwierigkeiten an VZP, folgt in Verfahrensschritt 3012 das dekrementieren des Fehlerzählers VERoff FZ falls >1 und die Fortsetzung in C. Ist Verfahrensschritt 314 nicht erfüllt, d. h. es liegt kein gefilterter Autarkiezeitfehler vor, folgt Verfahrensschritt 315. In Verfahrensschritt 315 werden aus dem nichtflüchtigen Speicher die Inhalte der Zellen ZE6 (= KOMM FZ, Kommunikationsfehlerzähler zu externen Sensoren) durch den Mikroprozessor μC ausgelesen. Es folgt in Verfahrensschritt 316 die Prüfung dieses Fehlerzählers auf eine erlaubte Filtergrenze z.B. 3. Ist diese überschritten, so folgt in Verfahrensschritt 317 die Ansteuerung der Warnlampe wegen zu hoher VERoff Spannung bei VZP Instabilität.
Es folgt Verfahrensschritt 318, in dem weitere Aufgaben in der Initialisierungsphase aus- geführt werden, die nichts mit der hier behandelten Erfindung zu tun haben.
Ist in Verfahrensschritt 316 der KOMM FZ unter der Filtergrenze, so folgt Verfahrensschritt 3016, in dem der Fehlerzähler zur Erhöhung der Robustheit dekrementiert wird. Es folgt Verfahrensschritt 3116, in dem weitere Aufgaben in der Initialisierungsphase ausge- führt werden, die nichts mit der hier behandelten Erfindung zu tun haben.
Figur 4a zeigt eine Ausführung der Blöcke 12a und 12b und 14 aus Fig. 1 in einem integrierten Baustein. Für den bidirektionalen Schaltwandler VZP<->VER wird die externe Spule Ll und eine Regelkapazität Cer für den Aufwärtswandelbetrieb VZP->VER benö- tigt und eine Regelkapazität Cvzp für den Abwärtswandelbetrieb VER->VZP im Autarkiefall. Für die Erzeugung der Analog/Digital-Systemspannungen wird aus VZP durch einen Abwärtswandler VZP->VST1 VSTl erzeugt. Hierzu ist die Spule L2 und die Regelkapazität Cvstl notwendig.
Aus VSTl wird durch einen Linearregler VST2 (3.3V) erzeugt. Hierzu ist die Regelkapazität Cvst2 notwendig. Aus VST2 wird durch einen Linearregler VST3 (1.8V) erzeugt. Hierzu ist die Regelkapazität Cvst3 notwendig. Die Steuerung der Abwärts- und Auf- wärtswandelrichtung des bidirektionalen Schaltwandlers VZP<->VER wird durch eine Autarkieerkennungsschaltung durchgeführt. Im einfachsten Fall handelt es sich um eine Schaltung gemäß Figur 4b.
Die Spannung VZP ist auf einer Seite mit dem Widerstand 400 verbunden. Dieser ist verbunden mit dem Widerstand 402, dem Widerstand 401 und dem positiven Eingang eines Komparators 404. Der Widerstand 401 ist auf der anderen Seite mit Masse verbunden. Der Widerstand 402 ist auf der anderen Seite mit dem Kollektor eines NPN-Transistors 403 verbunden. Der Emitter von 403 ist auf Masse verbunden. Die Basis des Transistors 403 ist mit dem Kollektor des Transistors 405 verbunden und mit einer Seite des Widerstands 406. Der Emitter des Transistors 405 ist auf Masse verbunden. Die Basis ist mit der einen Seite des Widerstands 408 verbunden. Die andere Seite des Widerstands 408 ist mit dem Ausgang des Komparators 404 verbunden. Die andere Seite des Widerstands
406 ist mit der IC-internen Spannung VINT verbunden. Der negative Eingang des Komparators 404 ist mit einer Referenzspannung 40 verbunden. Die positive Versorgung des Komparators 404 ist mit VINT verbunden, die negative Versorgung des Komparators 404 ist mit Masse verbunden. Der Ausgang des Komparators 404 ist zusätzlich mit dem Wi- derstand 407 einseitig verbunden. Die andere Seite des Widerstands 407 ist mit VINT verbunden.
Ist die Spannung VZP größer als eine Schwellspannung VZPth, beispielsweise 5.2V, so ist die Spannung am positiven Eingang des Komparators 404 größer als am negativen Eingang und der Ausgang des Komparators 404 wird durch den Widerstand 407 auf ungefähr VINT=High Ausgangspegel gelegt. Dies führt im Schaltwandler zum Aufwärts- wandelbetrieb VZP->VER.
Fällt die Spannung an VZP unter VZPth, beispielsweise 5V, so ist die Spannung am posi- tiven Eingang des Komparators 404 kleiner als am negativen Eingang. Der Ausgang des
Komparators 404 wird auf Masse gelegt. Dadurch wird auch der Transistor 405 über den Widerstand 408 ausgeschaltet, d.h. er sperrt.
Nun kann die Basis des Transistors 403 über den Widerstand 406 mit Strom versorgt werden. Der Transistor T2 leitet und schaltet den Widerstand 403 parallel zum Widerstand 401 des Eingangsspannungsteilers. Dadurch sinkt die Eingangsspannung am positiven Eingang des Komparators 404, dem Mittelpunkt des Eingangsspannungsteilers weiter ab. Das heißt, die gebildete Hysterese stabilisiert den neuen Schaltzustand des Komparators 404. Seine Ausgangsspannung bleibt auf ca. OV. Das System ist im Autarkiezustand. Der Low-Pegel am Ausgang des Komparators 404 signalisiert dem Schaltwandler den
Abwärtswandelbetrieb von VER->VZP.

Claims

Ansprüche
1. Steuergerät für den Personenschutz mit einem Verpolschutz (13) zwischen einer ex- ternen Batteriespannung (UB) und einer internen Spannung (VZP), um einen Ener- gieabfluss aus dem Steuergerät (10) zu verhindern, mit einem bidirektionalen Schaltwandler (12a, 12b) zwischen einer Energiereserve (CER) und der internen Spannung (VZP), wobei der Schaltwandler (12a, 12b) in Abhängigkeit von der internen Spannung (VZP) seine Wandlerrichtung bestimmt, wobei das Steuergerät (10) derart kon- figuriert ist, dass das Steuergerät (10) nach einem Ausschaltvorgang wenigstens einen
Messwert (VER) aufnimmt und in Abhängigkeit von diesem Messwert ein Signal erzeugt, dass ein Autarkieverhalten des Steuergeräts (10) charakterisiert.
2. Steuergerät nach Anspruch 1, dadurch gekennzeichnet, dass das Steuergerät (10) in Abhängigkeit von dem Messwert und/oder dem Signal eine Ausgabe ansteuert.
3. Steuergerät nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das Steuergerät (10) in Abhängigkeit von dem Messwert und/oder dem Signal eine Abspeicherung vornimmt.
4. Steuergerät nach Anspruch 1, 2 oder 3, dadurch gekennzeichnet, dass das Steuergerät (10) in Abhängigkeit von dem Messwert und/oder dem Signal wenigstens einen Zähler verändert.
5. Steuergerät nach Anspruch 1, dadurch gekennzeichnet, dass der wenigstens eine
Messwert eine Energiereservespannung (VER) ist, wobei das Steuergerät (10) derart konfiguriert ist, dass das Steuergerät (10) nach dem Ausschaltvorgang für eine vorgegebene Zeit zur Aufnahme des Messwerts die Energiereservespannung (VER) misst.
6. Steuergerät nach Anspruch 1, dadurch gekennzeichnet, dass der wenigstens eine Messwert ein Fehlerzähler für die Kommunikation des Steuergeräts (10) mit wenigstens einem an das Steuergerät angeschlossenen Sensor (11) ist.
7. Steuergerät nach Anspruch 1, dadurch gekennzeichnet, dass der wenigstens eine
Messwert eine Autarkiezeit ist, die das Steuergerät (10) derart ermittelt, dass es eine Zeit nach dem Ausschaltvorgang misst, bis zu der die Energieversorgungsspannung (VER) auf einen vorgegebenen Wert abgesunken ist, der noch ein Auslösen von Personenschutzmitteln ermöglicht.
8. Steuergerät nach Anspruch 1, dadurch gekennzeichnet, dass der wenigstens eine Messwert die Energiereservespannung (VER) ist, wobei das Steuergerät (10) die E- nergiereservespannung (VER) nach einem Einschaltvorgang nach dem Ausschaltvorgang misst und zur Erzeugung des Signals einen Speichereintrag berücksichtigt, der vor dem Ausschaltvorgang vorgenommen wurde.
PCT/EP2006/062485 2005-07-04 2006-05-22 Steuergerät für den personenschutz WO2007003469A2 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2008519883A JP5015924B2 (ja) 2005-07-04 2006-05-22 乗員保護手段のための制御機器
US11/988,261 US7831361B2 (en) 2005-07-04 2006-05-22 Control unit for personal protection
EP06763211A EP1901940A2 (de) 2005-07-04 2006-05-22 Steuergerät für den personenschutz
CN200680024489XA CN101218128B (zh) 2005-07-04 2006-05-22 用于乘员保护的控制装置

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102005031085A DE102005031085A1 (de) 2005-07-04 2005-07-04 Steuergerät für den Personenschutz
DE102005031085.0 2005-07-04

Publications (2)

Publication Number Publication Date
WO2007003469A2 true WO2007003469A2 (de) 2007-01-11
WO2007003469A3 WO2007003469A3 (de) 2007-09-07

Family

ID=37563307

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2006/062485 WO2007003469A2 (de) 2005-07-04 2006-05-22 Steuergerät für den personenschutz

Country Status (6)

Country Link
US (1) US7831361B2 (de)
EP (1) EP1901940A2 (de)
JP (1) JP5015924B2 (de)
CN (1) CN101218128B (de)
DE (1) DE102005031085A1 (de)
WO (1) WO2007003469A2 (de)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009109416A1 (de) 2008-03-06 2009-09-11 Robert Bosch Gmbh Steuergerät und verfahren zur ansteuerung von personenschutzmitteln für ein fahrzeug
EP2682309A1 (de) * 2012-07-02 2014-01-08 Autoliv Development Ab Stromversorgungsanordnung
ITTO20121145A1 (it) * 2012-12-24 2014-06-25 Magna Closures Spa Sorgente di energia di riserva per sistemi automobilistici e relativo metodo di controllo
EP2813040A1 (de) * 2012-02-06 2014-12-17 Robert Bosch GmbH Anordnung und verfahren zum erzeugen eines im wesentlichen sinusförmigen synchronisationspulses
WO2017207242A1 (de) * 2016-06-02 2017-12-07 Robert Bosch Gmbh Energieversorgungsvorrichtung für ein personenschutzsystem
US10174527B2 (en) 2012-12-24 2019-01-08 Magna Closures Inc. Backup energy source for automotive systems and related control method
WO2019076637A1 (de) * 2017-10-18 2019-04-25 Robert Bosch Gmbh Verfahren und steuergerät zum laden eines personenschutzmittel-energiespeichers zum betreiben eines personenschutzmittels eines fahrzeugs

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008003080B4 (de) 2008-01-03 2020-07-30 Robert Bosch Gmbh Steuergerät und Verfahren zur Ansteuerung von Personenschutzmitteln für ein Fahrzeug
EP2657091B1 (de) * 2012-04-23 2019-06-12 Autoliv Development AB Antriebsanordnung

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19517698A1 (de) 1995-05-13 1996-11-14 Telefunken Microelectron Verfahren zum Ermitteln der Autarkiezeit eines sicherheitskritischen Systems in einem Fahrzeug zur Personenbeförderung

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01274628A (ja) * 1988-04-25 1989-11-02 Nippon Denso Co Ltd 乗員保護装置の異常判定装置
DE8916156U1 (de) * 1989-06-29 1994-05-05 Robert Bosch Gmbh, 70469 Stuttgart Spannungsversorgungseinrichtung für ein elektronisches Gerät
EP0615887A1 (de) * 1993-03-18 1994-09-21 Delco Electronics Corporation Ergänzende, aufblasbare Rückhaltevorrichtung
DE4432957C1 (de) * 1994-09-16 1996-04-04 Bosch Gmbh Robert Schaltmittel
DE19542085B4 (de) * 1994-12-30 2007-07-05 Robert Bosch Gmbh Sicherheitseinrichtung für Fahrzeuginsassen
DE19921146A1 (de) * 1999-03-11 2000-10-05 Daimler Chrysler Ag Stromversorgungsanordnung mit einem Energiespeicher
DE10305357B4 (de) * 2003-02-10 2005-12-22 Siemens Ag Vorrichtung zur Energieversorgung eines mit sicherheitsrelevanten Komponenten ausgestatteten Zweispannungs-Bordnetzes

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19517698A1 (de) 1995-05-13 1996-11-14 Telefunken Microelectron Verfahren zum Ermitteln der Autarkiezeit eines sicherheitskritischen Systems in einem Fahrzeug zur Personenbeförderung

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See also references of EP1901940A2

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009109416A1 (de) 2008-03-06 2009-09-11 Robert Bosch Gmbh Steuergerät und verfahren zur ansteuerung von personenschutzmitteln für ein fahrzeug
US8376399B2 (en) 2008-03-06 2013-02-19 Robert Bosch Gmbh Control unit and method for controlling occupant protection means for a vehicle
CN101959719B (zh) * 2008-03-06 2016-08-03 罗伯特·博世有限公司 用于触发车辆的人员保护装置的控制装置和方法
EP2813040A1 (de) * 2012-02-06 2014-12-17 Robert Bosch GmbH Anordnung und verfahren zum erzeugen eines im wesentlichen sinusförmigen synchronisationspulses
EP2682309A1 (de) * 2012-07-02 2014-01-08 Autoliv Development Ab Stromversorgungsanordnung
ITTO20121145A1 (it) * 2012-12-24 2014-06-25 Magna Closures Spa Sorgente di energia di riserva per sistemi automobilistici e relativo metodo di controllo
US10174527B2 (en) 2012-12-24 2019-01-08 Magna Closures Inc. Backup energy source for automotive systems and related control method
WO2017207242A1 (de) * 2016-06-02 2017-12-07 Robert Bosch Gmbh Energieversorgungsvorrichtung für ein personenschutzsystem
US10974677B2 (en) 2016-06-02 2021-04-13 Robert Bosch Gmbh Energy supply device for an occupant protection system
WO2019076637A1 (de) * 2017-10-18 2019-04-25 Robert Bosch Gmbh Verfahren und steuergerät zum laden eines personenschutzmittel-energiespeichers zum betreiben eines personenschutzmittels eines fahrzeugs
US11479197B2 (en) 2017-10-18 2022-10-25 Robert Bosch Gmbh Method and control unit to charge a personal-protection-device energy store for operating a personal-protection-device of a vehicle

Also Published As

Publication number Publication date
US7831361B2 (en) 2010-11-09
JP2008544924A (ja) 2008-12-11
CN101218128B (zh) 2010-09-29
CN101218128A (zh) 2008-07-09
US20090212544A1 (en) 2009-08-27
JP5015924B2 (ja) 2012-09-05
WO2007003469A3 (de) 2007-09-07
EP1901940A2 (de) 2008-03-26
DE102005031085A1 (de) 2007-01-18

Similar Documents

Publication Publication Date Title
WO2007003469A2 (de) Steuergerät für den personenschutz
EP2567442B1 (de) Steuergerät für einen betrieb eines sicherheitssystems für ein fahrzeug und verfahren für einen betrieb eines solchen sicherheitssystems für ein fahrzeug
EP2794361B1 (de) Vorrichtung und verfahren zur überwachung einer spannungsversorgung für ein fahrzeugsystem
DE19644858A1 (de) Energiespeicherschutzvorrichtung für ein Fahrzeuginsassenschutzsystem
EP1997205B1 (de) Energiespeicher-diagnoseschaltung
EP2797776B1 (de) Verfahren und vorrichtung zur überwachung einer energiereserve und sicherungsvorrichtung für ein fahrzeug
EP2766595B1 (de) Verfahren zur überprüfung einer versorgungsschaltung und zugehörige versorgungsschaltung für mindestens einen zündkreis
DE8717831U1 (de) Einrichtung zur Überprüfung einer Kapazität
DE102005025616B4 (de) Verfahren zur Überwachung und/oder Steuerung oder Regelung der Spannung einzelner Zellen in einem Zellstapel
DE3922506A1 (de) Insassen-sicherheitssystem fuer fahrzeuge
DE10127054B4 (de) Verfahren zur Überwachung einer Spannungsversorgung eines Steuergeräts in einem Kraftfahrzeug
WO1991000637A1 (de) Spannungsversorgungseinrichtung für ein elektronisches gerät
EP0732793B1 (de) Schaltungsvorrichtung, insbesondere für sicherheitskritische Systeme in Fahrzeugen zur Personenbeförderung
DE112022001803T5 (de) Hilfsstromversorgungsvorrichtung und Verfahren zum Steuern einer Hilfsstromversorgungsvorrichtung
DE102005058719A1 (de) Schaltungsanordnung zur Überprüfung eines Energiespeichers, insbesondere eines Autarkiekondensators eines sicherheitskritischen Systems in einem Fahrzeug
DE102010043100B4 (de) Verfahren und Vorrichtung zur Diagnose einer Funktionsfähigkeit einer Energieversorgungseinrichtung
DE10222175A1 (de) Elektronische Spannungsüberwachungsschaltung
DE102010031596B4 (de) Steuergerät und Verfahren zur Ansteuerung von Personenschutzmitteln für ein Fahrzeug
EP3900138A1 (de) Ansteuervorrichtung zum auslösen zumindest einer pyrosicherung sowie energiespeicher mit einer solchen pyrosicherung
EP4081813A1 (de) Verfahren, computerprogramm, elektronisches speichermedium und vorrichtung zur erkennung des abrisses einer energiereserveeinrichtung
DE102018110932B4 (de) Verfahren zur betriebssicheren Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein Fahrzeuginsassenrückhaltesystem
DE102021208116A1 (de) Verfahren und Vorrichtung zum Erfassen eines Ereignisses in einem Bordnetz insbesondere eines Kraftfahrzeugs
DE102021121742A1 (de) Batterie und Batteriesteuerungsverfahren
DE102020213638A1 (de) Verfahren zur Überwachung eines Energiereservekondensators eines Steuergeräts
DE102020213637A1 (de) Verfahren zur Überwachung eines Energiereservekondensators eines Steuergeräts

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 2006763211

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 200680024489.X

Country of ref document: CN

Ref document number: 2008519883

Country of ref document: JP

WWP Wipo information: published in national office

Ref document number: 2006763211

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 11988261

Country of ref document: US